魏波+呂中秋

摘 要：隨著電子科技技術(shù)的發(fā)展和快速應(yīng)用，校園網(wǎng)絡(luò)建設(shè)也在不斷進(jìn)展。校園網(wǎng)絡(luò)的建設(shè)對學(xué)校發(fā)展意義重大，它關(guān)系著師生網(wǎng)上活動的正常進(jìn)行，必須對校園網(wǎng)絡(luò)安全予以足夠的重視。

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)安全；設(shè)計方案；實踐工程

網(wǎng)絡(luò)安全對學(xué)校教學(xué)工作的正常進(jìn)行，學(xué)生的網(wǎng)上學(xué)習(xí)活動意義重大，我們必須對校園網(wǎng)網(wǎng)絡(luò)安全予以足夠重視。

一、校園網(wǎng)的安全特征

校園網(wǎng)絡(luò)關(guān)系到師生的正常使用以及教學(xué)工作的正常進(jìn)行，網(wǎng)絡(luò)安全關(guān)系到學(xué)校正常教學(xué)活動的進(jìn)行和學(xué)生的網(wǎng)上學(xué)習(xí)和網(wǎng)絡(luò)交流。網(wǎng)絡(luò)安全涉及到人工智能、計算機科學(xué)、密碼技術(shù)、網(wǎng)絡(luò)技術(shù)、信息論、安全技術(shù)等多學(xué)科。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，人們對網(wǎng)絡(luò)的依賴性越來越強，網(wǎng)絡(luò)安全也變得越來越重要。由于校園網(wǎng)絡(luò)用戶的特殊性，安全問題成為了校園用戶最關(guān)注的問題。學(xué)生對校園網(wǎng)絡(luò)的依賴性很強，尤其是隨著現(xiàn)代化的發(fā)展，學(xué)生應(yīng)用網(wǎng)絡(luò)的比例越來越大，在網(wǎng)上進(jìn)行的活動也越來越多，學(xué)習(xí)、交友、娛樂、購物等活動都在網(wǎng)上進(jìn)行，校園網(wǎng)的安全性變得越來越重要。校園網(wǎng)安全問題主要存在如下幾方面。

（1）MAC 地址的盜用。有的人通過盜用他人的MAC地址來影響他人上網(wǎng)，或者通過MAC地址的盜用來進(jìn)行違法犯罪活動，使得網(wǎng)監(jiān)無法發(fā)現(xiàn)MAC的真正身份，對網(wǎng)絡(luò)安全造成很大的威脅。

（2）IP地址的盜用。IP地址盜用帶來的危害非常大，首先用戶篡改IP地址更加容易，盜用現(xiàn)象也更加多。很多人盜用IP地址使得正常的IP地址分配混亂，導(dǎo)致用戶沒有辦法正常上網(wǎng)，使得校園網(wǎng)的IP地址混亂無常。很多人通過IP地址的盜用來躲避監(jiān)察，進(jìn)行非法網(wǎng)絡(luò)攻擊。

（3）端口非常不穩(wěn)定。很多非法分子通過不穩(wěn)定的端口來進(jìn)行網(wǎng)絡(luò)攻擊，進(jìn)行網(wǎng)絡(luò)非法操作，使得對犯罪分子的查找和定位變得非常困難。

（4）盜用賬號。有的人通過盜用賬號的方式來實現(xiàn)網(wǎng)絡(luò)共享，使得網(wǎng)絡(luò)沒有辦法更好、更充分地利用，造成網(wǎng)絡(luò)資源的浪費。

二、綁定技術(shù)在校園網(wǎng)管理的實踐

基于以上網(wǎng)絡(luò)問題的存在，我們對于網(wǎng)絡(luò)安全提出了新的保障策略。我們認(rèn)為用戶只有通過采用分配給自己的 IP 地址、設(shè)置自己的獨特密碼、通過固定的物理端口進(jìn)行接入。同時，限制用戶只能用自己的賬號、采用自己的主機方式進(jìn)行上網(wǎng)，這樣就能夠?qū)W(wǎng)絡(luò)用戶實施落實到人的管理，實現(xiàn)校園網(wǎng)絡(luò)用戶的安全。這就是我們講的多元素綁定技術(shù)。

（1）通過AAA 服務(wù)器綁定實現(xiàn)網(wǎng)絡(luò)安全。我們之所以通過AAA服務(wù)器來進(jìn)行綁定是因為AAA服務(wù)器能夠記錄每一個用戶的基本信息，能夠?qū)崿F(xiàn)用戶信息跟服務(wù)器信息的一致。在我們通常的使用過程中，認(rèn)證要先通過AAA服務(wù)器，一旦發(fā)現(xiàn)用戶信息跟所存儲的用戶信息不同就會通過禁止接入的方式來阻止用戶訪問。一旦出現(xiàn)用戶私自篡改IP的情況，就會通過強制下線的方式來阻止用戶訪問，從而實現(xiàn)對用戶上網(wǎng)行為的控制。

（2）通過接入交換機對服務(wù)器進(jìn)行綁定的方式開展多種元素的綁定。并非所有的AAA服務(wù)器都能夠?qū)崿F(xiàn)此種綁定，在能夠?qū)崿F(xiàn)這種綁定的AAA服務(wù)器上，也需要交換機的兼容才能夠完成。因而通過接入交換機對服務(wù)器進(jìn)行綁定往往使用在新建的學(xué)校之中，這些學(xué)校一般設(shè)備較新，能夠?qū)崿F(xiàn)二者的完美兼容。不僅AAA服務(wù)器能夠?qū)崿F(xiàn)用戶的多元素綁定，直接通過交換機也能夠?qū)崿F(xiàn)綁定。因此，很多情況下我們通過接入交換機來實現(xiàn)多元素綁定。

（3）通過靜態(tài)技術(shù)進(jìn)行綁定。靜態(tài)綁定在綁定技術(shù)當(dāng)中最為簡單。網(wǎng)絡(luò)管理人員只需要將對應(yīng)交換機下的接入用戶相關(guān)元素進(jìn)行搜集，并在該交換機上進(jìn)行配置就能夠?qū)崿F(xiàn)對每個用戶的控制。

我們在校園網(wǎng)使用過程中遇到的問題可以通過綁定釋放靜態(tài)以及自動綁定來實現(xiàn)，但是這種綁定技術(shù)給我們平常的上網(wǎng)行為造成了很大的麻煩，所以我們認(rèn)為應(yīng)該通過釋放技術(shù)與自動綁定相結(jié)合來實現(xiàn)用戶上網(wǎng)管理，保障用戶的上網(wǎng)活動安全。這種技術(shù)既能夠有效阻止用戶在上網(wǎng)期間隨意篡改網(wǎng)址帶來的管理混亂，又能夠防止用戶被網(wǎng)絡(luò)非法攻擊，是一種非常理想的實現(xiàn)校園網(wǎng)工程的技術(shù)。認(rèn)證程序是這樣的，在用戶 X進(jìn)行認(rèn)證的過程中，AAA服務(wù)器會對X、Y 用戶的VLAN、IP、賬號、MAC端口、密碼等信息進(jìn)行確認(rèn)。通過對比其是否同服務(wù)器內(nèi)保存的信息一致，來進(jìn)行用戶合法身份的認(rèn)證。在用戶通過了認(rèn)證后，由于接入交換機啟用了自動綁定技術(shù)，這樣在 X、Y 用戶對應(yīng)的端口將會產(chǎn)生各自的綁定元素，也就是IP+端口+MAC 元素的綁定。這樣用戶就沒有辦法進(jìn)行IP地址以及其他元素的更改，如果用戶強行更改，就會被迫下線。同時這種網(wǎng)絡(luò)安全方案還能夠有效地防止 Dos 攻擊。一旦用戶將自己發(fā)出報文的IP 地址進(jìn)行重新設(shè)置，其報文就沒有辦法跟交換機中實現(xiàn)存儲的一致，在交換機對信息進(jìn)行查詢時就會將其默認(rèn)為垃圾信息或者非法信息，自動丟棄，從而保障整個校園網(wǎng)的安全與穩(wěn)定。

綜上所述，我們認(rèn)為通過釋放技術(shù)與自動綁定相結(jié)合來對用戶的上網(wǎng)活動進(jìn)行管理是最好的校園網(wǎng)管理方式。所以我們說，AAA是用戶進(jìn)行合法性認(rèn)證時的必要設(shè)備。而接入交換機則負(fù)責(zé)對通過認(rèn)證之后的用戶進(jìn)行監(jiān)控，對認(rèn)證后的用戶的不合法行為進(jìn)行處理。這兩者結(jié)合能夠充分保障用戶上網(wǎng)的安全，方便管理，減輕網(wǎng)管人員的工作負(fù)擔(dān)，能夠使網(wǎng)絡(luò)的維護(hù)質(zhì)量大幅提高。我們認(rèn)為這種校園網(wǎng)網(wǎng)絡(luò)安全方案操作性很強，能夠在實踐中充分發(fā)揮作用，可以大范圍進(jìn)行推廣。

參考文獻(xiàn)：

[1]彭錚良.網(wǎng)絡(luò)安全技術(shù)與黑客攻擊威脅[EB/OL].http：//www.is

base.com/日 nqu 自 nmode1. phpnid=1675，2010-09-20.

[2]中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告[R]. http：//WWW.cnnIc.net.

cn/deveist/cnnic200007， 2010-10-15.

[3]何全勝，姚國祥.網(wǎng)絡(luò)安全需求分析及安全策略研究[J].計算

機工程，2000（6）.

（鄭州華信學(xué)院現(xiàn)代教育技術(shù)中心）