鐘文基

摘 要：校園網(wǎng)和一般的網(wǎng)絡(luò)相比，具有一定的特殊性，高校校園網(wǎng)的用戶主要是在校大學(xué)生和教學(xué)科研人員，其中數(shù)量龐大的大學(xué)生用戶，因?yàn)橹R(shí)水平較高，求知探索欲較強(qiáng)，更容易對(duì)網(wǎng)絡(luò)造成破壞。該文主要介紹了有關(guān)校園網(wǎng)安全的特點(diǎn)，校園網(wǎng)面臨的主要威脅，安全防范的方法，通過(guò)部署網(wǎng)絡(luò)防火墻，劃分虛擬局域網(wǎng)、建立虛擬專用網(wǎng)、在出口路由器實(shí)施NAT、MAC地址綁定等方法進(jìn)行網(wǎng)絡(luò)安全防范。

關(guān)鍵詞：校園網(wǎng)安全 vlan技術(shù) 網(wǎng)絡(luò)地址轉(zhuǎn)換 端口安全

中圖分類號(hào)：G717 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2016）12（b）-0198-02

1 校園網(wǎng)安全特點(diǎn)

校園網(wǎng)和一般的網(wǎng)絡(luò)相比，具有一定的特殊性，高校校園網(wǎng)的用戶主要是在校大學(xué)生和教學(xué)科研人員，其中數(shù)量龐大的大學(xué)生用戶，因?yàn)橹R(shí)水平較高，求知探索欲較強(qiáng)，更容易對(duì)網(wǎng)絡(luò)造成破壞。在此環(huán)境下，校園網(wǎng)安全顯得尤為重要。

校園網(wǎng)的安全主要來(lái)自外網(wǎng)安全和內(nèi)網(wǎng)安全兩方面，外網(wǎng)的威脅，主要有黑客發(fā)起的DDos攻擊、網(wǎng)站掛馬、網(wǎng)絡(luò)病毒、信息竊取等；對(duì)于內(nèi)網(wǎng)，病毒攻擊、廣播風(fēng)暴、漏洞掃描、內(nèi)網(wǎng)滲透、非授權(quán)訪問(wèn)等，更容易對(duì)網(wǎng)絡(luò)造成破壞。

2 校園網(wǎng)安全防范

2.1 部署網(wǎng)絡(luò)防火墻

防火墻是連接網(wǎng)絡(luò)內(nèi)外網(wǎng)之間的堡壘，安全系數(shù)高的防火墻能夠起到抵抗外網(wǎng)黑客攻擊，保護(hù)內(nèi)網(wǎng)的作用。防火墻一般部署在網(wǎng)絡(luò)的邊界，起到隔離內(nèi)外網(wǎng)的作用。外網(wǎng)黑客想要入侵內(nèi)網(wǎng)，首先需要入侵者穿越防火墻設(shè)置的安全防線，才能接觸內(nèi)網(wǎng)的目標(biāo)主機(jī)。

2.2 劃分VLAN

VLAN（Virtual Local Area Network）虛擬局域網(wǎng)，在校園網(wǎng)中，把不同部門(mén)劃分到不同VLAN中，通過(guò)訪問(wèn)控制列表限制不同部門(mén)之間的訪問(wèn)，提高了安全性。另一個(gè)方面，不劃分VLAN，整個(gè)交換機(jī)都處于一個(gè)廣播域中，任何一臺(tái)PC發(fā)送的廣播報(bào)文都能傳送至整個(gè)廣播域，占用了大量的網(wǎng)絡(luò)帶寬，劃分VLAN后，縮小的廣播域的大小，進(jìn)而縮小了廣播報(bào)文能夠到達(dá)的范圍，提升了網(wǎng)絡(luò)性能。

劃分VLAN的部分代碼如下：

（1）劃分VIAN。

Switch#vlan data //進(jìn)入VLAN數(shù)據(jù)庫(kù)模式

Switch（vlan）#vlan 31 name jiaowuchu //添加VLAN 31，名字為jiaowuchu

Switch（vlan）#vlan 32 name caiwuchu //添加VLAN 32，名字為caiwuchu

（2）把端口分配到VIAN中。

Switch（config）#int gigabitEthernet 1/1 //進(jìn)入端口配置模式

Switch（config-if）#switchport access vlan 31 //把端口G1/1添加到VLAN 31中

2.3 實(shí)施NAT

實(shí)現(xiàn)安全防護(hù)的另一個(gè)強(qiáng)大的技術(shù)就是NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）。實(shí)施網(wǎng)絡(luò)地址轉(zhuǎn)換能隱藏內(nèi)網(wǎng)的IP地址，整個(gè)內(nèi)網(wǎng)統(tǒng)一以一個(gè)公網(wǎng)IP訪問(wèn)互聯(lián)網(wǎng)，使得黑客無(wú)法了解校園網(wǎng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和IP地址規(guī)劃，同時(shí)，通過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換后訪問(wèn)外網(wǎng)，能節(jié)省大量IP地址。

（1）超載NAT的部分代碼如下。

Router（config）#int fa0/0//進(jìn)入fa0/0端口配置模式

Router（config-if）#ip nat outside//指定該端口為連接外網(wǎng)的端口

Router（config-if）#int fa0/1//進(jìn)入fa0/1端口配置模式

Router（config-if）#ip nat inside//指定該端口為連接內(nèi)網(wǎng)的端口

Router（config）#ip nat pool gxsdxy 124.227.192.162 124.227.192.164 netmask 255.255.255.248//定義一個(gè)名字為gxsdxy的地址池，用于NAT地址轉(zhuǎn)換

Router（config）#access-list 1 permit 192.168.1.0 0.0.255.255//定義1條ACL

Router（config）#ip nat inside source list 1 pool gxsdxy overload//定義超載NAT，是內(nèi)部計(jì)算機(jī)能上網(wǎng)。

（2）靜態(tài)NAT的部分代碼如下。

Router（config）#ip nat inside source static tcp 192.168.8.1 80 200.10.10.2 80//定義一條靜態(tài)nat映射，允許外網(wǎng)用戶使用200.10.10.2的地址訪問(wèn)服務(wù)器192.168.8.1的web服務(wù)。

2.4 其他安全防范措施

對(duì)于網(wǎng)絡(luò)安全防范，除了以上幾點(diǎn)基本的措施之外，還有很多其他措施，例如：

（1）網(wǎng)卡物理地址過(guò)濾策略。

因?yàn)榫W(wǎng)卡的物理地址具有惟一性，在交換機(jī)中對(duì)網(wǎng)卡物理地址進(jìn)行過(guò)濾，可在一定能夠程度上限制不合法PC的訪問(wèn)。

交換機(jī)MAC地址過(guò)濾的代碼如下：

Switch（config）#int fa0/1 //進(jìn)入交換機(jī)的fa0/1端口

Switch（config-if）#switchport mode access //把端口設(shè)置為接入模式

Switch（config-if）#switchport port-security //啟用端口安全

Switch（config-if）#switchport port-security maximum 1 //該端口最多允許接入1個(gè)PC

Switch（config-if）#switchport port-security violation protect //出現(xiàn)違規(guī)行為后禁止非法的地址接入

（2）部署IDS。

通過(guò)部署IDS（Intrusion Detection and managerment Systems，入侵檢測(cè)系統(tǒng)），能實(shí)時(shí)發(fā)現(xiàn)、記錄、統(tǒng)計(jì)和分析網(wǎng)絡(luò)中的安全事件；能結(jié)合地址定位等手段確定威脅來(lái)源；能像用戶提供詳細(xì)、可操作的時(shí)間處理指導(dǎo)意見(jiàn)，指導(dǎo)用戶調(diào)整網(wǎng)絡(luò)安全策略和防護(hù)手段；能對(duì)歷史數(shù)據(jù)進(jìn)行分析，檢驗(yàn)網(wǎng)絡(luò)安全整體水平。

（3）部署IPS。

通過(guò)部署IPS（Intrusion Prevention System，入侵防御系統(tǒng)），能檢測(cè)到攻擊，并且IPS會(huì)在這種攻擊擴(kuò)散到網(wǎng)絡(luò)的其它地方之前阻止這個(gè)惡意的通信。

（4）及時(shí)安裝系統(tǒng)漏洞補(bǔ)丁。

校園網(wǎng)內(nèi)用戶使用的系統(tǒng)，主要是微軟的Windows系統(tǒng)，相比Unix，Linux而言，Windows的系統(tǒng)漏洞相對(duì)較多，危害較重，及時(shí)安裝系統(tǒng)補(bǔ)丁，能防范病毒及黑客利用系統(tǒng)漏洞入侵系統(tǒng)，給系統(tǒng)甚至網(wǎng)絡(luò)帶來(lái)各種問(wèn)題。

3 總結(jié)

該文主要對(duì)校園網(wǎng)設(shè)計(jì)中重要的部分——網(wǎng)絡(luò)安全的設(shè)計(jì)，做了闡述。分析了網(wǎng)絡(luò)安全的特點(diǎn)、面臨的威脅，對(duì)網(wǎng)絡(luò)安全的設(shè)計(jì)，提出了部署防火墻、劃分虛擬局域網(wǎng)、實(shí)施NAT等多種方法。

參考文獻(xiàn)

[1] 朱雁輝.防火墻與網(wǎng)絡(luò)封包截獲技術(shù)[M].電子工業(yè)出版社，2002.

[2] 信息管理系列編委會(huì).網(wǎng)絡(luò)安全管理[M].中國(guó)人民大學(xué)出版社，2003.

[3] 張紅旗.信息網(wǎng)絡(luò)安全[M].清華大學(xué)出版社，2002.

[4] 朱理森，張守連.計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)[M].北京：專利文獻(xiàn)出版社，2001.

[5] 許治坤，王偉，郭添森，等.網(wǎng)絡(luò)滲透技術(shù)[M].電子工業(yè)出版社，2005.