胡靜靜

（1.合肥工業(yè)大學(xué) 計(jì)算機(jī)與信息學(xué)院，安徽 合肥 230000；2.淮北職業(yè)技術(shù)學(xué)院，安徽 淮北235000）

中國教育教研網(wǎng)(CERNET)于1995年建成后，校園網(wǎng)的建設(shè)與發(fā)展十分迅速.校園網(wǎng)絡(luò)的建成與使用.大大地提高了高校工作的工作效率和管理水平，有著十分重要而深遠(yuǎn)的意義.如何高效地管理校園網(wǎng)，成為保證網(wǎng)絡(luò)安全平穩(wěn)地運(yùn)行的一個(gè)重要課題.

1 網(wǎng)絡(luò)安全管理

1.1 管理校園網(wǎng)絡(luò)IP路由信息和控制訪問范圍

校園網(wǎng)絡(luò)普遍采用的是TCP/IP網(wǎng)絡(luò)協(xié)議，通過路由器交換路由信息，路由器有兩個(gè)工作，一是數(shù)據(jù)轉(zhuǎn)發(fā)，二是路徑選擇.數(shù)據(jù)轉(zhuǎn)發(fā)的操作比較容易，而選擇最佳路徑比較困難.因此路徑的選擇就成了路由器最重要的工作.路徑選擇的工作可以由許多路由協(xié)議完成，本系統(tǒng)選用的是OSPF路由協(xié)議.可以通過限制某些網(wǎng)段的用戶可以訪問的網(wǎng)站，也可以禁止網(wǎng)絡(luò)不必要的端口連接.

1.2 管理網(wǎng)管交換機(jī)

局域網(wǎng)中交換機(jī)有著重要的核心地位，對(duì)交換機(jī)的管理直接影響著整個(gè)局域網(wǎng)的性能.這就對(duì)網(wǎng)絡(luò)管理員提出了很高的要求，首先，應(yīng)該對(duì)校園網(wǎng)絡(luò)的整體系統(tǒng)結(jié)構(gòu)、網(wǎng)絡(luò)布線結(jié)構(gòu)和參數(shù)配置等都應(yīng)該十分熟悉了解，其次，對(duì)每個(gè)網(wǎng)管交換機(jī)的每個(gè)端口的對(duì)應(yīng)配置也要清楚，才能實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的高效管理，除此之外，管理員要及時(shí)做好系統(tǒng)各項(xiàng)數(shù)據(jù)的備份，一旦交換機(jī)或端口出現(xiàn)故障或需要更新時(shí)，應(yīng)能及時(shí)做好對(duì)應(yīng)的參數(shù)配置修改和恢復(fù)，排除交換機(jī)故障，確保交換機(jī)能始終高效的運(yùn)行.

1.3 IP地址的管理

IP地址可以對(duì)網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行唯一的標(biāo)識(shí)編號(hào).在規(guī)劃校園網(wǎng)網(wǎng)絡(luò)時(shí)，應(yīng)做好對(duì)各部門上網(wǎng)需求的調(diào)查和統(tǒng)計(jì)，根據(jù)需求合理地劃分網(wǎng)絡(luò)地址，保證IP地址被合理分配，高效利用.如果IP地址分配方法不合適，很容易造成地址沖突和地址被盜用，不僅導(dǎo)致合法的用戶的地址無法使用，同時(shí)會(huì)使用戶遭受大量的損失并會(huì)造成很多未知的潛在安全隱患.可以采取在代理服務(wù)器端分配地址時(shí)，將IP地址和網(wǎng)卡MAC地址綁定，來防止上述情況的發(fā)生.

1.3.1 靜態(tài)地址的綁定

先查看網(wǎng)卡MAC地址，比如一個(gè)用戶MAC地址為00A0-4C-6C-08-75，分配給其靜態(tài)地址為192.168.3.11.在代理服務(wù)器端將該靜態(tài)地址與MAC地址綁定.綁定的具體命令如下：

ARP—-S192.168.3.2200-AO-4C-6C-08-75

通過上述命令完成了上網(wǎng)的靜態(tài)地址192.168.3.11與網(wǎng)卡地址為00-A0-4C-6C-08-75的計(jì)算機(jī)的綁定，即使該地址被盜用，也無法通過代理服務(wù)器連接上網(wǎng).但是需要注意的是上述命令僅在局域網(wǎng)中上網(wǎng)的代理服務(wù)器端可以使用，且僅對(duì)靜態(tài)地址有效，若是動(dòng)態(tài)地址將沒有作用.如果要?jiǎng)h除該地址與MAC地址的捆綁，命令如下：

AtP—D192.168.3.11.00-A0-4C-6C-08-75APP—S192.168.3.11.00-A0-4C-6C-08-75

1.3.2 動(dòng)態(tài)IP地址的綁定

純手工用“ARP"命令捆綁IP地址和MAC地址工作量較大，遇到大規(guī)模網(wǎng)絡(luò)時(shí)則不適用，這時(shí)可采用DHCP服務(wù)器動(dòng)態(tài)分配IP地址.

在DHCP服務(wù)器中也可實(shí)現(xiàn)地址和MAC地址的綁定，比如想讓主機(jī)名為“HJJ”的客戶機(jī)固定使用“192.168.0.8”的地址.可先通過先在客戶機(jī)上運(yùn)行“ip.Config/all”命令，獲得該客戶機(jī)網(wǎng)卡的MAC地址為“00-A0-4C-6C-08—75”.

在DHCP服務(wù)器端，打開DHCP管理器，選擇創(chuàng)建的范圍

“192.168.0.6—192.168.0.100”的作用域后右擊“保留”選項(xiàng)，在菜單中選擇“新建保留”后，在出現(xiàn)的配置對(duì)話框中進(jìn)行操作，將主機(jī)名為“HJJ”的客戶機(jī)進(jìn)行綁定，通過“保留名稱”欄為該保留項(xiàng)目取名，這種取名一般要求直觀好辨認(rèn)，可起名如“HJJ”，然后在“地址“欄中輸入“192.168.0.8”，在“MAC地址"欄中輸入客戶機(jī)的網(wǎng)卡MAC地址為“00-A0-4C-6C-08-75”，然后在“支持類型”中選中“兩者”選項(xiàng)，上述操作完成之后可點(diǎn)擊“添加’’按鈕，即完成了客戶機(jī)的地址與MAC地址綁定.

除此之外，還要對(duì)IP終端使用者進(jìn)行網(wǎng)絡(luò)常識(shí)教育，提高網(wǎng)絡(luò)使用者的責(zé)任心，作為進(jìn)一步提高IP地址使用率的基礎(chǔ)和保證.

1.4 防火墻的應(yīng)用和管理

防火墻是指放置在不同網(wǎng)絡(luò)(如可信任的內(nèi)部網(wǎng)和不可信的公共網(wǎng))或者網(wǎng)安全域之間的系列部件的組合.防火墻的目的就是在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障，在不同網(wǎng)絡(luò)信任程度區(qū)域之間建立起控制數(shù)據(jù)交換的唯一通道.所有流入流出的網(wǎng)絡(luò)通信和數(shù)據(jù)包都要通過防火墻，以實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的控制和隔離.而且防火墻本身就具有較強(qiáng)的抗攻擊免疫力，為網(wǎng)絡(luò)的安全提供了有利的保證.

1.5 入侵檢測(cè)技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，傳統(tǒng)的防火墻系統(tǒng)已經(jīng)不能滿足關(guān)鍵應(yīng)用的實(shí)際需要，以智能和動(dòng)態(tài)分析為基礎(chǔ)的入侵檢測(cè)系統(tǒng)在當(dāng)今的網(wǎng)絡(luò)應(yīng)用中發(fā)揮了日益重要的作用.入侵檢測(cè)技術(shù)是對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別和相應(yīng)處理的系統(tǒng)，它是主機(jī)網(wǎng)絡(luò)安全的一個(gè)重要組成部分，可以檢測(cè)系統(tǒng)外部的入侵和內(nèi)部用戶的非授權(quán)行為.

入侵檢測(cè)不僅檢測(cè)來自內(nèi)部、外部的入侵行為，同時(shí)也檢測(cè)來自內(nèi)部用戶的未授權(quán)活動(dòng).入侵檢測(cè)采用了積極主動(dòng)的防護(hù)技術(shù)，在不影響網(wǎng)絡(luò)性能的前提下對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)，所提供的數(shù)據(jù)不僅能用來發(fā)現(xiàn)合法用戶是否有違反安全策略的操作，還可以作為追究入侵者法律責(zé)任的實(shí)際證據(jù).入侵檢測(cè)體系是防火墻的合理補(bǔ)充，被認(rèn)為是防火墻之后的第二道安全閘門.入侵檢測(cè)系統(tǒng)與防火墻各有優(yōu)勢(shì)，防火墻的數(shù)據(jù)過濾和入侵檢測(cè)的實(shí)時(shí)監(jiān)控的聯(lián)動(dòng)可以更有效地阻止所發(fā)生的攻擊事件，使防護(hù)體系變得動(dòng)態(tài)、主動(dòng)、立體，讓網(wǎng)絡(luò)隱患降至較低限度.

2 網(wǎng)絡(luò)安全策略

網(wǎng)絡(luò)中心為整個(gè)校園網(wǎng)絡(luò)提供基本的安全服務(wù)保障，主要有以下幾點(diǎn)作用：

2.1 提供基礎(chǔ)的網(wǎng)絡(luò)安全設(shè)施

防火墻是保障校園網(wǎng)信息安全的核心設(shè)備，它可以防止?jié)撛?、不可預(yù)測(cè)的破壞者入侵.通過防火墻的設(shè)計(jì)和實(shí)現(xiàn)，為校園網(wǎng)提高可靠的安全措施.

2.2 提供桌面防病毒系統(tǒng)

計(jì)算機(jī)病毒是公認(rèn)的信息系統(tǒng)安全的最大隱患之一.借助日益普及的電子郵件，計(jì)算機(jī)病毒的傳播速度越來越快，范圍也越來越廣.幾乎所有網(wǎng)絡(luò)都被計(jì)算機(jī)病毒感染過，校園網(wǎng)也不能幸免，造成了嚴(yán)重的損失.由于計(jì)算機(jī)病毒形式多樣，傳播途徑繁多，單機(jī)病毒的檢測(cè)和清除再不能滿足學(xué)校網(wǎng)絡(luò)系統(tǒng)的防病毒工作，應(yīng)建立多層次的、立體高效的病毒防護(hù)體系，而且要具備完善的管理系統(tǒng)來設(shè)置和維護(hù)病毒防護(hù)策略.

針對(duì)校園網(wǎng)的桌面防病毒系統(tǒng)集中管理，可采用瑞星企業(yè)行業(yè)特別版教育專用版，該版本具有“云安全”系統(tǒng)，能智能主動(dòng)防御，智能管理全網(wǎng)漏洞，可自動(dòng)從服務(wù)器獲取新的病毒庫，實(shí)時(shí)更新，解決各種網(wǎng)絡(luò)安全問題，無須用戶再干預(yù).

2.3 架設(shè)垃圾郵件過濾系統(tǒng)和防病毒郵件網(wǎng)關(guān)

垃圾郵件和病毒郵件的數(shù)量占全部電子郵件總量的90%，將垃圾郵件過濾，病毒郵件采用郵件防病毒網(wǎng)關(guān)進(jìn)行過濾之后，再將安全郵件送入用戶郵箱，最大限度的減少垃圾郵件和病毒，提高了網(wǎng)絡(luò)的效率和安全性.

2.4 漏洞補(bǔ)丁發(fā)布系統(tǒng)

目前校園網(wǎng)內(nèi)OS以Windows系統(tǒng)為主，而Windows系統(tǒng)的軟件缺陷和系統(tǒng)漏洞對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是個(gè)嚴(yán)重的災(zāi)難，因此在校園網(wǎng)內(nèi)可專門設(shè)置Windows系統(tǒng)漏洞補(bǔ)丁發(fā)布服務(wù)器，可從該服務(wù)器及時(shí)下載更新補(bǔ)丁程序.此外，為避免補(bǔ)丁程序更新不及時(shí)、補(bǔ)丁不能正常下載或其它意外情況，將重要的系統(tǒng)漏洞補(bǔ)丁程序，在網(wǎng)絡(luò)公告上醒目的位置進(jìn)行公告，發(fā)布在校園網(wǎng)站上并提供直接下載，保護(hù)網(wǎng)內(nèi)計(jì)算機(jī)免受病毒的破壞及漏洞的入侵.建立完善的安全硬件設(shè)施是安全保障的必要條件，但人的因素更加重要.學(xué)校為設(shè)備及系統(tǒng)設(shè)有專業(yè)的管理部門，并挑選核心成員成立網(wǎng)絡(luò)安全緊急情況應(yīng)對(duì)小組，這樣，一旦發(fā)生突發(fā)的、重大的緊急安全事故也可以及時(shí)應(yīng)對(duì).從各個(gè)方面實(shí)行科學(xué)規(guī)范管理，從硬件、軟件到管理人員均嚴(yán)格要求，將安全威脅降到最低，提高網(wǎng)絡(luò)的抗風(fēng)險(xiǎn)性，保證整個(gè)網(wǎng)絡(luò)安全高速的運(yùn)行.

本文對(duì)保障校園網(wǎng)絡(luò)安全的常用關(guān)鍵技術(shù)做了簡單的介紹，著重討論主動(dòng)入侵檢測(cè)技術(shù)，防火墻技認(rèn)證技術(shù)和訪問控制技術(shù).這是目前使用最為廣泛，發(fā)展也比較成熟的全技術(shù).其中防火墻技術(shù)主要用于訪問控制，劃分安全區(qū)域等：入侵檢測(cè)系統(tǒng)主要用絡(luò)監(jiān)控，數(shù)據(jù)流向分析等；以防火墻，入侵檢測(cè)系統(tǒng)為代表的網(wǎng)絡(luò)安全技術(shù)體系是構(gòu)建校園網(wǎng)全體系最為核心的技術(shù)內(nèi)容.

〔1〕何一輝.校園網(wǎng)絡(luò)管理的設(shè)計(jì)與實(shí)現(xiàn)[J].現(xiàn)代遠(yuǎn)距離教育,2006（6）.

〔2〕王玉磊.高校校園網(wǎng)管理的研究[D].云南昆明：昆明理工大學(xué)碩士研究生學(xué)位論文，2007-06.

〔3〕李霞，胡偉.基于SNMP的lP地址盜用解決方案[J].綿陽師范學(xué)院學(xué)報(bào)，2005(2)：30-32.

〔4〕張遠(yuǎn)明，等.解決校園網(wǎng)中Ip地址盜用同題的技術(shù)[J].吉林大學(xué)學(xué)報(bào)，2006，44(4)：616-620.