浅析校园网络安全技术

☆叶青

（江苏省高港中等专业学校，江苏泰州 225330）

浅析校园网络安全技术

☆叶青

（江苏省高港中等专业学校，江苏泰州 225330）

随着信息技术的发展，大部分学校都组建了内部局域网，实现了资源共享，提高了工作效率，校园网已成为现代学校的重要组成部分。作为园区网的典型，校园网的规模正逐步由中小型向大中型发展和过渡，其典型特点是访问形式多样、用户群庞大、网络行为突发性高。与此同时，校园网络安全问题在新形势下日益突出，除对色情、反动等不良信息过滤外，还应加强对病毒、黑客、流氓软件、木马、僵尸网络等攻击行为的防范。校园网的安全性高低取决于学校网络中最弱的环节，符合“木桶理论”，而且各种网络危害行为也是从薄弱的环节入手。本文根据校园网络安全面临的新挑战，分析了四种适合校园网络的安全技术：防病毒技术、防火墙与网络隔离技术、VLAN技术、云防护技术。

一、防病毒技术

新型病毒层出不穷，传播速度快，破坏力越来越强。校园网必须在网络系统的各个环节严加防范，才能控制或阻止病毒的侵害。学生和教师用机是查、杀、清、防病毒的最底层，考虑学校教学用机数量庞大，建议建立全面的主动病毒防护体系，在每台工作站、服务器上都要有反病毒软件并能统一管理。校园网与Internet相连的网关，也要安装网关型防病毒软件进行拦截，以阻止病毒进入校园网传播扩散。由于师生信息浏览和EMAIL通信的普遍性，在Internet浏览、上下载的信息时有可能传播病毒到内部网络上，防病毒软件要能阻止网页携带的Applet小应用程序、JavaScript、ActiveX等病毒破坏，发现并清除隐藏在EMAIL、QQ、MSN、附件中的欺骗性病毒和木马。

目前，主流的防病毒产品主要有赛门铁克、趋势、NAI McAfee、瑞星、金山等，网络上也不乏免费杀毒软件。学校选择防病毒产品时，应结合自身的需求和能力。首次安装防病毒软件时，一定要对计算机做一次彻底的病毒扫描，过程中要注意定期查杀和软件的更新。

二、防火墙与网络隔离技术

防火墙（Firewall）介于内外部网络之间，它定义了一组访问策略，保护内部网络不受非法访问和攻击。配置防火墙可以最大限度防止Internet上的不安全因素蔓延到校园网内部。校内单机可以使用个人防火墙，网上这样的免费或限时软件很多，比如：瑞星、360安全卫士、天网等。校园内外网之间可根据学校需要配置软件或硬件防火墙。软件防火墙依赖于服务器的操作系统，安全性有较大限制，速度也比较慢，建议有条件学校配置硬件防火墙。硬件防火墙有专用硬件平台和专用操作系统，甚至芯片级硬件防火墙使用专门芯片硬件平台，没有操作系统，它们的速度快、性能高、处理能力强。目前，常用的软件防火墙有Checkpoin、CyberwallPlus、KFW 傲盾、天网等，常用的硬件防火墙有 NetScreen．、Cisco、Hillstone 等，还可根据学校需要选配NAT、DNS、VPN、IDS等不同模块。另外，现在很多厂商把网防火墙和防病毒功能集成在一起，应用更加方便。

ARP攻击给校园网管理员造成了很大麻烦。攻击者通过伪造IP地址和MAC地址实现ARP欺骗，使校园网堵塞或中断服务。大多数防火墙都具备了检测IP广播包的MAC地址是否与路由器上的MAC地址表一致的能力，有效的拦截ARP攻击。学校网管利用防火墙和一些工具对校园网进行入侵检测（intrusion detection）可以发现部分威胁到系统安全的行为，这是一种增强系统安全的有效方法。目前，入侵检测系统的产品很多，仅国内的就有东软、联想等十几种，网上也有很多免费检测软件。

防火墙对操作系统和访问策略有较大的依赖。然而操作系统也有漏洞，黑客控制了操作系统，就控制了防火墙，校园网就完全暴露在攻击之下。错误访问策略配置，也会使校园网内外短路。新的网络隔离技术在内、外部主机系统中嵌入安全加固且不同的操作系统，内部主机的操作系统对外部攻击者是不可见的，在校园网和外部网络之间形成了物理隔离带，消除了基于网络协议的攻击。这种技术的应用，必将使校园网络管理高效化、简单化，安全级别也更高。这种技术的产品化，国外已经趋于成熟，比较出名的有Owl公司、Tenix公司、HP公司等，国内的产品还处于起步阶段。

三、VLAN技术

随着校园网络规模扩大，网内机器超过200台时网络管理将极为困难。因此，通过路由器等设备分割网段势在必行。这种物理的硬件隔离的方法，对教学用机的移动很不方便。在实际应用时，采取VLAN技术把校园网划分为行政办公、教师、学生等子网。划分可以跨过物理设备，各子网之间无法直接通信，信息仅在VLAN内的成员之间传送，限制非成员数据转发，从而减少了主干网的数据流量，控制网络风暴在必要范围内，并增强网络的安全性和利于管理。根据校园网管理特点，通常选择下面三种方法划分VLAN：

1．基于端口的划分

根据以太网交换机的端口划分不同VLAN，可以把跨交换机的端口划分到同一VLAN中，一个VLAN对应一个端口集合，一个端口在某一时间只能位于一个VLAN中。比如可以把交换机SW1的端口1、4－5和SW2的端口 2－3、6划为 VLAN1；把交换机SW1的端口2、3和SW2的端口 1、4、5划为 VLAN2。这种方法简单易行，但是灵活性差。当教学用机需要移动时，但是新端口不位于原VLAN中时，机器不能直接连接通信，需要管理员重新定义端口配置。

2．基于MAC地址的划分

校园网中的每MAC地址对应一台计算机，一个VLAN就是一个MAC地址集合。比如把所有教师机的MAC地址添加到VLAN1中，所有学生机的MAC地址添加到VLAN2中。配置完成后，交换机根据MAC地址识别和跟踪教学用机。即使教学用机或服务器移动位置，更换端口，也不会改变其所属的VLAN。这种方法，用户使用灵活，但是管理员工作量大而繁琐：初始化时，如果用户数量较多，要收集所有计算机MAC地址，对所有计算机进行配置，工作量极大；后期，每一台新计算机入网时，也需要添加到对应的VLAN中，否则不能连接。

3．基于IP地址划分

校园网中的网络层IP地址对应一台计算机，一个VLAN就是一个IP地址集合。例如：把IP地址192．168．1．1－192．168．1．100 设置为 VLAN1 给教师使用，把 192．168．2．1－192．168．2．200 设置为 VLAN2 给学生使用。它具有第2种划分方法的优点，用户计算机可以不修改网络配置移动，并且无需收集MAC地址对所有计算机单独配置。但校园网中每次数据转发，都需要检查TCP／IP协议的网络层，网络工作效率低。

目前，应用比较广泛的具备VLAN功能的交换机、路由器主要有Cisco、锐捷、神州数码等，这些网络设备也不一定具备VLAN所有划分方式。因此，学校要根据自己的要求和价格承受能力，选择不同层次和功能的VLAN网络设备，再根据实际设备选择适合的VLAN划分方式配置网络。

四、云防护技术

校园网中 Email、BBS、Web、即时通信、上传下载各种服务和应用繁多，这也为黑客提供了更多的攻击途径。目前针对网络的联合攻击规模越来越大，破坏性越来越强。许多校园网络工作站点要么成为“僵尸”，要么成为被攻击的对象。比如：“僵尸网络”就是通过挂马、下载等途径控制数量巨大的“肉鸡”对目标进行DoS等攻击；还有“零日攻击”指恶意运用立即被发现的安全漏洞，利用时间差在网络未及防范的情况下实施攻击。

云防护技术就是通过云火墙、网络防控中心动态、主动、协同阻止病毒、木马、蠕虫的蔓延和破坏。互联网中，攻击经常是不可避免的，例如江苏一个网络感染蠕虫病毒，立即把地址等信息报告云中心，中心再同步其它网络，就可能阻止上海等其它网络被感染。这种技术有别于防火墙技术的静态被动式防护，极大地提高了防护的效率。目前市场上云防护安全产品主要有思科ASA云火墙；一些个人防火墙也具备一些云防护功能。学校选择购买云防护构件，加入这些云防护中心。

校园网安全是一个系统性工程，实践中不能仅依靠防病毒、防火墙、VLAN、云火墙等网络安全技术。任何技术的应用都必须建立在对人和资源的有效管理上，学校应建立相应的规章制度，并将技术与管理结合起来，才能确保校园网正常安全运行和朝着健康有序方向发展。

[1]王亚原．企业网络安全问题及对策[J]．太原师范学院学报(自然科学版),2005,(1)．

[2]张世永．网络安全原理与应用［M］．北京：科学出版社．2003,5．

[3]网络安全新技术与发展趋势[EB／OL]．http:／／tech．sina．com．cn／b／2009－11－25／09271147860．shtml．2009．

于翼楠]