校園網(wǎng)網(wǎng)絡(luò)安全分析及安全解決方案

校園網(wǎng)網(wǎng)絡(luò)安全分析及安全解決方案摘要：該文詳細(xì)分析了校園網(wǎng)的安全問題并提出了相應(yīng)的對(duì)策。在分析校園網(wǎng)原有的網(wǎng)絡(luò)安全措施的基礎(chǔ)上，針對(duì)校園網(wǎng)在運(yùn)行中所遇到的實(shí)際問題，對(duì)電子郵件過濾檢測，入侵檢測，病毒檢測，防火墻設(shè)置等多方面提出了綜合性安全解決方案。關(guān)鍵字：網(wǎng)絡(luò)安全，校園網(wǎng)，入侵檢測，病毒檢測，防火墻一、網(wǎng)絡(luò)安全的現(xiàn)狀分析我院校園網(wǎng)由網(wǎng)絡(luò)中心、主干網(wǎng)和各樓內(nèi)的局域網(wǎng)組成。主干網(wǎng)以千兆以太網(wǎng)為主，覆蓋整個(gè)校區(qū)。部門級(jí)交換機(jī)根據(jù)下連的計(jì)算機(jī)數(shù)量和網(wǎng)絡(luò)應(yīng)用的級(jí)別，與中心交換機(jī)實(shí)現(xiàn)千兆、百兆連接。校園網(wǎng)的主干網(wǎng)中采用的是子網(wǎng)過濾結(jié)構(gòu)的雙路由器的結(jié)構(gòu)。Linux服務(wù)器執(zhí)行堡壘主機(jī)的功能，采用RedHatLinux7.2版作為操作系統(tǒng)。該系統(tǒng)裝有單一集成的可管理的軟件包，提供各種服務(wù)，包括入侵保護(hù)、性能加速、安全的VPN能力以及對(duì)外Internet訪問的全面控制等。由該主機(jī)的包過濾防火墻保護(hù)內(nèi)部網(wǎng)絡(luò)免受來自Internet的侵害。過濾范圍包括內(nèi)部網(wǎng)絡(luò)和堡壘主機(jī)之間的數(shù)據(jù)包，以防堡壘主機(jī)被攻占。同時(shí)，在該堡壘主機(jī)上，運(yùn)行多種服務(wù)器，如：電子郵件服務(wù)器、web服務(wù)器、FTP服務(wù)器等等。IntelExpress550TRoutingSwitch實(shí)現(xiàn)內(nèi)部路由的功能，有效地阻斷內(nèi)部子網(wǎng)間的廣播包發(fā)送，最大限度地減輕了網(wǎng)絡(luò)負(fù)擔(dān)。二、校園網(wǎng)絡(luò)中不安全的主要問題現(xiàn)階段，我院校園網(wǎng)的主題架構(gòu)已經(jīng)成型，然而隨著對(duì)網(wǎng)絡(luò)服務(wù)要求的進(jìn)一步提高，我們還要全面地解決在運(yùn)行中所出現(xiàn)的問題，從而提供更加完善的服務(wù)。1.IP盜用問題校園網(wǎng)內(nèi)部連接有幾千臺(tái)電腦，一部分電腦通過正常的申請(qǐng)途徑申請(qǐng)得到合法的IP地址，另一部分則不然。當(dāng)某些沒有IP地址的用戶，冒用他人的合法IP地址時(shí)，就會(huì)造成網(wǎng)絡(luò)內(nèi)部地址的沖突，嚴(yán)重阻礙了合法用戶的正常使用。2.防火墻攻擊防火墻系統(tǒng)相關(guān)技術(shù)的發(fā)展已經(jīng)比較成熟，防火墻系統(tǒng)很堅(jiān)固，但這只是對(duì)于對(duì)外的防護(hù)而已，它對(duì)于內(nèi)部的防護(hù)則幾乎不起什么作用。然而不幸的是，一般情況下有70%的攻擊是來自局域網(wǎng)的內(nèi)部人員。所以怎樣防止來自內(nèi)部的攻擊是當(dāng)前校園網(wǎng)建設(shè)中的一個(gè)非常重要的方面。3.Email問題由于用戶安全觀念的淡薄以及網(wǎng)上某些人的別有用心，會(huì)給校園網(wǎng)的Email用戶發(fā)一些不良內(nèi)容的信件，有時(shí)還會(huì)攜帶各種各樣的病毒。因此，怎樣防止有問題的信件進(jìn)入校園網(wǎng)的Email系統(tǒng)也是一個(gè)待解決的問題。4.各種服務(wù)器和網(wǎng)絡(luò)設(shè)備的掃描和攻擊有時(shí)會(huì)有一些用戶對(duì)校園網(wǎng)的服務(wù)器和網(wǎng)絡(luò)設(shè)備進(jìn)行掃描和攻擊，造成網(wǎng)絡(luò)負(fù)載過重，致使服務(wù)器拒絕提供服務(wù)，或造成校園網(wǎng)不能提供正常的服務(wù)。5.非法URL的訪問問題對(duì)于一些反動(dòng)的或不健康的站點(diǎn)，應(yīng)當(dāng)禁止校園網(wǎng)用戶通過校園網(wǎng)去訪問。6.病毒防護(hù)互聯(lián)網(wǎng)迅猛發(fā)展使得網(wǎng)絡(luò)運(yùn)營成為社會(huì)時(shí)尚，但同時(shí)也為病毒感染和快速傳播提供了途徑。病毒從網(wǎng)絡(luò)之間傳遞，并在計(jì)算機(jī)沒有任何防護(hù)措施的情況下運(yùn)行，從而導(dǎo)致系統(tǒng)崩潰，網(wǎng)絡(luò)癱瘓，對(duì)網(wǎng)絡(luò)服務(wù)構(gòu)成嚴(yán)重威脅，造成巨大損失。近階段泛濫的"尼姆達(dá)病毒"就是典型的例子。因此，如何讓校園網(wǎng)更安全，防止網(wǎng)絡(luò)遭受病毒的侵襲，已成為校園網(wǎng)迫切需要解決的問題。三、校園網(wǎng)安全的解決方法現(xiàn)階段，由于我院校園網(wǎng)已有較完善的網(wǎng)絡(luò)系統(tǒng)架構(gòu)，因此，在保證現(xiàn)有網(wǎng)絡(luò)工作順通的同時(shí)，再進(jìn)行開發(fā)和完善是解決校園網(wǎng)網(wǎng)絡(luò)安全的最佳選擇。現(xiàn)提出以下解決方法。1.采用入侵檢測系統(tǒng)入侵檢測技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安僅有效地加快了上網(wǎng)速度，又可以利用Squid代理服務(wù)過濾掉內(nèi)網(wǎng)無效訪問和攻擊，實(shí)現(xiàn)了透明代理。5.對(duì)于無法使用IP偽裝方式訪問Internet的特殊協(xié)議與軟件采用Socks代理服務(wù)。Socks是一組是用客戶端/服務(wù)器端結(jié)構(gòu)的Proxy協(xié)議。Socks的軟件組成包含Socks服務(wù)器程序及Socks客戶端應(yīng)用程序庫。用戶的應(yīng)用程序只要支持Socks協(xié)議就能通過Socks代理服務(wù)器連接到防火墻外的網(wǎng)絡(luò)。6.漏洞掃描系統(tǒng)解決網(wǎng)絡(luò)層安全問題，首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點(diǎn)。面對(duì)大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況，僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞、做出風(fēng)險(xiǎn)評(píng)估，顯然是不現(xiàn)實(shí)的。解決的方案是，尋找一種能查找網(wǎng)絡(luò)安全漏洞、評(píng)估并提出修改建議的網(wǎng)絡(luò)安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對(duì)網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞。7.IP盜用問題的解決在路由器上捆綁IP和MAC地址。當(dāng)某個(gè)IP通過路由器訪問Internet時(shí)，路由器要檢查發(fā)出這個(gè)IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，如果相符就放行。否則不允許通過路由器，同時(shí)給發(fā)出這個(gè)IP廣播包的工作站返回一個(gè)警告信息。8.利用網(wǎng)絡(luò)監(jiān)聽維護(hù)子網(wǎng)系統(tǒng)安全對(duì)于校園網(wǎng)外部的入侵可以通過安裝防火墻來解決，但是防火墻對(duì)于校園網(wǎng)內(nèi)部的侵襲則無能為力。在這種情況下，可以采用這樣的方法：為校園網(wǎng)內(nèi)部的各個(gè)子網(wǎng)做一個(gè)具有一定功能的審計(jì)文件，為管理人員分析內(nèi)部網(wǎng)絡(luò)的運(yùn)作狀態(tài)提供依據(jù)?？傊?，通過以上方法，以及校園網(wǎng)中的原有網(wǎng)絡(luò)安全措施，基本上可以建立一套相對(duì)完整的網(wǎng)絡(luò)安全系統(tǒng)。不過，網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的工程，不能僅僅依靠防火墻等單個(gè)的系統(tǒng)，而需要仔細(xì)考慮系統(tǒng)的安全需求，并將各種安全技術(shù)，如密碼技術(shù)等，結(jié)合在一起，才能生成一個(gè)高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。【參考文獻(xiàn)】[1]梁亞聲