吳　瓊　曾曉亮

摘要：從校園網(wǎng)絡(luò)的邏輯安全角度進行探討。找出安全存在的隱患，從而建立一套有效的校園網(wǎng)絡(luò)安全機制。

關(guān)鍵詞：網(wǎng)絡(luò)安全安全隱患安全策略設(shè)計

1校園網(wǎng)絡(luò)安全策略設(shè)計

校園網(wǎng)絡(luò)拓樸結(jié)構(gòu)如圖1。

校園網(wǎng)中的安全隱患大致來自以下五個方面：

1．校園網(wǎng)通過與Internet相聯(lián)，在享受Internet方便快捷的同時，也面臨著遭遇攻擊的風險；2．目前使用的操作系統(tǒng)存在安全漏洞，對網(wǎng)絡(luò)安全構(gòu)成了威脅；3．校園網(wǎng)內(nèi)部也存在很大的安全隱患，由于內(nèi)部用戶對網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解，因此來自內(nèi)部的安全威脅更大一些；4．隨著校園內(nèi)計算機應(yīng)用的大范圍普及，接入校園網(wǎng)節(jié)點日漸增多，而這些節(jié)點大部分沒有采取一定的防護措施，隨時有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴重后果；5．限于學院數(shù)字化的進程，目前的網(wǎng)絡(luò)防護體系中還缺少硬件級防火墻這一防護環(huán)節(jié)，即沒有對內(nèi)部網(wǎng)和外部網(wǎng)進行有效的隔離，入侵就很難避免。

提出兩種方案可供選擇：

方案一：智能防火墻型。即用一臺智能防火墻，成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。其中WWW、E-mail、FrP、DNS等對外服務(wù)器連接在防火墻的DMZ區(qū)，與內(nèi)外網(wǎng)間進行隔離，內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機，外網(wǎng)口通過路由器與Internet連接。那么，通過Internet進來的公眾用戶只能訪問到對外公開的一些服務(wù)(如WWW、E-mail、FTP、DNS-等)，既保護內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問或破壞，也可以阻止內(nèi)部用戶對外部不良資源的濫用，并能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事件進行跟蹤和審計。這一方案的優(yōu)點是在實際應(yīng)用中，對用戶的“透明度”較高，便于管理和控制，而缺點就是價格昂貴，不易被一般用戶所接受。

方案：網(wǎng)絡(luò)層防火墻+代理服務(wù)器。即把網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻綜合在一起。因為網(wǎng)絡(luò)層防火墻具有速度快、費用低、對用戶透明等優(yōu)點，但是它對網(wǎng)絡(luò)的保護很有限，因為它只檢查地址和端口，對網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力，特別是對于應(yīng)用層上的黑客行為無能為力，而應(yīng)用層防火墻(主要為代理服務(wù)器)有較好的訪問控制，目前存在HTFP、TELNET、FrP、POP3和GOPHER等代理服務(wù)器，并且這些服務(wù)只需要一個代理服務(wù)器就可以實現(xiàn)。這一方案的優(yōu)點是費用低，性價比較高，而缺點是“透明度”較低，需要由經(jīng)驗相對豐富的管理人員進行管理，即對管理人員的要求較高。

由此看來，兩種方案各有千秋，應(yīng)用中可以根據(jù)自身實際進行選擇，在此，我們從性價比和實際情況的角度考慮，選擇方案二。選擇好了防火墻，還應(yīng)對其進行正確配置才能充分發(fā)揮其安全防護的性能，在防火墻設(shè)置上我們按照以下配置原則來提高網(wǎng)絡(luò)安全性：1．根據(jù)校園網(wǎng)安全策略和安全目標，規(guī)劃設(shè)置正確的安全過濾規(guī)則，規(guī)則審核IP數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項目，嚴格禁止來自公網(wǎng)對校園內(nèi)部網(wǎng)不必要的、非法的訪問；2．將防火墻配置成過濾掉以內(nèi)部網(wǎng)絡(luò)地址進入路由器的IP包，這樣可以防范源地址假冒和源路由類型的攻擊，過濾掉以非法IP地址離開內(nèi)部網(wǎng)絡(luò)的IP包，防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對外攻擊；3．在防火墻上建立內(nèi)網(wǎng)計算機的IP地址和MAC地址的對應(yīng)表，防止IP地址被盜用；4．定期查看防火墻訪問日志，及時發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄；5．允許通過配置網(wǎng)卡對防火墻設(shè)置，提高防火墻管理安全性。

2檢測系統(tǒng)的部署

數(shù)字化校園網(wǎng)中包含有：入侵檢測系統(tǒng)部署、網(wǎng)絡(luò)安全檢測系統(tǒng)部署和殺毒產(chǎn)品部署等。

入侵檢測能力是衡量一個防御體系是否完整有效的重要因素，因為防火墻的策略都是事先設(shè)置好的。無法動態(tài)設(shè)置，缺少針對攻擊的必要性和靈活性，不能更好的保護網(wǎng)絡(luò)的安全，所以部署IDS并使IDS與防火墻聯(lián)動的目的就是為了更有效地阻斷所發(fā)生的攻擊事件，從而使網(wǎng)絡(luò)隱患降至較低限度。根據(jù)學院網(wǎng)絡(luò)的特點，我們采取思科公司的網(wǎng)絡(luò)IDS和主機并用的措施。具體來講就是將思科IDS入系統(tǒng)集入侵檢測、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身，能實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和異常現(xiàn)象，并在數(shù)據(jù)庫中記錄有關(guān)事件。作為網(wǎng)絡(luò)管理員事后分析的依據(jù)，如果情況嚴重，思科IDS還會發(fā)出實時報警，使得學校管理員及時采取應(yīng)對措施。

在網(wǎng)絡(luò)安全檢測系統(tǒng)上我們考慮采用網(wǎng)絡(luò)安全檢測工具如SATAN等定期對工作站、服務(wù)器、交換機等進行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細可靠的安全性報告，為提高網(wǎng)絡(luò)安全整體水平提供重要依據(jù)。

殺毒產(chǎn)品部署上我們采用了瑞星網(wǎng)絡(luò)版的殺毒產(chǎn)品，為了達到要在整個局域網(wǎng)內(nèi)病毒感染、傳播和發(fā)作這一目的，我們在整個網(wǎng)絡(luò)內(nèi)可能傳播病毒的地方采取相應(yīng)的防病毒手段。同時為了有效、快捷地實施和管理整個網(wǎng)絡(luò)的防病毒體系。應(yīng)能實現(xiàn)遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能，我們提出以下建議：

1．在學校網(wǎng)絡(luò)中心配置一臺高效的Windows2000服務(wù)器，負責管理多個主機網(wǎng)點的計算機：2．在各行政、教學單位等多個分支機構(gòu)分別安裝殺毒軟件；3．管理員在安裝完殺毒軟件以后，要由網(wǎng)絡(luò)中心系統(tǒng)定期、自動地到網(wǎng)站上獲取最新的升級文件，自動將更新的升級文件分發(fā)到其它各個主機網(wǎng)點的客戶端與服務(wù)器端，并對殺毒軟件進行更新。

3結(jié)束語

可以預(yù)見，隨著計算機技術(shù)和通信技術(shù)的發(fā)展，計算機網(wǎng)絡(luò)不會僅局限于數(shù)字化校園，還將日益成為信息交換的重要手段，滲透到社會生活的各個領(lǐng)域，因此，認清網(wǎng)絡(luò)的脆弱性和潛在的隱患，采取強而有力的安全策略，對于保障網(wǎng)絡(luò)的安全性將變得越來越重要。