基于三层交换机的校园网络防御体系探讨.docVIP

基于三层交换机的校园网络防御体系探讨 　　摘要：高校校园网络是高校现代化建设中重要的组成部分，同样，其安全问题也受到各个方面的威胁，本文结合高校网络建设过程中校园网络的安全特点，对于基于三层交换机的校园网络防御体系进行了探讨，研究了基于三层交换机嵌入式病毒防御与信息监控系统要解决的技术问题，并依据现有的技术提出了解决方案及发展的趋势。 　　关键词：校园网络；安全；三层交换机 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)36-2608-03 　　The Discussion of the Virus Defence System of Campus Network Based on the Three Layer Switches 　　MA Yin, YUAN Ping 　　(Southwest University of Science and Technology Institute of Computer Science and Technology, Mianyang 621010,China) 　　Abstract: The campus network is an important part of the construction of university modernization and its security issues is also intimidatory by various problems. This article is for the campus network security features of the discussion based on a three layer switch embedded virus defense and information monitoring system, which researches the technical problems based on the embedded virus defense and information monitoring system, and provide the solutions and development based on the existing technologies. 　　Key words: campus network;security;three layer switch 　　 　　1 引言 　　在网络为人们的工作和生活带来诸多益处的同时，也不断给网络用户带来新的烦恼。随着网络安全研究的深入，校园网络安全的研究也引起了人们的关注。校园网的普及和发展，对学校实现管理网络化和教育手段现代化，提高学校的管理水平和教学质量，发挥了积极的作用。但是，校园网具有开放性、互联性和共享性的特点，不可避免受到病毒、黑客、恶意软件和其他不轨行为的安全威胁和攻击，校园网络数据丢失、系统被改、网络瘫痪的事情时有发生。然而，更严重的是，对于部分高校校园的学生而言，抱着好奇或恶作剧的心态，会主动利用一些黑客工具和自己所掌握的专业技术知识对网络实施攻击，因此，单纯采用防火墙、防病毒软件或其他的网络安全管理工具是不能根本解决网络安全问题的。 　　处于同一个网段内的多台计算机，也位于同一个广播域，计算机之间可以互相访问，一方面容易形成广播风暴。另一方面，网络安全也难以保证，计算机病毒可以毫无阻挡地在网络上肆意传播无法隔离。同时，网络IP地址的盗用也很容易，这使得那些基于IP地址进行的访问权限设置也无法正常实现，检查发现的难度很大，隐蔽性很强。为此，特别需要采用三层交换技术，把一个大的计算机网络划分为相互隔离的子网络，同时又保持少量计算机的互访(例如服务器)[1]。 　　2 目前校园网网络中三层交换机的应用 　　由于电子技术与制造技术的迅猛发展，大规模集成电路和专用集成电路芯片成本呈指数地降低，使得三层交换机在网络建设中得以广泛地应用[2]。现在的校园网络多数是采用图1所示的网络解决方案，从中可以看出，三层交换机在网络中起到中流砥柱的作用。 　　从图1可以看出，目前的校园网络在汇聚层是应用了三层交换机，而在接入层是应用的二层交换机。交换的基本功能在于将输入输出端口连接起来从而实现业务流转发，以往的二层报文交换使用MAC地址来判别数据包的去向。三层交换机特点在于转发基于第三层地址的业务流，除了还可以进行与二层交换相似的交换、认证、报文过滤等功能外，三层交换机还可以进行路由处理，三层交换机自身所带的CUP、ASIC等硬件芯片以及众多的网络通信协议软件，为在不影响三层交换机进行信息流交换路由的基础上嵌入安全扫描、探测模块提供了基本条件的保证。