校园网网络系统集成设计方案
在Windows 2000和Windows XP中,系统都带有TCP/IP筛选功能,利用它可以简单地进行端口设置。以Windows XP为例,打开“本地连接”的属性,在“常规”选项中找到“Internet协议(TCP/IP)”,双击它打开该协议的属性设置窗口。点击右下方的“高级”按钮,进入“高级TCP/IP设置”。在“选项”中选中“TCP/IP筛选”并双击进入其属性设置。这里我们可以设置系统只允许开放的端口,假如架设的FTP服务器端口为21,先选中“启用TCP/IP筛选(所有适配器)”,再在TCP端口选项中选择“只允许”,点“添加”,输入端口号21,确定即可。 打开Internet连接防火墙 。
对于Windows XP系统,自带了“Internet连接防火墙”功能,与TCP/IP筛选功能相比,设置更方便,功能更强大。除了自带防火墙端口开放规则外,还可以自行增删。在控制面板中打开“网络连接”,右击拨号连接,进入“高级”选项卡,选中“通过限制或阻止来自Internet的对此计算机的访问来保护我的计算机和网络”,启用它。设置防火墙,点击右下角的“设置”按钮进入“高级设置”,选中“FTP服务器”,编辑它。在IP地址一栏中填入服务器公网IP,确定后退出即可即时生效。如果架设的FTP服务器端口为其他端口,比如22,则可以在“服务”选项卡下方点“添加”,输入服务器名称和公网IP后,将外部端口号和内部端口号均填入22即可。
(2)、路由服务漏洞——通用即插即用功能(Plus and Play)
对于家庭SOHO网络的大多数路由器都有通用即插即用功能,以便运行游戏、即时消息程序和其它应用程序的设备能够无缝地相互沟通。通过让最终用户访问一个网站上的恶意Flash文件,攻击者能够利用这个即插即用技术对路由器进行重大的修改,可能进行的最严重的修改是修改连接到路由器的服务器电脑访问的网站。这将使受害者访问假冒的eBay或者美国银行网站,看到假冒的窃取他们登录证书的网页。
这个安全漏洞http://www.luyouqiwang.com/13392/ 还能够让攻击者打开受害者的路由器上的端口,通过把这些端口发送给外部的服务器,攻击者能够把受害者的路由器变成类似于僵尸电脑的设备。这个问题不是Flash软件中的安全漏洞,而是即插即用功能中的设计路由器漏洞,这个功能没有使用身份识别技术,使用任何平台和浏览器的电脑都可以改变路由器的设置,只要这些电脑使用8.0版本以上的Flash软件。
12
校园网网络系统集成设计方案
第4章 网络规划
4.1
VLAN网络IP地址规划
IP地址的规划需要遵循以下原则:
(1) 唯一性是IP地址在TCP/IP协议中最基本的要求,是IP地址的基本特征和IP地址编制的重要依据。网络中每一网络所使用的IP地址的网络地址字段必须是唯一的,在同一网络中所使用的IP地址中包含的主机地址字段也必须是唯一的,这是实现IP网络互联互通的基本条件;
(2) 在层次化结构的网络中为各个节点划分连续的IP地址区间,便于实现路径叠合(Route Summarization)等优化IP地址的分配技术,简化路由表数据,提高路由算法的计算效率和动态路由的快速收敛,能有效利用地址空间;
(3) IP地址编制要兼顾网络规模扩展的需求,为各个节点预留足够的IP地址扩展区间时,应考虑对网络在用地址的继承性,满足路由协议的要求、实现IP地址编用的平滑连接等,这是保证网络扩展和有序管理的重要条件;
(4) 遵循有关TCP/IP协议标准来规划IP地址,是网络建设的重要原则。 4.2 VLAN与IP网段的划分
1、在规划VLAN间访问规则之前,我们首先根据VLAN的职能大致将VLAN分为两大类,服务器区VLAN以及用户区VLAN。服务器区VLAN又可分为共用服务器VLAN与非共用服务器VLAN,用户区VLAN分为网管VLAN与非网管VLAN。
(1) 共用服务器VLAN中包括如FTP服务器,邮件服务器以及应用服务器等,这些服务器是可以让所有人员访问,在设置访问规则时将允许所有用户区VLAN访问共用服务器VLAN;
(2) 非共用服务器VLAN中包括了网管服务器、数据库服务器,认证计费服务器以及端点准入服务器等不提供对用户服务的,在设置访问规则时将只允许网管VLAN的用户访问,而不允许非网管VLAN的访问;
(3) 网管VLAN可以提供访问非共用服务器的访问控制;
非网管VLAN及学生上网使用的VLAN,该VLAN拥有访问共用服务器的权限,非网管VLAN为了现实广播域的隔离,因此由多个VLAN组成,各个VLAN之间逻辑隔离。
2、划分IP地址为202.160.130.131,域名为www.ahptc.com,主DNS为202.102.192.68。根据该学校的情况,将VLAN与IP分配如下表:
13
校园网网络系统集成设计方案
表4-2为该校VLAN与IP网段的划分
VLAN 号 2 3 4 4 5 6 7 9 网段IP 172.31.65.0/24 172.31.66.0/24 172.31.32.0/24 172.31.32.0/24 172.31.32.0/24 172.31.33.0/24 172.31.33.0/24 172.31.34.0/24 网关 192.31.65.254 192.31.66.254 172.31.32.254 172.31.32.254 172.31.32.254 192.31.33.254 192.31.33.254 172.31.34.254 备注 学生宿舍A栋 学生宿舍B栋 教学楼机房1 教学楼机房2 教学楼机房3 1号实验楼 教学楼 公寓楼
14
校园网网络系统集成设计方案
第5章 校园视频监控方案设计
5.1
项目概述
一、学校监控项目概述
如何有效的保证学生的人身财产安全,是他们拥有一个可靠舒适的学习环境,保护学校的财物安全。成了排在学校面前的重要课题。
学校视频监控系统是安全防范技术体系中的一个重要组成部分,是一种先进的、防范能力极强的综合系统,它可以通过摄像机及其辅助设备(镜头等)直接观看学校的情况,一目了然,同时它可以把学校的图像全部或部分的记录下来,这样就为日后对某些事件的处理提供了方便条件及重要依据,同时学校电视监控系统还可以与防盗警报等其他安全技术防范体系联动运行,使学校防范能力更加强大,能及时发现事故和事件的隐患,预防破坏和避免造成不好影响。
1、将校园内的各区域、公共场所等尽收眼底,实现学校全方位监控,坚决杜绝学生宿舍被盗、自行车丢失、图书馆及实验室等公共财产遭到破坏、餐厅、运动场发生骚乱等事件的发生。
2、长时间录像以及报警触发录像,为后期快速破案提供依据;
3、减少学校大量的人员开支以及人员疲于奔命搞巡逻,做到动静结合,有效节省学校开支;
4、优化校园治安环境和学生自律意识;
5、学校领导可以通过网络内的任意一台终端计算机,实时监看任意点的监控画面,及时了解现场情况,掌握第一手信息;
6、借助学校视频监控,可以清理校园周边环境的混乱情况,还校园一片安宁; 二、学校监控设计依据
本方案设计根据甲方常规要求,并遵循以下国家相关部门制定的设计规范要求。主要包括:
1、《电子信息系统机房设计规范》GB50174-2008 2、《安全防范系统验收规则》GA/308-2001 3、《入侵报警系统工程设计规范》GB50394-2007 4、《安全防范工程技术规范》GB 50348-2004
5、《视频安防监控系统工程设计规范》GB 50395-2007
15
校园网网络系统集成设计方案
6、《电子信息系统机房施工及验收规范》GB 50462-2008 7、《智能建筑设计标准》GB T50314-2006
8、《民用闭路监视电视系统工程技术规范》GB50198-94 9、《安全防范工程程序与要求》GA/T75-94 10、《入侵报警系统技术要求》GA/T368—2001
11、《电气装置安装工程施工及验收规范》GBJ232-90、92 12、《民用建筑电气设计规范》JGJ/T16-92
13、《信息技术设备(包括电气事务设备)的安全》GB4943-95 14、《安全技术防范规范工程技术规范》GB/T75-94
15、《建筑与建筑群综合布线系统工程设计规范》GB/T50311-2000 16、现场勘测报告及甲方需求 5.2
项目需求分析
一、项目分析:
学校准备实施校园闭路监控系统。为学校的安保提供了先进的技术防范平台。闭路监控系统将为校园安保,为平安校园提供了重要的预防手段。
在进行闭路监控系统设计的时候,依照学校对该系统的基本需求,本着架构合理、安全可靠、产品主流、低成本、低维护量作为出发点,并依此为学校提供先进、安全、可靠、高效的系统解决方案。 二、监控点位置 序号 1 2 3 4 5 6 7 8
视频监控系统监控点统计 监控位置名称 校门口 教学楼 图书馆 实验楼 男生宿舍 女生宿舍 食堂 操场 设备数量 2 5 1 2 2 4 2 2 监控位置说明 校门外和校门内 楼梯口和教学楼全景 图书馆门口 B楼和A楼门口 宿舍门口和宿舍楼后面 宿舍门口和宿舍楼后面 食堂门口 操场全景 16