淺談中小學(xué)網(wǎng)絡(luò)安全之網(wǎng)絡(luò)架構(gòu)

摘 要：當(dāng)前，網(wǎng)絡(luò)技術(shù)飛速發(fā)展，中小學(xué)校園網(wǎng)的建成，使學(xué)校實(shí)現(xiàn)了管理的網(wǎng)絡(luò)化和教學(xué)手段現(xiàn)代化。作為一個(gè)向公眾開(kāi)放的網(wǎng)絡(luò)，網(wǎng)絡(luò)安全成為一個(gè)重要的環(huán)節(jié)。從網(wǎng)絡(luò)架構(gòu)方面對(duì)中小學(xué)網(wǎng)絡(luò)安全進(jìn)行了探討和分析。

關(guān)鍵詞：網(wǎng)絡(luò)安全；路由器；校園網(wǎng)

隨著計(jì)算機(jī)網(wǎng)絡(luò)及其應(yīng)用的發(fā)展，校園網(wǎng)建設(shè)在全國(guó)各高等院校越來(lái)越普及，網(wǎng)上教學(xué)、網(wǎng)上辦公、網(wǎng)上信息發(fā)布等校園網(wǎng)絡(luò)信息服務(wù)越來(lái)越廣，但校園網(wǎng)的安全問(wèn)題也逐漸凸顯出來(lái)。構(gòu)架安全的校園網(wǎng)絡(luò)環(huán)境，保證關(guān)鍵數(shù)據(jù)的安全性及各類(lèi)信息的準(zhǔn)確性，使校園網(wǎng)安全、穩(wěn)定、高效地運(yùn)轉(zhuǎn)，已成為各級(jí)學(xué)校越來(lái)越重視的問(wèn)題。校園網(wǎng)的安全已成為不容忽視的問(wèn)題，數(shù)據(jù)的安全性和學(xué)校自身的利益受到了嚴(yán)重的威脅。因此，能否保證計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的安全和正常運(yùn)行便成為校園網(wǎng)絡(luò)管理所面臨的一個(gè)重要的問(wèn)題。

網(wǎng)絡(luò)安全包含兩部分內(nèi)容：（1）構(gòu)成網(wǎng)絡(luò)物理體系的正常運(yùn)行，保證數(shù)據(jù)在網(wǎng)上高效傳送；（2）保障基于網(wǎng)絡(luò)的數(shù)據(jù)在傳輸過(guò)程中、存取中不被竅取、篡改、遺失。網(wǎng)絡(luò)的安全架構(gòu)是指為保證網(wǎng)絡(luò)安全從工作理念、網(wǎng)絡(luò)結(jié)構(gòu)、軟件及硬件設(shè)備、技術(shù)手段等方面共同構(gòu)成的一個(gè)完整體系。

互聯(lián)網(wǎng)在設(shè)計(jì)之初就是本著自由與開(kāi)放的原則，缺乏對(duì)安全

性的總體構(gòu)想和考慮，導(dǎo)致目前許多應(yīng)用系統(tǒng)處于不設(shè)防狀態(tài)。廣泛存在的安全問(wèn)題、侵權(quán)問(wèn)題、誠(chéng)信問(wèn)題和精神污染等問(wèn)題，已經(jīng)成為互聯(lián)網(wǎng)進(jìn)一步發(fā)展的最大障礙。如果學(xué)校網(wǎng)絡(luò)沒(méi)有一個(gè)科學(xué)的安全架構(gòu)，很好地解決網(wǎng)絡(luò)安全問(wèn)題，那么它只能是一種互聯(lián)網(wǎng)的延伸，也就失去存在的意義。但是，如何才能行之有效地建立起網(wǎng)絡(luò)安全架構(gòu)呢？

一、網(wǎng)絡(luò)架構(gòu)

首先，我們根據(jù)學(xué)校網(wǎng)絡(luò)所在的實(shí)際物理位置來(lái)布局，比如筆者所在的學(xué)校，有兩棟四層教學(xué)樓，是劃成四個(gè)VLAN呢，還是劃成其他的？為了比較清晰地說(shuō)明情況，我把我們本校的網(wǎng)絡(luò)架構(gòu)畫(huà)了出來(lái)，這樣能夠更清晰地看出個(gè)所以然！如下圖。

首先，我們將學(xué)校網(wǎng)絡(luò)基本情況做下描述，每棟教學(xué)樓上分別設(shè)立有一間學(xué)生機(jī)房，每間教室配備有多媒體教學(xué)設(shè)備，各教師辦公室都配有辦公計(jì)算機(jī)。財(cái)務(wù)室及領(lǐng)導(dǎo)辦公室位于一號(hào)教學(xué)樓一樓。我們把每棟教學(xué)樓及機(jī)房分別劃成一個(gè)VLAN，并將路由器和服務(wù)器所在區(qū)域劃分為一個(gè)VLAN，也就是有四個(gè)VLAN，一號(hào)樓的辦公區(qū)呢？我們單獨(dú)地把辦公區(qū)劃出來(lái)，采用TP-LINK 1024V把每臺(tái)機(jī)器都劃成一個(gè)VLAN，然后把幾臺(tái)服務(wù)器放在另外一個(gè)區(qū)域中，即圖中的VLAN 4。也許大家會(huì)問(wèn)，為什么劃這么多的VLAN？而且同一棟樓的為什么也要?jiǎng)澇蓛蓚€(gè)VLAN呢？這就是問(wèn)題所在了。大家都知道，現(xiàn)在ARP病毒很厲害，而且已發(fā)生這樣的情況，即整個(gè)VLAN的集體掉線情況，解決此問(wèn)題的方法就是通過(guò)硬件把問(wèn)題最小化。這也不會(huì)從根本上解決ARP的問(wèn)題，但至少給學(xué)校網(wǎng)絡(luò)帶來(lái)了不少的好處。如果發(fā)生了ARP病毒，只會(huì)給這個(gè)區(qū)域帶來(lái)影響，而絲毫不會(huì)對(duì)其他區(qū)域產(chǎn)生影響。這里又會(huì)有人問(wèn)了，為什么辦公區(qū)每臺(tái)機(jī)子都是一個(gè)VLAN，而其他的不這樣呢？這個(gè)很容易理解，財(cái)務(wù)工作由于其安全敏感性，需要高效的網(wǎng)絡(luò)安全環(huán)境，所以便將辦公區(qū)劃分為每臺(tái)機(jī)器一個(gè)VLAN。而在學(xué)校機(jī)房的日常教學(xué)中會(huì)用到文件共享等網(wǎng)絡(luò)應(yīng)用，不可能把安全做徹底了，而給教學(xué)帶來(lái)極大不便。其他的樓層都有相應(yīng)的小局域網(wǎng)。這里順便提一下，幾臺(tái)服務(wù)器都是不能相互訪問(wèn)的（在服務(wù)器安全配置里會(huì)具體提到，以免一臺(tái)淪陷了導(dǎo)致其他服務(wù)器的攻破）。這樣，即把問(wèn)題都集中一個(gè)小的區(qū)塊中，容易管理和解決問(wèn)題。

二、路由器和防火墻的配置

路由器是整個(gè)網(wǎng)絡(luò)的核心，在路由器的選擇方面，硬件路由器使用簡(jiǎn)單方便，但擴(kuò)成功能不足，特別是網(wǎng)絡(luò)擴(kuò)大或是面對(duì)攻擊不能很好地提供保護(hù)。而軟件路由器就是一臺(tái)普通的pc，可以根據(jù)需要適當(dāng)?shù)卦黾觾?nèi)存，更換處理器，選用數(shù)據(jù)處理能力更大的網(wǎng)卡，這里我向大家推薦使用M0n0做軟件路由器。M0n0是基于Freebsd而開(kāi)發(fā)的軟件路由器。由于Freebsd有著比Linux更高的穩(wěn)定性、可靠性，所以用M0n0來(lái)做軟件路由器絕對(duì)是最好的選擇。而且安裝配置比Coyote更簡(jiǎn)單，功能更強(qiáng)大，主要支持如下功能：

1.多廣域網(wǎng)固定IP支持。

2.支持ppoe、dhcp、pptp、static等方式接入。

3.支持無(wú)線局域網(wǎng)。

4.支持DNS轉(zhuǎn)發(fā)、DHCP服務(wù)、SNMP服務(wù)、ARP代理，支持加密驗(yàn)證。

5.支持VPN服務(wù)。

6.可以查看系統(tǒng)的使用內(nèi)存和cpu的占有及實(shí)時(shí)流量查看等。

7.強(qiáng)大的防火墻功能及其日志功能。

作為學(xué)校網(wǎng)絡(luò)的核心設(shè)備，不一定要求最好的配置，但一定要穩(wěn)定。最好使用845以上的主板，處理器1.7以上，內(nèi)存128M以上，100M以上的硬盤(pán)（建議使用電子硬盤(pán)）。網(wǎng)卡最好選擇處理數(shù)據(jù)能力優(yōu)秀的，這里我們選用的是intel 82559的千兆網(wǎng)卡。接下來(lái)就是m0n0的安裝了。

校園網(wǎng)絡(luò)建設(shè)是學(xué)校信息系統(tǒng)的核心，如何提高學(xué)校網(wǎng)絡(luò)的

安全已是學(xué)校需要解決的重要問(wèn)題，我們只要不斷地探索，不斷地學(xué)習(xí)研究，就能更好地管理和完善它。這里只是為大家提供一個(gè)思路而已，實(shí)際操作起來(lái)可能會(huì)碰到這樣或者那樣的困難，但是我們?cè)谧雠渲们暗糜幸粋€(gè)好的思路，這樣我們做起事來(lái)就不會(huì)感到毫無(wú)辦法。

（作者單位 河南省三門(mén)峽中等專(zhuān)業(yè)學(xué)校）