几种安全防范技术在校园网中的应用

苏福根　赵积春　金红莉

摘 要：本文对校园计算机网络面临的问题和各种可能的安全威胁进行了探讨，提出了几种防范的技术措施，并对各自的实现原理、优缺点以及相互关系作了较详细的说明比较。

关键词：校园网 网络安全 安全防范

中图分类号：TP393.18 文献标识码：A 文章编号：1673-8454（2009）03-0049-03

由于网络具有连接形式多样性、终端分布不均匀性、开放性、互连性、无边界性、自由性等特征,致使网络易受黑客和病毒的攻击，给社会、学校带来了巨大的损失。

一、高校校园网面临的问题和威胁

1.高校校园网建设中面临的问题

（１）网络管理维护的困难。现在很多课堂教学逐步走向网络化，学生在线学习、娱乐时间增加。校园网网络大、业务多、故障问题定位复杂等特点，使管理难度增大。（２）网络业务容量及资源调配困难。这包括如何合理有效地对网络带宽进行调度和分配，满足网络多媒体教学和远程教学、图书馆访问系统、视频会议等应用。（３）网络安全、统计等运营问题。这表现在校园网缺乏用户认证、授权、计费体系；安全认证以IP地址为主，存在有意和无意的攻击等。

2.高校校园网面临的主要威胁

（１）非授权访问。即对网络设备及信息资源进行非正常使用或越权使用等。（２）冒充合法用户。即利用各种假冒或欺骗的手段非法获得合法用户的使用权限，以达到占用合法用户资源的目的。（３）破坏数据的完整性。即使用非法手段删除、修改、重发某些重要信息以干扰用户的正常使用。（４）干扰系统正常运行。指改变系统的正常运行方法，减慢系统的响应时间等手段。（５）病毒与恶意攻击。即通过网络传播病毒或恶意Ｊａｖａ、ＸＡｃｔｉｖｅ等。（６）线路窃听。即利用通信介质的电磁泄漏或搭线窃听等手段获取非法信息。（７）Ｉｎｔｅｒｎｅｔ非法内容。某些网站如娱乐、游戏、暴力、色情、反动信息等不良网络内容，对学生的身心健康危害很大。

二、针对高校校园网安全威胁的防范技术措施

校园网网络安全风险来源于内部脆弱性和外部威胁。针对内部脆弱性风险的防范属于主动控制范畴，针对外部威胁的防范属于被动控制范畴，因此，必须全方位解析网络的脆弱性和威胁，才能构建网络的安全防范措施，保证校园网的安全。

1.优化应用系统配置

对于系统存在的漏洞，必须采取积极的措施进行补救，最常见的做法是关注系统设计方的相关网站，及时获取设计方发布的补丁程序对系统进行修补。对于系统的服务配置，必须在服务器构建之时就对系统配置文档进行研究，根据实际情况对其进行优化，关闭不需要的服务和端口，减少可能出现的安全漏洞，降低系统安全隐患。其次是借助软件解决网络安全漏洞。对于非专业人员来说，无法确切了解和解决服务器系统和整个网络的安全缺陷及安全漏洞，因此需要借助第三方软件来解决此安全隐患，并提出相应的安全解决方案。

2.建立基于网络版防病毒系统

目前，基于网络版防病毒系统是有效防杀校园网病毒的最有效措施之一，其具有防护范围广、病毒库更新及时、系统稳定、投资效益高等特点。在校园网中建立病毒防杀中心，既可以对校园网内的联网计算机进行管理，进行统一的病毒扫描和清除，又可以对终端进行自动更新和病毒库升级，及时对病毒防杀信息进行公告，还可以对位于校园网外的特定联网用户提供在线杀毒功能，更重要的是，基于网络版防病毒系统可以提供电子邮件病毒网关，与电子邮件系统相结合，对邮件实施病毒过滤。

3.进行虚拟局域网划分

网络安全也涉及网段的划分，其中最重要的是虚拟局域网划分，划分规划得越好，网络就越安全。

（１）虚拟局域网（Virtual LAN，简称VLAN）是与具体的物理网络及地理位置无关的LAN（局域网），在逻辑上等价于OSI（开放系统互连模型）第二层的广播域。每一个VLAN都是一个广播域，通过VLAN划分，可以将一个大的广播网段分成多个小的广播域。VLAN的实质就是广播域控制。它可以不拘泥于机器在网络中的物理位置来划分广播域。允许按照工作站或网段的逻辑归属构成广播域。划分后，原来的较大的LAN就从逻辑上形成了多个小的虚拟的LAN。

（２）ＶＬＡＮ构建方法

１）基于端口：允许跨越多个交换机的多个端口划分，不同交换机的不同端口可以组成ＶＬＡＮ。

２）基于ＭＡＣ（Media Access Control，介质访问控制）地址：由于和ＭＡＣ地址相关，用户的机器可以在ＶＬＡＮ范围内不同物理地域自由移动。

３）基于ＩＰ（网际协议）地址：类似于基于MAC地址，用户的机器可以在ＶＬＡＮ范围内不同物理地域自由移动而不用重新配置。

４）基于ＩP多播组：指以动态建立的多点广播确定VLAN，每一站点通过对标示不同VLAN的广播信息的确认来决定是否加入某一VLAN。它代表一组IP地址。VLAN由作为代理的设备对VLAN进行管理，提供服务。当IP多播帧要送达多个站点时，就动态建立VLAN代理，这个代理与多个IP共同组成这个VLAN，它提供了很高的动态性能，每个成员只是特定时间内特定IP多播组的成员。并且IP多播组可跨越路由器形成WAN（广域网）连接。

IP多点广播组定义的VLAN具有灵活性和面向应用的特点，可以跨越路由在WAN 上实现，缺点是VLAN的安全性降低。

５）基于管理策略：这是一种灵活性最好的组成VLAN的方法，在网络管理中制定某种策略，使用这种策略向VLAN分配端点设备，能够实现多种分配方法，还可以根据需要灵活选择合适的方法。分为基于协议的VLAN和基于子网的VLAN 。

（３）ＶＬＡＮ 的优点

１）容易对ＩＰ网络进行改动；２）能够阻止广播风暴；３）提供额外的安全性。

选择具有三层交换功能的交换机作为核心层和汇聚层交换机，通过VLAN的划分，将不同类型的用户划分在不同的VLAN中，将用户可以盗用的IP地址范围限制在其所在的VLAN里，这样可以将IP地址冲突限定在某个特定的范围之中，而且可以防止用户之间随意访问文件资源。

4.采用虚拟专用网(VPN)技术构建内部虚拟专用网

虚拟专用网可以是VLAN和远程工作站的集成体，是一种优秀的Extranet解决方案。它应用隧道技术，通过ISP（因特网服务提供商）、NSP（网络服务提供商）建立专用隧道，规范点到点连接。

（１）虚拟专用网技术的基本原理是：1）采用“隧道”技术在公用网络中形成企业的专用链路；2）是虚拟的网，没有固定的物理连接，网络只在需要时才建立。也就是通过加密的IP隧道，实现私有包、其他网络协议包在Internet上的传输，从而实现位于WAN上的不同LAN 的各种协议的虚拟连接，将公众网可靠的性能、丰富的功能与专用网的灵活、高效结合在一起，是介于公众网与专用网之间的一种网。它具有成本低、便于管理、开销小、灵活度高、保密性好等优点。

（２）虚拟专用网使用的技术有：隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。

根据隧道协议不同，可将VPN分成第二层和第三层的VPN。

第二层隧道协议：工作方式是先把各种协议数据装入PPP（点对点协议）协议包中，再装入隧道协议中，这种封装形成的协议靠第二层传输。

１）Ｌ２Ｆ（第二层转发协议）：支持信道认证。工作于帧中继和ＡＴＭ，可对隧道终点进行身份认证。

２）Ｌ２TP（第二层隧道协议）：是PPTP（点对点隧道协议）和L2F的结合。可支持多种协议（如PPP协议），在终点间进行IPSec（IP安全协议）加密，还支持单用户多隧道。相对于其他两种隧道协议，它提供流量控制和差错控制，并使用UDP（用户数据报协议）封装和PPP传输。

３）ＰPTP：使用基于PPP的加密机制，即使用MPPE（微软点对点加密）机制进行加密和身份认证，不对隧道终点进行身份认证。

第三层隧道协议：工作方式是把各种网络协议直接装入隧道协议，形成的数据包依靠第三层协议进行传输。

１）ＩＰＳec：只支持ＩＰ协议的封装。使用ＩＰＳec加密机制，可以进行加密和数字签名；比ＭＰＰＥ更可靠，它包括查验、加密和数据完整性，并且它的查验和安全性功能与它的密钥管理系统松散耦合和。使用ＡＨ和ＥＳＰ协议来提供数据流量的安全性。

２）ＳＯＣＫＳ（防火墙安全会话转换协议）：运行于ＴＣＰ（传输控制协议）层。

３）ＶＴP（虚拟局域网干道协议）：中继协议，VTP负责在VTP域内同步VLAN信息。

虚拟专用网技术是在Ｉｎｔｅｒｎｅｔ基础上开发的供企业专用的虚拟网络，其利用可靠度不高的公用互联网作为信息传输媒介，通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络类似的安全性能，从而实现对重要信息的安全传输。

通过使用VPN技术可以使得分布于不同地理位置上的校园网各节点之间在有安全保障的情况下高效地进行重要数据的交换，有效地避免重要数据遭受恶意用户的窃取。

5.构建安全防火墙系统

防火墙是非常有效的网络安全模型，用于防止来自Internet上的危险传播到内部网络，其主要功能：限定人们从一个特别控制的点进入；防止侵袭者接近用户的其他防御措施；限定人们从一个控制点离开。它常常被安置在受保护的内部网络连接到Internet的点上，将内部网络与Internet隔离开。所有来自Internet的传输信息或从内部网络发出的传输信息都要穿过防火墙，因此防火墙可以分析这些传输信息，通过检查、筛选、过滤和屏蔽信息流中的有害服务，防止对计算机系统进行蓄意破坏，以确保它们符合节点设定的安全策略。

（１）防火墙类型

１）包过滤防火墙：安装于路由器上，对数据包进行检查，具有简单、方便、速度快等优点，但缺乏日志、审计信息和用户认证机制；

２）代理服务器防火墙：在主机上运行代理服务，对特定的应用层进行服务，其核心是运行于防火墙主机上的服务器进程；

３）电路层网关：在网络的传输层上实施访问策略，是在内、外网络主机之间建立一个虚拟电路进行通信，相当于在防火墙上直接开了个口子进行传输，不像应用层防火墙那样能严密控制应用层的信息；

４）混合型防火墙：把代理和包过滤等功能结合在一起形成新的防火墙，所用的主机称为堡垒主机，负责代理服务；

５）应用级网关：使用专用软件转发和过虑特定的应用服务，如TELNET、FTP服务，这是一种代理服务，适合于应用层。它有一个高层的应用网关做代理器，通常有专门的硬件来完成；

６）自适应代理技术：是最新的防火墙技术，在一定程度上反映了防火墙目前的发展动态。该技术可以根据用户定义的策略部署动态适应传送过程的的分组流量。如果安全要求较高，则安全检查应在应用层完成，以保证代理防火墙的最大安全性。一旦代理明确了会话的所有细节，其后的数据包就可以直接经高速的网络层传送。该技术兼备了代理技术的安全性和其他技术的高效率；

（２）防火墙的发展趋势：动态包过滤、内核透明代理、用户强认证机制、加密技术、智能日志、审计跟踪和实时报警、内容和策略感知能力、内部信息隐蔽技术等。

校园网防火墙的设置可以根据具体情况而定，在校园网总出口，需要设置高性能硬件防火墙，在校园网内部各节点，可以根据实际情况灵活设置各种防火墙产品。通过周密的防火墙设置，可以按照服务功能将校园网划分为多个安全区域和公共区域，结合制定相应的防范策略，可以最大限度地保证校园网应用服务系统的安全工作。

三、应用和比较

以上几种技术应用于网络安全的不同方面，在实际应用中，往往将上述技术综合使用，进一步增强网络安全。现在流行的网络安全产品也往往综合了以上技术。 其中较成熟且广泛应用的有防火墙技术、VPN技术和VLAN划分技术。

VLAN侧重于网络的结构安全和网络的服务质量（QoS），它能增加网络的安全性，能够依照某种安全策略，把一些重要的成员（如数据库、学校办公服务器等）划到相应的VLAN 中，使网络的相关部分得到保护。网管人员能够以较高的精确度来确定访问网络服务的途径。在交换到桌面的结构中可以形成特别有效的限制非授权访问的屏障。但是VLAN本身的安全只侧重于网络结构和服务质量，在数据安全方面相对防火墙和VPN则要弱得多。只有把VLAN同其他安全技术（如访问控制）结合起来，才能形成比较好的安全策略。

防火墙则在内网和外网之间建立了一个过滤检测系统；可以强化网络安全策略，隐藏内网结构，防止内部网络信息外泄；能够通过跟踪、日志等提供比较详细的网络状况等信息。但是防火墙是被动的，不能确保收到的数据包来自正确的发送者、是否被人看过、原始数据是否被更改。对于来源于内部的攻击则相对较弱，也无法防范人员蓄意破坏；不能防范数据驱动式的攻击。因此，从网络安全考虑，对重要的数据应该采用加密后传输或采用VPN方式。

VPN则应用于安全性要求高的方面，如金融、财务等方面。通过隧道技术和加密技术能够保证数据达到较高的安全级别。它既适合处于WAN中的企业，又适合于校园网。

四、结束语

校园网络安全是网络管理的重要内容。合理的网络配置能够增强网络安全。可以预见VLAN、VPN、防火墙的合理配置使用，必将使校园网络得到很好的保护。

参考文献：

[1]钱爱增.PKI与VPN技术在校园网内部资源安全问题中的应用研究[J].中国教育信息化,2008(5)高教职教:77-80.

[2]谢大吉.校园网IP地址管理研究[J].中国教育信息化,2008(6)高教职教:32-34.

[3]吴东醒.高校校园网安全体系的建构与实施[J].中国教育信息化,2008(6) 高教职教:74-76.

[4]马骏,周君仪.浅谈校园网网络安全及防范技术[J].广西轻工业，2007( 9):74-75.

[5]王宝会,王大印,范开菊.计算机信息安全教程[M].北京:电子工业出版社，2008.

[6]冯登国.计算机通信网络安全[M].北京:清华大学出版社,2001．