中職校園網(wǎng)絡(luò)的安全與管理

摘 要：本文在分析中職校園網(wǎng)絡(luò)安全隱患的基礎(chǔ)上，提出了確保校園網(wǎng)絡(luò)安全的解決方案，并重點(diǎn)就如何設(shè)置路由器防范拒絕服務(wù)（DoS）攻擊進(jìn)行了闡述，以達(dá)到硬件防火墻的效果，從而提高校園網(wǎng)絡(luò)的安全性。

關(guān)鍵詞：中職；校園網(wǎng)絡(luò)；安全隱患；路由器設(shè)置

隨著網(wǎng)絡(luò)技術(shù)和internet的發(fā)展，各中職學(xué)校都建立了自己的校園網(wǎng)絡(luò)，校園網(wǎng)為教師和學(xué)生的工作、學(xué)習(xí)、交流提供了許多方便，改變了傳統(tǒng)的教學(xué)和學(xué)習(xí)方式。在中職學(xué)校，尤其是辦學(xué)規(guī)模較小、經(jīng)濟(jì)情況較弱的學(xué)校，校園網(wǎng)絡(luò)的構(gòu)建本身存在一些缺陷，如許多學(xué)校沒有購(gòu)置防火墻設(shè)備。在硬件條件有限的情況下，如何搞好校園網(wǎng)絡(luò)的安全與管理、提高校園網(wǎng)絡(luò)運(yùn)行能力是十分值得校園網(wǎng)管理員探討的問題。

一、校園網(wǎng)的安全隱患

探討校園網(wǎng)絡(luò)安全首先要分析校園網(wǎng)絡(luò)存在哪些方面的安全隱患及來源特點(diǎn)，筆者認(rèn)為中職校園網(wǎng)絡(luò)的安全隱患主要?dú)w于如下幾種情況：

1. 病毒感染。

病毒感染是校園網(wǎng)中最常見、最嚴(yán)重的一種安全威脅，病毒防范最重要的方法是堵住它的入侵途徑。而校園網(wǎng)病毒的主要入侵途徑有以下四種：（1）瀏覽網(wǎng)頁(yè)、電子郵件而感染的網(wǎng)絡(luò)病毒，如有蠕蟲類病毒、木馬程序等。（2）網(wǎng)絡(luò)共享的攜帶病毒文件，從而感染了使用此共享文件的系統(tǒng)。（3）攜帶病毒的盜版光盤的軟件。（4）攜帶病毒的U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)設(shè)備。

2. 網(wǎng)絡(luò)攻擊。

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，各種網(wǎng)絡(luò)攻擊事件頻頻發(fā)生，黑客的惡意行為不時(shí)導(dǎo)致學(xué)校網(wǎng)絡(luò)癱瘓，令校園網(wǎng)管理人員十分頭痛。筆者分析，網(wǎng)絡(luò)攻擊主要有以下四種形式：（1）拒絕服務(wù)（DoS）：DoS攻擊是利用一批受控制的機(jī)器向一臺(tái)機(jī)器發(fā)起攻擊，具有較大的破壞性。DoS攻擊通過對(duì)服務(wù)器產(chǎn)生大量的服務(wù)請(qǐng)求，使服務(wù)器忙于響應(yīng)應(yīng)答訊息，造成TCP/IP棧崩潰，導(dǎo)致與Internet的連接中斷、無數(shù)的窗口被打開、系統(tǒng)死機(jī)，甚至重新啟動(dòng)等，造成服務(wù)器系統(tǒng)不勝負(fù)荷，喪失提供正常服務(wù)的能力。（2）木馬程序：是一種能夠在受害者毫不察覺的情況下滲透到系統(tǒng)的程序代碼。受害電腦一旦被種植了木馬，就意味著控制者能夠通過控制主機(jī)去控制受害系統(tǒng)，進(jìn)行秘密信息的竊取或破壞。（3）網(wǎng)絡(luò)嗅探器：是指嗅探類程序，它們潛伏在網(wǎng)絡(luò)中，利用互聯(lián)網(wǎng)透明傳輸?shù)娜觞c(diǎn)，悄悄地捕獲網(wǎng)絡(luò)上的數(shù)據(jù)包。（4）黑客入侵：是指某些具有頂尖網(wǎng)絡(luò)技術(shù)的人士，通過掃描程序發(fā)現(xiàn)系統(tǒng)開放的端口和漏洞，然后通過特殊的程序或進(jìn)行特定操作控制整個(gè)系統(tǒng)。

3. 校園網(wǎng)絡(luò)內(nèi)部的威脅。

中職校園網(wǎng)的用戶數(shù)量很多，包括了教師、行政人員、學(xué)生和家長(zhǎng)等。相對(duì)企業(yè)網(wǎng)絡(luò)，校園網(wǎng)來自內(nèi)部的威脅更加嚴(yán)重。主要有如下三種情況：（1）MAC地址盜用：指上網(wǎng)用戶通過修改注冊(cè)表，將自己的MAC地址改為一個(gè)未知的MAC地址或是別人的MAC地址。MAC地址的盜用對(duì)網(wǎng)絡(luò)安全帶來巨大的隱患。（2）IP地址盜用：是指用戶私自更改自己的IP地址或通過各種軟件進(jìn)行IP的攻擊。有些用戶出于某種原因，手工更改自己的IP地址，使得原本IP地址的合法用戶無法正常上網(wǎng)，導(dǎo)致網(wǎng)絡(luò)管理的混亂。DoS攻擊是最常見的IP攻擊方式，其原理是非法用戶向被攻擊的主機(jī)發(fā)出大量的攻擊包，同時(shí)將報(bào)文中的源IP地址進(jìn)行修改以掩藏自己真實(shí)的IP，導(dǎo)致服務(wù)器無法正常工作。（3）賬號(hào)盜用：這里更多的是指“賬號(hào)的共享”。對(duì)于校園網(wǎng)的管理來說，如果沒有對(duì)賬號(hào)做好管理，一個(gè)賬號(hào)可能被多個(gè)用戶使用，賬號(hào)的混亂使得管理員無法實(shí)現(xiàn)“網(wǎng)絡(luò)管理到人”的目的。

4. 操作系統(tǒng)的安全漏洞。

隨著技術(shù)的發(fā)展，操作系統(tǒng)越來越復(fù)雜，從而導(dǎo)致了操作系統(tǒng)本身的漏洞也越來越多，這樣就使得操作系統(tǒng)不是絕對(duì)安全、萬無一失的。

二、校園網(wǎng)絡(luò)安全解決方案

校園網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的、全局管理問題，網(wǎng)絡(luò)上的任何一個(gè)漏洞，都有可能影響整個(gè)網(wǎng)絡(luò)的安全。一個(gè)較好的安全解決方案不但要從環(huán)境、用戶、產(chǎn)品和意識(shí)等方面來考慮，同時(shí)要進(jìn)行綜合分析，逐個(gè)解決存在的問題，把可能發(fā)生的危害排除在發(fā)生之前，達(dá)到安全防護(hù)的目的，并且把網(wǎng)絡(luò)安全理念貫穿于網(wǎng)絡(luò)建設(shè)、使用和維護(hù)的整個(gè)過程中。

1. 選用先進(jìn)的組網(wǎng)設(shè)備。

在校園網(wǎng)建設(shè)和使用過程中，設(shè)備的選用和維護(hù)至關(guān)重要。如通過三層交換機(jī)來連接電信局的服務(wù)器和校園網(wǎng)的各個(gè)終端用戶實(shí)現(xiàn)寬帶上網(wǎng)，避免以太網(wǎng)偵聽的危險(xiǎn)。

2. 采用虛擬局域網(wǎng)技術(shù)（VLAN）。

一個(gè)VLAN就是一個(gè)邏輯廣播域，通過對(duì)VLAN的創(chuàng)建，隔離了廣播，縮小了廣播范圍，控制廣播風(fēng)暴的產(chǎn)生。通過路由訪問列表和MAC地址分配等VLAN劃分原則，可以控制用戶訪問權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同的VLAN中，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。

3. 加固操作系統(tǒng)。

針對(duì)Windows、Unix安全漏洞的各種病毒、網(wǎng)絡(luò)攻擊日益增多，因此網(wǎng)絡(luò)管理員必須加固操作系統(tǒng)，可采取以下方法：（1）及時(shí)安裝系統(tǒng)補(bǔ)丁程序；（2）最小化系統(tǒng)，提高系統(tǒng)的安全性；（3）進(jìn)行安全設(shè)置，如用戶權(quán)限的分配，共享目錄的開放與否、注冊(cè)表的安全配置、瀏覽器的安全等級(jí)等。

4. 安裝殺毒軟件。

現(xiàn)在大多數(shù)用戶都安裝了殺毒軟件，但安裝了殺毒軟件后還需要及時(shí)升級(jí)殺毒軟件、經(jīng)常使用殺毒軟件檢查系統(tǒng)并清除病毒、開啟殺毒軟件的監(jiān)控功能。

5. 安裝防火墻。

防火墻技術(shù)是控制進(jìn)和出兩個(gè)方向通訊的門檻，是抵御來自網(wǎng)絡(luò)攻擊最有效的手段之一。它能夠最大程度地保護(hù)你的系統(tǒng)信息不外泄。對(duì)通過交換機(jī)直接上寬帶的用戶而言，防火墻至少可以抵擋來自網(wǎng)絡(luò)常見的攻擊方式。如通過拒絕服務(wù)（DoS）、監(jiān)控不明程序進(jìn)程、使用防火墻的端口阻塞功能關(guān)閉不需要的端口從而達(dá)到防范的目的。

6. 加強(qiáng)內(nèi)部管理。

對(duì)校園網(wǎng)絡(luò)的內(nèi)部威脅，只有通過制定相關(guān)的規(guī)章制度，加強(qiáng)內(nèi)部管理，減少校園網(wǎng)絡(luò)安全隱患。對(duì)學(xué)生的上網(wǎng)實(shí)施一人一個(gè)賬號(hào)—密碼驗(yàn)證身份的原則；對(duì)盜用MAC地址和IP地址的學(xué)生給予一定的處罰；同時(shí)在技術(shù)上捆綁IP地址和MAC地址，在DoS界面的提示符下輸入命令：ARP-s 192.168.11.**00-50- BA-19-C3-DD，即可把MAC地址和 IP地址捆綁在一起。

三、設(shè)置路由器防范拒絕服務(wù)攻擊（DoS）

上文提到的校園網(wǎng)絡(luò)安全解決方案是一個(gè)一般性的解決方案，特別提到了防火墻在網(wǎng)絡(luò)安全中的作用。而面對(duì)日益增多的網(wǎng)絡(luò)攻擊，特別是拒絕服務(wù)（DoS）攻擊越來越嚴(yán)重地威脅著校園網(wǎng)絡(luò)的安全，但許多中職學(xué)校卻沒有經(jīng)濟(jì)能力購(gòu)置防火墻設(shè)備，在這種的情況下，如何解決防范拒絕服務(wù)（DoS）攻擊的問題？下文筆者介紹一種利用設(shè)置路由器來防范拒絕服務(wù)（DoS）攻擊的方法。設(shè)置步驟如下：

1. 使用ip verfy unicast reverse-path網(wǎng)絡(luò)接口命令。

本命令的功能是檢查每一個(gè)經(jīng)過路由器的數(shù)據(jù)包。在路由器的CEF（Cisco Express Forwarding）表該數(shù)據(jù)包所到達(dá)網(wǎng)絡(luò)接口的所有路由項(xiàng)中，如果沒有該數(shù)據(jù)包源IP地址的路由，路由器將丟棄該數(shù)據(jù)包。如路由器接收到一個(gè)源IP地址為1.2.3.4的數(shù)據(jù)包，如果CEF路由表中沒有為IP地址1.2.3.4提供任何路由（即反向數(shù)據(jù)包傳輸時(shí)所需的路由），則路由器會(huì)丟棄它。

單一地址反向傳輸路徑轉(zhuǎn)發(fā)在ISP（局端）實(shí)現(xiàn)阻止SMURF攻擊和其它基于IP地址偽裝的攻擊。這能夠保護(hù)網(wǎng)絡(luò)和客戶免受來自互聯(lián)網(wǎng)其它地方的侵?jǐn)_。使用Unicast RPF需要打開路由器的“CEF swithing”或“CEF distributed switching”選項(xiàng)。不需要將輸入接口配置為CEF交換。只要該路由器打開了CEF功能，所有獨(dú)立的網(wǎng)絡(luò)接口都可以配置為其它交換模式。RPF（反向傳輸路轉(zhuǎn)發(fā)）屬于在一個(gè)網(wǎng)絡(luò)接口或子接口上激活的輸入端功能，處理路由器接收的數(shù)據(jù)包。在路由器上打開CEF功能是非常重要的，因?yàn)镽PF必須依靠CEF。Unicast RPF的 Cisco IOS 12.0及以上版本中，但不支持Cisco IOS 11.2或11.3版本。

2. 使用訪問控制列表（ACL）過濾RFC 1918中列出的所有地址。

配置命令如下：

interface xy

ip access-group 101 in

access-list 101 deny ip 10.0.0.0 0.255.255.255 any

access-list 101 deny ip 192.168.0.0 0.0.255.255 any

access-list 101 deny ip 172.16.0.0 0.15.255.255 any

access-list 101 permit ip any any

3. 參照RFC 2267，使用訪問控制列表（ACL）過濾進(jìn)出報(bào)文。

{ISP中心}-—ISP端邊界路由器—-客戶端邊界路由器—-{客戶端網(wǎng)絡(luò)}

ISP端邊界路由器應(yīng)該只接受源地址屬于客戶端網(wǎng)絡(luò)的通信，而客戶端網(wǎng)絡(luò)則應(yīng)該只接受源地址未被客戶端網(wǎng)絡(luò)過濾的通信。以下是ISP端邊界路由器的訪問控制列表（ACL）例子：

access-list 190 permit ip{客戶端網(wǎng)絡(luò)} {客戶端網(wǎng)絡(luò)掩碼}any

access-list 190 deny ip any any[log]

interface{內(nèi)部網(wǎng)絡(luò)接口} {網(wǎng)絡(luò)接口號(hào)}

ip access-group 190 in

以下是客戶端邊界路由器的ACL例子：

access-list 187 deny ip{客戶端網(wǎng)絡(luò)} {客戶端網(wǎng)絡(luò)掩碼}any

access-list 187 permit ip any any

access-list 188 permit ip{客戶端網(wǎng)絡(luò)} {客戶端網(wǎng)絡(luò)掩碼）any

access-list 188 deny ip any any

interface{外部網(wǎng)絡(luò)接口} {網(wǎng)絡(luò)接口號(hào)}

ip access-group 187 in

ip access-group 188 out

如果打開了CEF功能，通過使用單一地址反向路徑轉(zhuǎn)發(fā)（Unicast RPF），能夠充分地縮短訪問控制列表（ACL）的長(zhǎng)度以提高路由器性能。為了支持Unicast RPF，只需在路由器完全打開CEF：打開這個(gè)功能的網(wǎng)絡(luò)接口并不需要CEF交換接口。

4. 使用CAR（Control Access Rate）限制ICMP數(shù)據(jù)包流量速率。

配置命令如下：

interface xy

rate-limit output access-group 2020 3000000 512000 786000 conform-action

transmit exceed-action drop

access-list 2020 permit icmp any any echo-reply

5. 設(shè)置SYN數(shù)據(jù)包流量速率。

配置命令如下：

interface{int}

rate-limit output access-group 153 45000000 100000 100000 conform-action

transmit exceed-action drop

rate-limit output access-group 152 1000000 100000 100000 conform-actiOn

transmit exceed-action drop

access-list 152 permit tcp any host eq www

access-list 153 permit tcp any host eq www established

在實(shí)現(xiàn)應(yīng)用中需要進(jìn)行必要的修改，替換45000000為最大連接帶寬，1000000為SYN flood流量速率的30%到50%之間的數(shù)值。

burst normal（正常突變）和burst max（最大突變）兩個(gè)速率為正確的數(shù)值。

注意：一般推薦在網(wǎng)絡(luò)正常工作時(shí)測(cè)量SYN數(shù)據(jù)包流量速率，以此基準(zhǔn)數(shù)值加以調(diào)整。必須在進(jìn)行測(cè)量時(shí)確保網(wǎng)絡(luò)的正常工作以避免出現(xiàn)較大誤差，并建議考慮在可能成為SYN攻擊的主機(jī)上安裝IP Filter等IP過濾工具包。

四、結(jié)語

校園網(wǎng)絡(luò)安全管理是一個(gè)系統(tǒng)的工程，學(xué)校不但要建立一套校園網(wǎng)絡(luò)安全管理模式，制定詳細(xì)的安全管理制度，全面考慮系統(tǒng)的安全需求，并將各種安全技術(shù)結(jié)合在一起，才能形成一個(gè)有效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。同時(shí)作為校園網(wǎng)絡(luò)技術(shù)管理人員，如果學(xué)校沒有經(jīng)濟(jì)能力購(gòu)置硬件設(shè)備，應(yīng)更多地考慮用“軟件”方法構(gòu)建一個(gè)比較安全的校園網(wǎng)絡(luò)系統(tǒng)。如本文簡(jiǎn)介的“設(shè)置路由器防范拒絕服務(wù)（DoS）攻擊”就是一個(gè)典型例子，其設(shè)置不是很復(fù)雜，既能節(jié)約經(jīng)費(fèi)又可以達(dá)到硬件防火墻的效果。

（作者單位：廣州市土地房產(chǎn)管理職業(yè)學(xué)校）

參考文獻(xiàn)：

[1]湯明亮.面向DoS攻擊的路由回溯技術(shù)研究[J].國(guó)防科學(xué)技術(shù)大學(xué)，2009，（1）.

[2]王會(huì)林.計(jì)算機(jī)網(wǎng)絡(luò)黑客攻擊與防范技術(shù)研究探索[J].民營(yíng)科技，2010，（5）.

[3]李鵬.校園網(wǎng)絡(luò)安全管理[J].科技創(chuàng)業(yè)月刊，2007，（6）.

責(zé)任編輯 何麗華