摘 要：校園局域網(wǎng)網(wǎng)絡(luò)的安全十分重要，它承載著學校的教學、行政、后勤、招生等方面事務(wù)處理。文章從網(wǎng)絡(luò)安全的各個方面，詳細分析了威脅校園網(wǎng)絡(luò)安全的各種因素，并以Netfilter/iptables系統(tǒng)為例，介紹了如何在Red Hat Linux 9中安裝防火墻。
　　 關(guān)鍵詞：網(wǎng)絡(luò)體系安全：安全監(jiān)控；管理制度
　　
　　 校園局域網(wǎng)承載著校園的教學、行政、后勤等方面事務(wù)處理，它的安全狀況直接影響著學校的教學、行政管理、招生宣傳等活動。在網(wǎng)絡(luò)建成初期，安全問題可能還不突出，隨著應(yīng)用的深入，網(wǎng)絡(luò)上各種數(shù)據(jù)會急劇增加、訪問增多，潛在的安全缺陷和漏洞、惡意的攻擊等造成的問題開始頻繁出現(xiàn)。
　　 一、校園局域網(wǎng)一般受到的攻擊
　　 1. 病毒破壞
　　 通過網(wǎng)絡(luò)傳播的病毒無論是在傳播速度、破壞性和傳播范圍等方面都是單機病毒所不能比擬的。特別是在學校接入廣域網(wǎng)后，為外面病毒進入學校大開方便之門。
　　 2. 惡意入侵
　　 學校的行政部門會存放教師和學生重要的個人信息，因此會面臨來自外部和內(nèi)部的非法訪問。不法人員可能會通過非正常的手段獲得這些資料，給學校造成難以挽救的損失，同時也損害了學校本身的形象，影響了學校的正常運作。
　　 3. 惡意破壞
　　 對計算機硬件系統(tǒng)和軟件系統(tǒng)的惡意破壞，包括對網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)系統(tǒng)兩個方面的破壞。網(wǎng)絡(luò)設(shè)備包括服務(wù)器、交換機、集線器、路由器、通信媒體、工作站等，它們分布在整個學校范圍內(nèi)，不可能24小時專人看管，某些人員可能出于各種目的，有意或無意地將它們損壞，這樣會造成學校網(wǎng)絡(luò)全部或部分癱瘓。另一方面是利用黑客技術(shù)對學校網(wǎng)絡(luò)系統(tǒng)進行破壞。表現(xiàn)在以下幾個方面：對學校網(wǎng)站的主頁面進行修改，破壞學校的形象，向服務(wù)器發(fā)送大量信息使整個網(wǎng)絡(luò)陷于癱瘓；利用學校的郵件服務(wù)器轉(zhuǎn)發(fā)各種非法的信息等。
　　 4. 口令入侵
　　 為了方便管理，一般來說，學校會給每個員工分配一個賬號和密碼，并根據(jù)其應(yīng)用范圍，分配相應(yīng)的權(quán)限。某些員工可能會為了訪問不屬于自己應(yīng)該訪問的內(nèi)容，用不正常的手段竊取別人的口令，造成管理的混亂，甚至給學校帶來損失。
　　 二、安全管理的策略
　　 為保證校園網(wǎng)絡(luò)的安全性，一般采用以下一些策略。
　　 1. 設(shè)備安全
　　 在校園局域網(wǎng)規(guī)劃設(shè)計階段應(yīng)該充分考慮到網(wǎng)絡(luò)設(shè)備的安全問題，將一些重要的設(shè)備實行集中管理。各種通信線路要盡量實行深埋、穿線或架空，并有明顯標記，防止惡意損壞。
　　 2. 技術(shù)保證
　　 目前，網(wǎng)絡(luò)安全的技術(shù)主要包括殺毒軟件、防火墻技術(shù)、身份驗證等內(nèi)容。針對校園局域網(wǎng)來說，我們主要該采取以下一些技術(shù)措施。
　　 （1）運用內(nèi)容過濾器和防火墻。過濾器技術(shù)可以屏蔽不良的網(wǎng)站，對網(wǎng)上色情、暴力和邪教等內(nèi)容有強大的堵截功能。
　　 防火墻是借鑒了古代真正用于放火的防火墻的喻義。它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)內(nèi)部的信息、結(jié)構(gòu)和運行狀況，以此來實現(xiàn)網(wǎng)絡(luò)的安全保護。
　　 （2）運用VLAN技術(shù)。采用交換式局域網(wǎng)技術(shù)的校園局域網(wǎng)絡(luò)，可以運用VLAN技術(shù)來加強內(nèi)部網(wǎng)絡(luò)管理。
　　 （3）殺毒軟件。選擇合適的網(wǎng)絡(luò)殺毒軟件可以有效地防止病毒在校園局域網(wǎng)上傳播。它具有以下一些特征：第一，能夠支持所有的主流平臺，并實現(xiàn)軟件安裝、升級、配置的中央管理；第二，要能保護校園局域網(wǎng)所有可能的病毒入口，能適應(yīng)并且及時跟上瞬息萬變的Internet時代步伐；第三，具有較強的防護功能，可以對數(shù)據(jù)、程序提供有效的保護。
　　 三、使用Netfilter/iptables防火墻框架
　　 1. 簡介
　　 Netfilter/iptables可以對流入和流出的信息進行細化控制，且可以在一臺低配置機器上很好地運行，符合學校成本控制的需求，被認為是Linux中實現(xiàn)包過濾功能的第四代應(yīng)用程序。
　　 2. 安裝Netfilter/iptables系統(tǒng)
　　 因為Netfilter/iptables的netfilter組件是與內(nèi)核2.4.x集成在一起，對于Red Hat Linux9或更高版本的Liunx都配備了netfilter這個內(nèi)核工具，只需要下載安裝iptables源代碼包。
　　 3. 使用iptables的過濾規(guī)則
　　 通過向防火墻提供有關(guān)對來自某個源、到某個目的地或具有特定協(xié)議類型的信息包要做什么的指令，規(guī)則控制信息包的過濾。通過使用Netfilter/iptables系統(tǒng)提供的特殊命令iptables，建立這些規(guī)則，并將其添加到內(nèi)核空間的特定信息包過濾表內(nèi)的鏈中。
　　 4. iptables的運用
　　 學校服務(wù)器安裝的是Red Hat Linux 9.03操作系統(tǒng)，安裝完防火墻之后，進行了以下的測試。
　　 （1）接受來自指定IP地址的所有流入的數(shù)據(jù)包。#iptables -AINPUT-s192.168.129.134-j ACCEPT
　　 （2）只接受來自指定端口（服務(wù)）的數(shù)據(jù)包。#iptables-D INPUT-deport 80-j DROP
　　 （3）拒絕發(fā)往WWW服務(wù)器的客戶端的請求數(shù)據(jù)包。#iptables -A FORWARD -p tcp-d 192.168.129.131-dport www-I eth0 -j REJECT
　　 以上測試分別在連接一個客戶端、連接20個客戶端的狀態(tài)下進行，經(jīng)檢驗達到預(yù)期效果，有效地控制了客戶對不良網(wǎng)站的訪問以及非法信息的進入，保證了學校網(wǎng)絡(luò)的健康運行。
　　 校園局域網(wǎng)的安全及相應(yīng)的管理策略是一個需要長期關(guān)注的實用研究課題。Netfilter/iptables系統(tǒng)的一大優(yōu)點是可以根據(jù)情況的變化隨時添加/除去/編輯過濾規(guī)則，以保證校園局域網(wǎng)穩(wěn)定可靠運行。
　　
　　參考文獻：
　　[1]王麗娜.網(wǎng)絡(luò)多媒體信息安全保密技[M].武漢：武漢大學出版社，2003．
　　[2]李洋，汪虎松，等.Red Hat Linux 9系統(tǒng)與網(wǎng)絡(luò)管理教程[M].北京：電子工業(yè)出版社，2006.
　?。◤V州市交通技師學院）