高校防毒体系构建探讨.docVIP

高校防毒体系构建探讨 　　摘要：本文以高校网络安全防毒角度为出发点，首先阐述了目前高校计算机网络的发展现状，详细分析了一般高校网络组建的结构情况，然后通过对高校网络结构的分析，从防火墙技术和病毒查杀两个方面详细探讨高校防毒体系的构建。 　　关键词：高校防毒体系路由器防火墙 　　 　　1 引言 　　随着目前计算机网络技术的迅速发展，世界上各个行业都越来越离不开计算机和网络，各个行业在运用计算机技术进行办公自动化以及采用局域网和互联网进行网络资源共享的同时，也使得各行业内部的计算机处于互联网黑客及病毒等危险之中，基于计算机防毒安全问题日益突出。作为走在学术技术前沿的高校，防毒技术自然成为其研究和探讨的热点之一。 　　2 高校网络组建结构 　　在现代高校的网络组建过程中，网络架构等实际情况会根据高校自己的规模和需求进行相应的调整，各个高校都根据自身的条件来的规划，因此在网络组建的具体情况上各个高校的网络结构略有差异，但是，由于高校网络都是采用以内部局域网连接到外部互联网络，因此，该网络组建整体上具有共同特征，在高校的内部局域网络中，主干部分是核心层。核心层的主要目的在于通过高速转发通信，可靠的骨干传输结构，因此核心层主要部分是高性能的交换机组成。核心交换机拥有更高的可靠性，并且能够处理网络中大量的数据流量，具备很强的扩展能力。核心交换机为网络提供高速的主干链路及中心设备，是沟通服务器和访问层设备的桥梁，更要能实时的高品质的网络服务。高校内部局域网中内部服务器主要是用来分发网络资源到客户端的用户，并将网络中非中心数据的流量减少到最低。客户端目的是允许终端用户连接到网络，一般接入层的交换机处于网络体系结构的最下层，提供基于端口的数据交换以及对VLAN的支持。 　　3 高校防毒体系的构建 　　根据对普通高校网络结构的分析，最终用户要和外界联系通讯必须通过网络路由器、交换机等网络服务设备，这样对于外界网络安全全部都依赖于这些网络服务设备。因而针对于网络的安全防毒体系的构建必须以网络服务服务设备的病毒防备???主。本文从防火墙以及相关杀毒软件两个方面探讨防毒体系的构建。 　　（1）防火墙技术。①访问控制列表构建防火墙体系结构。访问控制列表是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是被拒绝，可以由类似于源地址、目的地址、端口号、协议等特定指示条件来决定。通过灵活地增加访问控制列表，ACL可以当作一种网络控制的有力工具，用来过滤流入和流出路由器接口的数据包。从而达到网络防火墙的作用。首先我们定义路由器全局配置模式下的访问列表，这里我们要求数据包在通过当前端口时是否匹配，访问列表是按照语句的编写顺序进行效验比较的，数据包头与访问列表的第一句不匹配，及继续与下一句进行效验，一直到有相匹配的语句时，数据包将被接受。如果在访问列表里没有一个语句是与数据包匹配的，数据包将被拒绝。在访问列表里，我们没有写通配符掩码，让路由器自动默认采用自动分配。当将访问列表应用到端口后，端口将立即执行命令对其主机进行作用，但是当计算机的IP地址改变后，这个端口的访问控制列表也将失效，这也是全局下配置访问控制列表的弊端。而通过扩展IP访问控制列表使功能上会变的更加灵活。我们在扩展访问列表的基础上，再加上时间控制就能基本实现我们要求达到的目的。因为我们基本控制的都是WEB访问的协议，我们定义一个扩展访问列表，然后再列表中最后一句加上时间范围，这样访问控制列表构建防火墙体系结构就基本完成了。②硬件防火墙的应用。在高校网络应用中，比较常见的是硬件防火墙，我以“WatchGuard”这款防火墙在高校中网络组建做个详细的介绍。当然，在我们使用防火墙之前我们首先得安装它，或者说是将防火墙与整个网络配置好。第一步我们必须选定防火墙的工作模式，一般为两个选项，一个为Drop-In Mode，另一个为Routed Mode。前者主要用于不带“非军事区”或者无内网的网络环境，在这里我们选择“Routed Mode”模式。然后我们把外接网口，内部接口、“非军事区”的选项添好，进行完网络设置后，我们即可通过GUI程序与硬件防火墙直接连接，并对防火墙进行配置。局域网与防火墙之间的配置。一个高校往往会分很多部门，不同部门对网络及网络安全的需求往往是不一样的。这种情况需要高校将LAN按部门区分开进行管理，这样不仅使得网络清晰化，也使得管理更方便。而同样的，也可以再防火墙上，将这些部门的计算机，按部门化进行划分开来。因此只要在防火墙上，将生产部的IP地址统一起来，列成一个一个得Group（组）式管理，对该组允许对80（HTTP）访问，允许及时通讯软件等对网络访问。 　　（2）病毒查杀清除技术。①手动清除病毒。想