浅议校园网络病毒处理策略

嵇静婵

柳州铁道职业技术学院, 广西 柳州 545007

校园网是学校进行教学管理和科研的重要信息平台,同时也是校园办公，信息交流的主要场所。随着教学资源库建设，校园网络不仅面向学院师生开放，同时要求支持外网的访问。如何通过有效的合理的管理以实现一个高可靠性、高安全性和高稳定的校园网络功能成了我们关注的焦点。同时，由于校园网络使用者对病毒的安全意识不强；网络建设初期自身的结构简单，安全防范性差等诸多原因，造成了校园办公网络常为“病毒多发区”的现状。

1 校园网络病毒类型及危害

网络病毒一般分为蠕虫和木马两类，其传播主要通过电子邮件，网页代码，文件下载，漏洞攻击等方式。

校园网络的使用者对于计算机知识的掌握程度参差不齐，存在部分校园网络内的计算机没有及时更新系统和安装补丁，使用计算机时为追求运行速度禁用或卸载杀毒软件，带病毒的移动设备在校园网络内部使用时造成交叉感染，访问高风险网站或下载带病毒的软件等等，使得校园网络无法实现完全避免病毒。

同时，网络病毒带来的危害也是巨大的。它不仅会干扰系统的正常运行，造成我们使用电脑时速度变慢，频繁重启或死机，部分软件不能启用，甚至会造成数据丢失，网络和服务器瘫痪。

因此，网络病毒的防范和处理成为了校园网络管理的一项非常重要的内容。

2 优化校园网络结构

有效的管理是防治网络病毒的基础。可以通过优化网络结构，减少网络病毒的进入及在感染网络病毒后最大程度地降低影响范围和减轻损失。

如果校园网络只是一个大的局域网（LAN），那么一旦出现网络病毒，那么受影响的就是整个网络。因此我们根据应用范围、使用部门、楼宇等因素在校园网内进行虚拟局域网（VLAN）的细分。例如将每栋教学楼设置为一个VLAN，每个教学部门为一个VLAN，学生宿舍楼如果人数众多，还可以将每个楼层设置为一个或多个VLAN等。

在校园网络内进行VLAN的划分，不但可以强化网络管理和网络安全，还可以抑制广播风暴。VLAN除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。一旦某个VLAN感染病毒，网络管理员可以通过设置三层网络设备来切断该VLAN与其他VLAN的通信，将病毒扩散范围控制住。

一般来说，各个不同VLAN间的通信都要经过路由器来实现相互访问。如果网间互访的流量较大，单纯使用路由器来实现网间访问，由于端口数量有限，并且路由速度较慢，会限制了网络的规模和访问速度。于是三层交换机应运而生，部分取代路由器的路由功能，加快局域网内部的数据交换。但由于三层交换机在安全、协议支持等方面还有许多欠缺，并不能完全取代路由器工作，通常的做法是校园网络中同类VLAN间（比如学生宿舍间的VLAN，不同的网络教室VLAN都是同类VLAN）的路由，用三层交换机来代替路由器，而不同类型的VLAN（比如学生宿舍间的VLAN和教师的办公VLAN就是不同类VLAN），还有校园网与公网互联之间要实现网络访问时的网关，使用专业路由器。

3 完善病毒防范管理

路由器的策略管理，使得网络管理员能够根据校园网络的特定需求调整网络，完善病毒的防范，如可设定访问控制列表(Access Control List)的过滤规则，或基于防火墙的NAT转换安全策略等。

网络地址转换（Network Address Translation，简称NAT）一般设置在与公网互联的路由器，校园网内部使用私网IP地址，在通过网关路由器与公网进行访问时，使用少量的公网IP地址。不仅完美地解决了lP地址成本的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

访问控制列表（Access Control List，简称ACL）可以解决和提高网络安全，这是一种用来过滤和控制进出路由器数据流的一种访问控制技术。如可以控制对于网络内部的敏感数据的访问限制，通过关闭应用端口来避免病毒的攻击。

例如，恶性的ping是局域网病毒常常采用的攻击方式。病毒随机生成ping的目标地址，然后通过路由器来进行报文转发，因此在路由器中就需要为每个ping的ICMP报文创建一条NAT的对应表。如果管理员在查看该表时，若看到大量的ICMP的NAT的进程，就应该警惕地想到是否已经遭到拒绝服务攻击。

如果病毒恶意发动ICMP的ping攻击，在几秒钟内会发出上万个ping报文。则在NAT表中产生大量的NAT的进程连接。UDP的NAT进程的存在时间为5秒，TCP连接的NAT进程的保存时间为24小时。这种恶性的ping攻击便可能将NAT的进程值全部占用。这样就造成正常的网络间网络数据由于路由器的全部的NAT进程都被占用，因而得不到NAT的服务，无法进行正常的网络通信。因此，我们可以采用访问列表的方式将ICMP的报文过滤掉，保证正常的网络服务。

4 定位网络故障

网络管理的一个重要环节，就是快速地定位网络故障点，并寻求最佳的解决方案。一般来说，我们可以通过网络流量的检测来进行。

如ARP病毒是校园网病毒中最让人头疼的病毒之一，其利用以太网ARP协议向其他用户及网关发送无效假冒的应答信息包，造成网络堵塞设置无法出网。由于攻击技术含量低，随便通过一个攻击软件就可以完成ARP欺骗攻击，常常成为初识网络学生的练手游戏，以及很多网络游戏外挂或含恶意代码网站内藏的木马程序都会有ARP欺骗。

防范ARP欺骗攻击有很多措施，如可以通过设置一台ARP服务器，同时设置网络内容其他计算机只使用来自ARP服务器的ARP响应；配置ARP防火墙；设置交换机端口安全；设置IP地址和MAC地址的绑定；又或者使用具有ARP防护功能的路由器，起到ARP防火墙作用。但是校园网络由多个虚拟局域网VLAN组成，其局域网内容用户的IP常任意修改，使得ARP欺骗的防范无法仅仅在网管层完成。当网络出现“网速越来越慢，甚而不能上网”症状时，就可能是受到ARP病毒攻击的表现。网络管理员可以在查看数据流量时，会发现多个IP地址对应一个MAC地址的现象，则该MAC地址对应的电脑就是病毒源，则尽快切断该电脑的网络连接，并通过专杀工具进行查杀，控制感染范围。

5 结语

虽然网络中病毒很可怕，如果我们从网络设置和技术上进行有效的管理，就可以最大限度地保证校园网络的信息安全，将网络病毒造成的损失减到最低，使得校园网络能高效、稳定的为教育教学服务。

[1]尹慧. ARP病毒的原理和防治. 考试周刊, 2011.64

[2]梁广民，王隆杰. 思科网络实验室路由、交换实验指南. 电子工业出版社,2012.2

[3]唐玉辉.校园网病毒防治. 青春岁月，2012.16