基于數字化校園網中網絡安全技術的研究

田原+黃迎春

摘 要：本文通過對數字化校園網安全現狀的分析，針對物理安全、應用系統安全、數據安全等關鍵問題，確定了相應安全方案的制訂原則。主要研究了物理隔離和訪問控制、VLAN的劃分以及時間控制策略的路由設置等關鍵技術，最終實現了數字化校園網安全可靠的運行，完善了校園網的全局構建。

關鍵詞：網絡安全；數字化校園；虛擬局域網

隨著網絡的普及以及新應用的出現，信息已經成為一種關鍵性的戰略資源。數字化校園網作為學校信息化建設的基礎，引起了教學方法、教學手段、教學工具的重大革新，在教學、科研、管理等方面起著舉足輕重的作用。與此同時，校園網絡的安全保障就變得十分重要。本文重點闡述了網絡安全系統的規劃及方案的實施，目的是建立一個完整、立體、多層次的網安全防御體系。

一、數字化校園網安全現狀

目前，世界上70%以上的學校都擁有自己的數字化校園網，并將其融入到教學中，但大部分校園網建設都對網絡安全有所忽視，逐漸使校園網的安全受到來自內部和外部的威脅與危害。校園網的主要安全問題分為下述幾方面：

1.物理層方面安全。由于網絡中物理設備的位置不合理、規章制度的不健全及防范措施不科學，導致網絡資源受到自然災害的毀壞、人為或意外事故的破壞，造成了數字化校園網不能夠正常的運行。因此，物理層安全問題是需要重視的。

2.未經受權訪問。沒有經過授權或者假冒合法的用戶獲得了權限進而訪問網絡資源，造成獲取所需資料、篡改有關數據或利用有關資源從事非法活動的情況。在校園網上，最常見的是盜用合法IP地址，給合法的用戶直接帶來了經濟損失，造成網絡沖突，使網絡不能夠正常工作，嚴重的甚至造成主機崩潰，影響到整個校園網運行。

3.計算機病毒。互聯網現在是病毒肆虐最大的來源，互聯網上發現了各色新病毒，感染快、危害嚴重，而且使用者難以防范。校園網由于計算機用戶眾多并且水平差距很大，容易感染病毒且消除困難。

4.帶寬管理。對于每個學校來說，它的帶寬資源都是有限的。而上網人數的急增和各種各樣在線游戲的流行使有限的帶寬資源不堪重負。由于沒有帶寬限制和優先級設置，一些重要用戶和重要應用得不到必要的帶寬保證而影響了正常的教學和科研工作。

二、校園網安全方案的實現

1.網絡防火墻的部署。在核心交換機與Internet之間、核心交換機和服務器群之間部署了一道防火墻，進行網絡數據流的監控，實現虛擬的網絡隔離。在部署防火墻之前，需要對現有網絡結構以及網絡應用作詳細的了解，然后根據網絡業務系統的實際需求制訂防火墻策略，以便能夠在提高網絡安全的同時不影響業務系統的性能。通過進行網絡拓撲結構的分析，確定防火墻的部署方式以及部署位置；根據實際的應用和安全的要求，劃定不同的安全功能區域，并制訂各個安全功能區域之間的訪問控制策略；制訂管理策略，特別是對于防火墻的日志管理、本身安全性管理。

2.路由器的設置。路由器是校園網主要設備之一，其位置在校園網與Internet接入口處。通過對路由器相關設置，可以實現帶寬限制，特定訪問規則，流量控制等，進一步保證了網絡安全。路由器主要功能是對IP地址進行設置，設置要恪守的基本原則如下：路由器的物理網絡端口需要有一個IP地址；相鄰路由器的相鄰端口IP地址在同一網段；同一路由器不同端口在不同網段上，IP地址設置的主要任務是配置端口IP地址；配置廣域網線路協議，配置IP地址與物理網絡地址如何映射；配置路由；其他設置。

3.三層交換機設置。三層交換機的出現解決了路由器的速度和二層交換機的VLAN間路由的問題，既滿足了速度的要求，還可以實現劃分VLAN，是目前數字化校園網中必不可少的網絡設備。三層交換機通過劃分VLAN有效地隔離了局域網的廣播風暴，有效地提高了網絡管理速度，很好地實現了網絡安全。劃分VLAN的基本策略從技術角度講，VLAN的劃分可依據不同原則，一般有以下三種劃分方法：（1）基于端口的VLAN部分。這種劃分是把一個或多個交換機上的幾個端口劃分一個邏輯組，這種方案只需要管理者對網絡設備的交換接口重新分配就可以，不必考慮該端口所連接的設備。（2）基于MAC地址的VLAN劃分。MAC地址其實就是指網卡的標識符，每一塊網卡的MAC地址都是唯一且固化在網卡上的，網絡管理員可按MAC地址把一些站點劃分為一個邏輯子網。（3）基于路由的VLAN劃分。路由協議工作在網絡層，相應的工作設備有路由器和路由交換機，該方式允許一個VLAN跨越多個交換機，或一個端口位于多個VLAN中。

建設數字化校園網為信息資源共享提供了有力的工具和手段，將校園中的各PC機、終端設備與局域網相連接，同時與國際互聯網連接起來，構建可以滿足教學、科研以及管理工作所需的各種環境，及時收集各種反饋信息，為學校的長遠發展提供決策依據。

參考文獻：

[1]鄧尚民，袁玉珍.淺談對校園網建設中存在問題的幾點認識[J].中國遠程教育，2000（2）.

[2]方欣澤.計算機網絡系統集成[M].北京：中國水利電利出版社，2005.

[3]胡道元，閆京華.網絡安全[M].北京:清華大學出版社，2004.

[4]彭卓峰.防火墻技術應用分析[J].大眾科技，2004（4）.