高惠嬌

摘 要：校園網(wǎng)是實現(xiàn)教育現(xiàn)代化的重要硬件支撐，保障校園網(wǎng)絡(luò)高效、安全、穩(wěn)定運(yùn)行已成為信息技術(shù)教師必需的工作與任務(wù)，本文從網(wǎng)絡(luò)初期建設(shè)、網(wǎng)絡(luò)安全設(shè)置與網(wǎng)絡(luò)安全防范等方面闡述了筆者在校園網(wǎng)絡(luò)安全方面所做的實踐。

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)建設(shè)；網(wǎng)絡(luò)設(shè)置；網(wǎng)絡(luò)防護(hù)

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1673-8454（2009）10-0088-02

為貫徹落實教育部“校校通”工程，加快中小學(xué)教育信息化工作的步伐，實現(xiàn)網(wǎng)絡(luò)通訊和資源共享兩大功能，我校根據(jù)市教育局關(guān)于校園網(wǎng)建設(shè)的精神，投資100多萬元，建成了連通各教室、辦公室、圖書室及各功能用室的校園網(wǎng)絡(luò)。隨著學(xué)校校園網(wǎng)絡(luò)的建成運(yùn)行，如何維護(hù)網(wǎng)絡(luò)和服務(wù)器的安全、防止病毒發(fā)作與傳播、阻止網(wǎng)內(nèi)外的攻擊、保障網(wǎng)絡(luò)的暢通等成為學(xué)校信息中心首先要解決的安全問題。為了解決這些問題，我們主要從以下幾個方面進(jìn)行規(guī)劃、設(shè)置。

一、網(wǎng)絡(luò)建設(shè)合理規(guī)劃，避免出現(xiàn)安全隱患

71.合理劃分VLAN

為將廣播風(fēng)暴和IP互換等限在最小的范圍內(nèi)，我校原則上將每一個教室組、科室或功能用室劃分一個VLAN，聯(lián)機(jī)臺數(shù)較多的教研組再利用華為交換機(jī)PVLAN的功能劃分子VLAN，從而杜絕了數(shù)據(jù)被非法篡改和泄密，對于會計核算中心等有重要數(shù)據(jù)的單位，做到與互聯(lián)網(wǎng)物理隔離。同時設(shè)置了管理VLAN，信息中心管理人員可以通過管理VLAN登錄到任一交換機(jī)上進(jìn)行查看和操作，極大地方便了網(wǎng)絡(luò)管理人員解決網(wǎng)絡(luò)故障。

2.購置防火墻和殺毒軟件

防火墻能保護(hù)內(nèi)部網(wǎng)絡(luò)免于遭受外部的非法訪問和網(wǎng)絡(luò)攻擊，如SYN Flood、Ping of Death、DDOS等。在病毒發(fā)作時，我們在防火墻上設(shè)置為只開放WWW、POP、SMTP、FTP等常用的端口，防止路由器受到攻擊影響網(wǎng)速，待到全網(wǎng)查殺病毒后再正常開放，保證了網(wǎng)速的正常。在建網(wǎng)的同時，我們購買了瑞星網(wǎng)絡(luò)版殺毒軟件，并要求網(wǎng)內(nèi)所有的機(jī)器必須安裝客戶端。瑞星網(wǎng)絡(luò)版殺毒軟件能夠做到中心、客戶端自動升級和中心控制全網(wǎng)查殺和定時查殺，同時，可以利用網(wǎng)絡(luò)版的漏洞修復(fù)工具，將安裝瑞星客戶端的計算機(jī)統(tǒng)一進(jìn)行漏洞的掃描和修復(fù)，最大限度的使全網(wǎng)內(nèi)的病毒切斷傳播途徑，保障整個網(wǎng)絡(luò)暢通。

3.購買網(wǎng)管軟件

由于我校校園網(wǎng)全部采用了華為的交換機(jī)，我們安裝了華為的IManager Quidview網(wǎng)管軟件和北大青鳥網(wǎng)碩網(wǎng)絡(luò)管理系統(tǒng)，它們與SNMP相結(jié)合，能夠發(fā)現(xiàn)全網(wǎng)內(nèi)的交換設(shè)備和計算機(jī)形成拓?fù)浣Y(jié)構(gòu)圖，并能對設(shè)備及其接口的運(yùn)行狀態(tài)進(jìn)行查看和設(shè)置，讓網(wǎng)管人員了解全網(wǎng)設(shè)備的即時狀態(tài)，做到運(yùn)籌帷幄。

4.升級網(wǎng)絡(luò)安全設(shè)備

為進(jìn)一步加強(qiáng)我校校園網(wǎng)絡(luò)的數(shù)據(jù)安全，我校又采購了能夠有效對網(wǎng)絡(luò)攻擊實施阻斷的銳捷入侵防御系統(tǒng)RG-IPS，從而更加方便地對系統(tǒng)進(jìn)行安全策略配置、攻擊實時監(jiān)控和流量管理等操作。

二、做好安全設(shè)置，出現(xiàn)故障及時分析

1.重要數(shù)據(jù)進(jìn)行備份設(shè)置

郵件、信息發(fā)布、辦公平臺等服務(wù)器承載著教育信息的上傳下達(dá)，安全設(shè)置要求高。為保障服務(wù)器的不間斷運(yùn)行，我們在服務(wù)器中采用了Radi-5磁盤陣列進(jìn)行數(shù)據(jù)備份。對于會計中心等重要數(shù)據(jù)，我市使用了NAS4300文件服務(wù)器和備份軟件Backup Exec進(jìn)行實時備份，做到了數(shù)據(jù)萬無一失。

2.做好ACL訪問控制列表

訪問列表能夠阻止具有端口等特性的蠕蟲病毒或攻擊傳播，保證全網(wǎng)的正常運(yùn)行。我們在信息中心的主交換機(jī)和各級交換機(jī)等設(shè)備上做了訪問列表并不斷填充，使全網(wǎng)形成了一個ACL體系。

3.全網(wǎng)機(jī)器安裝個人防火墻和木馬查殺工具

木馬病毒能夠獲取用戶的資料，對服務(wù)器及用戶構(gòu)成了潛在的威脅，為此，我們要求全網(wǎng)均安裝個人防火墻和木馬查殺工具，以保護(hù)服務(wù)器和用戶的安全。

4.安裝協(xié)議分析軟件，出現(xiàn)故障及時分析

協(xié)議分析軟件是網(wǎng)管人員的好幫手，它能夠捕獲網(wǎng)絡(luò)流量進(jìn)行詳細(xì)分析和診斷，還能夠?qū)崟r監(jiān)控網(wǎng)絡(luò)活動、收集網(wǎng)絡(luò)利用率和錯誤等。我們在網(wǎng)管機(jī)器中安裝了Sniffer Pro 和Ethereal兩個軟件，當(dāng)出現(xiàn)網(wǎng)絡(luò)故障時，首先用ping等工具判斷故障所在地，然后用協(xié)議分析軟件捕獲故障地的數(shù)據(jù)進(jìn)行分析，找到攻擊或病毒的源頭。我們還在信息中心主交換機(jī)的上聯(lián)口做了端口鏡像，將數(shù)據(jù)映射到捕獲口上去，用協(xié)議分析軟件實時監(jiān)控網(wǎng)絡(luò)，及時發(fā)現(xiàn)不正常的數(shù)據(jù)流量進(jìn)行處理。我們在故障處理時一般遵循“先校內(nèi)后校外、先本端后對端、先交換后傳輸、先重點(diǎn)后一般、先群路后分路、先調(diào)通后修理、障礙消除后及時建立備案”的基本原則。

三、網(wǎng)絡(luò)安全防范中存在的問題

1.防范工作不具有預(yù)見性，是被動防范

華為網(wǎng)管軟件和協(xié)議分析軟件都具有查看和分析功能，但沒有預(yù)警功能，不能在出現(xiàn)異常數(shù)據(jù)時通知網(wǎng)管人員，致使不能把不安全因素消滅在萌芽中，網(wǎng)絡(luò)安全防范效率低。由于缺少硬件防毒設(shè)備，校園網(wǎng)中只能采用“感染病毒—?dú)⒍尽俑腥尽贇⒍尽钡哪Ｊ剑荒軐⒉《咀钃跤诰W(wǎng)絡(luò)的外部。

2.內(nèi)部防范功能低

各樓宇交換機(jī)與信息中心交換機(jī)采用光纖直聯(lián)，中間沒有安全網(wǎng)關(guān)、防病毒網(wǎng)關(guān)和認(rèn)證授權(quán)體系，服務(wù)器極易受到內(nèi)部的攻擊，且不易防范。

（編輯：隗爽）