栾辉

随着信息技术的普及和发展，越来越多的中小学建设了校园网，它极大地促进了教师教学理念的提升和教学方法的改进，扩大了中小学师生的学习方法和获取知识的途径。但在建网的同时，很多学校却忽略了校园网的安全建设，包括如何保护校园网络服务器，如何进行网站过滤，防止不健康网站对学生的影响。保证校园网的安全和稳定运行的方法就是建立校园网络安全系统。在Linux环境下搭建校园网安全系统，不仅可以合法免费获得相关软件，为学校节约成本，而且具有很高的效率和安全保障。

一、中小学校园网的基本结构

中小学的校园网主要由以下几部分构成：一是与互联网相接的设备，包括以ADSL方式入网、以光纤方式入网等；二是校园网的安全保护设备，如防火墙、UTM等设备；三是交换机等设备；四是校园网接入终端，包括服务器、台式机以及移动笔记本等设备。

二、为什么选择Linux系统

随着网络的日益普及，采用Linux网络操作系统作为服务器的用户也越来越多。这一方面是因为Linux是开放源代码的免费正版软件；另一方面也是因为较之微软的WindowsNT网络操作系统而言，Linux系统具有更好的稳定性、效率性和安全性。

三张Linux光盘一共12元，而使用Windows2K正版系统一千多，Office一千多；在专业领域，三剑客、Photoshop、3DMark等都要上千上万，而Linux所带的软件全部免费。

Linux具有以下几个特点。一是对硬件配置要求较低，中小学校利用一台性能较高的计算机就能承载所有功能；二是占用内存少、性能稳定；Linux可运行在文本模式下，其内核可订制；三是其补丁和漏洞的升级频率低，感染病毒的可能性小，维护方便。

三、搭建Linux环境下校园网网络安全系统

校园网网络安全系统技术方案的关键在于防火墙。可利用价格低廉、性能良好的计算机，构建一台“防火墙”，保障学校的网络信息安全。

1.我校使用是内核为2.6.18版本的Linux

在安装过程中应注意以下几点：

（1）选择中文和图形方式进行安装，选择英文和文本方式用于设备的日常运行。

（2）正确配置内外两块网卡的IP地址及网关等信息。

（3）出现“防火墙配置”页面时，安全级别选择“无防火墙”。

2.配置NAT（网络地址转换）

在Linux操作系统中，利用Iptables命令可灵活方便地设置NAT，其步骤如下：

（1）设置允许IP包转发，将/etc/sysctl.conf中net.ipv4.ip_

forward=0的0改成1。

（2）完成地址转换，iptables-tnat-APOSTROUTING-oeth0-j MASQUERADE，“eth0”指的是连接外部网络的网卡名称；同时可参考Iptables命令的使用方法，对进出的IP流量进行各种有效过滤和限制。

（3）保存Iptables的配置信息，执行：iptables-save>/etc/sysconfig/iptables通过该命令可将上述配置信息保存到相应文件，保证开机后自动启动该项功能。

3.实现IP地址和网卡MAC地址的绑定

校园网时常会发生IP地址冲突、感染ARP病毒等情况，导致用户无法正常上网。采用IP地址和网卡MAC地址绑定，可一定程度上杜绝这些现象的发生。在Linux操作系统中实现方法如下：

（1）在/etc/ip-mac文件添加IP地址和对应网卡MAC地址。建立IP地址和MAC地址的对应表文件：/etc/ip-mac，将要绑定的IP和MAC写入此文件，如echo192.168.1.100：02：B3：38：08：62>/etc/ip-mac。

（2）设置成开机自动加载ip-mac文件。echoarp-f/etc/ ip-mac>>/etc/rc.d/rc.local。

4.完全开放FTP服务的搭建

FTP服务器软件使用的是开源免费的Vsftpd。Vsftpd被认为是Linux下最安全、最快速的FTP服务器软件。在Linux环境下，在控制台执行一行命令就可完成安装，即：#apt-get install vsftpd。此时，用netstat命令能看到21端口在监听。

安装完Vsftpd后，需要完成一些配置来满足具体需求。编辑Linux系统下的/etc/vsftpd.conf文件，主要配置如下参数：

listen=YES#使vsftpd运行在standalone模式

listen-address=172.16.1.7#为了安全，将其绑定内网IP地址172.16.1.7

anonymous-enable=YES#允许匿名用户访问

write-enable=YES#允许运行各种FTP写命令

anon-upload-enable=YES#允许匿名用户上传文件

anon-mkdir-write-enable=YES#允许匿名用户创建文件夹

anon-other-write-enable=YES#允许匿名用户进行其他写操作

重新启动Vsftpd服务后，用FTP客户端工具就能访问该FTP服务器了。同时也可以进行读写操作，如上传、创建文件夹、删除等。由于对匿名用户开放了较高的权限，所以把监听地址绑定在内网IP地址上，保证它只能被内网用户访问。

通过以上所采取的一系列方法，以及原校园网中的原有网络安全措施，基本上可以建立一套相对完整的网络安全系统。