校園網絡安全策略和配置

摘 要： 高校網絡安全穩定越來越得到重視，為了給全校教師和學生創造一個快捷、可靠的網絡環境，對學校的核心交換機進行了安全策略的配置。本文從實際角度出發，詳細地闡述了核心交換機配置。

關鍵詞： 校園網絡 案例策略 特點 應用

一、引言

隨著高校信息化建設速度的加快，也伴隨產生了日益嚴重的信息安全問題，而信息的安全首先依賴于網絡本身的安全。在一個開放式的大學校園網內，無論是有意的攻擊，還是無意的誤操作，都會給信息系統帶來不可估量的損失。攻擊者可以竊聽網絡上的信息、竊取用戶的口令和數據庫的信息；還可以篡改數據庫內容、偽造用戶身份。攻擊者可以刪除數據庫內容、摧毀網絡節點、釋放計算機病毒等，嚴重影響了整個校園網的教學運作。因此，我們必須采用有效的安全策略與技術手段來保護網絡。

二、校園網絡的特點

校園網絡與企業或政府網絡相比，其自身的特點導致了安全管理非常復雜，具體體現在以下幾個方面：

1.校園網數量和規模

高校校園網絡目前普遍使用百兆、千兆，甚至萬兆實現園區主干互連。用戶群體比較大，比較密集。正是由于高帶寬和大用戶量的特點，網絡安全問題一般蔓延快，對網絡的影響比較嚴重。

2.開放的網絡環境

由于以教學和科研為主的特點決定了校園網絡環境應該是開放的，管理也是比較寬松的。至少在校園網的主干方面不能實施過多的限制，否則一些新的應用、新的技術很難在校園網內部實施。開放的網絡環境必然會帶來安全管理上的難度。

3.學生是網絡的活躍群體

高校的學生通常是最活躍的網絡用戶，對網絡新技術充滿好奇，勇于嘗試。如果沒有意識到后果的嚴重性，有意識和無意識地使用一些軟件，如：流光、冰河等黑客軟件，就可能對網絡造成一定的影響和破壞。還有些學生自己私自設置DHCP服務器，造成網絡內部大量的廣播包的發送，大大降低了交換機設備的使用效率。

4.辦公用機對病毒的警惕性不高

高校內部的許多教工對電腦只有最基礎的了解，因此對互聯網上出現的病毒毫無警惕，而如今的Internet病毒傳染力越來越強，隨著不斷的演進，網絡蠕蟲與病毒進一步融合，發展成為破壞力超強的“超級病毒”。反計算機病毒技術雖然也在不斷更新換代，但總是比較滯后，每次病毒的大規模泛濫總使得人們疲于應付，不僅嚴重影響了校園網的性能，有的還造成了科研教學很大的損失。

三、校園網絡安全策略和應用

面對這些安全隱患，必須采取有效的安全措施，通過一定的技術手段、設備和策略來保護校園網絡的安全。如針對病毒和蠕蟲，可以通過網絡版殺毒軟件來阻礙它們在網絡上肆虐；針對各種攻擊，可以通過防火墻來保障校園網處于保護狀態。但僅僅依靠這些措施還遠遠不行，還需要結合一些訪問控制列表（ACL）等管理策略才能真正保障學校網絡的安全。

在學校網絡建設中，我們采用的是huawei3com（華三）系列的設備，核心交換機采用huawei3com s9508，該產品的高性能如下：

（1）內部h3c防火墻體系結構防止來自網絡內部和外部的蓄意攻擊和非法進入。

（2）可以與VPN、防火墻、侵入監測系統（IDS）同時使用。

（3）在不影響系統性能的前提下，能夠使用訪問控制列表提供第2、3、4層安全過濾過濾流量。

結合h3cs9508的硬件性能我們又進行了相應的策略配置。

1.VLAN的管理

VLAN（Virtual Local Area Network）稱為虛擬局域網，是指在邏輯上將物理的LAN分成不同的邏輯子網，每一個邏輯子網就是一個單獨的播域。簡單地說，就是將一個大的物理的局域網（LAN）在交換機上通過軟件劃分成若干個小的虛擬的局域網（VLAN）。因為交換機通信的原理就是要通過“廣播”來發現通往的目的MAC地址（硬件地址），以便在交換機內部的MAC數據庫建立MAC地址表，而廣播不能跨越不同網段。劃分VLAN子網，能劃小播域，避免數據碰撞在大的物理LAN內產生嚴重后果，也避免廣播風暴的產生。提高交換網絡的交換效率，保證網絡穩定。要提高網絡安全性，可通過劃分VLAN，LAN被劃分不同子網段，因此不能直接通信。必要的通信必須經過路由器來實現，因此可在路由器（或三層交換機）上配置訪問控制列表來進行跨子網段的授權訪問，從而提高企業內部網絡訪問的安全性。VLAN技術很好地解決了網絡管理的問題，能實現網絡監督與管理的自動化，從而更有效地進行網絡監控。

通過口令登陸，在H3CS9508上配置VLAN：

#vlan 54

description yys8（創建VLAN，并命名為YYS8）

#vlan 55

description yys9

interface Vlan-interface54

ip address 192.168.134.254 255.255.255.0（VLAN 需接口地址為192.168.134.254，也就是網關，子網掩碼255.255.255.0）

#interface Vlan-interface55

ip address 192.168.135.254 255.255.255.0

#interface GigabitEthernet2/1/37（定義VLAN 54的具體實接口）

port access vlan 54

#interface GigabitEthernet2/1/39

port access vlan 55

以上VLAN已經創建并分配了相應的網關，將實際應用的端口歸入VLAN名下。.

2.防止病毒的入侵

計算機病毒在校園網內的傳播是驚人的，破壞性也是巨大的，面對這種威脅，我們可以利用訪問控制列表關閉135、139、445、4444等端口，預防“沖擊波”病毒等事件的發生，防止ping flood的出現。

acl number 3001

rule 0 deny tcp destination-port eq 135

rule 1deny tcp destination-port eq 139

rule 2 deny tcp destination-port eq 445

rule 3 deny udp destination-port eq 445

rule 4 deny tcp destination-port eq 4444

interface GigabitEthernet1/0/1

qos

packet-filter inbound ip-group 3001 rule 0 system-index 1

packet-filter inbound ip-group 3001 rule 1 system-index 3

packet-filter inbound ip-group 3001 rule 2 system-index 5

packet-filter inbound ip-group 3001 rule 3 system-index 7

packet-filter inbound ip-group 3001 rule 4 system-index 9

以上是通過ACL策略封閉了135、137、139端口的TCP和UDP協議數據，并將策略應用于VLAN中。

3.記錄核心交換機的系統日志

在校園網安全管理中，我們還要注意日志的收集，當出現安全事故時，如果有交換機等設備的日志信息，就可以通過查看日志，分析日志，找到攻擊的來源，從而堵塞漏洞，將損失降低到最小。

4.建立端口訪問控制列表

我們可以通過建立ACL來控制只能通過某些網段或某個IP地址來訪問某些VLAN，或某臺網絡設備，譬如只能允許我們網絡管理員來訪問交換機或路由器，而別人就不能進入。

放在中心機房的財務服務器只能由財務處的VLAN來訪問管理，其他的VLAN則為非法訪問。

rule 1 permit ip source.0 0.0.0.255 destination 193.168.0.0 0.0.255.255（允許192.168.249網段訪問193.168.0.網段，這是我們網絡設備的IP）

rule 2 permit ip source 192.168.100.202 0 destination 192.168.251.0 0.0.0.25

rule 3 permit ip source 192.168.251.1 0 destination 192.168.100.29 0（只允許192.168.251.1這臺PC來訪問192.168.100.29這臺服務器）

5.內嵌H3C SecBlade防火墻模塊，使交換機和防火墻的無縫連接配置，SecBlade FW集成防火墻、VPN、內容過濾和NAT地址轉換等功能，提升了網絡設備的安全業務能力，H3C SecBlade FW能提供外部攻擊防范、內網安全、流量監控、URL過濾、應用層過濾等功能，有效地保證網絡的安全。采用H3C ASPF（Application Specific Packet Filter）應用狀態檢測技術，實時檢測應用層連接狀態，實現3—7層安全防護。提供郵件告警、攻擊日志、流日志和網絡管理監控等功能，協助用戶進行網絡管理。

6.為了有效管理核心交換機及相關設備，我們還專門配備了一套H3C智能管理中心（H3C Intelligent Management Center，以下簡稱H3C iMC）的網管軟件，通過使用SNMP協議來實時記錄各種交換設備的使用情況，不僅有效保障了網絡應用的安全，更使得校園網的網絡管理真正做到了可管、可控和可視化，成功解決了我們在網絡規劃和應用發展期間的一系列難題。

四、小結

網絡安全問題是一個全球普遍問題，安全防護設備和軟件投入越多，安全也就越有保障。網絡安全需要在網絡建設時就要充分考慮，要規劃好網絡設計方案和策略。網絡安全管理需要一定的計算機資源，既要做到網絡安全可靠，又要不浪費資源和財力，保持網絡暢通，系統運行正常。

參考文獻：

［1］姚小蘭.網絡安全管理與技術防護.北京理工大學出版社，2006.

［2］張玲，萬紅運，劉壽強.基于核心交換機的大學校園網安全控制策略實例剖析.計算機安全，2006.

［3］申燕.網絡交換機原理及選擇.長沙通信職業技術學院學報，2006.

［4］胡肖鋒，陳朵玲.校園網絡安全的分析與策略研究.杭州電子科技大學學報（社科版），2005.