摘要：本文以高校網(wǎng)絡(luò)安全防毒角度為出發(fā)點，首先闡述了目前高校計算機網(wǎng)絡(luò)的發(fā)展現(xiàn)狀，詳細(xì)分析了一般高校網(wǎng)絡(luò)組建的結(jié)構(gòu)情況，然后通過對高校網(wǎng)絡(luò)結(jié)構(gòu)的分析，從防火墻技術(shù)和病毒查殺兩個方面詳細(xì)探討高校防毒體系的構(gòu)建。

關(guān)鍵詞：高校防毒體系路由器防火墻

1 引言

隨著目前計算機網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，世界上各個行業(yè)都越來越離不開計算機和網(wǎng)絡(luò)，各個行業(yè)在運用計算機技術(shù)進(jìn)行辦公自動化以及采用局域網(wǎng)和互聯(lián)網(wǎng)進(jìn)行網(wǎng)絡(luò)資源共享的同時，也使得各行業(yè)內(nèi)部的計算機處于互聯(lián)網(wǎng)黑客及病毒等危險之中，基于計算機防毒安全問題日益突出。作為走在學(xué)術(shù)技術(shù)前沿的高校，防毒技術(shù)自然成為其研究和探討的熱點之一。

2 高校網(wǎng)絡(luò)組建結(jié)構(gòu)

在現(xiàn)代高校的網(wǎng)絡(luò)組建過程中，網(wǎng)絡(luò)架構(gòu)等實際情況會根據(jù)高校自己的規(guī)模和需求進(jìn)行相應(yīng)的調(diào)整，各個高校都根據(jù)自身的條件來的規(guī)劃，因此在網(wǎng)絡(luò)組建的具體情況上各個高校的網(wǎng)絡(luò)結(jié)構(gòu)略有差異，但是，由于高校網(wǎng)絡(luò)都是采用以內(nèi)部局域網(wǎng)連接到外部互聯(lián)網(wǎng)絡(luò)，因此，該網(wǎng)絡(luò)組建整體上具有共同特征，在高校的內(nèi)部局域網(wǎng)絡(luò)中，主干部分是核心層。核心層的主要目的在于通過高速轉(zhuǎn)發(fā)通信，可靠的骨干傳輸結(jié)構(gòu)，因此核心層主要部分是高性能的交換機組成。核心交換機擁有更高的可靠性，并且能夠處理網(wǎng)絡(luò)中大量的數(shù)據(jù)流量，具備很強的擴(kuò)展能力。核心交換機為網(wǎng)絡(luò)提供高速的主干鏈路及中心設(shè)備，是溝通服務(wù)器和訪問層設(shè)備的橋梁，更要能實時的高品質(zhì)的網(wǎng)絡(luò)服務(wù)。高校內(nèi)部局域網(wǎng)中內(nèi)部服務(wù)器主要是用來分發(fā)網(wǎng)絡(luò)資源到客戶端的用戶，并將網(wǎng)絡(luò)中非中心數(shù)據(jù)的流量減少到最低。客戶端目的是允許終端用戶連接到網(wǎng)絡(luò)，一般接入層的交換機處于網(wǎng)絡(luò)體系結(jié)構(gòu)的最下層，提供基于端口的數(shù)據(jù)交換以及對VLAN的支持。

3 高校防毒體系的構(gòu)建

根據(jù)對普通高校網(wǎng)絡(luò)結(jié)構(gòu)的分析，最終用戶要和外界聯(lián)系通訊必須通過網(wǎng)絡(luò)路由器、交換機等網(wǎng)絡(luò)服務(wù)設(shè)備，這樣對于外界網(wǎng)絡(luò)安全全部都依賴于這些網(wǎng)絡(luò)服務(wù)設(shè)備。因而針對于網(wǎng)絡(luò)的安全防毒體系的構(gòu)建必須以網(wǎng)絡(luò)服務(wù)服務(wù)設(shè)備的病毒防備為主。本文從防火墻以及相關(guān)殺毒軟件兩個方面探討防毒體系的構(gòu)建。

（1）防火墻技術(shù)。①訪問控制列表構(gòu)建防火墻體系結(jié)構(gòu)。訪問控制列表是應(yīng)用在路由器接口的指令列表，這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是被拒絕，可以由類似于源地址、目的地址、端口號、協(xié)議等特定指示條件來決定。通過靈活地增加訪問控制列表，ACL可以當(dāng)作一種網(wǎng)絡(luò)控制的有力工具，用來過濾流入和流出路由器接口的數(shù)據(jù)包。從而達(dá)到網(wǎng)絡(luò)防火墻的作用。首先我們定義路由器全局配置模式下的訪問列表，這里我們要求數(shù)據(jù)包在通過當(dāng)前端口時是否匹配，訪問列表是按照語句的編寫順序進(jìn)行效驗比較的，數(shù)據(jù)包頭與訪問列表的第一句不匹配，及繼續(xù)與下一句進(jìn)行效驗，一直到有相匹配的語句時，數(shù)據(jù)包將被接受。如果在訪問列表里沒有一個語句是與數(shù)據(jù)包匹配的，數(shù)據(jù)包將被拒絕。在訪問列表里，我們沒有寫通配符掩碼，讓路由器自動默認(rèn)采用自動分配。當(dāng)將訪問列表應(yīng)用到端口后，端口將立即執(zhí)行命令對其主機進(jìn)行作用，但是當(dāng)計算機的IP地址改變后，這個端口的訪問控制列表也將失效，這也是全局下配置訪問控制列表的弊端。而通過擴(kuò)展IP訪問控制列表使功能上會變的更加靈活。我們在擴(kuò)展訪問列表的基礎(chǔ)上，再加上時間控制就能基本實現(xiàn)我們要求達(dá)到的目的。因為我們基本控制的都是WEB訪問的協(xié)議，我們定義一個擴(kuò)展訪問列表，然后再列表中最后一句加上時間范圍，這樣訪問控制列表構(gòu)建防火墻體系結(jié)構(gòu)就基本完成了。②硬件防火墻的應(yīng)用。在高校網(wǎng)絡(luò)應(yīng)用中，比較常見的是硬件防火墻，我以“WatchGuard”這款防火墻在高校中網(wǎng)絡(luò)組建做個詳細(xì)的介紹。當(dāng)然，在我們使用防火墻之前我們首先得安裝它，或者說是將防火墻與整個網(wǎng)絡(luò)配置好。第一步我們必須選定防火墻的工作模式，一般為兩個選項，一個為Drop-In Mode，另一個為Routed Mode。前者主要用于不帶“非軍事區(qū)”或者無內(nèi)網(wǎng)的網(wǎng)絡(luò)環(huán)境，在這里我們選擇“Routed Mode”模式。然后我們把外接網(wǎng)口，內(nèi)部接口、“非軍事區(qū)”的選項添好，進(jìn)行完網(wǎng)絡(luò)設(shè)置后，我們即可通過GUI程序與硬件防火墻直接連接，并對防火墻進(jìn)行配置。局域網(wǎng)與防火墻之間的配置。一個高校往往會分很多部門，不同部門對網(wǎng)絡(luò)及網(wǎng)絡(luò)安全的需求往往是不一樣的。這種情況需要高校將LAN按部門區(qū)分開進(jìn)行管理，這樣不僅使得網(wǎng)絡(luò)清晰化，也使得管理更方便。而同樣的，也可以再防火墻上，將這些部門的計算機，按部門化進(jìn)行劃分開來。因此只要在防火墻上，將生產(chǎn)部的IP地址統(tǒng)一起來，列成一個一個得Group（組）式管理，對該組允許對80（HTTP）訪問，允許及時通訊軟件等對網(wǎng)絡(luò)訪問。

（2）病毒查殺清除技術(shù)。①手動清除病毒。想要清除病毒或木馬，首先得把它找出來。確定是病毒了以后再進(jìn)行查殺。通常病毒手動查詢判斷的方式有通過系統(tǒng)狀態(tài)判斷、通過網(wǎng)絡(luò)狀態(tài)判斷以及通過系統(tǒng)工具判斷。②網(wǎng)絡(luò)防病毒軟件查殺。主要是采用網(wǎng)絡(luò)防病毒軟件。網(wǎng)絡(luò)防病毒軟件的設(shè)計也是針對網(wǎng)絡(luò)的特點。它應(yīng)具有實施監(jiān)控、占用資源少、適合多種操作系統(tǒng)、統(tǒng)一管理、便于分發(fā)、便于在線升級更新及良好產(chǎn)品的售后服務(wù)的特點。在安裝此類軟件時，應(yīng)在網(wǎng)絡(luò)服務(wù)器安裝Server端工具。當(dāng)安裝好服務(wù)器端的軟件后，通過服務(wù)器自動分發(fā)給客戶端，使用戶完成客戶端的安裝。這樣在服務(wù)端和客戶端兩個主要的病毒入口都有效地防止了病毒的入侵，也有利于日后服務(wù)端在線升級更新后，自動通知客戶端及時更新防病毒程序。一般的網(wǎng)絡(luò)防病毒軟件都具有“查殺”郵件病毒、一般的黑客程序、文件型病毒的功能，采用各種防病毒軟件時對其功能和性能作為主要的參考對象。

4 結(jié)束語

隨著高校計算機網(wǎng)絡(luò)技術(shù)的深入，高校的各項教學(xué)活動都立足于網(wǎng)絡(luò)環(huán)境中，因此，一旦高校的網(wǎng)絡(luò)系統(tǒng)安全受到威脅，將會給高校帶來巨大的經(jīng)濟(jì)損失。如何使高校內(nèi)網(wǎng)免受黑客和計算機病毒的入侵，己經(jīng)成為高校信息化建設(shè)所要考慮的重要事情之一。

參考文獻(xiàn)：

[1]吳玉娟．淺談網(wǎng)絡(luò)病毒與防治方案．中國科技信息，2008，(19)：98-101.

[2]李勇．最新網(wǎng)絡(luò)病毒的查找及防殺．科技信息，2006，(6)：124-125.

[3]陳娟．淺談計算機病毒的傳播方式及防御技術(shù)．科技信息，2009，(12).

[4]彭國軍，羅成．Windows下計算機病毒的傳播方式研究．信息網(wǎng)絡(luò)安全，2009，(10)：57-70.