淺議校園網絡病毒處理策略

嵇靜嬋

柳州鐵道職業技術學院, 廣西 柳州 545007

校園網是學校進行教學管理和科研的重要信息平臺,同時也是校園辦公，信息交流的主要場所。隨著教學資源庫建設，校園網絡不僅面向學院師生開放，同時要求支持外網的訪問。如何通過有效的合理的管理以實現一個高可靠性、高安全性和高穩定的校園網絡功能成了我們關注的焦點。同時，由于校園網絡使用者對病毒的安全意識不強；網絡建設初期自身的結構簡單，安全防范性差等諸多原因，造成了校園辦公網絡常為“病毒多發區”的現狀。

1 校園網絡病毒類型及危害

網絡病毒一般分為蠕蟲和木馬兩類，其傳播主要通過電子郵件，網頁代碼，文件下載，漏洞攻擊等方式。

校園網絡的使用者對于計算機知識的掌握程度參差不齊，存在部分校園網絡內的計算機沒有及時更新系統和安裝補丁，使用計算機時為追求運行速度禁用或卸載殺毒軟件，帶病毒的移動設備在校園網絡內部使用時造成交叉感染，訪問高風險網站或下載帶病毒的軟件等等，使得校園網絡無法實現完全避免病毒。

同時，網絡病毒帶來的危害也是巨大的。它不僅會干擾系統的正常運行，造成我們使用電腦時速度變慢，頻繁重啟或死機，部分軟件不能啟用，甚至會造成數據丟失，網絡和服務器癱瘓。

因此，網絡病毒的防范和處理成為了校園網絡管理的一項非常重要的內容。

2 優化校園網絡結構

有效的管理是防治網絡病毒的基礎。可以通過優化網絡結構，減少網絡病毒的進入及在感染網絡病毒后最大程度地降低影響范圍和減輕損失。

如果校園網絡只是一個大的局域網（LAN），那么一旦出現網絡病毒，那么受影響的就是整個網絡。因此我們根據應用范圍、使用部門、樓宇等因素在校園網內進行虛擬局域網（VLAN）的細分。例如將每棟教學樓設置為一個VLAN，每個教學部門為一個VLAN，學生宿舍樓如果人數眾多，還可以將每個樓層設置為一個或多個VLAN等。

在校園網絡內進行VLAN的劃分，不但可以強化網絡管理和網絡安全，還可以抑制廣播風暴。VLAN除了能將網絡劃分為多個廣播域，從而有效地控制廣播風暴的發生，以及使網絡的拓撲結構變得非常靈活的優點外，還可以用于控制網絡中不同部門、不同站點之間的互相訪問。一旦某個VLAN感染病毒，網絡管理員可以通過設置三層網絡設備來切斷該VLAN與其他VLAN的通信，將病毒擴散范圍控制住。

一般來說，各個不同VLAN間的通信都要經過路由器來實現相互訪問。如果網間互訪的流量較大，單純使用路由器來實現網間訪問，由于端口數量有限，并且路由速度較慢，會限制了網絡的規模和訪問速度。于是三層交換機應運而生，部分取代路由器的路由功能，加快局域網內部的數據交換。但由于三層交換機在安全、協議支持等方面還有許多欠缺，并不能完全取代路由器工作，通常的做法是校園網絡中同類VLAN間（比如學生宿舍間的VLAN，不同的網絡教室VLAN都是同類VLAN）的路由，用三層交換機來代替路由器，而不同類型的VLAN（比如學生宿舍間的VLAN和教師的辦公VLAN就是不同類VLAN），還有校園網與公網互聯之間要實現網絡訪問時的網關，使用專業路由器。

3 完善病毒防范管理

路由器的策略管理，使得網絡管理員能夠根據校園網絡的特定需求調整網絡，完善病毒的防范，如可設定訪問控制列表(Access Control List)的過濾規則，或基于防火墻的NAT轉換安全策略等。

網絡地址轉換（Network Address Translation，簡稱NAT）一般設置在與公網互聯的路由器，校園網內部使用私網IP地址，在通過網關路由器與公網進行訪問時，使用少量的公網IP地址。不僅完美地解決了lP地址成本的問題，而且還能夠有效地避免來自網絡外部的攻擊，隱藏并保護網絡內部的計算機。

訪問控制列表（Access Control List，簡稱ACL）可以解決和提高網絡安全，這是一種用來過濾和控制進出路由器數據流的一種訪問控制技術。如可以控制對于網絡內部的敏感數據的訪問限制，通過關閉應用端口來避免病毒的攻擊。

例如，惡性的ping是局域網病毒常常采用的攻擊方式。病毒隨機生成ping的目標地址，然后通過路由器來進行報文轉發，因此在路由器中就需要為每個ping的ICMP報文創建一條NAT的對應表。如果管理員在查看該表時，若看到大量的ICMP的NAT的進程，就應該警惕地想到是否已經遭到拒絕服務攻擊。

如果病毒惡意發動ICMP的ping攻擊，在幾秒鐘內會發出上萬個ping報文。則在NAT表中產生大量的NAT的進程連接。UDP的NAT進程的存在時間為5秒，TCP連接的NAT進程的保存時間為24小時。這種惡性的ping攻擊便可能將NAT的進程值全部占用。這樣就造成正常的網絡間網絡數據由于路由器的全部的NAT進程都被占用，因而得不到NAT的服務，無法進行正常的網絡通信。因此，我們可以采用訪問列表的方式將ICMP的報文過濾掉，保證正常的網絡服務。

4 定位網絡故障

網絡管理的一個重要環節，就是快速地定位網絡故障點，并尋求最佳的解決方案。一般來說，我們可以通過網絡流量的檢測來進行。

如ARP病毒是校園網病毒中最讓人頭疼的病毒之一，其利用以太網ARP協議向其他用戶及網關發送無效假冒的應答信息包，造成網絡堵塞設置無法出網。由于攻擊技術含量低，隨便通過一個攻擊軟件就可以完成ARP欺騙攻擊，常常成為初識網絡學生的練手游戲，以及很多網絡游戲外掛或含惡意代碼網站內藏的木馬程序都會有ARP欺騙。

防范ARP欺騙攻擊有很多措施，如可以通過設置一臺ARP服務器，同時設置網絡內容其他計算機只使用來自ARP服務器的ARP響應；配置ARP防火墻；設置交換機端口安全；設置IP地址和MAC地址的綁定；又或者使用具有ARP防護功能的路由器，起到ARP防火墻作用。但是校園網絡由多個虛擬局域網VLAN組成，其局域網內容用戶的IP常任意修改，使得ARP欺騙的防范無法僅僅在網管層完成。當網絡出現“網速越來越慢，甚而不能上網”癥狀時，就可能是受到ARP病毒攻擊的表現。網絡管理員可以在查看數據流量時，會發現多個IP地址對應一個MAC地址的現象，則該MAC地址對應的電腦就是病毒源，則盡快切斷該電腦的網絡連接，并通過專殺工具進行查殺，控制感染范圍。

5 結語

雖然網絡中病毒很可怕，如果我們從網絡設置和技術上進行有效的管理，就可以最大限度地保證校園網絡的信息安全，將網絡病毒造成的損失減到最低，使得校園網絡能高效、穩定的為教育教學服務。

[1]尹慧. ARP病毒的原理和防治. 考試周刊, 2011.64

[2]梁廣民，王隆杰. 思科網絡實驗室路由、交換實驗指南. 電子工業出版社,2012.2

[3]唐玉輝.校園網病毒防治. 青春歲月，2012.16