如何利用ＶＬＡＮ技術(shù)保障校園網(wǎng)內(nèi)網(wǎng)安全

摘要：該文以湖南交通職業(yè)學(xué)院的校園網(wǎng)為背景，從校園網(wǎng)內(nèi)網(wǎng)安全威脅的特點(diǎn)和攻擊原理入手，解析了如何利用VLAN技術(shù)保障校園網(wǎng)內(nèi)網(wǎng)安全。

關(guān)鍵詞：VLAN技術(shù)；校園網(wǎng)；內(nèi)網(wǎng)安全

中圖分類(lèi)號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)23-913-02

How to Support Campus Net the Net Security Use VLAN Technical

WANG Fang

(Hunan Traffic Professional Technical Institute，Changsha 410004，China)

Abstract: Take the Hunan transportation professional institute's campus net as a background， from the campus net the net safe threat characteristic and attack principle obtaining， how analyzed has used in the VLAN technical support campus net the net security.

Key words: VLAN technology; Campus network; In net security

隨著IT業(yè)的飛速發(fā)展，人類(lèi)社會(huì)步入了信息化社會(huì)，迅捷的信息流已成為人們生活、工作不可或缺的元素。互聯(lián)網(wǎng)絡(luò)作為信息化社會(huì)的一個(gè)重要組成部分，從1983年誕生的整合TCP/IP協(xié)議的BSD UNIX到今天的CIEA，它進(jìn)步的速度更是讓其他任何事物都不可逾越。對(duì)于學(xué)校而言，以往價(jià)格高昂的Internet接入和組網(wǎng)在今天都不再是奢侈的要求。但是隨著校園網(wǎng)建設(shè)的快速發(fā)展和校園網(wǎng)應(yīng)用的不斷深入，人們逐漸開(kāi)始關(guān)注一個(gè)曾經(jīng)被忽視的問(wèn)題，也就是校園網(wǎng)的內(nèi)網(wǎng)安全問(wèn)題。如何才能提升校園網(wǎng)內(nèi)網(wǎng)安全級(jí)別？在這里我將結(jié)合工作中的一點(diǎn)實(shí)際經(jīng)驗(yàn)介紹一下VLAN技術(shù)在內(nèi)網(wǎng)安全中起到的重要作用。

1 什么是內(nèi)網(wǎng)安全

一提到網(wǎng)絡(luò)安全，人們往往會(huì)想到在網(wǎng)關(guān)或者網(wǎng)絡(luò)邊界等方面的防御，其實(shí)不然，來(lái)自網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)客戶(hù)端的安全威脅更眾多管理人員所頭疼的問(wèn)題。那什么是內(nèi)網(wǎng)呢？?jī)?nèi)網(wǎng)即Intranet，是相對(duì)于外網(wǎng)Extranet而言的。廣義而言，所有黨政機(jī)關(guān)、企事業(yè)單位的內(nèi)部網(wǎng)絡(luò)都稱(chēng)為內(nèi)網(wǎng)。另外光纖到樓、小區(qū)寬帶、教育網(wǎng)、有線(xiàn)電視Cable Modem上網(wǎng)雖然地域范圍比較大但本質(zhì)上還是基于以太網(wǎng)技術(shù)，所以仍然屬于內(nèi)網(wǎng)。在這里我們只討論前者。內(nèi)網(wǎng)安全主要是指源于內(nèi)部網(wǎng)絡(luò)的攻擊，或者外網(wǎng)終端控制局域網(wǎng)絡(luò)內(nèi)部某臺(tái)Server，然后以此為基地，對(duì)內(nèi)網(wǎng)或Internet上的其他主機(jī)發(fā)起惡性攻擊。

2 影響校園網(wǎng)內(nèi)網(wǎng)安全的幾大因素

由于校園網(wǎng)絡(luò)大、用戶(hù)群密集、應(yīng)用覆蓋很廣泛， 一旦網(wǎng)絡(luò)中出現(xiàn)安全問(wèn)題，起初會(huì)很難發(fā)現(xiàn)，在計(jì)算機(jī)的相互影響下，故障會(huì)迅速蔓延，由點(diǎn)故障轉(zhuǎn)變?yōu)槊婀收?，并且故障定位?huì)非常麻煩。往往處理不及時(shí)，會(huì)造成大面積癱瘓、業(yè)務(wù)停滯，給學(xué)校的教學(xué)工作和正常上網(wǎng)帶來(lái)巨大的影響。形成校園網(wǎng)內(nèi)網(wǎng)安全威脅的源頭來(lái)自于以下幾個(gè)方面：

2.1 人為惡意攻擊

校園網(wǎng)的大部分用戶(hù)是學(xué)生，這個(gè)龐大群體精力旺盛，好奇心強(qiáng)，具有一定的專(zhuān)業(yè)知識(shí)。為體現(xiàn)自我價(jià)值，他們?cè)诰W(wǎng)上學(xué)習(xí)各種黑客技術(shù)，入侵內(nèi)網(wǎng)服務(wù)器，篡改其數(shù)據(jù)、訪(fǎng)問(wèn)非法資源、破壞系統(tǒng)，影響正常教學(xué)；利用木馬控制其他主機(jī)，竊取他人隱私、盜取游戲帳號(hào)。然則，已經(jīng)那些已經(jīng)被入侵控制的計(jì)算機(jī)，由于已經(jīng)被注入木馬，有可能再次被外網(wǎng)的專(zhuān)業(yè)黑客所利用，來(lái)對(duì)校內(nèi)服務(wù)器，甚至外網(wǎng)的一些商業(yè)服務(wù)器，謀取非法利益。由此可見(jiàn)，內(nèi)網(wǎng)的人為惡意攻擊帶來(lái)的威脅是巨大的，他的破壞力遠(yuǎn)遠(yuǎn)超乎想象。

2.2 病毒肆意泛濫

2001年作為新世紀(jì)的第一年，注定是不平凡的一年——當(dāng)個(gè)人計(jì)算機(jī)迎來(lái)它的20歲生日的同時(shí)，惡毒的“CAM先生”病毒和“紅色代碼”病毒通過(guò)網(wǎng)絡(luò)襲擊了全球的計(jì)算機(jī)系統(tǒng)，給人類(lèi)帶來(lái)巨大損失。

經(jīng)過(guò)7年的磨練，安全軟件不斷進(jìn)步，網(wǎng)絡(luò)病毒種類(lèi)亦愈來(lái)愈多。大體傳播途徑分為兩種，一種是病毒本身不具備復(fù)制功能，他們通過(guò)廣播散播到網(wǎng)段內(nèi)每個(gè)主機(jī)，當(dāng)這個(gè)主機(jī)存在系統(tǒng)漏洞時(shí)，病毒馬上侵占該主機(jī)，并在局域網(wǎng)內(nèi)以廣播方式繼續(xù)傳播，這類(lèi)病毒的特點(diǎn)的是：傳播速度快、影響范圍廣、主要破壞網(wǎng)絡(luò)的互聯(lián)互通；另一種是通過(guò)隱藏在正常的軟件中，通過(guò)用戶(hù)下載安裝，同時(shí)植入系統(tǒng)，再在用戶(hù)不知情的情況下，自動(dòng)從網(wǎng)絡(luò)上下載其他惡性病毒并植入系統(tǒng)，這類(lèi)病毒的特點(diǎn)是：主機(jī)上往往有數(shù)百種病毒，破壞力極強(qiáng)。

2.3 系統(tǒng)漏洞百出

目前校園網(wǎng)內(nèi)的絕大部分終端都是用的Microsoft的操作系統(tǒng)，在Windows 9X之后的版本，微軟公司大大加強(qiáng)了操作系統(tǒng)的網(wǎng)絡(luò)功能，這也給操作系統(tǒng)帶來(lái)了更多的隱患。據(jù)統(tǒng)計(jì)，微軟的Windows操作系統(tǒng)平均每天有7個(gè)漏洞被發(fā)現(xiàn)，而各種各樣的病毒和黑客軟件也就是從這些漏洞入手。如：“沖擊波病毒”利用微軟的RPC漏洞發(fā)起攻擊，黑客利用最多的是IE瀏覽器安全漏洞。所以，在你愉快的工作或娛樂(lè)的時(shí)候，操作系統(tǒng)可能就已經(jīng)背叛你，成為它們的幫兇。現(xiàn)在，黑客和病毒仍然在發(fā)掘其他的途徑入侵主機(jī)，有跡象表明，它們?cè)絹?lái)越熱衷于利用時(shí)下最為流行的應(yīng)用軟件漏洞進(jìn)行掛馬，例如一些播放器軟件漏洞、聊天工具漏洞、網(wǎng)絡(luò)電視軟件漏洞。

2.4 管理控制松懈

校園網(wǎng)是為提高學(xué)校教學(xué)和科研質(zhì)量、加快信息化建設(shè)、開(kāi)展多媒體教學(xué)與研究、改善教學(xué)和科研條件應(yīng)運(yùn)而生的。為了滿(mǎn)足這些要求，校園網(wǎng)必然是一個(gè)應(yīng)用高度密集的區(qū)域。

由于需求不同，每個(gè)應(yīng)用系統(tǒng)可能都是由不同的公司或個(gè)人開(kāi)發(fā)，對(duì)應(yīng)用中的一些涉密信息無(wú)法形成統(tǒng)一的管理。而內(nèi)部員工作為這些應(yīng)用的使用者，擁有不同等級(jí)的權(quán)限，在管理機(jī)制不健全的情況下，隨意把系統(tǒng)口令泄露給他人、涉密信息隨意存放、系統(tǒng)口令設(shè)置過(guò)于簡(jiǎn)單、沒(méi)有指定專(zhuān)門(mén)管理系統(tǒng)的計(jì)算機(jī)，都有可能會(huì)導(dǎo)致系統(tǒng)涉密數(shù)據(jù)被非法篡改、刪除和復(fù)制。總之，管理上的漏洞帶來(lái)的威脅，由于可以逃避網(wǎng)絡(luò)邊界的安全設(shè)備監(jiān)控，并且表面上看來(lái)是合法的，其危害遠(yuǎn)大于來(lái)自外網(wǎng)的攻擊。

3 利用VLAN技術(shù)建立內(nèi)網(wǎng)安全防護(hù)屏障

我院校園網(wǎng)擁有一條電信100M出口，一條教育網(wǎng)10M出口，核心交換機(jī)使用華為S8505，主干采用千兆以太網(wǎng)技術(shù)，光纖以星形方式敷設(shè)到每一棟樓宇。目前校園網(wǎng)覆蓋包括：辦公樓、圖書(shū)館、教師宿舍、學(xué)生宿舍、教學(xué)樓等24棟樓宇。

3.1 合理的VLAN劃分

為保證校園網(wǎng)的24小時(shí)不間斷運(yùn)行，降低網(wǎng)絡(luò)故障影響范圍，減少由廣播引起的網(wǎng)絡(luò)瓶頸，在VLAN設(shè)計(jì)時(shí)，我們要求每個(gè)VLAN不超過(guò)64臺(tái)主機(jī)，并根據(jù)校園網(wǎng)用戶(hù)上網(wǎng)場(chǎng)所，將他們粗略劃分為中心機(jī)房、學(xué)生宿舍、教工宿舍、辦公大樓、多媒體教室、教學(xué)機(jī)房六大類(lèi)。具體VLAN劃分如下：

1)中心機(jī)房：學(xué)院的中心機(jī)房放置的是非常重要的應(yīng)用服務(wù)器，根據(jù)他們業(yè)務(wù)的不同，將他們劃分為六個(gè)VLAN：WEB服務(wù)器，防病毒、自動(dòng)更新服務(wù)器、計(jì)費(fèi)系統(tǒng)、OA辦公、視頻服務(wù)、其他各種管理系統(tǒng)一個(gè)VLAN。

2)學(xué)生宿舍：由于用戶(hù)密集度高，上網(wǎng)場(chǎng)所相對(duì)固定，學(xué)生上網(wǎng)行為很難受控，病毒大面積爆發(fā)機(jī)率較大，所以我們按照每層樓一個(gè)VLAN進(jìn)行劃分。

3)教工宿舍：教工用戶(hù)密度相對(duì)較低，每棟樓不會(huì)超過(guò)48個(gè)用戶(hù)，我們將每棟樓劃分為一個(gè)VLAN。

4)辦公大樓：由于辦公用戶(hù)部門(mén)與部門(mén)之間有不同的需求，訪(fǎng)問(wèn)的資源也不同，并考慮到日常辦公中有很多的移動(dòng)終端，上網(wǎng)場(chǎng)所不固定。我們結(jié)合基于端口的VLAN和基于MAC的VLAN，將他們按照職能部門(mén)的不同進(jìn)行VLAN劃分。

5)多媒體教室：我院多媒體教室相對(duì)集中，數(shù)量在50間以?xún)?nèi)，本可以劃分在一個(gè)VLAN里面，但我們考慮到多媒體教室的終端使用者不固定，USB存儲(chǔ)設(shè)備使用較多，無(wú)法控制學(xué)生完全不接觸終端，并且終端是否正常運(yùn)行直接影響到日常教學(xué)。我們將多媒體教室的計(jì)算機(jī)每臺(tái)劃分一個(gè)VLAN。

6)教學(xué)機(jī)房：我們將不同部門(mén)的教學(xué)機(jī)房劃分一個(gè)VLAN，并由網(wǎng)絡(luò)中心分配一個(gè)或多個(gè)IP地址給不同教學(xué)機(jī)房，每個(gè)教學(xué)機(jī)房再通過(guò)ISA做代理或NAT接入校園網(wǎng)，較大的教學(xué)機(jī)房?jī)?nèi)部再通過(guò)ISA按教室劃分VLAN。

3.2 華為EAD結(jié)合Guset-Vlan降低內(nèi)網(wǎng)風(fēng)險(xiǎn)

我院除教學(xué)用計(jì)算機(jī)以外的所有計(jì)算機(jī)都必須通過(guò)802.1X認(rèn)證才能接入校園網(wǎng)。假設(shè)有一臺(tái)PC-A是在VLAN 10，防病毒、自動(dòng)更新服務(wù)器等在VLAN 100，將VLAN 100設(shè)置為Guest-Vlan。首先，PC-A進(jìn)性802.1X認(rèn)證準(zhǔn)備接入校園網(wǎng)，這時(shí)EAD會(huì)對(duì)其進(jìn)行身份驗(yàn)證，當(dāng)發(fā)現(xiàn)是非法用戶(hù)，會(huì)將其強(qiáng)制下線(xiàn)。通過(guò)身份驗(yàn)證之后并不會(huì)馬上接入校園網(wǎng)，會(huì)進(jìn)一步進(jìn)行安全認(rèn)證。EAD通過(guò)用戶(hù)安全客戶(hù)端、網(wǎng)絡(luò)設(shè)備、第三方軟件聯(lián)動(dòng)，根據(jù)網(wǎng)絡(luò)管理定制的安全策略，對(duì)PC-A的殺毒軟件安裝運(yùn)行情況、病毒庫(kù)更新情況、系統(tǒng)補(bǔ)丁安裝情況、軟件的黑白名單等內(nèi)容的檢查。當(dāng)其安全認(rèn)證失敗時(shí)，EAD會(huì)將PC-A強(qiáng)制隔離到Guest-Vlan中，此時(shí)PC-A只能訪(fǎng)問(wèn)Guest-Vlan中的資源，在Guest-Vlan中通過(guò)第三方服務(wù)器進(jìn)行自身安全修復(fù)，直到完全達(dá)到EAD所要求的安全級(jí)別，PC-A準(zhǔn)入校園網(wǎng)。整個(gè)接入過(guò)程如3.3 配置基于VLAN的訪(fǎng)問(wèn)控制列表

合理配置基于VLAN的訪(fǎng)問(wèn)控制列表，有效阻斷不需要互訪(fǎng)的VLAN之間的聯(lián)系。我院所有上網(wǎng)用戶(hù)除了可以訪(fǎng)問(wèn)校園網(wǎng)服務(wù)器所在的VLAN與Internet以外，各個(gè)VLAN在邏輯上是斷開(kāi)的，不同VLAN 之間的用戶(hù)無(wú)法互訪(fǎng)，杜絕有意或無(wú)意的相互攻擊。

在辦公網(wǎng)，財(cái)務(wù)處作為一個(gè)重要機(jī)構(gòu)，數(shù)據(jù)安全要求極高，在校領(lǐng)導(dǎo)有訪(fǎng)問(wèn)財(cái)務(wù)數(shù)據(jù)的需求下，可以通過(guò)VPN撥號(hào)接入財(cái)務(wù)內(nèi)部網(wǎng)訪(fǎng)問(wèn)財(cái)務(wù)數(shù)據(jù)，大大提高安全性。服務(wù)器所在的VLAN，配置只允許訪(fǎng)問(wèn)應(yīng)用服務(wù)器所必須開(kāi)放的幾個(gè)端口，把可攻擊服務(wù)器的途徑縮減到最少。

4 結(jié)束語(yǔ)

目前各種各樣號(hào)稱(chēng)功能巨大的內(nèi)網(wǎng)安全設(shè)備充斥著市場(chǎng)，其價(jià)格之不菲暫且不說(shuō)，可能用的時(shí)候還達(dá)不到預(yù)期效果。與其這樣，我們還不如利用廉價(jià)而成熟的VLAN技術(shù)從問(wèn)題的根源入手，將病毒攻擊、黑客攻擊扼殺在搖籃中，盡量減少內(nèi)網(wǎng)安全威脅。

參考文獻(xiàn)：

[1] 馬穎.VLAN技術(shù)及其在校園網(wǎng)內(nèi)的應(yīng)用[J].鄭州鐵路職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2004，(03):28.

[2] 彭偉.Guest Vlan在校園網(wǎng)絡(luò)中的應(yīng)用[J].計(jì)算機(jī)應(yīng)用與軟件，2007，24(03):117-118.

[3] 彭濤.淺談校園網(wǎng)絡(luò)的安全設(shè)計(jì)與管理[J].重慶教育學(xué)院學(xué)報(bào)，2007，20(3):67-70.

[4] 張裔智.Vlan技術(shù)在校園網(wǎng)中的應(yīng)用及研究[J].電腦知識(shí)與技術(shù)（學(xué)術(shù)交流），2007，(11):1233-1235.