高校計算機類實驗室網絡安全防范機制

李秀峰

（長治學院 計算機系，山西 長治 046011）

高校計算機類實驗室網絡安全防范機制

李秀峰

（長治學院 計算機系，山西 長治 046011）

隨著高校計算機類實驗室規模的擴大，網絡安全問題也越來越突出。文章從現有的網絡安全防御技術出發對此問題進行了研究，介紹了網絡安全的現狀以及各種網絡安全防范機制，如：防火墻技術、ACL技術、NAT技術和網絡入侵檢測技術。組合以上多種技術，設計并采用一系列網絡安全措施，從而有效地保證了高校計算機類實驗室的網絡安全。

網絡安全；防火墻技術；ACL技術；NAT技術；網絡入侵防護技術

計算機類實驗室的實驗室軟件安裝覆蓋面比較廣。同時，由于授課規模常在50人左右，因此要計算機類實驗室中一個好的教學傳播軟件也是必要的，如極域2010、紅蜘蛛等，這些軟件均需要一個良好的局域網環境。另外，開放性實驗以及編程類實驗需要訪問互聯網以獲取更多的資源，這就要求實驗室要提供安全、暢通和穩定的網絡環境。雖然目前互聯網安全環境較之以前有了較好的發展，但是依舊潛在一定的威脅，如：釣魚網站、掛馬網站和捆綁病毒的軟件等，使得用戶在上網時不得不小心謹慎。實驗室教學資源有限且學生較多，多臺電腦故障就會影響授課質量。因此，我們必須做好網絡內外的防護工作，做到防患于未然，將風險和損失降到最低。

1 網絡安全現狀

網絡給人們帶來便利的同時也帶來了損失。網絡化使人們的交流更迅捷，也正是由于這種快速的通信方式使得不法分子有機可乘。在用戶通過網絡交流、購物和查賬時，木馬、病毒這類帶有威脅性的計算機程序有可能悄悄潛入用戶計算機，竅取用戶數據，甚至進行一些破壞活動等。比如家喻戶曉的震蕩波，熊貓燒香、沖擊波、灰鴿子等木馬病毒，都是危害度盛極一時的代表，給廣大計算機用戶造成了嚴重的經濟損失。

計算機專業的學生作為用戶之一，在遭受攻擊之后，除了想方設法解決問題，更傾向于研究此類病毒的制作和攻擊原理。學生經常在實驗室瀏覽黑客網站，學習和研究此類危險程序。這給實驗室的網絡安全管理工作帶來了極大的挑戰，輕者重裝系統，重者造成硬件故障，嚴重影響教學秩序。為了避免出現此類問題，可以采用許多方法進行防范。

2 常見攻擊類型

2.1 計算機病毒

計算機病毒是最常見的帶有威脅性的計算機程序，它是一組指令或者程序代碼，捆綁于其他程序并進行偽裝，后對計算機實施破壞。特點包括：破壞性大、高度傳染性和不易發現等[1]。其傳播方式有多種途徑，如：U盤，內存卡，硬盤以及網絡傳播等。傳輸至計算機后，對計算機進行控制、破壞，甚至使計算機癱瘓。

2.2 木馬攻擊

計算機木馬類似于特洛伊木馬潛伏在計算機系統中，系統啟動后隱藏于某特定的系統端口，當木馬程序接收到指示或特殊的應用啟動后，會將目標數據進行復制、竊取賬戶名和密碼等隱蔽性操作[2]。

2.3 拒絕服務攻擊

拒絕服務是指占據部分網絡端口，使正在運行的計算機消耗大量的連接資源，導致其死機或無法響應。較為典型的為DDOS攻擊，它將一段設定好的程序代碼發送到網絡服務器終端，使服務器忙于回復客戶端的請求，并不停地等待一個不存在的客戶端回復，因此消耗掉系統大量的可用資源，使得系統不能對一些合法程序的請求進行處理。總之，拒絕服務攻擊使服務器中止或不能提供優質服務，以達到擊垮競爭對手或其他危害計算機用戶的目的。此類攻擊范圍較廣，凡類似于此類攻擊均屬于拒絕服務攻擊的范疇。

2.4 固有的安全漏洞

以微軟操作系統為例，系統每周或每月會不定期進行補丁更新，這是由于每個新開發的應用軟件或操作系統都會存在漏洞，一旦軟件發布公測或正式版本，其漏洞和缺陷在很短時間內可能就會被發現。目前還不存在一個完善的系統或應用軟件，而想設計一個完美無瑕的系統幾乎是不可能的。緩沖區溢出是系統最容易被攻擊的地方。這是因為大多數系統對任意長短的數據都能接受，但若向系統發送過長的指令，致使長度超出系統緩沖區的處理范圍，系統運行將會失去穩定，給系統造成嚴重的破壞。

3 計算機網絡信息安全的防護策略

3.1 防火墻技術

防火墻技術由來已久，它是由消防詞匯引申而來，寓意為防止外來攻擊的屏障，用來保護系統內部信息不被惡意訪問。防火墻系統主要分為兩種：分組過濾和代理服務。前者使用分組過濾路由器將同一個IP地址的源代碼、目的代碼及相關協議進行分組后，分別設定權限允許或者拒絕其通過，以達到對外界IP地址訪問權限的控制。而代理服務技術是使用相關服務器技術，當外來用戶申請時，系統判定后允許其互聯的一種方式，這種方式不允許內外網直接互聯，以達到保護內網的目的。

3.2 升級操作系統補丁

由于操作系統本身總是存在一些不完善的地方，因此為了避免受其漏洞影響而被攻擊，工作站、服務器以及路由器等網絡設備需要及時更新補丁或系統版本，這樣可以對大多數的網絡攻擊起到很好的防御作用。

3.3ACL技術

ACL技術，即訪問控制列表，常應用于路由器端口。分為三種：標準訪問控制列表，擴展訪問控制列表和命名訪問控制列表。根據不同的網絡環境，使用不同的類型可以禁止某些IP地址的訪問或者禁止訪問某些IP地址，以保護內網主機的安全，如：標準訪問控制列表可以在不同的端口定義入口和出口規則限制源IP地址的訪問權限。擴展形式的ACL不僅可以限制源IP地址的訪問，同時可以限制其具體訪問某個目的IP地址，提高精確性和確定性，使得ACL靈活多變。命名形式的ACL是在擴展ACL的基礎上將ACL的編號以名字代替，提高的了ACL的可讀性和維護性。

3.4NAT技術

NAT技術是一種IP地址轉換技術，分為靜態、動態和端口復用三種方式，它可以采用以上三種方式將內網主機的IP轉換為外網IP，以另外一個身份與外界交流信息，使得外部網絡無法獲取真正的內網主機地址，避免了絕大部分的外部網絡攻擊。同時可以減少外網地址的租用量，使得多個內網地址使用1個或1組外網IP，達到節約外網IP地址的作用。

3.5 入侵防護技術(IPS)

IPS是利用一個網絡端口對外部流量進行檢查，若確認了其安全性，外部流量會通過系統的另一個端口與內部直接相連。IPS直接嵌入到網絡，不需要利用其它介質間接進入內部系統。[3]因此，IPS一旦發現有攻擊者入侵網絡，就會根據入侵特性創建過濾器。若有攻擊者通過數據鏈路層到應用層的漏洞發起對內部網絡的攻擊，IPS能夠檢查數據流中的入侵行為，同時對其進行攔截。

3.6 蜜罐技術

蜜罐是近幾年來新興的互聯網安全防御技術，它可以動態識別未知攻擊信息，然后將未知的攻擊信息及時反饋給互聯網防護體系，動態提高網絡防護能力。[4]蜜罐技術與其它防御技術有很大的不同：它允許攻擊者入侵到網絡，在此過程中它會主動學習并詳盡記錄與攻擊行為相關的信息。然后經系統自行分析后，動態調整互聯網的安全防御策略，進而提高網絡安全性能。

4 總結

文章從應用技術的角度闡述了網絡安全的防御方法。此外，實驗室的管理也應納入安全機制設置范圍，如：建立嚴格的實驗室使用規則，提高管理人員的安全意識和技術能力，規范使用人員的行為習慣等也是不容忽視的措施。這就需要我們在網絡安全技術上不斷地探索和研究，加強人員管理和學生教育，進一步完善高校計算機類實驗室的網絡安全防范。

［1］錢真坤，葉小路.計算機網絡信息和網絡安全應用研究［J］.網絡安全技術與應用.2013.(8)：5-6.

［2］朱玲華.關于互聯網安全防御技術的分析［J］.網絡安全技術與應用.2013.(8)：21-24.

［3］黃成兵.計算機網絡安全與防御分析［J］.福建電腦.2011.9(6)：84-86.

［4］石瑋.淺談計算機網絡安全與防御技術［J］.計算機光盤軟件與應用，2010.6(13)131-132.

Li Xiu-feng
（Computer Department of Changzhi University,Changzhi Shanxi 046011）

（責任編輯 張劍妹）

TP393.08

A

1673-2015（2015）05-0050-03

長治學院校級科研項目(201520)。

2015—06—15

李秀峰（1987—）男，山西長治人，碩士，主要從事計算機網絡研究。