【 摘 要 】 現(xiàn)在高校的校園網(wǎng)都已經(jīng)接入了互聯(lián)網(wǎng)，而互聯(lián)網(wǎng)的接入則有效地促進了校園教育信息化工作的快速與便捷的實現(xiàn)。然而在這個過程當(dāng)中，接入互聯(lián)網(wǎng)的校園網(wǎng)同時需要面對各種各樣的安全問題，導(dǎo)致其自身的安全正常運行受到了嚴(yán)重的威脅。本文針對校園網(wǎng)的安全威脅進行了分析，然后以此為基礎(chǔ)，探討了如何針對校園網(wǎng)的安全防御體系進行有效的構(gòu)建。

【 關(guān)鍵詞 】 校園網(wǎng)；完全威脅；安全策略

1 引言

作為學(xué)校重要的基礎(chǔ)設(shè)施，校園網(wǎng)能夠連接校內(nèi)網(wǎng)絡(luò)的各個系統(tǒng)以及計算機。校園網(wǎng)對因特網(wǎng)技術(shù)、多媒體技術(shù)以及現(xiàn)代網(wǎng)絡(luò)技術(shù)等多種技術(shù)進行了綜合運用，并且以這些技術(shù)作為基礎(chǔ)，將校內(nèi)計算機綜合網(wǎng)絡(luò)構(gòu)建起來，最終保證校園內(nèi)辦公、科研以及教學(xué)等及早的實現(xiàn)了現(xiàn)代化。正因為校園網(wǎng)在學(xué)校發(fā)揮著十分重要的作用，所以必須要重視其安全防御工作，從而能夠使其實現(xiàn)安全正常的運行。

2 校園網(wǎng)的安全現(xiàn)狀概述

通?？梢詫⑿@網(wǎng)劃分為兩個部分，也就是校園外網(wǎng)以及校園內(nèi)網(wǎng)，學(xué)校對外提供服務(wù)的服務(wù)器群就是所謂的校園外網(wǎng)，其主要包括財政專網(wǎng)、市政務(wù)平臺以及因特網(wǎng)的接入等。而校園內(nèi)網(wǎng)主要指的是家屬區(qū)局域網(wǎng)、教學(xué)局域網(wǎng)以及辦公局域網(wǎng)。校園網(wǎng)的服務(wù)系統(tǒng)主要是由校園網(wǎng)的服務(wù)器群構(gòu)成的，其中有OA、網(wǎng)絡(luò)版殺毒軟件、機房管理、電子圖書、財務(wù)、網(wǎng)絡(luò)監(jiān)控、FIP、Web、視頻點播、數(shù)據(jù)庫等?，F(xiàn)在在校園網(wǎng)的運行管理當(dāng)中主要包括程序安全漏洞、計算機木馬和病毒、網(wǎng)絡(luò)入侵、下載的濫用。

3 校園網(wǎng)安全防御體系的設(shè)計與部署

必須要從兩方面的工作著手進行校園網(wǎng)安全防御體系的設(shè)計與部署，也就是軟件設(shè)置與硬件部署。圖1為校園網(wǎng)安全防護體系示意圖。

3.1 軟件部署

3.1.1漏洞掃描

必須要對先進的漏洞掃描系統(tǒng)予以充分的運用，從而能夠?qū)蛻舳?、防火墻、路由交換設(shè)備、服務(wù)器以及工作站等實施定期的安全檢查。然后以相關(guān)的檢查結(jié)果作為根據(jù)，將詳細準(zhǔn)確的安全性分析報告提供給系統(tǒng)管理員，這樣可以有效地促進網(wǎng)絡(luò)安全整體水平的提升，學(xué)校的每臺主機都要配置正確的系統(tǒng)，并且要安裝充足的操作系統(tǒng)補丁，將自己的密碼保護好，同時還要將不必要的端口以及服務(wù)關(guān)閉掉。比如在校園網(wǎng)絡(luò)當(dāng)中針對WSUS服務(wù)器進行部署，能夠保證時刻處于最新狀態(tài)的用戶Windows操作系統(tǒng)，可以在服務(wù)器上直接針對操作系統(tǒng)的漏洞補丁進行上下載安裝，并不需要在微軟官網(wǎng)上進行更新，其能夠保證系統(tǒng)的更新速度具有更安全以及更快速的特點，并且能夠?qū)拵У牧髁抗?jié)省下來，在對系統(tǒng)的狀態(tài)進行更新的時候還可以直接在控制臺監(jiān)控客戶機操作系統(tǒng)實施操作。

3.1.2針對網(wǎng)絡(luò)版殺毒軟件進行部署

在整個局域網(wǎng)當(dāng)中針對病毒的發(fā)作、傳播以及感染進行預(yù)防是最為理想的狀況，要想實現(xiàn)這種理想的狀況，就需要采取必要的防病毒的手段針對可能會出現(xiàn)傳播和感染的地方進行預(yù)防。與此同時，要想使整個網(wǎng)絡(luò)的防病毒體系得到方便以及有效的管理和實施，就應(yīng)該針對分布查殺、集中管理、遠程報警、智能升級以及遠程安裝等各項功能進行部署。

3.1.3 Wireshark網(wǎng)絡(luò)分析軟件

有很多內(nèi)部因素會導(dǎo)致校園網(wǎng)出現(xiàn)問題，而又有許許多多的VLAN網(wǎng)段共同構(gòu)成了其內(nèi)部結(jié)構(gòu)。因此，要想對發(fā)生問題的網(wǎng)絡(luò)部分進行具體而清晰的了解，就可以對Wireshark網(wǎng)絡(luò)分析軟件進行充分的利用，Wireshark的功能等同于微軟公司出品的Sniffer，其能夠?qū)λ械臄?shù)據(jù)包在某個共享的網(wǎng)絡(luò)環(huán)境下進行實施分析和捕捉。

Wireshark網(wǎng)絡(luò)分析軟件一共包括幾種功能：詳細分析捕獲的網(wǎng)絡(luò)流量，通過對專家分析系統(tǒng)的有效運用從而對問題進行診斷、針對網(wǎng)絡(luò)活動實施實時的監(jiān)控、針對網(wǎng)絡(luò)錯誤以及利用率進行收集等。

3.1.4第三方的安全工具

在網(wǎng)絡(luò)當(dāng)中第三方安全工具有十分強大的功能，其中包括對系統(tǒng)漏洞進行修復(fù)、針對系統(tǒng)實施實時保護、針對應(yīng)用軟件進行管理、針對系統(tǒng)插件以及惡評插件進行清理、針對流行木馬進行查殺等若干強勁的功能。

與此同時，第三方安全工具還可以將系統(tǒng)的全面診斷報告提供出來，從而能夠使用戶針對網(wǎng)絡(luò)當(dāng)中出現(xiàn)問題的地方進行全面的定位。比較流行的第三方安全工具包括咔咔上網(wǎng)助手以及360安全衛(wèi)士等，其可以有效地結(jié)合殺毒軟件，從而保證安全防護具有全面立體的特點。

3.2 部署校園安全體系的硬件

校園安全系統(tǒng)的硬件部署共有五個方面組成，由內(nèi)到外分別是校園內(nèi)部VLAN、入侵檢測系統(tǒng)IDS、交換機系統(tǒng)、防毒墻系統(tǒng)和防火墻系統(tǒng)。

3.2.1部署防火墻系統(tǒng)的

所謂的防火墻，就是一道專用的防御系統(tǒng)，用來將安全區(qū)域（局域網(wǎng)）與風(fēng)險區(qū)域（風(fēng)險網(wǎng)絡(luò)）隔離開來。作為控制點和阻塞點的防火墻對內(nèi)部網(wǎng)絡(luò)的安全性有著重要的作用，能夠?qū)⒉话踩姆?wù)進行過濾，從而降低內(nèi)部網(wǎng)絡(luò)的風(fēng)險。能夠通過防火墻的必須是經(jīng)過選擇的應(yīng)用協(xié)議，并將危險的應(yīng)用協(xié)議進行過濾。防火墻必須根據(jù)校園網(wǎng)的安全目標(biāo)和策略，對安全過濾的規(guī)則進行規(guī)劃和設(shè)置。

對IP數(shù)據(jù)包進行規(guī)劃審核的項目內(nèi)容有：流向、目標(biāo)地址、源地址、端口和協(xié)議等。對于來自公網(wǎng)的非法訪問以及對于校園內(nèi)部網(wǎng)沒有必要的訪問都必須嚴(yán)格禁止。如利用TCP135端口的“沖擊波”，利用TCP445端口的“震蕩波”等，校園網(wǎng)邊界防火墻系統(tǒng)都可以根據(jù)相應(yīng)的訪問策略，對企圖連接TCP445、TCP135端口的數(shù)據(jù)包予以拒絕，從而達到將阻擋病毒的目的。

3.2.2部署防毒墻系統(tǒng)

防毒墻主要是對通過網(wǎng)關(guān)的數(shù)據(jù)包進行掃描，能夠?qū)SN協(xié)議、IMAP、POP3、SMTP、FTP、HTTP等內(nèi)容進行檢查，對發(fā)現(xiàn)的病毒進行清除。不僅如此通過安全策略，防毒墻系統(tǒng)還可以在網(wǎng)絡(luò)環(huán)境中，在內(nèi)外網(wǎng)的中間建立安全屏障，這道安全屏障可以阻止內(nèi)部用戶濫用外部網(wǎng)絡(luò)的不良資源，并防止外部網(wǎng)絡(luò)對內(nèi)部資源的侵犯。endprint

防毒墻既可以作為三層病毒掃描架構(gòu)（邊緣保護、服務(wù)器、客戶端）中的一個內(nèi)容，也可以相對獨立，作為一個邊緣病毒的掃描結(jié)構(gòu)。以正確的策略配置防毒墻，能夠通過對防火墻CPU負荷的降低而為內(nèi)部網(wǎng)絡(luò)的運行提供平穩(wěn)的保障。

3.2.3入侵檢測系統(tǒng)IDS的架設(shè)

入侵檢測系統(tǒng)IDS在防火墻的后面，能夠為網(wǎng)絡(luò)活動提供實時檢測，因此其架設(shè)對于校園網(wǎng)的安全非常重要。入侵檢測系統(tǒng)IDS可以對網(wǎng)絡(luò)活動進行禁止和記錄，有效的配合防火墻進行工作。

IDS能夠?qū)W(wǎng)絡(luò)的流量和活動進行監(jiān)視、記錄和掃描，以其規(guī)則對主機網(wǎng)卡的過濾包進行過濾，并及時報警。IDS會對網(wǎng)絡(luò)上所有的PACKETS進行被動的監(jiān)測，以捕捉惡意動作和危險信息包。必須對由于IDS的記錄非常龐大，因此其需要對其配置合適的規(guī)則，否則就難以達到應(yīng)有的效果。通過合理的配置，IDS能夠很好對系統(tǒng)網(wǎng)絡(luò)攻擊進行防范，對系統(tǒng)管理員的響應(yīng)能力、攻擊識別能力、監(jiān)視能力和安全審計能力都有很大的提高，保證了系統(tǒng)安全的基礎(chǔ)結(jié)構(gòu)的穩(wěn)定。

3.2.4部署交換機

交換機作為網(wǎng)絡(luò)的核心，對于網(wǎng)絡(luò)安全也有著重要的作用。在網(wǎng)絡(luò)建設(shè)中，安全問題是非常重要的。交換機的安全功能體現(xiàn)在其要能夠在病毒和黑客的攻擊下能夠保持其數(shù)據(jù)轉(zhuǎn)發(fā)的高速率。此外，交換機要對其他安全設(shè)備進行配合，以阻止和監(jiān)控網(wǎng)絡(luò)攻擊和非授權(quán)訪問。

3.2.5 VIAN技術(shù)的應(yīng)用

通過VIAN技術(shù)，能夠?qū)φ麄€校園網(wǎng)進行劃分，成為幾個廣播域，校園網(wǎng)內(nèi)部的網(wǎng)段之間就能實現(xiàn)隔離，但不影響不同地理位置的用戶能夠進入一個邏輯子網(wǎng)。VIAN技術(shù)可以防止網(wǎng)段之間的安全問題相互傳播，也對網(wǎng)絡(luò)廣播風(fēng)暴進行控制。

4 結(jié)束語

由于校園網(wǎng)的自身情況處于不斷的發(fā)展和變化當(dāng)中，而且還會不斷的出現(xiàn)各種各樣新的安全問題，因此校園網(wǎng)安全防御體系并不是建好之后就能夠萬事大吉，必須要采取有效的措施針對局域網(wǎng)實施及時的更新以及維護，從而能夠使校園網(wǎng)絡(luò)安全防御體系的良性發(fā)展得到充分的保證，并且使其的先進性以及安全性得到確保。

與此同時，由于校園網(wǎng)絡(luò)安全具有動態(tài)的以及整體的特征，所以校園網(wǎng)絡(luò)管理部門還必須要積極納入新的專門管理人才，同時要針對校園網(wǎng)絡(luò)安全防范管理的規(guī)章制度進行補充和完善，只有多管齊下，才能真正保證校園網(wǎng)絡(luò)運行過程中穩(wěn)定性、可靠性以及安全性的實現(xiàn)。

參考文獻

[1] 王元莉.Netflow技術(shù)與高校網(wǎng)絡(luò)管理[J].中國教育網(wǎng)絡(luò)，2012（6）：65-7.

[2] 薛晉康，許士博，吳興龍.基于流量分析的網(wǎng)絡(luò)隱蔽通道檢測模型[J].計算機工程，2012，20（12）：46-48.

[3] 任豐原，林闖，劉衛(wèi)東.PI網(wǎng)絡(luò)中的擁塞控制[J].計算機學(xué)報，2013，26（9）：1025-1034.

[4] 張德慶.Intetrnet網(wǎng)絡(luò)安全管理研究[J].計算機應(yīng)用，2012，21：70-73.

作者簡介：

王巖（1967-），男，湖北襄陽人，碩士，講師，工程師；主要研究方向和關(guān)注領(lǐng)域：計算機網(wǎng)絡(luò)技術(shù)、數(shù)據(jù)庫技術(shù)。endprint

防毒墻既可以作為三層病毒掃描架構(gòu)（邊緣保護、服務(wù)器、客戶端）中的一個內(nèi)容，也可以相對獨立，作為一個邊緣病毒的掃描結(jié)構(gòu)。以正確的策略配置防毒墻，能夠通過對防火墻CPU負荷的降低而為內(nèi)部網(wǎng)絡(luò)的運行提供平穩(wěn)的保障。

3.2.3入侵檢測系統(tǒng)IDS的架設(shè)

入侵檢測系統(tǒng)IDS在防火墻的后面，能夠為網(wǎng)絡(luò)活動提供實時檢測，因此其架設(shè)對于校園網(wǎng)的安全非常重要。入侵檢測系統(tǒng)IDS可以對網(wǎng)絡(luò)活動進行禁止和記錄，有效的配合防火墻進行工作。

IDS能夠?qū)W(wǎng)絡(luò)的流量和活動進行監(jiān)視、記錄和掃描，以其規(guī)則對主機網(wǎng)卡的過濾包進行過濾，并及時報警。IDS會對網(wǎng)絡(luò)上所有的PACKETS進行被動的監(jiān)測，以捕捉惡意動作和危險信息包。必須對由于IDS的記錄非常龐大，因此其需要對其配置合適的規(guī)則，否則就難以達到應(yīng)有的效果。通過合理的配置，IDS能夠很好對系統(tǒng)網(wǎng)絡(luò)攻擊進行防范，對系統(tǒng)管理員的響應(yīng)能力、攻擊識別能力、監(jiān)視能力和安全審計能力都有很大的提高，保證了系統(tǒng)安全的基礎(chǔ)結(jié)構(gòu)的穩(wěn)定。

3.2.4部署交換機

交換機作為網(wǎng)絡(luò)的核心，對于網(wǎng)絡(luò)安全也有著重要的作用。在網(wǎng)絡(luò)建設(shè)中，安全問題是非常重要的。交換機的安全功能體現(xiàn)在其要能夠在病毒和黑客的攻擊下能夠保持其數(shù)據(jù)轉(zhuǎn)發(fā)的高速率。此外，交換機要對其他安全設(shè)備進行配合，以阻止和監(jiān)控網(wǎng)絡(luò)攻擊和非授權(quán)訪問。

3.2.5 VIAN技術(shù)的應(yīng)用

通過VIAN技術(shù)，能夠?qū)φ麄€校園網(wǎng)進行劃分，成為幾個廣播域，校園網(wǎng)內(nèi)部的網(wǎng)段之間就能實現(xiàn)隔離，但不影響不同地理位置的用戶能夠進入一個邏輯子網(wǎng)。VIAN技術(shù)可以防止網(wǎng)段之間的安全問題相互傳播，也對網(wǎng)絡(luò)廣播風(fēng)暴進行控制。

4 結(jié)束語

由于校園網(wǎng)的自身情況處于不斷的發(fā)展和變化當(dāng)中，而且還會不斷的出現(xiàn)各種各樣新的安全問題，因此校園網(wǎng)安全防御體系并不是建好之后就能夠萬事大吉，必須要采取有效的措施針對局域網(wǎng)實施及時的更新以及維護，從而能夠使校園網(wǎng)絡(luò)安全防御體系的良性發(fā)展得到充分的保證，并且使其的先進性以及安全性得到確保。

與此同時，由于校園網(wǎng)絡(luò)安全具有動態(tài)的以及整體的特征，所以校園網(wǎng)絡(luò)管理部門還必須要積極納入新的專門管理人才，同時要針對校園網(wǎng)絡(luò)安全防范管理的規(guī)章制度進行補充和完善，只有多管齊下，才能真正保證校園網(wǎng)絡(luò)運行過程中穩(wěn)定性、可靠性以及安全性的實現(xiàn)。

參考文獻

[1] 王元莉.Netflow技術(shù)與高校網(wǎng)絡(luò)管理[J].中國教育網(wǎng)絡(luò)，2012（6）：65-7.

[2] 薛晉康，許士博，吳興龍.基于流量分析的網(wǎng)絡(luò)隱蔽通道檢測模型[J].計算機工程，2012，20（12）：46-48.

[3] 任豐原，林闖，劉衛(wèi)東.PI網(wǎng)絡(luò)中的擁塞控制[J].計算機學(xué)報，2013，26（9）：1025-1034.

[4] 張德慶.Intetrnet網(wǎng)絡(luò)安全管理研究[J].計算機應(yīng)用，2012，21：70-73.

作者簡介：

王巖（1967-），男，湖北襄陽人，碩士，講師，工程師；主要研究方向和關(guān)注領(lǐng)域：計算機網(wǎng)絡(luò)技術(shù)、數(shù)據(jù)庫技術(shù)。endprint

防毒墻既可以作為三層病毒掃描架構(gòu)（邊緣保護、服務(wù)器、客戶端）中的一個內(nèi)容，也可以相對獨立，作為一個邊緣病毒的掃描結(jié)構(gòu)。以正確的策略配置防毒墻，能夠通過對防火墻CPU負荷的降低而為內(nèi)部網(wǎng)絡(luò)的運行提供平穩(wěn)的保障。

3.2.3入侵檢測系統(tǒng)IDS的架設(shè)

入侵檢測系統(tǒng)IDS在防火墻的后面，能夠為網(wǎng)絡(luò)活動提供實時檢測，因此其架設(shè)對于校園網(wǎng)的安全非常重要。入侵檢測系統(tǒng)IDS可以對網(wǎng)絡(luò)活動進行禁止和記錄，有效的配合防火墻進行工作。

IDS能夠?qū)W(wǎng)絡(luò)的流量和活動進行監(jiān)視、記錄和掃描，以其規(guī)則對主機網(wǎng)卡的過濾包進行過濾，并及時報警。IDS會對網(wǎng)絡(luò)上所有的PACKETS進行被動的監(jiān)測，以捕捉惡意動作和危險信息包。必須對由于IDS的記錄非常龐大，因此其需要對其配置合適的規(guī)則，否則就難以達到應(yīng)有的效果。通過合理的配置，IDS能夠很好對系統(tǒng)網(wǎng)絡(luò)攻擊進行防范，對系統(tǒng)管理員的響應(yīng)能力、攻擊識別能力、監(jiān)視能力和安全審計能力都有很大的提高，保證了系統(tǒng)安全的基礎(chǔ)結(jié)構(gòu)的穩(wěn)定。

3.2.4部署交換機

交換機作為網(wǎng)絡(luò)的核心，對于網(wǎng)絡(luò)安全也有著重要的作用。在網(wǎng)絡(luò)建設(shè)中，安全問題是非常重要的。交換機的安全功能體現(xiàn)在其要能夠在病毒和黑客的攻擊下能夠保持其數(shù)據(jù)轉(zhuǎn)發(fā)的高速率。此外，交換機要對其他安全設(shè)備進行配合，以阻止和監(jiān)控網(wǎng)絡(luò)攻擊和非授權(quán)訪問。

3.2.5 VIAN技術(shù)的應(yīng)用

通過VIAN技術(shù)，能夠?qū)φ麄€校園網(wǎng)進行劃分，成為幾個廣播域，校園網(wǎng)內(nèi)部的網(wǎng)段之間就能實現(xiàn)隔離，但不影響不同地理位置的用戶能夠進入一個邏輯子網(wǎng)。VIAN技術(shù)可以防止網(wǎng)段之間的安全問題相互傳播，也對網(wǎng)絡(luò)廣播風(fēng)暴進行控制。

4 結(jié)束語

由于校園網(wǎng)的自身情況處于不斷的發(fā)展和變化當(dāng)中，而且還會不斷的出現(xiàn)各種各樣新的安全問題，因此校園網(wǎng)安全防御體系并不是建好之后就能夠萬事大吉，必須要采取有效的措施針對局域網(wǎng)實施及時的更新以及維護，從而能夠使校園網(wǎng)絡(luò)安全防御體系的良性發(fā)展得到充分的保證，并且使其的先進性以及安全性得到確保。

與此同時，由于校園網(wǎng)絡(luò)安全具有動態(tài)的以及整體的特征，所以校園網(wǎng)絡(luò)管理部門還必須要積極納入新的專門管理人才，同時要針對校園網(wǎng)絡(luò)安全防范管理的規(guī)章制度進行補充和完善，只有多管齊下，才能真正保證校園網(wǎng)絡(luò)運行過程中穩(wěn)定性、可靠性以及安全性的實現(xiàn)。

參考文獻

[1] 王元莉.Netflow技術(shù)與高校網(wǎng)絡(luò)管理[J].中國教育網(wǎng)絡(luò)，2012（6）：65-7.

[2] 薛晉康，許士博，吳興龍.基于流量分析的網(wǎng)絡(luò)隱蔽通道檢測模型[J].計算機工程，2012，20（12）：46-48.

[3] 任豐原，林闖，劉衛(wèi)東.PI網(wǎng)絡(luò)中的擁塞控制[J].計算機學(xué)報，2013，26（9）：1025-1034.

[4] 張德慶.Intetrnet網(wǎng)絡(luò)安全管理研究[J].計算機應(yīng)用，2012，21：70-73.

作者簡介：

王巖（1967-），男，湖北襄陽人，碩士，講師，工程師；主要研究方向和關(guān)注領(lǐng)域：計算機網(wǎng)絡(luò)技術(shù)、數(shù)據(jù)庫技術(shù)。endprint