第一篇:校园石头文化特色方案设计稿
韶关地区校园石头文化设计方案
一、设计思路:
校园石头文化以组合来设计,不孤立,不单一。根据学校实地考察的石景,结合《弟子规》当中的经典语录,融入《儒林国际文化》五个元素,即:家、孝、仁爱、幸福、国际视野,在石头上面雕刻一些具有警示意义的字句。
二、具体方案:
(二)一楼会议室西侧钢铁雕像旁边
红色行楷:家
此处是学生从宿舍通往教学楼的必经之处,寓意孩子们以校为家,宿舍和教学楼都是孩子们的家。
(三)教学楼西侧花池内 横长石两个
横字书写红色隶书:大-入则孝 小-余力学文 寓意:结合入口处的”家”字,象征一家人在学校这个大家庭里面,孝敬师长。
红色隶书:余力学文
警示孩子们做到大石头的入则孝,也就是先学会做人,道德品质学好之后,有时间多学习,多阅读,爱学习。
(四)教学楼东侧花池内 竖长石
竖立书写红色行楷:知行合一 寓意:警示教师与学生时刻要知行合一,把《儒林国际文化》落到实处
(五)饭堂斜坡处 横长石
横字书写红色正楷:出则悌 寓意:提示孩子们把同学当作兄弟姐妹,在公共场合,例如此处下坡的时候,谦恭互让,不要推挤。
第二篇:浅谈石头文化
浅谈石头文化
毛泽东《咏史》词云:“人猿相揖别,有几个石头磨过,小儿时节。”石器是人与猿相区别的重要标志,因为动物不会制造工具,只有人才会制造工具。原始社会,石头始终是原始人必不可少的劳动用具。旧石器时代,原始人居住的是石窟、洞穴,使用的是打制石器;新石器时代,原始人垒造石屋,使用的是磨制石器。著名历史学家吕振羽先生曾这样描述过,当时的人们“以燧石、石髓、蛋白石、玛瑙、碧玉等作原料,打制而成三角形、石叶形等形式的石镞、石钻、尖状器、刮削器、石片和石核等等。”《韩非于·五 蠹》中还有关于燧人氏“钻燧取火,以化腥臊”的记载,这就是原始人从燧石中发现并利用火的实例。传说中的燧人氏,就是中国的普罗米修斯,他为人间送来了火,为人类带来了光明。火的发现与利用,是人类社会划时代的大事。
随着原始生产的发展,原始人类在劳动之余,开始了娱乐活动,欣赏和珍藏美石成为了原始文化活动的一个方面。从周口店山顶洞人居住的洞穴里,发掘出约18000年前的入骨化石和装饰品。其中就有在人骨石旁散落着赤铁矿染红的石珠。据考古学家分析,这种石珠,既是审美对象,又是宗教用品。可见,人类观赏石头的历史,远在18000年前的旧石器时代就已经存在了。而且也完成了由单纯地满足生存等物质生活的需求到追求精神生活的过度。毫无疑问,这是人类历史的伟大进步,也可以说是人类文明发展的起点。
观赏美石,既是原始的文化活动,反转来又促进了原始文化的发展。石头上千变万化的纹理和美丽的图像,必然对原始人的思维活动产生影响。著名艺术家罗丹说过:“艺术始发于自然。”原始人从石头上的自然纹理和图像受到启示,并进行模仿,从而产生了原始文字和绘画,萌发了原始艺术。虽然至今仍没有确凿的证据证明这一点,但我们也没有理由否认。因为既然动植物如贝壳、龟壳等对原始文化能发生影响,为什么石头就不能呢?既然现代人能模仿石头进行文学和艺术创作,为什么原始人类就不能模仿呢?所以从某种角度来说,原始文化就是石文化。石文化对原始文化的促进作用还表现在神话故事方面。原始人对自然现象的奥秘无法解释,就产生了神话。我国古代神话中,就有女娲炼石补天,精卫鸟噙石填海等一系列为世人所熟知的神话传说,它们都对当时的文学及艺术产生积极影响。最典型的就是《西游记》和《石头记》,山石中崩出美猴王,石头幻化成贾宝玉。
不仅如此,原始人还把石头作为图腾来顶礼膜拜。把自己无法实现的梦想都寄予赋有灵性的石头上,希望通过石头保佑他们丰衣足食、国泰民安。在我国羌族人居住的地区,山林道口、田间地头、屋顶室内都供奉着一块白石,据传,这个民族在古代的部落战争中,一块白石救了他们。于是白石成了这个民族的图腾而受到崇拜,而且一直延续至今。不仅是原始人,泰山的山石文化也形成了独具风格的泰山山石崇拜。而且为世界各地的华人广为流传,影响深远。游览泰山时,除了目睹小泰山、红石门、醉心石等大型的山石奇观之外,更能看到一大景观:那些泰山的远方游客,那些善男信女们,虔诚地捡起地上的石头,许一个心愿,然后把石头压在沿途的树枝或是石碑上。再有,在泰山的每一条游览路线和各个游览景点,我们还可以看到用大理石、花岗岩、汉白玉等山石制成的长条形“泰山石敢当”。据说在秦汉时期,人们把石敢当作为一种灵石,驱邪避祸,以镇风水。到了五代,出了一个以死保卫晋高祖的石敢,人们十分崇尚他的英雄行为,认为他能逢凶化吉,到明清时代,英雄人物“石敢”便与灵石“石敢当”融为一体了,而且成为泰山山石崇拜的一个物象。这种民间习俗究竟起于何时,已没有准确的考证,它只是作为民间香社的一种祭拜方式存在着,并将一直延续下去……由此不难看出,石头,作为一种文化现象,不但充实了人们的精神生活,而且丰富了我们的传统文化宝库,使之永远成为世界文化林中的一块瑰宝。
众所周知,石头象征着坚定、坚固、顽强以及各种我们所向往的品质。因此,人们用石心比喻坚定的信念,用石交指代牢固的友谊,用石城汤池形容防守坚固的城池。也许正是由于这个原因,石头的魅力才这样恒久不衰。可以这么说,人类生活的方方面面,无处不利用石头或变相利用石头。所谓的变相利用,就是用现代的科学技术,以石为器,或以石为原材料,制作成人类所需要的东西。石头无所不在,无所不用。无论是国家的重要建筑物,如皇宫、皇陵、御园、城堡、寺庙、堤坝、桥梁、大道等,还是民间的园林,房屋、庭院、亭舫、涵道等,无不取材于石。至于石碑、石刻、石雕、石画、石钟、石罄、石鼓,石塔、石砚、石棺、石室、石印等,更是在石头上做尽文章。因为美丽的石材代表着高贵,也隐含些许神秘,而不同的石头又各具特色。山中的岩石峻峭凌厉;水中的卵石亲切圆润;北方的山石浑厚沉着;江南的石头奇巧精妙。根据石材不同的特点,人们把它用作很多用途:石刻、碑碣、石磬乐器、雕塑,尤其是建筑。建筑让石头的作用发挥得淋漓尽致。
人们常说,建筑是一部石头写的书。石头的历史也因建筑而格外融入了人类文明的历程。自古至今,从建筑的结构,到建筑表面的铺装,到建筑环境中的装饰,石材一直发挥着重要的作用。通过对石材的选择、组合、雕刻可以赋予建筑物不同的性格与韵味。以石头雕刻为例。中国传统古建筑虽然以木材作为主要的结构构架,但是由于木材不耐火、腐蚀性强以及防潮性能低等无法避免的缺点,决定了石材在中国传统建筑中仍占有不可或缺的特殊地位。木柱下面的柱础、房屋下面的台基、台基四周的栏杆、台基至地面的石阶、台基旁的御道、墙上券门的发券、寺庙内的佛像座、殿前的碑碣、大门外的报鼓石等等,我们都可以看到石头熟悉的身影。而且,凡是用石料的部位,几乎都可以发现有石雕作为装饰。至于那些完全用石料筑造的牌楼、佛塔、经幢、门阙、华表、石柱、桥梁等石雕装饰则更多。雕饰的内容从模仿自然的花草植物,到各种各样的吉祥动物图案。其中,在宫殿建筑和官府建筑中,又以龙(包括龙的九子:螭吻、嘲凤、椒图、螭首、金猊等)和狮子为首。这些动物往往神态威武、气势恢弘。而且雕刻主题明确、装饰繁复、雕工精致。建筑由此显得格外雄伟、壮观,进而进一步衬托出主人的财势、地位和无上的权利。而在一般的民间建筑中,这种石雕装饰被简化了许多。如作为帝王象征的龙以及狮子都已经很少被采用或被禁用,大多采用动植物装饰或民间的传说故事等,以表达主人保宅邸平安、驱邪避祸、祛病纳福、招财利市、福禄寿喜、加官进爵的美好愿望。雕饰手法也很简洁,甚至只做一些粗浅的线刻。越是贫民,石雕装饰就越被弱化。由此可见,在等级制度森严的中国传统建筑中,石雕不仅仅作为一种装饰手段存在与建筑上,而是与建筑型制、建筑材料、建筑色彩等一起组成一幅封建礼制的图像。
时下,科学技术日新月异,建筑已远远不止于石头的构建,各种新奇的材料几乎可以达到人们想要的任何效果,石材却从来没有丧失它的光彩,依旧牵动着人们的梦想。因此,也没有人再去质疑“石头的史书”。石头依然高贵、优雅、沉着、大方地屹立于材料王国的宝座上,向人们讲述着它几千年文明的历程、几千年神秘的使命、几千年沧桑的变化。纵观石头历史和石头文化,人们对石头的利用,一是在物质生活方面,一是在精神生活方面。富于创造力而从不安分的人类,从很早以前就已经不满足于自身的物质局限性,而力求在精神上超越它。并且,随着社会继续向前发展,社会文明程度的逐步提高,石头的作用及其对文化的影响也将越来越大。将会有越来越多的人们去挖掘、重视和研究那些潜伏在石头里的科学价值和美学价值,并谱写新的历史篇章……
第三篇:特色文化校园体系解读
特色文化校园体系解读
为了创建浑南一中特色校园文化,夯实校园文化建设。在校长先进办学理念指导下,在各部门教师的通力协作下,在一线教师的教育教学实践中,历经一年半,浑南一中师生共建和谐特色文化校园基本形成。
在学校整体规划中,特色文化校园体系由教师篇和学生篇构成,其中教师篇由《教师工作手册》、《教师读书笔记》两部分组成;学生篇由《成长之路》、《学生读书笔记》、《青春导航》、《班级日志》四部分组成,可以说这是全校师生的教育教学成果,是全体教师智慧的结晶。
教师篇:
《教师工作手册》:一本教师工作手册用于记录教师一学年的教学工作,其中包括、课程表、教学计划、教学进度表、学生成绩册、周中记事与反思、期末工作总结、发表论文及获得奖励与荣誉。
《教师读书笔记》:用于记录教师阅读书籍时摘抄精彩片段或撰写学习心得体会。学生篇:
《班级日志》:用于记录班级每天的课程情况、主要记事、班级出勤统计以及奖惩情况。
《成长之路》:记录个人和班级完整的学习走势,完善评价和激励机制,保证公平公正。
《青春导航》:记录学生每日自省后自我肯定和不足之处,充分体现了学生的自我管理。通过每日的“慎独”培养,养成自律、自控、自省习惯,加强自我教育和自我管理能力的培养。
《学生读书笔记》:用于记录学生阅读书籍时摘抄精彩片段或撰写学习心得体会,每个学期,学校都要组织全校开展阅读名著的演讲活动,有时候,学生之间互相借阅读书笔记来学习别人阅读时记录的精华。
第四篇:校园网络安全方案设计
汕尾职业技术学院-------数学与应用系
校园网络安全方案设计
班级:123网络技术2班
姓名:李仲富 学号:2022324208
设计题目: 校园网络安全方案设计
设计时间:6月20号至6月30号
汕尾职业技术学院-------数学与应用系
一、校园网方案设计原则与需求
1.1设计原则:保证校园网的稳定运行和利用。
1.2网络建设需求:高度的稳定性和高性能性,对网络统一管理和高效处理。
二、校园网方案设计
2.1校园网现网拓扑图
整个网络采用二级的网络架构:核心、接入。
核心采用一台RG-S4909,负责整个校园网的数据转发,同时为接入交换机S1926F 、内部服务器提供百兆接口。网络出口采用RG-WALL1200防火墙。
2.2校园网设备更新方案
更换核心设备
汕尾职业技术学院-------数学与应用系
核心采用一台锐捷网络面向10万兆平台设计的多业务IPV6路由交换机RG-S8606,负责整个校园网的数据转发。在C区增加一台SAM服务器,部署SAM系统,同时A区和B区用3台S2126G替换原有S1926F 。将原有的S4909放到东校区做为汇聚设备,下接三台S2126G实现安全控制,其它二层交换机分别接入相应的S2126G。B区汇聚采用一台S2126G,剩余两台S2126G用于保护重点机器,其它交换机接入对应的S2126G。C区的网络结构也做相应的调整,采用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。
2.3 网络安全系统的管理
1、确定计算机安全管理责任人和安全领导小组负责人 应当履行下列职责:
(一)组织宣传计算机信息网络安全管理方面的法律、法规和有关政策;
(二)拟定并组织实施本校计算机信息网络安全管理的各项规章制度;
(三)定期组织检查本校计算机信息网络系统安全运行情况,及时排除各种安全隐患;
(四)负责组织本校学生的安全教育和培训;
汕尾职业技术学院-------数学与应用系
2、配备1至2名计算机学生安全员(由技术负责人和技术操作人员组成),应当履行下列职责:
(一)执行本单位计算机信息网络安全管理的各项规章制度;
(二)按照计算机信息网络安全技术规范要求对计算机信息系统安全运行情况进行检查测试,及时排除各种安全隐患;
2.4网络安全系统的风险评估
一般可能会遭受到外部的攻击和入侵、内部的攻击或误用、企业内的病毒传播,以及安全管理漏洞等方面。
2.5网络安全设计
2.5.1校园网网络安全需求分析
1.网络安全的防范:
病毒产生的原因:校园网很重要的一个特征就是用户数比较多,会有很多的PC机缺乏有效的病毒防范手段,这样,当用户在频繁的访问INTERNET的时候,通过局域网共享文件的时候,通过U盘,光盘拷贝文件的时候,系统都会感染上病毒,当某个学生感染上病毒后,他会向校园网的每一个角落发送,发送给其他用户,发送给服务器。
病毒对校园网的影响:校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗,用户正常的网络访问得不到响应,办公平台不能使用;资源库、VOD不能点播;INTERNET上不了,学生、老师面临着看着丰富的校园网资源却不能使用的尴尬境地。
2、防止IP、MAC地址的盗用
IP、MAC地址的盗用的原因:某校园网采用静态IP地址方案,如果缺乏有效的IP、MAC地址管理手段,用户可以随意的更改IP地址,在网卡属性的高级选项中可以随意的更改MAC地址。如果用户有意无意的更改自己的IP、MAC地址,会引起多方冲突,如果与网关地址冲突,同一网段内的所有用户都不能使用网络;如果恶意用户发送虚假的IP、MAC的对应关系,用户的大量上网数据包都落入恶意用户的手中,造成ARP欺骗攻击。
IP、MAC地址的盗用对校园网的影响:在用户看来,校园网络是一个很不可靠是会给我带来很多麻烦的网络,因为大量的IP、MAC冲突的现象导致了用户经常不能使用网络上的资源,而且,用户在正常工作和学习时候,自己的电脑上会经常
汕尾职业技术学院-------数学与应用系
弹出MAC地址冲突的对话框。由于担心一些机密信息比如银行卡账户、密码、邮箱密码泄漏,用户会尽量减少网络的使用,这样,学生、老师对校园网以及网络中心的信心会逐渐减弱,投入几百万的校园网也就不能充分发挥其服务于教学的作用,造成很大程度上的资源浪费。
3、安全事故发生时候,需要准确定位到用户 安全事故发生时候,需要准确定位到用户原因:
资料:国家的要求:2022年,朱镕基签署了282号令,要求各大INTERNET运营机构(包括高校)必须要保存60天的用户上网记录,以待相关部门审计。
校园网正常运行的需求:如果说不能准确的定位到用户,学生会在网络中肆无忌弹进行各种非法的活动,会使得校园网变成“黑客”娱乐的天堂,更严重的是,如果当某个学生在校外的某个站点发布了大量涉及政治的比如法轮功的言论,这时候公安部门的网络信息安全监察科找到我们的时候,我们无法处理,学校或者说网络中心只有替学生背这个黑锅。
4、安全事故发生时候,不能准确定位到用户的影响:
一旦发生这种涉及到政治的安全事情发生后,很容易在社会上广泛传播,上级主管部门会对学校做出处理;同时也会大大降低学校在社会上的影响力,降低家长、学生对学校的满意度,对以后学生的招生也是大有影响的。
5、用户上网时间的控制
无法控制学生上网时间的影响:如果缺乏有效的机制来限制用户的上网时间,学生可能会利用一切机会上网,会旷课。像网吧一样无人监管,通宵、影响明天的课程。精力。
6、用户网络权限的控制
在校园网中,不同用户的访问权限应该是不一样的,比如学生应该只能够访问资源服务器,上网,不能访问办公网络、财务网络。办公网络的用户因该不能访问财务网络。因此,需要对用户网络权限进行严格的控制。例如:学院的重要的部门。学生选课。资料档案。
7、各种网络攻击的有效屏蔽
校园网中常见的网络攻击比如MAC FLOOD、SYN FLOOD、DOS攻击、扫描攻击、ARP欺骗攻击、流量攻击、非法组播源、非法DHCP服务器及DHCP攻击、窃取交换机的管理员密码、发送大量的广播报文,这些攻击的存在,会扰乱网络的正常运行低了校园网的效率。计算机专业的学生搞恶作剧,做实验
2.6.2某校园网网络安全方案设计思想和实施
汕尾职业技术学院-------数学与应用系
2.6.2.1安全到边缘的设计思想
用户在访问网络的过程中,首先要经过的就是交换机,如果我们能在用户试图进入网络的时候,也就是在接入层交换机上部署网络安全无疑是达到更好的效果。2.6.2.2全局安全的设计思想
锐捷网络提倡的是从全局的角度来把控网络安全,安全不是某一个设备的事情,应该让网络中的所有设备都发挥其安全功能,互相协作,形成一个全民皆兵的网络,最终从全局的角度把控网络安全。2.6.2.3全程安全的设计思想
用户的网络访问行为可以分为三个阶段,包括访问网络前、访问网络的时候、访问网络后。对着每一个阶段,都应该有严格的安全控制措施。2.6.3校园网网络安全方案
锐捷网络结合SAM系统和交换机嵌入式安全防护机制设计的特点,从三个方面实现网络安全:事前的准确身份认证、事中的实时处理、事后的完整审计。2.6.3.1事前的身份认证
对于每一个需要访问网络的用户,我们需要对其身份进行验证,身份验证信息包括用户的用户名/密码、用户PC的IP地址、用户PC的MAC地址、用户PC所在交换机的IP地址、用户PC所在交换机的端口号、用户被系统定义的允许访问网络的时间,通过以上信息的绑定,可以达到如下的效果:
每一个用户的身份在整个校园网中是唯一,避免了个人信息被盗用.当安全事故发生的时候,只要能够发现肇事者的一项信息比如IP地址,就可以准确定位到该用户,便于事情的处理。
只有经过网络中心授权的用户才能够访问校园网,防止非法用户的非法接入,这也切断了恶意用户企图向校园网中传播网络病毒、黑客程序的通道。2.6.3.2网络攻击的防范
1、常见网络病毒的防范
对于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒,通过部署扩展的ACL,能够对这些病毒所使用的TCP、UDP的端口进行防范,一旦某个用户不小心感染上了这种类型的病毒,不会影响到网络中的其他用户,保证了校园网网络带宽的合理使用。
2、未知网络病毒的防范
汕尾职业技术学院-------数学与应用系
对于未知的网络病毒,通过在网络中部署基于数据流类型的带宽控制功能,为不同的网络应用分配不同的网络带宽,保证了关键应用比如WEB、课件资源库、邮件数据流有足够可用的带宽,当新的病毒产生时,不会影响到主要网络应用的运行,从而保证了网络的高可用性。
3、防止IP地址盗用和ARP攻击
通过对每一个ARP报文进行深度的检测,即检测ARP报文中的源IP和源MAC是否和端口安全规则一致,如果不一致,视为更改了IP地址,所有的数据包都不能进入网络,这样可有效防止安全端口上的ARP欺骗,防止非法信息点冒充网络关键设备的IP(如服务器),造成网络通讯混乱。
4、防止假冒IP、MAC发起的MAC FloodSYN Flood攻击
通过部署IP、MAC、端口绑定和IP MAC绑定(只需简单的一个命令就可以实现)。并实现端口反查功能,追查源IP、MAC访问,追查恶意用户。有效的防止通过假冒源IP/MAC地址进行网络的攻击,进一步增强网络的安全性。
5、非法组播源的屏蔽
锐捷产品均支持IMGP源端口检查,实现全网杜绝非法组播源,指严格限定IGMP组播流的进入端口。当IGMP源端口检查关闭时,从任何端口进入的视频流均是合法的,交换机会把它们转发到已注册的端口。当IGMP源端口检查打开时,只有从路由连接口进入的视频流才是合法的,交换机把它们转发向已注册的端口;而从非路由连接口进入的视频流被视为是非法的,将被丢弃。锐捷产品支持IGMP源端口检查,有效控制非法组播,实现全网杜绝非法组播源,更好地提高了网络的安全性和全网的性能,同时可以有效杜绝以组播方式的传播病毒.在校园网流媒体应用多元化和潮流下具有明显的优势,而且也是网络带宽合理的分配所必须的。同时IGMP源端口检查,具有效率更高、配置更简单、更加实用的特点,更加适用于校园运营网络大规模的应用环境。
6、对DOS攻击,扫描攻击的屏蔽
通过在校园网中部署防止DOS攻击,扫描攻击,能够有效的避免这二种攻击行为,节省了网络带宽,避免了网络设备、服务器遭受到此类攻击时导致的网络中断。2.7 业务连续策略
可分为4种类型:人力不可抗拒事件、高传染性疾病、物理访问、it逻辑访问 2.8 业务持续计划进行测试、保持和重新评估(1)测试即使:1桌面测试 2模拟
汕尾职业技术学院-------数学与应用系
3技术恢复测试
4供应商设备和服务测试 5排练
(2)保持与重新评估:考虑各方面的更新1人员 2地址或电话号码 3过程 4风险
第五篇:校园网络安全方案设计
校园网络安全方案设计案例2案例)
班 级: 学 号: 设计人:李**
(校园
第一章、校园网方案设计原则与需求
1.1设计原则
1.充分满足现在以及未来3-5年内的网络需求,既要保证校园网能很好的为学校服务,又要保护学校的投资。
2.强大的安全管理措施,四分建设、六分管理,管理维护的好坏是校园网正常运行的关键
3.在满足学校的需求的前提下,建出自己的特色 1.2网络建设需求
网络的稳定性要求
整个网络需要具有高度的稳定性,能够满足不同用户对网络访问的不同要求 网络高性能需求
整个网络系统需要具有很高的性能,能够满足各种流媒体的无障碍传输,保证校园网各种应用的畅通无阻
认证计费效率高,对用户的认证和计费不会对网络性能造成瓶颈 网络安全需求
防止IP地址冲突
非法站点访问过滤
非法言论的准确追踪
恶意攻击的实时处理
记录访问日志提供完整审计 网络管理需求
需要方便的进行用户管理,包括开户、销户、资料修改和查询
需要能够对网络设备进行集中的统一管理
需要对网络故障进行快速高效的处理
第二章、校园网方案设计
2.1校园网现网拓扑图
整个网络采用二级的网络架构:核心、接入。
核心采用一台RG-S4909,负责整个校园网的数据转发,同时为接入交换机S1926F 、内部服务器提供百兆接口。网络出口采用RG-WALL1200防火墙。原有网络设备功能较少,无法进行安全防护,已经不能满足应用的需求。
2.2校园网设备更新方案
方案一:不更换核心设备
核心仍然采用锐捷网络S4909交换机,在中校区增加一台SAM服务器,部署SAM系统,同时东校区和西校区各用3台S2126G替换原有S1926F ,其中汇聚交换机各采用一台新增的S2126G,剩余的两台S2126G用于加强对关键机器的保护,中校区的网络结构也做相应的调整,采用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。
方案二:更换核心设备
核心采用一台锐捷网络面向10万兆平台设计的多业务IPV6路由交换机RG-S8606,负责整个校园网的数据转发。在中校区增加一台SAM服务器,部署SAM系统,同时东校区和西校区各用3台S2126G替换原有S1926F 。将原有的S4909放到东校区做为汇聚设备,下接三台S2126G实现安全控制,其它二层交换机分别接入相应的S2126G。西校区汇聚采用一台S2126G,剩余两台S2126G用于保护重点机器,其它交换机接入对应的S2126G。中校区的网络结构也做相应的调整,采用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。2.3骨干网络设计
骨干网络由RG-S8606构成,核心交换机RG-S8606主要具有5特性:
1、骨干网带宽设计:千兆骨干,可平滑升级到万兆
整个骨干网采用千兆双规线路的设计,二条线路通过VRRP冗余路由协议和OSPF动态路由协议实现负载分担和冗余备份,以后,随着网络流量的增加,可以将链路升级到万兆。
2、骨干设备的安全设计:CSS安全体系架构
3、CSS之硬件CPP CPP即CPU Protect Policy,RG-S8606采用硬件来实现,CPP提供管理模块和线卡CPU的保护功能,对发往CPU的数据流进行带宽限制(总带宽、QOS队列带宽、类型报文带宽),这样,对于ARP攻击的数据流、针对CPU的网络攻击和病毒数据流,RG-S8606分配给其的带宽非常的有限,不会影响其正常工作。
由于锐捷10万兆产品RG-S8606采用硬件的方式实现,不影响整机的运行效率
4、CSS之SPOH技术
现在的网络需要更安全、需要为不同的业务提供不同的处理优先级,这样,大量的ACL和QOS需要部署,需要核心交换机来处理,而这些应用属于对交换机硬件资源消耗非常大的,核心交换机RG-S8606通过在交换机的每一个用户端口上增加一个FFP(快速过滤处理器),专门用来处理ACL和QOS,相当于把交换机的每一个端口都变成了一台独立的交换机,可以保证在非常复杂的网络环境中核心交
换机的高性能。
2.4网络安全设计
2.4.1某校园网网络安全需求分析
1、网络病毒的防范
病毒产生的原因:某校园网很重要的一个特征就是用户数比较多,会有很多的PC机缺乏有效的病毒防范手段,这样,当用户在频繁的访问INTERNET的时候,通过局域网共享文件的时候,通过U盘,光盘拷贝文件的时候,系统都会感染上病毒,当某个学生感染上病毒后,他会向校园网的每一个角落发送,发送给其他用户,发送给服务器。
病毒对校园网的影响:校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗,用户正常的网络访问得不到响应,办公平台不能使用;资源库、VOD不能点播;INTERNET上不了,学生、老师面临着看着丰富的校园网资源却不能
使用的尴尬境地。
2、防止IP、MAC地址的盗用
IP、MAC地址的盗用的原因:某校园网采用静态IP地址方案,如果缺乏有效的IP、MAC地址管理手段,用户可以随意的更改IP地址,在网卡属性的高级选项中可以随意的更改MAC地址。如果用户有意无意的更改自己的IP、MAC地址,会引起多方冲突,如果与网关地址冲突,同一网段内的所有用户都不能使用网络;如果恶意用户发送虚假的IP、MAC的对应关系,用户的大量上网数据包都落入恶意用户的手中,造成ARP欺骗攻击。
IP、MAC地址的盗用对校园网的影响:在用户看来,校园网络是一个很不可靠是会给我带来很多麻烦的网络,因为大量的IP、MAC冲突的现象导致了用户经常不能使用网络上的资源,而且,用户在正常工作和学习时候,自己的电脑上会经常弹出MAC地址冲突的对话框。由于担心一些机密信息比如银行卡账户、密码、邮箱密码泄漏,用户会尽量减少网络的使用,这样,学生、老师对校园网以及网络中心的信心会逐渐减弱,投入几百万的校园网也就不能充分发挥其服务于教学的作用,造成很大程度上的资源浪费。
3、安全事故发生时候,需要准确定位到用户 安全事故发生时候,需要准确定位到用户原因:
国家的要求:2022年,朱镕基签署了282号令,要求各大INTERNET运营机构(包括高校)必须要保存60天的用户上网记录,以待相关部门审计。
校园网正常运行的需求:如果说不能准确的定位到用户,学生会在网络中肆无忌弹进行各种非法的活动,会使得校园网变成“黑客”娱乐的天堂,更严重的是,如果当某个学生在校外的某个站点发布了大量涉及政治的比如法轮功的言论,这时候公安部门的网络信息安全监察科找到我们的时候,我们无法处理,学校或者说网络中心只有替学生背这个黑锅。
4、安全事故发生时候,不能准确定位到用户的影响:
一旦发生这种涉及到政治的安全事情发生后,很容易在社会上广泛传播,上级主管部门会对学校做出处理;同时也会大大降低学校在社会上的影响力,降低家长、学生对学校的满意度,对以后学生的招生也是大有影响的。
5、用户上网时间的控制
无法控制学生上网时间的影响:如果缺乏有效的机制来限制用户的上网时间,学生可能会利用一切机会上网,会旷课。学生家长会对学校产生强烈的不满,会认为学校及其的不负责任,不是在教书育人。这对学校的声誉以及学校的长期发展是及其不利的。
6、用户网络权限的控制
在校园网中,不同用户的访问权限应该是不一样的,比如学生应该只能够访问资源服务器,上网,不能访问办公网络、财务网络。办公网络的用户因该不能访问财务网络。因此,需要对用户网络权限进行严格的控制。
7、各种网络攻击的有效屏蔽
校园网中常见的网络攻击比如MAC FLOOD、SYN FLOOD、DOS攻击、扫描攻击、ARP欺骗攻击、流量攻击、非法组播源、非法DHCP服务器及DHCP攻击、窃取交换机的管理员密码、发送大量的广播报文,这些攻击的存在,会扰乱网络的正常运行
低了校园网的效率。
2.4.2某校园网网络安全方案设计思想 2.4.2.1安全到边缘的设计思想
用户在访问网络的过程中,首先要经过的就是交换机,如果我们能在用户试图进入网络的时候,也就是在接入层交换机上部署网络安全无疑是达到更好的效果。2.4.2.2全局安全的设计思想
锐捷网络提倡的是从全局的角度来把控网络安全,安全不是某一个设备的事情,应该让网络中的所有设备都发挥其安全功能,互相协作,形成一个全民皆兵的网络,最终从全局的角度把控网络安全。2.4.2.3全程安全的设计思想
用户的网络访问行为可以分为三个阶段,包括访问网络前、访问网络的时候、访问网络后。对着每一个阶段,都应该有严格的安全控制措施。2.4.3某校园网网络安全方案
锐捷网络结合SAM系统和交换机嵌入式安全防护机制设计的特点,从三个方面实现网络安全:事前的准确身份认证、事中的实时处理、事后的完整审计。
2.4.3.1事前的身份认证
对于每一个需要访问网络的用户,我们需要对其身份进行验证,身份验证信息包括用户的用户名/密码、用户PC的IP地址、用户PC的MAC地址、用户PC所在交换机的IP地址、用户PC所在交换机的端口号、用户被系统定义的允许访问网络的时间,通过以上信息的绑定,可以达到如下的效果:
每一个用户的身份在整个校园网中是唯一,避免了个人信息被盗用.当安全事故发生的时候,只要能够发现肇事者的一项信息比如IP地址,就可以准确定位到该用户,便于事情的处理。
只有经过网络中心授权的用户才能够访问校园网,防止非法用户的非法接入,这也切断了恶意用户企图向校园网中传播网络病毒、黑客程序的通道。2.4.3.2网络攻击的防范
1、常见网络病毒的防范
对于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒,通过部署扩展的ACL,能够对这些病毒所使用的TCP、UDP的端口进行防范,一旦某个用户不小心感染上了这种类型的病毒,不会影响到网络中的其他用户,保证了校园网网络带宽的合理使用。
2、未知网络病毒的防范
对于未知的网络病毒,通过在网络中部署基于数据流类型的带宽控制功能,为不同的网络应用分配不同的网络带宽,保证了关键应用比如WEB、课件资源库、邮件数据流有足够可用的带宽,当新的病毒产生时,不会影响到主要网络应用的运行,从而保证了网络的高可用性。
3、防止IP地址盗用和ARP攻击
通过对每一个ARP报文进行深度的检测,即检测ARP报文中的源IP和源MAC是否和端口安全规则一致,如果不一致,视为更改了IP地址,所有的数据包都不能进入网络,这样可有效防止安全端口上的ARP欺骗,防止非法信息点冒充网络关键设备的IP(如服务器),造成网络通讯混乱。
4、防止假冒IP、MAC发起的MAC FloodSYN Flood攻击
通过部署IP、MAC、端口绑定和IP MAC绑定(只需简单的一个命令就可以实现)。并实现端口反查功能,追查源IP、MAC访问,追查恶意用户。有效的防止通过假冒源IP/MAC地址进行网络的攻击,进一步增强网络的安全性。
5、非法组播源的屏蔽
锐捷产品均支持IMGP源端口检查,实现全网杜绝非法组播源,指严格限定IGMP组播流的进入端口。当IGMP源端口检查关闭时,从任何端口进入的视频流均是合法的,交换机会把它们转发到已注册的端口。当IGMP源端口检查打开时,只有从路由连接口进入的视频流才是合法的,交换机把它们转发向已注册的端口;而从非路由连接口进入的视频流被视为是非法的,将被丢弃。锐捷产品支持IGMP源端口检查,有效控制非法组播,实现全网杜绝非法组播源,更好地提高了网络的安全性和全网的性能,同时可以有效杜绝以组播方式的传播病毒.在校园网流媒体应用多元化和潮流下具有明显的优势,而且也是网络带宽合理的分配所必须的。同时IGMP源端口检查,具有效率更高、配置更简单、更加实用的特点,更加适用于校园运营网络大规模的应用环境。
6、对DOS攻击,扫描攻击的屏蔽
通过在校园网中部署防止DOS攻击,扫描攻击,能够有效的避免这二种攻击行为,节省了网络带宽,避免了网络设备、服务器遭受到此类攻击时导致的网络中断。2.4.3.3事后的完整审计
当用户访问完网络后,会保存有完备的用户上网日志纪录,包括某个用户名,使用那个IP地址,MAC地址是多少,通过那一台交换机的哪一个端口,什么时候开始访问网络,什么时候结束,产生了多少流量。如果安全事故发生,可以通过查询该日志,来唯一的确定该用户的身份,便于了事情的处理。2.5网络管理设计
网络管理包括设备管理、用户管理、网络故障管理 2.5.1网络用户管理
网络用户管理见网络运营设计开户部分 2.5.2网络设备管理
网络设备的管理通过STARVIEW实现,主要提供以下功能,这些功能也是我们常见的解决问题的思路:
1、网络现状及故障的自动发现和了解
STARVIEW能自动发现网络拓扑结构,让网络管理员对整个校园网了如指掌,对于用户私自挂接的HUB、交换机等设备能及时地发现,提前消除各种安全隐患。对于网络中的异常故障,比如某台交换机的CPU利用率过高,某条链路上的流量负载过大,STARVIEW都可以以不同的颜色进行显示,方便管理员及时地发现网络中的异常情况。
2、网络流量的查看
STARVIEW在网络初步异常的情况下,能进一步的察看网络中的详细流量,从而为网络故障的定位提供了丰富的数据支持。
3、网络故障的信息自动报告
STARVIEW支持故障信息的自动告警,当网络设备出现故障时,会通过TRAP的方式进行告警,网络管理员的界面上能看到各种故障信息,这些信息同样为管理员 的故障排除提供了丰富的信息。
4、设备面板管理
STARVIEW的设备面板管理能够很清楚的看到校园中设备的面板,包括端口数量、状态等等,同时可以很方便的登陆到设备上,进行配置的修改,完善以及各种信
息的察看。
5、RGNOS操作系统的批量升级
校园网很大的一个特点就是规模大,需要使用大量的接入层交换机,如果需要对这些交换机进行升级,一台一台的操作,会给管理员的工作带来很大的压力,STARVIEW提供的操作系统的批量升级功能,能够很方便的一次对所有的相同型号的交换机进行升级,加大的较少了网络管理员的工作量。
2.5.3网络故障管理
随着校园网用户数的增多,尤其是宿舍网运营的开始,用户网络故障的排除会成为校园网管理工作的重点和难点,传统的网络故障解决方式主要是这样一个流程:
2.6流量管理系统设计
网络中的流量情况是网络是否正常的关键,网络中大量的P2P软件的使用,已经对各种网络业务的正常开展产生了非常严重的影响,有的学校甚至因为P2P软件的泛滥,直接导致了网络出口的瘫痪。2.6.1方案一:传统的流量管理方案
传统的流量管理方案的做法很多就是简单的封堵这些P2P软件,从而达到控制流量的目的,这有三大弊端,第一:这些软件之所以有如此强大的生命力,是因为用户通过使用这些软件的确能快速的获取各种有用的资源,如果简单的通过禁止的方式,用户的意见会非常的大,同时,各种有用的资源我们很难获取。
第二:各种新型的,对网络带宽消耗更大的应用软件也在不断的出现。所谓道高一尺,魔高一丈,一味的封堵这些软件,我们永远处于被动的局面,显然不能从根本上解决这个问题。
第三:我们无法获取网络中的流量信息,无法为校园网的优化,网络管理,网络故障预防和排除提供数据支撑。2.6.2方案二:锐捷的流量管理与控制方案
锐捷网络的流量管理主要通过RG-NTD 日志处理软件 RG-SAM系统来实现。NTD是锐捷流量管理解决方案的重要组成部分,我们希望能为用户提供一种流量控制和管理的方法而不单纯是流量计费,锐捷的流量管理方案有三大功能:
第一:为SAM系统对用户进行流量计费提供原始数据,这是我们已经实现了的功能。该功能能满足不同消费层次的用户对带宽的需求,经济条件好一点,可以多用点流量,提高了用户的满意度。而且,对于以后新出现的功能更加强大的下载软件,都不必担心用户任意使用造成带宽拥塞。
第二:提供日志审计和带宽管理功能,通过NTD、SAM、日志系统的结合,能够做到基于用户身份对用户进行管理,做到将用户名、源IP、目的IP直接关联,通过目的IP,可以直接定位到用户名,安全事件处理起来非常的方便,同时还能提供P2P的限速,带宽管理等功能,这一部分的功能我们会在明年4月份提供。第三:能够对网络中的各种流量了如指掌,可以对用户经常访问的资源进行分析对比,为应用系统的建设、服务器的升级改造提供数据支持;能够及时的发现网络中的病毒、恶意流量,从而进行有效的防范,结合认证计费系统SAM,能够捕捉到事件源头,并于做出处理。
总体来说,流量控制和管理和日志系统的整体解决方案对于校园网的长期健康可持续发展是很有帮助的。
