校園網(wǎng)安全系統(tǒng)的設計與實現(xiàn)

李小凱

【摘 要】校園網(wǎng)是在學校范圍內(nèi)，為教學、科研和管理提供資源共享、信息交流和協(xié)同工作的計算機網(wǎng)絡。在信息化的今天，校園網(wǎng)已經(jīng)成為各類院校重要的基礎設施，其運行安全也變的日益重要。面對復雜的網(wǎng)絡環(huán)境以及網(wǎng)絡內(nèi)外各種安全威脅，如何進行安全防范，保證校園網(wǎng)的安全、高效運行已經(jīng)成為校園網(wǎng)設計和建設需要解決的主要問題。本文針對當前校園網(wǎng)面臨的一些常見安全威脅進行了分析，并在網(wǎng)絡規(guī)劃和配置方面提出了一些解決思路和范例。

【關鍵詞】校園網(wǎng)安全，防火墻，防病毒系統(tǒng)，認證和審計，虛擬局域網(wǎng)

【中圖分類號】TP393.18【文獻標識碼】A【文章編號】1672-5158（2013）02-0166-02

一、校園網(wǎng)常見的安全威脅

威脅校園網(wǎng)安全運行的因素很多，主要包含計算機本身的系統(tǒng)漏洞、各類網(wǎng)絡攻擊和病毒的威脅、內(nèi)部人員的非授權訪問和資源濫用、不良信息泛濫等。其中，來自內(nèi)、外網(wǎng)絡的各類蓄意攻擊行為最為普遍，常見的形式有：

1、拒絕服務攻擊（DoS）

拒絕服務攻擊就是一種發(fā)起大量訪問請求使目標服務器停止工作甚至崩潰的攻擊行為，其具體攻擊原理大致如下：第一，通過制造大量的垃圾信息和流量沖擊網(wǎng)絡，使被攻擊服務器網(wǎng)絡阻塞從而無法及時接收用戶請求并處理；第二，利用服務傳輸協(xié)議漏洞制造大量的非法連接請求不斷消耗操作系統(tǒng)資源，讓操作系統(tǒng)無法正常處理合法用戶的請求；第三，反復發(fā)送巨量畸形攻擊數(shù)據(jù)，讓服務器的有限資源被大量占據(jù)，最終導致服務器掛起甚至不斷死機。拒絕服務攻擊的具體攻擊方式主要包括：S Y N Foold、IP欺騙DoS、Ping of Death、UDP洪水以及電郵炸彈等。

2、利用型攻擊

利用型攻擊是一種以試圖直接控制目標主機為目的的網(wǎng)絡攻擊行為，其主要通過對目標主機的密碼猜測或破解、木馬植種以及緩沖區(qū)溢出三種方法實現(xiàn)。密碼猜測和破解就是攻擊者通過猜測或破解的方式非法獲取主機網(wǎng)絡輸入輸出系統(tǒng)（NetBIOS）、Telnet以及NFS等系統(tǒng)賬號密碼，最終獲取目標主機控制權。木馬種植就是將木馬程序安裝到目標機器的系統(tǒng)中并激活，從而獲取對方賬號和密碼，最終控制目標主機。緩沖區(qū)溢出是指利用目標主機系統(tǒng)本身的漏洞，造成對方運行失敗、系統(tǒng)死機、重新啟動等后果。更為嚴重的是，可以利用它執(zhí)行非授權指令，取得系統(tǒng)特權，進而進行各種非法操作。

3、信息收集型攻擊

信息收集攻擊主要是對目標計算機進行的一些信息掃描以及體系結構探測等行為。信息掃描包含對目標的地址和端口掃描、主機存在與否的反響映射以及對目標及其的操作系統(tǒng)結構探測等。信息收集型攻擊本身并不會對目標主機造成危害，但其在運用的過程中能獲取大量主機信息，能為進一步入侵主機提供很多有效信息，因此很多黑客在進行最終網(wǎng)絡攻擊前都會運用這種方式，讓自身的攻擊目標更準確攻擊結果更有效。其具體方式有：DNS轉(zhuǎn)換獲取主機名及IP、Finger服務、LDAP服務以及Sniffer等。

4、信息欺騙攻擊

主要通過利用網(wǎng)絡協(xié)議中本身的缺陷以及攻擊目標的配置漏洞，發(fā)送一些偽造的數(shù)據(jù)信息以達到竊取服務器信息、改變用戶或讓服務器拒絕服務的目的，主要包括DNS緩存污染以及偽造電郵等兩種方式。DNS服務器在與其他服務器進行信息交換時不會身份校驗，這種漏洞就使攻擊者很容易將錯誤信息滲入并將用戶引向自己主機。網(wǎng)絡郵件的發(fā)送并不會進行身份認定，很多攻擊者謊稱用戶認識的人或者單位發(fā)送郵件給用戶，在郵件中附帶一些木馬病毒，一旦客戶運行郵件機器就會中毒，很多賬戶以及密碼信息都會處于攻擊者的監(jiān)控之下。

二、校園網(wǎng)安全解決方案

要解決校園網(wǎng)所面臨的常見安全問題，必須在網(wǎng)絡系統(tǒng)中的各個環(huán)節(jié)采取必要的防范措施，使用防范技術，完善管理體系，才能有效保障校園網(wǎng)的安全。

1、應用防火墻技術實現(xiàn)對網(wǎng)絡的訪問控制

防火墻是最基本的一種網(wǎng)絡安全防范技術。它被設置在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間，根據(jù)既定的安全策略對流經(jīng)的數(shù)據(jù)包進行安全檢查和篩選，可有效監(jiān)控網(wǎng)絡之間的通信活動，阻斷非授權訪問，還可以有效的避免拒絕服務攻擊、非法信息刺探和收集、信息欺騙等攻擊，保證內(nèi)部網(wǎng)絡的安全。

在校園網(wǎng)的實際應用中，可根據(jù)網(wǎng)絡拓撲結構和校園網(wǎng)安全的實際需求，在以下區(qū)域部署防火墻：校園網(wǎng)內(nèi)部與外部網(wǎng)絡之間；校園網(wǎng)不同區(qū)域之間；重要主機和服務器（如WWW服務器、郵件服務器等）的接入層。為了保證網(wǎng)絡安全策略的統(tǒng)一，提高網(wǎng)絡管理效率，可選擇采用分布式防火墻進行統(tǒng)一部署。

要使防火墻充分發(fā)揮作用，管理者應根據(jù)實際需求，制定合理的安全策略，啟用各類防護功能，在允許必要網(wǎng)絡通信類型的同時，對其他網(wǎng)絡通信嚴格甄別篩選，從而盡可能保證內(nèi)部網(wǎng)絡的安全運行。

隨著技術的發(fā)展，防火墻的功能也在不斷的擴充和完善，新一代的防火墻在實現(xiàn)傳統(tǒng)數(shù)據(jù)包篩選功能的同時，還增加了VPN、IDS、網(wǎng)絡審計等系統(tǒng)的部分功能，從而使得其應用更加靈活和高效。

2、應用入侵檢測技術（IDS）保護信息網(wǎng)絡和重要主機的安全

防火墻一般只能鑒別相對較簡單的網(wǎng)絡攻擊類型，為了進一步保護校園網(wǎng)的安全，可采用入侵檢測技術，對較復雜的網(wǎng)絡入侵行為進行檢測和阻止。

在校園網(wǎng)的重要網(wǎng)段安裝基于網(wǎng)絡的入侵檢測系統(tǒng)，實時監(jiān)視網(wǎng)絡中傳輸?shù)母鞣N數(shù)據(jù)包，對可疑數(shù)據(jù)包進行特征分析。如果數(shù)據(jù)包與入侵檢測中的某些規(guī)則吻合，則入侵檢測系統(tǒng)就會及時發(fā)出警報或直接切斷網(wǎng)絡連接。

在校園網(wǎng)重要主機（如WWW服務器、郵件服務器等）安裝基于主機的入侵檢測系統(tǒng)，對該主機的網(wǎng)絡實時連接以及系統(tǒng)審計日志進行智能分析和判斷，如果發(fā)現(xiàn)異常行為，入侵檢測系統(tǒng)就會及時采取相應措施。

入侵檢測系統(tǒng)的靈活運用，可幫助管理員及時發(fā)現(xiàn)校園網(wǎng)面臨的各種入侵行為，從而避免校園網(wǎng)遭受實質(zhì)性的破壞和損失。

3、應用分布式網(wǎng)絡殺毒系統(tǒng)解決網(wǎng)絡病毒入侵問題

為保護校園網(wǎng)主機免受計算機病毒的侵害，建立一個統(tǒng)一、高效的病毒防控機制，需要在校園網(wǎng)上應用基于網(wǎng)絡的病毒防控技術。該技術可在網(wǎng)絡的各個環(huán)節(jié)上實現(xiàn)對計算機病毒和防范，包括網(wǎng)關、服務器和用戶桌面主機，結合在校園網(wǎng)中設置的中央控制臺，可對網(wǎng)絡中所有主機進行集中防控配置，并實現(xiàn)對系統(tǒng)進行統(tǒng)一的升級和管理，從而大大提高了整個網(wǎng)絡對病毒的防控能力。

4、應用漏洞掃描技術對系統(tǒng)進行安全評估

借助漏洞掃描技術，網(wǎng)絡管理者可及時發(fā)現(xiàn)校園網(wǎng)潛在的安全隱患，并加以必要的修補，從而減小網(wǎng)絡被攻擊的可能。漏洞掃描技術可幫助網(wǎng)絡管理者準確掌握網(wǎng)絡的安全現(xiàn)狀，及時發(fā)現(xiàn)安全漏洞，并提出具體的解決辦法和建議。

具體可在校園網(wǎng)合適位置設立專門的安全分析工作站，定期從各個角度對校園網(wǎng)進行全方位的漏洞分析掃描，找出問題并且給出安全性建議，以便系統(tǒng)管理者及時堵住系統(tǒng)安全漏洞。另外，為避免補丁程序更新不及時或其它意外因素，對重大的漏洞補丁程序，以傳統(tǒng)的網(wǎng)絡公告方式發(fā)布并提供直接下載，可有效地避免惡性安全事件的大范圍發(fā)生。

5、應用虛擬局域網(wǎng)（VLAN）技術解決敏感資源保護問題

虛擬局域網(wǎng)使網(wǎng)絡管理者可根據(jù)實際應用需求，把處在同一物理局域網(wǎng)中的不同用戶按照某種方法劃分到不同的邏輯區(qū)域中，就如他們身處不同的物理網(wǎng)絡一樣。

采用虛擬局域網(wǎng)技術可突破物理網(wǎng)段的限制，靈活建立不同部門或類型的網(wǎng)絡，對彼此間的網(wǎng)絡通信進行隔離，在提高網(wǎng)絡通訊效率的同時，大大提高了網(wǎng)絡整體安全性，并簡化了網(wǎng)絡管理，便于網(wǎng)絡的調(diào)整和擴展。

通過虛擬局域網(wǎng)技術，可將對安全性要求較高的部門，如財務部門和專業(yè)教學和管理部門劃分到不同的VLAN中，各部門內(nèi)部所有的服務器和用戶主機都在各自的VLAN內(nèi)，互不侵擾。VLAN內(nèi)部的連接采用交換方式實現(xiàn)，而VLAN間的連接則采用路由器或三層交換機實現(xiàn)，并可通過訪問控制列表（ACL）對網(wǎng)間連接進行監(jiān)控，從而提升整個校園網(wǎng)安全性能。

為了解決地址盜用和基于MAC地址的攻擊問題，可以采用IP地址、MAC地址及交換機端口等多重綁定方法，最大限度保證VLAN網(wǎng)絡的安全。

6、應用雙機熱備份技術解決備份與恢復問題

對于整個網(wǎng)絡來說，無論單獨一臺網(wǎng)絡服務器如何可靠，依然存在單點故障，只要它有失效的可能性，那么該網(wǎng)絡仍然是一個不可靠的網(wǎng)絡。要提高網(wǎng)絡的可靠性，不但要提高單臺服務器的可靠性，還應采用服務器容錯技術，來消除網(wǎng)絡至少是主干網(wǎng)絡上的單點故障。

校園網(wǎng)中心服務器存儲著大量教學課件、學生數(shù)據(jù)、電子圖書和學校辦公信息等重要數(shù)據(jù)，對內(nèi)提供數(shù)據(jù)庫、WEB、Email等綜合辦公教學服務，對外發(fā)布公開信息服務，因而其安全穩(wěn)定性要得到確保?？刹捎秒p機熱備份技術，對網(wǎng)絡中心服務器等需要具體高可用性的節(jié)點，同時準備兩臺機器進行雙機熱備份。當其中一臺發(fā)生故障時，另一臺能夠快速地接替故障機的工作，從而保障校園網(wǎng)的正常運行。

三、校園網(wǎng)安全系統(tǒng)的設計與實現(xiàn)

基于對當前網(wǎng)絡安全問題的分析，在某中型職業(yè)類院校的網(wǎng)絡安全系統(tǒng)中，主要進行了如下的設計和實施：

1、防火墻與入侵檢測

在網(wǎng)絡攻擊防范方面，該方案采用神州數(shù)碼公司的DCFW-1800E硬件防火墻，將其部署于校園網(wǎng)的出口位置。在實際應用中，DCFW-1800E能很好的實現(xiàn)校園網(wǎng)與外部網(wǎng)絡的隔離。它支持狀態(tài)檢測包過濾、數(shù)據(jù)包內(nèi)容過濾、雙向透明代理、雙向地址轉(zhuǎn)換、端口映射等功能，通過合理的配置，可有效的對出入校園網(wǎng)的數(shù)據(jù)包進行檢查、過濾和轉(zhuǎn)換；在抵御網(wǎng)絡攻擊方面，它提供了抵御DoS和DDoS、ARP欺騙、SYN Flood等多種常見的網(wǎng)絡攻擊類型的能力；此外，它還內(nèi)置了IDS、VPN、上網(wǎng)行為監(jiān)測和Qos等功能，為網(wǎng)絡安全系統(tǒng)的靈活運用提供了基礎和保障。

2、網(wǎng)絡防病毒系統(tǒng)

在校園網(wǎng)病毒防控方面，該方案選擇了瑞星網(wǎng)絡殺毒軟件企業(yè)版。該系統(tǒng)可通過瑞星管理控制臺對網(wǎng)絡上所有服務器和客戶主機的防病毒系統(tǒng)進行遠程安裝、設置、管理和維護，并可實現(xiàn)對全網(wǎng)的各類本地存儲器、網(wǎng)絡共享文件夾、郵件系統(tǒng)和各類壓縮文件進行統(tǒng)一的病毒掃描、監(jiān)控和查殺，做到統(tǒng)一部署，統(tǒng)一行動，不留死角。

3、防止校園網(wǎng)內(nèi)部攻擊

由于校園網(wǎng)內(nèi)部的用戶可以直接訪問內(nèi)部網(wǎng)絡，并擁有相對較多的權限，因此需要對內(nèi)部網(wǎng)絡進行適當?shù)膭澐郑τ脩舻脑L問權限進行限制，以提高內(nèi)部網(wǎng)絡的安全性。

（1） 通過劃分虛擬局域網(wǎng)（VLAN），限制不同區(qū)域之間的訪問。例如，可在該校行政區(qū)域的匯聚層交換機上，通過劃分VLAN，實現(xiàn)各部分之間的隔離，以財務部門為例，配置命令為：

Switch（config）#vlan 100

Switch（config-vlan）#name caiwu

Switch（config）#interface range fastEthernet 0/1-8

Switch（config-if-range）#switchport access vlan 100

（2） 應用訪問控制列表，在匯聚層交換機或路由器上應用訪問控制列表，限制用戶對一些敏感主機的訪問。

例如：在匯聚層交換機上配置以下命令：

Switch （config）#ip access-list extended denystudentwww

Switch （config-ext-nacl）#deny tcp 192.168.50.0 0.0.0.255 211.69.16.0 0.0.0.255 eq www

Switch （config-ext-nacl）#permit ip any any

Switch （config）#int vlan 50

Switch （config-if）#ip access-group denystudentwww in

可以實現(xiàn)拒絕192.168.50.0/24 網(wǎng)段上的終端用戶訪問211.69.16. 0/24 網(wǎng)段上的Web 服務。

（3） 對于一個使用DHCP功能來自動分配IP地址的校園網(wǎng)，防范用戶隨意變更自身IP地址和私設DHCP服務器也是一個網(wǎng)絡安全、穩(wěn)定運行的保證，在這方面，可使用交換機的 DHCP Snooping 和 IP Source Guard功能。使用DHCP Snooping功能，可以防止用戶在網(wǎng)絡中私設DHCP服務器；使用 IP Source Guard功能，可保證只有經(jīng)過綁定的主機才能正常使用網(wǎng)絡資源。

相關配置如下：

第一步，開啟DHCP Snooping功能。

Switch （config）#ip dhcp snooping

第二步，將上鏈口設置為DHCP SNOOPING信任口。

Switch （config）#interface gigabitEthernet 0/1

Switch （config-if-GigabitEthernet 0/1）#ip dhcp snooping trust

第三步，在直連用戶機的端口上開啟IP Source Guard功能

Switch（config）#interface range gigabitEthernet 0/2-3

Switch（config-if-range）#ip verify source port-security

第四步，配置靜態(tài)綁定用戶

Switch （config）#ip source binding 0000.0000.0001 vlan 1 192.168.50.4 interface gigabitEthernet 0/2

4、安全認證和審計系統(tǒng)

為了實現(xiàn)對校園網(wǎng)用戶的安全認證和審計，可在校園網(wǎng)各級交換機上啟用802.1x訪問控制和認證協(xié)議，結合安全管理平臺如銳捷網(wǎng)絡公司的RG-SMP，實現(xiàn)對用戶的安全認證，并可對內(nèi)網(wǎng)安全進行審計。如果在校園網(wǎng)出口位置架設上網(wǎng)行為管理設備，還能對內(nèi)部用戶出入外網(wǎng)的網(wǎng)絡行為進行審計過濾，并使用網(wǎng)頁或短信形式及時向管理員發(fā)送安全通告。

四、校園網(wǎng)安全系統(tǒng)應用效果

通過應用實踐表明，對校園網(wǎng)安全系統(tǒng)合理的設計和部署，是保障校園網(wǎng)平穩(wěn)、可靠運行的基礎和保障：

（1） 防火墻、入侵檢測系統(tǒng)等的應用，可以預防和阻止大部分網(wǎng)絡攻擊行為的發(fā)生；

（2） 網(wǎng)絡化的病毒防護系統(tǒng)可有效控制病毒在校園網(wǎng)上的傳播；

（3） 虛擬局域網(wǎng)技術可控制跨部門、跨區(qū)域的網(wǎng)絡訪問，提升了網(wǎng)絡整體安全性，也提高了整個網(wǎng)絡的運行效率，方便對網(wǎng)絡進行管理和維護；

（4） 認證和審計系統(tǒng)能確認校園網(wǎng)的使用人群，并通過對用戶上網(wǎng)行為的查詢、分析及統(tǒng)計，清晰地反映校園網(wǎng)的實際使用情況，為網(wǎng)絡管理和優(yōu)化提供了參考和依據(jù)；

（5） 通過雙機熱備份技術，可以有效提升校園網(wǎng)關鍵服務的可靠性，保障校園網(wǎng)各類服務的持續(xù)、穩(wěn)定運行。

參考文獻

[1] 夏棟梁，劉玉坤.校園網(wǎng)安全系統(tǒng)的設計與實現(xiàn)[J].網(wǎng)絡安全技術與應用，2011，（9）：17-19

[2] 李海軍.校園網(wǎng)絡體系中核心網(wǎng)的安全系統(tǒng)設計與實施[J].自動化與儀器儀表，2012，（6）：197-198

[3] 冀鑫.校園網(wǎng)安全威脅及安全系統(tǒng)構建探討[J].計算機光盤軟件與應用，2012，（19）

[4] 陳智慧.網(wǎng)絡安全技術在校園網(wǎng)中的進一步應用與分析[J].沿海企業(yè)與科技，2009，（1）：180-封3