校園網(wǎng)絡(luò)安全技術(shù)探討

張想銀

校園網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)性工程，不能僅依靠防病毒、防火墻、VLAN、云火墻等網(wǎng)絡(luò)安全技術(shù)。任何技術(shù)的應(yīng)用，都必須建立在對(duì)人和資源的有效管理上，學(xué)校應(yīng)建立相應(yīng)的規(guī)章制度，確保校園網(wǎng)正常安全運(yùn)行，朝著健康有序方向發(fā)展。

一、防病毒技術(shù)

新型病毒層出不窮，傳播速度快，破壞能力越來(lái)越強(qiáng)。校園網(wǎng)必須在網(wǎng)絡(luò)系統(tǒng)的各個(gè)環(huán)節(jié)嚴(yán)加防范，才能控制或阻止病毒的侵害?？紤]學(xué)校教學(xué)用機(jī)數(shù)量龐大，要建立全面的主動(dòng)病毒防護(hù)體系，在每臺(tái)工作站、服務(wù)器上都要有反病毒軟件并能統(tǒng)一管理。校園網(wǎng)與Internet相連的網(wǎng)關(guān)，也要安裝防病毒軟件進(jìn)行攔截，以阻止病毒進(jìn)入校園網(wǎng)傳播擴(kuò)散。由于師生信息瀏覽和EMAIL通信的普遍性，在Internet瀏覽、下載的信息時(shí)有可能傳播病毒到內(nèi)部網(wǎng)絡(luò)上，防病毒軟件要能阻止網(wǎng)頁(yè)攜帶的Applet小應(yīng)用程序、ActiveX等病毒破壞，發(fā)現(xiàn)并清除隱藏在EMAIL、QQ、MSN、附件中的欺騙性病毒和木馬。

目前，主流的防病毒產(chǎn)品主要有賽門鐵克、趨勢(shì)、江民、金山等，網(wǎng)絡(luò)上也不乏免費(fèi)殺毒軟件，如360殺毒。首次安裝防病毒軟件時(shí)，一定要對(duì)計(jì)算機(jī)做一次徹底的病毒掃描，注意定期查殺，及時(shí)進(jìn)行軟件的更新。

二、防火墻與網(wǎng)絡(luò)隔離技術(shù)

配置防火墻可以最大限度防止Internet上的不安全因素蔓延到校園網(wǎng)內(nèi)部。校內(nèi)單機(jī)可以使用個(gè)人防火墻，網(wǎng)上這樣的免費(fèi)或限時(shí)軟件很多，比如：360安全衛(wèi)士、天網(wǎng)。校園內(nèi)外網(wǎng)之間，可根據(jù)學(xué)校需要配置軟件或硬件防火墻。軟件防火墻依賴于服務(wù)器的操作系統(tǒng)，安全性有較大限制，速度也比較慢，建議有條件的學(xué)校配置硬件防火墻。硬件防火墻有專用硬件平臺(tái)和專用操作系統(tǒng)，甚至芯片級(jí)硬件防火墻使用專門芯片硬件平臺(tái)。沒(méi)有操作系統(tǒng)，它們的速度快、性能高、處理能力強(qiáng)。目前，常用的軟件防火墻有Checkpoint、KFW傲盾、天網(wǎng)等，常用的硬件防火墻有Net Screen、Cisco、Hill stone等，還可根據(jù)學(xué)校需要選配NAT、DNS、VPN、IDS等不同模塊。

網(wǎng)絡(luò)隔離技術(shù)在內(nèi)、外部主機(jī)系統(tǒng)中嵌入安全加固且不同的操作系統(tǒng)，內(nèi)部主機(jī)的操作系統(tǒng)對(duì)外部攻擊者是不可見(jiàn)的。在校園網(wǎng)和外部網(wǎng)絡(luò)之間形成了物理隔離帶，消除了基于網(wǎng)絡(luò)協(xié)議的攻擊。這種技術(shù)的應(yīng)用，必將使校園網(wǎng)絡(luò)管理高效化、簡(jiǎn)單化，安全級(jí)別也更高。

三、VLAN技術(shù)

隨著校園網(wǎng)絡(luò)規(guī)模擴(kuò)大，網(wǎng)內(nèi)機(jī)器超過(guò)200臺(tái)時(shí)網(wǎng)絡(luò)管理將極為困難。在實(shí)際應(yīng)用時(shí)，采取VLAN技術(shù)把校園網(wǎng)劃分為行政辦公、教師、學(xué)生等子網(wǎng)。劃分可以跨過(guò)物理設(shè)備，各子網(wǎng)之間無(wú)法直接通信，信息僅在VLAN內(nèi)的成員之間傳送，限制非成員數(shù)據(jù)轉(zhuǎn)發(fā)，從而減少了主干網(wǎng)的數(shù)據(jù)流量，控制網(wǎng)絡(luò)風(fēng)暴在必要范圍內(nèi)，并增強(qiáng)網(wǎng)絡(luò)的安全性，利于管理。根據(jù)校園網(wǎng)管理特點(diǎn)，通常選擇下面三種方法劃分VLAN。

（1）基于端口的劃分。根據(jù)以太網(wǎng)交換機(jī)的端口劃分不同VLAN，可以把跨交換機(jī)的端口劃分到同一VLAN中，一個(gè)VLAN對(duì)應(yīng)一個(gè)端口集合，一個(gè)端口在某一時(shí)間只能位于一個(gè)VLAN中。比如可以把交換機(jī)SWl的端口1、4-5和SW2的端口2-3、6劃為VLANl；把交換機(jī)SWl的端口2、3和SW2的端口1、4、5劃為VLAN2。這種方法簡(jiǎn)單易行，但是靈活性差。當(dāng)教學(xué)用機(jī)需要移動(dòng)時(shí)，新端口不位于原VLAN中時(shí)，機(jī)器不能直接連接通信，需要管理員重新定義端口配置。

（2）基于MAC地址的劃分。校園網(wǎng)中的每個(gè)MAC地址對(duì)應(yīng)一臺(tái)計(jì)算機(jī)，一個(gè)VLAN就是一個(gè)MAC地址集合。比如把所有教師機(jī)的MAC地址添加到VLANl中，所有學(xué)生機(jī)的MAC地址添加到VLAN2中。配置完成后，交換機(jī)根據(jù)MAC地址識(shí)別和跟蹤教學(xué)用機(jī)。即使教學(xué)用機(jī)或服務(wù)器移動(dòng)位置，更換端口，也不會(huì)改變其所屬的VLAN。這種方法，用戶使用靈活，但是管理員工作量大而煩瑣：初始化時(shí)，如果用戶數(shù)量較多，要收集所有計(jì)算機(jī)MAC地址，對(duì)所有計(jì)算機(jī)進(jìn)行配置，工作量極大；后期，每一臺(tái)新計(jì)算機(jī)入網(wǎng)時(shí)，也需要添加到對(duì)應(yīng)的VLAN中，否則不能連接。

（3）基于IP地址劃分。校園網(wǎng)中的網(wǎng)絡(luò)層IP地址對(duì)應(yīng)一臺(tái)計(jì)算機(jī)，一個(gè)VLAN就是一個(gè)IP地址集合。例如：把IP地址192.168.1.1-192.168.1.100設(shè)置為VLANI給教師使用，把192.168.2.1-192.168.2.200設(shè)置為VLAN2給學(xué)生使用。它具有第2種劃分方法的優(yōu)點(diǎn)，用戶計(jì)算機(jī)可以不修改網(wǎng)絡(luò)配置移動(dòng)，并且無(wú)需收集MAC地址對(duì)所有計(jì)算機(jī)單獨(dú)配置。但校園網(wǎng)中每次數(shù)據(jù)轉(zhuǎn)發(fā)，都需要檢查TCP／IP協(xié)議的網(wǎng)絡(luò)層，網(wǎng)絡(luò)工作效率低。

目前，應(yīng)用比較廣泛的具備VLAN功能的交換機(jī)、路由器主要有Cisco、銳捷、神州數(shù)碼等，這些網(wǎng)絡(luò)設(shè)備也不一定具備VLAN所有劃分方式。因此，學(xué)校要根據(jù)自己的要求和價(jià)格承受能力，選擇不同層次和功能的VLAN網(wǎng)絡(luò)設(shè)備，再根據(jù)實(shí)際設(shè)備選擇適合的VLAN劃分方式配置網(wǎng)絡(luò)。

四、云防護(hù)技術(shù)

校園網(wǎng)中Email、BBS、Web、即時(shí)通信、上傳下載各種服務(wù)和應(yīng)用繁多，這也為黑客提供了更多的攻擊途徑。目前針對(duì)網(wǎng)絡(luò)的聯(lián)合攻擊規(guī)模越來(lái)越大，破壞性越來(lái)越強(qiáng)。許多校園網(wǎng)絡(luò)工作站點(diǎn)要么成為“僵尸”，要么成為被攻擊的對(duì)象。比如：“僵尸網(wǎng)絡(luò)”就是通過(guò)掛馬、下載等途徑控制數(shù)量巨大的“肉雞”對(duì)目標(biāo)進(jìn)行DOS等攻擊；還有“零日攻擊”指惡意運(yùn)用立即被發(fā)現(xiàn)的安全漏洞，利用時(shí)間差在網(wǎng)絡(luò)未及防范的情況下實(shí)施攻擊。

云防護(hù)技術(shù)就是通過(guò)云火墻、網(wǎng)絡(luò)防控中心，動(dòng)態(tài)、主動(dòng)、協(xié)同阻止病毒、木馬、蠕蟲的蔓延和破壞?；ヂ?lián)網(wǎng)中，攻擊經(jīng)常是不可避免的。例如江蘇一個(gè)網(wǎng)絡(luò)感染蠕蟲病毒，立即把地址等信息報(bào)告云中心，中心再同步其他網(wǎng)絡(luò)，就可能阻止上海等其他網(wǎng)絡(luò)被感染。這種技術(shù)有別于防火墻技術(shù)的靜態(tài)被動(dòng)式防護(hù)，極大地提高了防護(hù)的效率。目前，市場(chǎng)上云防護(hù)安全產(chǎn)品主要有思科ASA云火墻，一些個(gè)人防火墻也具備一些云防護(hù)功能。學(xué)?？梢赃x擇購(gòu)買云防護(hù)構(gòu)件，加入這些云防護(hù)中心。

（定西市通渭縣榜羅中學(xué)）