淺談中小學網絡安全之網絡架構

摘 要：當前，網絡技術飛速發展，中小學校園網的建成，使學校實現了管理的網絡化和教學手段現代化。作為一個向公眾開放的網絡，網絡安全成為一個重要的環節。從網絡架構方面對中小學網絡安全進行了探討和分析。

關鍵詞：網絡安全；路由器；校園網

隨著計算機網絡及其應用的發展，校園網建設在全國各高等院校越來越普及，網上教學、網上辦公、網上信息發布等校園網絡信息服務越來越廣，但校園網的安全問題也逐漸凸顯出來。構架安全的校園網絡環境，保證關鍵數據的安全性及各類信息的準確性，使校園網安全、穩定、高效地運轉，已成為各級學校越來越重視的問題。校園網的安全已成為不容忽視的問題，數據的安全性和學校自身的利益受到了嚴重的威脅。因此，能否保證計算機和網絡系統的安全和正常運行便成為校園網絡管理所面臨的一個重要的問題。

網絡安全包含兩部分內容：（1）構成網絡物理體系的正常運行，保證數據在網上高效傳送；（2）保障基于網絡的數據在傳輸過程中、存取中不被竅取、篡改、遺失。網絡的安全架構是指為保證網絡安全從工作理念、網絡結構、軟件及硬件設備、技術手段等方面共同構成的一個完整體系。

互聯網在設計之初就是本著自由與開放的原則，缺乏對安全

性的總體構想和考慮，導致目前許多應用系統處于不設防狀態。廣泛存在的安全問題、侵權問題、誠信問題和精神污染等問題，已經成為互聯網進一步發展的最大障礙。如果學校網絡沒有一個科學的安全架構，很好地解決網絡安全問題，那么它只能是一種互聯網的延伸，也就失去存在的意義。但是，如何才能行之有效地建立起網絡安全架構呢？

一、網絡架構

首先，我們根據學校網絡所在的實際物理位置來布局，比如筆者所在的學校，有兩棟四層教學樓，是劃成四個VLAN呢，還是劃成其他的？為了比較清晰地說明情況，我把我們本校的網絡架構畫了出來，這樣能夠更清晰地看出個所以然！如下圖。

首先，我們將學校網絡基本情況做下描述，每棟教學樓上分別設立有一間學生機房，每間教室配備有多媒體教學設備，各教師辦公室都配有辦公計算機。財務室及領導辦公室位于一號教學樓一樓。我們把每棟教學樓及機房分別劃成一個VLAN，并將路由器和服務器所在區域劃分為一個VLAN，也就是有四個VLAN，一號樓的辦公區呢？我們單獨地把辦公區劃出來，采用TP-LINK 1024V把每臺機器都劃成一個VLAN，然后把幾臺服務器放在另外一個區域中，即圖中的VLAN 4。也許大家會問，為什么劃這么多的VLAN？而且同一棟樓的為什么也要劃成兩個VLAN呢？這就是問題所在了。大家都知道，現在ARP病毒很厲害，而且已發生這樣的情況，即整個VLAN的集體掉線情況，解決此問題的方法就是通過硬件把問題最小化。這也不會從根本上解決ARP的問題，但至少給學校網絡帶來了不少的好處。如果發生了ARP病毒，只會給這個區域帶來影響，而絲毫不會對其他區域產生影響。這里又會有人問了，為什么辦公區每臺機子都是一個VLAN，而其他的不這樣呢？這個很容易理解，財務工作由于其安全敏感性，需要高效的網絡安全環境，所以便將辦公區劃分為每臺機器一個VLAN。而在學校機房的日常教學中會用到文件共享等網絡應用，不可能把安全做徹底了，而給教學帶來極大不便。其他的樓層都有相應的小局域網。這里順便提一下，幾臺服務器都是不能相互訪問的（在服務器安全配置里會具體提到，以免一臺淪陷了導致其他服務器的攻破）。這樣，即把問題都集中一個小的區塊中，容易管理和解決問題。

二、路由器和防火墻的配置

路由器是整個網絡的核心，在路由器的選擇方面，硬件路由器使用簡單方便，但擴成功能不足，特別是網絡擴大或是面對攻擊不能很好地提供保護。而軟件路由器就是一臺普通的pc，可以根據需要適當地增加內存，更換處理器，選用數據處理能力更大的網卡，這里我向大家推薦使用M0n0做軟件路由器。M0n0是基于Freebsd而開發的軟件路由器。由于Freebsd有著比Linux更高的穩定性、可靠性，所以用M0n0來做軟件路由器絕對是最好的選擇。而且安裝配置比Coyote更簡單，功能更強大，主要支持如下功能：

1.多廣域網固定IP支持。

2.支持ppoe、dhcp、pptp、static等方式接入。

3.支持無線局域網。

4.支持DNS轉發、DHCP服務、SNMP服務、ARP代理，支持加密驗證。

5.支持VPN服務。

6.可以查看系統的使用內存和cpu的占有及實時流量查看等。

7.強大的防火墻功能及其日志功能。

作為學校網絡的核心設備，不一定要求最好的配置，但一定要穩定。最好使用845以上的主板，處理器1.7以上，內存128M以上，100M以上的硬盤（建議使用電子硬盤）。網卡最好選擇處理數據能力優秀的，這里我們選用的是intel 82559的千兆網卡。接下來就是m0n0的安裝了。

校園網絡建設是學校信息系統的核心，如何提高學校網絡的

安全已是學校需要解決的重要問題，我們只要不斷地探索，不斷地學習研究，就能更好地管理和完善它。這里只是為大家提供一個思路而已，實際操作起來可能會碰到這樣或者那樣的困難，但是我們在做配置前得有一個好的思路，這樣我們做起事來就不會感到毫無辦法。

（作者單位 河南省三門峽中等專業學校）