摘 要： 高校網(wǎng)絡(luò)安全穩(wěn)定越來(lái)越得到重視，為了給全校教師和學(xué)生創(chuàng)造一個(gè)快捷、可靠的網(wǎng)絡(luò)環(huán)境，對(duì)學(xué)校的核心交換機(jī)進(jìn)行了安全策略的配置。本文從實(shí)際角度出發(fā)，詳細(xì)地闡述了核心交換機(jī)配置。

關(guān)鍵詞： 校園網(wǎng)絡(luò) 案例策略 特點(diǎn) 應(yīng)用

一、引言

隨著高校信息化建設(shè)速度的加快，也伴隨產(chǎn)生了日益嚴(yán)重的信息安全問(wèn)題，而信息的安全首先依賴于網(wǎng)絡(luò)本身的安全。在一個(gè)開(kāi)放式的大學(xué)校園網(wǎng)內(nèi)，無(wú)論是有意的攻擊，還是無(wú)意的誤操作，都會(huì)給信息系統(tǒng)帶來(lái)不可估量的損失。攻擊者可以竊聽(tīng)網(wǎng)絡(luò)上的信息、竊取用戶的口令和數(shù)據(jù)庫(kù)的信息；還可以篡改數(shù)據(jù)庫(kù)內(nèi)容、偽造用戶身份。攻擊者可以刪除數(shù)據(jù)庫(kù)內(nèi)容、摧毀網(wǎng)絡(luò)節(jié)點(diǎn)、釋放計(jì)算機(jī)病毒等，嚴(yán)重影響了整個(gè)校園網(wǎng)的教學(xué)運(yùn)作。因此，我們必須采用有效的安全策略與技術(shù)手段來(lái)保護(hù)網(wǎng)絡(luò)。

二、校園網(wǎng)絡(luò)的特點(diǎn)

校園網(wǎng)絡(luò)與企業(yè)或政府網(wǎng)絡(luò)相比，其自身的特點(diǎn)導(dǎo)致了安全管理非常復(fù)雜，具體體現(xiàn)在以下幾個(gè)方面：

1.校園網(wǎng)數(shù)量和規(guī)模

高校校園網(wǎng)絡(luò)目前普遍使用百兆、千兆，甚至萬(wàn)兆實(shí)現(xiàn)園區(qū)主干互連。用戶群體比較大，比較密集。正是由于高帶寬和大用戶量的特點(diǎn)，網(wǎng)絡(luò)安全問(wèn)題一般蔓延快，對(duì)網(wǎng)絡(luò)的影響比較嚴(yán)重。

2.開(kāi)放的網(wǎng)絡(luò)環(huán)境

由于以教學(xué)和科研為主的特點(diǎn)決定了校園網(wǎng)絡(luò)環(huán)境應(yīng)該是開(kāi)放的，管理也是比較寬松的。至少在校園網(wǎng)的主干方面不能實(shí)施過(guò)多的限制，否則一些新的應(yīng)用、新的技術(shù)很難在校園網(wǎng)內(nèi)部實(shí)施。開(kāi)放的網(wǎng)絡(luò)環(huán)境必然會(huì)帶來(lái)安全管理上的難度。

3.學(xué)生是網(wǎng)絡(luò)的活躍群體

高校的學(xué)生通常是最活躍的網(wǎng)絡(luò)用戶，對(duì)網(wǎng)絡(luò)新技術(shù)充滿好奇，勇于嘗試。如果沒(méi)有意識(shí)到后果的嚴(yán)重性，有意識(shí)和無(wú)意識(shí)地使用一些軟件，如：流光、冰河等黑客軟件，就可能對(duì)網(wǎng)絡(luò)造成一定的影響和破壞。還有些學(xué)生自己私自設(shè)置DHCP服務(wù)器，造成網(wǎng)絡(luò)內(nèi)部大量的廣播包的發(fā)送，大大降低了交換機(jī)設(shè)備的使用效率。

4.辦公用機(jī)對(duì)病毒的警惕性不高

高校內(nèi)部的許多教工對(duì)電腦只有最基礎(chǔ)的了解，因此對(duì)互聯(lián)網(wǎng)上出現(xiàn)的病毒毫無(wú)警惕，而如今的Internet病毒傳染力越來(lái)越強(qiáng)，隨著不斷的演進(jìn)，網(wǎng)絡(luò)蠕蟲(chóng)與病毒進(jìn)一步融合，發(fā)展成為破壞力超強(qiáng)的“超級(jí)病毒”。反計(jì)算機(jī)病毒技術(shù)雖然也在不斷更新?lián)Q代，但總是比較滯后，每次病毒的大規(guī)模泛濫總使得人們疲于應(yīng)付，不僅嚴(yán)重影響了校園網(wǎng)的性能，有的還造成了科研教學(xué)很大的損失。

三、校園網(wǎng)絡(luò)安全策略和應(yīng)用

面對(duì)這些安全隱患，必須采取有效的安全措施，通過(guò)一定的技術(shù)手段、設(shè)備和策略來(lái)保護(hù)校園網(wǎng)絡(luò)的安全。如針對(duì)病毒和蠕蟲(chóng)，可以通過(guò)網(wǎng)絡(luò)版殺毒軟件來(lái)阻礙它們?cè)诰W(wǎng)絡(luò)上肆虐；針對(duì)各種攻擊，可以通過(guò)防火墻來(lái)保障校園網(wǎng)處于保護(hù)狀態(tài)。但僅僅依靠這些措施還遠(yuǎn)遠(yuǎn)不行，還需要結(jié)合一些訪問(wèn)控制列表（ACL）等管理策略才能真正保障學(xué)校網(wǎng)絡(luò)的安全。

在學(xué)校網(wǎng)絡(luò)建設(shè)中，我們采用的是huawei3com（華三）系列的設(shè)備，核心交換機(jī)采用huawei3com s9508，該產(chǎn)品的高性能如下：

（1）內(nèi)部h3c防火墻體系結(jié)構(gòu)防止來(lái)自網(wǎng)絡(luò)內(nèi)部和外部的蓄意攻擊和非法進(jìn)入。

（2）可以與VPN、防火墻、侵入監(jiān)測(cè)系統(tǒng)（IDS）同時(shí)使用。

（3）在不影響系統(tǒng)性能的前提下，能夠使用訪問(wèn)控制列表提供第2、3、4層安全過(guò)濾過(guò)濾流量。

結(jié)合h3cs9508的硬件性能我們又進(jìn)行了相應(yīng)的策略配置。

1.VLAN的管理

VLAN（Virtual Local Area Network）稱為虛擬局域網(wǎng)，是指在邏輯上將物理的LAN分成不同的邏輯子網(wǎng)，每一個(gè)邏輯子網(wǎng)就是一個(gè)單獨(dú)的播域。簡(jiǎn)單地說(shuō)，就是將一個(gè)大的物理的局域網(wǎng)（LAN）在交換機(jī)上通過(guò)軟件劃分成若干個(gè)小的虛擬的局域網(wǎng)（VLAN）。因?yàn)榻粨Q機(jī)通信的原理就是要通過(guò)“廣播”來(lái)發(fā)現(xiàn)通往的目的MAC地址（硬件地址），以便在交換機(jī)內(nèi)部的MAC數(shù)據(jù)庫(kù)建立MAC地址表，而廣播不能跨越不同網(wǎng)段。劃分VLAN子網(wǎng)，能劃小播域，避免數(shù)據(jù)碰撞在大的物理LAN內(nèi)產(chǎn)生嚴(yán)重后果，也避免廣播風(fēng)暴的產(chǎn)生。提高交換網(wǎng)絡(luò)的交換效率，保證網(wǎng)絡(luò)穩(wěn)定。要提高網(wǎng)絡(luò)安全性，可通過(guò)劃分VLAN，LAN被劃分不同子網(wǎng)段，因此不能直接通信。必要的通信必須經(jīng)過(guò)路由器來(lái)實(shí)現(xiàn)，因此可在路由器（或三層交換機(jī)）上配置訪問(wèn)控制列表來(lái)進(jìn)行跨子網(wǎng)段的授權(quán)訪問(wèn)，從而提高企業(yè)內(nèi)部網(wǎng)絡(luò)訪問(wèn)的安全性。VLAN技術(shù)很好地解決了網(wǎng)絡(luò)管理的問(wèn)題，能實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)督與管理的自動(dòng)化，從而更有效地進(jìn)行網(wǎng)絡(luò)監(jiān)控。

通過(guò)口令登陸，在H3CS9508上配置VLAN：

#vlan 54

description yys8（創(chuàng)建VLAN，并命名為YYS8）

#vlan 55

description yys9

interface Vlan-interface54

ip address 192.168.134.254 255.255.255.0（VLAN 需接口地址為192.168.134.254，也就是網(wǎng)關(guān)，子網(wǎng)掩碼255.255.255.0）

#interface Vlan-interface55

ip address 192.168.135.254 255.255.255.0

#interface GigabitEthernet2/1/37（定義VLAN 54的具體實(shí)接口）

port access vlan 54

#interface GigabitEthernet2/1/39

port access vlan 55

以上VLAN已經(jīng)創(chuàng)建并分配了相應(yīng)的網(wǎng)關(guān)，將實(shí)際應(yīng)用的端口歸入VLAN名下。.

2.防止病毒的入侵

計(jì)算機(jī)病毒在校園網(wǎng)內(nèi)的傳播是驚人的，破壞性也是巨大的，面對(duì)這種威脅，我們可以利用訪問(wèn)控制列表關(guān)閉135、139、445、4444等端口，預(yù)防“沖擊波”病毒等事件的發(fā)生，防止ping flood的出現(xiàn)。

acl number 3001

rule 0 deny tcp destination-port eq 135

rule 1deny tcp destination-port eq 139

rule 2 deny tcp destination-port eq 445

rule 3 deny udp destination-port eq 445

rule 4 deny tcp destination-port eq 4444

interface GigabitEthernet1/0/1

qos

packet-filter inbound ip-group 3001 rule 0 system-index 1

packet-filter inbound ip-group 3001 rule 1 system-index 3

packet-filter inbound ip-group 3001 rule 2 system-index 5

packet-filter inbound ip-group 3001 rule 3 system-index 7

packet-filter inbound ip-group 3001 rule 4 system-index 9

以上是通過(guò)ACL策略封閉了135、137、139端口的TCP和UDP協(xié)議數(shù)據(jù)，并將策略應(yīng)用于VLAN中。

3.記錄核心交換機(jī)的系統(tǒng)日志

在校園網(wǎng)安全管理中，我們還要注意日志的收集，當(dāng)出現(xiàn)安全事故時(shí)，如果有交換機(jī)等設(shè)備的日志信息，就可以通過(guò)查看日志，分析日志，找到攻擊的來(lái)源，從而堵塞漏洞，將損失降低到最小。

4.建立端口訪問(wèn)控制列表

我們可以通過(guò)建立ACL來(lái)控制只能通過(guò)某些網(wǎng)段或某個(gè)IP地址來(lái)訪問(wèn)某些VLAN，或某臺(tái)網(wǎng)絡(luò)設(shè)備，譬如只能允許我們網(wǎng)絡(luò)管理員來(lái)訪問(wèn)交換機(jī)或路由器，而別人就不能進(jìn)入。

放在中心機(jī)房的財(cái)務(wù)服務(wù)器只能由財(cái)務(wù)處的VLAN來(lái)訪問(wèn)管理，其他的VLAN則為非法訪問(wèn)。

rule 1 permit ip source.0 0.0.0.255 destination 193.168.0.0 0.0.255.255（允許192.168.249網(wǎng)段訪問(wèn)193.168.0.網(wǎng)段，這是我們網(wǎng)絡(luò)設(shè)備的IP）

rule 2 permit ip source 192.168.100.202 0 destination 192.168.251.0 0.0.0.25

rule 3 permit ip source 192.168.251.1 0 destination 192.168.100.29 0（只允許192.168.251.1這臺(tái)PC來(lái)訪問(wèn)192.168.100.29這臺(tái)服務(wù)器）

5.內(nèi)嵌H3C SecBlade防火墻模塊，使交換機(jī)和防火墻的無(wú)縫連接配置，SecBlade FW集成防火墻、VPN、內(nèi)容過(guò)濾和NAT地址轉(zhuǎn)換等功能，提升了網(wǎng)絡(luò)設(shè)備的安全業(yè)務(wù)能力，H3C SecBlade FW能提供外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、URL過(guò)濾、應(yīng)用層過(guò)濾等功能，有效地保證網(wǎng)絡(luò)的安全。采用H3C ASPF（Application Specific Packet Filter）應(yīng)用狀態(tài)檢測(cè)技術(shù)，實(shí)時(shí)檢測(cè)應(yīng)用層連接狀態(tài)，實(shí)現(xiàn)3—7層安全防護(hù)。提供郵件告警、攻擊日志、流日志和網(wǎng)絡(luò)管理監(jiān)控等功能，協(xié)助用戶進(jìn)行網(wǎng)絡(luò)管理。

6.為了有效管理核心交換機(jī)及相關(guān)設(shè)備，我們還專門配備了一套H3C智能管理中心（H3C Intelligent Management Center，以下簡(jiǎn)稱H3C iMC）的網(wǎng)管軟件，通過(guò)使用SNMP協(xié)議來(lái)實(shí)時(shí)記錄各種交換設(shè)備的使用情況，不僅有效保障了網(wǎng)絡(luò)應(yīng)用的安全，更使得校園網(wǎng)的網(wǎng)絡(luò)管理真正做到了可管、可控和可視化，成功解決了我們?cè)诰W(wǎng)絡(luò)規(guī)劃和應(yīng)用發(fā)展期間的一系列難題。

四、小結(jié)

網(wǎng)絡(luò)安全問(wèn)題是一個(gè)全球普遍問(wèn)題，安全防護(hù)設(shè)備和軟件投入越多，安全也就越有保障。網(wǎng)絡(luò)安全需要在網(wǎng)絡(luò)建設(shè)時(shí)就要充分考慮，要規(guī)劃好網(wǎng)絡(luò)設(shè)計(jì)方案和策略。網(wǎng)絡(luò)安全管理需要一定的計(jì)算機(jī)資源，既要做到網(wǎng)絡(luò)安全可靠，又要不浪費(fèi)資源和財(cái)力，保持網(wǎng)絡(luò)暢通，系統(tǒng)運(yùn)行正常。

參考文獻(xiàn)：

［1］姚小蘭.網(wǎng)絡(luò)安全管理與技術(shù)防護(hù).北京理工大學(xué)出版社，2006.

［2］張玲，萬(wàn)紅運(yùn)，劉壽強(qiáng).基于核心交換機(jī)的大學(xué)校園網(wǎng)安全控制策略實(shí)例剖析.計(jì)算機(jī)安全，2006.

［3］申燕.網(wǎng)絡(luò)交換機(jī)原理及選擇.長(zhǎng)沙通信職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2006.

［4］胡肖鋒，陳朵玲.校園網(wǎng)絡(luò)安全的分析與策略研究.杭州電子科技大學(xué)學(xué)報(bào)（社科版），2005.