嵇靜嬋

柳州鐵道職業(yè)技術(shù)學(xué)院, 廣西 柳州 545007

校園網(wǎng)是學(xué)校進(jìn)行教學(xué)管理和科研的重要信息平臺,同時也是校園辦公，信息交流的主要場所。隨著教學(xué)資源庫建設(shè)，校園網(wǎng)絡(luò)不僅面向?qū)W院師生開放，同時要求支持外網(wǎng)的訪問。如何通過有效的合理的管理以實現(xiàn)一個高可靠性、高安全性和高穩(wěn)定的校園網(wǎng)絡(luò)功能成了我們關(guān)注的焦點。同時，由于校園網(wǎng)絡(luò)使用者對病毒的安全意識不強；網(wǎng)絡(luò)建設(shè)初期自身的結(jié)構(gòu)簡單，安全防范性差等諸多原因，造成了校園辦公網(wǎng)絡(luò)常為“病毒多發(fā)區(qū)”的現(xiàn)狀。

1 校園網(wǎng)絡(luò)病毒類型及危害

網(wǎng)絡(luò)病毒一般分為蠕蟲和木馬兩類，其傳播主要通過電子郵件，網(wǎng)頁代碼，文件下載，漏洞攻擊等方式。

校園網(wǎng)絡(luò)的使用者對于計算機知識的掌握程度參差不齊，存在部分校園網(wǎng)絡(luò)內(nèi)的計算機沒有及時更新系統(tǒng)和安裝補丁，使用計算機時為追求運行速度禁用或卸載殺毒軟件，帶病毒的移動設(shè)備在校園網(wǎng)絡(luò)內(nèi)部使用時造成交叉感染，訪問高風(fēng)險網(wǎng)站或下載帶病毒的軟件等等，使得校園網(wǎng)絡(luò)無法實現(xiàn)完全避免病毒。

同時，網(wǎng)絡(luò)病毒帶來的危害也是巨大的。它不僅會干擾系統(tǒng)的正常運行，造成我們使用電腦時速度變慢，頻繁重啟或死機，部分軟件不能啟用，甚至?xí)斐蓴?shù)據(jù)丟失，網(wǎng)絡(luò)和服務(wù)器癱瘓。

因此，網(wǎng)絡(luò)病毒的防范和處理成為了校園網(wǎng)絡(luò)管理的一項非常重要的內(nèi)容。

2 優(yōu)化校園網(wǎng)絡(luò)結(jié)構(gòu)

有效的管理是防治網(wǎng)絡(luò)病毒的基礎(chǔ)?？梢酝ㄟ^優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，減少網(wǎng)絡(luò)病毒的進(jìn)入及在感染網(wǎng)絡(luò)病毒后最大程度地降低影響范圍和減輕損失。

如果校園網(wǎng)絡(luò)只是一個大的局域網(wǎng)（LAN），那么一旦出現(xiàn)網(wǎng)絡(luò)病毒，那么受影響的就是整個網(wǎng)絡(luò)。因此我們根據(jù)應(yīng)用范圍、使用部門、樓宇等因素在校園網(wǎng)內(nèi)進(jìn)行虛擬局域網(wǎng)（VLAN）的細(xì)分。例如將每棟教學(xué)樓設(shè)置為一個VLAN，每個教學(xué)部門為一個VLAN，學(xué)生宿舍樓如果人數(shù)眾多，還可以將每個樓層設(shè)置為一個或多個VLAN等。

在校園網(wǎng)絡(luò)內(nèi)進(jìn)行VLAN的劃分，不但可以強化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全，還可以抑制廣播風(fēng)暴。VLAN除了能將網(wǎng)絡(luò)劃分為多個廣播域，從而有效地控制廣播風(fēng)暴的發(fā)生，以及使網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活的優(yōu)點外，還可以用于控制網(wǎng)絡(luò)中不同部門、不同站點之間的互相訪問。一旦某個VLAN感染病毒，網(wǎng)絡(luò)管理員可以通過設(shè)置三層網(wǎng)絡(luò)設(shè)備來切斷該VLAN與其他VLAN的通信，將病毒擴(kuò)散范圍控制住。

一般來說，各個不同VLAN間的通信都要經(jīng)過路由器來實現(xiàn)相互訪問。如果網(wǎng)間互訪的流量較大，單純使用路由器來實現(xiàn)網(wǎng)間訪問，由于端口數(shù)量有限，并且路由速度較慢，會限制了網(wǎng)絡(luò)的規(guī)模和訪問速度。于是三層交換機應(yīng)運而生，部分取代路由器的路由功能，加快局域網(wǎng)內(nèi)部的數(shù)據(jù)交換。但由于三層交換機在安全、協(xié)議支持等方面還有許多欠缺，并不能完全取代路由器工作，通常的做法是校園網(wǎng)絡(luò)中同類VLAN間（比如學(xué)生宿舍間的VLAN，不同的網(wǎng)絡(luò)教室VLAN都是同類VLAN）的路由，用三層交換機來代替路由器，而不同類型的VLAN（比如學(xué)生宿舍間的VLAN和教師的辦公VLAN就是不同類VLAN），還有校園網(wǎng)與公網(wǎng)互聯(lián)之間要實現(xiàn)網(wǎng)絡(luò)訪問時的網(wǎng)關(guān)，使用專業(yè)路由器。

3 完善病毒防范管理

路由器的策略管理，使得網(wǎng)絡(luò)管理員能夠根據(jù)校園網(wǎng)絡(luò)的特定需求調(diào)整網(wǎng)絡(luò)，完善病毒的防范，如可設(shè)定訪問控制列表(Access Control List)的過濾規(guī)則，或基于防火墻的NAT轉(zhuǎn)換安全策略等。

網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation，簡稱NAT）一般設(shè)置在與公網(wǎng)互聯(lián)的路由器，校園網(wǎng)內(nèi)部使用私網(wǎng)IP地址，在通過網(wǎng)關(guān)路由器與公網(wǎng)進(jìn)行訪問時，使用少量的公網(wǎng)IP地址。不僅完美地解決了lP地址成本的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計算機。

訪問控制列表（Access Control List，簡稱ACL）可以解決和提高網(wǎng)絡(luò)安全，這是一種用來過濾和控制進(jìn)出路由器數(shù)據(jù)流的一種訪問控制技術(shù)。如可以控制對于網(wǎng)絡(luò)內(nèi)部的敏感數(shù)據(jù)的訪問限制，通過關(guān)閉應(yīng)用端口來避免病毒的攻擊。

例如，惡性的ping是局域網(wǎng)病毒常常采用的攻擊方式。病毒隨機生成ping的目標(biāo)地址，然后通過路由器來進(jìn)行報文轉(zhuǎn)發(fā)，因此在路由器中就需要為每個ping的ICMP報文創(chuàng)建一條NAT的對應(yīng)表。如果管理員在查看該表時，若看到大量的ICMP的NAT的進(jìn)程，就應(yīng)該警惕地想到是否已經(jīng)遭到拒絕服務(wù)攻擊。

如果病毒惡意發(fā)動ICMP的ping攻擊，在幾秒鐘內(nèi)會發(fā)出上萬個ping報文。則在NAT表中產(chǎn)生大量的NAT的進(jìn)程連接。UDP的NAT進(jìn)程的存在時間為5秒，TCP連接的NAT進(jìn)程的保存時間為24小時。這種惡性的ping攻擊便可能將NAT的進(jìn)程值全部占用。這樣就造成正常的網(wǎng)絡(luò)間網(wǎng)絡(luò)數(shù)據(jù)由于路由器的全部的NAT進(jìn)程都被占用，因而得不到NAT的服務(wù)，無法進(jìn)行正常的網(wǎng)絡(luò)通信。因此，我們可以采用訪問列表的方式將ICMP的報文過濾掉，保證正常的網(wǎng)絡(luò)服務(wù)。

4 定位網(wǎng)絡(luò)故障

網(wǎng)絡(luò)管理的一個重要環(huán)節(jié)，就是快速地定位網(wǎng)絡(luò)故障點，并尋求最佳的解決方案。一般來說，我們可以通過網(wǎng)絡(luò)流量的檢測來進(jìn)行。

如ARP病毒是校園網(wǎng)病毒中最讓人頭疼的病毒之一，其利用以太網(wǎng)ARP協(xié)議向其他用戶及網(wǎng)關(guān)發(fā)送無效假冒的應(yīng)答信息包，造成網(wǎng)絡(luò)堵塞設(shè)置無法出網(wǎng)。由于攻擊技術(shù)含量低，隨便通過一個攻擊軟件就可以完成ARP欺騙攻擊，常常成為初識網(wǎng)絡(luò)學(xué)生的練手游戲，以及很多網(wǎng)絡(luò)游戲外掛或含惡意代碼網(wǎng)站內(nèi)藏的木馬程序都會有ARP欺騙。

防范ARP欺騙攻擊有很多措施，如可以通過設(shè)置一臺ARP服務(wù)器，同時設(shè)置網(wǎng)絡(luò)內(nèi)容其他計算機只使用來自ARP服務(wù)器的ARP響應(yīng)；配置ARP防火墻；設(shè)置交換機端口安全；設(shè)置IP地址和MAC地址的綁定；又或者使用具有ARP防護(hù)功能的路由器，起到ARP防火墻作用。但是校園網(wǎng)絡(luò)由多個虛擬局域網(wǎng)VLAN組成，其局域網(wǎng)內(nèi)容用戶的IP常任意修改，使得ARP欺騙的防范無法僅僅在網(wǎng)管層完成。當(dāng)網(wǎng)絡(luò)出現(xiàn)“網(wǎng)速越來越慢，甚而不能上網(wǎng)”癥狀時，就可能是受到ARP病毒攻擊的表現(xiàn)。網(wǎng)絡(luò)管理員可以在查看數(shù)據(jù)流量時，會發(fā)現(xiàn)多個IP地址對應(yīng)一個MAC地址的現(xiàn)象，則該MAC地址對應(yīng)的電腦就是病毒源，則盡快切斷該電腦的網(wǎng)絡(luò)連接，并通過專殺工具進(jìn)行查殺，控制感染范圍。

5 結(jié)語

雖然網(wǎng)絡(luò)中病毒很可怕，如果我們從網(wǎng)絡(luò)設(shè)置和技術(shù)上進(jìn)行有效的管理，就可以最大限度地保證校園網(wǎng)絡(luò)的信息安全，將網(wǎng)絡(luò)病毒造成的損失減到最低，使得校園網(wǎng)絡(luò)能高效、穩(wěn)定的為教育教學(xué)服務(wù)。

[1]尹慧. ARP病毒的原理和防治. 考試周刊, 2011.64

[2]梁廣民，王隆杰. 思科網(wǎng)絡(luò)實驗室路由、交換實驗指南. 電子工業(yè)出版社,2012.2

[3]唐玉輝.校園網(wǎng)病毒防治. 青春歲月，2012.16