王翔明　張再軍　劉文豪

摘要：本文結合網絡安全技術及現有網絡安全產品，從校園基本安全需求、上網行為監(jiān)管、統一安全管理等方面深入分析了校園網網絡安全需求，闡述了校園網網絡安全系統設計原則及思路。提出了綜合性、整體性、平衡性、可用性、分步實施性、可動態(tài)管理等方面的設計原則，從安全區(qū)域劃分角度從各區(qū)域各層面及對校園上網行為監(jiān)管和統一安全管理等方面，闡述了校園網網絡安全設計的思路。

關鍵詞：校園網；網絡安全；防火墻

一、網絡安全概念

網絡安全是一門涉及計算機科學、通信技術、網絡技術、密碼技術、信息安全技術、應用數學、信息論、數論等多種學科的綜合性學科。網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續(xù)可靠正常地運行，網絡服務不中斷。網絡安全從其本質上來講就是網絡上的信息安全，從廣義來說，凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。但網絡安全具體的含義會因為不同對象而產生不同的理解，對于網絡的使用者來說，他們希望商業(yè)秘密、個人隱私、個人安全等相關信息能真實、完整、保密在網絡上進行傳輸和存儲，且避免非法人員利用各種手段對信息進行竊取、篡改，損害使用者的利益；但對網絡具體的管理者和維護人員來說，他們希望網絡不受病毒感染、遭受攻擊、網絡資源受到非法占用和控制，保證網絡及網絡中的信息能正常訪問和操作。

二、網絡安全關鍵技術

1.防火墻技術

防火墻（FireWall）技術是抵抗黑客入侵和防止未授權訪問的最有效手段之一，也是目前網絡系統實現網絡安全策略應用最為廣泛的工具之一。所謂防火墻就是一個把互聯網與內部網隔開的屏障。

防火墻分為兩種類型，即標準防火墻和雙家網關。標準防火墻系統包含一個UNIX工作站，該工作站的兩端各接一個路由器進行緩沖。其中一個路由器的接口是外部網絡，即internet網；另一個接口連接內部私有網絡。標準防火墻使用專門的軟件，在信息傳輸上因需進行轉換有一定的延遲。雙家網關（Dual Home Gateway）則是標準防火墻的擴充，又稱堡全主機（Bation Host）或應用層網關（Applications LayerGateway），它是一個單個的系統。雙家網關的優(yōu)點是能運行更復雜的應用同時防止在互聯網和內部系統之間建立的任何直接的邊疆，可以確保數據包不能直接從外部網絡到達內部網絡，反之亦然。

2.虛擬專用網（VPN）技術

虛擬專用網（VPN）被定義為通過一個公用網絡建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩(wěn)定的險道，虛擬專用網（VPN）是對企業(yè)內部網的擴展虛擬專用網VPN可以幫助遠程接入用戶、分支機構、合作伙伴等同總部的內部網建立安全連接，并保證數據的安全保密傳輸。數據流通過低成本的公網絡進行傳輸，這將極大地減少網絡組建的費用，同時還簡化了網絡的設計和管理，也便于靈活接入。

VPN中采用的關鍵技術主要包括隧道技術、用戶身份認證技術、加密技術和訪問控制技術。VPN采用的技術中最為核心的技術就是隧道技術，隧道技術是一種通過互聯網傳輸私有網絡數據的一種技術。對所傳輸的數據在傳送之前被封裝在相應的險道協議里，當到達另一端時被解虬被封裝的數據在互聯網上傳送時所經過的通道是一條虛擬的邏輯通道。險道協議分為第2層險道協議和第3層險道協議及傳輸層安全險道協議，第2層隧道協議主要有PPTP、L2TP等，第3層隧道協議主要有GRE以及IPSec等，傳輸層安全協議主要有ssl、tls等。L2TP和IPSec是目前應用最廣泛的兩種協議。VPN險道主要有兩種隨道，一種是端到端的隧道，另一種是節(jié)點到節(jié)點的隧道。

3.計算機病毒防護技術

計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。計算機病毒是一和普通應用或系統程序不一樣的特殊計算機程序，可以在瞬間損壞應用軟件或系統文件使應用程序或系統陷入癱疾，導致數據被修改及丟失。計算機病毒的目標就是毀壞數據、強占資源、影響計算機的正常運行。在一般情況下病毒程序并不是單獨存在于計算機中的，而是依附在其他的計算機程序及文件中，通過激活的方式運行病毒程序，對計算機系統產生破壞。計算機病毒具有寄生性、傳染性、潛伏性、隱蔽性、破壞性、可觸發(fā)性等特點。

計算機應該是以預防為本，軟件查殺作為輔助的防治策略。盡量不使用安全性不明的移動存儲設備，不瀏覽不良網站、不閱讀來歷不明的郵件，定期進行系統備份。給計算機安裝殺毒軟件，并定期進行病毒庫升級。目前殺毒軟件有Norton系列、360殺毒、瑞星、金山毒霸等等。目前的殺毒軟件一般由查毒、殺毒及病毒防火墻二部分組成。當然殺毒軟件具有其被動性，殺毒軟件只能查殺已知的病毒或是已知病毒的變種，對未知病毒現殺毒軟件還不能查殺，且單一殺毒軟件還不能查殺所有病毒。