胡静静

（1.合肥工业大学 计算机与信息学院，安徽 合肥 230000；2.淮北职业技术学院，安徽 淮北235000）

中国教育教研网(CERNET)于1995年建成后，校园网的建设与发展十分迅速.校园网络的建成与使用.大大地提高了高校工作的工作效率和管理水平，有着十分重要而深远的意义.如何高效地管理校园网，成为保证网络安全平稳地运行的一个重要课题.

1 网络安全管理

1.1 管理校园网络IP路由信息和控制访问范围

校园网络普遍采用的是TCP/IP网络协议，通过路由器交换路由信息，路由器有两个工作，一是数据转发，二是路径选择.数据转发的操作比较容易，而选择最佳路径比较困难.因此路径的选择就成了路由器最重要的工作.路径选择的工作可以由许多路由协议完成，本系统选用的是OSPF路由协议.可以通过限制某些网段的用户可以访问的网站，也可以禁止网络不必要的端口连接.

1.2 管理网管交换机

局域网中交换机有着重要的核心地位，对交换机的管理直接影响着整个局域网的性能.这就对网络管理员提出了很高的要求，首先，应该对校园网络的整体系统结构、网络布线结构和参数配置等都应该十分熟悉了解，其次，对每个网管交换机的每个端口的对应配置也要清楚，才能实现对网络的高效管理，除此之外，管理员要及时做好系统各项数据的备份，一旦交换机或端口出现故障或需要更新时，应能及时做好对应的参数配置修改和恢复，排除交换机故障，确保交换机能始终高效的运行.

1.3 IP地址的管理

IP地址可以对网络中的计算机进行唯一的标识编号.在规划校园网网络时，应做好对各部门上网需求的调查和统计，根据需求合理地划分网络地址，保证IP地址被合理分配，高效利用.如果IP地址分配方法不合适，很容易造成地址冲突和地址被盗用，不仅导致合法的用户的地址无法使用，同时会使用户遭受大量的损失并会造成很多未知的潜在安全隐患.可以采取在代理服务器端分配地址时，将IP地址和网卡MAC地址绑定，来防止上述情况的发生.

1.3.1 静态地址的绑定

先查看网卡MAC地址，比如一个用户MAC地址为00A0-4C-6C-08-75，分配给其静态地址为192.168.3.11.在代理服务器端将该静态地址与MAC地址绑定.绑定的具体命令如下：

ARP—-S192.168.3.2200-AO-4C-6C-08-75

通过上述命令完成了上网的静态地址192.168.3.11与网卡地址为00-A0-4C-6C-08-75的计算机的绑定，即使该地址被盗用，也无法通过代理服务器连接上网.但是需要注意的是上述命令仅在局域网中上网的代理服务器端可以使用，且仅对静态地址有效，若是动态地址将没有作用.如果要删除该地址与MAC地址的捆绑，命令如下：

AtP—D192.168.3.11.00-A0-4C-6C-08-75APP—S192.168.3.11.00-A0-4C-6C-08-75

1.3.2 动态IP地址的绑定

纯手工用“ARP"命令捆绑IP地址和MAC地址工作量较大，遇到大规模网络时则不适用，这时可采用DHCP服务器动态分配IP地址.

在DHCP服务器中也可实现地址和MAC地址的绑定，比如想让主机名为“HJJ”的客户机固定使用“192.168.0.8”的地址.可先通过先在客户机上运行“ip.Config/all”命令，获得该客户机网卡的MAC地址为“00-A0-4C-6C-08—75”.

在DHCP服务器端，打开DHCP管理器，选择创建的范围

“192.168.0.6—192.168.0.100”的作用域后右击“保留”选项，在菜单中选择“新建保留”后，在出现的配置对话框中进行操作，将主机名为“HJJ”的客户机进行绑定，通过“保留名称”栏为该保留项目取名，这种取名一般要求直观好辨认，可起名如“HJJ”，然后在“地址“栏中输入“192.168.0.8”，在“MAC地址"栏中输入客户机的网卡MAC地址为“00-A0-4C-6C-08-75”，然后在“支持类型”中选中“两者”选项，上述操作完成之后可点击“添加’’按钮，即完成了客户机的地址与MAC地址绑定.

除此之外，还要对IP终端使用者进行网络常识教育，提高网络使用者的责任心，作为进一步提高IP地址使用率的基础和保证.

1.4 防火墙的应用和管理

防火墙是指放置在不同网络(如可信任的内部网和不可信的公共网)或者网安全域之间的系列部件的组合.防火墙的目的就是在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，在不同网络信任程度区域之间建立起控制数据交换的唯一通道.所有流入流出的网络通信和数据包都要通过防火墙，以实现对进、出内部网络的服务和访问的控制和隔离.而且防火墙本身就具有较强的抗攻击免疫力，为网络的安全提供了有利的保证.

1.5 入侵检测技术

随着网络技术的发展，传统的防火墙系统已经不能满足关键应用的实际需要，以智能和动态分析为基础的入侵检测系统在当今的网络应用中发挥了日益重要的作用.入侵检测技术是对计算机和网络资源的恶意使用行为进行识别和相应处理的系统，它是主机网络安全的一个重要组成部分，可以检测系统外部的入侵和内部用户的非授权行为.

入侵检测不仅检测来自内部、外部的入侵行为，同时也检测来自内部用户的未授权活动.入侵检测采用了积极主动的防护技术，在不影响网络性能的前提下对网络进行检测，所提供的数据不仅能用来发现合法用户是否有违反安全策略的操作，还可以作为追究入侵者法律责任的实际证据.入侵检测体系是防火墙的合理补充，被认为是防火墙之后的第二道安全闸门.入侵检测系统与防火墙各有优势，防火墙的数据过滤和入侵检测的实时监控的联动可以更有效地阻止所发生的攻击事件，使防护体系变得动态、主动、立体，让网络隐患降至较低限度.

2 网络安全策略

网络中心为整个校园网络提供基本的安全服务保障，主要有以下几点作用：

2.1 提供基础的网络安全设施

防火墙是保障校园网信息安全的核心设备，它可以防止潜在、不可预测的破坏者入侵.通过防火墙的设计和实现，为校园网提高可靠的安全措施.

2.2 提供桌面防病毒系统

计算机病毒是公认的信息系统安全的最大隐患之一.借助日益普及的电子邮件，计算机病毒的传播速度越来越快，范围也越来越广.几乎所有网络都被计算机病毒感染过，校园网也不能幸免，造成了严重的损失.由于计算机病毒形式多样，传播途径繁多，单机病毒的检测和清除再不能满足学校网络系统的防病毒工作，应建立多层次的、立体高效的病毒防护体系，而且要具备完善的管理系统来设置和维护病毒防护策略.

针对校园网的桌面防病毒系统集中管理，可采用瑞星企业行业特别版教育专用版，该版本具有“云安全”系统，能智能主动防御，智能管理全网漏洞，可自动从服务器获取新的病毒库，实时更新，解决各种网络安全问题，无须用户再干预.

2.3 架设垃圾邮件过滤系统和防病毒邮件网关

垃圾邮件和病毒邮件的数量占全部电子邮件总量的90%，将垃圾邮件过滤，病毒邮件采用邮件防病毒网关进行过滤之后，再将安全邮件送入用户邮箱，最大限度的减少垃圾邮件和病毒，提高了网络的效率和安全性.

2.4 漏洞补丁发布系统

目前校园网内OS以Windows系统为主，而Windows系统的软件缺陷和系统漏洞对计算机网络系统是个严重的灾难，因此在校园网内可专门设置Windows系统漏洞补丁发布服务器，可从该服务器及时下载更新补丁程序.此外，为避免补丁程序更新不及时、补丁不能正常下载或其它意外情况，将重要的系统漏洞补丁程序，在网络公告上醒目的位置进行公告，发布在校园网站上并提供直接下载，保护网内计算机免受病毒的破坏及漏洞的入侵.建立完善的安全硬件设施是安全保障的必要条件，但人的因素更加重要.学校为设备及系统设有专业的管理部门，并挑选核心成员成立网络安全紧急情况应对小组，这样，一旦发生突发的、重大的紧急安全事故也可以及时应对.从各个方面实行科学规范管理，从硬件、软件到管理人员均严格要求，将安全威胁降到最低，提高网络的抗风险性，保证整个网络安全高速的运行.

本文对保障校园网络安全的常用关键技术做了简单的介绍，着重讨论主动入侵检测技术，防火墙技认证技术和访问控制技术.这是目前使用最为广泛，发展也比较成熟的全技术.其中防火墙技术主要用于访问控制，划分安全区域等：入侵检测系统主要用络监控，数据流向分析等；以防火墙，入侵检测系统为代表的网络安全技术体系是构建校园网全体系最为核心的技术内容.

〔1〕何一辉.校园网络管理的设计与实现[J].现代远距离教育,2006（6）.

〔2〕王玉磊.高校校园网管理的研究[D].云南昆明：昆明理工大学硕士研究生学位论文，2007-06.

〔3〕李霞，胡伟.基于SNMP的lP地址盗用解决方案[J].绵阳师范学院学报，2005(2)：30-32.

〔4〕张远明，等.解决校园网中Ip地址盗用同题的技术[J].吉林大学学报，2006，44(4)：616-620.