校園網安全訪問控制體系的構建

摘 要:構建完善實用的校園網安全訪問控制體系是防止黑客入侵以及網絡病毒攻擊，保證校園網安全、高效運行的前提和基礎。該方案結合TCP/IP模型，從下向上依層次對校園網及其應用系統進行了分析研究，找出可能遇到的各種風險，通過制定身份驗證、設置防火墻等有效的相應防御措施，打造出一個安全的校園網架構，有效防止與避免了由于各種原因導致的校園網數據丟失、被修改甚至系統癱瘓等事故的發生。近年來的實踐證明，該方案設計合理，能有效滿足校園網的安全需求。

關鍵詞:校園網; 網絡安全; 訪問控制體系; TCP/IP

中圖分類號:TN915-34; TP309文獻標識碼:A

文章編號:1004-373X(2010)17-0121-04

Construction of Security Access Control System for Campus Network

LIU Xiao-yun

(Xi’an Railway Vocational and Technical Institute， Xi’an 710014， China)

Abstract: The construction of perfect and practical campus-network security access control system is the premise and foundation to prevent the network hackers and virus attacks as well as guarantee the network safe and efficient operation. The analitical investigation on the campus network and application access control system from below to top according to level is carried out to find out all kinds of risks that may be encountered in combination with TCP/IP model. A safe and efficient operation framework was built by making the corresponding effective defensive measures of identity authentication and setting the firewall. With it， the accidents caused by the loss or the modification of the campus network's data and the breakdown of the system were effectively prevented or avoided. The actual application in recent years proves that the scheme is reasonable and can effectively meet the safety requirement of campus networks.Keywords: campus network; network security; access control system; TCP/IP

0 引 言

校園網的安全是網絡管理員面臨的最為迫切的問題，由于各種因素導致的校園網數據丟失、被修改或系統癱瘓時有發生。因此，在校園網絡及其信息系統中如何設置自己的安全措施，使它安全、穩定高效地運轉，發揮其應有的作用，成為各學校越來越重視的問題。

1 校園網拓撲圖

構建一個安全的訪問控制體系，需要對校園網架構有充分的認識和了解，分析各種各樣存在的問題或是可能出現的問題，以便迅速找到解決問題的途徑和方法。

從校園網絡的典型拓撲來了解架構，如圖1所示。

從拓撲圖可以看出將整個網絡細分為桌面應用區、交換區、服務群區、路由區、廣域網區等，每個部分發揮著不同的作用，這樣區分的好處就是方便管理。例如服務器區塊主要針對的是各種服務器的安全性、穩定性等。當然不同的校園網略有區別，雖然網絡結構看上去比較復雜，實質上都離不開網絡的模型，構建一個安全的訪問控制體系需要將各個部分的安全威脅降到最低。

2 網絡的層次模型

現代校園網基本上是基于TCP/IP協議作為模型。TCP/IP的模型從下向上各層名稱依次是:網絡接口層(物理層、數據鏈路層)、網絡互連層、傳輸層、應用層。

3 校園網面臨的安全威脅

了解了常用的校園網攻擊手段，才可有的放矢。而且隨著網絡技術的發展，新的攻擊手段也是層出不窮，在這里介紹一些常見的校園網的安全隱患，以便管理員及時查漏補缺。

3.1 物理層

保證計算機信息系統各種設備的物理安全是整個計算機系統安全的前提。最底層安全最薄弱，一旦受到威脅和破壞，那么在此層之上的其他網絡層次都將受到影響，它是網絡安全的基礎。

物理層主要考慮的是線路的安全、物理設備的安全、機房的安全等。

圖1 某大學校園拓撲圖

3.2 數據鏈路層

數據鏈路層對應的網絡設備主要是交換機，而且要防范校園網內部的整體安全，最好的方式是在交換機上進行控制。

(1) MAC 地址欺騙

將合法的MAC 地址修改成不存在的MAC 地址或其他計算機的MAC 地址，從而隱藏自己真實的MAC，來達到一些不可告人的目的，這就是MAC 地址欺騙。

前段時間非常流利的ARP攻擊就是基于這個原理，造成了網絡內部數據包的大量擁堵，非常多的用戶反映網絡很慢，經常掉線，大部分原因就是它所造成。

(2) STP攻擊

STP(Spanning Tree Protocle，生成樹協議)是交換機的正常運轉必不可少的協議，因此也成為被攻擊的一個重點。

(3) 接入點缺乏管理

隨著校園內計算機應用的大范圍普及，接入校園網節點日漸增多，而這些節點大部分都沒有采取相關的防護措施，隨時有可能造成病毒泛濫、信息丟失、數據損壞、網絡攻擊、系統癱瘓等嚴重后果。

3.3 網絡互連層

工作在這一層最主要的設備是路由器和三層交換機，因此大部分的攻擊及防御可以在此種設備上完成。

(1) IP地址欺騙、盜用

IP欺騙:盜用合法用戶的IP地址，隱藏自己的真正身份。IP欺騙和MAC欺騙相結合，偽裝成其他人進行網絡訪問。

比如常見到的IP地址沖突就很有可能是這種攻擊造成的，造成網絡中其他主機不能正常上網或是占用大量的資源，影響帶寬。

(2) IP掃描攻擊

目前發現的掃描攻擊有兩種:

目的IP地址變化的掃描，稱為“scan dest ip attack”。這種掃描最危害網絡，消耗網絡帶寬，增加交換機負擔;

目的IP地址不存在，卻不斷地發送大量報文，稱為“same des tip attack”。

3.4 傳輸層

傳輸層主要是面向連接和非面向連接的攻擊。網絡需要通信，通信必須要占用某個端口，而傳輸層主要是進行端到端的通信。

DoS/DDoS(拒絕服務攻擊/分布式拒絕服務攻擊):它是指故意攻擊網絡協議的缺陷或直接通過野蠻手段耗盡受攻擊目標的資源，目的是讓目標計算機或網絡無法提供正常的服務，甚至系統崩潰。

3.5 應用層

該層次的安全問題主要是由提供服務所采用的應用軟件和數據的安全性產生，包括Web服務、電子郵件系統、FTP等，此外還包括病毒對系統的威脅。

(1) 病毒攻擊

通過網絡傳播的計算機病毒無論是在傳播速度、破壞性和傳播范圍等方面都是單機病毒所不能比擬的。目前最流行的蠕蟲病毒，通過電子郵件、網絡共享或主動掃描等方式從客戶端感染校園網的Web服務器，改變網頁的目錄以繁衍自身，并通過發送垃圾郵件和掃描網絡，導致網絡的“拒絕服務”，嚴重時會造成網絡癱瘓。

(2) 操作系統和應用軟件的漏洞

大學網絡服務器安裝的操作系統大多是Windows NT/Windows 2000，Unix，Linux等，這些系統安全風險級別不同。Windows NT/Windows 2000的普遍性和可操作性使得它成為最不安全的系統:本身系統的漏洞、瀏覽器的漏洞、IIS的漏洞;Unix由于其技術的復雜性易導致高級黑客對其進行攻擊:自身安全漏洞(RIP路由轉移等)、服務安全漏洞、Unix自身的病毒等，這些都對原有網絡安全構成威脅。

(3) 垃圾郵件

垃圾郵件雖然不像病毒感染一樣是一種明顯的威脅，但它可以極快地淹沒用戶的收件箱，這就使得用戶難于查看合法的電子郵件。垃圾郵件問題已經相當嚴重，以至于用戶會放棄某個由垃圾郵件摧毀的電子郵件賬戶。垃圾郵件還是釣魚者和病毒制造者喜歡的傳播媒介。

(4) 內部隱患

由于內部用戶對網絡的結構和應用模式都比較了解，因此來自內部的安全威脅更大一些?，F在，黑客攻擊工具在網上泛濫，而個別學生的心理特點決定了其利用這些工具進行攻擊的可能性。

4 校園網的安全防御

針對前面提到的安全威脅，尋找與制定好的安全手段，提升校園網的安全性。

4.1 物理層

為了最大限度降低安全風險，提高意外情況下的恢復能力，需要完善規范的網絡管理制度，而且隨著環境的變化做相應的整改，以適應網絡發展的需要。

4.2 數據鏈路層

在交換機上劃分VLAN，做好各種安全配置。如果可能，可將MAC地址與端口綁定，可以有效避免或是減少ARP病毒的攻擊及MAC地址欺騙等。

4.3 網絡互聯層

在路由器配置各種安全策略，如ACL一類，現在很多網絡在與外網相連的接口上啟用NAT一類的技術，也可起到安全的效果。

禁PING，TRACERT之類的命令或HTTP服務等。

4.4 傳輸層

安全套接層(Secure Sockets Layer，SSL)及其繼任者傳輸層安全(Transport Layer Security，TLS)是為網絡通信提供安全及數據完整性的一種安全協議。TLS與SSL在傳輸層對網絡連接進行加密。

4.5 應用層

(1) Windows自動更新服務

下載Windows操作系統安全和穩定性補丁，在校園網上搭建一個專門的補丁服務器。Window系統補丁本地更新，不產生國際流量和相應的流量費用，校園網用戶享受免費的、高質量的Window系統補丁更新服務。

(2) 網絡防病毒系統

Symantec等防病毒系統是現在校園網或是企業網絡中比較常見的，使用戶桌面計算機安全得到保障。

(3) 郵件服務器

校園網郵件服務器安裝郵件網關，可以有效抵抗郵件攻擊，防垃圾郵件，過濾病毒和非法內容郵件等。

(4) 服務監控

實時了解服務器主機工作是否正常，實時了解關鍵服務是否運行正常，關鍵服務使用情況統計，監控WWW服務、FTP服務，及前面的補丁服務器、郵件服務器等。

(5) 身份驗證

身份驗證技術用于判斷對象身份的真實性，是校園網上信息安全的第一道屏障。除校園卡外，校園網上的身份驗證技術主要是口令機制:如各種開機口令、登陸口令、共享權限口令等。對這些口令的保護除建立嚴格的保密以外，口令的設置方法也非常重要。

盡管Internet網絡上存在眾多口令攻擊器，可能將口令破譯出來，但是一個合理的口令機制可使自己遭受黑客攻擊的風險降到一定限度以內。

(6) 設置防火墻

防火墻是設置在不同網絡之間的一系列軟硬件的組合，它在校園網與Internet網絡之間執行訪問控制策略，決定哪些內部站點允許外界訪問和允許訪問外界，從而保護內部網免受非法用戶的入侵。

(1) 根據校園網安全策略和安全目標，規劃設置正確的安全過濾規則，規則審核IP數據包的內容包括:協議、端口、源地址、目的地址、流向等項目，嚴格禁止來自公網對校園內部網不必要的、非法的訪問。

(2) 將防火墻配置成過濾掉以內部網絡地址進入路由器的IP包，這樣可以防范源地址假冒和源路由類型的攻擊;過濾掉以非法IP地址離開內部網絡的IP包，防止內部網絡發起的對外攻擊。

(3) 在防火墻上建立內網計算機的IP地址和MAC地址的對應表，防止IP地址被盜用。

(4) 定期查看防火墻訪問日志，及時發現攻擊行為和不良上網記錄。

(5) 允許通過配置網卡對防火墻設置，提高防火墻管理安全性。

(6) 入侵檢測系統部署IDS(Intrusion Detection System)。

入侵檢測能力是衡量一個防御體系是否完整有效的重要因素，強大完整的入侵檢測體系可以彌補防火墻靜態防御的不足。對來自外部網和校園網內部的各種行為進行實時檢測，及時發現各種可能的攻擊企圖，并采取相應的措施。入侵檢測系統集入侵檢測、網絡管理和網絡監視功能于一身，能實時捕獲內外網之間傳輸的所有數據，利用內置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網絡上發生的入侵行為和異?，F象，并在數據庫中記錄有關事件，作為網絡管理員事后分析的依據。

(7) 用戶管理

結合IP網關技術，避免一部分網絡攻擊，對訪問外網做到嚴格審查。

(8) 網絡管理

網絡流量監測系統能直觀地顯示網絡健康狀況、實施預警，實現定制的網絡拓撲圖，與已有的流量監控系統無縫集成，并將Top N主機/端口排名等，還有相應的在線用戶統計、超大流量IP報警、用戶IP日流量統計。

(9) 安全管理

“三分技術，七分管理”，安全管理是保證網絡安全的基礎，安全技術是配合安全管理的輔助措施。建立一套校園網絡安全管理模式，制定詳細的安全管理制度，如機房管理制度、病毒防范制度等，并采取切實有效的措施保證制度的執行。

5 結 語

校園網絡訪問控制體系策略的制定要針對網絡的實際情況(被保護信息的價值，被攻擊的危險性，可投入的資金等)，具體地對各種安全措施進行取舍。可以說，這是在一定條件下的成本和效率的平衡，其目標是使系統的性能比達到一個合理的水平。

參考文獻

[1]王湘渝，陳立.基于多層防護的校園網安全體系研究[J].計算機安全，2009(8):73-74，78.

[2]張立朝，于江，蘇錦海.一種新的內部網安全傳輸方案設計與實現[J].現代電子技術，2010，33(5):92-94.

[3]王偉，袁勝忠.校園網安全架構解析[J].中國教育網絡，2009(1):75-77.

[4]侯振興.高校校園網安全性建設淺析[J].內江科技，2008，29(3):86.

[5]牛合利，黃娜娜.淺議校園網安全與防范[J].中國科教創新導刊，2008(5):214-215.

[6]蔣萍.淺談校園網的建設和管理[J].科技信息，2009(18):186.

[7]吳婷.高校校園網的安全與管理維護[J].中國新技術新產品，2009(15):239.

[8]伍光喜.中小型校園網的安全解決方案[J].中國培訓，2010(2):53-54.

[9]趙耀，孫晉，何曉燕.高校校園網安全問題分析及整體解決體系的研究[J].華北煤炭醫學院學報2009，11(4):597-598.

[10]劉曉輝.網絡安全設計、配置與管理大全[M].北京:電子工業出版社，2009.