［摘要］本文分析了可運營校園網(wǎng)面臨的主要威脅，構(gòu)建了基于防火墻和用戶認證系統(tǒng)的校園網(wǎng)安全管理CNSM系統(tǒng)，制定了該系統(tǒng)的具體管理策略，提高了校園網(wǎng)的整體安全性能，保證了校園網(wǎng)的正常運營。

［關(guān)鍵詞］校園網(wǎng)運營，網(wǎng)絡(luò)安全統(tǒng)一身份認證防火墻

一、前言

隨著高校校園網(wǎng)建設(shè)的逐步完成，各高校的基礎(chǔ)網(wǎng)絡(luò)設(shè)施建設(shè)如綜合布線、光纜敷設(shè)、交換、路由設(shè)備、基礎(chǔ)服務(wù)器的購買等已基本完成，學(xué)校的教學(xué)樓、試驗樓、學(xué)生宿舍、教師宿舍區(qū)都全面接入校園計算機網(wǎng)絡(luò)，校園網(wǎng)開始投入運行。校園網(wǎng)絡(luò)除了提供常用的WWW、FTP、EMAIL、BBS等基礎(chǔ)服務(wù)外，還提供了教務(wù)管理、電子圖書館、網(wǎng)上招生就業(yè)、辦公自動化OA的服務(wù)，開始大規(guī)模為教學(xué)、科研以及生活娛樂服務(wù)。由于學(xué)校的經(jīng)費有限，網(wǎng)絡(luò)建成以后，如何加強網(wǎng)絡(luò)安全管理、合理運營，以便收取適量的網(wǎng)絡(luò)使用費以補貼校園網(wǎng)大量的維護費用開支，成為各個西部高校都面臨的問題。

二、可運營校園網(wǎng)面臨的主要威脅

1.非法接入和IP地址盜用

由于校園網(wǎng)采用基于TCP/IP協(xié)議的千兆交換式以太網(wǎng)方式組網(wǎng)，該協(xié)議具有開放性特點，使得校園網(wǎng)內(nèi)主機接入安全性較差，容易形成非法主機的接入和IP地址盜用。

2.計算機病毒的侵害

計算機病毒特別是網(wǎng)絡(luò)病毒具有高速傳播、自我復(fù)制和隱蔽性強等特點，對網(wǎng)絡(luò)帶寬和計算機資源消耗巨大，具有非常高的破壞性，是校園網(wǎng)安全中最大的威脅。如愛蟲病毒VBS.LoveLetter、沖擊波病毒W(wǎng)orm.Msblast、振蕩波病毒W(wǎng)orm.Sasser等眾多病毒對校園網(wǎng)網(wǎng)絡(luò)的破壞性極強。

3.黑客攻擊

任何系統(tǒng)在進行系統(tǒng)設(shè)計時都或多或少存在沒有考慮到的缺陷或弊端，一旦軟件使用者沒有發(fā)現(xiàn)并修復(fù)這些漏洞，攻擊者就很有可能通過惡意掃描發(fā)現(xiàn)并加以利用，成為被病毒或黑客攻擊的首選目標。校園網(wǎng)提供各種服務(wù)和應(yīng)用開始運營之后，無論是從Internet上還是校園網(wǎng)內(nèi)部，總是存在對各種服務(wù)系統(tǒng)發(fā)起的攻擊，試圖修改服務(wù)器數(shù)據(jù)、破壞服務(wù)系統(tǒng)，這對校園網(wǎng)的運營也造成極大的安全隱患。

4.不良信息的傳播

目前再Internet 上傳播的各種信息良莠不齊，有些是違反道德規(guī)范、法律法規(guī)的不良信息，這些不良信息通?？赏ㄟ^電子郵件、網(wǎng)頁瀏覽、BBS論壇、聊天室等進行傳播，對校園網(wǎng)的信息安全造成極大的危害。

5.賬號盜用

校園網(wǎng)一旦開始運營，用戶賬號的盜用問題就必然存在，是校園網(wǎng)安全管理的一大重點。

三、安全管理CNSM(Campus Network Security Management)整體解決方案構(gòu)架

要實現(xiàn)校園網(wǎng)的可運營，必須為用戶提供一個穩(wěn)定、安全的網(wǎng)絡(luò)環(huán)境，就需要建立一個可管理的安全可靠的網(wǎng)絡(luò)結(jié)構(gòu)，然后對它進行管理。下圖是某大學(xué)CNSM解決方案構(gòu)架圖。

在該結(jié)構(gòu)中，選用3臺思科6000系列作為核心組建一個雙環(huán)主干結(jié)構(gòu)，各樓宇通過片區(qū)匯聚交換機（思科4000系列和3000系列）接入3臺核心設(shè)備；在校園網(wǎng)出口，設(shè)置一臺阿母瑞特F600UP防火墻，分別聯(lián)接外網(wǎng)和內(nèi)網(wǎng)；在防火墻和內(nèi)網(wǎng)之間，構(gòu)架一臺城市熱點認證計費服務(wù)器，對內(nèi)網(wǎng)用戶進行身份審核和流量統(tǒng)計；

四、安全管理的具體策略

在上述網(wǎng)絡(luò)結(jié)構(gòu)中實現(xiàn)校園網(wǎng)的安全管理，達到可運營的目的，需要制定整體安全策略并加以實現(xiàn)。

1.制定并實施訪問控制策略

(1)防火墻上策略。防火墻作為校園網(wǎng)內(nèi)部和外部網(wǎng)絡(luò)之間的第一道安全屏障，能很好的對外部網(wǎng)絡(luò)和校園網(wǎng)絡(luò)內(nèi)部進行隔離，防止外網(wǎng)黑客對校園網(wǎng)的非法訪問和攻擊，其安全策略非常關(guān)鍵。在該圖的網(wǎng)絡(luò)結(jié)構(gòu)中，采用屏蔽子網(wǎng)型防火墻，它的五個接口分別連接內(nèi)網(wǎng)Inside（if1接口，1000M帶寬），DMZ1（if4接口，1000M帶寬，放置對校內(nèi)外公開的常規(guī)服務(wù)），DMZ2（if5接口，1000M帶寬，放置學(xué)校關(guān)鍵的應(yīng)用服務(wù)和數(shù)據(jù)庫），教育網(wǎng)Cernet（if2接口，100M帶寬）、公網(wǎng)Chinanet（if3接口50M帶寬）。采用雙出口對出口安全所作的備份，正常時兩條出口可均衡負載，當某條線路出現(xiàn)故障時，相互之間可互為備份；采用雙DMZ區(qū)，是為了對不同級別的應(yīng)用分別加以保護。

(2)路由交換機策略。在校園網(wǎng)內(nèi)部，存在容易掌握校園網(wǎng)內(nèi)部結(jié)構(gòu)的用戶群體，這些用戶容易對網(wǎng)絡(luò)中的其他主機或網(wǎng)絡(luò)設(shè)備造成威脅，因此還必須在校園網(wǎng)內(nèi)的各級交換機上進行訪問控制。

①利用Vlan技術(shù)對不同類型的用戶進行子網(wǎng)劃分并進行訪問控制。校園網(wǎng)中的用戶大致可分為行政辦公區(qū)用戶、教學(xué)實驗室用戶、教師宿舍區(qū)用戶和學(xué)生宿舍區(qū)用戶?？刹捎肰LAN劃分技術(shù)，將同一類型用戶劃分到同一虛擬子網(wǎng)，其內(nèi)部可以實現(xiàn)相互訪問，將不同類型用戶劃分到不同虛擬子網(wǎng)，對不同的虛擬子網(wǎng)賦予不同的網(wǎng)絡(luò)訪問權(quán)限，以實現(xiàn)網(wǎng)絡(luò)安全管理，提高整體網(wǎng)絡(luò)運行的穩(wěn)定性。

②對網(wǎng)絡(luò)設(shè)備的訪問權(quán)限進行控制。網(wǎng)絡(luò)設(shè)備安全是確保網(wǎng)絡(luò)安全的重要保障，因此必須對網(wǎng)絡(luò)設(shè)備進行有效保護。除了利用設(shè)備的網(wǎng)絡(luò)操作系統(tǒng)NOS進行安全配置，更重要的是對這些網(wǎng)絡(luò)設(shè)備的訪問權(quán)限進行控制，以確保只有網(wǎng)管工作人員通過特定的方式對設(shè)備進行管理。

③在該圖的結(jié)構(gòu)中選用3臺具有L3交換技術(shù)的CISCO 6509，采用內(nèi)網(wǎng)OSPF路由控制策略，實現(xiàn)QoS，確保內(nèi)網(wǎng)千兆主干在任何時候都能高速不間斷連通。

(3)各系統(tǒng)上的安全管理。在校園網(wǎng)的安全管理中，應(yīng)用系統(tǒng)安全以及用戶系統(tǒng)安全尤其重要。非法訪問、黑客攻擊、病毒傳播很多都是因為各系統(tǒng)存在漏洞或沒有進行安全配置引起的。必須加強各系統(tǒng)的安全管理，定期殺毒，定期檢查系統(tǒng)漏洞并修復(fù)。

通過以上安全策略的實施，可有效的防止黑客入侵、非法訪問，并在一定程度上防止病毒傳播、縮小IP地址盜用范圍。

2.身份認證

身份認證用于判斷用戶身份的真實性，是校園網(wǎng)實現(xiàn)安全管理的重要手段，是實現(xiàn)校園網(wǎng)可運營的重要保障。網(wǎng)絡(luò)中的賬號盜用或濫用會造成他人合法使用網(wǎng)絡(luò)的權(quán)益受損。對所有接入校園網(wǎng)絡(luò)的用戶進行身份核實，一旦出現(xiàn)違反網(wǎng)絡(luò)安全管理規(guī)定的行為，可根據(jù)賬號使用記錄追蹤到使用者，這對規(guī)范用戶的上網(wǎng)行為、防止危害網(wǎng)絡(luò)安全行為的發(fā)生有著極其重要的作用。

在該認證計費系統(tǒng)中，采用基于客戶端認證方式。用戶可通過客戶端發(fā)起訪問請求，認證服務(wù)器接到請求后，要求用戶輸入用戶名和密碼進行身份驗證，驗證通過對該用戶的訪問請求予以放行，并且記錄用戶上網(wǎng)行為。在這種方式中，用戶名和密碼通過加密后再通過網(wǎng)絡(luò)傳輸?shù)秸J證計費服務(wù)器，能有效的防止用戶的賬號密碼被監(jiān)聽、盜用。

3，信息過濾

網(wǎng)絡(luò)上不良信息大范圍擴散，已經(jīng)嚴重威脅著校園網(wǎng)的正常運營，也給網(wǎng)絡(luò)用戶帶來了巨大損失和麻煩。在校園網(wǎng)上進行信息過濾，有效防止病毒和不良信息傳播，凈化校園網(wǎng)絡(luò)環(huán)境，為師生員工提供高質(zhì)量的服務(wù)顯得尤為重要。

對病毒進行過濾可在防火墻、交換機上關(guān)閉已發(fā)現(xiàn)病毒使用的端口，關(guān)閉未被使用的端口，同時加裝校園網(wǎng)集中式防病毒系統(tǒng)；對不良網(wǎng)站，可在防火墻、交換機上限制校園網(wǎng)用戶對該類網(wǎng)站的訪問；對垃圾郵件在原有郵件系統(tǒng)上加裝功能強大的反垃圾郵件系統(tǒng)，有效過濾垃圾信息。

五、結(jié)束語

保證校園網(wǎng)的正常運營，必須確保校園網(wǎng)的安全。而網(wǎng)絡(luò)的安全是一個動態(tài)發(fā)展的過程，隨著網(wǎng)絡(luò)應(yīng)用系統(tǒng)的不斷擴充，網(wǎng)絡(luò)的安全越來越重要、越來越復(fù)雜。除了采用有效的技術(shù)手段加強管理外，還必須建立完善的校園網(wǎng)安全管理制度，加強網(wǎng)絡(luò)管理人員的技術(shù)培訓(xùn)和校園網(wǎng)用戶的安全意識教育。

參考文獻:

[1]查貴庭彭其軍羅國富:校園網(wǎng)安全威脅及安全系統(tǒng)構(gòu)建[J]，計算機應(yīng)用研究，2005年第3期150-152

[2]傅光軒高鴻峰楊再仙:校園網(wǎng)信息安全及對策[J]，貴州大學(xué)學(xué)報(自然科學(xué)版)，2004年5月21(2)175-178

[3]Terry Willianm Ogletree著，李之棠譯:防火墻原理與實施[M]電子工業(yè)出版社，2001年

本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文。