摘 要：校園局域網(wǎng)網(wǎng)絡(luò)的安全十分重要，它承載著學(xué)校的教學(xué)、行政、后勤、招生等方面事務(wù)處理。文章從網(wǎng)絡(luò)安全的各個(gè)方面，詳細(xì)分析了威脅校園網(wǎng)絡(luò)安全的各種因素，并以Netfilter/iptables系統(tǒng)為例，介紹了如何在Red Hat Linux 9中安裝防火墻。
　　 關(guān)鍵詞：網(wǎng)絡(luò)體系安全：安全監(jiān)控；管理制度
　　
　　 校園局域網(wǎng)承載著校園的教學(xué)、行政、后勤等方面事務(wù)處理，它的安全狀況直接影響著學(xué)校的教學(xué)、行政管理、招生宣傳等活動(dòng)。在網(wǎng)絡(luò)建成初期，安全問題可能還不突出，隨著應(yīng)用的深入，網(wǎng)絡(luò)上各種數(shù)據(jù)會(huì)急劇增加、訪問增多，潛在的安全缺陷和漏洞、惡意的攻擊等造成的問題開始頻繁出現(xiàn)。
　　 一、校園局域網(wǎng)一般受到的攻擊
　　 1. 病毒破壞
　　 通過網(wǎng)絡(luò)傳播的病毒無論是在傳播速度、破壞性和傳播范圍等方面都是單機(jī)病毒所不能比擬的。特別是在學(xué)校接入廣域網(wǎng)后，為外面病毒進(jìn)入學(xué)校大開方便之門。
　　 2. 惡意入侵
　　 學(xué)校的行政部門會(huì)存放教師和學(xué)生重要的個(gè)人信息，因此會(huì)面臨來自外部和內(nèi)部的非法訪問。不法人員可能會(huì)通過非正常的手段獲得這些資料，給學(xué)校造成難以挽救的損失，同時(shí)也損害了學(xué)校本身的形象，影響了學(xué)校的正常運(yùn)作。
　　 3. 惡意破壞
　　 對計(jì)算機(jī)硬件系統(tǒng)和軟件系統(tǒng)的惡意破壞，包括對網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)系統(tǒng)兩個(gè)方面的破壞。網(wǎng)絡(luò)設(shè)備包括服務(wù)器、交換機(jī)、集線器、路由器、通信媒體、工作站等，它們分布在整個(gè)學(xué)校范圍內(nèi)，不可能24小時(shí)專人看管，某些人員可能出于各種目的，有意或無意地將它們損壞，這樣會(huì)造成學(xué)校網(wǎng)絡(luò)全部或部分癱瘓。另一方面是利用黑客技術(shù)對學(xué)校網(wǎng)絡(luò)系統(tǒng)進(jìn)行破壞。表現(xiàn)在以下幾個(gè)方面：對學(xué)校網(wǎng)站的主頁面進(jìn)行修改，破壞學(xué)校的形象，向服務(wù)器發(fā)送大量信息使整個(gè)網(wǎng)絡(luò)陷于癱瘓；利用學(xué)校的郵件服務(wù)器轉(zhuǎn)發(fā)各種非法的信息等。
　　 4. 口令入侵
　　 為了方便管理，一般來說，學(xué)校會(huì)給每個(gè)員工分配一個(gè)賬號和密碼，并根據(jù)其應(yīng)用范圍，分配相應(yīng)的權(quán)限。某些員工可能會(huì)為了訪問不屬于自己應(yīng)該訪問的內(nèi)容，用不正常的手段竊取別人的口令，造成管理的混亂，甚至給學(xué)校帶來損失。
　　 二、安全管理的策略
　　 為保證校園網(wǎng)絡(luò)的安全性，一般采用以下一些策略。
　　 1. 設(shè)備安全
　　 在校園局域網(wǎng)規(guī)劃設(shè)計(jì)階段應(yīng)該充分考慮到網(wǎng)絡(luò)設(shè)備的安全問題，將一些重要的設(shè)備實(shí)行集中管理。各種通信線路要盡量實(shí)行深埋、穿線或架空，并有明顯標(biāo)記，防止惡意損壞。
　　 2. 技術(shù)保證
　　 目前，網(wǎng)絡(luò)安全的技術(shù)主要包括殺毒軟件、防火墻技術(shù)、身份驗(yàn)證等內(nèi)容。針對校園局域網(wǎng)來說，我們主要該采取以下一些技術(shù)措施。
　　 （1）運(yùn)用內(nèi)容過濾器和防火墻。過濾器技術(shù)可以屏蔽不良的網(wǎng)站，對網(wǎng)上色情、暴力和邪教等內(nèi)容有強(qiáng)大的堵截功能。
　　 防火墻是借鑒了古代真正用于放火的防火墻的喻義。它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。
　　 （2）運(yùn)用VLAN技術(shù)。采用交換式局域網(wǎng)技術(shù)的校園局域網(wǎng)絡(luò)，可以運(yùn)用VLAN技術(shù)來加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理。
　　 （3）殺毒軟件。選擇合適的網(wǎng)絡(luò)殺毒軟件可以有效地防止病毒在校園局域網(wǎng)上傳播。它具有以下一些特征：第一，能夠支持所有的主流平臺(tái)，并實(shí)現(xiàn)軟件安裝、升級、配置的中央管理；第二，要能保護(hù)校園局域網(wǎng)所有可能的病毒入口，能適應(yīng)并且及時(shí)跟上瞬息萬變的Internet時(shí)代步伐；第三，具有較強(qiáng)的防護(hù)功能，可以對數(shù)據(jù)、程序提供有效的保護(hù)。
　　 三、使用Netfilter/iptables防火墻框架
　　 1. 簡介
　　 Netfilter/iptables可以對流入和流出的信息進(jìn)行細(xì)化控制，且可以在一臺(tái)低配置機(jī)器上很好地運(yùn)行，符合學(xué)校成本控制的需求，被認(rèn)為是Linux中實(shí)現(xiàn)包過濾功能的第四代應(yīng)用程序。
　　 2. 安裝Netfilter/iptables系統(tǒng)
　　 因?yàn)镹etfilter/iptables的netfilter組件是與內(nèi)核2.4.x集成在一起，對于Red Hat Linux9或更高版本的Liunx都配備了netfilter這個(gè)內(nèi)核工具，只需要下載安裝iptables源代碼包。
　　 3. 使用iptables的過濾規(guī)則
　　 通過向防火墻提供有關(guān)對來自某個(gè)源、到某個(gè)目的地或具有特定協(xié)議類型的信息包要做什么的指令，規(guī)則控制信息包的過濾。通過使用Netfilter/iptables系統(tǒng)提供的特殊命令iptables，建立這些規(guī)則，并將其添加到內(nèi)核空間的特定信息包過濾表內(nèi)的鏈中。
　　 4. iptables的運(yùn)用
　　 學(xué)校服務(wù)器安裝的是Red Hat Linux 9.03操作系統(tǒng)，安裝完防火墻之后，進(jìn)行了以下的測試。
　　 （1）接受來自指定IP地址的所有流入的數(shù)據(jù)包。#iptables -AINPUT-s192.168.129.134-j ACCEPT
　　 （2）只接受來自指定端口（服務(wù)）的數(shù)據(jù)包。#iptables-D INPUT-deport 80-j DROP
　　 （3）拒絕發(fā)往WWW服務(wù)器的客戶端的請求數(shù)據(jù)包。#iptables -A FORWARD -p tcp-d 192.168.129.131-dport www-I eth0 -j REJECT
　　 以上測試分別在連接一個(gè)客戶端、連接20個(gè)客戶端的狀態(tài)下進(jìn)行，經(jīng)檢驗(yàn)達(dá)到預(yù)期效果，有效地控制了客戶對不良網(wǎng)站的訪問以及非法信息的進(jìn)入，保證了學(xué)校網(wǎng)絡(luò)的健康運(yùn)行。
　　 校園局域網(wǎng)的安全及相應(yīng)的管理策略是一個(gè)需要長期關(guān)注的實(shí)用研究課題。Netfilter/iptables系統(tǒng)的一大優(yōu)點(diǎn)是可以根據(jù)情況的變化隨時(shí)添加/除去/編輯過濾規(guī)則，以保證校園局域網(wǎng)穩(wěn)定可靠運(yùn)行。
　　
　　參考文獻(xiàn)：
　　[1]王麗娜.網(wǎng)絡(luò)多媒體信息安全保密技[M].武漢：武漢大學(xué)出版社，2003．
　　[2]李洋，汪虎松，等.Red Hat Linux 9系統(tǒng)與網(wǎng)絡(luò)管理教程[M].北京：電子工業(yè)出版社，2006.
　　（廣州市交通技師學(xué)院）