摘要：如今人們對(duì)網(wǎng)絡(luò)信息系統(tǒng)的依賴日益增強(qiáng)，局域網(wǎng)（Vlan）的安全運(yùn)行直接影響到整個(gè)部門(mén)或單位的正常運(yùn)作，如何對(duì)網(wǎng)絡(luò)進(jìn)行安全管理是每個(gè)網(wǎng)絡(luò)管理者必須面對(duì)的問(wèn)題。本文從常見(jiàn)校園網(wǎng)運(yùn)行的現(xiàn)狀出發(fā)，對(duì)于各種經(jīng)常遇到的問(wèn)題進(jìn)行了簡(jiǎn)單的分析，簡(jiǎn)略地從運(yùn)用防火墻，劃分子網(wǎng)、病毒防御以及網(wǎng)絡(luò)使用規(guī)范等方面提出了一些防范的辦法與措施，以求能管好、用好校園網(wǎng)。

關(guān)鍵詞：現(xiàn)狀；問(wèn)題；安全；對(duì)策

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 (2012) 09-0000-02

一、引言

伴隨著信息化進(jìn)程飛速發(fā)展，各學(xué)校都組建了自己的校園網(wǎng)絡(luò)并連接互聯(lián)網(wǎng)。這使教育格局打破了時(shí)空的局限更具開(kāi)放性，同樣也豐富了教育手段，使教育具有更高的效率。然而，我們?cè)谙硎苤W(wǎng)絡(luò)帶來(lái)便利的同時(shí)，網(wǎng)絡(luò)的安全問(wèn)題也成了每個(gè)使用者所關(guān)注的熱點(diǎn)問(wèn)題。比如，2009年7月包括韓國(guó)政府部門(mén)網(wǎng)站在內(nèi)的許多韓國(guó)網(wǎng)站遭到黑客攻擊，造成多個(gè)網(wǎng)站癱瘓。因此，對(duì)于如何提高校園網(wǎng)的安全，是每一個(gè)使用校園網(wǎng)的人員都應(yīng)該重視和學(xué)習(xí)的問(wèn)題。

二、校園網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和存在的問(wèn)題

（一）拓?fù)浣Y(jié)構(gòu)

校園網(wǎng)作為局域網(wǎng)，系統(tǒng)相對(duì)較大，客戶終端多且分散，因此在設(shè)計(jì)伊始便著眼于建立一個(gè)高速、先進(jìn)、可擴(kuò)展的校園計(jì)算機(jī)網(wǎng)絡(luò)，以應(yīng)對(duì)當(dāng)前網(wǎng)絡(luò)技術(shù)發(fā)展的趨勢(shì)并滿足學(xué)校在辦公自動(dòng)化、資源共享等方面的需求。

一般學(xué)校內(nèi)的所有樓宇都涵蓋在校園網(wǎng)絡(luò)范圍之內(nèi)，包括行政樓、教學(xué)樓、學(xué)生機(jī)房及其他教學(xué)用房。樓群間通過(guò)千兆智能交換機(jī)上連至主機(jī)房的三層核心交換機(jī)。行政樓的多臺(tái)智能交換機(jī)堆疊后，通過(guò)千兆光模連至核心交換機(jī)。三層核心交換機(jī)與Web服務(wù)器、FTP服務(wù)器接入U(xiǎn)TM威脅處理器，再并入Internet，以求最大限度的減少入侵和病毒的破壞。同時(shí)為了控制ARP病毒對(duì)網(wǎng)絡(luò)的破壞，將行政區(qū)和教學(xué)區(qū)分劃為兩個(gè)Vlan，相互之間不能直接通信。

以下是某校校園網(wǎng)拓?fù)浣Y(jié)構(gòu)圖：

（二）存在問(wèn)題

1.網(wǎng)絡(luò)入侵

由于網(wǎng)絡(luò)的開(kāi)放性，造成網(wǎng)絡(luò)使用過(guò)程存在漏洞，容易產(chǎn)生網(wǎng)速減慢、擁塞甚至系統(tǒng)崩潰。常見(jiàn)的問(wèn)題有外部入侵、廣播風(fēng)暴、病毒感染等，其特征是通過(guò)傳染造成網(wǎng)絡(luò)資源的耗盡。人為因素的影響導(dǎo)致出現(xiàn)明顯漏洞。任何網(wǎng)絡(luò)軟件都不可能是完美的，加上網(wǎng)絡(luò)設(shè)計(jì)者在建設(shè)時(shí)由于硬件本身、軟件配置、網(wǎng)絡(luò)結(jié)構(gòu)等原因未能很好地規(guī)劃，導(dǎo)致網(wǎng)絡(luò)本身帶有一定的安全缺陷，容易被不法分子攻擊和破壞，導(dǎo)致系統(tǒng)整體或局部的癱瘓。常見(jiàn)有拒絕服務(wù)攻擊（Denial Of Service簡(jiǎn)稱DoS）和分布式拒絕服務(wù)攻擊（Distributed Denial Of Service簡(jiǎn)稱DdoS）。拒絕服務(wù)攻擊表現(xiàn)的特征是攻擊使系統(tǒng)或網(wǎng)絡(luò)癱瘓或發(fā)送大量數(shù)據(jù)包使網(wǎng)絡(luò)不能響應(yīng)。分布式拒絕服務(wù)攻擊表現(xiàn)的特征是非一對(duì)一而是多對(duì)一的攻擊。

2.廣播風(fēng)暴

隨著多媒體教學(xué)在課堂教學(xué)上的大量應(yīng)用，以及學(xué)生在線學(xué)習(xí)和娛樂(lè)的增加，廣播包的數(shù)量也會(huì)急劇增加，當(dāng)廣播包的數(shù)量占到通信總量的30%時(shí)，就會(huì)產(chǎn)生廣播風(fēng)暴，從而導(dǎo)致網(wǎng)絡(luò)通信陷于癱瘓。

3.意識(shí)不強(qiáng)

校園網(wǎng)內(nèi)師生使用計(jì)算機(jī)上的安全意識(shí)不強(qiáng)，操作上的不規(guī)范導(dǎo)致產(chǎn)生一些的安全問(wèn)題，比如人為關(guān)閉防毒軟件，使用帶有病毒的U盤(pán)或光盤(pán)等。這些不良習(xí)慣往往造成局域網(wǎng)內(nèi)部病毒的大量擴(kuò)散，防不勝防且難以徹底清除。

三、校園網(wǎng)常見(jiàn)問(wèn)題的對(duì)策

（一）使用防火墻

網(wǎng)絡(luò)防火墻技術(shù)是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制，用來(lái)保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)免受非授權(quán)人員的騷擾與黑客的入侵，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過(guò)濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。這些防火墻猶如一道護(hù)欄隔在被保護(hù)的內(nèi)部網(wǎng)絡(luò)與不安全的非信任網(wǎng)絡(luò)之間。

通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件配置在防火墻上。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。并且它能對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)，能記錄下這些訪問(wèn)并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。這些統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。除了利用網(wǎng)絡(luò)防火墻建起連接互聯(lián)網(wǎng)的屏障，對(duì)個(gè)人計(jì)算機(jī)也要確保安裝好操作系統(tǒng)的防火墻來(lái)防范內(nèi)網(wǎng)中可能產(chǎn)生的入侵。

雖然網(wǎng)絡(luò)防火墻在網(wǎng)絡(luò)安全中起著不可替代的作用，但它也有自身的弱點(diǎn)，比如它對(duì)網(wǎng)絡(luò)環(huán)境中日新月異的攻擊手段缺乏主動(dòng)的反應(yīng)。

（二）劃分子網(wǎng)

隨著校園網(wǎng)絡(luò)設(shè)備的投入，網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)數(shù)量增多，廣播包的數(shù)量也會(huì)急劇增加。眾多用戶在同一個(gè)廣播域中，會(huì)引起網(wǎng)絡(luò)性能的下降，浪費(fèi)可貴的帶寬。由于對(duì)廣播風(fēng)暴的控制只能在第三層的路由器上實(shí)現(xiàn)。因此，采用劃分子網(wǎng)的方式，將網(wǎng)絡(luò)分段并進(jìn)行隔離，即將一個(gè)大的廣播域劃分為若干個(gè)小的廣播域，使每一個(gè)子網(wǎng)都成為一個(gè)單獨(dú)的廣播域，以減小廣播風(fēng)暴可能造成的損害。

使用VLAN的目的不僅僅是隔離廣播，還有安全和管理等方面的應(yīng)用。當(dāng)VLAN在交換機(jī)上劃分后，不同VLAN之間的設(shè)備就如同被物理分割。也就是說(shuō)，連接到同一交換機(jī)而處于不同VLAN的設(shè)備，就如同被物理連接到兩個(gè)不同網(wǎng)段的交換機(jī)上一樣，這樣彼此之間的通信一定要經(jīng)過(guò)路由設(shè)備，否則，它們之間將無(wú)法得知對(duì)方的存在，從而無(wú)法進(jìn)行聯(lián)系。這樣可以有效達(dá)到限制用戶非法訪問(wèn)的目的。比如，在我校的校園網(wǎng)中就是將行政和教學(xué)分劃為兩個(gè)VLAN，相互之間不能通信。這樣一旦子網(wǎng)內(nèi)的某一臺(tái)計(jì)算機(jī)或者一個(gè)節(jié)點(diǎn)出現(xiàn)故障，不會(huì)影響到整個(gè)網(wǎng)絡(luò)。另外，VLAN具有靈活性和可擴(kuò)張性等特點(diǎn)，方便于網(wǎng)絡(luò)維護(hù)和管理，因此在校園網(wǎng)中劃分子網(wǎng)能夠提高網(wǎng)絡(luò)運(yùn)行的效率。

（三）安裝殺毒軟件、預(yù)防ARP攻擊

選擇合適的、全方位的網(wǎng)絡(luò)殺毒軟件可以有效地防止病毒在校園網(wǎng)上傳播。校園網(wǎng)絡(luò)殺毒軟件的選擇應(yīng)該能夠支持所有的主流平臺(tái)，比如，一個(gè)基于服務(wù)器操作系統(tǒng)平臺(tái)的防病毒軟件和針對(duì)各種桌面操作系統(tǒng)的防病毒軟件；如果與互聯(lián)網(wǎng)相連，就需要網(wǎng)關(guān)的防病毒軟件，保護(hù)校園網(wǎng)所有可能的病毒入口。進(jìn)行全方位、多層次的防病毒系統(tǒng)的配置，并且能適應(yīng)互聯(lián)網(wǎng)的發(fā)展及時(shí)更新，通過(guò)定期或不定期的自動(dòng)升級(jí)，使網(wǎng)絡(luò)免受病毒的侵襲[2]。

筆者認(rèn)為在校園網(wǎng)中危害最大的可能屬于ARP攻擊了。2007年10月，一次大規(guī)模的ARP病毒爆發(fā)使得學(xué)校網(wǎng)絡(luò)癱瘓四天，為了應(yīng)對(duì)該次事件，在智能交換機(jī)的端口上，將PC的MAC地址與IP地址進(jìn)行綁定，以杜絕ARP欺騙。同時(shí)對(duì)端口的網(wǎng)絡(luò)流量進(jìn)行控制，當(dāng)端口每秒的流量超出預(yù)設(shè)值以后，該端口自動(dòng)關(guān)閉，一分鐘以后自動(dòng)開(kāi)啟，若再偵測(cè)到端口流量異常，則再次自動(dòng)關(guān)閉，如此循環(huán)。

另外，在個(gè)人計(jì)算機(jī)上裝一個(gè)ARP防火墻或者在360安全衛(wèi)士的實(shí)時(shí)保護(hù)選項(xiàng)里選擇“局域網(wǎng)ARP攻擊攔截”，也能得到一定的保護(hù)。

（四）加強(qiáng)防范規(guī)范

在網(wǎng)絡(luò)安全中，除采用技術(shù)措施之外，加強(qiáng)網(wǎng)絡(luò)的安全防范，制定有關(guān)的規(guī)章制度，對(duì)于確保網(wǎng)絡(luò)安全、可靠地運(yùn)行將起到十分有效的作用。

對(duì)于校園網(wǎng)絡(luò)的管理人員來(lái)講，一定要提高網(wǎng)絡(luò)安全意識(shí)，加強(qiáng)網(wǎng)絡(luò)安全技術(shù)的把握，注重對(duì)教工、學(xué)生的網(wǎng)絡(luò)安全知識(shí)培訓(xùn)，而且更需要制定一套完整的規(guī)章制度來(lái)規(guī)范上網(wǎng)人員的行為。比如，不要輕易下載、使用盜版和存在安全隱患的軟件；不要瀏覽一些缺乏可信度的網(wǎng)站；對(duì)一些來(lái)歷不明的郵件及附件不要打開(kāi)；不要隨便共享文件和文件夾，即使要共享，也得設(shè)置好權(quán)限。對(duì)重要數(shù)據(jù)要經(jīng)常備份，這樣可以使損失降到最小。

四、結(jié)束語(yǔ)

綜上所述，校園網(wǎng)絡(luò)的安全問(wèn)題，是一項(xiàng)系統(tǒng)的工程，不但是設(shè)備、技術(shù)的問(wèn)題，也是管理的問(wèn)題。加強(qiáng)校園網(wǎng)的安全防范是當(dāng)前非常迫切、充滿挑戰(zhàn)的任務(wù)。各學(xué)校校園網(wǎng)應(yīng)加強(qiáng)網(wǎng)絡(luò)管理技術(shù)，增強(qiáng)網(wǎng)絡(luò)安全意識(shí)，共同做好校園網(wǎng)的安全管理工作，建設(shè)一個(gè)安全、可信、可靠的教育網(wǎng)絡(luò)環(huán)境。

參考文獻(xiàn)：

[1]劉曉輝，楊興明.中小企業(yè)網(wǎng)絡(luò)管理員實(shí)用教程[M].北京:科學(xué)出版社，2006

[2]蔡立軍.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù).第二版[M].北京:中國(guó)水利水電出版社，2005

[3]宋一兵.局域網(wǎng)技術(shù)[M].北京:人民郵電出版社，2011