☆葉青

（江蘇省高港中等專業(yè)學(xué)校，江蘇泰州 225330）

淺析校園網(wǎng)絡(luò)安全技術(shù)

☆葉青

（江蘇省高港中等專業(yè)學(xué)校，江蘇泰州 225330）

隨著信息技術(shù)的發(fā)展，大部分學(xué)校都組建了內(nèi)部局域網(wǎng)，實現(xiàn)了資源共享，提高了工作效率，校園網(wǎng)已成為現(xiàn)代學(xué)校的重要組成部分。作為園區(qū)網(wǎng)的典型，校園網(wǎng)的規(guī)模正逐步由中小型向大中型發(fā)展和過渡，其典型特點是訪問形式多樣、用戶群龐大、網(wǎng)絡(luò)行為突發(fā)性高。與此同時，校園網(wǎng)絡(luò)安全問題在新形勢下日益突出，除對色情、反動等不良信息過濾外，還應(yīng)加強(qiáng)對病毒、黑客、流氓軟件、木馬、僵尸網(wǎng)絡(luò)等攻擊行為的防范。校園網(wǎng)的安全性高低取決于學(xué)校網(wǎng)絡(luò)中最弱的環(huán)節(jié)，符合“木桶理論”，而且各種網(wǎng)絡(luò)危害行為也是從薄弱的環(huán)節(jié)入手。本文根據(jù)校園網(wǎng)絡(luò)安全面臨的新挑戰(zhàn)，分析了四種適合校園網(wǎng)絡(luò)的安全技術(shù)：防病毒技術(shù)、防火墻與網(wǎng)絡(luò)隔離技術(shù)、VLAN技術(shù)、云防護(hù)技術(shù)。

一、防病毒技術(shù)

新型病毒層出不窮，傳播速度快，破壞力越來越強(qiáng)。校園網(wǎng)必須在網(wǎng)絡(luò)系統(tǒng)的各個環(huán)節(jié)嚴(yán)加防范，才能控制或阻止病毒的侵害。學(xué)生和教師用機(jī)是查、殺、清、防病毒的最底層，考慮學(xué)校教學(xué)用機(jī)數(shù)量龐大，建議建立全面的主動病毒防護(hù)體系，在每臺工作站、服務(wù)器上都要有反病毒軟件并能統(tǒng)一管理。校園網(wǎng)與Internet相連的網(wǎng)關(guān)，也要安裝網(wǎng)關(guān)型防病毒軟件進(jìn)行攔截，以阻止病毒進(jìn)入校園網(wǎng)傳播擴(kuò)散。由于師生信息瀏覽和EMAIL通信的普遍性，在Internet瀏覽、上下載的信息時有可能傳播病毒到內(nèi)部網(wǎng)絡(luò)上，防病毒軟件要能阻止網(wǎng)頁攜帶的Applet小應(yīng)用程序、JavaScript、ActiveX等病毒破壞，發(fā)現(xiàn)并清除隱藏在EMAIL、QQ、MSN、附件中的欺騙性病毒和木馬。

目前，主流的防病毒產(chǎn)品主要有賽門鐵克、趨勢、NAI McAfee、瑞星、金山等，網(wǎng)絡(luò)上也不乏免費殺毒軟件。學(xué)校選擇防病毒產(chǎn)品時，應(yīng)結(jié)合自身的需求和能力。首次安裝防病毒軟件時，一定要對計算機(jī)做一次徹底的病毒掃描，過程中要注意定期查殺和軟件的更新。

二、防火墻與網(wǎng)絡(luò)隔離技術(shù)

防火墻（Firewall）介于內(nèi)外部網(wǎng)絡(luò)之間，它定義了一組訪問策略，保護(hù)內(nèi)部網(wǎng)絡(luò)不受非法訪問和攻擊。配置防火墻可以最大限度防止Internet上的不安全因素蔓延到校園網(wǎng)內(nèi)部。校內(nèi)單機(jī)可以使用個人防火墻，網(wǎng)上這樣的免費或限時軟件很多，比如：瑞星、360安全衛(wèi)士、天網(wǎng)等。校園內(nèi)外網(wǎng)之間可根據(jù)學(xué)校需要配置軟件或硬件防火墻。軟件防火墻依賴于服務(wù)器的操作系統(tǒng)，安全性有較大限制，速度也比較慢，建議有條件學(xué)校配置硬件防火墻。硬件防火墻有專用硬件平臺和專用操作系統(tǒng)，甚至芯片級硬件防火墻使用專門芯片硬件平臺，沒有操作系統(tǒng)，它們的速度快、性能高、處理能力強(qiáng)。目前，常用的軟件防火墻有Checkpoin、CyberwallPlus、KFW 傲盾、天網(wǎng)等，常用的硬件防火墻有 NetScreen．、Cisco、Hillstone 等，還可根據(jù)學(xué)校需要選配NAT、DNS、VPN、IDS等不同模塊。另外，現(xiàn)在很多廠商把網(wǎng)防火墻和防病毒功能集成在一起，應(yīng)用更加方便。

ARP攻擊給校園網(wǎng)管理員造成了很大麻煩。攻擊者通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，使校園網(wǎng)堵塞或中斷服務(wù)。大多數(shù)防火墻都具備了檢測IP廣播包的MAC地址是否與路由器上的MAC地址表一致的能力，有效的攔截ARP攻擊。學(xué)校網(wǎng)管利用防火墻和一些工具對校園網(wǎng)進(jìn)行入侵檢測（intrusion detection）可以發(fā)現(xiàn)部分威脅到系統(tǒng)安全的行為，這是一種增強(qiáng)系統(tǒng)安全的有效方法。目前，入侵檢測系統(tǒng)的產(chǎn)品很多，僅國內(nèi)的就有東軟、聯(lián)想等十幾種，網(wǎng)上也有很多免費檢測軟件。

防火墻對操作系統(tǒng)和訪問策略有較大的依賴。然而操作系統(tǒng)也有漏洞，黑客控制了操作系統(tǒng)，就控制了防火墻，校園網(wǎng)就完全暴露在攻擊之下。錯誤訪問策略配置，也會使校園網(wǎng)內(nèi)外短路。新的網(wǎng)絡(luò)隔離技術(shù)在內(nèi)、外部主機(jī)系統(tǒng)中嵌入安全加固且不同的操作系統(tǒng)，內(nèi)部主機(jī)的操作系統(tǒng)對外部攻擊者是不可見的，在校園網(wǎng)和外部網(wǎng)絡(luò)之間形成了物理隔離帶，消除了基于網(wǎng)絡(luò)協(xié)議的攻擊。這種技術(shù)的應(yīng)用，必將使校園網(wǎng)絡(luò)管理高效化、簡單化，安全級別也更高。這種技術(shù)的產(chǎn)品化，國外已經(jīng)趨于成熟，比較出名的有Owl公司、Tenix公司、HP公司等，國內(nèi)的產(chǎn)品還處于起步階段。

三、VLAN技術(shù)

隨著校園網(wǎng)絡(luò)規(guī)模擴(kuò)大，網(wǎng)內(nèi)機(jī)器超過200臺時網(wǎng)絡(luò)管理將極為困難。因此，通過路由器等設(shè)備分割網(wǎng)段勢在必行。這種物理的硬件隔離的方法，對教學(xué)用機(jī)的移動很不方便。在實際應(yīng)用時，采取VLAN技術(shù)把校園網(wǎng)劃分為行政辦公、教師、學(xué)生等子網(wǎng)。劃分可以跨過物理設(shè)備，各子網(wǎng)之間無法直接通信，信息僅在VLAN內(nèi)的成員之間傳送，限制非成員數(shù)據(jù)轉(zhuǎn)發(fā)，從而減少了主干網(wǎng)的數(shù)據(jù)流量，控制網(wǎng)絡(luò)風(fēng)暴在必要范圍內(nèi)，并增強(qiáng)網(wǎng)絡(luò)的安全性和利于管理。根據(jù)校園網(wǎng)管理特點，通常選擇下面三種方法劃分VLAN：

1．基于端口的劃分

根據(jù)以太網(wǎng)交換機(jī)的端口劃分不同VLAN，可以把跨交換機(jī)的端口劃分到同一VLAN中，一個VLAN對應(yīng)一個端口集合，一個端口在某一時間只能位于一個VLAN中。比如可以把交換機(jī)SW1的端口1、4－5和SW2的端口 2－3、6劃為 VLAN1；把交換機(jī)SW1的端口2、3和SW2的端口 1、4、5劃為 VLAN2。這種方法簡單易行，但是靈活性差。當(dāng)教學(xué)用機(jī)需要移動時，但是新端口不位于原VLAN中時，機(jī)器不能直接連接通信，需要管理員重新定義端口配置。

2．基于MAC地址的劃分

校園網(wǎng)中的每MAC地址對應(yīng)一臺計算機(jī)，一個VLAN就是一個MAC地址集合。比如把所有教師機(jī)的MAC地址添加到VLAN1中，所有學(xué)生機(jī)的MAC地址添加到VLAN2中。配置完成后，交換機(jī)根據(jù)MAC地址識別和跟蹤教學(xué)用機(jī)。即使教學(xué)用機(jī)或服務(wù)器移動位置，更換端口，也不會改變其所屬的VLAN。這種方法，用戶使用靈活，但是管理員工作量大而繁瑣：初始化時，如果用戶數(shù)量較多，要收集所有計算機(jī)MAC地址，對所有計算機(jī)進(jìn)行配置，工作量極大；后期，每一臺新計算機(jī)入網(wǎng)時，也需要添加到對應(yīng)的VLAN中，否則不能連接。

3．基于IP地址劃分

校園網(wǎng)中的網(wǎng)絡(luò)層IP地址對應(yīng)一臺計算機(jī)，一個VLAN就是一個IP地址集合。例如：把IP地址192．168．1．1－192．168．1．100 設(shè)置為 VLAN1 給教師使用，把 192．168．2．1－192．168．2．200 設(shè)置為 VLAN2 給學(xué)生使用。它具有第2種劃分方法的優(yōu)點，用戶計算機(jī)可以不修改網(wǎng)絡(luò)配置移動，并且無需收集MAC地址對所有計算機(jī)單獨配置。但校園網(wǎng)中每次數(shù)據(jù)轉(zhuǎn)發(fā)，都需要檢查TCP／IP協(xié)議的網(wǎng)絡(luò)層，網(wǎng)絡(luò)工作效率低。

目前，應(yīng)用比較廣泛的具備VLAN功能的交換機(jī)、路由器主要有Cisco、銳捷、神州數(shù)碼等，這些網(wǎng)絡(luò)設(shè)備也不一定具備VLAN所有劃分方式。因此，學(xué)校要根據(jù)自己的要求和價格承受能力，選擇不同層次和功能的VLAN網(wǎng)絡(luò)設(shè)備，再根據(jù)實際設(shè)備選擇適合的VLAN劃分方式配置網(wǎng)絡(luò)。

四、云防護(hù)技術(shù)

校園網(wǎng)中 Email、BBS、Web、即時通信、上傳下載各種服務(wù)和應(yīng)用繁多，這也為黑客提供了更多的攻擊途徑。目前針對網(wǎng)絡(luò)的聯(lián)合攻擊規(guī)模越來越大，破壞性越來越強(qiáng)。許多校園網(wǎng)絡(luò)工作站點要么成為“僵尸”，要么成為被攻擊的對象。比如：“僵尸網(wǎng)絡(luò)”就是通過掛馬、下載等途徑控制數(shù)量巨大的“肉雞”對目標(biāo)進(jìn)行DoS等攻擊；還有“零日攻擊”指惡意運用立即被發(fā)現(xiàn)的安全漏洞，利用時間差在網(wǎng)絡(luò)未及防范的情況下實施攻擊。

云防護(hù)技術(shù)就是通過云火墻、網(wǎng)絡(luò)防控中心動態(tài)、主動、協(xié)同阻止病毒、木馬、蠕蟲的蔓延和破壞?；ヂ?lián)網(wǎng)中，攻擊經(jīng)常是不可避免的，例如江蘇一個網(wǎng)絡(luò)感染蠕蟲病毒，立即把地址等信息報告云中心，中心再同步其它網(wǎng)絡(luò)，就可能阻止上海等其它網(wǎng)絡(luò)被感染。這種技術(shù)有別于防火墻技術(shù)的靜態(tài)被動式防護(hù)，極大地提高了防護(hù)的效率。目前市場上云防護(hù)安全產(chǎn)品主要有思科ASA云火墻；一些個人防火墻也具備一些云防護(hù)功能。學(xué)校選擇購買云防護(hù)構(gòu)件，加入這些云防護(hù)中心。

校園網(wǎng)安全是一個系統(tǒng)性工程，實踐中不能僅依靠防病毒、防火墻、VLAN、云火墻等網(wǎng)絡(luò)安全技術(shù)。任何技術(shù)的應(yīng)用都必須建立在對人和資源的有效管理上，學(xué)校應(yīng)建立相應(yīng)的規(guī)章制度，并將技術(shù)與管理結(jié)合起來，才能確保校園網(wǎng)正常安全運行和朝著健康有序方向發(fā)展。

[1]王亞原．企業(yè)網(wǎng)絡(luò)安全問題及對策[J]．太原師范學(xué)院學(xué)報(自然科學(xué)版),2005,(1)．

[2]張世永．網(wǎng)絡(luò)安全原理與應(yīng)用［M］．北京：科學(xué)出版社．2003,5．

[3]網(wǎng)絡(luò)安全新技術(shù)與發(fā)展趨勢[EB／OL]．http:／／tech．sina．com．cn／b／2009－11－25／09271147860．shtml．2009．

于翼楠]