淺談高校校園網網絡管理

胡靜靜

（1.合肥工業大學 計算機與信息學院，安徽 合肥 230000；2.淮北職業技術學院，安徽 淮北235000）

中國教育教研網(CERNET)于1995年建成后，校園網的建設與發展十分迅速.校園網絡的建成與使用.大大地提高了高校工作的工作效率和管理水平，有著十分重要而深遠的意義.如何高效地管理校園網，成為保證網絡安全平穩地運行的一個重要課題.

1 網絡安全管理

1.1 管理校園網絡IP路由信息和控制訪問范圍

校園網絡普遍采用的是TCP/IP網絡協議，通過路由器交換路由信息，路由器有兩個工作，一是數據轉發，二是路徑選擇.數據轉發的操作比較容易，而選擇最佳路徑比較困難.因此路徑的選擇就成了路由器最重要的工作.路徑選擇的工作可以由許多路由協議完成，本系統選用的是OSPF路由協議.可以通過限制某些網段的用戶可以訪問的網站，也可以禁止網絡不必要的端口連接.

1.2 管理網管交換機

局域網中交換機有著重要的核心地位，對交換機的管理直接影響著整個局域網的性能.這就對網絡管理員提出了很高的要求，首先，應該對校園網絡的整體系統結構、網絡布線結構和參數配置等都應該十分熟悉了解，其次，對每個網管交換機的每個端口的對應配置也要清楚，才能實現對網絡的高效管理，除此之外，管理員要及時做好系統各項數據的備份，一旦交換機或端口出現故障或需要更新時，應能及時做好對應的參數配置修改和恢復，排除交換機故障，確保交換機能始終高效的運行.

1.3 IP地址的管理

IP地址可以對網絡中的計算機進行唯一的標識編號.在規劃校園網網絡時，應做好對各部門上網需求的調查和統計，根據需求合理地劃分網絡地址，保證IP地址被合理分配，高效利用.如果IP地址分配方法不合適，很容易造成地址沖突和地址被盜用，不僅導致合法的用戶的地址無法使用，同時會使用戶遭受大量的損失并會造成很多未知的潛在安全隱患.可以采取在代理服務器端分配地址時，將IP地址和網卡MAC地址綁定，來防止上述情況的發生.

1.3.1 靜態地址的綁定

先查看網卡MAC地址，比如一個用戶MAC地址為00A0-4C-6C-08-75，分配給其靜態地址為192.168.3.11.在代理服務器端將該靜態地址與MAC地址綁定.綁定的具體命令如下：

ARP—-S192.168.3.2200-AO-4C-6C-08-75

通過上述命令完成了上網的靜態地址192.168.3.11與網卡地址為00-A0-4C-6C-08-75的計算機的綁定，即使該地址被盜用，也無法通過代理服務器連接上網.但是需要注意的是上述命令僅在局域網中上網的代理服務器端可以使用，且僅對靜態地址有效，若是動態地址將沒有作用.如果要刪除該地址與MAC地址的捆綁，命令如下：

AtP—D192.168.3.11.00-A0-4C-6C-08-75APP—S192.168.3.11.00-A0-4C-6C-08-75

1.3.2 動態IP地址的綁定

純手工用“ARP"命令捆綁IP地址和MAC地址工作量較大，遇到大規模網絡時則不適用，這時可采用DHCP服務器動態分配IP地址.

在DHCP服務器中也可實現地址和MAC地址的綁定，比如想讓主機名為“HJJ”的客戶機固定使用“192.168.0.8”的地址.可先通過先在客戶機上運行“ip.Config/all”命令，獲得該客戶機網卡的MAC地址為“00-A0-4C-6C-08—75”.

在DHCP服務器端，打開DHCP管理器，選擇創建的范圍

“192.168.0.6—192.168.0.100”的作用域后右擊“保留”選項，在菜單中選擇“新建保留”后，在出現的配置對話框中進行操作，將主機名為“HJJ”的客戶機進行綁定，通過“保留名稱”欄為該保留項目取名，這種取名一般要求直觀好辨認，可起名如“HJJ”，然后在“地址“欄中輸入“192.168.0.8”，在“MAC地址"欄中輸入客戶機的網卡MAC地址為“00-A0-4C-6C-08-75”，然后在“支持類型”中選中“兩者”選項，上述操作完成之后可點擊“添加’’按鈕，即完成了客戶機的地址與MAC地址綁定.

除此之外，還要對IP終端使用者進行網絡常識教育，提高網絡使用者的責任心，作為進一步提高IP地址使用率的基礎和保證.

1.4 防火墻的應用和管理

防火墻是指放置在不同網絡(如可信任的內部網和不可信的公共網)或者網安全域之間的系列部件的組合.防火墻的目的就是在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障，在不同網絡信任程度區域之間建立起控制數據交換的唯一通道.所有流入流出的網絡通信和數據包都要通過防火墻，以實現對進、出內部網絡的服務和訪問的控制和隔離.而且防火墻本身就具有較強的抗攻擊免疫力，為網絡的安全提供了有利的保證.

1.5 入侵檢測技術

隨著網絡技術的發展，傳統的防火墻系統已經不能滿足關鍵應用的實際需要，以智能和動態分析為基礎的入侵檢測系統在當今的網絡應用中發揮了日益重要的作用.入侵檢測技術是對計算機和網絡資源的惡意使用行為進行識別和相應處理的系統，它是主機網絡安全的一個重要組成部分，可以檢測系統外部的入侵和內部用戶的非授權行為.

入侵檢測不僅檢測來自內部、外部的入侵行為，同時也檢測來自內部用戶的未授權活動.入侵檢測采用了積極主動的防護技術，在不影響網絡性能的前提下對網絡進行檢測，所提供的數據不僅能用來發現合法用戶是否有違反安全策略的操作，還可以作為追究入侵者法律責任的實際證據.入侵檢測體系是防火墻的合理補充，被認為是防火墻之后的第二道安全閘門.入侵檢測系統與防火墻各有優勢，防火墻的數據過濾和入侵檢測的實時監控的聯動可以更有效地阻止所發生的攻擊事件，使防護體系變得動態、主動、立體，讓網絡隱患降至較低限度.

2 網絡安全策略

網絡中心為整個校園網絡提供基本的安全服務保障，主要有以下幾點作用：

2.1 提供基礎的網絡安全設施

防火墻是保障校園網信息安全的核心設備，它可以防止潛在、不可預測的破壞者入侵.通過防火墻的設計和實現，為校園網提高可靠的安全措施.

2.2 提供桌面防病毒系統

計算機病毒是公認的信息系統安全的最大隱患之一.借助日益普及的電子郵件，計算機病毒的傳播速度越來越快，范圍也越來越廣.幾乎所有網絡都被計算機病毒感染過，校園網也不能幸免，造成了嚴重的損失.由于計算機病毒形式多樣，傳播途徑繁多，單機病毒的檢測和清除再不能滿足學校網絡系統的防病毒工作，應建立多層次的、立體高效的病毒防護體系，而且要具備完善的管理系統來設置和維護病毒防護策略.

針對校園網的桌面防病毒系統集中管理，可采用瑞星企業行業特別版教育專用版，該版本具有“云安全”系統，能智能主動防御，智能管理全網漏洞，可自動從服務器獲取新的病毒庫，實時更新，解決各種網絡安全問題，無須用戶再干預.

2.3 架設垃圾郵件過濾系統和防病毒郵件網關

垃圾郵件和病毒郵件的數量占全部電子郵件總量的90%，將垃圾郵件過濾，病毒郵件采用郵件防病毒網關進行過濾之后，再將安全郵件送入用戶郵箱，最大限度的減少垃圾郵件和病毒，提高了網絡的效率和安全性.

2.4 漏洞補丁發布系統

目前校園網內OS以Windows系統為主，而Windows系統的軟件缺陷和系統漏洞對計算機網絡系統是個嚴重的災難，因此在校園網內可專門設置Windows系統漏洞補丁發布服務器，可從該服務器及時下載更新補丁程序.此外，為避免補丁程序更新不及時、補丁不能正常下載或其它意外情況，將重要的系統漏洞補丁程序，在網絡公告上醒目的位置進行公告，發布在校園網站上并提供直接下載，保護網內計算機免受病毒的破壞及漏洞的入侵.建立完善的安全硬件設施是安全保障的必要條件，但人的因素更加重要.學校為設備及系統設有專業的管理部門，并挑選核心成員成立網絡安全緊急情況應對小組，這樣，一旦發生突發的、重大的緊急安全事故也可以及時應對.從各個方面實行科學規范管理，從硬件、軟件到管理人員均嚴格要求，將安全威脅降到最低，提高網絡的抗風險性，保證整個網絡安全高速的運行.

本文對保障校園網絡安全的常用關鍵技術做了簡單的介紹，著重討論主動入侵檢測技術，防火墻技認證技術和訪問控制技術.這是目前使用最為廣泛，發展也比較成熟的全技術.其中防火墻技術主要用于訪問控制，劃分安全區域等：入侵檢測系統主要用絡監控，數據流向分析等；以防火墻，入侵檢測系統為代表的網絡安全技術體系是構建校園網全體系最為核心的技術內容.

〔1〕何一輝.校園網絡管理的設計與實現[J].現代遠距離教育,2006（6）.

〔2〕王玉磊.高校校園網管理的研究[D].云南昆明：昆明理工大學碩士研究生學位論文，2007-06.

〔3〕李霞，胡偉.基于SNMP的lP地址盜用解決方案[J].綿陽師范學院學報，2005(2)：30-32.

〔4〕張遠明，等.解決校園網中Ip地址盜用同題的技術[J].吉林大學學報，2006，44(4)：616-620.