☆葉青

（江蘇省高港中等專業(yè)學(xué)校，江蘇泰州 225330）

淺析校園網(wǎng)絡(luò)安全技術(shù)

☆葉青

（江蘇省高港中等專業(yè)學(xué)校，江蘇泰州 225330）

隨著信息技術(shù)的發(fā)展，大部分學(xué)校都組建了內(nèi)部局域網(wǎng)，實(shí)現(xiàn)了資源共享，提高了工作效率，校園網(wǎng)已成為現(xiàn)代學(xué)校的重要組成部分。作為園區(qū)網(wǎng)的典型，校園網(wǎng)的規(guī)模正逐步由中小型向大中型發(fā)展和過(guò)渡，其典型特點(diǎn)是訪問(wèn)形式多樣、用戶群龐大、網(wǎng)絡(luò)行為突發(fā)性高。與此同時(shí)，校園網(wǎng)絡(luò)安全問(wèn)題在新形勢(shì)下日益突出，除對(duì)色情、反動(dòng)等不良信息過(guò)濾外，還應(yīng)加強(qiáng)對(duì)病毒、黑客、流氓軟件、木馬、僵尸網(wǎng)絡(luò)等攻擊行為的防范。校園網(wǎng)的安全性高低取決于學(xué)校網(wǎng)絡(luò)中最弱的環(huán)節(jié)，符合“木桶理論”，而且各種網(wǎng)絡(luò)危害行為也是從薄弱的環(huán)節(jié)入手。本文根據(jù)校園網(wǎng)絡(luò)安全面臨的新挑戰(zhàn)，分析了四種適合校園網(wǎng)絡(luò)的安全技術(shù)：防病毒技術(shù)、防火墻與網(wǎng)絡(luò)隔離技術(shù)、VLAN技術(shù)、云防護(hù)技術(shù)。

一、防病毒技術(shù)

新型病毒層出不窮，傳播速度快，破壞力越來(lái)越強(qiáng)。校園網(wǎng)必須在網(wǎng)絡(luò)系統(tǒng)的各個(gè)環(huán)節(jié)嚴(yán)加防范，才能控制或阻止病毒的侵害。學(xué)生和教師用機(jī)是查、殺、清、防病毒的最底層，考慮學(xué)校教學(xué)用機(jī)數(shù)量龐大，建議建立全面的主動(dòng)病毒防護(hù)體系，在每臺(tái)工作站、服務(wù)器上都要有反病毒軟件并能統(tǒng)一管理。校園網(wǎng)與Internet相連的網(wǎng)關(guān)，也要安裝網(wǎng)關(guān)型防病毒軟件進(jìn)行攔截，以阻止病毒進(jìn)入校園網(wǎng)傳播擴(kuò)散。由于師生信息瀏覽和EMAIL通信的普遍性，在Internet瀏覽、上下載的信息時(shí)有可能傳播病毒到內(nèi)部網(wǎng)絡(luò)上，防病毒軟件要能阻止網(wǎng)頁(yè)攜帶的Applet小應(yīng)用程序、JavaScript、ActiveX等病毒破壞，發(fā)現(xiàn)并清除隱藏在EMAIL、QQ、MSN、附件中的欺騙性病毒和木馬。

目前，主流的防病毒產(chǎn)品主要有賽門鐵克、趨勢(shì)、NAI McAfee、瑞星、金山等，網(wǎng)絡(luò)上也不乏免費(fèi)殺毒軟件。學(xué)校選擇防病毒產(chǎn)品時(shí)，應(yīng)結(jié)合自身的需求和能力。首次安裝防病毒軟件時(shí)，一定要對(duì)計(jì)算機(jī)做一次徹底的病毒掃描，過(guò)程中要注意定期查殺和軟件的更新。

二、防火墻與網(wǎng)絡(luò)隔離技術(shù)

防火墻（Firewall）介于內(nèi)外部網(wǎng)絡(luò)之間，它定義了一組訪問(wèn)策略，保護(hù)內(nèi)部網(wǎng)絡(luò)不受非法訪問(wèn)和攻擊。配置防火墻可以最大限度防止Internet上的不安全因素蔓延到校園網(wǎng)內(nèi)部。校內(nèi)單機(jī)可以使用個(gè)人防火墻，網(wǎng)上這樣的免費(fèi)或限時(shí)軟件很多，比如：瑞星、360安全衛(wèi)士、天網(wǎng)等。校園內(nèi)外網(wǎng)之間可根據(jù)學(xué)校需要配置軟件或硬件防火墻。軟件防火墻依賴于服務(wù)器的操作系統(tǒng)，安全性有較大限制，速度也比較慢，建議有條件學(xué)校配置硬件防火墻。硬件防火墻有專用硬件平臺(tái)和專用操作系統(tǒng)，甚至芯片級(jí)硬件防火墻使用專門芯片硬件平臺(tái)，沒(méi)有操作系統(tǒng)，它們的速度快、性能高、處理能力強(qiáng)。目前，常用的軟件防火墻有Checkpoin、CyberwallPlus、KFW 傲盾、天網(wǎng)等，常用的硬件防火墻有 NetScreen．、Cisco、Hillstone 等，還可根據(jù)學(xué)校需要選配NAT、DNS、VPN、IDS等不同模塊。另外，現(xiàn)在很多廠商把網(wǎng)防火墻和防病毒功能集成在一起，應(yīng)用更加方便。

ARP攻擊給校園網(wǎng)管理員造成了很大麻煩。攻擊者通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，使校園網(wǎng)堵塞或中斷服務(wù)。大多數(shù)防火墻都具備了檢測(cè)IP廣播包的MAC地址是否與路由器上的MAC地址表一致的能力，有效的攔截ARP攻擊。學(xué)校網(wǎng)管利用防火墻和一些工具對(duì)校園網(wǎng)進(jìn)行入侵檢測(cè)（intrusion detection）可以發(fā)現(xiàn)部分威脅到系統(tǒng)安全的行為，這是一種增強(qiáng)系統(tǒng)安全的有效方法。目前，入侵檢測(cè)系統(tǒng)的產(chǎn)品很多，僅國(guó)內(nèi)的就有東軟、聯(lián)想等十幾種，網(wǎng)上也有很多免費(fèi)檢測(cè)軟件。

防火墻對(duì)操作系統(tǒng)和訪問(wèn)策略有較大的依賴。然而操作系統(tǒng)也有漏洞，黑客控制了操作系統(tǒng)，就控制了防火墻，校園網(wǎng)就完全暴露在攻擊之下。錯(cuò)誤訪問(wèn)策略配置，也會(huì)使校園網(wǎng)內(nèi)外短路。新的網(wǎng)絡(luò)隔離技術(shù)在內(nèi)、外部主機(jī)系統(tǒng)中嵌入安全加固且不同的操作系統(tǒng)，內(nèi)部主機(jī)的操作系統(tǒng)對(duì)外部攻擊者是不可見的，在校園網(wǎng)和外部網(wǎng)絡(luò)之間形成了物理隔離帶，消除了基于網(wǎng)絡(luò)協(xié)議的攻擊。這種技術(shù)的應(yīng)用，必將使校園網(wǎng)絡(luò)管理高效化、簡(jiǎn)單化，安全級(jí)別也更高。這種技術(shù)的產(chǎn)品化，國(guó)外已經(jīng)趨于成熟，比較出名的有Owl公司、Tenix公司、HP公司等，國(guó)內(nèi)的產(chǎn)品還處于起步階段。

三、VLAN技術(shù)

隨著校園網(wǎng)絡(luò)規(guī)模擴(kuò)大，網(wǎng)內(nèi)機(jī)器超過(guò)200臺(tái)時(shí)網(wǎng)絡(luò)管理將極為困難。因此，通過(guò)路由器等設(shè)備分割網(wǎng)段勢(shì)在必行。這種物理的硬件隔離的方法，對(duì)教學(xué)用機(jī)的移動(dòng)很不方便。在實(shí)際應(yīng)用時(shí)，采取VLAN技術(shù)把校園網(wǎng)劃分為行政辦公、教師、學(xué)生等子網(wǎng)。劃分可以跨過(guò)物理設(shè)備，各子網(wǎng)之間無(wú)法直接通信，信息僅在VLAN內(nèi)的成員之間傳送，限制非成員數(shù)據(jù)轉(zhuǎn)發(fā)，從而減少了主干網(wǎng)的數(shù)據(jù)流量，控制網(wǎng)絡(luò)風(fēng)暴在必要范圍內(nèi)，并增強(qiáng)網(wǎng)絡(luò)的安全性和利于管理。根據(jù)校園網(wǎng)管理特點(diǎn)，通常選擇下面三種方法劃分VLAN：

1．基于端口的劃分

根據(jù)以太網(wǎng)交換機(jī)的端口劃分不同VLAN，可以把跨交換機(jī)的端口劃分到同一VLAN中，一個(gè)VLAN對(duì)應(yīng)一個(gè)端口集合，一個(gè)端口在某一時(shí)間只能位于一個(gè)VLAN中。比如可以把交換機(jī)SW1的端口1、4－5和SW2的端口 2－3、6劃為 VLAN1；把交換機(jī)SW1的端口2、3和SW2的端口 1、4、5劃為 VLAN2。這種方法簡(jiǎn)單易行，但是靈活性差。當(dāng)教學(xué)用機(jī)需要移動(dòng)時(shí)，但是新端口不位于原VLAN中時(shí)，機(jī)器不能直接連接通信，需要管理員重新定義端口配置。

2．基于MAC地址的劃分

校園網(wǎng)中的每MAC地址對(duì)應(yīng)一臺(tái)計(jì)算機(jī)，一個(gè)VLAN就是一個(gè)MAC地址集合。比如把所有教師機(jī)的MAC地址添加到VLAN1中，所有學(xué)生機(jī)的MAC地址添加到VLAN2中。配置完成后，交換機(jī)根據(jù)MAC地址識(shí)別和跟蹤教學(xué)用機(jī)。即使教學(xué)用機(jī)或服務(wù)器移動(dòng)位置，更換端口，也不會(huì)改變其所屬的VLAN。這種方法，用戶使用靈活，但是管理員工作量大而繁瑣：初始化時(shí)，如果用戶數(shù)量較多，要收集所有計(jì)算機(jī)MAC地址，對(duì)所有計(jì)算機(jī)進(jìn)行配置，工作量極大；后期，每一臺(tái)新計(jì)算機(jī)入網(wǎng)時(shí)，也需要添加到對(duì)應(yīng)的VLAN中，否則不能連接。

3．基于IP地址劃分

校園網(wǎng)中的網(wǎng)絡(luò)層IP地址對(duì)應(yīng)一臺(tái)計(jì)算機(jī)，一個(gè)VLAN就是一個(gè)IP地址集合。例如：把IP地址192．168．1．1－192．168．1．100 設(shè)置為 VLAN1 給教師使用，把 192．168．2．1－192．168．2．200 設(shè)置為 VLAN2 給學(xué)生使用。它具有第2種劃分方法的優(yōu)點(diǎn)，用戶計(jì)算機(jī)可以不修改網(wǎng)絡(luò)配置移動(dòng)，并且無(wú)需收集MAC地址對(duì)所有計(jì)算機(jī)單獨(dú)配置。但校園網(wǎng)中每次數(shù)據(jù)轉(zhuǎn)發(fā)，都需要檢查TCP／IP協(xié)議的網(wǎng)絡(luò)層，網(wǎng)絡(luò)工作效率低。

目前，應(yīng)用比較廣泛的具備VLAN功能的交換機(jī)、路由器主要有Cisco、銳捷、神州數(shù)碼等，這些網(wǎng)絡(luò)設(shè)備也不一定具備VLAN所有劃分方式。因此，學(xué)校要根據(jù)自己的要求和價(jià)格承受能力，選擇不同層次和功能的VLAN網(wǎng)絡(luò)設(shè)備，再根據(jù)實(shí)際設(shè)備選擇適合的VLAN劃分方式配置網(wǎng)絡(luò)。

四、云防護(hù)技術(shù)

校園網(wǎng)中 Email、BBS、Web、即時(shí)通信、上傳下載各種服務(wù)和應(yīng)用繁多，這也為黑客提供了更多的攻擊途徑。目前針對(duì)網(wǎng)絡(luò)的聯(lián)合攻擊規(guī)模越來(lái)越大，破壞性越來(lái)越強(qiáng)。許多校園網(wǎng)絡(luò)工作站點(diǎn)要么成為“僵尸”，要么成為被攻擊的對(duì)象。比如：“僵尸網(wǎng)絡(luò)”就是通過(guò)掛馬、下載等途徑控制數(shù)量巨大的“肉雞”對(duì)目標(biāo)進(jìn)行DoS等攻擊；還有“零日攻擊”指惡意運(yùn)用立即被發(fā)現(xiàn)的安全漏洞，利用時(shí)間差在網(wǎng)絡(luò)未及防范的情況下實(shí)施攻擊。

云防護(hù)技術(shù)就是通過(guò)云火墻、網(wǎng)絡(luò)防控中心動(dòng)態(tài)、主動(dòng)、協(xié)同阻止病毒、木馬、蠕蟲的蔓延和破壞?；ヂ?lián)網(wǎng)中，攻擊經(jīng)常是不可避免的，例如江蘇一個(gè)網(wǎng)絡(luò)感染蠕蟲病毒，立即把地址等信息報(bào)告云中心，中心再同步其它網(wǎng)絡(luò)，就可能阻止上海等其它網(wǎng)絡(luò)被感染。這種技術(shù)有別于防火墻技術(shù)的靜態(tài)被動(dòng)式防護(hù)，極大地提高了防護(hù)的效率。目前市場(chǎng)上云防護(hù)安全產(chǎn)品主要有思科ASA云火墻；一些個(gè)人防火墻也具備一些云防護(hù)功能。學(xué)校選擇購(gòu)買云防護(hù)構(gòu)件，加入這些云防護(hù)中心。

校園網(wǎng)安全是一個(gè)系統(tǒng)性工程，實(shí)踐中不能僅依靠防病毒、防火墻、VLAN、云火墻等網(wǎng)絡(luò)安全技術(shù)。任何技術(shù)的應(yīng)用都必須建立在對(duì)人和資源的有效管理上，學(xué)校應(yīng)建立相應(yīng)的規(guī)章制度，并將技術(shù)與管理結(jié)合起來(lái)，才能確保校園網(wǎng)正常安全運(yùn)行和朝著健康有序方向發(fā)展。

[1]王亞原．企業(yè)網(wǎng)絡(luò)安全問(wèn)題及對(duì)策[J]．太原師范學(xué)院學(xué)報(bào)(自然科學(xué)版),2005,(1)．

[2]張世永．網(wǎng)絡(luò)安全原理與應(yīng)用［M］．北京：科學(xué)出版社．2003,5．

[3]網(wǎng)絡(luò)安全新技術(shù)與發(fā)展趨勢(shì)[EB／OL]．http:／／tech．sina．com．cn／b／2009－11－25／09271147860．shtml．2009．

于翼楠]