網路安全設計與地址

1. 網路方案設計過程主要分哪幾個步驟

步驟如下：

1，需求調研

2，需求分析

3，概要設計

4，詳細設計

設計方案內容包括：網路拓撲、IP地址規劃、網路設備選型等等。

(1)網路安全設計與地址擴展閱讀：

網路工程設計原則

網路信息工程建設目標關繫到現在和今後的幾年內用戶方網路信息化水平和網上應用系統的成敗。在工程設計前對主要設計原則進行選擇和平衡，並排定其在方案設計中的優先順序，對網路工程設計和實施將具有指導意義。

1，實用、好用與夠用性原則

計算機與外設、伺服器和網路通信等設備在技術性能逐步提升的同時，其價格卻在逐年或逐季下降，不可能也沒必要實現所謂「一步到位」。所以，網路方案設計中應採用成熟可靠的技術和設備，充分體現「夠用」、「好用」、「實用」建網原則，切不可用「今天」的錢，買「明、後天」才可用得上的設備。
2，開放性原則

網路系統應採用開放的標准和技術，資源系統建設要採用國家標准，有些還要遵循國際標准(如：財務管理系統、電子商務系統)。其目的包括兩個方面：第一，有利於網路工程系統的後期擴充；第二，有利於與外部網路互連互通，切不可「閉門造車」形成信息化孤島。

3，可靠性原則

無論是企業還是事業，也無論網路規模大小，網路系統的可靠性是一個工程的生命線。比如，一個網路系統中的關鍵設備和應用系統，偶爾出現的死鎖，對於政府、教育、企業、稅務、證券、金融、鐵路、民航等行業產生的將是災難性的事故。因此，應確保網路系統很高的平均無故障時間和盡可能低的平均無故障率。

4， 安全性原則

網路的安全主要是指網路系統防病毒、防黑客等破壞系統、數據可用性、一致性、高效性、可信賴性及可靠性等安全問題。為了網路系統安全，在方案設計時，應考慮用戶方在網路安全方面可投入的資金，建議用戶方選用網路防火牆、網路防殺毒系統等網路安全設施；網路信息中心對外的伺服器要與對內的伺服器隔離。

5， 先進性原則

網路系統應採用國際先進、主流、成熟的技術。比如，區域網可採用千兆乙太網和全交換乙太網技術。視網路規模的大小(比如網路中連接機器的台數在250台以上時)，選用多層交換技術，支持多層幹道傳輸、生成樹等協議。

6，易用性原則

網路系統的硬體設備和軟體程序應易於安裝、管理和維護。各種主要網路設備，比如核心交換機、匯聚交換機、接入交換機、伺服器、大功率長延時UPS等設備均要支持流行的網管系統，以方便用戶管理、配置網路系統。

7，可擴展性原則

網路總體設計不僅要考慮到近期目標，也要為網路的進一步發展留有擴展的餘地，因此要選用主流產品和技術。若有可能，最好選用同一品牌的產品，或兼容性好的產品。在一個系統中切不可選用技術和性能不兼容的產品。

2. 需求一份區域網建立調整方案的思路及設計方案、ip地址分配規劃表、網路拓撲圖，越完整越好，大神們出招吧

發給你郵件了

區域網網路安全設計方案

一.畫出本設計方案基於區域網的拓撲圖，並有說明。

拓撲圖如下：

拓撲結構分析：本設計的拓撲結構是以中間一個核心交換機為核心，外接Router0、Router2，DNS伺服器（提供域名解析）、DHCP伺服器（為該區域網分配IP地址）、Router3（做外網路由器用，通過它與Internet連接）、一個管理員主機（通過該主機可以對該網路的設備進行管理和配置）。另外Router2的作用是為了讓它下面分配的不同Vlan之間能夠相互訪問。在Router3上還需配置防火牆、ACL、NAT等，主要是為了該網路的安全和易於管理。以上只是該網路的初級設計。

二在對區域網網路系統安全方案設計、規劃，應遵循以下原則：

需求、風險、代價平衡的原則：對任一網路，絕對安全難以達到，也不一定是必要的。對一個網路進行實際額研究（包括任務、性能、結構、可靠性、可維護性等），並對網路面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然後制定規范和措施，確定本系統的安全策略。

一致性原則：一致性原則主要是指網路安全問題應與整個網路的工作周期（或生命周期）同時存在，制定的安全體系結構必須與網路的安全需求相一致。安全的網路系統設計（包括初步或詳細設計）及實施計劃、網路驗證、驗收、運行等，都要有安全的內容光煥發及措施，實際上，在網路建設的開始就考慮網路安全對策，比在網路建設好後再考慮安全措施，不但容易，且花費也小得多。

易操作性原則：安全措施需要人為去完成，如果措施過於復雜，對人的要求過高，本身就降低了安全性。其次，措施的採用不能影響系統的正常運行。

多重保護原則：任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。

三.防病毒的方法和設計

第一：病毒可能帶來哪些威脅

一旦中毒，就可能對系統造成破壞，導致數據泄露或損壞，或者使服務可用性降低。防病毒解決方案關注因感染病毒、間諜軟體或廣告軟體而造成的威脅。「病毒」一詞通常用於描述某類特定的惡意代碼。經過正確分析和規劃的防病毒解決方案可防範廣泛的惡意或未經授權的代碼。

第二：病毒是通過哪些方式或者載體來給我們帶來威脅

病毒的載體是用於攻擊目標的途徑。了解惡意代碼、間諜軟體和廣告軟體所利用的威脅的載體，有助於組織設計防病毒解決方案來防止被未經授權的代碼感染，並阻止其擴散。常見的威脅的載體有網路(包括外部網路和內部網路)、移動客戶端(包括連接到網路的來賓客戶端和員工計算機等)、應用程序(包括電子郵件、HTTP和應用程序等)和可移動媒體(包括u盤、可移動驅動器和快閃記憶體卡等)。

第三：如何有效地防止病毒侵入

防病毒軟體:用於清除、隔離並防止惡意代碼擴散。

安全機制:防火牆解決方案不足以為伺服器、客戶端和網路提供足夠的保護，以防範病毒威脅、間諜軟體和廣告軟體。病毒不斷發展變化，惡意代碼被設計為通過新的途徑，利用網路、操作系統和應用程序中的缺陷。及時地添加補丁，更新軟體，對網路的安全性好很大的幫助。

四.防木馬的方法和設計

一：建立受限的賬戶

用「netuser」命令添加的新帳戶，其默認許可權為「USERS組」，所以只能運行許可的程序，而不能隨意添加刪除程序和修改系統設置，這樣便可避免大部分的木馬程序和惡意網頁的破壞。

二：惡意網頁是系統感染木馬病毒及流氓插件的最主要途徑，因此很有必要對IE作一些保護設置。安裝360安全瀏覽器可以有效的做到這一點。

三：

1．禁止程序啟動很多木馬病毒都是通過注冊表載入啟動的，因此可通過許可權設置，禁止病毒和木馬對注冊表的啟動項進行修改。

2．禁止服務啟動

一些高級的木馬病毒會通過系統服務進行載入，對此可禁止木馬病毒啟動服務的許可權。

可依次展開「HKEY_LOCAL_」分支，將當前帳戶的「讀取」許可權設置為「允許」，同時取消其「完全控制」許可權

五.防黑客攻擊的方法和設計

1.隱藏IP地址

黑客經常利用一些網路探測技術來查看我們的主機信息，主要目的就是得到網路中主機的IP地址。IP地址在網路安全上是一個很重要的概念，如果攻擊者知道了你的IP地址，等於為他的攻擊准備好了目標，他可以向這個IP發動各種進攻，如DoS(拒絕服務)攻擊、Floop溢出攻擊等。隱藏IP地址的主要方法是使用代理伺服器。

與直接連接到Internet相比，使用代理伺服器能保護上網用戶的IP地址，從而保障上網安全。代理伺服器的原理是在客戶機（用戶上網的計算機）和遠程伺服器（如用戶想訪問遠端WWW伺服器）之間架設一個「中轉站」，當客戶機向遠程伺服器提出服務要求後，代理伺服器首先截取用戶的請求，然後代理伺服器將服務請求轉交遠程伺服器，從而實現客戶機和遠程伺服器之間的聯系。很顯然，使用代理伺服器後，其它用戶只能探測到代理伺服器的IP地址而不是用戶的IP地址，這就實現了隱藏用戶IP地址的目的，保障了用戶上網安全。提供免費代理伺服器的網站有很多，你也可以自己用代理獵手等工具來查找。

2.關閉不必要的埠

黑客在入侵時常常會掃描你的計算機埠，如果安裝了埠監視程序（比如Netwatch），該監視程序則會有警告提示。如果遇到這種入侵，可用工具軟體關閉用不到的埠，比如，用「NortonInternetSecurity」關閉用來提供網頁服務的80和443埠，其他一些不常用的埠也可關閉。

3.更換管理員帳戶

Administrator帳戶擁有最高的系統許可權，一旦該帳戶被人利用，後果不堪設想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼，所以我們要重新配置Administrator賬號。

首先是為Administrator帳戶設置一個強大復雜的密碼，然後我們重命名Administrator帳戶，再創建一個沒有管理員許可權的Administrator帳戶欺騙入侵者。這樣一來，入侵者就很難搞清哪個帳戶真正擁有管理員許可權，也就在一定程度上減少了危險性。

六.區域網防arp病毒攻擊的方法和設計

1.安裝arp防火牆或者開啟區域網ARP防護，比如360安全衛士等arp病毒專殺工具，並且實時下載安裝系統漏洞補丁，關閉不必要的服務等來減少病毒的攻擊。

2.使用多層交換機或路由器：接入層採用基於IP地址交換進行路由的第三層交換機。由於第三層交換技術用的是IP路由交換協議，以往的鏈路層的MAC地址和ARP協議失效，因而ARP欺騙攻擊在這種交換環境下起不了作用。

七.本設計的特色

實現本設計既簡單又實用，而且操作起來十分方便，十分符合校內小型區域網的網路安全設計，完全可以符合一般學生的需要

八.心得體會

通過本次設計我認真查閱資料學到了很多知識對病毒、木馬、黑客、以及黑客攻擊都有了比較深入的了解，也提高了我對這些方面的興趣，最為重要地是我知道了怎麼去建立和保護一個安全的網路。

3. 什麼是IP地址，IP地址有什麼作用

IP地址

IP地址是IP網路中數據傳輸的依據，它標識了IP網路中的一個連接，一台主機可以有多個IP地址。IP分組中的IP地址在網路傳輸中是保持不變的。

1.基本地址格式
現在的IP網路使用32位地址，以點分十進製表示，如172.16.0.0。地址格式為：IP地址=網路地址＋主機地址 或 IP地址=主機地址＋子網地址＋主機地址。
網路地址是由Internet權力機構（InterNIC）統一分配的，目的是為了保證網路地址的全球唯一性。主機地址是由各個網路的系統管理員分配。因此，網路地址的唯一性與網路內主機地址的唯一性確保了IP地址的全球唯一性。

2.保留地址的分配
根據用途和安全性級別的不同，IP地址還可以大致分為兩類：公共地址和私有地址。公用地址在Internet中使用，可以在Internet中隨意訪問。私有地址只能在內部網路中使用，只有通過代理伺服器才能與Internet通信。
公用IP地址被分為基本三類。
Class A 1.0.0.0-126.255.255.255
Class B 128.0.0.0-191.255.255.255
Class C 192.0.0.0 -255.255.255.255
這三個基本類決定了你可以擁有多少的次網路（subnets) 和連接多少的用戶(devices)（伺服器，網關，列印機，電腦等）
Class A擁有3個host.
Class B擁有2個host.
Class C擁有1個host.

Class A 可以適用於超級大公司或者政府機關
Class B 可以適用於普通的集團公司或者學校
Class C 可以適用於一般公司

一個機構或網路要連入Internet，必須申請公用IP地址。但是考慮到網路安全和內部實驗等特殊情況，在IP地址中專門保留了三個區域作為私有地址，其地址范圍如下：
10.0.0.0/8：10.0.0.0～10.255.255.255
172.16.0.0/12：172.16.0.0～172.31.255.255
192.168.0.0/16：192.168.0.0～192.168.255.255
使用保留地址的網路只能在內部進行通信，而不能與其他網路互連。因為本網路中的保留地址同樣也可能被其他網路使用，如果進行網路互連，那麼尋找路由時就會因為地址的不唯一而出現問題。但是這些使用保留地址的網路可以通過將本網路內的保留地址翻譯轉換成公共地址的方式實現與外部網路的互連。這也是保證網路安全的重要方法之一。

4. [公司網路系統安全架構設計與實施] web系統安全架構

以Internet為代表的信息網路技術應用正日益普及和廣泛，應用領域從傳統小型業務系統逐漸向大型關鍵業兆則務系統擴展，網路安全已經成為影響網路效能重要的問題，而Internet所具有的開放性、自由性和國際性在增加應用自由度的時候，對安全提出了更高級的要求，隨著互聯網技術的發展，通過網路傳輸的各種信息越來越多，各種計算機應用系統都在網路環境下運行。目前我公司已經建立了企業網站，電子郵件等系統，並且己經應用了OA、財務、人事等信息化系統軟體，許多重要信息都存儲在網路伺服器中，因此網路系統的安全至關重要。但是，由於在早期網路協議設計上對安全問題的忽視，以及在管理和使用上的無序狀態，使網路自身安全受到嚴重威脅。公司在網路安全上同樣面臨許多問題，例如郵件傳輸安全問題，大量垃圾郵件攻擊問題，病毒傳播問題，信息資源非法訪問等問題，這就要求我們對網路系統安全性進行深入研究和分析，建立一套安全的網路系統架構。
本文主要針對公司目前存在的典型網路安全問題進行分析研究，實施相應的安全策略，找出相應的解決措施。由於目前企業規模不斷擴大，員工全部採用網上辦公，每位員工都有自己獨立的計算機，因此在考慮安全措施時必須考慮到網路規模並能管理到每個節點。通過一系列安全策略和安全措施的實施，有效提高公司網路系統的安全性，保證企業網路信息系統的安全運行。
一、網路發展與安全現狀
目前我們許多數據的存儲和傳輸以及許多業務的交易都是通過網路進行的，因此網路系統的安全非常重要。許多地區都出現了基於網路的犯罪行為，黑客攻擊，數據資料泄密，病毒破壞等己經成為制約網路發展的重要因素。國內外都開展了許多基於網路安全的研究工作，如防火牆技術、防病毒技術、入侵檢測技術等，並推出了許多基於網路安全的產品。
隨著網路應用的不斷深入，對網路安全的要求不斷提高，同時許多破壞網路安全的手段也越來越高明，這就要求我們不斷應用新的網路安全技術，進一步提高網路的安全性。
我公司網路系統規模較大，各類應用伺服器集中存放在中央機房中。公司應用系統主要包括網站系統、辦公自動化、電子郵件系統、各類WEB應用軟體、視頻會議等。公司每位員工基本都配有計算機，所有工作基本搜猜李都通過網路進行，因此公司網路具有使用人數多，網路流量大等特點，這也對網路的安全性提出世遲了較高的要求。
1.網路系統存在的安全威脅和隱患問題
現有的系統主要存在下面的問題:
①弱口令造成信息泄露的威脅
由於公司應用系統較多，員工要設置各類賬戶的密碼，非常繁瑣，而且不便於記憶，因此許多員工將密碼設置為簡單密碼，並且長期不對密碼進行更改。這樣容易產生信息泄露問題，一些攻擊者會竊取密碼，非法進入系統獲取系統資料。如果重要資料被竊取，將會產生嚴重後果。
②病毒傳播造成網路和系統癱瘓
公司員工數量較多，絕大多數員工都配有單獨使用的計算機，並且大多數計算機都可以訪問互聯網。員工根據自己的情況自行安裝防病毒系統，由於員工對病毒預防知識和防病毒軟體的使用方法掌握情況不同，部分員工不能夠正確使用防病毒系統，不能夠保證防病毒代碼和病毒庫的及時更新，因此容易造成計算機感染病毒。由於整個網路系統非常龐大，缺乏對網路的統一監控，計算機感染病毒後，不能夠及時有效地處理，因此造成病毒在網路中傳播，當感染病毒的機器增多後，會引起部分網路或者整個網路速度急劇下降甚至癱瘓，造成許多員工無法正常上網。部分員工的計算機由於感染病毒而無法正常工作，有些計算機還出現計算機數據丟失等問題，嚴重影響公司員工正常工作。另外感染病毒的員工因重裝系統而佔用許多工作時間，影響工作的正常進行。
③沒有劃分VLAN，缺乏抵禦網路風暴的能力
公司網路系統龐大，眾多計算機都在同一網段上，系統沒有劃分VLAN，使網路中某一點出現故障就會影響一片，甚至「席捲」整個網路，產生廣播風暴，使網路癱瘓。另外整個龐大的網路由於沒有劃分VLAN，所有計算機之間都可以互相訪問，因此計算機容易受到其他計算機的攻擊，並且容易泄露系統中的重要信息。如果重要的商業信息被泄露，將會對公司造成損失，產生嚴重後果。
④信息傳輸安全性無法保障
隨著企業信息化的發展，電子郵件已經成為公司業務洽談必不可少的信息交流溝通手段。但是隨著電子郵件的應用日益廣泛，隨之帶來的安全問題也日益嚴重。由於電子郵件傳輸協議(SMTP)是建立在TCP協議基礎上的，沒有任何安全性的保證;電子郵件以明文的形式在網路中傳輸，所以極易被心懷叵測的人截取、查看。這些問題對於公司的核心部門的人員尤其突出，由於他們之間往來的電子郵件往往涉及到公司的機密信息，如果造成失密事件，後果不堪設想。公司許多商務往來和市場運作等信息都通過網站向外發布，但網站信息以明文的方式傳輸，在傳輸過程中容易被第三方截獲。公司重要信息如果被泄漏，將會對公司業務造成嚴重損失。
⑤客戶端用戶操作系統存在漏洞等安全隱患
許多用戶在安裝操作系統後，不能夠及時安裝操作系統和各類軟體的補丁程序，造成系統存在各種漏洞，引發各類網路安全問題。微軟每月都會發布安全漏洞補丁程序，公司內員工數量較多，部分員工安全意識薄弱，對系統安全知識欠缺，不能夠及時安裝微軟操作系統的補丁程序，造成客戶端操作系統存在許多安全漏洞，系統易受到攻擊或感染病毒，導致網路中斷。
⑥計算機命名不規范
公司網路中計算機數量非常多，但由於公司沒有制定統一的命名規范，許多計算機用戶根據自己的喜好隨意命名，一旦計算機出現問題，如感染病毒，影響網路正常運行時，無法定位具體的計算機並確定計算機的使用人員，因此不能夠及時排除故障，影響問題解決的時間。
⑦用戶許可權混亂
隨著信息化建設的深入，越來越多的重要信息存放在網路信息系統中，對於信息的安全管理越來越重要。但由於系統設計之初，信息量較少，缺乏對許可權控制的有效管理，許多用戶可以存取或更改與用戶本身的許可權不相符的信息。同時，由於許可權管理不嚴格，部分重要信息被非法用戶竊取，造成信息系統安全隱患。

5. 網路拓撲圖，IP地址規劃表，網路接入方案，網路安全方案

你要的真不少
不過太多 誰也給不了你
大概和你說說吧
互聯網——路由器——三層交換（分18個VLAN）——18棟樓的二層交換——各寢室電腦
期間要考慮的是 你的三層或者路由支持限速，否則有人BT就廢了
網路接入最好能是100M的光纖，要不帶不動這些電腦
網路安全就上防火牆和上網行為管理之類的，否則網路里A片滿天飛，相信病毒也不少
你要是再要詳細的就只能找網路公司出錢給你弄了 畢竟要寫很多東西

6. 如何設計網路安全

網路安全對沒用的人沒計安全，對求助的人不能現只。

7. 校園網基本網路搭建及網路安全設計分析

摘要：伴隨著Internet的日益普及，網路應用的蓬勃發展，網路信息資源的安全備受關注。校園網網路中的主機可能會受到非法入侵者的攻擊，網路中的敏感數據有可能泄露或被修改，保證網路系統的保密性、完整性、可用性、可控性、可審查性方面具有其重要意義。通過網路拓撲結構和網組技術對校園網網路進行搭建，通過物理、數據等方面的設計對網路安全進行完善是解決上述問題的有效 措施 。

關鍵詞：校園網；網路搭建；網路安全；設計。

以Internet為代表的信息化浪潮席捲全球，信息 網路技術 的應用日益普及和深入，伴隨著網路技術的高速發展，各種各樣的安全問題也相繼出現，校園網被「黑」或被病毒破壞的事件屢有發生，造成了極壞的社會影響和巨大的經濟損失。維護校園網網路安全需要從網路的搭建及網路安全設計方面著手。

一、 基本網路的搭建。

由於校園網網路特性（數據流量大，穩定性強，經濟性和擴充性）和各個部門的要求（製作部門和辦公部門間的訪問控制），我們採用下列方案：

1. 網路拓撲結構選擇：網路採用星型拓撲結構（如圖1）。它是目前使用最多，最為普遍的區域網拓撲結構。節點具有高度的獨立性，並且適合在中央位置放置網路診斷設備。

2.組網技術選擇：目前，常用的主幹網的組網技術有快速乙太網（100Mbps）、FDDI、千兆乙太網（1000Mbps）和ATM（155Mbps/622Mbps）。快速乙太網是一種非常成熟的組網技術，它的造價很低，性能價格比很高；FDDI也是一種成熟的組網技術，但技術復雜、造價高，難以升級；ATM技術成熟，是多媒體應用系統的理想網路平台，但它的網路帶寬的實際利用率很低；目前千兆乙太網已成為一種成熟的組網技術，造價低於ATM網，它的有效帶寬比622Mbps的ATM還高。因此，個人推薦採用千兆乙太網為骨幹，快速乙太網交換到桌面組建計算機播控網路。

二、網路安全設計。

1.物理安全設計 為保證校園網信息網路系統的物理安全，除在網路規劃和場地、環境等要求之外，還要防止系統信息在空間的擴散。計算機系統通過電磁輻射使信息被截獲而失密的案例已經很多，在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示技術給計算機系統信息的__帶來了極大的危害。為了防止系統中的信息在空間上的擴散，通常是在物理上採取一定的防護措施，來減少或干擾擴散出去的空間信號。正常的防範措施主要在三個方面：對主機房及重要信息存儲、收發部門進行屏蔽處理，即建設一個具有高效屏蔽效能的屏蔽室，用它來安裝運行主要設備，以防止磁鼓、磁帶與高輻射設備等的信號外泄。為提高屏蔽室的效能，在屏蔽室與外界的各項聯系、連接中均要採取相應的隔離措施和設計，如信號線、電話線、空調、消防控制線，以及通風、波導，門的關起等。對本地網 、區域網傳輸線路傳導輻射的抑制，由於電纜傳輸輻射信息的不可避免性，現均採用光纜傳輸的方式，大多數均在Modem出來的設備用光電轉換介面，用光纜接出屏蔽室外進行傳輸。

2.網路共享資源和數據信息安全設計 針對這個問題，我們決定使用VLAN技術和計算機網路物理隔離來實現。VLAN（Virtual LocalArea Network）即虛擬區域網，是一種通過將區域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。

IEEE於1999年頒布了用以標准化VLAN實現方案的802.1Q協議標准草案。VLAN技術允許網路管理者將一個物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。

但由於它是邏輯地而不是物理地劃分，所以同一個VLAN內的各個工作站無須放置在同一個物理空間里，即這些工作站不一定屬於同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到 其它 VLAN中，即使是兩台計算機有著同樣的網段，但是它們卻沒有相同的VLAN號，它們各自的廣播流也不會相互轉發，從而有助於控制流量、減少設備投資、簡化網路管理、提高網路的安全性。VLAN是為解決乙太網的廣播問題和安全性而提出的，它在乙太網幀的基礎上增加了VLAN頭，用VLANID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬區域網。虛擬區域網的好處是可以限制廣播范圍，並能夠形成虛擬工作組，動態管理網路。從目前來看，根據埠來劃分VLAN的方式是最常用的一種方式。許多VLAN廠商都利用交換機的埠來劃分VLAN成員，被設定的埠都在同一個廣播域中。例如，一個交換機的1，2，3，4，5埠被定義為虛擬網AAA，同一交換機的6，7，8埠組成虛擬網BBB。這樣做允許各埠之間的通訊，並允許共享型網路的升級。

但是，這種劃分模式將虛擬網路限制在了一台交換機上。第二代埠VLAN技術允許跨越多個交換機的多個不同埠劃分VLAN，不同交換機上的若干個埠可以組成同一個虛擬網。以交換機埠來劃分網路成員，其配置過程簡單明了。

3.計算機病毒、黑客以及電子郵件應用風險防控設計 我們採用防病毒技術，防火牆技術和入侵檢測技術來解決相關的問題。防火牆和入侵檢測還對信息的安全性、訪問控制方面起到很大的作用。

第一，防病毒技術。病毒伴隨著計算機系統一起發展了十幾年，目前其形態和入侵途徑已經發生了巨大的變化，幾乎每天都有新的病毒出現在INTERNET上，並且藉助INTERNET上的信息往來，尤其是EMAIL進行傳播，傳播速度極其快。計算機黑客常用病毒夾帶惡意的程序進行攻擊。

為保護伺服器和網路中的工作站免受到計算機病毒的侵害，同時為了建立一個集中有效地病毒控制機制，天下論文網需要應用基於網路的防病毒技術。這些技術包括：基於網關的防病毒系統、基於伺服器的防病毒系統和基於桌面的防病毒系統。例如，我們准備在主機上統一安裝網路防病毒產品套間，並在計算機信息網路中設置防病毒中央控制台，從控制台給所有的網路用戶進行防病毒軟體的分發，從而達到統一升級和統一管理的目的。安裝了基於網路的防病毒軟體後，不但可以做到主機防範病毒，同時通過主機傳遞的文件也可以避免被病毒侵害，這樣就可以建立集中有效地防病毒控制系統，從而保證計算機網路信息安全。形成的整體拓撲圖。

第二，防火牆技術。企業防火牆一般是軟硬體一體的網路安全專用設備，專門用於TCP/IP體系的網路層提供鑒別，訪問控制，安全審計，網路地址轉換（NAT），IDS，，應用代理等功能，保護內部 區域網安全 接入INTERNET或者公共網路，解決內部計算機信息網路出入口的安全問題。

校園網的一些信息不能公布於眾，因此必須對這些信息進行嚴格的保護和保密，所以要加強外部人員對校園網網路的訪問管理，杜絕敏感信息的泄漏。通過防火牆，嚴格控制外來用戶對校園網網路的訪問，對非法訪問進行嚴格拒絕。防火牆可以對校園網信息網路提供各種保護，包括：過濾掉不安全的服務和非法訪問，控制對特殊站點的訪問，提供監視INTERNET安全和預警，系統認證，利用日誌功能進行訪問情況分析等。通過防火牆，基本可以保證到達內部的訪問都是安全的可以有效防止非法訪問，保護重要主機上的數據，提高網路完全性。校園網網路結構分為各部門區域網（內部安全子網）和同時連接內部網路並向外提供各種網路服務的安全子網。防火牆的拓撲結構圖。

內部安全子網連接整個內部使用的計算機，包括各個VLAN及內部伺服器，該網段對外部分開，禁止外部非法入侵和攻擊，並控制合法的對外訪問，實現內部子網的安全。共享安全子網連接對外提供的WEB，EMAIL，FTP等服務的計算機和伺服器，通過映射達到埠級安全。外部用戶只能訪問安全規則允許的對外開放的伺服器，隱藏伺服器的其它服務，減少系統漏洞。

參考文獻：

[1]Andrew S. Tanenbaum. 計算機網路（第4版）[M].北京：清華大學出版社，2008.8.

[2]袁津生，吳硯農。 計算機網路安全基礎[M]. 北京：人民郵電出版社，2006.7.

[3]中國IT實驗室。 VLAN及技術[J/OL], 2009.