校園網服務器的配置及安全防護

朱克華

隨著高校信息化進程的推進，高校校園網上運行的應用系統(tǒng)越來越多，信息系統(tǒng)變得越來越龐大和復雜。從結構上分，校園網總體上分為校園內網和校園外網。校園內網主要包括：教學局域網、圖書館局域網、辦公自動化局域網等。校園外網主要指學校提供對外服務的服務器群、與Internet的接入以及遠程移動辦公用戶的接入。因此，安全風險的防御問題也就變得較為嚴重和復雜。

一、安全問題來源分析

1病毒入侵嚴重目前，網絡病毒層出不窮，傳播速度快、破壞性強、傳播范圍廣，時刻威脅著校園網的安全。大量病毒以電子郵件、網絡共享、網頁瀏覽、即時通信或主動掃描等方式，感染校園網的服務器和客戶機，導致網絡的“拒絕服務”，嚴重時會造成網絡癱瘓。

2網絡的先天性不足校園網絡一般基于Internet技術構建，并與Internet相連。Internet的互聯性和開放性給社會帶來極大效益的同時．入侵者也得到了更多的機會。因為Internet本身缺乏相應的安全機制，不對機密信息和敏感信息提供保護。Web的精華是交互性，這也正是它的致命弱點。

二、配置安全服務器

目前很多校園網服務器安裝的是Windows 2000 Server操作系統(tǒng)，該系統(tǒng)穩(wěn)定性較強但安全性并不是很好，配置不當很容易因遭受攻擊而癱瘓。

1端口

端口是計算機和外部網絡相連的邏輯接口，也是計算機的第一道屏障，端口配置正確與否直接影響主機的安全。一般來說，僅打開必需的端口是最明智的安全做法，配置方法是在“網卡屬性→TCP／IP協議→高級→選項、→TCP／IP篩選”中啟用“TCP／IP篩選”。

2IIS

IIS是微軟組件中迄今為止發(fā)現漏洞最多的一個，特別是它的默認安裝、此處應重點進行配置；其一、徹底刪除系統(tǒng)盤(一般是C盤)的Inetpub目錄、到其他盤新建一個目錄、而且起名最好不是Inetpub。

其二，刪除IIS安裝時默認的Scripts等虛擬目錄、它們很容易暴露出本地網頁物理路徑。需要什么權限的目錄就自己建立一個。權限也一定要注意，特別是寫權限和執(zhí)行程序的權限。

其三，在IIs管理器中刪除必須之外的任何無用映射，必須指出的是ASP、ASA：和其他需用到的文件類型％在IIS管理器中右擊“主機一屬性一www服務編輯一主目錄一配置一應用程序映射”，接著開始單獨刪除即可。

3賬號安全

Windows 2000 Server默認安裝后允許任何用戶通過139端口的空連接得到系統(tǒng)所有賬號名稱及共享列表。本來這是為方便校園局域網用戶共享文件設計的，但遠程用戶同樣也能得到這些敏感信息，從而使暴力破解用戶密碼成為可能。

打開注冊表編輯器，在“開始一運行”中填入“Regedit”并確定，找到Hkey_Local Machines＼Svstem＼CnrrentControlSet＼Control＼LSA RestrictAnonymous、令其值為“1”，這樣即可禁止139端口的空連接訪問。

三、管理員的安全意識

網絡安全涉及網絡系統(tǒng)本身的復雜性、管理員和用戶的安全意識等因素，除網絡管理員和用戶應具備足夠的網絡知識外，還要有較好的管理模式。

1管理模式從網絡管理角度來看，在網絡管理中應實施“A-C-S角色管理模型”，即A：Administrator系統(tǒng)管理員，負責承擔日常的例行維護，他是管理計算機系統(tǒng)的主要人員；C：Configuation Manager配置管理員，負責進行計算機設備的資產管理、網絡參數(如網絡地址子網掩碼)的分配和登記；S：SecurityConsultant,安全管理員，負責評估和審核計算機系統(tǒng)的安全狀況，關注網絡安全動態(tài)，調整相關安全設置，進行入侵防范，發(fā)出安全公告，緊急修復系統(tǒng)。

2口令安全策略大多數黑客入侵，就是通過各種途徑取得管理員口令，因此．校園網管理員的口令安全策略顯得尤其重要。管理員口令安全策略主要有：

(1)不要使用比較容易猜的口令，最好使用字符和數字的混合口令。

(2)定期更換管理員口令。

(3)設置系統(tǒng)安全策略，限制用戶錯誤口令登錄次數，防止用戶枚舉性地試探猜測管理員口令。

四、結束語：

教育信息化，校園網的建設是基礎，而網絡信息安全是保障。安全防范不僅要在技術上采取安全措施，更重要是在管理上加強安全措施。