校園網安全概述及防范策略

鐘文基

摘 要：校園網和一般的網絡相比，具有一定的特殊性，高校校園網的用戶主要是在校大學生和教學科研人員，其中數量龐大的大學生用戶，因為知識水平較高，求知探索欲較強，更容易對網絡造成破壞。該文主要介紹了有關校園網安全的特點，校園網面臨的主要威脅，安全防范的方法，通過部署網絡防火墻，劃分虛擬局域網、建立虛擬專用網、在出口路由器實施NAT、MAC地址綁定等方法進行網絡安全防范。

關鍵詞：校園網安全 vlan技術 網絡地址轉換 端口安全

中圖分類號：G717 文獻標識碼：A 文章編號：1672-3791（2016）12（b）-0198-02

1 校園網安全特點

校園網和一般的網絡相比，具有一定的特殊性，高校校園網的用戶主要是在校大學生和教學科研人員，其中數量龐大的大學生用戶，因為知識水平較高，求知探索欲較強，更容易對網絡造成破壞。在此環境下，校園網安全顯得尤為重要。

校園網的安全主要來自外網安全和內網安全兩方面，外網的威脅，主要有黑客發起的DDos攻擊、網站掛馬、網絡病毒、信息竊取等；對于內網，病毒攻擊、廣播風暴、漏洞掃描、內網滲透、非授權訪問等，更容易對網絡造成破壞。

2 校園網安全防范

2.1 部署網絡防火墻

防火墻是連接網絡內外網之間的堡壘，安全系數高的防火墻能夠起到抵抗外網黑客攻擊，保護內網的作用。防火墻一般部署在網絡的邊界，起到隔離內外網的作用。外網黑客想要入侵內網，首先需要入侵者穿越防火墻設置的安全防線，才能接觸內網的目標主機。

2.2 劃分VLAN

VLAN（Virtual Local Area Network）虛擬局域網，在校園網中，把不同部門劃分到不同VLAN中，通過訪問控制列表限制不同部門之間的訪問，提高了安全性。另一個方面，不劃分VLAN，整個交換機都處于一個廣播域中，任何一臺PC發送的廣播報文都能傳送至整個廣播域，占用了大量的網絡帶寬，劃分VLAN后，縮小的廣播域的大小，進而縮小了廣播報文能夠到達的范圍，提升了網絡性能。

劃分VLAN的部分代碼如下：

（1）劃分VIAN。

Switch#vlan data //進入VLAN數據庫模式

Switch（vlan）#vlan 31 name jiaowuchu //添加VLAN 31，名字為jiaowuchu

Switch（vlan）#vlan 32 name caiwuchu //添加VLAN 32，名字為caiwuchu

（2）把端口分配到VIAN中。

Switch（config）#int gigabitEthernet 1/1 //進入端口配置模式

Switch（config-if）#switchport access vlan 31 //把端口G1/1添加到VLAN 31中

2.3 實施NAT

實現安全防護的另一個強大的技術就是NAT（網絡地址轉換）。實施網絡地址轉換能隱藏內網的IP地址，整個內網統一以一個公網IP訪問互聯網，使得黑客無法了解校園網的網絡拓撲結構和IP地址規劃，同時，通過網絡地址轉換后訪問外網，能節省大量IP地址。

（1）超載NAT的部分代碼如下。

Router（config）#int fa0/0//進入fa0/0端口配置模式

Router（config-if）#ip nat outside//指定該端口為連接外網的端口

Router（config-if）#int fa0/1//進入fa0/1端口配置模式

Router（config-if）#ip nat inside//指定該端口為連接內網的端口

Router（config）#ip nat pool gxsdxy 124.227.192.162 124.227.192.164 netmask 255.255.255.248//定義一個名字為gxsdxy的地址池，用于NAT地址轉換

Router（config）#access-list 1 permit 192.168.1.0 0.0.255.255//定義1條ACL

Router（config）#ip nat inside source list 1 pool gxsdxy overload//定義超載NAT，是內部計算機能上網。

（2）靜態NAT的部分代碼如下。

Router（config）#ip nat inside source static tcp 192.168.8.1 80 200.10.10.2 80//定義一條靜態nat映射，允許外網用戶使用200.10.10.2的地址訪問服務器192.168.8.1的web服務。

2.4 其他安全防范措施

對于網絡安全防范，除了以上幾點基本的措施之外，還有很多其他措施，例如：

（1）網卡物理地址過濾策略。

因為網卡的物理地址具有惟一性，在交換機中對網卡物理地址進行過濾，可在一定能夠程度上限制不合法PC的訪問。

交換機MAC地址過濾的代碼如下：

Switch（config）#int fa0/1 //進入交換機的fa0/1端口

Switch（config-if）#switchport mode access //把端口設置為接入模式

Switch（config-if）#switchport port-security //啟用端口安全

Switch（config-if）#switchport port-security maximum 1 //該端口最多允許接入1個PC

Switch（config-if）#switchport port-security violation protect //出現違規行為后禁止非法的地址接入

（2）部署IDS。

通過部署IDS（Intrusion Detection and managerment Systems，入侵檢測系統），能實時發現、記錄、統計和分析網絡中的安全事件；能結合地址定位等手段確定威脅來源；能像用戶提供詳細、可操作的時間處理指導意見，指導用戶調整網絡安全策略和防護手段；能對歷史數據進行分析，檢驗網絡安全整體水平。

（3）部署IPS。

通過部署IPS（Intrusion Prevention System，入侵防御系統），能檢測到攻擊，并且IPS會在這種攻擊擴散到網絡的其它地方之前阻止這個惡意的通信。

（4）及時安裝系統漏洞補丁。

校園網內用戶使用的系統，主要是微軟的Windows系統，相比Unix，Linux而言，Windows的系統漏洞相對較多，危害較重，及時安裝系統補丁，能防范病毒及黑客利用系統漏洞入侵系統，給系統甚至網絡帶來各種問題。

3 總結

該文主要對校園網設計中重要的部分——網絡安全的設計，做了闡述。分析了網絡安全的特點、面臨的威脅，對網絡安全的設計，提出了部署防火墻、劃分虛擬局域網、實施NAT等多種方法。

參考文獻

[1] 朱雁輝.防火墻與網絡封包截獲技術[M].電子工業出版社，2002.

[2] 信息管理系列編委會.網絡安全管理[M].中國人民大學出版社，2003.

[3] 張紅旗.信息網絡安全[M].清華大學出版社，2002.

[4] 朱理森，張守連.計算機網絡應用技術[M].北京：專利文獻出版社，2001.

[5] 許治坤，王偉，郭添森，等.網絡滲透技術[M].電子工業出版社，2005.