浅谈校园信息化建设中网络接入的安全与管理

朱 林

（辽阳职业技术学院，辽宁 辽阳111004）

关键字：校园信息化建设；网络接入管理；网络安全

2017年6月1日起 《中华人民共和国网络安全法》将正式开始实施.从这部法律制定过程的高效性可以看出，国家对网络安全的重视程度越来越高，对网络环境的防控也越来越急迫.所以校园网作为一个最基层的网络，在建设和管理过程中，不但要考虑网络服务的高效稳定性，而且要保证网络环境的安全性，其中接入的安全与管理是校园网建设要解决的首要问题.

保证对接入用户使用网络的溯源唯一性是校园网接入管理应遵循的原则.在新 《网络安全法》制定之前，公安部于2006年就发布了 《互联网安全保护技术措施规定》，规定中有多项条款都提出了对访问日志审计的要求［1］.通俗地讲就是网络提供者应需要通过技术手段追溯每一个数据包的源头，以备在出现网络安全事件时，对实施者进行追责.所以在校园网实际建设和规划中，除了要满足网络使用者对网络服务的使用要求，还需要规划和配置相应的技术手段对接入网络的使用者进行限制和溯源管理，并且保证溯源的唯一性.以下我们将讨论在实际网络建设中经常使用的几种和接入管理有关的技术手段和应用系统.

1 交换机端口安全功能

交换机在网络拓扑中属于最底层的设备，交换机的端口也是距离用户最近的可管理网络连接点，交换机在OSI参考模型中属于2～3层设备［2］，所以交换机端口安全技术可以说是离用户最近的安全防护技术，也是最底层的安全防护技术.

端口安全功能实现的原理主要是对通过交换机端口标识有源MAC地址的报文进行监测及判断，通过设置相应的规则来完成对标识有源MAC地址的报文通过端口的限制，以达到网络接入管理和网络安全保护的功能，开启端口安全功能的端口被称为安全端口.我们可以手动添加静态特定MAC地址或者限定动态学习到的MAC地址的数量来控制通过交换机的报文，如果符合限定的MAC地址，则端口对该报文实行放行措施；反之，设备会直接将报文丢弃.

MAC地址属于OSI参考模型的二层技术，当标识有源MAC地址的报文在经过三层接口时，源MAC地址会替换成三层设备接口的MAC地址进行转发，所以当网络接入管理要求溯源的情况下，对于MAC地址的溯源就相对有些局限了，而IP地址除NAT转换以外的三层路由间转发的时候是不会改变的.与MAC地址相比，对IP地址的溯源则更适合网络接入管理溯源性的要求，在网络拓扑的设计时也相对灵活很多.所以在端口安全设定中，我们可以在端口上将IP地址与MAC地址进行绑定，这样既保证了端口对带有源MAC地址的限定功能，也保证了网络接入管理的溯源要求.

端口下的IP＋MAC绑定，在接入控制管理方面可以说是最底层的管理手段，也是在实际部署中最常用的端口安全功能，但是从校园网整体管理来看存在着自己的优势和局限.

首先，由于IP＋MAC绑定是在最底层端口上应用的技术，所以它不受其他网络设备布局的影响，可以直接对使用端发起接入限制功能，而且IP＋MAC的模式也保证了三层网络框架下的接入可追溯性.但是由于这种分布在最底层的设备上的技术，它需要进入到每一个交换机的接口上进行设置，所以在拥有几个点的小型网络环境中，它是一种便捷的管理手段，但在拥有上千个接入点的校园网中，全部使用这种方式来实现网络接入的管理，显然就有些力不从心.可以看出这种技术随着绑定信息组的不断增多，它的便捷性也越来越差，最后会成为一种网络管理的负担，对于网络管理本身显得有点得不偿失.

其次，在端口下配置IP＋MAC绑定时，是可以绑定多组IP＋MAC信息的，所以在实际配置时，也可以将绑定的端口选择为上连设备的接口，这种选择可以解决逐一端口配置的问题，但仍然是一个接入设备对应一组信息，仍旧无法解决大型网络对于网络接入管理的便捷化需求.另外在上连接口配置了IP＋MAC绑定的同时，也把该接口以下的网络直接定义成了有规则的限制性网络，也同时增加了网络拓扑的局限性.所以随着绑定端口选择的逐渐上移，该技术的底层优势也逐渐消失，网络接入管理的局限性也越来越大.

第三，IP＋MAC地址的绑定功能多数是在交换机的管理界面中通过命令行的形式来实现的.虽然命令并不复杂，但是对操作人员来说也需要有一定的技术水平，或者说对交换机管理有一定熟悉程度的人才能熟练对该功能进行配置.另外这种通过命令行的配置，也不利于后期信息的修改和查询.所以这种接入控制手段会随着信息配置的增多，操作难度和维护难度也将随之增大.

综上所述，交换机端口安全功能，特别是IP＋MAC地址绑定功能，在实际使用过程中是一种适合部署在底层交换机接口上的技术.它不适合应用在大型网络的接入控制方面，但由于它部署的位置不受其他网络拓扑的限制，可以灵活解决一些特殊需求的设备在网络接入管理中遇到的问题.所以端口安全功能在网络安全接入管理控制中，只能作为一种辅助手段来体现它的实际价值，但是在满足接入管理可控和网络接入可追溯的原则下部署某些设备时，这种功能也是其他技术手段无法替代的，这也正是它存在的意义.

2 访问控制列表功能

访问控制列表简称ACL（Access Control Lists），有的技术资料也称接入控制列表，多用于三层交换机和路由器的配置，属于OSI参考模型的3－4层协议的控制技术［2］.在实际部署中它还具体分为基本访问控制列表和高级访问控制列表，基本访问控制列表只针对报文的源地址信息制定相应的规则，而高级访问控制列表则可以根据报文的源地址信息、目的地址信息、IP承载协议类型、协议特性、时间参数等信息制定相应的规则.通过制定相应的规则我们可以对某一个IP地址或某一段IP地址在3－4层协议之间实现访问控制，从而达到对网络接入管理的目的.

访问控制列表实现的原理是在接口上进行的一种双向区分的包过滤过程.在制定完相应的ACL规则后，则需要将该ACL规则应用到相应端口的某一数据流向上.当数据经过该流向的ACL时，系统将对数据包进行过滤，根据规则选择通过或者丢弃.

在实际部署中，访问控制列表技术一般部署在网络主干的接口上或区域网络主干的接口上，实现对一个区域的单一IP地址或IP地址段的接入控制.但从校园网整体管理来看，它也有着自己的优势和局限.

首先，与端口下的IP＋MAC绑定功能相比，ACL可以更加精准地实现对数据的控制.IP＋MAC绑定只能限制数据的通过与丢弃，而ACL则可以对数据的目的、作用、时间等精准参数进行限制.但是由于它限制的源地址信息为IP地址，且部署位置多为主干，所以ACL可以实现对数据控制，但无法实现对数据溯源的唯一性.

其次，虽然ACL可以对整段的IP地址进行访问控制，避免了逐个IP地址的配置，但是整段IP地址的限制对于整个网络接入管理来说还是显得不够灵活.

第三，ACL的配置大多仍使用命令行的形式来配置，而且对于协议和端口的接入控制同样需要操作人员有一定的技术水平.

综上所述，访问控制列表功能是一种在实际使用时适合部署在网络主干位置上的接入访问控制技术.虽然它既无法满足对接入用户溯源唯一性的要求，也无法满足大型网络接入管理灵活性的要求，但它对于网络接入访问的精准控制可以有效地满足某些特定IP进行某些特定服务的接入管理要求.因此，ACL也是网络接入管理中的一种很有效的辅助手段.

3 Portal认证系统的应用

认证系统是为了解决用户接入网络而专门开发的验证系统，Portal认证系统则是认证系统中的一种.Portal认证有的资料也称Web认证，它的基本认证功能是不需要安装其他客户端软件的，客户端只需要一个浏览器就可以实现认证的过程.随着手机、平板电脑等智能终端的普及，人们对认证过程的便捷化程度也要求越来越高.Portal认证以其便利的操作性和兼容性，已经成为校园网建设的一种主流认证系统.

Portal认证系统一般由接入设备 （包括实体设备和虚拟设备）和Portal服务器两部分组成，如果想功能更加完善，还可以再加入安全策略服务器和认证／计费服务器［3］.在实际部署中，Portal认证系统通常旁路在网络主干的某个或多个三层节点上.未认证用户在使用浏览器访问网络过程中，HTTP请求在经过该点的接入设备时，用户的访问地址会被重定向到Portal服务器的Web认证主页上.用户在认证界面中输入认证信息并提交后，Portal服务器会对用户提供的认证信息进行验证，并将验证结果发回接入设备，此时接入设备会再与安全策略服务器和认证／计费服务器通信，最后再对用户发出的认证请求进行回复.如果认证信息验证通过，用户则会按照设定的安全策略和计费规则进行通信，反之则回复用户认证失败.

从Portal认证系统的实现原理可以看出，我们在网络溯源管理上从原来的对IP地址、MAC地址以及设备端口的溯源，转移到对认证信息的溯源，也就是对人的溯源.这种溯源管理摆脱了IP、设备和端口的限制，使网络接入管理的部署更加灵活，操作维护也更加简单便捷.由此看出，Portal认证系统基本上满足了校园网接入管理的所有要求，是校园网接入管理必备的应用系统.但是在校园内的实际使用中，仍有一些特殊的设备和使用环境让Portal认证系统力不能及，如带IP接口的网络打印机、查询一体机、硬盘录像机、录播主机和实训设备组成的局域网络等.这些特殊的设备有的是因为没有浏览器，所以不支持Portal认证，有的是因为在使用环境上不适合使用Portal认证，这就仍需要IP＋MAC和ACL等功能来满足网络接入的安全管理和溯源性要求.所以，从校园网建设的总体上来看，Portal认证系统仍是解决网络接入安全与管理的主要技术手段，但它仍需要其他技术手段的辅助管理，两者互为补充、相辅相成.

4 结语

在校园信息化建设过程中，我们对网络的配置与规划，不但要考虑网络所能提供的服务，也要考虑网络接入的安全性和可追溯性.从三种接入管理方式的分析和对比来看，如果想便捷高效地实现校园网的安全接入管理，我们首先需要一套功能完善、操作简单、部署灵活的认证系统，其次对于有特殊需求的区域和设备，我们仍然需要用精准的技术手段来对其进行限制和定位.科学技术是一丝不苟的，我们对待网络安全的态度也应该是严谨的，也只有做到对各种应用技术一丝不苟的钻研，才能承担起我们对校园信息化建设安全管理的责任.