中職校園網絡的安全與管理

摘 要：本文在分析中職校園網絡安全隱患的基礎上，提出了確保校園網絡安全的解決方案，并重點就如何設置路由器防范拒絕服務（DoS）攻擊進行了闡述，以達到硬件防火墻的效果，從而提高校園網絡的安全性。

關鍵詞：中職；校園網絡；安全隱患；路由器設置

隨著網絡技術和internet的發展，各中職學校都建立了自己的校園網絡，校園網為教師和學生的工作、學習、交流提供了許多方便，改變了傳統的教學和學習方式。在中職學校，尤其是辦學規模較小、經濟情況較弱的學校，校園網絡的構建本身存在一些缺陷，如許多學校沒有購置防火墻設備。在硬件條件有限的情況下，如何搞好校園網絡的安全與管理、提高校園網絡運行能力是十分值得校園網管理員探討的問題。

一、校園網的安全隱患

探討校園網絡安全首先要分析校園網絡存在哪些方面的安全隱患及來源特點，筆者認為中職校園網絡的安全隱患主要歸于如下幾種情況：

1. 病毒感染。

病毒感染是校園網中最常見、最嚴重的一種安全威脅，病毒防范最重要的方法是堵住它的入侵途徑。而校園網病毒的主要入侵途徑有以下四種：（1）瀏覽網頁、電子郵件而感染的網絡病毒，如有蠕蟲類病毒、木馬程序等。（2）網絡共享的攜帶病毒文件，從而感染了使用此共享文件的系統。（3）攜帶病毒的盜版光盤的軟件。（4）攜帶病毒的U盤、移動硬盤等移動存儲設備。

2. 網絡攻擊。

隨著網絡技術的發展，各種網絡攻擊事件頻頻發生，黑客的惡意行為不時導致學校網絡癱瘓，令校園網管理人員十分頭痛。筆者分析，網絡攻擊主要有以下四種形式：（1）拒絕服務（DoS）：DoS攻擊是利用一批受控制的機器向一臺機器發起攻擊，具有較大的破壞性。DoS攻擊通過對服務器產生大量的服務請求，使服務器忙于響應應答訊息，造成TCP/IP棧崩潰，導致與Internet的連接中斷、無數的窗口被打開、系統死機，甚至重新啟動等，造成服務器系統不勝負荷，喪失提供正常服務的能力。（2）木馬程序：是一種能夠在受害者毫不察覺的情況下滲透到系統的程序代碼。受害電腦一旦被種植了木馬，就意味著控制者能夠通過控制主機去控制受害系統，進行秘密信息的竊取或破壞。（3）網絡嗅探器：是指嗅探類程序，它們潛伏在網絡中，利用互聯網透明傳輸的弱點，悄悄地捕獲網絡上的數據包。（4）黑客入侵：是指某些具有頂尖網絡技術的人士，通過掃描程序發現系統開放的端口和漏洞，然后通過特殊的程序或進行特定操作控制整個系統。

3. 校園網絡內部的威脅。

中職校園網的用戶數量很多，包括了教師、行政人員、學生和家長等。相對企業網絡，校園網來自內部的威脅更加嚴重。主要有如下三種情況：（1）MAC地址盜用：指上網用戶通過修改注冊表，將自己的MAC地址改為一個未知的MAC地址或是別人的MAC地址。MAC地址的盜用對網絡安全帶來巨大的隱患。（2）IP地址盜用：是指用戶私自更改自己的IP地址或通過各種軟件進行IP的攻擊。有些用戶出于某種原因，手工更改自己的IP地址，使得原本IP地址的合法用戶無法正常上網，導致網絡管理的混亂。DoS攻擊是最常見的IP攻擊方式，其原理是非法用戶向被攻擊的主機發出大量的攻擊包，同時將報文中的源IP地址進行修改以掩藏自己真實的IP，導致服務器無法正常工作。（3）賬號盜用：這里更多的是指“賬號的共享”。對于校園網的管理來說，如果沒有對賬號做好管理，一個賬號可能被多個用戶使用，賬號的混亂使得管理員無法實現“網絡管理到人”的目的。

4. 操作系統的安全漏洞。

隨著技術的發展，操作系統越來越復雜，從而導致了操作系統本身的漏洞也越來越多，這樣就使得操作系統不是絕對安全、萬無一失的。

二、校園網絡安全解決方案

校園網絡安全是一個系統的、全局管理問題，網絡上的任何一個漏洞，都有可能影響整個網絡的安全。一個較好的安全解決方案不但要從環境、用戶、產品和意識等方面來考慮，同時要進行綜合分析，逐個解決存在的問題，把可能發生的危害排除在發生之前，達到安全防護的目的，并且把網絡安全理念貫穿于網絡建設、使用和維護的整個過程中。

1. 選用先進的組網設備。

在校園網建設和使用過程中，設備的選用和維護至關重要。如通過三層交換機來連接電信局的服務器和校園網的各個終端用戶實現寬帶上網，避免以太網偵聽的危險。

2. 采用虛擬局域網技術（VLAN）。

一個VLAN就是一個邏輯廣播域，通過對VLAN的創建，隔離了廣播，縮小了廣播范圍，控制廣播風暴的產生。通過路由訪問列表和MAC地址分配等VLAN劃分原則，可以控制用戶訪問權限和邏輯網段大小，將不同用戶群劃分在不同的VLAN中，從而提高交換式網絡的整體性能和安全性。

3. 加固操作系統。

針對Windows、Unix安全漏洞的各種病毒、網絡攻擊日益增多，因此網絡管理員必須加固操作系統，可采取以下方法：（1）及時安裝系統補丁程序；（2）最小化系統，提高系統的安全性；（3）進行安全設置，如用戶權限的分配，共享目錄的開放與否、注冊表的安全配置、瀏覽器的安全等級等。

4. 安裝殺毒軟件。

現在大多數用戶都安裝了殺毒軟件，但安裝了殺毒軟件后還需要及時升級殺毒軟件、經常使用殺毒軟件檢查系統并清除病毒、開啟殺毒軟件的監控功能。

5. 安裝防火墻。

防火墻技術是控制進和出兩個方向通訊的門檻，是抵御來自網絡攻擊最有效的手段之一。它能夠最大程度地保護你的系統信息不外泄。對通過交換機直接上寬帶的用戶而言，防火墻至少可以抵擋來自網絡常見的攻擊方式。如通過拒絕服務（DoS）、監控不明程序進程、使用防火墻的端口阻塞功能關閉不需要的端口從而達到防范的目的。

6. 加強內部管理。

對校園網絡的內部威脅，只有通過制定相關的規章制度，加強內部管理，減少校園網絡安全隱患。對學生的上網實施一人一個賬號—密碼驗證身份的原則；對盜用MAC地址和IP地址的學生給予一定的處罰；同時在技術上捆綁IP地址和MAC地址，在DoS界面的提示符下輸入命令：ARP-s 192.168.11.**00-50- BA-19-C3-DD，即可把MAC地址和 IP地址捆綁在一起。

三、設置路由器防范拒絕服務攻擊（DoS）

上文提到的校園網絡安全解決方案是一個一般性的解決方案，特別提到了防火墻在網絡安全中的作用。而面對日益增多的網絡攻擊，特別是拒絕服務（DoS）攻擊越來越嚴重地威脅著校園網絡的安全，但許多中職學校卻沒有經濟能力購置防火墻設備，在這種的情況下，如何解決防范拒絕服務（DoS）攻擊的問題？下文筆者介紹一種利用設置路由器來防范拒絕服務（DoS）攻擊的方法。設置步驟如下：

1. 使用ip verfy unicast reverse-path網絡接口命令。

本命令的功能是檢查每一個經過路由器的數據包。在路由器的CEF（Cisco Express Forwarding）表該數據包所到達網絡接口的所有路由項中，如果沒有該數據包源IP地址的路由，路由器將丟棄該數據包。如路由器接收到一個源IP地址為1.2.3.4的數據包，如果CEF路由表中沒有為IP地址1.2.3.4提供任何路由（即反向數據包傳輸時所需的路由），則路由器會丟棄它。

單一地址反向傳輸路徑轉發在ISP（局端）實現阻止SMURF攻擊和其它基于IP地址偽裝的攻擊。這能夠保護網絡和客戶免受來自互聯網其它地方的侵擾。使用Unicast RPF需要打開路由器的“CEF swithing”或“CEF distributed switching”選項。不需要將輸入接口配置為CEF交換。只要該路由器打開了CEF功能，所有獨立的網絡接口都可以配置為其它交換模式。RPF（反向傳輸路轉發）屬于在一個網絡接口或子接口上激活的輸入端功能，處理路由器接收的數據包。在路由器上打開CEF功能是非常重要的，因為RPF必須依靠CEF。Unicast RPF的 Cisco IOS 12.0及以上版本中，但不支持Cisco IOS 11.2或11.3版本。

2. 使用訪問控制列表（ACL）過濾RFC 1918中列出的所有地址。

配置命令如下：

interface xy

ip access-group 101 in

access-list 101 deny ip 10.0.0.0 0.255.255.255 any

access-list 101 deny ip 192.168.0.0 0.0.255.255 any

access-list 101 deny ip 172.16.0.0 0.15.255.255 any

access-list 101 permit ip any any

3. 參照RFC 2267，使用訪問控制列表（ACL）過濾進出報文。

{ISP中心}-—ISP端邊界路由器—-客戶端邊界路由器—-{客戶端網絡}

ISP端邊界路由器應該只接受源地址屬于客戶端網絡的通信，而客戶端網絡則應該只接受源地址未被客戶端網絡過濾的通信。以下是ISP端邊界路由器的訪問控制列表（ACL）例子：

access-list 190 permit ip{客戶端網絡} {客戶端網絡掩碼}any

access-list 190 deny ip any any[log]

interface{內部網絡接口} {網絡接口號}

ip access-group 190 in

以下是客戶端邊界路由器的ACL例子：

access-list 187 deny ip{客戶端網絡} {客戶端網絡掩碼}any

access-list 187 permit ip any any

access-list 188 permit ip{客戶端網絡} {客戶端網絡掩碼）any

access-list 188 deny ip any any

interface{外部網絡接口} {網絡接口號}

ip access-group 187 in

ip access-group 188 out

如果打開了CEF功能，通過使用單一地址反向路徑轉發（Unicast RPF），能夠充分地縮短訪問控制列表（ACL）的長度以提高路由器性能。為了支持Unicast RPF，只需在路由器完全打開CEF：打開這個功能的網絡接口并不需要CEF交換接口。

4. 使用CAR（Control Access Rate）限制ICMP數據包流量速率。

配置命令如下：

interface xy

rate-limit output access-group 2020 3000000 512000 786000 conform-action

transmit exceed-action drop

access-list 2020 permit icmp any any echo-reply

5. 設置SYN數據包流量速率。

配置命令如下：

interface{int}

rate-limit output access-group 153 45000000 100000 100000 conform-action

transmit exceed-action drop

rate-limit output access-group 152 1000000 100000 100000 conform-actiOn

transmit exceed-action drop

access-list 152 permit tcp any host eq www

access-list 153 permit tcp any host eq www established

在實現應用中需要進行必要的修改，替換45000000為最大連接帶寬，1000000為SYN flood流量速率的30%到50%之間的數值。

burst normal（正常突變）和burst max（最大突變）兩個速率為正確的數值。

注意：一般推薦在網絡正常工作時測量SYN數據包流量速率，以此基準數值加以調整。必須在進行測量時確保網絡的正常工作以避免出現較大誤差，并建議考慮在可能成為SYN攻擊的主機上安裝IP Filter等IP過濾工具包。

四、結語

校園網絡安全管理是一個系統的工程，學校不但要建立一套校園網絡安全管理模式，制定詳細的安全管理制度，全面考慮系統的安全需求，并將各種安全技術結合在一起，才能形成一個有效、通用、安全的網絡系統。同時作為校園網絡技術管理人員，如果學校沒有經濟能力購置硬件設備，應更多地考慮用“軟件”方法構建一個比較安全的校園網絡系統。如本文簡介的“設置路由器防范拒絕服務（DoS）攻擊”就是一個典型例子，其設置不是很復雜，既能節約經費又可以達到硬件防火墻的效果。

（作者單位：廣州市土地房產管理職業學校）

參考文獻：

[1]湯明亮.面向DoS攻擊的路由回溯技術研究[J].國防科學技術大學，2009，（1）.

[2]王會林.計算機網絡黑客攻擊與防范技術研究探索[J].民營科技，2010，（5）.

[3]李鵬.校園網絡安全管理[J].科技創業月刊，2007，（6）.

責任編輯 何麗華