1、简介：

会计实验教学中心网络采用分布式交换网络设计方案，具有清晰的分层模型：接入层、汇聚层、核心层。在这种方案中，充分考虑了各个主机的流量需求，关键设备实现冗余备份，路由技术和交换技术有机结合，为学校师生构建一个高速、稳定、可靠的多业务实施解决方案。

2、分析：

接入层可选用港湾的2024、3550系列二层交换机，为主机提供100Base-T线缆接入；主机可依据部门、楼宇、楼层划分VLAN；服务器通过千兆链路连接到核心交换机，保证服务器的带宽。

汇聚层设备可选用港湾的5610E系列三层交换机，与接入层交换机和核心交换机港湾6802分别互连，提供主备链路，确保可靠性；对于数据流量大的网段，也可以同时应用链路聚合技术，保证带宽；电缆线选用千兆光纤链路连接到接入层设备。可以在三层交换机上实施路由策略配置，合理规划子网地址，路由协议配置，实施安全访问控制，Qos，流量分类，VLAN聚合和路由。

核心层应该保证足够的带宽，快速数据传输。设备选用港湾的6802三层交换机，与汇聚层交换机和服务器区采用千兆链路连接。上行可采用两条百兆光纤或者电缆接入Internet。所有汇聚层和核心层设备，以及服务器、网管工作站等放置在一个机房，方便统一管理。

3、网络安全分析

1）、操作系统的安全

从终端用户的程序到服务器应用服务以及网络安全的很多技术，都是运行在操作系统上的，因此，保证操作系统的安全是整个安全系统的根本。除了随时增加安全补丁外，还需要建立一套对系统的监控系统，并建立和实施有效的用户口令和访问控制等制度。

2）、网络入侵检测技术

网络入侵检测技术又称网络实时监控技术，它通过硬件或软件对网络上的数据流进行实时检查．并与系统中的入侵特征数据库进行比较。一旦发现有被攻击的迹象，立刻根据用户所定义的动作做出反应。网络入侵检测技术除了可以减小网络系统的安全风险之外，还能对一些非预期的网络攻击识别并做出反应，切断攻击连接或通知防火墙修改控制准则，将下一次类似的攻击阻手当于网络外部。

3）、数据备份

在应用系统中数据对用户的重要性越来越大，因此必须对重要数据进行备份，防止意外损坏和丢失。我们选择了功能完善、使用灵活的备份软件和灾难恢复软件对重要数据进行有效的备份，保护数据的安全。良好的备份和恢复机制，能帮助尽快地恢复数据和系统服务。

4）、从攻击角度入手

目前，网络系统的安全威胁有很大一部分来自拒绝服务(DOS)攻击和计算机病毒攻击。对付拒绝服务攻击有效的方法是只允许跟整个Web站台有关的网络流量进入，就可以预防此类的黑客攻击，尤其对于ICMP封包，包括ping指令等，应当进行阻绝处理。通过安装入侵监测防御系统，可以提升防火墙的性能，达到监控网络、执行立即拦截动作以及分析过滤封包和内容的动作。当窃取者入侵时可以立刻有效终止服务，以便有效地预防内部机密信息被窃取。同时应限制非法用户对网络的访问，规定具有IP地址的工作站对本地网络设备的访问权限．以防止从外界对网络设备配置的非法修改。

5）、防范计算机病毒

从病毒发展趋势来看，病毒更多的呈现出如下的特点：利用一切可以利用的方式进行传播；所有的病毒都具有混合型特征，集文件传染、蠕虫、木马、黑客程序的特点于一身，破坏性大大增强；扩散极快，更加注重欺骗性；系统漏洞是病毒有力的传播方式。因此，要购置功能全、性能好、服务完善的网络杀毒软件，提升网络和用户防病毒能力。

6）、密钥管理

在现实中．入侵者攻击Intranet目标的时候，90%会把破译口令作为第一步。因此，系统管理员必须要注意所有密码的管理，如口令的位数尽可能的要长；不要选取显而易见的信息做口令；不要在不同系统上使用同一口令；口令中最好要有大小写字母、字符、数字；定期改变自己的口令；定期用破解口令程序来检测shadow文件是否安全。

7）、加强人事管理

面临网络的脆弱性，仅靠技术防范是不够的，人防加技防才是科学的防范体系。要建立一套完善的安全管理制度，加强管理人员技术和安全意识的提高，经验证明，大部分的网络与信息安全是由于人为差错造成的，人事管理的工作在网络与信息安全保护上是至关重要的。

4、拓扑图