校園網(wǎng)安全概述及防范策略

鐘文基

摘 要：校園網(wǎng)和一般的網(wǎng)絡(luò)相比，具有一定的特殊性，高校校園網(wǎng)的用戶主要是在校大學(xué)生和教學(xué)科研人員，其中數(shù)量龐大的大學(xué)生用戶，因為知識水平較高，求知探索欲較強，更容易對網(wǎng)絡(luò)造成破壞。該文主要介紹了有關(guān)校園網(wǎng)安全的特點，校園網(wǎng)面臨的主要威脅，安全防范的方法，通過部署網(wǎng)絡(luò)防火墻，劃分虛擬局域網(wǎng)、建立虛擬專用網(wǎng)、在出口路由器實施NAT、MAC地址綁定等方法進行網(wǎng)絡(luò)安全防范。

關(guān)鍵詞：校園網(wǎng)安全 vlan技術(shù) 網(wǎng)絡(luò)地址轉(zhuǎn)換 端口安全

中圖分類號：G717 文獻標識碼：A 文章編號：1672-3791（2016）12（b）-0198-02

1 校園網(wǎng)安全特點

校園網(wǎng)和一般的網(wǎng)絡(luò)相比，具有一定的特殊性，高校校園網(wǎng)的用戶主要是在校大學(xué)生和教學(xué)科研人員，其中數(shù)量龐大的大學(xué)生用戶，因為知識水平較高，求知探索欲較強，更容易對網(wǎng)絡(luò)造成破壞。在此環(huán)境下，校園網(wǎng)安全顯得尤為重要。

校園網(wǎng)的安全主要來自外網(wǎng)安全和內(nèi)網(wǎng)安全兩方面，外網(wǎng)的威脅，主要有黑客發(fā)起的DDos攻擊、網(wǎng)站掛馬、網(wǎng)絡(luò)病毒、信息竊取等；對于內(nèi)網(wǎng)，病毒攻擊、廣播風暴、漏洞掃描、內(nèi)網(wǎng)滲透、非授權(quán)訪問等，更容易對網(wǎng)絡(luò)造成破壞。

2 校園網(wǎng)安全防范

2.1 部署網(wǎng)絡(luò)防火墻

防火墻是連接網(wǎng)絡(luò)內(nèi)外網(wǎng)之間的堡壘，安全系數(shù)高的防火墻能夠起到抵抗外網(wǎng)黑客攻擊，保護內(nèi)網(wǎng)的作用。防火墻一般部署在網(wǎng)絡(luò)的邊界，起到隔離內(nèi)外網(wǎng)的作用。外網(wǎng)黑客想要入侵內(nèi)網(wǎng)，首先需要入侵者穿越防火墻設(shè)置的安全防線，才能接觸內(nèi)網(wǎng)的目標主機。

2.2 劃分VLAN

VLAN（Virtual Local Area Network）虛擬局域網(wǎng)，在校園網(wǎng)中，把不同部門劃分到不同VLAN中，通過訪問控制列表限制不同部門之間的訪問，提高了安全性。另一個方面，不劃分VLAN，整個交換機都處于一個廣播域中，任何一臺PC發(fā)送的廣播報文都能傳送至整個廣播域，占用了大量的網(wǎng)絡(luò)帶寬，劃分VLAN后，縮小的廣播域的大小，進而縮小了廣播報文能夠到達的范圍，提升了網(wǎng)絡(luò)性能。

劃分VLAN的部分代碼如下：

（1）劃分VIAN。

Switch#vlan data //進入VLAN數(shù)據(jù)庫模式

Switch（vlan）#vlan 31 name jiaowuchu //添加VLAN 31，名字為jiaowuchu

Switch（vlan）#vlan 32 name caiwuchu //添加VLAN 32，名字為caiwuchu

（2）把端口分配到VIAN中。

Switch（config）#int gigabitEthernet 1/1 //進入端口配置模式

Switch（config-if）#switchport access vlan 31 //把端口G1/1添加到VLAN 31中

2.3 實施NAT

實現(xiàn)安全防護的另一個強大的技術(shù)就是NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）。實施網(wǎng)絡(luò)地址轉(zhuǎn)換能隱藏內(nèi)網(wǎng)的IP地址，整個內(nèi)網(wǎng)統(tǒng)一以一個公網(wǎng)IP訪問互聯(lián)網(wǎng)，使得黑客無法了解校園網(wǎng)的網(wǎng)絡(luò)拓撲結(jié)構(gòu)和IP地址規(guī)劃，同時，通過網(wǎng)絡(luò)地址轉(zhuǎn)換后訪問外網(wǎng)，能節(jié)省大量IP地址。

（1）超載NAT的部分代碼如下。

Router（config）#int fa0/0//進入fa0/0端口配置模式

Router（config-if）#ip nat outside//指定該端口為連接外網(wǎng)的端口

Router（config-if）#int fa0/1//進入fa0/1端口配置模式

Router（config-if）#ip nat inside//指定該端口為連接內(nèi)網(wǎng)的端口

Router（config）#ip nat pool gxsdxy 124.227.192.162 124.227.192.164 netmask 255.255.255.248//定義一個名字為gxsdxy的地址池，用于NAT地址轉(zhuǎn)換

Router（config）#access-list 1 permit 192.168.1.0 0.0.255.255//定義1條ACL

Router（config）#ip nat inside source list 1 pool gxsdxy overload//定義超載NAT，是內(nèi)部計算機能上網(wǎng)。

（2）靜態(tài)NAT的部分代碼如下。

Router（config）#ip nat inside source static tcp 192.168.8.1 80 200.10.10.2 80//定義一條靜態(tài)nat映射，允許外網(wǎng)用戶使用200.10.10.2的地址訪問服務(wù)器192.168.8.1的web服務(wù)。

2.4 其他安全防范措施

對于網(wǎng)絡(luò)安全防范，除了以上幾點基本的措施之外，還有很多其他措施，例如：

（1）網(wǎng)卡物理地址過濾策略。

因為網(wǎng)卡的物理地址具有惟一性，在交換機中對網(wǎng)卡物理地址進行過濾，可在一定能夠程度上限制不合法PC的訪問。

交換機MAC地址過濾的代碼如下：

Switch（config）#int fa0/1 //進入交換機的fa0/1端口

Switch（config-if）#switchport mode access //把端口設(shè)置為接入模式

Switch（config-if）#switchport port-security //啟用端口安全

Switch（config-if）#switchport port-security maximum 1 //該端口最多允許接入1個PC

Switch（config-if）#switchport port-security violation protect //出現(xiàn)違規(guī)行為后禁止非法的地址接入

（2）部署IDS。

通過部署IDS（Intrusion Detection and managerment Systems，入侵檢測系統(tǒng)），能實時發(fā)現(xiàn)、記錄、統(tǒng)計和分析網(wǎng)絡(luò)中的安全事件；能結(jié)合地址定位等手段確定威脅來源；能像用戶提供詳細、可操作的時間處理指導(dǎo)意見，指導(dǎo)用戶調(diào)整網(wǎng)絡(luò)安全策略和防護手段；能對歷史數(shù)據(jù)進行分析，檢驗網(wǎng)絡(luò)安全整體水平。

（3）部署IPS。

通過部署IPS（Intrusion Prevention System，入侵防御系統(tǒng)），能檢測到攻擊，并且IPS會在這種攻擊擴散到網(wǎng)絡(luò)的其它地方之前阻止這個惡意的通信。

（4）及時安裝系統(tǒng)漏洞補丁。

校園網(wǎng)內(nèi)用戶使用的系統(tǒng)，主要是微軟的Windows系統(tǒng)，相比Unix，Linux而言，Windows的系統(tǒng)漏洞相對較多，危害較重，及時安裝系統(tǒng)補丁，能防范病毒及黑客利用系統(tǒng)漏洞入侵系統(tǒng)，給系統(tǒng)甚至網(wǎng)絡(luò)帶來各種問題。

3 總結(jié)

該文主要對校園網(wǎng)設(shè)計中重要的部分——網(wǎng)絡(luò)安全的設(shè)計，做了闡述。分析了網(wǎng)絡(luò)安全的特點、面臨的威脅，對網(wǎng)絡(luò)安全的設(shè)計，提出了部署防火墻、劃分虛擬局域網(wǎng)、實施NAT等多種方法。

參考文獻

[1] 朱雁輝.防火墻與網(wǎng)絡(luò)封包截獲技術(shù)[M].電子工業(yè)出版社，2002.

[2] 信息管理系列編委會.網(wǎng)絡(luò)安全管理[M].中國人民大學(xué)出版社，2003.

[3] 張紅旗.信息網(wǎng)絡(luò)安全[M].清華大學(xué)出版社，2002.

[4] 朱理森，張守連.計算機網(wǎng)絡(luò)應(yīng)用技術(shù)[M].北京：專利文獻出版社，2001.

[5] 許治坤，王偉，郭添森，等.網(wǎng)絡(luò)滲透技術(shù)[M].電子工業(yè)出版社，2005.