淺談中小學(xué)網(wǎng)絡(luò)安全之網(wǎng)絡(luò)架構(gòu)

摘 要：當(dāng)前，網(wǎng)絡(luò)技術(shù)飛速發(fā)展，中小學(xué)校園網(wǎng)的建成，使學(xué)校實現(xiàn)了管理的網(wǎng)絡(luò)化和教學(xué)手段現(xiàn)代化。作為一個向公眾開放的網(wǎng)絡(luò)，網(wǎng)絡(luò)安全成為一個重要的環(huán)節(jié)。從網(wǎng)絡(luò)架構(gòu)方面對中小學(xué)網(wǎng)絡(luò)安全進(jìn)行了探討和分析。

關(guān)鍵詞：網(wǎng)絡(luò)安全；路由器；校園網(wǎng)

隨著計算機網(wǎng)絡(luò)及其應(yīng)用的發(fā)展，校園網(wǎng)建設(shè)在全國各高等院校越來越普及，網(wǎng)上教學(xué)、網(wǎng)上辦公、網(wǎng)上信息發(fā)布等校園網(wǎng)絡(luò)信息服務(wù)越來越廣，但校園網(wǎng)的安全問題也逐漸凸顯出來。構(gòu)架安全的校園網(wǎng)絡(luò)環(huán)境，保證關(guān)鍵數(shù)據(jù)的安全性及各類信息的準(zhǔn)確性，使校園網(wǎng)安全、穩(wěn)定、高效地運轉(zhuǎn)，已成為各級學(xué)校越來越重視的問題。校園網(wǎng)的安全已成為不容忽視的問題，數(shù)據(jù)的安全性和學(xué)校自身的利益受到了嚴(yán)重的威脅。因此，能否保證計算機和網(wǎng)絡(luò)系統(tǒng)的安全和正常運行便成為校園網(wǎng)絡(luò)管理所面臨的一個重要的問題。

網(wǎng)絡(luò)安全包含兩部分內(nèi)容：（1）構(gòu)成網(wǎng)絡(luò)物理體系的正常運行，保證數(shù)據(jù)在網(wǎng)上高效傳送；（2）保障基于網(wǎng)絡(luò)的數(shù)據(jù)在傳輸過程中、存取中不被竅取、篡改、遺失。網(wǎng)絡(luò)的安全架構(gòu)是指為保證網(wǎng)絡(luò)安全從工作理念、網(wǎng)絡(luò)結(jié)構(gòu)、軟件及硬件設(shè)備、技術(shù)手段等方面共同構(gòu)成的一個完整體系。

互聯(lián)網(wǎng)在設(shè)計之初就是本著自由與開放的原則，缺乏對安全

性的總體構(gòu)想和考慮，導(dǎo)致目前許多應(yīng)用系統(tǒng)處于不設(shè)防狀態(tài)。廣泛存在的安全問題、侵權(quán)問題、誠信問題和精神污染等問題，已經(jīng)成為互聯(lián)網(wǎng)進(jìn)一步發(fā)展的最大障礙。如果學(xué)校網(wǎng)絡(luò)沒有一個科學(xué)的安全架構(gòu)，很好地解決網(wǎng)絡(luò)安全問題，那么它只能是一種互聯(lián)網(wǎng)的延伸，也就失去存在的意義。但是，如何才能行之有效地建立起網(wǎng)絡(luò)安全架構(gòu)呢？

一、網(wǎng)絡(luò)架構(gòu)

首先，我們根據(jù)學(xué)校網(wǎng)絡(luò)所在的實際物理位置來布局，比如筆者所在的學(xué)校，有兩棟四層教學(xué)樓，是劃成四個VLAN呢，還是劃成其他的？為了比較清晰地說明情況，我把我們本校的網(wǎng)絡(luò)架構(gòu)畫了出來，這樣能夠更清晰地看出個所以然！如下圖。

首先，我們將學(xué)校網(wǎng)絡(luò)基本情況做下描述，每棟教學(xué)樓上分別設(shè)立有一間學(xué)生機房，每間教室配備有多媒體教學(xué)設(shè)備，各教師辦公室都配有辦公計算機。財務(wù)室及領(lǐng)導(dǎo)辦公室位于一號教學(xué)樓一樓。我們把每棟教學(xué)樓及機房分別劃成一個VLAN，并將路由器和服務(wù)器所在區(qū)域劃分為一個VLAN，也就是有四個VLAN，一號樓的辦公區(qū)呢？我們單獨地把辦公區(qū)劃出來，采用TP-LINK 1024V把每臺機器都劃成一個VLAN，然后把幾臺服務(wù)器放在另外一個區(qū)域中，即圖中的VLAN 4。也許大家會問，為什么劃這么多的VLAN？而且同一棟樓的為什么也要劃成兩個VLAN呢？這就是問題所在了。大家都知道，現(xiàn)在ARP病毒很厲害，而且已發(fā)生這樣的情況，即整個VLAN的集體掉線情況，解決此問題的方法就是通過硬件把問題最小化。這也不會從根本上解決ARP的問題，但至少給學(xué)校網(wǎng)絡(luò)帶來了不少的好處。如果發(fā)生了ARP病毒，只會給這個區(qū)域帶來影響，而絲毫不會對其他區(qū)域產(chǎn)生影響。這里又會有人問了，為什么辦公區(qū)每臺機子都是一個VLAN，而其他的不這樣呢？這個很容易理解，財務(wù)工作由于其安全敏感性，需要高效的網(wǎng)絡(luò)安全環(huán)境，所以便將辦公區(qū)劃分為每臺機器一個VLAN。而在學(xué)校機房的日常教學(xué)中會用到文件共享等網(wǎng)絡(luò)應(yīng)用，不可能把安全做徹底了，而給教學(xué)帶來極大不便。其他的樓層都有相應(yīng)的小局域網(wǎng)。這里順便提一下，幾臺服務(wù)器都是不能相互訪問的（在服務(wù)器安全配置里會具體提到，以免一臺淪陷了導(dǎo)致其他服務(wù)器的攻破）。這樣，即把問題都集中一個小的區(qū)塊中，容易管理和解決問題。

二、路由器和防火墻的配置

路由器是整個網(wǎng)絡(luò)的核心，在路由器的選擇方面，硬件路由器使用簡單方便，但擴成功能不足，特別是網(wǎng)絡(luò)擴大或是面對攻擊不能很好地提供保護(hù)。而軟件路由器就是一臺普通的pc，可以根據(jù)需要適當(dāng)?shù)卦黾觾?nèi)存，更換處理器，選用數(shù)據(jù)處理能力更大的網(wǎng)卡，這里我向大家推薦使用M0n0做軟件路由器。M0n0是基于Freebsd而開發(fā)的軟件路由器。由于Freebsd有著比Linux更高的穩(wěn)定性、可靠性，所以用M0n0來做軟件路由器絕對是最好的選擇。而且安裝配置比Coyote更簡單，功能更強大，主要支持如下功能：

1.多廣域網(wǎng)固定IP支持。

2.支持ppoe、dhcp、pptp、static等方式接入。

3.支持無線局域網(wǎng)。

4.支持DNS轉(zhuǎn)發(fā)、DHCP服務(wù)、SNMP服務(wù)、ARP代理，支持加密驗證。

5.支持VPN服務(wù)。

6.可以查看系統(tǒng)的使用內(nèi)存和cpu的占有及實時流量查看等。

7.強大的防火墻功能及其日志功能。

作為學(xué)校網(wǎng)絡(luò)的核心設(shè)備，不一定要求最好的配置，但一定要穩(wěn)定。最好使用845以上的主板，處理器1.7以上，內(nèi)存128M以上，100M以上的硬盤（建議使用電子硬盤）。網(wǎng)卡最好選擇處理數(shù)據(jù)能力優(yōu)秀的，這里我們選用的是intel 82559的千兆網(wǎng)卡。接下來就是m0n0的安裝了。

校園網(wǎng)絡(luò)建設(shè)是學(xué)校信息系統(tǒng)的核心，如何提高學(xué)校網(wǎng)絡(luò)的

安全已是學(xué)校需要解決的重要問題，我們只要不斷地探索，不斷地學(xué)習(xí)研究，就能更好地管理和完善它。這里只是為大家提供一個思路而已，實際操作起來可能會碰到這樣或者那樣的困難，但是我們在做配置前得有一個好的思路，這樣我們做起事來就不會感到毫無辦法。

（作者單位 河南省三門峽中等專業(yè)學(xué)校）