張想銀

校園網(wǎng)絡(luò)安全是一個系統(tǒng)性工程，不能僅依靠防病毒、防火墻、VLAN、云火墻等網(wǎng)絡(luò)安全技術(shù)。任何技術(shù)的應用，都必須建立在對人和資源的有效管理上，學校應建立相應的規(guī)章制度，確保校園網(wǎng)正常安全運行，朝著健康有序方向發(fā)展。

一、防病毒技術(shù)

新型病毒層出不窮，傳播速度快，破壞能力越來越強。校園網(wǎng)必須在網(wǎng)絡(luò)系統(tǒng)的各個環(huán)節(jié)嚴加防范，才能控制或阻止病毒的侵害?？紤]學校教學用機數(shù)量龐大，要建立全面的主動病毒防護體系，在每臺工作站、服務(wù)器上都要有反病毒軟件并能統(tǒng)一管理。校園網(wǎng)與Internet相連的網(wǎng)關(guān)，也要安裝防病毒軟件進行攔截，以阻止病毒進入校園網(wǎng)傳播擴散。由于師生信息瀏覽和EMAIL通信的普遍性，在Internet瀏覽、下載的信息時有可能傳播病毒到內(nèi)部網(wǎng)絡(luò)上，防病毒軟件要能阻止網(wǎng)頁攜帶的Applet小應用程序、ActiveX等病毒破壞，發(fā)現(xiàn)并清除隱藏在EMAIL、QQ、MSN、附件中的欺騙性病毒和木馬。

目前，主流的防病毒產(chǎn)品主要有賽門鐵克、趨勢、江民、金山等，網(wǎng)絡(luò)上也不乏免費殺毒軟件，如360殺毒。首次安裝防病毒軟件時，一定要對計算機做一次徹底的病毒掃描，注意定期查殺，及時進行軟件的更新。

二、防火墻與網(wǎng)絡(luò)隔離技術(shù)

配置防火墻可以最大限度防止Internet上的不安全因素蔓延到校園網(wǎng)內(nèi)部。校內(nèi)單機可以使用個人防火墻，網(wǎng)上這樣的免費或限時軟件很多，比如：360安全衛(wèi)士、天網(wǎng)。校園內(nèi)外網(wǎng)之間，可根據(jù)學校需要配置軟件或硬件防火墻。軟件防火墻依賴于服務(wù)器的操作系統(tǒng)，安全性有較大限制，速度也比較慢，建議有條件的學校配置硬件防火墻。硬件防火墻有專用硬件平臺和專用操作系統(tǒng)，甚至芯片級硬件防火墻使用專門芯片硬件平臺。沒有操作系統(tǒng)，它們的速度快、性能高、處理能力強。目前，常用的軟件防火墻有Checkpoint、KFW傲盾、天網(wǎng)等，常用的硬件防火墻有Net Screen、Cisco、Hill stone等，還可根據(jù)學校需要選配NAT、DNS、VPN、IDS等不同模塊。

網(wǎng)絡(luò)隔離技術(shù)在內(nèi)、外部主機系統(tǒng)中嵌入安全加固且不同的操作系統(tǒng)，內(nèi)部主機的操作系統(tǒng)對外部攻擊者是不可見的。在校園網(wǎng)和外部網(wǎng)絡(luò)之間形成了物理隔離帶，消除了基于網(wǎng)絡(luò)協(xié)議的攻擊。這種技術(shù)的應用，必將使校園網(wǎng)絡(luò)管理高效化、簡單化，安全級別也更高。

三、VLAN技術(shù)

隨著校園網(wǎng)絡(luò)規(guī)模擴大，網(wǎng)內(nèi)機器超過200臺時網(wǎng)絡(luò)管理將極為困難。在實際應用時，采取VLAN技術(shù)把校園網(wǎng)劃分為行政辦公、教師、學生等子網(wǎng)。劃分可以跨過物理設(shè)備，各子網(wǎng)之間無法直接通信，信息僅在VLAN內(nèi)的成員之間傳送，限制非成員數(shù)據(jù)轉(zhuǎn)發(fā)，從而減少了主干網(wǎng)的數(shù)據(jù)流量，控制網(wǎng)絡(luò)風暴在必要范圍內(nèi)，并增強網(wǎng)絡(luò)的安全性，利于管理。根據(jù)校園網(wǎng)管理特點，通常選擇下面三種方法劃分VLAN。

（1）基于端口的劃分。根據(jù)以太網(wǎng)交換機的端口劃分不同VLAN，可以把跨交換機的端口劃分到同一VLAN中，一個VLAN對應一個端口集合，一個端口在某一時間只能位于一個VLAN中。比如可以把交換機SWl的端口1、4-5和SW2的端口2-3、6劃為VLANl；把交換機SWl的端口2、3和SW2的端口1、4、5劃為VLAN2。這種方法簡單易行，但是靈活性差。當教學用機需要移動時，新端口不位于原VLAN中時，機器不能直接連接通信，需要管理員重新定義端口配置。

（2）基于MAC地址的劃分。校園網(wǎng)中的每個MAC地址對應一臺計算機，一個VLAN就是一個MAC地址集合。比如把所有教師機的MAC地址添加到VLANl中，所有學生機的MAC地址添加到VLAN2中。配置完成后，交換機根據(jù)MAC地址識別和跟蹤教學用機。即使教學用機或服務(wù)器移動位置，更換端口，也不會改變其所屬的VLAN。這種方法，用戶使用靈活，但是管理員工作量大而煩瑣：初始化時，如果用戶數(shù)量較多，要收集所有計算機MAC地址，對所有計算機進行配置，工作量極大；后期，每一臺新計算機入網(wǎng)時，也需要添加到對應的VLAN中，否則不能連接。

（3）基于IP地址劃分。校園網(wǎng)中的網(wǎng)絡(luò)層IP地址對應一臺計算機，一個VLAN就是一個IP地址集合。例如：把IP地址192.168.1.1-192.168.1.100設(shè)置為VLANI給教師使用，把192.168.2.1-192.168.2.200設(shè)置為VLAN2給學生使用。它具有第2種劃分方法的優(yōu)點，用戶計算機可以不修改網(wǎng)絡(luò)配置移動，并且無需收集MAC地址對所有計算機單獨配置。但校園網(wǎng)中每次數(shù)據(jù)轉(zhuǎn)發(fā)，都需要檢查TCP／IP協(xié)議的網(wǎng)絡(luò)層，網(wǎng)絡(luò)工作效率低。

目前，應用比較廣泛的具備VLAN功能的交換機、路由器主要有Cisco、銳捷、神州數(shù)碼等，這些網(wǎng)絡(luò)設(shè)備也不一定具備VLAN所有劃分方式。因此，學校要根據(jù)自己的要求和價格承受能力，選擇不同層次和功能的VLAN網(wǎng)絡(luò)設(shè)備，再根據(jù)實際設(shè)備選擇適合的VLAN劃分方式配置網(wǎng)絡(luò)。

四、云防護技術(shù)

校園網(wǎng)中Email、BBS、Web、即時通信、上傳下載各種服務(wù)和應用繁多，這也為黑客提供了更多的攻擊途徑。目前針對網(wǎng)絡(luò)的聯(lián)合攻擊規(guī)模越來越大，破壞性越來越強。許多校園網(wǎng)絡(luò)工作站點要么成為“僵尸”，要么成為被攻擊的對象。比如：“僵尸網(wǎng)絡(luò)”就是通過掛馬、下載等途徑控制數(shù)量巨大的“肉雞”對目標進行DOS等攻擊；還有“零日攻擊”指惡意運用立即被發(fā)現(xiàn)的安全漏洞，利用時間差在網(wǎng)絡(luò)未及防范的情況下實施攻擊。

云防護技術(shù)就是通過云火墻、網(wǎng)絡(luò)防控中心，動態(tài)、主動、協(xié)同阻止病毒、木馬、蠕蟲的蔓延和破壞?；ヂ?lián)網(wǎng)中，攻擊經(jīng)常是不可避免的。例如江蘇一個網(wǎng)絡(luò)感染蠕蟲病毒，立即把地址等信息報告云中心，中心再同步其他網(wǎng)絡(luò)，就可能阻止上海等其他網(wǎng)絡(luò)被感染。這種技術(shù)有別于防火墻技術(shù)的靜態(tài)被動式防護，極大地提高了防護的效率。目前，市場上云防護安全產(chǎn)品主要有思科ASA云火墻，一些個人防火墻也具備一些云防護功能。學?？梢赃x擇購買云防護構(gòu)件，加入這些云防護中心。

（定西市通渭縣榜羅中學）