第一篇:freeradius 配置信息详解
Radiusd.conf文件是freeradius的核心配置文件,其中设置了 服务器的基本信息,配置文件与日志文件的环境变量,并详细配置freeradius模块所使用的信息,与认证和计费所使用模块的配置.配置的变量定义的形式为${foo},他们就在这个文件上,并且不随请求到请求而改变.变量的格式参照 variables.txt.1.1 环境变量
此处定义其他配置文件以及目录的位置,也就是环境变量
prefix = /usr/local
exec_prefix = ${prefix}
sysconfdir = ${prefix}/etc
localstatedir = ${prefix}/var
sbindir = ${exec_prefix}/sbin
logdir = ${localstatedir}/log/radius
raddbdir = ${sysconfdir}/raddb
radacctdir = ${logdir}/radacct
配置文件和日志文件的位置
confdir = ${raddbdir}
run_dir = ${localstatedir}/run/radiusd
日志文件的信息,添加到如下配置文件的底部
log_file = ${logdir}/radius.log
1.2 全局配置
模块的位置由 libdir来配置。
如果不能工作,那么你可以从新配置,从新Build源码,并且使用 共享库。
pidfile: Where to place the PID of the RADIUS server.pidfile = ${run_dir}/radiusd.pid
user/group
如果有评论,服务器会运行 用户/组 启动它.修改用户/组,必须具有root权限启动服务器
这里的含义是指定启动radius服务可以限定操作系统上的用户和组,但是不建议启动它.#user = nobody
#group = nobody
最长请求时间(秒),这样的问题经常需要存在在应用SQL数据库时候,建议设置为5秒到120秒之间.max_request_time = 30
当请求超过最长请求时间的时候,可以设置服务器删除请求.当你的服务在threaded(线程下)运行,或者 线程池(thread pool)模式,建议这里设置为no.但用threaded 服务设置为yes时,有可能使服务器崩溃.delete_blocked_requests = no
在 reply 发送给NAS后的等待清空时间.建议 2秒 到 10秒
cleanup_delay = 5
服务器的请求最大数,建议值 256 到无穷
max_requests = 1024
让服务器监听某个IP,并且从次IP发送 相应 信息.主要是为了 服务器同时具有多服务器时候使用.bind_address = *
可以指定raidus的使用端口号,使用0表示使用默认的radius端口,在配置文件 /etc/services配置.port = 0
如果需要服务器同时监听其他的IP,可以用listen 块.下面是例子
#listen {
# IP address on which to listen.# Allowed values are:
# dotted quad(1.2.3.4)
# hostname(radius.example.com)
# wildcard(*)
# ipaddr = *
# Port on which to listen.# Allowed values are: # integer port number(1812)
# 0 means “use /etc/services for the proper port” # port = 0
# Type of packets to listen for.# Allowed values are:
# auth listen for authentication packets
# acct listen for accounting packets #
# type = auth #}
hostname_lookups大概是表示为NAS查找它的域名信息?可以通过域名配置NAS?
hostname_lookups = no
是否允许 core dumps.allow_core_dumps = no
expressions支持,规则和扩展.regular_expressions = yes
extended_expressions = yes
记录User-Name属性的全称.log_stripped_names = no
是否记录认证请求信息到日志文件
log_auth = no
当请求被拒绝时记录密码,当请求正确时记录密码
log_auth_badpass = no
log_auth_goodpass = no
是否允许用户名冲突,即重复同用户同时登陆.强烈不建议启用重复用户.usercollide = no
将用户名 小写化,将密码小写化.lower_user = no
lower_pass = no
是否去除用户名和密码中的空格
nospace_user = no
nospace_pass = no 程序执行并发检查(不理解含义)
checkrad = ${sbindir}/checkrad
安全 配置 域
security {
指在Radius包中的最大属性数目.设置为0表示无穷大.max_attributes = 200
发送 Access-Reject 包时候,可以设置一定的延迟,以缓慢DOS攻击,也可以缓慢穷举破解用户名和密码的攻击
reject_delay = 1
服务器是否对状态服务器的请求信息进行相应.status_server = no }
PROXY CONFIGURATION 代理域.是否开启代理服务,具体配置参照 ${confdir}/proxy.conf
proxy_requests = yes
$INCLUDE ${confdir}/proxy.conf
Clients配置
$INCLUDE ${confdir}/clients.conf
是否启用snmp配置,具体配置文件在snmp.conf
snmp = no
$INCLUDE ${confdir}/snmp.conf
线程池 配置 域
thread pool {
启动时服务的个数.(在启动Mysql模块后可以明显看到.)当同时进行的请求数超过5个时,会增加线程服务.start_servers = 5
最大的服务数
max_servers = 32
当少于最少空闲服务时,它会建立服务,大于最大空闲服务时会停止多余的服务.最少空闲服务,与最大空闲服务.min_spare_servers = 3
max_spare_servers = 10
每个server最大的请求数.当有内存漏洞时,可能需要配置.max_requests_per_server = 0 }
1.3 模块配置 1.3.1 PAP 模块
# Supports multiple encryption schemes 支持多种加密方式
# clear: Clear text 明文
# crypt: Unix crypt Unix 加密
# md5: MD5 ecnryption MD5加密
# sha1: SHA1 encryption.SHA1加密
# DEFAULT: crypt 默认是Unix加密
pap {
encryption_scheme = crypt }
1.3.2 CHAP模块 chap {
authtype = CHAP }
1.3.3 PAM模块
PAM模块(PAM)是行业标准验证框架,鉴于很多系统的PAM库都有内存漏洞,所以不建议使用。
pam {
pam_auth = radiusd }
1.3.4 UNIX 系统用户的 认证模块 unix {
cache = no
cache_reload = 600
# passwd = /etc/passwd
# shadow = /etc/shadow
# group = /etc/group
radwtmp = ${logdir}/radwtmp }
1.3.5 EAP模块
详细见${confdir}/eap.conf
$INCLUDE ${confdir}/eap.conf
1.3.6 MSCHAP 模块 mschap {
#use_mppe = no
#require_encryption = yes
#require_strong = yes
# 为了纠正window发送chap时有时包括域,有时又不包括域的信息.#with_ntdomain_hack –request-nt-key –username=%{Stripped-User-Name:-%{User-Name:-None}} –challenge=%{mschap:Challenge:-00} –nt-response=%{mschap:NT-Response:-00}“ }
1.3.7 LDAP 配置 模块
LDAP模块只能在Access-Request packet 中包含明文密码属性才可以被使用。LDAP认证不能在其他任何认证方法中使用。
=
no#ntlm_auth
=
”/path/to/ntlm_auth
具体配置详见下属章节。(参看doc/rlm_ldap)。
1.3.8 passwd 模块
Passwd模块允许通过任何passwd样式的文件进行授权,并可以从这些模块中提取属性信息。
smbpasswd例子
#passwd etc_smbpasswd {
# filename = /etc/smbpasswd #
format
= “*User-Name::LM-Password:NT-Password:SMB-Account-CTRL-TEXT::”
# authtype = MS-CHAP
# hashsize = 100
# ignorenislike = no # allowmultiplekeys = no #}
#passwd etc_group {
# filename = /etc/group
# format = “=Group-Name:::*,User-Name”
# hashsize = 50
# ignorenislike = yes
# allowmultiplekeys = yes
# delimiter = “:” #}
1.3.9 Realm 模块
应用在代理上.You can have multiple instances of the realm module to support multiple realm syntaxs at the same time.The search order is defined by the order in the authorize and preacct sections.realm IPASS {
format = prefix
delimiter = “/”
ignore_default = no
ignore_null = no }
# ‘username@realm’
#
realm suffix {
format = suffix
delimiter = “@”
ignore_default = no
ignore_null = no }
# ‘username%realm’
#
realm realmpercent {
format = suffix
delimiter = “%”
ignore_default = no
ignore_null = no }
# ‘domainuser’
#
realm ntdomain {
format = prefix
delimiter = “"
ignore_default = no
ignore_null = no }
1.3.10 简单值检查模块(checkval)It can be used to check if an attribute value in the request matches a(possibly multi valued)attribute in the check items This can be used for example for caller-id authentication.For the module to run,both the request attribute and the check items attribute must exist.checkval {
# The attribute to look for in the request
# Request包中查找的属性名称
item-name = Calling-Station-Id
# The attribute to look for in check items.Can be multi valued
# Check 表中查找的属性名称
check-name = Calling-Station-Id
# The data type.Can be
# 数据类型的种类
# string,integer,ipaddr,date,abinary,octets
data-type = string
# If set to yes and we dont find the item-name attribute in the
# request then we send back a reject
# 如果设置为yes,我们不在request包中查找属性名称直接发送reject.# DEFAULT is no
#notfound-reject = no }
1.3.11 从写属性模块(attr_rewrite)从写任何包,在认证和计费时都很有用.在拿到包后,可以从写包里属性的内容.#attr_rewrite sanecallerid { # attribute = Called-Station-Id
# may be ”packet“,”reply“,”proxy“,”proxy_reply“ or ”config“
# searchin = packet
# searchfor = ”[+ ]“
# replacewith = ”“
# ignore_case = no
# new_attribute = no
# max_matches = 10
# ## If set to yes then the replace string will be appended to the original string
# append = no #}
1.3.12 预处理radius请求模块(preprocess)预处理Radius请求,在交付其他模块处理前.包含这两个配置文件.可以从写那些由一些NAS添加的很奇怪的属性.然后把这些属性转换到一个形态。参见第二章。
配置实例:
preprocess {
huntgroups = ${confdir}/huntgroups
hints = ${confdir}/hints
with_ascend_hack = no
ascend_channels_per_line = 23
with_ntdomain_hack = no
with_specialix_jetstream_hack = no with_cisco_vsa_hack = no }
1.3.13 用户文件模块(files)files {
usersfile = ${confdir}/users
acctusersfile = ${confdir}/acct_users
preproxy_usersfile = ${confdir}/preproxy_users
compat = no }
1.3.14 日志信息记录模块(detail)将计费信息详细记录到文件上,按照设定时间,每隔一个时段生成一个新文件记录.detail {
detailfile = ${radacctdir}/%{Client-IP-Address}/detail-%Y%m%d
detailperm = 0600
#suppress {
# User-Password #} }
将认证信息详细记录到文件上,按照设定时间,每隔一个时段生成一个新文件记录.detail auth_log {
detailfile = ${radacctdir}/%{Client-IP-Address}/auth-detail-%Y%m%d
This MUST be 0600,otherwise anyone can read the users passwords!
detailperm = 0600 }
将相应(Reply)信息详细记录到文件上,按照设定时间,每隔一个时段生成一个新文件记录
detail reply_log {
detailfile = ${radacctdir}/%{Client-IP-Address}/reply-detail-%Y%m%d
This MUST be 0600,otherwise anyone can read
the users passwords!
detailperm = 0600 }
This module logs packets proxied to a home server.detail pre_proxy_log {
detailfile = ${radacctdir}/%{Client-IP-Address}/pre-proxy-detail-%Y%m%d
This MUST be 0600,otherwise anyone can read
the users passwords!
detailperm = 0600 }
This module logs response packets from a home server.detail post_proxy_log { detailfile ${radacctdir}/%{Client-IP-Address}/post-proxy-detail-%Y%m%d
This MUST be 0600,otherwise anyone can read
= the users passwords!
detailperm = 0600 }
1.3.15 SQL日志记录模块(sql_log)The rlm_sql_log module appends the SQL queries in a log file which is read later by the radsqlrelay program.它只是将sql语句写到文件里,而后由radsqlrelay程序读取.参看
1.3.16 计费唯一sessionid模块
针对NAS不停重复Acct-Session-Id values造成混淆的问题,建立唯一的计费sessionid
acct_unique {
key = ”User-Name,Acct-Session-Id,NAS-IP-Address,Client-IP-Address,NAS-Port“ }
1.3.17 SQL模块
通过$INCLUDE来把数据库的模块的配置文件链接进来.# The following configuration file is for use with MySQL.#
# For Postgresql,use: ${confdir}/postgresql.conf
# For MS-SQL,use: ${confdir}/mssql.conf
# For Oracle,use: ${confdir}/oraclesql.conf
$INCLUDE ${confdir}/sql.conf
1.3.18 Radutmp模块
记录了那些在线用户的用户名,以及他们从哪里登陆的信息.实例1 radutmp
radutmp {
filename = ${logdir}/radutmp
username = %{User-Name}
case_sensitive = yes
check_with_nas = yes
perm = 0600
callerid = ”yes“ }
实例2 ”Safe“ radutmp
radutmp sradutmp {
filename = ${logdir}/sradutmp
perm = 0644
callerid = ”no“ }
1.3.19 属性过滤模块
属性过滤模块,过滤从代理raidus服务器那里收到响应信息里的属性,来确保我们可以发送回给我们的Radius客户端,详细见attrs配置文件.attr_filter {
attrsfile = ${confdir}/attrs }
1.3.20 计数模块
从计费包信息中拿去一个属性及它的值,统计这个属性不同值的总数.counter daily {
filename = ${raddbdir}/db.daily
key = User-Name
count-attribute = Acct-Session-Time
reset = daily
counter-name = Daily-Session-Time
check-name = Max-Daily-Session
allowed-servicetype = Framed-User
cache-size = 5000 }
1.3.21 SQL计数模块
该模块所需要的信息都储存raddacct表中。它并不进行在数据库中插入数据项和更新数据项,它完全依赖SQL模块来处理计费信息包。(具体请参照SQL模块配置分析第七章)
例1
sqlcounter dailycounter {
counter-name = Daily-Session-Time
check-name = Max-Daily-Session
sqlmod-inst = sql
key = User-Name
reset = daily
query = ”SELECT SUM(AcctSessionTimeUNIX_TIMESTAMP(AcctStartTime)),FROM radacct WHERE UserName=’%{%k}’ AND
0))
UNIX_TIMESTAMP(AcctStartTime)+ AcctSessionTime > ‘%b’“
} 例2
sqlcounter monthlycounter {
counter-name = Monthly-Session-Time
check-name = Max-Monthly-Session
sqlmod-inst = sql
key = User-Name
reset = monthly
query = ”SELECT SUM(AcctSessionTimeUNIX_TIMESTAMP(AcctStartTime)),0))
FROM radacct WHERE UserName=’%{%k}’ AND
UNIX_TIMESTAMP(AcctStartTime)+ AcctSessionTime > ‘%b’“
}
1.3.22 Always模块
为了测试用的Always模块,不做任何事情
always fail {
rcode = fail }
always reject {
rcode = reject }
.always ok {
rcode = ok
simulcount = 0 mpp = no }
1.3.23 Expression模块(expr)This module is useful only for ‘xlat’.expr { }
1.3.24 Digest模块 目前没有配置
”Digest“ authentication against a Cisco SIP server.1.3.25 外部程序执行模块(exec)This module is useful only for ‘xlat’
可以将外界程序运行的结果赋予给属性值.如:Attribute-Name = `%{exec:/path/to/program args}` exec { wait = yes
input_pairs = request }
例This is a more general example of the execute module.exec echo { wait = yes
program = ”/bin/echo %{User-Name}“
input_pairs = request
output_pairs = reply }
IP地址池模块
服务器端IP地址池管理,应该在post-auth和accounting域应该被添加.例:
ippool main_pool {
range-start = 192.168.1.1
range-stop = 192.168.3.254
netmask = 255.255.255.0 cache-size = 800
session-db = ${raddbdir}/db.ippool
ip-index = ${raddbdir}/db.ipindex
override = no
maximum-timeout = 0 }
1.4 关键域
1.4.1 实例化域(Instantiation)这部分的目的是装载模块,那些被列在该域的模块讲在authorize,authenticate,等域之前装载.本部分并不是必须步骤.instantiate { exec expr }
1.4.2 authorize域
The preprocess module takes care of sanitizing some bizarre attributes in the request,and turning them into attributes which are more standard.It takes care of processing the ‘raddb/hints’ and the ‘raddb/huntgroups’ files.It also adds the %{Client-IP-Address} attribute to the request.这个预处理模块解决对request包中的那些奇怪的属性的处理,并把这些奇怪的属性放到标准的属性中.它同样处理 hints 与 huntgroups文件.并在request包中添加%{Client-IP-Address} 属性.authorize {
preprocess
# auth_log
# attr_filter Chap Mschap # digest # IPASS suffix
# ntdomain Eap Files Sql
# etc_smbpasswd # ldap # daily
# checkval }
1.4.3 Authentication域
这部分列出验证所需要的模块..但各个模块并不是按照顺序进行尝试的.它的含义是在authorize域添加一份配置属性’Auth-Type := FOO’.这个验证类型用来拿去域模块列表中合适的模块.一般来说,不应该设置Auth-Type 属性.Radius服务器会自己来判断,然后做正确的事.Auth-Type 一般来说,不正确设置的最普通效果就是只有一种认证方法运行,其他的全部失败.手动设置Auth-Type attribute的原因一般为要强制拒绝用户,或者强制通过认证用户..authenticate {
Auth-Type PAP { pap }
Auth-Type CHAP { chap }
Auth-Type MS-CHAP { mschap } # digest # pam Unix
# Auth-Type LDAP { # ldap # } eap }
1.4.4 Pre-accounting域 决定用何种计费方式
preacct {
preprocess
acct_unique # IPASS suffix
# ntdomain files }
1.4.5 Accounting域 accounting {
建立packets的详细日志
记录那些代理的计费requests,并在 detail # daily
# Update the wtmp file #
detail文件中记录
如果你不使用radlast,你就不能删掉下面这行
unix #
# For Simultaneous-Use tracking.#
# Due to packet losses in the network,the data here
# may be incorrect.There is little we can do about it.# 由于网络上数据包的丢失,这里的数据有可能会不正确,对此我们无能为力
radutmp
# sradutmp # Return an address to the IP Pool when we see a stop record.# 当我们看到停止记录时向IP Pool中返回地址信息
# main_pool #
# Log traffic to an SQL database.# 向SQL数据库中记录日志
#
# See ”Accounting queries“ in sql.conf
# 在 sql.conf中查看”计费 queries”
sql # # Instead of sending the query to the SQL server,# write it into a log file.# 除了向SQL数据库中写入query信息,还可以将信息写入log file来代替.# sql_log
# Cisco VoIP specific bulk accounting
# pgsql-voip }
1.4.6 Session域
# Session database,used for checking Simultaneous-Use.Either the radutmp
# or rlm_sql module can handle this.# The rlm_sql module is *much* faster
Session 数据库用来检查用户的并发使用.不论是Radutmp还是rlm_sql模块都在这里被处理,rlm_sql模块相比来说速度更快.session { radutmp #
# See ”Simultaneous Use Checking Querie" in sql.conf # sql }
1.4.7 post-auth域 # Post-Authentication
# Once we KNOW that the user has been authenticated,# additional steps we can take.there are
第二篇:freeradius部署总结
Freeradius + mysql + 华为AP无线认证 freeradius安装与测试
1.1 安装freereradius 与 mysql。
环境:centos 6.6 软件版本freeradius-server-2.2.9。#mkdir /usr/local/radius //创建一个安装包目录。#mv freeradius-server-2.2.9.tar.gz
/usr/local/radius //将安装包移动至此目录下。
#cd /usr/local/radius //进入该目录
#tar –zxvf freeradius-server-2.2.9.tar.gz //解压文件到当前目录
#cd freeradius-server-2.2.9 //进入该文件夹
安装之前,先将需要的库环境安装,因为系统安装的版本不一致,可能没有安装相应的库。
#yum install –y gcc vim //编译工具和编辑工具 #yum install –y openssl.devel //安装OpenSSL库 #./configure //安装检查 #make//编译
#make install //安装 1.2 测试redius服务是否安装成功。
相关配置文件路径为: /usr/local/etc/raddb/。#vim /usr/local/etc/raddb/users 去掉以下内容前面的#注释:
steve Cleartext-Password := “testing” 这样就有了测试账号steve和密码:testing。或者自行新建一行记录。1.3 对radius服务进行启动测试。
#radiusd –X,在debug 模式下运行,可以看到报错和认证信息。如果程序正常运行,最后三行如下
Listening on authentication *:1812
Listening on accounting *:1813
Ready to process requests.1.4 进行简单的连接测试
# radtest steve testing localhost 1812 testing123 出现Access-Accept字样说明成功。
这里的testing123是在/etc/raddb/clients.conf中定义的localhost的密码。测试完成后将steve用户再恢复原样,即加上#注释。
测试成功后把/usr/local/etc/raddb/users改回去。2 Mysql运行测试及与redius的连接设置
2.1 Mysql服务启动
#yum install –y mysql-server //安装mysql # /etc/init.d/mysqld start,进行mysql服务启动,出现 mysqld:
[ OK ] 表示启动成功。
2.2 Radius与mysql数据库的连接结合。2.2.1 Freeradius mysql模块配置
1.#vim /usr/local/etc/raddb/radius.conf,去掉“ &INCLUDE sql.conf” 行前面的#注释,也可以在相应的地方加上&INCLUDE sql.conf来启用mysql模块支持。2.修改/usr/local/etc/raddb/sql.conf文件 Sql{ Server = “localhost”
Login = “root”
Password= “root用户密码”
Radius_db=”radius”
3.修改/etc/raddb/clients.conf文件支持所有NAS Nastype = other 2.2.2 创建radius数据库及表
#mysqladmin –uroot –pPASSWOED create radius;//使用root权限创建一个名为radius的数据库。PASSWOED 表示root用户的密码。
2.2.3 将两者进行结合关联
1.将freeradius的库表导入mysql的radius数据库中:
#mysql –uroot –pPASSWOED radius < /usr/local/etc/raddb/sql/mysql/schema.sql #mysql –uroot –pPASSWOED radius
# mysql-u root-p #mysql> GRANT SELECT ON radius.* TO 'radius'@'localhost' IDENTIFIED BY 'radpass';# mysql> GRANT ALL on radius.radcheck TO 'radius'@'localhost';#mysql> GRANT ALL on radius.radgroupcheck TO 'radius'@'localhost';#mysql> GRANT ALL on radius.radusergroup TO 'radius'@'localhost';3.在数据库中加入测试组
#mysql –uroot –p密码 radius #mysql> insert into radgroupreply(groupname,attribute,op,value)values('user','Auth-Type',':=','Local');#mysql> insert into radgroupreply(groupname,attribute,op,value)values('user','Service-Type','=','Framed-User');#mysql>INSERT INTO radgroupreply(groupname,attribute,op,VALUE)VALUES('user','Framed-Protocol',':=','PPP');
#mysql> insert into radgroupreply(groupname,attribute,op,value)values('user','Framed-IP-Address','=','255.255.255.255');mysql> insert into radgroupreply(groupname,attribute,op,value)values('user','Framed-IP-Netmask’,’:=’,’255.255.255.0);
#mysql>INSERT INTO radgroupreply(groupname,attribute,op,VALUE)VALUES('user','Framed-Compression',':=','Van-Jacobson-TCP-IP');#mysql>INSERT INTO radgroupreply(groupname,attribute,op,VALUE)VALUES('user','Framed-MTU',':=','1500');
4.打开从数据库查询nas支持
默认从 “/usr/local/etc/raddb/clients.conf” 文件读取,开启后可从数据库nas表读取: sed-i 's/#readclients/readclients/g' /usr/local/etc/raddb/sql.conf 5.修改文件配置
#vim /usr/local/etc/raddb/sites-enabled/default authorize{}模块: 注释掉files(159行),去掉sql前的#号(166行)accounting{}模块: 注释掉radutmp(385行),注释掉去掉sql前面的#号(395行)。session{}模块: 注释掉radutmp(439行),去掉sql前面的#号(443行)。post-auth{}模块: 去掉sql前的#号(464行),去掉sql前的#号(552行)。#/usr/local/etc/raddb/sites-enabled/inner-tunnel authorize {}模块: 注释掉files(124行),去掉sql前的#号(131行)。
session {}模块: 注释掉radutmp(251行),去掉sql前面的#号(255行)。post-auth {}模块: 去掉sql前的#号(277行),去掉sql前的#号(301行)。#vim /usr/local/etc/raddb/clients.conf 在client localhost{ }后面加上: Client 客户端地址段/掩码{ Secret = testing123 #一般默认都是这个,如果要修改必须与客户端的共享秘钥保持一致。
Shortname = AP #可以随便写,暂时没有发现用处。
Nastype = other #使用的NAS 是其他类型。require_message_authenticator = no #消息取消,减少认证错误。可以不加 } 6.在数据库radius添加新用户 #mysql –uroot –ppasswd #mysql> use radius;# 添加用户demo,密码demo,注意是在radchec表
INSERT INTO radcheck(username,attribute,op,VALUE)VALUES('demo','Cleartext-Password',':=','demo');# 将用户demo加入VIP1用户组
INSERT INTO radusergroup(username,groupname)VALUES('demo',user’);
#对用户的使用时长进行设置 INSERT INTO radcheck(username,attribute,op,VALUE)VALUES('demo','Expiration’,':=','11 Mar 2017');#对用户的使用时间段进行设置
INSERT INTO radcheck(username,attribute,op,VALUE)VALUES('demo','Login-Time’,':=','A10600-1230');以上设置表示demo这个账号只能在2017年3月11日前每天的上午6点至中午12点30分的时间段内使用 2.2.4 启动测试 #radiusd & #radtest demo demo localhost 1812 testing123 //若反馈的信息为: access-accept,恭喜你成功了 2.3 使用NAS模拟器测试radius 2.3.1 下载测试工具RADIUStest
//若反馈的信息为: access-accept,恭喜你成功了。2.3.2 华为AP配置
这里使用web界面进行配置 1.开启802.1x认证
2.AAA配置
3.Radius服务器模板
4.认证服务器模板
5.认证方案
6.域管理
7.服务集安全模板
8.服务集BSS接口设置
有关radius认证的设置基本完成,其余皆为普通AP上网设置。
2.3.3 数据库管理软件及账号创建 Mysql> use radius;Mysql>create ‘password’;授权
Mysql> grant all on radius.* to ‘username’@’%’;账号创建与授权完成。
2.3.4 常见的错误
1.rlm_eap: SSL error error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt rlm_eap_tls: Error reading private key file /usr/local/etc/raddb/certs/server.pem rlm_eap: Failed to initialize type tls /usr/local/etc/raddb/eap.conf[17]: Instantiation failed for module “eap” /usr/local/etc/raddb/sites-enabled/default[310]: Failed to load module “eap”./usr/local/etc/raddb/sites-enabled/default[252]: Errors parsing authenticate section.Answer:eap.conf中private_key_password的值与ca.cnf中[req]input password,output password属性值不一致。user ‘username’@’%” IDENTIFIED BY
2.如果接收到类似于这样的信息:
rad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=222, length=38。
可以到usr/local/var/log去查看freeradius的日志。在安装过程我就接收到这样的信息,百思不得其解,以为是安装出了问题,后来是查看日志,发现如下信息: 141 WARNING: Found User-Password == “...”.142 WARNING: Are you sure you don't mean Cleartext-Password?
WARNING: See “man rlm_pap” for more information.144 rlm_sql: Failed to create the pair: Invalid octet string “Yes,Good!” for attribute name “Repley-Message”
rlm_sql(sql): Error getting data from database
[sql] SQL query error;rejecting user
rlm_sql(sql): Released sql socket id: 1
从而发现我在表radrepley中的数据记录内容是错误的,删除这条记录后,问题得到解决
3、如果出现
“rlm_sql(sql): Could not link driver rlm_sql_mysql: rlm_sql_mysql.so: cannot open shared object file: No such file or directory”找不到驱动包的错误,就要
a:先安装mysql-devel
b:然后进入到freeradius的安装文件目录下的src/modules/rlm_sql/drivers/rlm_sql_mysql? 运行命令:
#./configure--with-mysql-dir=/usr/share/mysql/--with-mysql-lib-dir=/usr/lib/mysql/
# make # make intall
这时候会把rlm_sql_mysql的驱动安装到/usr/local/lib目录下,但是必须把这些驱动copy到/usr/lib目录下才能正常运行: #cp-a /usr/local/lib/rlm_sql_mysql* /usr/lib
还有可能出现关于eap的错误,说什么server.pem证书读取失败,实际上server.pem证书根本没有.进到/usr/local/etc/raddb/certs/目录下.运行里面的bootstrap文件
#./bootstrap 会自动创建证书.实在不明白,里面还有个README文件可做参考.
第三篇:配置信息变更表范文
配置信息变更表 Strong 编号:
填表日期-
配置变更申请(用户填写)
申请人
张三
申请岗位
网络技术部 E E--mail
xxxn 联系电话
xxx 配置变更需求描述:
因为 xx 机房重新规划,xx 系统的服务器物理位置改变,由。。到。。,请更新配置记录。
配置 信息一致性 审核(以下由受理人填写)
核实情况
□
一致
□ □
不一致 说明(核实情况不一致时填写):
配置变更
变更情况
已更新“硬件类主机设备 xx”的“物理位置”项信息。
受理人
李四 受理时间
2010-02-13 注:
1.“编号”项由专人统一填写,在一天中保持不重复。
2.“申请人”是最初提出需求,最终触发配置管理流程的客户或用户,不是指各流程流转过程中的各个流程受理人。
3.“核实情况及说明”栏中,需要填写变更信息和实体变化的一致性核实情况,一致则执行,不一致则回复申请人。
第四篇:android 如何保存简单的配置信息
我們知道在android的開發中,保存項目私有數據的存儲方式我們可以使用:SharedPreferences,File,SQLite,Network.四種方式,而要用到應用程序之間數據的共享要使用ContentProvider。那今天我們只敘述一下僅僅保存一些我們登錄等的一些配置信息的數據,也就是說用到的數據量都不是很大,那麼我們就可以選擇SharedPreferences和File的方式。這裡只針對性的結合File和Properties進行敘述。
一。SharedPreferences
1.它可以保存上一次用戶所做的修改或者自定義參數的設定,當再次啟動程序後依然可以保持原有的設置。這裡只說明一下使用方式。比如下面的代碼在OnCreate中使用:
SharedPreferences mSharedPreferences = getSharedPreferences(“list”,MODE_PRIVATE);
String mTempString = mSharedPreferences.getString(“config”,“default”);其中“list”是SharedPreferences的文件的名字,SharedPreferences是以鍵值映射的關係存放數據。不過多解釋,你也可以這樣用:
SharedPreferences mSharedPreferences = getPreferences(MODE_PRIVATE);這樣默認的文件名是activity的名字。
2.退出activity的時候保存數據,在OnPause中使用:
SharedPreferences mSharedPreferences = getSharedPreferences(“list”,MODE_PRIVATE);
mSharedPreferences.edit().putString(“config”,“data”).commit();
3.SharedPreferences 是以xml文件的方式自動保存的,在DDMS中的FileExplorer中展開/data/data/包名/shared-prefs下面就是SharedPreferences文件。
4.SharedPreferences文件只可以用來存放基本的數據類型。
二。結合File和Properties進行保存。
A Properties object is a Hashtable where the keys and values must be Strings.Each property can have a default Properties list which specifies the default values to be used when a given key is not found in this Properties instance.1.所以,Properties對象也是一個哈希表,也是一個鍵值對應的關係,因此和上面的操作相似。下面看具體的程序。
public class File_ByProperties extends Activity {
/** Called when the activity is first created.*/ @Override public void onCreate(Bundle savedInstanceState){ private boolean mStatus;private TextView mShowStatus;
} setContentView(R.layout.main);mShowStatus =(TextView)findViewById(R.id.show);load();private void load(){// TODO Auto-generated method stub Properties mProperties = new Properties();try {FileInputStream mInputStream =
openFileInput(“configuration”);
mProperties.load(mInputStream);mStatus =
Boolean.valueOf(mProperties.get(“status”).toString());
@Override protected void onPause(){// TODO Auto-generated method stub super.onPause();@Override public boolean onKeyDown(int keyCode, KeyEvent event){} // TODO Auto-generated method stub if(keyCode == KeyEvent.KEYCODE_DPAD_UP){} return super.onKeyDown(keyCode, event);mStatus =!mStatus;mShowStatus.setText(“the status is : ” + mStatus);}mShowStatus.setText(“the status is : ” + mStatus);} catch(FileNotFoundException e){// TODO Auto-generated catch block System.out.println(e.toString());} catch(IOException e){} System.out.println(e.toString());
if(mProperties.containsKey(“status”)){} mProperties.put(“status”, String.valueOf(mStatus));try {FileOutputStream mOutputStream = mProperties.remove(“status”);
openFileOutput(“configuration”,}
2.在DDMS中的FileExplorer中展開/data/data/包名/files,可以查看到該文件。
三。你還可以將一個靜態的文件放到res/raw/下面,然後通過
getResources().openRawResource(R.raw.文件);來得到一個InputStream對象,然後讀取文件的內容。
轉載請尊重原創,這裡是的空間。}MODE_WORLD_WRITEABLE);mProperties.store(mOutputStream, null);} catch(FileNotFoundException e){// TODO Auto-generated catch block e.printStackTrace();} catch(IOException e){} e.printStackTrace();
第五篇:80-厦门市教育信息技术装备配置建议方案
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
80-厦门市教育信息技术装备配置建议方案
厦门市教育信息技术装备配置建议方案 编制说明 计算机网络部分
一、星型网络结构
二、网络布线
三、网络中心机房装修
四、网络设备或管理软件选型
1、服务器
2、交换机
3、防火墙
4、防病毒
5、入侵检测防御
6、上网行为监控、网络行为审计系统
7、Windows系统补丁集中分发管理系统
五、存储系统 多媒体显示设备部分
六、教室多媒体显示设备 建设案例
双十中学数码智能广播系统
厦门六中网络中心机房装修
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
厦门一中网络应用案例
编制说明
为了贯彻落实教育部《基础教育课程改革纲要(试行)》和《教育部关于发布<中小学理科实验室装备规范>等四个教育行业标准的通知》精神,及福建省教育厅关于印发《福建省普通高中教育技术装备标准I(试行)》、《福建省普通初中教育技术装备标准I(试行)》和《福建省完全小学教育技术装备标准I(试行)》的通知要求,提高我市中小学教育信息技术装备水平,使教育信息技术装备配置更加符合我市社会经济的需要,适应全面推进素质教育和基础教育课程改革要求,及时将新技术、新设备用于教学第一线,提高设备的使用水平和使用效率,特制定《厦门市教育信息技术装备配置建议方案》。各区教育局、各学校可根据区域特点、经费预算、师资和专业技术人员配备等情况,从教育教学实际工作需要出发,参考执行。
一、星型网络结构
二、网络布线
1)尽量一次性考虑到将网络信息点布到所有可能用到网络的地方。
2)电话线可随网线走线,或直接使用网线在以太网中目前没用
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案 的两对线。
3)楼宇间尽量采用光纤作为主干布线,在500M距离内采用多模光纤,超过500M距离跑1000M/10G网络带宽须采用单模光纤。光纤中的抗拉力钢铰线应该作好防雷接地措施。
同一楼宇内宜采用超六类铜心双铰线进行布线。
同一楼宇内宜采用垂直布线和水平布线良种布线方式进行网络布线。
垂直布线:校园网在本楼宇的汇聚点到本楼宇各楼层配线间进行布线的布线方式。
水平布线:本楼层布线间到本楼层个信息点进行布线的布线方式。
对于楼宇内内信息点相对铰少的情况,可采用集中布线的方式:
校园网在本楼宇的汇聚点直接到本楼宇各信息点进行布线。
预算:网络综合布线费用按每个信息点250元计算。
三、网络中心机房装修(高标准机房建设,参考使用)
1、机房地面工程:
机房工程的技术施工中,机房地面工程是一个很重要的组成部分。机房地板一般采用抗静电活动地板。活动地板具有可拆卸的特点,因此,所有设备的导线电缆的连接、管道的连接及检修更换都很方便。
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
活动地板下空间可作为静压送风风库,通过带气流分布风口的活动地板将机房空调送出的冷风送入室内及发热设备的机柜内,由于气流风口地板与一般活动地板可互换性,因此可自由的调节机房内气流的分布。
活动地板下的地表面一般需进行防潮处理(如涮防潮漆等)。若活动地板下空间作为机房空调送风风库,活动地板下地面还需做地台保温处理,保证在送冷风的过程中地表面不会因地面和冷风的温差而结露。
2、机房天花工程
机房棚顶装修多采用吊顶方式。机房内吊顶主要作用是:在吊顶以上到顶棚的空间作为机房静压送风或回风风库、可布置通风管道;安装固定照明灯具、走线、各类风口、自动灭火探测器;防止灰尘下落等等。机房应选择金属铝天花,铝板及其构件应具有质轻、防火、防潮、吸音、不起尘、不吸尘等性能。
3、机房墙面工程
机房内墙装修的目的的是保护墙体材料,保证室内使用条件,创造一个舒适、美观而整洁的环境。内墙的装饰效果是由质感、线条和色彩三个因素构成。目前,在机房墙面装饰中最常见的是贴墙材料(如铝塑板、彩钢板)饰面等,其特点:表面平整、气密性好、易清洁、不起尘、不变形。墙体饰面基层做防潮、屏蔽、保温隔热处理。
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
4、机房隔断工程
为了保证机房内不出现内柱,机房建筑常采用大跨度结构。针对计算机系统的不同设备对环境的不同要求,便于空调控制、灰尘控制、噪音控制和机房管理,往往采用隔断墙将大的机房空间分隔成较小的功能区域。隔断墙要既轻又薄,还能隔音、隔热。
机房外门窗多采用防火防盗门窗,机房内门窗一般采用无框大玻璃门,这样既保证机房的安全,又保证机房内有通透、明亮的效果。
5、机房供配电
机房负荷均按照一级供电负荷设计。
计算机机房负载分为主设备负载和辅助设备负载。主设备负载指计算机及网络系统、计算机外部设备及机房监控系统,这部分供配电系统称为“设备供配电系统”,其供电质量要求非常高,应采用UPS不间断电源供电来保证供电的稳定性和可靠性。辅助设备负载指空调设备、动力设备、照明设备、测试设备等,其供配电系统称为“辅助供配电系统”,其供电由市电直接供电。
机房内的电气施工应选择优质电缆、线槽和插座。插座应分为市电、UPS及主要设备专用的防水插座,并注明易区别的标志。照明应选择机房专用的无眩光高级灯具。
机房供配电系统是机房安全运行动力保证,机房往往采用机房专用配电柜来规范机房供配电系统,保证机房供配电系统的安全、合理。
6、机房空调及新排风系统
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
机房空调系统的任务是为保证机房设备能够连续、稳定、可靠地运行,需要排出机房内设备及其它热源所散发的热量,维持机房内恒温恒湿状态,并控制机房的空气含尘量。为此要求机房空调系统具有送风、回风、加热、加湿、冷却、减湿和空气净化的能力。机房空调系统的任务是为保证机房设备能够连续、稳定、可靠地运行,需要排出机房内设备及其它热源所散发的热量,维持机房内恒温恒湿状态,并控制机房的空气含尘量。为此要求机房空调系统具有送风、回风、加热、加湿、冷却、减湿和空气净化的能力。
机房空调系统是保证良好机房环境的最重要设备,宜采用恒温恒湿精密空调系统。
机房新排风系统主要有两个作用:其一给机房提供足够的新鲜空气,为工作人员创造良好的工作环境;其二维持机房对外的正压差,避免灰尘进入,保证机房有更好的洁净度
机房内的气流组织形式应结合计算机系统要求和建筑条件综合考虑。新排风系统的风管及风口位置应配合空调系统和室内结构来合理布局。其风量根据空调送风量大小而定。
7、机房防雷接地工程
机房接地系统是涉及多方面的综合性信息处理工程,是机房建设中的一项重要内容。接地系统是否良好是衡量一个机房建设质量的关键性问题之一。机房一般具有四种接地方式:交流工作地、安全保护地、直流工作地和防雷保护地。
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
在机房接地时应注意两点:
1、信号系统和电源系统、高压系统和低压系统不应使用共地回路。
2、灵敏电路的接地应各自隔离或屏蔽,以防止地回流和静电感应而产生干扰。机房接地宜采用综合接地方案,综合接地电阻应小于1欧姆。
机房雷电分为直击雷和感应雷。对直击雷的防护主要由建筑物所装的避雷针完成 ;机房的防雷(包括机房电源系统和弱电信息系统防雷)工作主要是防感应雷引起的雷电浪涌和其他原因引起的过电压。机房防雷产品可选用北京欧地安科技有限公司生产的型号:LEO-Ⅱ100KA/4P、LEO-Ⅱ40KA/4P、LEO-S-RJ45、LEO-SH24等防雷产品。
8、机房监控系统工程
随着社会信息化程度的不断提高,机房计算机系统的数量与俱增,其环境设备也日益增多,机房环境设备(如供配电系统、UPS 电源、空调、消防系统、保安系统等)必须时时刻刻为计算机系统提供正常的运行环境。因此,对机房动力设备及环境实施监控就显得尤为重要。
机房环境及动力设备监控系统主要是对机房设备(如供配电系统、UPS电源、防雷器、空调、消防系统、保安门禁系统等)的运行状态、温度、湿度、洁净度、供电的电压、电流、频率、配电系统的开关状态、测漏系统等进行实时监控并记录历史数据,实现对机房遥测、遥
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
信、遥控、遥调的管理功能,为机房高效的管理和安全运营提供有力的保证。
9、机房气体消防工程
机房应设气体灭火系统,气瓶间宜设在机房外,为管网式结构,在天花顶上设置喷嘴,火灾报警系统由消防控制箱、烟感、温感联网组成。
机房消防系统应采用气体消防系统,常用气体为七氟丙烷和SDE两种气体。
四、网络设备或管理软件选型
1、服务器
A.推荐使用基于INTEL x86架构的PC服务器。
IBM X3400
4.5万
2*至强四核1.86 GHz/8M缓存,4G内存,4*300G SAS硬盘,8K ,塔式可转机架式
IBM X3650
7.5万
2*至强四核2.0 GHz/ 8MB缓存,4G内存,5*300G SAS硬盘,8K RAID卡,双冗余电源,机架式
IBM X3800
12.0万
2*Xeon EM64T MP3.00 GHz 7120N,4G内存,8*300G SAS硬盘,精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
8I RAID卡,双冗余电源,可选塔式也可机架式
B.有较大访问量的应用服务器可采用工作站或小型机(Sun V245、Sun 4800)
2、交换机
网络中心核心交换机: 带路由功能的三层交换机
楼层交换机:
可划分VLAN的可网管交换机
桌面交换机:
(可划分VLAN的)可网管交换机
*** 网络交换机构成的网络系统必须具有网络终端准入控制功能。
具备网络准入控制功能的网络交换机设备厂商及方案有:
锐捷网络
GSN
在集美大学有2万个终端的成功应用
思科
NAC
华为
EAD
D-link
支持Microsoft NAP
在目前的教育网络中,用户的终端计算机不及时升级系统补丁和病毒库、滥用各种软件和网络聊天的行为比比皆是,脆弱的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散,进而导致网络使用行为的“失控”。保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证网络安全运行的前提,也是目前企业急需解决的问题。
网络安全从本质上讲是管理问题。但目前厦门各个校园网络本身不具备网络安全管理功能;纸面的网络安全管理制度没有得到落实
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
同时也不能应对日益严重、无孔不入的网络安全威胁。
网络系统本身必须具备的网络终端准入控制功能才是解决网络安全威胁的根本。
网络终端准入控制解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施网络安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力,为学校企业网络管理人员提供了有效、易用的管理工具和手段。
在校园网内部,接入终端一般是通过交换机接入企业网络,通过与交换机的联动,强制检查用户终端的病毒库和系统补丁信息,降低病毒和蠕虫蔓延的风险,同时强制实施网络接入用户的安全策略,阻止来自网络内部的安全威胁。A.方案概述
对于要接入安全网络的用户,网络终端准入控制解决方案首先要对其进行身份认证,通过身份认证的用户进行终端的安全认证,根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的安全检查,根据检查的结果,网络终端准入控制对网络用户准入进行授权和控制。通过安全认证后,用户可以正常使用网络,与此同时还可以对用户终端运行情况和网络使用情况进行审计和监控。网络终端准入控制解决方案对用户网络准入的整体认证过程如下图所示:
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
B.组网模型
如下图所示,网络终端准入控制组网模型图中包括安全客户端、安全联动设备、网络策略服务器和第三方服务器。
安全客户端:是指安装了网络终端准入控制智能客户端的用户接入终端,负责身份认证的发起和安全策略的检查。
安全联动设备:是指用户网络中的交换机、路由器、VPN网关等设备。网络终端准入控制须提供灵活多样的组网方案,安全联动设备可以根据需要灵活部署在各层比如网络接入层和汇聚层。
网络安全策略服务器:它要求和安全联动设备路由可达。负责给客户端下发安全策略、接收客户端安全策略检查结果并进行审核,向安全联动设备发送网络访问的授权指令。
第三方服务器:是指补丁服务器、病毒服务器和安全代理服务器等,被部署在隔离区中。当用户通过身份认证但安全认证失败时,将被隔离到隔离区,此时用户能且仅能访问隔离区中的服务器,通过第三方服务器进行自身安全修复,直到满足安全策略要求。
C.功能特点 ?严格的身份认证
除基于用户名和密码的身份认证外,EAD还支持身份与接入终端的MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口号等信息进行绑定,支持智能卡、数字证书认证,增强身份认证的安全性。
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
?完备的安全状态评估
根据管理员配置的安全策略,用户可以进行的安全认证检查包括终端病毒库版本检查、终端补丁检查、终端安装的应用软件检查、是否有代理、拨号配置等;为了更好的满足客户的需求,网络终端准入控制客户端支持和微软SMS、LANDesk、BigFix等业界桌面安全产品的配合使用,支持与瑞星、江民、金山、Symantec、McAfee、Trend Micro、Ahn等国内外主流防病毒厂商联动。例如:网络终端准入控制可充分利用微软成熟的桌面管理工具SMS实现Windows环境下用户的桌面管理需求,包括资产管理、补丁管理、软件分发和安装等。? 基于角色的网络授权
在用户终端通过病毒、补丁等安全信息检查后,网络终端准入控制可基于终端用户的角色,向安全联动设备下发事先配置的接入控制策略,按照用户角色权限规范用户的网络使用行为。终端用户的所属VLAN、ACL访问策略、是否禁止使用代理、是否禁止使用双网卡等安全措施均可由管理员统一配置实施。?ARP攻击防范
网络终端准入控制方案可以通过绑定用户网关地址来防止恶意的ARP欺骗,客户端的流量监控功能还可以实时监控用户的非法流量,当出现异常时可以采取相应的安全措施。
3、防火墙
统一安全防御(防火墙、防病毒、攻击保护)防火墙
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
Fortinet FortiGate全系列
联想网御
部分
FortiGate防火墙配合该公司的防火墙访问日志记录分析设备FortiAnalyzer
可作校园网访问互联网日志记录及查询,以备案用
(公安局要求日志记录 三个月)
防火墙
FortiGate
1000A
13万 联想网御
2000
13万 FortiGate
800
10万 FortiGate
400A
7万 防火墙访问日志记录分析设备 FortiAnalyzer 100B
2万 FortiAnalyzer 800B
8万
FortiGate防火墙截图
FortiAnalyzer截图 日志记录显示总图
访问互联网记录
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
BT、Skype使用记录
收发邮件登记
聊天信息登记
随着网络中的应用越来越复杂,安全问题以出人意料的速度增长,并且在攻击方式、攻击目标上亦呈多样化发展趋势。对近两年来黑客和病毒对网络所造成的威胁进行总结,可以看出三个显著特点: 第一:攻击手段多样化,以网络病毒为例,从震荡波、冲击波,还有QQ病毒,可以看出现在的网络攻击手段中,既包括病毒攻击,也包括隐含通道、拒绝服务攻击,还可能包括口令攻击、路由攻击、中继攻击等多种攻击模式。
第二:每一次攻击经常是多种手段并用,混合攻击正在成为攻击的主流。混合攻击是指在同一次攻击中,既包括病毒攻击、黑客攻击,也包括隐通道、拒绝服务攻击,还可能包括口令攻击、路由攻击、中继攻击等多种攻击方式,如伊拉克战争期间流行的“爱情后门变种”病毒,集蠕虫、后门、黑客三者功能于一身,给互联网造成了巨大的破坏。第三:攻击手段更新速度前所未有的快,业界知名的SANS协会在其2006二十大安全隐患列表中将“零日攻击”的爆增列为目前最严重的安全威胁。所谓“零时攻击”是指如果一个漏洞被发现后,当天或更准确的定义是在24小时内,立即被恶意利用,出现对该漏洞的攻击方
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
法或攻击行为,而同时并未有对应的防御工具被开发出来,那么该漏洞被称为“零日漏洞”,该攻击被称为“零日攻击”。
基于以上三方面对攻击多样化和融合特点的总结,可以理解为什么原先各自为战的安全产品总是处于疲于应付的状态,无法很好的实现对企业网络安全的保护。企业中可能会有防病毒、防火墙、入侵检测等一系列安全产品,这些产品产生大量不同形式的安全信息,使得整个系统的相互协作和统一管理成为安全管理的难点。由此带来的是,企业的安全管理体制也变得非常复杂,其系统配置、规则设置、反应处理、设备管理、运行管理的复杂性所带来的管理成本和管理难度直接制约了安全防御体系的有效性,因而导致了网络安全的重大隐患。
可以说复杂的网络安全解决方案成为人们关注的一个新焦点问题,如何使复杂变成简单,成为网络管理人员的一个困惑。UTM就是在这种背景下应运而生的,它的定义是将多种安全能力(尤其是传统上讲的防火墙能力、防病毒能力、攻击保护能力)融合在一个产品之中,实现防御一体化,这样就为简化安全解决方案、规避设备兼容性问题、简化安全管理提供了先决条件。因此,全面的立体防御是UTM存在的理由,更是UTM发展的方向,那么UTM所保护的网络将面临哪些威胁,或者说UTM应该提供哪些安全能力呢?
我们需要分析一下网络边界所面临的威胁,根据互联网协议TCP/IP的五层结构,我们可以归纳各类威胁如下图:
注:虽然网络协议的多个层次均面临拒绝服务攻击和地址欺骗,但攻
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
击技术和表现形式是不同的。数据链路层
拒绝服务:网络设备或者终端均需具有相邻设备的硬件地址信息表格。一个典型的网络侵入者会向该交换机提供大量的无效 MAC 源地址,直到硬件地址表格被添满。当这种情况发生的时候,设备将不能够获得正确的硬件地址,而无法进行正常的网络通讯。
地址欺骗:在进行 MAC 欺骗攻击的过程中,已知某主机的 MAC 地址会被用来使目标交换机向攻击者转发以该主机为目的地址的数据帧。通过发送带有该主机以太网源地址的单个数据帧的办法,网络攻击者改写了目标设备硬件地址表格中的条目,使得交换机将以该主机为目的地址的数据包转发给该网络攻击者。通过这种方式,黑客们可以伪造 MAC 或 IP 地址,以便实施如下的两种攻击:服务拒绝和中间人攻击。
网络层
拒绝服务:网络层的拒绝服务攻击以网络资源消耗为目的,它通过制造海量网络数据报文或者利用网络漏洞使系统自身循环产生大量报文将用户网络带宽完全消耗,使合法用户得不到应有的资源。典型的如Ping flood 和Smurf攻击,一旦攻击成功实施,网络出口带宽甚至是整个局域网中将充斥这些非法报文,网络中的设备将无法进行正常通讯。
地址欺骗:同链路层的地址欺骗目的是一样的,IP地址欺骗同样是为
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
了获得目标设备的信任,它利用伪造的IP发送地址产生虚假的数据分组,乔装成来自内部主机,使网络设备或者安全设备误以为是可信报文而允许其通过。
非授权访问:是指没有预先经过同意,就使用网络或计算机资源被看作非授权访问,对于一个脆弱的信息系统,这种威胁是最常见的。传输层:
拒绝服务:传输层的拒绝服务攻击以服务器资源耗尽为目的,它通过制造海量的TCP/UDP连接,耗尽服务器的系统连接资源或者内存资源。这种情况下,合法用户发出连接请求却因服务器资源耗尽而得不到应答。典型的如TCP Flood和UDP Flood攻击,目前在互联网上这类攻击工具随处可见,因其技术门槛低而被大量使用,是互联网的几大公害之一。某些情况下,攻击者甚至将攻击提升到应用层,既不只是发出连接,而且发出应用数据,这样的攻击因不易与合法请求区分而更加难以控制。
端口扫描:端口扫描攻击是一种探测技术,攻击者可将它用于寻找他们能够成功攻击的服务。连接在网络中的所有计算机都会运行许多使用 TCP 或 UDP 端口的服务,而所提供的已定义端口达6000个以上。通常,端口扫描不会造成直接的损失。然而,端口扫描可让攻击者找到可用于发动各种攻击的端口。为了使攻击行为不被发现,攻击者通常使用缓慢扫描、跳跃扫描等技术来躲避检测。应用层:
信息窃听与篡改:互联网协议是极其脆弱的,标准的IP协议并未提
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
供信息隐秘性保证服务,因此众多应用协议也以明文进行传输,如Telnet、FTP、HTTP等最常用的协议,甚至连用户口令都是明文传输。这为攻击者打开了攻击之门,他们可以在网络的必经之路搭线窃听所关心的数据,盗取企业的关键业务信息;严重的甚至直接对网络数据进行修改并重放,达到更大的破坏目的。
非法信息传播:由于无法阻止非法分子进入网络世界,互联网上充斥着反动、色情、暴力、封建迷信等信息。非法分子通过电子邮件、WEB甚至是IM协议不断的发送各种非法信息到世界各地的网络终端上去。这些行为极大的破坏了社会的安定与和谐,对整个社会来讲,危害极大。
资源滥用:IDC的统计曾显示,有30%~40%的Internet访问是与工作无关的,而且这些访问消耗了相当大的带宽,一个不受控的网络中90%带宽被P2P下载所占用。这对于网络建设者来讲完全是灾难,它意味着投资利用率低于10%。
漏洞利用:网络协议、操作系统以及应用软件自身存在大量的漏洞,通过这些漏洞,黑客能够获取系统最高权限,读取或者更改数据,典型的如SQL注入、缓冲区溢出、暴力猜解口令等。在众多威胁中,利用系统漏洞进行攻击所造成的危害是最全面的,一旦攻击行为成功,黑客就可以为所欲为。
病毒:病毒是最传统的信息系统破坏者,随着互联网的普及和广泛应用,计算机病毒的传播形式有了根本的改变,网络已经成为病毒的主要传播途径,用户感染计算机病毒的几率大大增加。同时病毒正在加
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
速与黑客工具、木马软件的融合,可以说病毒的破坏力达到了前所未有的程度。
木马:特洛伊木马是一种恶意程序,它们悄悄地在宿主机器上运行,就在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权限。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中,诱使粗心的用户在自己的机器上运行。最常见的情况是,上当的用户要么从不正规的网站下载和运行了带恶意代码的软件,要么不小心点击了带恶意代码的邮件附件。
UTM产品应该提供对以上分析列举的攻击行为进行安全防护的能力。但并不是将这些安全防护能力简单的叠加在一起就可以称之为UTM;如果仅仅是功能的简单叠加,产品的管理复杂度并不能有效降低,同时会带来性能的急剧衰减,这样的产品是不可用的。因此UTM应该是产品设计上保证这些安全能力是有机融合甚至是完全一体的,这样才能真正实现简化安全解决方案,让用户的安全变得简单的目的。
4、防病毒
网络版防病毒软件
MacFee、安博士、金山毒霸、瑞星
每PC费用150~200 元
5、入侵检测防御
以色列 Radware 200 DP
18~20 万
中联绿盟
冰之眼600型
15万
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
6、上网行为监控、网络行为审计系统
网络督察
500型百兆
8万
网络督察
900型千兆
13万
7、Windows系统补丁集中分发管理系统 A、WSUS
免费产品 B、SMS
付费产品
每点
100~150 元 C、第三方软件:北信源、LAN Desk、BigFix SMS功能简介
1)软件/补丁发布:SMS能够向任何用户、用户组、网段和计算机的组合分发各类软件、补丁。发布对象非常灵活,例如,可以向开发部门的所有没有安装VS.Net的员工发布VS.Net。
2)资产管理:SMS可以发现并跟踪所有分布的基于Windows的软件和硬件资产--笔记本电脑、台式机和服务器等。服务器会按照需求定期的收集客户端的软硬件信息以及网络状况,管理员可以监控软硬件变化。由于软件搜集的机制是基于所有文件文件头的扫描,因此即使是绿色软件,也逃不过SMS的法眼。
3)远程桌面监控及问题解决:拥有特定权限的管理员可以远程监控用户的桌面,并能够发现并解决基于Windows系统的常见问题,从而提高Helpdesk的工作效率。
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
4)软件监控:防止用户使用非法的或企业内部禁止的软件。
5)软件测量:计算每种软件产品在全公司范围内,同一时间的使用情况,这样可以帮助公司计算需要购买license的数量,节约成本。
6)文件收集:可以收集客户端特定文件,例如boot.ini,并可以在特定情况下恢复这些文件。
7)服务器性能/健康监视:远程观察服务器的健康状况
五、存储系统
各个学校都会积累越来越多的数字化多媒体教育资源,同时广大教师和学生也有越来越大的存储及备份需求。因此如何对大量的数字化多媒体教育资源进行有效的存储、管理及共享,就成为建设中小学校园网、多媒体教室、电子阅览室和数字化图书馆时首先要考虑和解决的问题。
1、DAS直接附加存储
DAS是Direct Attached Storage的缩写,即“直接连接存储”,是指将外置存储设备通过连接电缆,直接连接到一台计算机上。采用直接外挂存储方案的服务器结构如同PC机架构,外部数据存储设备采用SCSI技术,或者FC(Fibre Channel)技术,直接挂接在内部总线上的方
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
式,数据存储是整个服务器结构的一部分,在这种情况下往往是数据和操作系统都未分离。DAS这种直连方式,能够解决单台服务器的存储空间扩展、高性能传输需求,并且单台外置存储系统的容量,已经从不到1TB,发展到了2TB,随着大容量硬盘的推出,单台外置存储系统容量还会上升。
直连式存储依赖服务器主机操作系统进行数据的IO读写和存储维护管理,数据备份和恢复要求占用服务器主机资源(包括CPU、系统IO等),直连式存储的数据量越大,备份和恢复的时间就越长,对服务器硬件的依赖性和影响就越大。
视学校规模和应用层次,服务类型来选择存储系统。DAS 尤其适合小学各种应用的需要,及适合中学用于存放校园网资源库、电子图书等。
因存储设备各品牌型号的参数和配置方案有很大不同,以07政府采购的IBM DS3200为参考借鉴。存储柜设备清单 方案一:服务器≤2台
磁盘阵列柜 1套(IBM DS3200)现有配置裸容量 1.2TB,单磁盘柜配满最大3.6TB。连接的服务器要加装SAS HBA 卡,需要有PCI-E插槽。N0: P/N DESCRIPTION
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
QTY PRICE TOTAL PRICE(元)描述 1 172622x DS3200 磁盘柜 Dual Controller 1 36300 36300 每个控制器默认含1个SAS接口; 2 40K1041 300GB 10K Hot Swap SAS(EOL)4 5060 20240 最少4块,最多12块SAS硬盘,可再连接3个EXP3000扩展盘柜/硬盘最大数量为48个硬盘 3 25R8060 PCI-E SAS HBA
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案 1540 3080 SAS接口;安装在服务器上,每台服务器一块HBA卡,连接DS3200。4 39R6531 3m SAS Cable 2 770 1540 用于服务器与DS3200之间连接的CABLE 合计: 61160
方案二: 6台≤服务器≤2台
精心收集
精心编辑
精致阅读 如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
磁盘阵列柜 1套(IBM DS3200)现有配置裸容量 1.2TB,单磁盘柜配满最大3.6TB。连接的服务器要加装SAS HBA 卡,需要有PCI-E插槽。N0: P/N DESCRIPTION QTY PRICE TOTAL PRICE(元)1 172622x DS3200 磁盘柜 Dual Controller 1 36300 36300 每个控制器默认含1个SAS接口;增加子卡升级为3个;最多可为6个SAS接口 2 40K1041 300GB 10K Hot Swap SAS(EOL)4
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
5060 20240 最少4块,最多12块SAS硬盘,可再连接3个EXP3000扩展盘柜/硬盘最大数量为48个硬盘 3 25R8060 PCI-E SAS HBA 6 1540 9240 SAS接口;安装在服务器上,连接DS3200 4 39R6531 3m SAS Cable 6 770 4620 用于服务器与DS3200之间连接的CABLE 5 39R6509 DS3200 SAS 2端口扩展子卡 2
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
6050 12100 可将接口由1升级为3个; 合计: 82500
2、SAN 存储区域网络
由于SAN是通过一个单独的通常是基于光纤通道的SAN网络把存储设备以及服务器相连,如此当有海量数据的存取需求时,数据完全可以通过SAN网络在相关服务器和后台的存储设备之间高速传输,对于LAN的带宽占用几乎为零,而且服务器可以访问SAN上的任何一个存储设备,提高了数据的可用性。在对性能和可靠性要求较高的场合,采用先进的SAN数据存储网络,可以使数据的存储、备份等活动独立在原先的局域网之外,从而将减轻LAN的负载,保证原有网络应用的顺畅进行;同时SAN网采用光纤传输通道,可以得到高速的数据传输率。
适用有高速数据传输和高安全级别的数据存储,如较大规模学校的校园网管理平台数据库及视频点播服务等。
因存储设备各品牌型号的参数和配置方案有很大不同(如:有的不需要单独购买分区许可,有的同时兼容FC 硬盘和SAS硬盘等),以07政府采购的IBM DS3400为参考借鉴。
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
存储柜设备清单 方案一:服务器≤4台
磁盘阵列柜 1套(IBM DS3400)现有配置裸容量 1.2TB,单磁盘柜配满最大3.6TB N0: P/N DESCRIPTION QTY PRICE TOTAL PRICE(元)描述 1 172642X DS3400 磁盘柜 Dual Controller 1 50600 50600 双控制器;每控制器默认含2个FC接口 2 40K1041 300GB 10K Hot Swap SAS
精心收集
精心编辑
精致阅读 如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案 5060 20240 最少4块,最多12块SAS硬盘,可再连接3个EXP3000扩展盘柜/硬盘最大数量为48个硬盘 3 39M5697 5m Fiber Optic Cable LC-LC 4 550 2200 用于服务器与DS3400之间连接的CABLE 4 39R6475 4GB短波SFP 4 1100 4400 5 42C2069
FC 4Gb PCI-X 单端口 HBA卡
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案 6050 24200 安装在服务器上,每台服务器一块HBA卡,连接DS3400。合计: 101640
方案二: 16台≤服务器≤4台,需磁盘大于12块。磁盘阵列柜 1套(IBM DS3400)N0: P/N DESCRIPTION QTY PRICE TOTAL PRICE(元)
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
描述 1 172642X DS3400 磁盘柜 Dual Controller 1 50600 50600 双控制器;每控制器默认含2个FC接口 2 40K1041 300GB 10K Hot Swap SAS 4 5060 20240 最少4块,最多12块SAS硬盘,可再连接3个EXP3000扩展盘柜/硬盘最大数量为48个硬盘 3 39M5697 5m Fiber Optic Cable LC-LC 4 550 2200
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
用于服务器与DS3400之间连接的CABLE 4 39R6475 4GB短波SFP 4 1100 4400 42C2069
FC 4Gb PCI-X 单端口 HBA卡 4 6050 24200 安装在服务器上,每台服务器一块HBA卡,连接6 39R6536 支持到16个分区扩展许可 1 18150 18150
精心收集
精心编辑
精致阅读
DS3400。如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案 172701X EXP3000 磁盘柜 Single ESM 1 14080 14080 39R6515 EXP3000 ESM模块 1 7700 7700 39R6540 DS3400软件属性包 1 9350 9350
精心收集
精心编辑 精致阅读 如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
39R6537 EXP3000扩展许可 1 17600 17600 39R6529 1米SAS线缆,用于EXP3000扩展柜连接 2 660 1320 2005-B16 16口 SAN 交换机85800 85800 合计: 255640
精心收集
精心编辑
精致阅读 如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
3、另外,市场上出现了将服务器、存储设备、网络连接、I/O 和应用程序集成在一个机箱中的新设备,如:IBM BladeCenter S,更加集约化,易于管理,扩展伸缩性好,适用于新建成学校和原本没有配置服务器和存储器的学校。同时IBM BladeCenter S 可以混合使用6块750 GSATA硬盘和6块300G SAS硬盘,成本控制更加有效灵活。750G SATA硬盘存储空间更大,成本更低,适用于校园资源库和数据备份。
存储柜、服务器设备清单 方案:
刀片机箱 1套(IBM BLCS)配置6块750 GSATA硬盘和6块300GSAS硬盘,裸容量6TB N0: P/N DESCRIPTION QTY PRICE TOTAL PRICE(元)描述 1 8886E1C
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
BCS Chassis(Express), 4x PS, 1xDSM, 1xSAS connectivity module, 7U/6 Blade, CD-RW / DVD-ROM , AMM 1 35500 35500 43W3581 IBM BladeCenter S 6-Disk Storage Module(DSM)1 6100 6100 最过可安装 2 个;每1个可支持最多6个HS HDD 3 39Y9190 SAS Expansion Card(CFFv)2 2050 4100 43W7580
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
750GB Dual Port SATA Hot Swap Option 6 4500 27000 磁盘可选SATA 5 43X0802 300GB 15K 3.5“ Hot-Swap SAS HDD 6 5060 30360 磁盘也可选SAS 6 39Y9324 刀片服务器专用20 口(对外 6 口)千兆 2 层以太网交换机模块 1 9500 9500 铜口6端口对外 2层以太网交换模块 合计: 112560
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
刀片服务器 1台(2CPU/4GB/2*146G)N0: P/N DESCRIPTION QTY PRICE TOTAL PRICE(元)描述 1 8853A2C HS21 E5335 2.00GHz/1333 8MB L2 Quad Core,80W,1GB*2 PC2-5300 FB-DIMM, open 2.5” SAS 1 17000 17000
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
最大支持2路处理器 2 40K1274 2.00GHz/1333MHz Intel Quad Core Xeon Processor Model E5335 1 5300 5300 39M5785 2GB(2 x 1GB)PC2-5300 CL5 ECC DDR2 FB-DIMM 667 MHz chipkill 1 1800 1800 42D0421 146GB 10K SFF SAS Fixed HDD 2 3100 6200
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
合计: 30300
刀片服务器 1台(2CPU,最大可升级到4CPU/4GB/2*146G)N0: P/N DESCRIPTION QTY PRICE TOTAL PRICE(元)描述 1 797252C 2 x 2.4GHz DC Opteron 8216 HE, 1MB, 68W, 4*1GB,2*Dual Giga NET 1
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
43000 43000 支持4路处理器,最大内存64GB,标配2路处理器 2 42D0421 146GB 10K SFF SAS NHS 2 3100 6200
合计: 49200
六、教室多媒体显示设备
教室多媒体设备应当包含多媒体电脑和播放设备、显示设备、扩声设备和集中控制设备(可选)。
现有的多媒体显示设备配置多为投影机加挂幕,或者电视。
现有电视大多不是大屏幕平板电视,没有D-Sub接口,主要作为DVD及校园闭路电视的显示终端,适用于播放电视节目信号,而不适用于大篇幅文字字符的显示,因此在小学用于班级教学的使用率较高。部分学校有一间教室同时存在投影机和电视的情况,主要为降
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
低投影机的使用频率,减少灯泡损耗。
现有的投影机加挂幕的配置模式,经过多年装备,已经成熟应用,广大教师和学生接受程度高,可有效弥补电视显示的不足。但是投影机灯泡配件相对昂贵,维护成本较高,小学使用起来存在较大的浪费。同时单纯的投影机加挂幕的显示方式,师生的互动较少,老师在讲解过程中书写、标注、提示重点等传统教学特色因为无法在挂幕上完成而丧失。
我市多媒体显示设备的配置建议如下:
1、传统的投影机加挂幕的配备模式仍然是配置的主要方案。
2、可试点在小学以及中学的部分小班制班级中使用大屏幕平板电视,大屏幕液晶电视和等离子电视在可视角度、响应速度、清晰度、对比度、亮度、残影、功耗、使用寿命上各有优缺点。
3、可试点在中学教室装配电子白板,结合最新的短距投影机,可有效避免吊装的传统投影机直射光线照射教师视线和过大面积阴影遮蔽的缺点。同时,随着业界科技的进步,电子白板相比以往的产品在软件方面针对教学特点作了相当多的革新设计,已经有了进入教室使用的条件,市场也渐趋成熟,竞争充分,价格也大幅下降。
具体配置建议如下表: 方案 适用对象 配置参考参数 预算(元)
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
说明
42寸液晶电视 小学或中学特定小班
屏幕比例16:9/对比度800:1/亮度800cd/m2/分辨率1920×1080/反应时间8ms 8000-12000 普通教室中显示,后排观看文字内容有一定影响。46寸/47寸液晶电视 小学或中学特定小班
屏幕比例16:9/亮度800cd/m2/对比度800:1/分辨率1920×1080/反应时间8ms。18000-26000 分辨率高,对比度低。基本满足小班或小学动画及图片的显示。寿命长、维护低廉 50寸等离子电视 小学或中学特定小班
屏幕比例16:9,分辨率1366*768 ,对比度10000:1 ,亮度1500cd/m2 16000-26000 对比度高,色彩真实
像素点略大。基本满足小班或小学动画及图片内容的显示。寿命长、维护低廉
50寸商用等离子显示器
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
小学或中学特定小班
10000:1对比度,分辨率:1024*768,亮度1500cd/m2 30000 扩展性强,可加挂触摸屏,文字显示更清晰 80寸以上电子白板结合短距曲面投影机 中学
电压感或红外电子白板 短距投影机:
曲面反光镜,基于3LCD技术,1024x768的分辨率,2500流明
电子白板9500元,短距投影机35000元及壁挂安装500元。合计45000元
电子白板可结合原有黑板壁挂,做滑动推拉设计,回归教学交互,肢体语言充分,可有效避免投影机直射光线。开拓全新多媒体教学方式,费用较高,部分试点。80寸以上电子白板结合投影机 已安装投影机的小学和中学 电压感或红外电子白板
分辨率(dpi)1024×768,亮度3000流明或以上,LCD尺寸不低于0.8英寸,冷光源灯泡功率不高于250W且寿命不低于2000小时。双路VGA输入端口,自动垂直梯形校正功能,对比度不低于500:1,亮
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
度均匀度不低于90%,可吊装,中文菜单。电子白板及安装10000元。投影机使用原有或者新购置10000元 合计20000元
电子白板可结合原有黑板壁挂,做滑动推拉设计,取代挂幕。回归教学交互,肢体语言充分。缺点:投影机直射光影响使用,作为过渡方案,部分试点。投影机结合挂幕 中学及小学
投影机1024x768的分辨率,亮度3000流明或以上,对比度:500:1 挂幕:
增益比不低于1.5,幕面具有可清洗、阻燃、防霉、无异味、不变形、不变色等特性。建议采用进口幕布。电动挂幕要求为管状电机。11000元
传统主流配置方式,应用简单、成熟。
大屏幕平板电视安装说明:一般学校的教室面积基本在60平方米左右,长宽在7到9米之间,为了使学生身体不歪斜就能看到显示画面,显示器与学生之间要保持合适的距离和视角, 对42英寸显示器来说, 在播放计算机640X480分辨率的WINDOWS画面时,正常视力的人观看画面上的文字,最近距离不应小于2米,最远距离不应大于6米。对50英寸显示器来说, 最近距离不应小于3米,最远距离不应大
精心收集
精心编辑
精致阅读
如需请下载!
演讲稿 工作总结 调研报告 讲话稿 事迹材料 心得体会 策划方案
于8米。因此在尺寸选择上应不小于42寸,更小的显示尺寸会使用后排的学生无法看清显示的内容。观看视角分为水平视角和仰角,水平视角是指观看电视机的角度。应在45度以内,仰角是学生抬头的角度,最大不要超过30度。电视机安装在墙面上或悬挂在顶棚上, 墙面安装的高度为1.6~1.8米,悬挂在顶棚上时距地面为2~2.5米。显示器向下要有俯角,一般为10~15度之间。
备注:本配置建议中涉及到的厂商产品报价为2007招标报价或年终时段的市场价。
精心收集
精心编辑
精致阅读
如需请下载!