李小凯

【摘 要】校园网是在学校范围内，为教学、科研和管理提供资源共享、信息交流和协同工作的计算机网络。在信息化的今天，校园网已经成为各类院校重要的基础设施，其运行安全也变的日益重要。面对复杂的网络环境以及网络内外各种安全威胁，如何进行安全防范，保证校园网的安全、高效运行已经成为校园网设计和建设需要解决的主要问题。本文针对当前校园网面临的一些常见安全威胁进行了分析，并在网络规划和配置方面提出了一些解决思路和范例。

【关键词】校园网安全，防火墙，防病毒系统，认证和审计，虚拟局域网

【中图分类号】TP393.18【文献标识码】A【文章编号】1672-5158（2013）02-0166-02

一、校园网常见的安全威胁

威胁校园网安全运行的因素很多，主要包含计算机本身的系统漏洞、各类网络攻击和病毒的威胁、内部人员的非授权访问和资源滥用、不良信息泛滥等。其中，来自内、外网络的各类蓄意攻击行为最为普遍，常见的形式有：

1、拒绝服务攻击（DoS）

拒绝服务攻击就是一种发起大量访问请求使目标服务器停止工作甚至崩溃的攻击行为，其具体攻击原理大致如下：第一，通过制造大量的垃圾信息和流量冲击网络，使被攻击服务器网络阻塞从而无法及时接收用户请求并处理；第二，利用服务传输协议漏洞制造大量的非法连接请求不断消耗操作系统资源，让操作系统无法正常处理合法用户的请求；第三，反复发送巨量畸形攻击数据，让服务器的有限资源被大量占据，最终导致服务器挂起甚至不断死机。拒绝服务攻击的具体攻击方式主要包括：S Y N Foold、IP欺骗DoS、Ping of Death、UDP洪水以及电邮炸弹等。

2、利用型攻击

利用型攻击是一种以试图直接控制目标主机为目的的网络攻击行为，其主要通过对目标主机的密码猜测或破解、木马植种以及缓冲区溢出三种方法实现。密码猜测和破解就是攻击者通过猜测或破解的方式非法获取主机网络输入输出系统（NetBIOS）、Telnet以及NFS等系统账号密码，最终获取目标主机控制权。木马种植就是将木马程序安装到目标机器的系统中并激活，从而获取对方账号和密码，最终控制目标主机。缓冲区溢出是指利用目标主机系统本身的漏洞，造成对方运行失败、系统死机、重新启动等后果。更为严重的是，可以利用它执行非授权指令，取得系统特权，进而进行各种非法操作。

3、信息收集型攻击

信息收集攻击主要是对目标计算机进行的一些信息扫描以及体系结构探测等行为。信息扫描包含对目标的地址和端口扫描、主机存在与否的反响映射以及对目标及其的操作系统结构探测等。信息收集型攻击本身并不会对目标主机造成危害，但其在运用的过程中能获取大量主机信息，能为进一步入侵主机提供很多有效信息，因此很多黑客在进行最终网络攻击前都会运用这种方式，让自身的攻击目标更准确攻击结果更有效。其具体方式有：DNS转换获取主机名及IP、Finger服务、LDAP服务以及Sniffer等。

4、信息欺骗攻击

主要通过利用网络协议中本身的缺陷以及攻击目标的配置漏洞，发送一些伪造的数据信息以达到窃取服务器信息、改变用户或让服务器拒绝服务的目的，主要包括DNS缓存污染以及伪造电邮等两种方式。DNS服务器在与其他服务器进行信息交换时不会身份校验，这种漏洞就使攻击者很容易将错误信息渗入并将用户引向自己主机。网络邮件的发送并不会进行身份认定，很多攻击者谎称用户认识的人或者单位发送邮件给用户，在邮件中附带一些木马病毒，一旦客户运行邮件机器就会中毒，很多账户以及密码信息都会处于攻击者的监控之下。

二、校园网安全解决方案

要解决校园网所面临的常见安全问题，必须在网络系统中的各个环节采取必要的防范措施，使用防范技术，完善管理体系，才能有效保障校园网的安全。

1、应用防火墙技术实现对网络的访问控制

防火墙是最基本的一种网络安全防范技术。它被设置在内部网络和外部网络之间，根据既定的安全策略对流经的数据包进行安全检查和筛选，可有效监控网络之间的通信活动，阻断非授权访问，还可以有效的避免拒绝服务攻击、非法信息刺探和收集、信息欺骗等攻击，保证内部网络的安全。

在校园网的实际应用中，可根据网络拓扑结构和校园网安全的实际需求，在以下区域部署防火墙：校园网内部与外部网络之间；校园网不同区域之间；重要主机和服务器（如WWW服务器、邮件服务器等）的接入层。为了保证网络安全策略的统一，提高网络管理效率，可选择采用分布式防火墙进行统一部署。

要使防火墙充分发挥作用，管理者应根据实际需求，制定合理的安全策略，启用各类防护功能，在允许必要网络通信类型的同时，对其他网络通信严格甄别筛选，从而尽可能保证内部网络的安全运行。

随着技术的发展，防火墙的功能也在不断的扩充和完善，新一代的防火墙在实现传统数据包筛选功能的同时，还增加了VPN、IDS、网络审计等系统的部分功能，从而使得其应用更加灵活和高效。

2、应用入侵检测技术（IDS）保护信息网络和重要主机的安全

防火墙一般只能鉴别相对较简单的网络攻击类型，为了进一步保护校园网的安全，可采用入侵检测技术，对较复杂的网络入侵行为进行检测和阻止。

在校园网的重要网段安装基于网络的入侵检测系统，实时监视网络中传输的各种数据包，对可疑数据包进行特征分析。如果数据包与入侵检测中的某些规则吻合，则入侵检测系统就会及时发出警报或直接切断网络连接。

在校园网重要主机（如WWW服务器、邮件服务器等）安装基于主机的入侵检测系统，对该主机的网络实时连接以及系统审计日志进行智能分析和判断，如果发现异常行为，入侵检测系统就会及时采取相应措施。

入侵检测系统的灵活运用，可帮助管理员及时发现校园网面临的各种入侵行为，从而避免校园网遭受实质性的破坏和损失。

3、应用分布式网络杀毒系统解决网络病毒入侵问题

为保护校园网主机免受计算机病毒的侵害，建立一个统一、高效的病毒防控机制，需要在校园网上应用基于网络的病毒防控技术。该技术可在网络的各个环节上实现对计算机病毒和防范，包括网关、服务器和用户桌面主机，结合在校园网中设置的中央控制台，可对网络中所有主机进行集中防控配置，并实现对系统进行统一的升级和管理，从而大大提高了整个网络对病毒的防控能力。

4、应用漏洞扫描技术对系统进行安全评估

借助漏洞扫描技术，网络管理者可及时发现校园网潜在的安全隐患，并加以必要的修补，从而减小网络被攻击的可能。漏洞扫描技术可帮助网络管理者准确掌握网络的安全现状，及时发现安全漏洞，并提出具体的解决办法和建议。

具体可在校园网合适位置设立专门的安全分析工作站，定期从各个角度对校园网进行全方位的漏洞分析扫描，找出问题并且给出安全性建议，以便系统管理者及时堵住系统安全漏洞。另外，为避免补丁程序更新不及时或其它意外因素，对重大的漏洞补丁程序，以传统的网络公告方式发布并提供直接下载，可有效地避免恶性安全事件的大范围发生。

5、应用虚拟局域网（VLAN）技术解决敏感资源保护问题

虚拟局域网使网络管理者可根据实际应用需求，把处在同一物理局域网中的不同用户按照某种方法划分到不同的逻辑区域中，就如他们身处不同的物理网络一样。

采用虚拟局域网技术可突破物理网段的限制，灵活建立不同部门或类型的网络，对彼此间的网络通信进行隔离，在提高网络通讯效率的同时，大大提高了网络整体安全性，并简化了网络管理，便于网络的调整和扩展。

通过虚拟局域网技术，可将对安全性要求较高的部门，如财务部门和专业教学和管理部门划分到不同的VLAN中，各部门内部所有的服务器和用户主机都在各自的VLAN内，互不侵扰。VLAN内部的连接采用交换方式实现，而VLAN间的连接则采用路由器或三层交换机实现，并可通过访问控制列表（ACL）对网间连接进行监控，从而提升整个校园网安全性能。

为了解决地址盗用和基于MAC地址的攻击问题，可以采用IP地址、MAC地址及交换机端口等多重绑定方法，最大限度保证VLAN网络的安全。

6、应用双机热备份技术解决备份与恢复问题

对于整个网络来说，无论单独一台网络服务器如何可靠，依然存在单点故障，只要它有失效的可能性，那么该网络仍然是一个不可靠的网络。要提高网络的可靠性，不但要提高单台服务器的可靠性，还应采用服务器容错技术，来消除网络至少是主干网络上的单点故障。

校园网中心服务器存储着大量教学课件、学生数据、电子图书和学校办公信息等重要数据，对内提供数据库、WEB、Email等综合办公教学服务，对外发布公开信息服务，因而其安全稳定性要得到确保。可采用双机热备份技术，对网络中心服务器等需要具体高可用性的节点，同时准备两台机器进行双机热备份。当其中一台发生故障时，另一台能够快速地接替故障机的工作，从而保障校园网的正常运行。

三、校园网安全系统的设计与实现

基于对当前网络安全问题的分析，在某中型职业类院校的网络安全系统中，主要进行了如下的设计和实施：

1、防火墙与入侵检测

在网络攻击防范方面，该方案采用神州数码公司的DCFW-1800E硬件防火墙，将其部署于校园网的出口位置。在实际应用中，DCFW-1800E能很好的实现校园网与外部网络的隔离。它支持状态检测包过滤、数据包内容过滤、双向透明代理、双向地址转换、端口映射等功能，通过合理的配置，可有效的对出入校园网的数据包进行检查、过滤和转换；在抵御网络攻击方面，它提供了抵御DoS和DDoS、ARP欺骗、SYN Flood等多种常见的网络攻击类型的能力；此外，它还内置了IDS、VPN、上网行为监测和Qos等功能，为网络安全系统的灵活运用提供了基础和保障。

2、网络防病毒系统

在校园网病毒防控方面，该方案选择了瑞星网络杀毒软件企业版。该系统可通过瑞星管理控制台对网络上所有服务器和客户主机的防病毒系统进行远程安装、设置、管理和维护，并可实现对全网的各类本地存储器、网络共享文件夹、邮件系统和各类压缩文件进行统一的病毒扫描、监控和查杀，做到统一部署，统一行动，不留死角。

3、防止校园网内部攻击

由于校园网内部的用户可以直接访问内部网络，并拥有相对较多的权限，因此需要对内部网络进行适当的划分，并对用户的访问权限进行限制，以提高内部网络的安全性。

（1） 通过划分虚拟局域网（VLAN），限制不同区域之间的访问。例如，可在该校行政区域的汇聚层交换机上，通过划分VLAN，实现各部分之间的隔离，以财务部门为例，配置命令为：

Switch（config）#vlan 100

Switch（config-vlan）#name caiwu

Switch（config）#interface range fastEthernet 0/1-8

Switch（config-if-range）#switchport access vlan 100

（2） 应用访问控制列表，在汇聚层交换机或路由器上应用访问控制列表，限制用户对一些敏感主机的访问。

例如：在汇聚层交换机上配置以下命令：

Switch （config）#ip access-list extended denystudentwww

Switch （config-ext-nacl）#deny tcp 192.168.50.0 0.0.0.255 211.69.16.0 0.0.0.255 eq www

Switch （config-ext-nacl）#permit ip any any

Switch （config）#int vlan 50

Switch （config-if）#ip access-group denystudentwww in

可以实现拒绝192.168.50.0/24 网段上的终端用户访问211.69.16. 0/24 网段上的Web 服务。

（3） 对于一个使用DHCP功能来自动分配IP地址的校园网，防范用户随意变更自身IP地址和私设DHCP服务器也是一个网络安全、稳定运行的保证，在这方面，可使用交换机的 DHCP Snooping 和 IP Source Guard功能。使用DHCP Snooping功能，可以防止用户在网络中私设DHCP服务器；使用 IP Source Guard功能，可保证只有经过绑定的主机才能正常使用网络资源。

相关配置如下：

第一步，开启DHCP Snooping功能。

Switch （config）#ip dhcp snooping

第二步，将上链口设置为DHCP SNOOPING信任口。

Switch （config）#interface gigabitEthernet 0/1

Switch （config-if-GigabitEthernet 0/1）#ip dhcp snooping trust

第三步，在直连用户机的端口上开启IP Source Guard功能

Switch（config）#interface range gigabitEthernet 0/2-3

Switch（config-if-range）#ip verify source port-security

第四步，配置静态绑定用户

Switch （config）#ip source binding 0000.0000.0001 vlan 1 192.168.50.4 interface gigabitEthernet 0/2

4、安全认证和审计系统

为了实现对校园网用户的安全认证和审计，可在校园网各级交换机上启用802.1x访问控制和认证协议，结合安全管理平台如锐捷网络公司的RG-SMP，实现对用户的安全认证，并可对内网安全进行审计。如果在校园网出口位置架设上网行为管理设备，还能对内部用户出入外网的网络行为进行审计过滤，并使用网页或短信形式及时向管理员发送安全通告。

四、校园网安全系统应用效果

通过应用实践表明，对校园网安全系统合理的设计和部署，是保障校园网平稳、可靠运行的基础和保障：

（1） 防火墙、入侵检测系统等的应用，可以预防和阻止大部分网络攻击行为的发生；

（2） 网络化的病毒防护系统可有效控制病毒在校园网上的传播；

（3） 虚拟局域网技术可控制跨部门、跨区域的网络访问，提升了网络整体安全性，也提高了整个网络的运行效率，方便对网络进行管理和维护；

（4） 认证和审计系统能确认校园网的使用人群，并通过对用户上网行为的查询、分析及统计，清晰地反映校园网的实际使用情况，为网络管理和优化提供了参考和依据；

（5） 通过双机热备份技术，可以有效提升校园网关键服务的可靠性，保障校园网各类服务的持续、稳定运行。

参考文献

[1] 夏栋梁，刘玉坤.校园网安全系统的设计与实现[J].网络安全技术与应用，2011，（9）：17-19

[2] 李海军.校园网络体系中核心网的安全系统设计与实施[J].自动化与仪器仪表，2012，（6）：197-198

[3] 冀鑫.校园网安全威胁及安全系统构建探讨[J].计算机光盘软件与应用，2012，（19）

[4] 陈智慧.网络安全技术在校园网中的进一步应用与分析[J].沿海企业与科技，2009，（1）：180-封3