论文部分内容阅读
校园网络安全是一个系统性工程,不能仅依靠防病毒、防火墙、VLAN、云火墙等网络安全技术。任何技术的应用,都必须建立在对人和资源的有效管理上,学校应建立相应的规章制度,确保校园网正常安全运行,朝着健康有序方向发展。
一、防病毒技术
新型病毒层出不穷,传播速度快,破坏能力越来越强。校园网必须在网络系统的各个环节严加防范,才能控制或阻止病毒的侵害。考虑学校教学用机数量庞大,要建立全面的主动病毒防护体系,在每台工作站、服务器上都要有反病毒软件并能统一管理。校园网与Internet相连的网关,也要安装防病毒软件进行拦截,以阻止病毒进入校园网传播扩散。由于师生信息浏览和EMAIL通信的普遍性,在Internet浏览、下载的信息时有可能传播病毒到内部网络上,防病毒软件要能阻止网页携带的Applet小应用程序、ActiveX等病毒破坏,发现并清除隐藏在EMAIL、QQ、MSN、附件中的欺骗性病毒和木马。
目前,主流的防病毒产品主要有赛门铁克、趋势、江民、金山等,网络上也不乏免费杀毒软件,如360杀毒。首次安装防病毒软件时,一定要对计算机做一次彻底的病毒扫描,注意定期查杀,及时进行软件的更新。
二、防火墙与网络隔离技术
配置防火墙可以最大限度防止Internet上的不安全因素蔓延到校园网内部。校内单机可以使用个人防火墙,网上这样的免费或限时软件很多,比如:360安全卫士、天网。校园内外网之间,可根据学校需要配置软件或硬件防火墙。软件防火墙依赖于服务器的操作系统,安全性有较大限制,速度也比较慢,建议有条件的学校配置硬件防火墙。硬件防火墙有专用硬件平台和专用操作系统,甚至芯片级硬件防火墙使用专门芯片硬件平台。没有操作系统,它们的速度快、性能高、处理能力强。目前,常用的软件防火墙有Checkpoint、KFW傲盾、天网等,常用的硬件防火墙有Net Screen、Cisco、Hill stone等,还可根据学校需要选配NAT、DNS、VPN、IDS等不同模块。
网络隔离技术在内、外部主机系统中嵌入安全加固且不同的操作系统,内部主机的操作系统对外部攻击者是不可见的。在校园网和外部网络之间形成了物理隔离带,消除了基于网络协议的攻击。这种技术的应用,必将使校园网络管理高效化、简单化,安全级别也更高。
三、VLAN技术
随着校园网络规模扩大,网内机器超过200台时网络管理将极为困难。在实际应用时,采取VLAN技术把校园网划分为行政办公、教师、学生等子网。划分可以跨过物理设备,各子网之间无法直接通信,信息仅在VLAN内的成员之间传送,限制非成员数据转发,从而减少了主干网的数据流量,控制网络风暴在必要范围内,并增强网络的安全性,利于管理。根据校园网管理特点,通常选择下面三种方法划分VLAN。
(1)基于端口的划分。根据以太网交换机的端口划分不同VLAN,可以把跨交换机的端口划分到同一VLAN中,一个VLAN对应一个端口集合,一个端口在某一时间只能位于一个VLAN中。比如可以把交换机SWl的端口1、4-5和SW2的端口2-3、6划为VLANl;把交换机SWl的端口2、3和SW2的端口1、4、5划为VLAN2。这种方法简单易行,但是灵活性差。当教学用机需要移动时,新端口不位于原VLAN中时,机器不能直接连接通信,需要管理员重新定义端口配置。
(2)基于MAC地址的划分。校园网中的每个MAC地址对应一台计算机,一个VLAN就是一个MAC地址集合。比如把所有教师机的MAC地址添加到VLANl中,所有学生机的MAC地址添加到VLAN2中。配置完成后,交换机根据MAC地址识别和跟踪教学用机。即使教学用机或服务器移动位置,更换端口,也不会改变其所属的VLAN。这种方法,用户使用灵活,但是管理员工作量大而烦琐:初始化时,如果用户数量较多,要收集所有计算机MAC地址,对所有计算机进行配置,工作量极大;后期,每一台新计算机入网时,也需要添加到对应的VLAN中,否则不能连接。
(3)基于IP地址划分。校园网中的网络层IP地址对应一台计算机,一个VLAN就是一个IP地址集合。例如:把IP地址192.168.1.1-192.168.1.100设置为VLANI给教师使用,把192.168.2.1-192.168.2.200设置为VLAN2给学生使用。它具有第2种划分方法的优点,用户计算机可以不修改网络配置移动,并且无需收集MAC地址对所有计算机单独配置。但校园网中每次数据转发,都需要检查TCP/IP协议的网络层,网络工作效率低。
目前,应用比较广泛的具备VLAN功能的交换机、路由器主要有Cisco、锐捷、神州数码等,这些网络设备也不一定具备VLAN所有划分方式。因此,学校要根据自己的要求和价格承受能力,选择不同层次和功能的VLAN网络设备,再根据实际设备选择适合的VLAN划分方式配置网络。
四、云防护技术
校园网中Email、BBS、Web、即时通信、上传下载各种服务和应用繁多,这也为黑客提供了更多的攻击途径。目前针对网络的联合攻击规模越来越大,破坏性越来越强。许多校园网络工作站点要么成为“僵尸”,要么成为被攻击的对象。比如:“僵尸网络”就是通过挂马、下载等途径控制数量巨大的“肉鸡”对目标进行DOS等攻击;还有“零日攻击”指恶意运用立即被发现的安全漏洞,利用时间差在网络未及防范的情况下实施攻击。
云防护技术就是通过云火墙、网络防控中心,动态、主动、协同阻止病毒、木马、蠕虫的蔓延和破坏。互联网中,攻击经常是不可避免的。例如江苏一个网络感染蠕虫病毒,立即把地址等信息报告云中心,中心再同步其他网络,就可能阻止上海等其他网络被感染。这种技术有别于防火墙技术的静态被动式防护,极大地提高了防护的效率。目前,市场上云防护安全产品主要有思科ASA云火墙,一些个人防火墙也具备一些云防护功能。学校可以选择购买云防护构件,加入这些云防护中心。
(定西市通渭县榜罗中学)
一、防病毒技术
新型病毒层出不穷,传播速度快,破坏能力越来越强。校园网必须在网络系统的各个环节严加防范,才能控制或阻止病毒的侵害。考虑学校教学用机数量庞大,要建立全面的主动病毒防护体系,在每台工作站、服务器上都要有反病毒软件并能统一管理。校园网与Internet相连的网关,也要安装防病毒软件进行拦截,以阻止病毒进入校园网传播扩散。由于师生信息浏览和EMAIL通信的普遍性,在Internet浏览、下载的信息时有可能传播病毒到内部网络上,防病毒软件要能阻止网页携带的Applet小应用程序、ActiveX等病毒破坏,发现并清除隐藏在EMAIL、QQ、MSN、附件中的欺骗性病毒和木马。
目前,主流的防病毒产品主要有赛门铁克、趋势、江民、金山等,网络上也不乏免费杀毒软件,如360杀毒。首次安装防病毒软件时,一定要对计算机做一次彻底的病毒扫描,注意定期查杀,及时进行软件的更新。
二、防火墙与网络隔离技术
配置防火墙可以最大限度防止Internet上的不安全因素蔓延到校园网内部。校内单机可以使用个人防火墙,网上这样的免费或限时软件很多,比如:360安全卫士、天网。校园内外网之间,可根据学校需要配置软件或硬件防火墙。软件防火墙依赖于服务器的操作系统,安全性有较大限制,速度也比较慢,建议有条件的学校配置硬件防火墙。硬件防火墙有专用硬件平台和专用操作系统,甚至芯片级硬件防火墙使用专门芯片硬件平台。没有操作系统,它们的速度快、性能高、处理能力强。目前,常用的软件防火墙有Checkpoint、KFW傲盾、天网等,常用的硬件防火墙有Net Screen、Cisco、Hill stone等,还可根据学校需要选配NAT、DNS、VPN、IDS等不同模块。
网络隔离技术在内、外部主机系统中嵌入安全加固且不同的操作系统,内部主机的操作系统对外部攻击者是不可见的。在校园网和外部网络之间形成了物理隔离带,消除了基于网络协议的攻击。这种技术的应用,必将使校园网络管理高效化、简单化,安全级别也更高。
三、VLAN技术
随着校园网络规模扩大,网内机器超过200台时网络管理将极为困难。在实际应用时,采取VLAN技术把校园网划分为行政办公、教师、学生等子网。划分可以跨过物理设备,各子网之间无法直接通信,信息仅在VLAN内的成员之间传送,限制非成员数据转发,从而减少了主干网的数据流量,控制网络风暴在必要范围内,并增强网络的安全性,利于管理。根据校园网管理特点,通常选择下面三种方法划分VLAN。
(1)基于端口的划分。根据以太网交换机的端口划分不同VLAN,可以把跨交换机的端口划分到同一VLAN中,一个VLAN对应一个端口集合,一个端口在某一时间只能位于一个VLAN中。比如可以把交换机SWl的端口1、4-5和SW2的端口2-3、6划为VLANl;把交换机SWl的端口2、3和SW2的端口1、4、5划为VLAN2。这种方法简单易行,但是灵活性差。当教学用机需要移动时,新端口不位于原VLAN中时,机器不能直接连接通信,需要管理员重新定义端口配置。
(2)基于MAC地址的划分。校园网中的每个MAC地址对应一台计算机,一个VLAN就是一个MAC地址集合。比如把所有教师机的MAC地址添加到VLANl中,所有学生机的MAC地址添加到VLAN2中。配置完成后,交换机根据MAC地址识别和跟踪教学用机。即使教学用机或服务器移动位置,更换端口,也不会改变其所属的VLAN。这种方法,用户使用灵活,但是管理员工作量大而烦琐:初始化时,如果用户数量较多,要收集所有计算机MAC地址,对所有计算机进行配置,工作量极大;后期,每一台新计算机入网时,也需要添加到对应的VLAN中,否则不能连接。
(3)基于IP地址划分。校园网中的网络层IP地址对应一台计算机,一个VLAN就是一个IP地址集合。例如:把IP地址192.168.1.1-192.168.1.100设置为VLANI给教师使用,把192.168.2.1-192.168.2.200设置为VLAN2给学生使用。它具有第2种划分方法的优点,用户计算机可以不修改网络配置移动,并且无需收集MAC地址对所有计算机单独配置。但校园网中每次数据转发,都需要检查TCP/IP协议的网络层,网络工作效率低。
目前,应用比较广泛的具备VLAN功能的交换机、路由器主要有Cisco、锐捷、神州数码等,这些网络设备也不一定具备VLAN所有划分方式。因此,学校要根据自己的要求和价格承受能力,选择不同层次和功能的VLAN网络设备,再根据实际设备选择适合的VLAN划分方式配置网络。
四、云防护技术
校园网中Email、BBS、Web、即时通信、上传下载各种服务和应用繁多,这也为黑客提供了更多的攻击途径。目前针对网络的联合攻击规模越来越大,破坏性越来越强。许多校园网络工作站点要么成为“僵尸”,要么成为被攻击的对象。比如:“僵尸网络”就是通过挂马、下载等途径控制数量巨大的“肉鸡”对目标进行DOS等攻击;还有“零日攻击”指恶意运用立即被发现的安全漏洞,利用时间差在网络未及防范的情况下实施攻击。
云防护技术就是通过云火墙、网络防控中心,动态、主动、协同阻止病毒、木马、蠕虫的蔓延和破坏。互联网中,攻击经常是不可避免的。例如江苏一个网络感染蠕虫病毒,立即把地址等信息报告云中心,中心再同步其他网络,就可能阻止上海等其他网络被感染。这种技术有别于防火墙技术的静态被动式防护,极大地提高了防护的效率。目前,市场上云防护安全产品主要有思科ASA云火墙,一些个人防火墙也具备一些云防护功能。学校可以选择购买云防护构件,加入这些云防护中心。
(定西市通渭县榜罗中学)