校園網絡安全環境分析及防范對策——以潮州黨校為例

摘要:該文介紹了潮州黨校校園網的概況，著重分析了非法入侵和攻擊、IP地址盜用、計算機病毒的威脅、網絡擁堵、未授權訪問、無線AP安全等校園網絡運行中出現的安全問題，有針對性地提出了相應的防范對策，確保了校園網絡的安全穩定運行。

關鍵詞:網絡安全;分析;防范對策

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)21-6124-03

1 潮州黨校校園網絡概況

潮州黨校校園網絡接入信息點共1200多個，采用三級交換星型拓撲結構，教學區、辦公區、宿舍區、賓館、會堂各樓宇間采用光纖連接，百兆到桌面，網絡中心主交換機采用華為H3C Quidway的S6503交換機，接入層采用華為3COM的E系列交換機，防火墻采用華為H3C QuidwayAR28-31防火墻，兼作路由器。教學區、辦公區、會堂IP地址采用靜態分配，宿舍區、賓館IP地址采用動態分配，辦公區、賓館各樓層均配備無線AP上網。目前，主要應用有:校園一卡通系統，數字圖書館，VOD視頻點播系統，捷信達酒店管理系統，FTP服務，E-mail服務等。

2 我校校園網運行中出現的安全問題

2.1 非法入侵和攻擊

由于校園網絡的開放性和技術的公開性，一些人出于種種目的，利用各種黑客工具非法入侵校園網，竊取網絡上的信息，比如用戶密碼或各種數據庫系統中的信息，甚至惡意刪除數據庫內容、傳播計算機病毒。還有一些計算機用戶，出于好奇心或為了展現自己的技術水平，采用各種非法技術手段對校園網進行惡意攻擊，推毀網絡節點，甚至造成網絡癱瘓，給校園網的正常運行帶來嚴重威脅。

2.2 IP地址盜用

隨著用戶的不斷增加，校園網中的IP地址盜用問題越來越突出，成為網絡管理人員頭痛的問題之一。一部分用戶沒有通過正常途徑申請合法IP地址，而是隨意指定IP地址，或直接冒用他人的合法IP地址，造成網絡內部地址的沖突，侵害了合法IP地址用戶的權益。常見的IP地址盜用方法有以下幾種:一是在TCP/IP配置中直接靜態修改IP地址;二是通過使用配置程序對網卡的MAC地址進行修改，進而成對修改IP-MAC地址對;三是直接編寫程序繞過上層網絡軟件，達到動態修改自己的IP地址。

2.3 計算機病毒的威脅

在網絡運行過程中，我們經常監測到各種計算機病毒的威脅，如果采取的防范措施稍有不慎，隨時都有可能造成病毒泛濫，進而造成計算機工作效率下降、數據或其它資源遭到破壞，甚至造成網絡系統癱瘓。特別是一些網絡病毒，專門攻擊網絡薄弱環節，尤其是網絡系統軟件，在設計時難免出現一些漏洞，網絡病毒就專門針對這些漏洞進行攻擊，讓網管人員防不勝防。

2.4 網絡擁堵

隨著Internet上多媒體資源的暴增，以及各種下載工具的使用，如BT、Emule等網絡資源下載工具，運行時都會占用大量帶寬，導致其它用戶上網速度變慢，甚至無法正常訪問。更有甚者，通過同步風暴等黑客工具，惡意占用大量帶寬，造成網絡擁堵，使用戶的合法訪問請求得不到響應。

2.5 未授權訪問

我校有部分應用系統并不完全對外開放，只允許有該權限的人訪問，如VOD視頻點播系統、數字圖書資源等，但在運行過程中，發現有外部網絡或內部網絡用戶利用各種技術手段避開系統訪問控制機制，對其進行非正常訪問，給系統的安全運行帶來嚴重威脅。

2.6 無線AP安全問題

我校在辦公區、賓館區各樓層都配備無線AP上網功能，這大大方便了教職工及賓館客人使用互聯網，但同時也帶來了新的安全問題。現在關于無線AP安全設置的破解工具非常多，從無線網信號的偵測、監聽到破解應有盡有，包括WEP加密、WPA加密、MAC過濾、SSID隱藏等，一些別有用心的人可以通過破解無線網進而攻陷整個校園網。

3 防范對策

3.1 針對非法入侵和攻擊，我們對防火墻做如下設置以提高其安全性

1) 根據校園網安全策略和安全目標，規劃設置正確的安全過濾規則，審核IP數據包的內容，包括協議、端口、源地址、目的地址、流向等項目，通過建立訪問控制列表等手段，嚴格禁止來自公網對校園內部網不必要的、非法的訪問。總體上遵從“不被允許的服務就是被禁止”的原則。同時，定期查看防火墻訪問日志，及時發現攻擊行為和不良上網記錄。

2) 將防火墻配置成過濾掉以內部網絡地址進入路由器的 IP 包，這樣可以防范源地址假冒和源路由類型的攻擊;過濾掉以非法 IP 地址離開內部網絡的 IP 包，防止內部網絡發起的對外的攻擊。因為黑客的一種慣用手段是修改報文，使報文的源地址成為他要攻擊的主機的同網段地址，利用這種辦法欺騙目標主機并取得目標主機的信任，達到其目的。

3) 為了防止拒絕服務攻擊，我們在防火墻上做了配置的調整，包括限制SYN半開數據包的流量和個數。并對系統設定相應的內核參數，使得系統強制對超時的SYN請求連接數據包復位，同時通過縮短超時常數和加長等候隊列使得系統能迅速處理無效的SYN請求數據包。在防火墻的前端做必要的TCP攔截，使得只有完成TCP三次握手過程的數據包才可進入該網段，這樣可以有效地保護本網段內的服務器不受攻擊。

4) 設立入侵檢測系統，對入侵事件進行審計追蹤。在入侵檢測系統中利用審計記錄，入侵檢測系統能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統的安全。對檢測到的攻擊行為，在其進行攻擊的時候，根據路由器的信息和攻擊數據包的特征，采用逐級回溯的方法來查找其攻擊源頭。并請有關網監部門配合，共同加以打擊。

3.2 針對IP地址盜用，采用地址綁定等手段加以防范

1) 靜態地址捆綁，我們知道，每塊網卡都有一個固定且唯一的物理地址，利用ARP命令就可以將某一IP地址與網卡的物理地址進行綁定，建立一種一一對應關系，一經綁定后，該IP地址就只能在特定的主機上使用，防止其它用戶盜用該IP。假如某一網卡的物理地址為:00-01-6C-47-25-AE，分配給它的IP是10.96.0.65 ，具體命令為:ARP-s 10.96.0.65 00-01-6C-47-25-AE 。

2) 動態配置MAC地址，按照OSI網絡七層結構，IP地址是用來標識網絡層以上的，在物理層和數據鏈路層是沒有意義的，在數據鏈路層是靠MAC地址來識別不同主機的，MAC地址一般是固化的，不能改動的，但在具體實現時，操作系統并不是沒發送一幀數據就從網絡適配器中讀取MAC地址一次，而是在系統特定的緩沖區中讀取，根據這一原理，也可以通過動態配置MAC地址來防止IP地址的盜用。

3.3 針對計算機病毒威脅，采用安裝網絡版殺毒軟件結合系統補丁升級加以解決

在構建網絡防毒系統實踐中，我們認為應選用全方位防病毒產品，實行“層層設防，集中控管，以防為主、防殺結合”的防毒策略，同時為了有效、快捷地實施和管理整個網絡的防病毒體系，要求應能實現“遠程安裝”、 “智能升級”、 “遠程報警”、 “集中管理”、“分布查殺”等多種功能，為此我們選用了金山的網絡版殺毒軟件。具體操作如下:

1) 在學校網絡中心配置一臺高效的 Windows2003 服務器，安裝一個金山殺毒軟件網絡版的系統中心，負責管理全校主機網點的計算機。

2) 在教學區、辦公區、賓館、會堂等地方的計算機分別安裝金山殺毒軟件網絡版的客戶端。

3) 安裝完金山殺毒軟件網絡版后，在管理員控制臺對網絡中所有客戶端進行定時查殺毒的設置，保證所有客戶端即使在沒有聯網的時候也能夠定時進行對本機的查殺毒。

4) 由網絡中心的系統中心定期地、自動地到金山網站上獲取最新的升級文件(包括病毒定義碼、掃描引擎、程序文件等)，然后自動將最新的升級文件分發到其它客戶端與服務器端，并自動對金山殺毒軟件網絡版進行更新。

另外，我們在日常管理維護中注意及時升級各種軟件的補丁程序，盡量減少軟件漏洞，提高整個校園網的安全性。

3.4 針對網絡擁堵，采用限制使用部分下載工具和限制速度解決

1) 利用網管軟件實現對上網行為、網絡、網關和系統的管理。在保證用戶正常使用網絡的同時，通過對嚴重占用網絡資源的BT、Emule等下載行為的限制，應對網絡資源濫用情況，保證網絡關鍵應用的正常運行，不致出現因網絡資源不足而導致的擁堵問題。

2) 路由器限制速度，通過超級終端連接路由器后，使用以下命令就可以限制下載和上傳的速度。

下載限速(200KB)

sys

int ethernet0/0

[huawei Ethernet0/0] qos car outbound acl 3100 cir 200000 cbs 200000 ebs 0 green pass red discard

[huawei Ethernet0/0]save

Y

上傳限速(100KB)

sys

int ethernet0/0

[huawei Ethernet0/0] qos car inbound acl 3100 cir 200000 cbs 200000 ebs 0 green pass red discard

[huawei Ethernet0/0]save

Y

3.5 針對未授權訪問，通過設立認證服務器結合劃分VLAN策略加以防范

1) 域認證服務器承擔著用戶網絡登錄、身份驗證以及網絡資源使用授權的功能，主要存儲用戶的身份驗證信息以及管理策略，因此，對穩定性和安全性方面有著很高的要求，我校通過設立兩臺服務器來承擔域校驗功能，一臺為主域服務器，另一臺為備用服務器，當主服務器故障時將會自動接替域校驗的功能。

2) 利用VLAN可以根據用戶需求對網絡進行分段， 網絡管理員可以限制VLAN中用戶的數量，禁止未經允許而訪問VLAN中的應用。結合我校的實際應用，我們采用了基于端口的VLAN、基于IP子網的VLAN等不同方式的劃分策略。通過VLAN的劃分，老師被允許訪問某些文件服務器和應用，而學生則不允許。基于端口的VLAN比較適合于臺式機等固定用戶，我們對教學辦公區的固定電腦使用了基于端口劃分;對于使用筆記本電腦的移動用戶(如教師)，則采用基于IP子網的VLAN劃分。這樣，無論用戶在校園網的哪個區域，核心路由交換機均可根據其IP地址確定其所屬的VLAN和訪問網絡資源的權限。

3.6 針對無線AP安全問題，采取以下措施加以防范

對無線AP作如下配置:1) 更改無線AP設備出廠時的缺省密碼，因為一般設備出廠時的密碼都非常簡單，極易被人破解。2) 更改SSID(服務集標識)，且設置AP不廣播SSID。3) 采用WEP加密手段，雖然WEP加密技術不一定能保證信息傳輸的絕對安全，但總比明文傳播要好一些。4) 調節無線AP設備天線的角度和發射功率，防止AP的覆蓋范圍延伸得太遠。

參考文獻:

[1] 林闖，蔣屹新，尹浩.網絡安全控制機制[M].北京:清華大學出版社，2008.

[2] 謝希仁.計算機網絡[M].4版.北京:電子工業出版社，2006

[3] 陳天州，陳純，谷小妮.計算機安全策略[M].杭州:浙江大學出版社，2004.

[4] 李 萌.淺談校園網絡安全策略[J].滁州學院學報，2004(9).