校園網絡安全技術探討

張想銀

校園網絡安全是一個系統性工程，不能僅依靠防病毒、防火墻、VLAN、云火墻等網絡安全技術。任何技術的應用，都必須建立在對人和資源的有效管理上，學校應建立相應的規章制度，確保校園網正常安全運行，朝著健康有序方向發展。

一、防病毒技術

新型病毒層出不窮，傳播速度快，破壞能力越來越強。校園網必須在網絡系統的各個環節嚴加防范，才能控制或阻止病毒的侵害。考慮學校教學用機數量龐大，要建立全面的主動病毒防護體系，在每臺工作站、服務器上都要有反病毒軟件并能統一管理。校園網與Internet相連的網關，也要安裝防病毒軟件進行攔截，以阻止病毒進入校園網傳播擴散。由于師生信息瀏覽和EMAIL通信的普遍性，在Internet瀏覽、下載的信息時有可能傳播病毒到內部網絡上，防病毒軟件要能阻止網頁攜帶的Applet小應用程序、ActiveX等病毒破壞，發現并清除隱藏在EMAIL、QQ、MSN、附件中的欺騙性病毒和木馬。

目前，主流的防病毒產品主要有賽門鐵克、趨勢、江民、金山等，網絡上也不乏免費殺毒軟件，如360殺毒。首次安裝防病毒軟件時，一定要對計算機做一次徹底的病毒掃描，注意定期查殺，及時進行軟件的更新。

二、防火墻與網絡隔離技術

配置防火墻可以最大限度防止Internet上的不安全因素蔓延到校園網內部。校內單機可以使用個人防火墻，網上這樣的免費或限時軟件很多，比如：360安全衛士、天網。校園內外網之間，可根據學校需要配置軟件或硬件防火墻。軟件防火墻依賴于服務器的操作系統，安全性有較大限制，速度也比較慢，建議有條件的學校配置硬件防火墻。硬件防火墻有專用硬件平臺和專用操作系統，甚至芯片級硬件防火墻使用專門芯片硬件平臺。沒有操作系統，它們的速度快、性能高、處理能力強。目前，常用的軟件防火墻有Checkpoint、KFW傲盾、天網等，常用的硬件防火墻有Net Screen、Cisco、Hill stone等，還可根據學校需要選配NAT、DNS、VPN、IDS等不同模塊。

網絡隔離技術在內、外部主機系統中嵌入安全加固且不同的操作系統，內部主機的操作系統對外部攻擊者是不可見的。在校園網和外部網絡之間形成了物理隔離帶，消除了基于網絡協議的攻擊。這種技術的應用，必將使校園網絡管理高效化、簡單化，安全級別也更高。

三、VLAN技術

隨著校園網絡規模擴大，網內機器超過200臺時網絡管理將極為困難。在實際應用時，采取VLAN技術把校園網劃分為行政辦公、教師、學生等子網。劃分可以跨過物理設備，各子網之間無法直接通信，信息僅在VLAN內的成員之間傳送，限制非成員數據轉發，從而減少了主干網的數據流量，控制網絡風暴在必要范圍內，并增強網絡的安全性，利于管理。根據校園網管理特點，通常選擇下面三種方法劃分VLAN。

（1）基于端口的劃分。根據以太網交換機的端口劃分不同VLAN，可以把跨交換機的端口劃分到同一VLAN中，一個VLAN對應一個端口集合，一個端口在某一時間只能位于一個VLAN中。比如可以把交換機SWl的端口1、4-5和SW2的端口2-3、6劃為VLANl；把交換機SWl的端口2、3和SW2的端口1、4、5劃為VLAN2。這種方法簡單易行，但是靈活性差。當教學用機需要移動時，新端口不位于原VLAN中時，機器不能直接連接通信，需要管理員重新定義端口配置。

（2）基于MAC地址的劃分。校園網中的每個MAC地址對應一臺計算機，一個VLAN就是一個MAC地址集合。比如把所有教師機的MAC地址添加到VLANl中，所有學生機的MAC地址添加到VLAN2中。配置完成后，交換機根據MAC地址識別和跟蹤教學用機。即使教學用機或服務器移動位置，更換端口，也不會改變其所屬的VLAN。這種方法，用戶使用靈活，但是管理員工作量大而煩瑣：初始化時，如果用戶數量較多，要收集所有計算機MAC地址，對所有計算機進行配置，工作量極大；后期，每一臺新計算機入網時，也需要添加到對應的VLAN中，否則不能連接。

（3）基于IP地址劃分。校園網中的網絡層IP地址對應一臺計算機，一個VLAN就是一個IP地址集合。例如：把IP地址192.168.1.1-192.168.1.100設置為VLANI給教師使用，把192.168.2.1-192.168.2.200設置為VLAN2給學生使用。它具有第2種劃分方法的優點，用戶計算機可以不修改網絡配置移動，并且無需收集MAC地址對所有計算機單獨配置。但校園網中每次數據轉發，都需要檢查TCP／IP協議的網絡層，網絡工作效率低。

目前，應用比較廣泛的具備VLAN功能的交換機、路由器主要有Cisco、銳捷、神州數碼等，這些網絡設備也不一定具備VLAN所有劃分方式。因此，學校要根據自己的要求和價格承受能力，選擇不同層次和功能的VLAN網絡設備，再根據實際設備選擇適合的VLAN劃分方式配置網絡。

四、云防護技術

校園網中Email、BBS、Web、即時通信、上傳下載各種服務和應用繁多，這也為黑客提供了更多的攻擊途徑。目前針對網絡的聯合攻擊規模越來越大，破壞性越來越強。許多校園網絡工作站點要么成為“僵尸”，要么成為被攻擊的對象。比如：“僵尸網絡”就是通過掛馬、下載等途徑控制數量巨大的“肉雞”對目標進行DOS等攻擊；還有“零日攻擊”指惡意運用立即被發現的安全漏洞，利用時間差在網絡未及防范的情況下實施攻擊。

云防護技術就是通過云火墻、網絡防控中心，動態、主動、協同阻止病毒、木馬、蠕蟲的蔓延和破壞。互聯網中，攻擊經常是不可避免的。例如江蘇一個網絡感染蠕蟲病毒，立即把地址等信息報告云中心，中心再同步其他網絡，就可能阻止上海等其他網絡被感染。這種技術有別于防火墻技術的靜態被動式防護，極大地提高了防護的效率。目前，市場上云防護安全產品主要有思科ASA云火墻，一些個人防火墻也具備一些云防護功能。學校可以選擇購買云防護構件，加入這些云防護中心。

（定西市通渭縣榜羅中學）