校園網網絡病毒防護體系的構建

摘 要 隨著網絡的發展，信息的傳播越來越快捷，同時也給病毒的傳播帶來便利，互聯網的普及使病毒在一夜之間傳遍全球成為可能。而且，計算機病毒越來越向“多樣化”發展。本文主要分析了計算機病毒的入侵校園網的途徑，并對安全措施進行了分析，同時也提出了校園網具體的防毒需求。

關鍵詞 網絡病毒 郵件病毒 防病毒 校園網

中圖分類號：TP393.08 文獻標識碼：A

隨著計算機網絡技術的迅速發展，計算機病毒的傳播范圍越來越廣、擴散速度越來越快、破壞性也越來越強。網絡環境下的病毒除了具有寄生性、傳染性、潛伏性、可傳播性、可執行性、隱蔽性、破壞性等計算機病毒的共性外，還具有通過網絡和郵件系統傳播、傳播速度極快、危害性極大、變種多、難于控制等特征。

1 基于校園網的網絡病毒防護需求分析

由于校園網通過中國教育和科研計算機網（CERNET）、中國寬帶互聯網（CHINANET）與外網相連，很可能會受到外網中的不安全因素的影響，產生病毒傳播、黑客攻擊、網絡非法訪問等安全問題。同時，校園網連接的除了學校各處室、辦公室等教學行政單位網絡，還連接校內的學生機器，也面臨著來自內部的病毒破壞與一些內部用戶的非法訪問等。因此，想對病毒進行防御應首先分析它的特點以及它是使用那些方式進行入侵，針對這些特點及入侵途徑再采取相關的防御措施才能有效地保護相關資源。

2 校園網防病毒系統的設計

2.1 第一道防線——建立多級防火墻

防火墻是指設置在不同網絡或網絡安全域之間的一系列部件的組合。它可以監測、限制、更改進出網絡的通信量，只讓安全、核準的信息進入，同時抵制對網絡有威脅的數據。防火墻一般將學校內部網絡與 Internet 隔離成三個區域，即公共網區域（本校是通過區教育局服務器與外部連接的）、DMZ 區域（即主干交換機和服務器區域）、學校內部網絡區域。

我校主要采用了三級防火墻的方法加強安全措施。外網進入我校時建立第一層防火墻，各區域訪問校園網建立第二層防火墻，每個客戶訪問各區域建立第三層防火墻，有效地控制了病毒的攻擊。校園網中防火墻的部署示意圖如圖1：

在校園網網絡安全防護范圍內，計算機中的數據或編碼所經過的每一點和每一個可能的目的地都需要保護，其主要防護對象包括文件/應用服務器、郵件服務器和桌面PC和筆記本電腦，并對這些防護對象逐一進行加固。郵件服務器的防護、文件 / 應用服務器的防護、桌面 PC 和筆記本電腦的防護，這三道防線和防火墻構成立體的跨平臺的病毒防護體系，進而實現校園網絡每一個層次上的有效病毒防護。

2.2 第二道防線——郵件服務器防護

垃圾郵件和病毒郵件對郵箱產生了干擾，黑客可以利用漏洞攻擊郵件服務器，對校園網中的信息竊取、篡改，2006年垃圾郵件嚴重影響了我校網絡的正常運行，主要采取了三個方法：一是升級最新的高版本的服務器軟件，利用軟件自身的安全功能；二是進行VLAN的重新劃分，三是采用第三方軟件利用其諸如動態中繼驗證控制功能來實現。

2.2.1 VLAN的重新劃分

VLAN是指在一個物理網段內進行邏輯劃分，劃分成若干虛擬局域網，相同VLAN內的主機可以相互直接通信，不同VLAN主機之間互相訪問必須經路由設備進行轉發，廣播數據包只可以在本VLAN內進行廣播，不能傳輸到其他VLAN中。VLAN結構分布如圖2。

為了達到不同網段內的主機之間相互聯系、相互通信，我們對交換機進行了相應的設置，有效地阻止了垃圾郵件的長驅直入。

2.2.2 利用Winmail軟件

我校主要采取了使用Winmail架設防垃圾防病毒的郵件網關，軟件產品安裝在服務器上，與硬件產品相輔相成，除了防毒之外，也能夠阻止垃圾郵件。

此軟件需要經過相應的設置，在郵件網關上安裝兩塊網卡，一塊連接外網，一塊連接內網。首先設置dns解析，增加一條記錄指向郵件網關而不是郵件服務器。在 winmail 郵件網關上安裝 winmail軟件，保留smtp和admin兩個服務，配置 winmail 郵件網關。在smtp設置中填上主機名；在信任主機IP中，把郵件服務器的IP地址加入到不需要認證的發信主機列表中，這樣郵件服務器發往網關的信件就不需要用戶認證了。

在“SMTP 設置”/“外域直接遞送”中，設置域名直接遞送到主機IP地址，這個一定要設置，不然網關會通過dns服務器去查詢主域名的mx記錄，也就是網關本身，就會造成循環遞送了。

以上配置完成后，應該能收到 internet 的郵件了。郵件服務器如何發信，可以選擇通過網關發信，也可以直接遞送出去，具體設置需要看郵件服務器軟件。

2.3 第三道防線——文件 / 應用服務器防網絡病毒

為了更好地保護服務器，必須防止病毒通過漏洞入侵服務器、防止拒絕服務攻擊，而且要提供實時的病毒防護，及時查找和修補漏洞來防止病毒的漏洞服務攻擊，并且要借助第三方針對服務器的防病毒軟件來獲得實時的病毒防護。

（1）服務拒絕攻擊（dos）：我校主要安裝驗證軟件和過濾功能，檢驗該報文的源地址的真實地址，同時關閉不必要的服務（我區教育系統內部在上班期間關閉了已知的游戲網站、炒股網站、相關視頻網站、淘寶網站）、限制同時打開的Syn半連接數目、縮短Syn半連接的time out 時間、及時更新系統補丁。

（2）本地用戶獲取了非授權的文件的讀寫權限：我校目前主要的防范措施是將所有shell賬號放置于一個單獨的機器上，即只在一臺或多臺分配有shell訪問的服務器上接受注冊，同時將存放用戶CGI的系統區分出來。

（3）遠程用戶獲得特權文件的讀寫權限：我校主要采用嚴格控制進入特權，即使用有效的密碼。主要包括密碼應當遵循字母、數字、大小寫（因為Linux對大小寫是有區分）混合使用的規則。使用象“#”或“%”或“$”這樣的特殊字符也會添加復雜性。

（4）遠程用戶獲得根權限：目前主要的防范措施：一是建立安全的拓撲結構，將網絡分段工作進行得越細，嗅探器能夠收集的信息就越少。二是進行會話加密，使得嗅探器不認識嗅探到的數據。

3 結束語

總之，自從采用了多級防火墻保護體系、VLAN網段的進一步劃分、Winmail軟件的有效使用、文件/應用服務器防網絡病毒的有效措施，我校網絡系統相對穩定，垃圾郵件、病毒、黑客的攻擊相對較少，同時我校也制定了完善的管理制度，多管齊下構架安全可靠的防護體系，使網絡病毒防護系統真正起效，使校園網的運行更可靠、安全。