如何利用ＶＬＡＮ技術保障校園網內網安全

摘要：該文以湖南交通職業學院的校園網為背景，從校園網內網安全威脅的特點和攻擊原理入手，解析了如何利用VLAN技術保障校園網內網安全。

關鍵詞：VLAN技術；校園網；內網安全

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)23-913-02

How to Support Campus Net the Net Security Use VLAN Technical

WANG Fang

(Hunan Traffic Professional Technical Institute，Changsha 410004，China)

Abstract: Take the Hunan transportation professional institute's campus net as a background， from the campus net the net safe threat characteristic and attack principle obtaining， how analyzed has used in the VLAN technical support campus net the net security.

Key words: VLAN technology; Campus network; In net security

隨著IT業的飛速發展，人類社會步入了信息化社會，迅捷的信息流已成為人們生活、工作不可或缺的元素。互聯網絡作為信息化社會的一個重要組成部分，從1983年誕生的整合TCP/IP協議的BSD UNIX到今天的CIEA，它進步的速度更是讓其他任何事物都不可逾越。對于學校而言，以往價格高昂的Internet接入和組網在今天都不再是奢侈的要求。但是隨著校園網建設的快速發展和校園網應用的不斷深入，人們逐漸開始關注一個曾經被忽視的問題，也就是校園網的內網安全問題。如何才能提升校園網內網安全級別？在這里我將結合工作中的一點實際經驗介紹一下VLAN技術在內網安全中起到的重要作用。

1 什么是內網安全

一提到網絡安全，人們往往會想到在網關或者網絡邊界等方面的防御，其實不然，來自網絡內部的計算機客戶端的安全威脅更眾多管理人員所頭疼的問題。那什么是內網呢？內網即Intranet，是相對于外網Extranet而言的。廣義而言，所有黨政機關、企事業單位的內部網絡都稱為內網。另外光纖到樓、小區寬帶、教育網、有線電視Cable Modem上網雖然地域范圍比較大但本質上還是基于以太網技術，所以仍然屬于內網。在這里我們只討論前者。內網安全主要是指源于內部網絡的攻擊，或者外網終端控制局域網絡內部某臺Server，然后以此為基地，對內網或Internet上的其他主機發起惡性攻擊。

2 影響校園網內網安全的幾大因素

由于校園網絡大、用戶群密集、應用覆蓋很廣泛， 一旦網絡中出現安全問題，起初會很難發現，在計算機的相互影響下，故障會迅速蔓延，由點故障轉變為面故障，并且故障定位會非常麻煩。往往處理不及時，會造成大面積癱瘓、業務停滯，給學校的教學工作和正常上網帶來巨大的影響。形成校園網內網安全威脅的源頭來自于以下幾個方面：

2.1 人為惡意攻擊

校園網的大部分用戶是學生，這個龐大群體精力旺盛，好奇心強，具有一定的專業知識。為體現自我價值，他們在網上學習各種黑客技術，入侵內網服務器，篡改其數據、訪問非法資源、破壞系統，影響正常教學；利用木馬控制其他主機，竊取他人隱私、盜取游戲帳號。然則，已經那些已經被入侵控制的計算機，由于已經被注入木馬，有可能再次被外網的專業黑客所利用，來對校內服務器，甚至外網的一些商業服務器，謀取非法利益。由此可見，內網的人為惡意攻擊帶來的威脅是巨大的，他的破壞力遠遠超乎想象。

2.2 病毒肆意泛濫

2001年作為新世紀的第一年，注定是不平凡的一年——當個人計算機迎來它的20歲生日的同時，惡毒的“CAM先生”病毒和“紅色代碼”病毒通過網絡襲擊了全球的計算機系統，給人類帶來巨大損失。

經過7年的磨練，安全軟件不斷進步，網絡病毒種類亦愈來愈多。大體傳播途徑分為兩種，一種是病毒本身不具備復制功能，他們通過廣播散播到網段內每個主機，當這個主機存在系統漏洞時，病毒馬上侵占該主機，并在局域網內以廣播方式繼續傳播，這類病毒的特點的是：傳播速度快、影響范圍廣、主要破壞網絡的互聯互通；另一種是通過隱藏在正常的軟件中，通過用戶下載安裝，同時植入系統，再在用戶不知情的情況下，自動從網絡上下載其他惡性病毒并植入系統，這類病毒的特點是：主機上往往有數百種病毒，破壞力極強。

2.3 系統漏洞百出

目前校園網內的絕大部分終端都是用的Microsoft的操作系統，在Windows 9X之后的版本，微軟公司大大加強了操作系統的網絡功能，這也給操作系統帶來了更多的隱患。據統計，微軟的Windows操作系統平均每天有7個漏洞被發現，而各種各樣的病毒和黑客軟件也就是從這些漏洞入手。如：“沖擊波病毒”利用微軟的RPC漏洞發起攻擊，黑客利用最多的是IE瀏覽器安全漏洞。所以，在你愉快的工作或娛樂的時候，操作系統可能就已經背叛你，成為它們的幫兇。現在，黑客和病毒仍然在發掘其他的途徑入侵主機，有跡象表明，它們越來越熱衷于利用時下最為流行的應用軟件漏洞進行掛馬，例如一些播放器軟件漏洞、聊天工具漏洞、網絡電視軟件漏洞。

2.4 管理控制松懈

校園網是為提高學校教學和科研質量、加快信息化建設、開展多媒體教學與研究、改善教學和科研條件應運而生的。為了滿足這些要求，校園網必然是一個應用高度密集的區域。

由于需求不同，每個應用系統可能都是由不同的公司或個人開發，對應用中的一些涉密信息無法形成統一的管理。而內部員工作為這些應用的使用者，擁有不同等級的權限，在管理機制不健全的情況下，隨意把系統口令泄露給他人、涉密信息隨意存放、系統口令設置過于簡單、沒有指定專門管理系統的計算機，都有可能會導致系統涉密數據被非法篡改、刪除和復制。總之，管理上的漏洞帶來的威脅，由于可以逃避網絡邊界的安全設備監控，并且表面上看來是合法的，其危害遠大于來自外網的攻擊。

3 利用VLAN技術建立內網安全防護屏障

我院校園網擁有一條電信100M出口，一條教育網10M出口，核心交換機使用華為S8505，主干采用千兆以太網技術，光纖以星形方式敷設到每一棟樓宇。目前校園網覆蓋包括：辦公樓、圖書館、教師宿舍、學生宿舍、教學樓等24棟樓宇。

3.1 合理的VLAN劃分

為保證校園網的24小時不間斷運行，降低網絡故障影響范圍，減少由廣播引起的網絡瓶頸，在VLAN設計時，我們要求每個VLAN不超過64臺主機，并根據校園網用戶上網場所，將他們粗略劃分為中心機房、學生宿舍、教工宿舍、辦公大樓、多媒體教室、教學機房六大類。具體VLAN劃分如下：

1)中心機房：學院的中心機房放置的是非常重要的應用服務器，根據他們業務的不同，將他們劃分為六個VLAN：WEB服務器，防病毒、自動更新服務器、計費系統、OA辦公、視頻服務、其他各種管理系統一個VLAN。

2)學生宿舍：由于用戶密集度高，上網場所相對固定，學生上網行為很難受控，病毒大面積爆發機率較大，所以我們按照每層樓一個VLAN進行劃分。

3)教工宿舍：教工用戶密度相對較低，每棟樓不會超過48個用戶，我們將每棟樓劃分為一個VLAN。

4)辦公大樓：由于辦公用戶部門與部門之間有不同的需求，訪問的資源也不同，并考慮到日常辦公中有很多的移動終端，上網場所不固定。我們結合基于端口的VLAN和基于MAC的VLAN，將他們按照職能部門的不同進行VLAN劃分。

5)多媒體教室：我院多媒體教室相對集中，數量在50間以內，本可以劃分在一個VLAN里面，但我們考慮到多媒體教室的終端使用者不固定，USB存儲設備使用較多，無法控制學生完全不接觸終端，并且終端是否正常運行直接影響到日常教學。我們將多媒體教室的計算機每臺劃分一個VLAN。

6)教學機房：我們將不同部門的教學機房劃分一個VLAN，并由網絡中心分配一個或多個IP地址給不同教學機房，每個教學機房再通過ISA做代理或NAT接入校園網，較大的教學機房內部再通過ISA按教室劃分VLAN。

3.2 華為EAD結合Guset-Vlan降低內網風險

我院除教學用計算機以外的所有計算機都必須通過802.1X認證才能接入校園網。假設有一臺PC-A是在VLAN 10，防病毒、自動更新服務器等在VLAN 100，將VLAN 100設置為Guest-Vlan。首先，PC-A進性802.1X認證準備接入校園網，這時EAD會對其進行身份驗證，當發現是非法用戶，會將其強制下線。通過身份驗證之后并不會馬上接入校園網，會進一步進行安全認證。EAD通過用戶安全客戶端、網絡設備、第三方軟件聯動，根據網絡管理定制的安全策略，對PC-A的殺毒軟件安裝運行情況、病毒庫更新情況、系統補丁安裝情況、軟件的黑白名單等內容的檢查。當其安全認證失敗時，EAD會將PC-A強制隔離到Guest-Vlan中，此時PC-A只能訪問Guest-Vlan中的資源，在Guest-Vlan中通過第三方服務器進行自身安全修復，直到完全達到EAD所要求的安全級別，PC-A準入校園網。整個接入過程如3.3 配置基于VLAN的訪問控制列表

合理配置基于VLAN的訪問控制列表，有效阻斷不需要互訪的VLAN之間的聯系。我院所有上網用戶除了可以訪問校園網服務器所在的VLAN與Internet以外，各個VLAN在邏輯上是斷開的，不同VLAN 之間的用戶無法互訪，杜絕有意或無意的相互攻擊。

在辦公網，財務處作為一個重要機構，數據安全要求極高，在校領導有訪問財務數據的需求下，可以通過VPN撥號接入財務內部網訪問財務數據，大大提高安全性。服務器所在的VLAN，配置只允許訪問應用服務器所必須開放的幾個端口，把可攻擊服務器的途徑縮減到最少。

4 結束語

目前各種各樣號稱功能巨大的內網安全設備充斥著市場，其價格之不菲暫且不說，可能用的時候還達不到預期效果。與其這樣，我們還不如利用廉價而成熟的VLAN技術從問題的根源入手，將病毒攻擊、黑客攻擊扼殺在搖籃中，盡量減少內網安全威脅。

參考文獻：

[1] 馬穎.VLAN技術及其在校園網內的應用[J].鄭州鐵路職業技術學院學報，2004，(03):28.

[2] 彭偉.Guest Vlan在校園網絡中的應用[J].計算機應用與軟件，2007，24(03):117-118.

[3] 彭濤.淺談校園網絡的安全設計與管理[J].重慶教育學院學報，2007，20(3):67-70.

[4] 張裔智.Vlan技術在校園網中的應用及研究[J].電腦知識與技術（學術交流），2007，(11):1233-1235.