數字化校園網絡安全初探

吳　瓊　曾曉亮

摘要：從校園網絡的邏輯安全角度進行探討。找出安全存在的隱患，從而建立一套有效的校園網絡安全機制。

關鍵詞：網絡安全安全隱患安全策略設計

1校園網絡安全策略設計

校園網絡拓樸結構如圖1。

校園網中的安全隱患大致來自以下五個方面：

1．校園網通過與Internet相聯，在享受Internet方便快捷的同時，也面臨著遭遇攻擊的風險；2．目前使用的操作系統存在安全漏洞，對網絡安全構成了威脅；3．校園網內部也存在很大的安全隱患，由于內部用戶對網絡的結構和應用模式都比較了解，因此來自內部的安全威脅更大一些；4．隨著校園內計算機應用的大范圍普及，接入校園網節點日漸增多，而這些節點大部分沒有采取一定的防護措施，隨時有可能造成病毒泛濫、信息丟失、數據損壞、網絡被攻擊、系統癱瘓等嚴重后果；5．限于學院數字化的進程，目前的網絡防護體系中還缺少硬件級防火墻這一防護環節，即沒有對內部網和外部網進行有效的隔離，入侵就很難避免。

提出兩種方案可供選擇：

方案一：智能防火墻型。即用一臺智能防火墻，成為內外網之間一道牢固的安全屏障。其中WWW、E-mail、FrP、DNS等對外服務器連接在防火墻的DMZ區，與內外網間進行隔離，內網口連接校園網內網交換機，外網口通過路由器與Internet連接。那么，通過Internet進來的公眾用戶只能訪問到對外公開的一些服務(如WWW、E-mail、FTP、DNS-等)，既保護內網資源不被外部非授權用戶非法訪問或破壞，也可以阻止內部用戶對外部不良資源的濫用，并能夠對發生在網絡中的安全事件進行跟蹤和審計。這一方案的優點是在實際應用中，對用戶的“透明度”較高，便于管理和控制，而缺點就是價格昂貴，不易被一般用戶所接受。

方案：網絡層防火墻+代理服務器。即把網絡層防火墻和應用層防火墻綜合在一起。因為網絡層防火墻具有速度快、費用低、對用戶透明等優點，但是它對網絡的保護很有限，因為它只檢查地址和端口，對網絡更高協議層的信息無理解能力，特別是對于應用層上的黑客行為無能為力，而應用層防火墻(主要為代理服務器)有較好的訪問控制，目前存在HTFP、TELNET、FrP、POP3和GOPHER等代理服務器，并且這些服務只需要一個代理服務器就可以實現。這一方案的優點是費用低，性價比較高，而缺點是“透明度”較低，需要由經驗相對豐富的管理人員進行管理，即對管理人員的要求較高。

由此看來，兩種方案各有千秋，應用中可以根據自身實際進行選擇，在此，我們從性價比和實際情況的角度考慮，選擇方案二。選擇好了防火墻，還應對其進行正確配置才能充分發揮其安全防護的性能，在防火墻設置上我們按照以下配置原則來提高網絡安全性：1．根據校園網安全策略和安全目標，規劃設置正確的安全過濾規則，規則審核IP數據包的內容包括：協議、端口、源地址、目的地址、流向等項目，嚴格禁止來自公網對校園內部網不必要的、非法的訪問；2．將防火墻配置成過濾掉以內部網絡地址進入路由器的IP包，這樣可以防范源地址假冒和源路由類型的攻擊，過濾掉以非法IP地址離開內部網絡的IP包，防止內部網絡發起的對外攻擊；3．在防火墻上建立內網計算機的IP地址和MAC地址的對應表，防止IP地址被盜用；4．定期查看防火墻訪問日志，及時發現攻擊行為和不良上網記錄；5．允許通過配置網卡對防火墻設置，提高防火墻管理安全性。

2檢測系統的部署

數字化校園網中包含有：入侵檢測系統部署、網絡安全檢測系統部署和殺毒產品部署等。

入侵檢測能力是衡量一個防御體系是否完整有效的重要因素，因為防火墻的策略都是事先設置好的。無法動態設置，缺少針對攻擊的必要性和靈活性，不能更好的保護網絡的安全，所以部署IDS并使IDS與防火墻聯動的目的就是為了更有效地阻斷所發生的攻擊事件，從而使網絡隱患降至較低限度。根據學院網絡的特點，我們采取思科公司的網絡IDS和主機并用的措施。具體來講就是將思科IDS入系統集入侵檢測、網絡管理和網絡監視功能于一身，能實時捕獲內外網之間傳輸的所有數據，利用內置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網絡上發生的入侵行為和異常現象，并在數據庫中記錄有關事件。作為網絡管理員事后分析的依據，如果情況嚴重，思科IDS還會發出實時報警，使得學校管理員及時采取應對措施。

在網絡安全檢測系統上我們考慮采用網絡安全檢測工具如SATAN等定期對工作站、服務器、交換機等進行安全檢查，并根據檢查結果向系統管理員提供詳細可靠的安全性報告，為提高網絡安全整體水平提供重要依據。

殺毒產品部署上我們采用了瑞星網絡版的殺毒產品，為了達到要在整個局域網內病毒感染、傳播和發作這一目的，我們在整個網絡內可能傳播病毒的地方采取相應的防病毒手段。同時為了有效、快捷地實施和管理整個網絡的防病毒體系。應能實現遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能，我們提出以下建議：

1．在學校網絡中心配置一臺高效的Windows2000服務器，負責管理多個主機網點的計算機：2．在各行政、教學單位等多個分支機構分別安裝殺毒軟件；3．管理員在安裝完殺毒軟件以后，要由網絡中心系統定期、自動地到網站上獲取最新的升級文件，自動將更新的升級文件分發到其它各個主機網點的客戶端與服務器端，并對殺毒軟件進行更新。

3結束語

可以預見，隨著計算機技術和通信技術的發展，計算機網絡不會僅局限于數字化校園，還將日益成為信息交換的重要手段，滲透到社會生活的各個領域，因此，認清網絡的脆弱性和潛在的隱患，采取強而有力的安全策略，對于保障網絡的安全性將變得越來越重要。