高校防毒體系構建的探討

摘要：本文以高校網絡安全防毒角度為出發點，首先闡述了目前高校計算機網絡的發展現狀，詳細分析了一般高校網絡組建的結構情況，然后通過對高校網絡結構的分析，從防火墻技術和病毒查殺兩個方面詳細探討高校防毒體系的構建。

關鍵詞：高校防毒體系路由器防火墻

1 引言

隨著目前計算機網絡技術的迅速發展，世界上各個行業都越來越離不開計算機和網絡，各個行業在運用計算機技術進行辦公自動化以及采用局域網和互聯網進行網絡資源共享的同時，也使得各行業內部的計算機處于互聯網黑客及病毒等危險之中，基于計算機防毒安全問題日益突出。作為走在學術技術前沿的高校，防毒技術自然成為其研究和探討的熱點之一。

2 高校網絡組建結構

在現代高校的網絡組建過程中，網絡架構等實際情況會根據高校自己的規模和需求進行相應的調整，各個高校都根據自身的條件來的規劃，因此在網絡組建的具體情況上各個高校的網絡結構略有差異，但是，由于高校網絡都是采用以內部局域網連接到外部互聯網絡，因此，該網絡組建整體上具有共同特征，在高校的內部局域網絡中，主干部分是核心層。核心層的主要目的在于通過高速轉發通信，可靠的骨干傳輸結構，因此核心層主要部分是高性能的交換機組成。核心交換機擁有更高的可靠性，并且能夠處理網絡中大量的數據流量，具備很強的擴展能力。核心交換機為網絡提供高速的主干鏈路及中心設備，是溝通服務器和訪問層設備的橋梁，更要能實時的高品質的網絡服務。高校內部局域網中內部服務器主要是用來分發網絡資源到客戶端的用戶，并將網絡中非中心數據的流量減少到最低。客戶端目的是允許終端用戶連接到網絡，一般接入層的交換機處于網絡體系結構的最下層，提供基于端口的數據交換以及對VLAN的支持。

3 高校防毒體系的構建

根據對普通高校網絡結構的分析，最終用戶要和外界聯系通訊必須通過網絡路由器、交換機等網絡服務設備，這樣對于外界網絡安全全部都依賴于這些網絡服務設備。因而針對于網絡的安全防毒體系的構建必須以網絡服務服務設備的病毒防備為主。本文從防火墻以及相關殺毒軟件兩個方面探討防毒體系的構建。

（1）防火墻技術。①訪問控制列表構建防火墻體系結構。訪問控制列表是應用在路由器接口的指令列表，這些指令列表用來告訴路由器哪些數據包可以接收、哪些數據包需要拒絕。至于數據包是被接收還是被拒絕，可以由類似于源地址、目的地址、端口號、協議等特定指示條件來決定。通過靈活地增加訪問控制列表，ACL可以當作一種網絡控制的有力工具，用來過濾流入和流出路由器接口的數據包。從而達到網絡防火墻的作用。首先我們定義路由器全局配置模式下的訪問列表，這里我們要求數據包在通過當前端口時是否匹配，訪問列表是按照語句的編寫順序進行效驗比較的，數據包頭與訪問列表的第一句不匹配，及繼續與下一句進行效驗，一直到有相匹配的語句時，數據包將被接受。如果在訪問列表里沒有一個語句是與數據包匹配的，數據包將被拒絕。在訪問列表里，我們沒有寫通配符掩碼，讓路由器自動默認采用自動分配。當將訪問列表應用到端口后，端口將立即執行命令對其主機進行作用，但是當計算機的IP地址改變后，這個端口的訪問控制列表也將失效，這也是全局下配置訪問控制列表的弊端。而通過擴展IP訪問控制列表使功能上會變的更加靈活。我們在擴展訪問列表的基礎上，再加上時間控制就能基本實現我們要求達到的目的。因為我們基本控制的都是WEB訪問的協議，我們定義一個擴展訪問列表，然后再列表中最后一句加上時間范圍，這樣訪問控制列表構建防火墻體系結構就基本完成了。②硬件防火墻的應用。在高校網絡應用中，比較常見的是硬件防火墻，我以“WatchGuard”這款防火墻在高校中網絡組建做個詳細的介紹。當然，在我們使用防火墻之前我們首先得安裝它，或者說是將防火墻與整個網絡配置好。第一步我們必須選定防火墻的工作模式，一般為兩個選項，一個為Drop-In Mode，另一個為Routed Mode。前者主要用于不帶“非軍事區”或者無內網的網絡環境，在這里我們選擇“Routed Mode”模式。然后我們把外接網口，內部接口、“非軍事區”的選項添好，進行完網絡設置后，我們即可通過GUI程序與硬件防火墻直接連接，并對防火墻進行配置。局域網與防火墻之間的配置。一個高校往往會分很多部門，不同部門對網絡及網絡安全的需求往往是不一樣的。這種情況需要高校將LAN按部門區分開進行管理，這樣不僅使得網絡清晰化，也使得管理更方便。而同樣的，也可以再防火墻上，將這些部門的計算機，按部門化進行劃分開來。因此只要在防火墻上，將生產部的IP地址統一起來，列成一個一個得Group（組）式管理，對該組允許對80（HTTP）訪問，允許及時通訊軟件等對網絡訪問。

（2）病毒查殺清除技術。①手動清除病毒。想要清除病毒或木馬，首先得把它找出來。確定是病毒了以后再進行查殺。通常病毒手動查詢判斷的方式有通過系統狀態判斷、通過網絡狀態判斷以及通過系統工具判斷。②網絡防病毒軟件查殺。主要是采用網絡防病毒軟件。網絡防病毒軟件的設計也是針對網絡的特點。它應具有實施監控、占用資源少、適合多種操作系統、統一管理、便于分發、便于在線升級更新及良好產品的售后服務的特點。在安裝此類軟件時，應在網絡服務器安裝Server端工具。當安裝好服務器端的軟件后，通過服務器自動分發給客戶端，使用戶完成客戶端的安裝。這樣在服務端和客戶端兩個主要的病毒入口都有效地防止了病毒的入侵，也有利于日后服務端在線升級更新后，自動通知客戶端及時更新防病毒程序。一般的網絡防病毒軟件都具有“查殺”郵件病毒、一般的黑客程序、文件型病毒的功能，采用各種防病毒軟件時對其功能和性能作為主要的參考對象。

4 結束語

隨著高校計算機網絡技術的深入，高校的各項教學活動都立足于網絡環境中，因此，一旦高校的網絡系統安全受到威脅，將會給高校帶來巨大的經濟損失。如何使高校內網免受黑客和計算機病毒的入侵，己經成為高校信息化建設所要考慮的重要事情之一。

參考文獻：

[1]吳玉娟．淺談網絡病毒與防治方案．中國科技信息，2008，(19)：98-101.

[2]李勇．最新網絡病毒的查找及防殺．科技信息，2006，(6)：124-125.

[3]陳娟．淺談計算機病毒的傳播方式及防御技術．科技信息，2009，(12).

[4]彭國軍，羅成．Windows下計算機病毒的傳播方式研究．信息網絡安全，2009，(10)：57-70.