校园网络安全技术探讨

校园网络安全是一个系统性工程，不能仅依靠防病毒、防火墙、VLAN、云火墙等网络安全技术。任何技术的应用，都必须建立在对人和资源的有效管理上，学校应建立相应的规章制度，确保校园网正常安全运行，朝着健康有序方向发展。

一、防病毒技术

新型病毒层出不穷，传播速度快，破坏能力越来越强。校园网必须在网络系统的各个环节严加防范，才能控制或阻止病毒的侵害。考虑学校教学用机数量庞大，要建立全面的主动病毒防护体系，在每台工作站、服务器上都要有反病毒软件并能统一管理。校园网与Internet相连的网关，也要安装防病毒软件进行拦截，以阻止病毒进入校园网传播扩散。由于师生信息浏览和EMAIL通信的普遍性，在Internet浏览、下载的信息时有可能传播病毒到内部网络上，防病毒软件要能阻止网页携带的Applet小应用程序、ActiveX等病毒破坏，发现并清除隐藏在EMAIL、QQ、MSN、附件中的欺骗性病毒和木马。

目前，主流的防病毒产品主要有赛门铁克、趋势、江民、金山等，网络上也不乏免费杀毒软件，如360杀毒。首次安装防病毒软件时，一定要对计算机做一次彻底的病毒扫描，注意定期查杀，及时进行软件的更新。

二、防火墙与网络隔离技术

配置防火墙可以最大限度防止Internet上的不安全因素蔓延到校园网内部。校内单机可以使用个人防火墙，网上这样的免费或限时软件很多，比如：360安全卫士、天网。校园内外网之间，可根据学校需要配置软件或硬件防火墙。软件防火墙依赖于服务器的操作系统，安全性有较大限制，速度也比较慢，建议有条件的学校配置硬件防火墙。硬件防火墙有专用硬件平台和专用操作系统，甚至芯片级硬件防火墙使用专门芯片硬件平台。没有操作系统，它们的速度快、性能高、处理能力强。目前，常用的软件防火墙有Checkpoint、KFW傲盾、天网等，常用的硬件防火墙有Net Screen、Cisco、Hill stone等，还可根据学校需要选配NAT、DNS、VPN、IDS等不同模块。

网络隔离技术在内、外部主机系统中嵌入安全加固且不同的操作系统，内部主机的操作系统对外部攻击者是不可见的。在校园网和外部网络之间形成了物理隔离带，消除了基于网络协议的攻击。这种技术的应用，必将使校园网络管理高效化、简单化，安全级别也更高。

三、VLAN技术

随着校园网络规模扩大，网内机器超过200台时网络管理将极为困难。在实际应用时，采取VLAN技术把校园网划分为行政办公、教师、学生等子网。划分可以跨过物理设备，各子网之间无法直接通信，信息仅在VLAN内的成员之间传送，限制非成员数据转发，从而减少了主干网的数据流量，控制网络风暴在必要范围内，并增强网络的安全性，利于管理。根据校园网管理特点，通常选择下面三种方法划分VLAN。

（1）基于端口的划分。根据以太网交换机的端口划分不同VLAN，可以把跨交换机的端口划分到同一VLAN中，一个VLAN对应一个端口集合，一个端口在某一时间只能位于一个VLAN中。比如可以把交换机SWl的端口1、4-5和SW2的端口2-3、6划为VLANl；把交换机SWl的端口2、3和SW2的端口1、4、5划为VLAN2。这种方法简单易行，但是灵活性差。当教学用机需要移动时，新端口不位于原VLAN中时，机器不能直接连接通信，需要管理员重新定义端口配置。

（2）基于MAC地址的划分。校园网中的每个MAC地址对应一台计算机，一个VLAN就是一个MAC地址集合。比如把所有教师机的MAC地址添加到VLANl中，所有学生机的MAC地址添加到VLAN2中。配置完成后，交换机根据MAC地址识别和跟踪教学用机。即使教学用机或服务器移动位置，更换端口，也不会改变其所属的VLAN。这种方法，用户使用灵活，但是管理员工作量大而烦琐：初始化时，如果用户数量较多，要收集所有计算机MAC地址，对所有计算机进行配置，工作量极大；后期，每一台新计算机入网时，也需要添加到对应的VLAN中，否则不能连接。

（3）基于IP地址划分。校园网中的网络层IP地址对应一台计算机，一个VLAN就是一个IP地址集合。例如：把IP地址192.168.1.1-192.168.1.100设置为VLANI给教师使用，把192.168.2.1-192.168.2.200设置为VLAN2给学生使用。它具有第2种划分方法的优点，用户计算机可以不修改网络配置移动，并且无需收集MAC地址对所有计算机单独配置。但校园网中每次数据转发，都需要检查TCP／IP协议的网络层，网络工作效率低。

目前，应用比较广泛的具备VLAN功能的交换机、路由器主要有Cisco、锐捷、神州数码等，这些网络设备也不一定具备VLAN所有划分方式。因此，学校要根据自己的要求和价格承受能力，选择不同层次和功能的VLAN网络设备，再根据实际设备选择适合的VLAN划分方式配置网络。

四、云防护技术

校园网中Email、BBS、Web、即时通信、上传下载各种服务和应用繁多，这也为黑客提供了更多的攻击途径。目前针对网络的联合攻击规模越来越大，破坏性越来越强。许多校园网络工作站点要么成为“僵尸”，要么成为被攻击的对象。比如：“僵尸网络”就是通过挂马、下载等途径控制数量巨大的“肉鸡”对目标进行DOS等攻击；还有“零日攻击”指恶意运用立即被发现的安全漏洞，利用时间差在网络未及防范的情况下实施攻击。

云防护技术就是通过云火墙、网络防控中心，动态、主动、协同阻止病毒、木马、蠕虫的蔓延和破坏。互联网中，攻击经常是不可避免的。例如江苏一个网络感染蠕虫病毒，立即把地址等信息报告云中心，中心再同步其他网络，就可能阻止上海等其他网络被感染。这种技术有别于防火墙技术的静态被动式防护，极大地提高了防护的效率。目前，市场上云防护安全产品主要有思科ASA云火墙，一些个人防火墙也具备一些云防护功能。学校可以选择购买云防护构件，加入这些云防护中心。

（定西市通渭县榜罗中学）