嵇靜嬋

柳州鐵道職業(yè)技術(shù)學(xué)院, 廣西 柳州 545007

校園網(wǎng)是學(xué)校進(jìn)行教學(xué)管理和科研的重要信息平臺(tái),同時(shí)也是校園辦公，信息交流的主要場(chǎng)所。隨著教學(xué)資源庫(kù)建設(shè)，校園網(wǎng)絡(luò)不僅面向?qū)W院師生開(kāi)放，同時(shí)要求支持外網(wǎng)的訪問(wèn)。如何通過(guò)有效的合理的管理以實(shí)現(xiàn)一個(gè)高可靠性、高安全性和高穩(wěn)定的校園網(wǎng)絡(luò)功能成了我們關(guān)注的焦點(diǎn)。同時(shí)，由于校園網(wǎng)絡(luò)使用者對(duì)病毒的安全意識(shí)不強(qiáng)；網(wǎng)絡(luò)建設(shè)初期自身的結(jié)構(gòu)簡(jiǎn)單，安全防范性差等諸多原因，造成了校園辦公網(wǎng)絡(luò)常為“病毒多發(fā)區(qū)”的現(xiàn)狀。

1 校園網(wǎng)絡(luò)病毒類(lèi)型及危害

網(wǎng)絡(luò)病毒一般分為蠕蟲(chóng)和木馬兩類(lèi)，其傳播主要通過(guò)電子郵件，網(wǎng)頁(yè)代碼，文件下載，漏洞攻擊等方式。

校園網(wǎng)絡(luò)的使用者對(duì)于計(jì)算機(jī)知識(shí)的掌握程度參差不齊，存在部分校園網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)沒(méi)有及時(shí)更新系統(tǒng)和安裝補(bǔ)丁，使用計(jì)算機(jī)時(shí)為追求運(yùn)行速度禁用或卸載殺毒軟件，帶病毒的移動(dòng)設(shè)備在校園網(wǎng)絡(luò)內(nèi)部使用時(shí)造成交叉感染，訪問(wèn)高風(fēng)險(xiǎn)網(wǎng)站或下載帶病毒的軟件等等，使得校園網(wǎng)絡(luò)無(wú)法實(shí)現(xiàn)完全避免病毒。

同時(shí)，網(wǎng)絡(luò)病毒帶來(lái)的危害也是巨大的。它不僅會(huì)干擾系統(tǒng)的正常運(yùn)行，造成我們使用電腦時(shí)速度變慢，頻繁重啟或死機(jī)，部分軟件不能啟用，甚至?xí)斐蓴?shù)據(jù)丟失，網(wǎng)絡(luò)和服務(wù)器癱瘓。

因此，網(wǎng)絡(luò)病毒的防范和處理成為了校園網(wǎng)絡(luò)管理的一項(xiàng)非常重要的內(nèi)容。

2 優(yōu)化校園網(wǎng)絡(luò)結(jié)構(gòu)

有效的管理是防治網(wǎng)絡(luò)病毒的基礎(chǔ)。可以通過(guò)優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，減少網(wǎng)絡(luò)病毒的進(jìn)入及在感染網(wǎng)絡(luò)病毒后最大程度地降低影響范圍和減輕損失。

如果校園網(wǎng)絡(luò)只是一個(gè)大的局域網(wǎng)（LAN），那么一旦出現(xiàn)網(wǎng)絡(luò)病毒，那么受影響的就是整個(gè)網(wǎng)絡(luò)。因此我們根據(jù)應(yīng)用范圍、使用部門(mén)、樓宇等因素在校園網(wǎng)內(nèi)進(jìn)行虛擬局域網(wǎng)（VLAN）的細(xì)分。例如將每棟教學(xué)樓設(shè)置為一個(gè)VLAN，每個(gè)教學(xué)部門(mén)為一個(gè)VLAN，學(xué)生宿舍樓如果人數(shù)眾多，還可以將每個(gè)樓層設(shè)置為一個(gè)或多個(gè)VLAN等。

在校園網(wǎng)絡(luò)內(nèi)進(jìn)行VLAN的劃分，不但可以強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全，還可以抑制廣播風(fēng)暴。VLAN除了能將網(wǎng)絡(luò)劃分為多個(gè)廣播域，從而有效地控制廣播風(fēng)暴的發(fā)生，以及使網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活的優(yōu)點(diǎn)外，還可以用于控制網(wǎng)絡(luò)中不同部門(mén)、不同站點(diǎn)之間的互相訪問(wèn)。一旦某個(gè)VLAN感染病毒，網(wǎng)絡(luò)管理員可以通過(guò)設(shè)置三層網(wǎng)絡(luò)設(shè)備來(lái)切斷該VLAN與其他VLAN的通信，將病毒擴(kuò)散范圍控制住。

一般來(lái)說(shuō)，各個(gè)不同VLAN間的通信都要經(jīng)過(guò)路由器來(lái)實(shí)現(xiàn)相互訪問(wèn)。如果網(wǎng)間互訪的流量較大，單純使用路由器來(lái)實(shí)現(xiàn)網(wǎng)間訪問(wèn)，由于端口數(shù)量有限，并且路由速度較慢，會(huì)限制了網(wǎng)絡(luò)的規(guī)模和訪問(wèn)速度。于是三層交換機(jī)應(yīng)運(yùn)而生，部分取代路由器的路由功能，加快局域網(wǎng)內(nèi)部的數(shù)據(jù)交換。但由于三層交換機(jī)在安全、協(xié)議支持等方面還有許多欠缺，并不能完全取代路由器工作，通常的做法是校園網(wǎng)絡(luò)中同類(lèi)VLAN間（比如學(xué)生宿舍間的VLAN，不同的網(wǎng)絡(luò)教室VLAN都是同類(lèi)VLAN）的路由，用三層交換機(jī)來(lái)代替路由器，而不同類(lèi)型的VLAN（比如學(xué)生宿舍間的VLAN和教師的辦公VLAN就是不同類(lèi)VLAN），還有校園網(wǎng)與公網(wǎng)互聯(lián)之間要實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)時(shí)的網(wǎng)關(guān)，使用專(zhuān)業(yè)路由器。

3 完善病毒防范管理

路由器的策略管理，使得網(wǎng)絡(luò)管理員能夠根據(jù)校園網(wǎng)絡(luò)的特定需求調(diào)整網(wǎng)絡(luò)，完善病毒的防范，如可設(shè)定訪問(wèn)控制列表(Access Control List)的過(guò)濾規(guī)則，或基于防火墻的NAT轉(zhuǎn)換安全策略等。

網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation，簡(jiǎn)稱(chēng)NAT）一般設(shè)置在與公網(wǎng)互聯(lián)的路由器，校園網(wǎng)內(nèi)部使用私網(wǎng)IP地址，在通過(guò)網(wǎng)關(guān)路由器與公網(wǎng)進(jìn)行訪問(wèn)時(shí)，使用少量的公網(wǎng)IP地址。不僅完美地解決了lP地址成本的問(wèn)題，而且還能夠有效地避免來(lái)自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。

訪問(wèn)控制列表（Access Control List，簡(jiǎn)稱(chēng)ACL）可以解決和提高網(wǎng)絡(luò)安全，這是一種用來(lái)過(guò)濾和控制進(jìn)出路由器數(shù)據(jù)流的一種訪問(wèn)控制技術(shù)。如可以控制對(duì)于網(wǎng)絡(luò)內(nèi)部的敏感數(shù)據(jù)的訪問(wèn)限制，通過(guò)關(guān)閉應(yīng)用端口來(lái)避免病毒的攻擊。

例如，惡性的ping是局域網(wǎng)病毒常常采用的攻擊方式。病毒隨機(jī)生成ping的目標(biāo)地址，然后通過(guò)路由器來(lái)進(jìn)行報(bào)文轉(zhuǎn)發(fā)，因此在路由器中就需要為每個(gè)ping的ICMP報(bào)文創(chuàng)建一條NAT的對(duì)應(yīng)表。如果管理員在查看該表時(shí)，若看到大量的ICMP的NAT的進(jìn)程，就應(yīng)該警惕地想到是否已經(jīng)遭到拒絕服務(wù)攻擊。

如果病毒惡意發(fā)動(dòng)ICMP的ping攻擊，在幾秒鐘內(nèi)會(huì)發(fā)出上萬(wàn)個(gè)ping報(bào)文。則在NAT表中產(chǎn)生大量的NAT的進(jìn)程連接。UDP的NAT進(jìn)程的存在時(shí)間為5秒，TCP連接的NAT進(jìn)程的保存時(shí)間為24小時(shí)。這種惡性的ping攻擊便可能將NAT的進(jìn)程值全部占用。這樣就造成正常的網(wǎng)絡(luò)間網(wǎng)絡(luò)數(shù)據(jù)由于路由器的全部的NAT進(jìn)程都被占用，因而得不到NAT的服務(wù)，無(wú)法進(jìn)行正常的網(wǎng)絡(luò)通信。因此，我們可以采用訪問(wèn)列表的方式將ICMP的報(bào)文過(guò)濾掉，保證正常的網(wǎng)絡(luò)服務(wù)。

4 定位網(wǎng)絡(luò)故障

網(wǎng)絡(luò)管理的一個(gè)重要環(huán)節(jié)，就是快速地定位網(wǎng)絡(luò)故障點(diǎn)，并尋求最佳的解決方案。一般來(lái)說(shuō)，我們可以通過(guò)網(wǎng)絡(luò)流量的檢測(cè)來(lái)進(jìn)行。

如ARP病毒是校園網(wǎng)病毒中最讓人頭疼的病毒之一，其利用以太網(wǎng)ARP協(xié)議向其他用戶(hù)及網(wǎng)關(guān)發(fā)送無(wú)效假冒的應(yīng)答信息包，造成網(wǎng)絡(luò)堵塞設(shè)置無(wú)法出網(wǎng)。由于攻擊技術(shù)含量低，隨便通過(guò)一個(gè)攻擊軟件就可以完成ARP欺騙攻擊，常常成為初識(shí)網(wǎng)絡(luò)學(xué)生的練手游戲，以及很多網(wǎng)絡(luò)游戲外掛或含惡意代碼網(wǎng)站內(nèi)藏的木馬程序都會(huì)有ARP欺騙。

防范ARP欺騙攻擊有很多措施，如可以通過(guò)設(shè)置一臺(tái)ARP服務(wù)器，同時(shí)設(shè)置網(wǎng)絡(luò)內(nèi)容其他計(jì)算機(jī)只使用來(lái)自ARP服務(wù)器的ARP響應(yīng)；配置ARP防火墻；設(shè)置交換機(jī)端口安全；設(shè)置IP地址和MAC地址的綁定；又或者使用具有ARP防護(hù)功能的路由器，起到ARP防火墻作用。但是校園網(wǎng)絡(luò)由多個(gè)虛擬局域網(wǎng)VLAN組成，其局域網(wǎng)內(nèi)容用戶(hù)的IP常任意修改，使得ARP欺騙的防范無(wú)法僅僅在網(wǎng)管層完成。當(dāng)網(wǎng)絡(luò)出現(xiàn)“網(wǎng)速越來(lái)越慢，甚而不能上網(wǎng)”癥狀時(shí)，就可能是受到ARP病毒攻擊的表現(xiàn)。網(wǎng)絡(luò)管理員可以在查看數(shù)據(jù)流量時(shí)，會(huì)發(fā)現(xiàn)多個(gè)IP地址對(duì)應(yīng)一個(gè)MAC地址的現(xiàn)象，則該MAC地址對(duì)應(yīng)的電腦就是病毒源，則盡快切斷該電腦的網(wǎng)絡(luò)連接，并通過(guò)專(zhuān)殺工具進(jìn)行查殺，控制感染范圍。

5 結(jié)語(yǔ)

雖然網(wǎng)絡(luò)中病毒很可怕，如果我們從網(wǎng)絡(luò)設(shè)置和技術(shù)上進(jìn)行有效的管理，就可以最大限度地保證校園網(wǎng)絡(luò)的信息安全，將網(wǎng)絡(luò)病毒造成的損失減到最低，使得校園網(wǎng)絡(luò)能高效、穩(wěn)定的為教育教學(xué)服務(wù)。

[1]尹慧. ARP病毒的原理和防治. 考試周刊, 2011.64

[2]梁廣民，王隆杰. 思科網(wǎng)絡(luò)實(shí)驗(yàn)室路由、交換實(shí)驗(yàn)指南. 電子工業(yè)出版社,2012.2

[3]唐玉輝.校園網(wǎng)病毒防治. 青春歲月，2012.16