校园网网络病毒防护体系构建.docVIP

校园网网络病毒防护体系构建 　　摘 要 随着网络的发展，信息的传播越来越快捷，同时也给病毒的传播带来便利，互联网的普及使病毒在一夜之间传遍全球成为可能。而且，计算机病毒越来越向“多样化”发展。本文主要分析了计算机病毒的入侵校园网的途径，并对安全措施进行了分析，同时也提出了校园网具体的防毒需求。 　　关键词 网络病毒 邮件病毒 防病毒 校园网 　　中图分类号：TP393.08 文献标识码：A 　　随着计算机网络技术的迅速发展，计算机病毒的传播范围越来越广、扩散速度越来越快、破坏性也越来越强。网络环境下的病毒除了具有寄生性、传染性、潜伏性、可传播性、可执行性、隐蔽性、破坏性等计算机病毒的共性外，还具有通过网络和邮件系统传播、传播速度极快、危害性极大、变种多、难于控制等特征。 　　1 基于校园网的网络病毒防护需求分析 　　由于校园网通过中国教育和科研计算机网（CERNET）、中国宽带互联网（CHINANET）与外网相连，很可能会受到外网中的不安全因素的影响，产生病毒传播、黑客攻击、网络非法访问等安全问题。同时，校园网连接的除了学校各处室、办公室等教学行政单位网络，还连接校内的学生机器，也面临着来自内部的病毒破坏与一些内部用户的非法访问等。因此，想对病毒进行防御应首先分析它的特点以及它是使用那些方式进行入侵，针对这些特点及入侵途径再采取相关的防御措施才能有效地保护相关资源。 　　2 校园网防病毒系统的设计 　　2.1 第一道防线――建立多级防火墙 　　防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它可以监测、限制、更改进出网络的通信量，只让安全、核准的信息进入，同时抵制对网络有威胁的数据。防火墙一般将学校内部网络与 Internet 隔离成三个区域，即公共网区域（本校是通过区教育局服务器与外部连接的）、DMZ 区域（即主干交换机和服务器区域）、学校内部网络区域。 　　我校主要采用了三级防火墙的方法加强安全措施。外网进入我校时建立第一层防火墙，各区域访问校园网建立第二层防火墙，每个客户访问各区域建立第三层防火墙，有效地控制了病毒的攻击。校园网中防火墙的部署示意图如图1： 　　在校园网网络安全防护范围内，计算机中的数据或编码所经过的每一点和每一个可能的目的地都需要保护，其主要防护对象包括文件/应用服务器、邮件服务器和桌面PC和笔记本电脑，并对这些防护对象逐一进行加固。邮件服务器的防护、文件 / 应用服务器的防护、桌面 PC 和笔记本电脑的防护，这三道防线和防火墙构成立体的跨平台的病毒防护体系，进而实现校园网络每一个层次上的有效病毒防护。 　　2.2 第二道防线――邮件服务器防护 　　垃圾邮件和病毒邮件对邮箱产生了干扰，黑客可以利用漏洞攻击邮件服务器，对校园网中的信息窃取、篡改，2006年垃圾邮件严重影响了我校网络的正常运行，主要采取了三个方法：一是升级最新的高版本的服务器软件，利用软件自身的安全功能；二是进行VLAN的重新划分，三是采用第三方软件利用其诸如动态中继验证控制功能来实现。 　　2.2.1 VLAN的重新划分 　　VLAN是指在一个物理网段内进行逻辑划分，划分成若干虚拟局域网，相同VLAN内的主机可以相互直接通信，不同VLAN主机之间互相访问必须经路由设备进行转发，广播数据包只可以在本VLAN内进行广播，不能传输到其他VLAN中。VLAN结构分布如图2。 　　为了达到不同网段内的主机之间相互联系、相互通信，我们对交换机进行了相应的设置，有效地阻止了垃圾邮件的长驱直入。 　　2.2.2 利用Winmail软件 　　我校主要采取了使用Winmail架设防垃圾防病毒的邮件网关，软件产品安装在服务器上，与硬件产品相辅相成，除了防毒之外，也能够阻止垃圾邮件。 　　此软件需要经过相应的设置，在邮件网关上安装两块网卡，一块连接外网，一块连接内网。首先设置dns解析，增加一条记录指向邮件网关而不是邮件服务器。在 winmail 邮件网关上安装 winmail软件，保留smtp和admin两个服务，配置 winmail 邮件网关。在smtp设置中填上主机名；在信任主机IP中，把邮件服务器的IP地址加入到不需要认证的发信主机列表中，这样邮件服务器发往网关的信件就不需要用户认证了。 　　在“SMTP 设置”/“外域直接递送”中，设置域名直接递送到主机IP地址，这个一定要设置，不然网关会通过dns服务器去查询主域名的mx记录，也就是网关本身，就会造成循环递送了。 　　以上配置完成后，应该能收到 internet 的邮件了。邮件服务器如何发信，可以选择通过网关发信，也可以直接递送出去，具体设置需要看邮件服务器软件。 　　2.3 第三道防线――文件 / 应用服务器防网络病毒 　　为了更好地保护服务器，必须防止病毒通过漏洞入侵服务器、防止拒绝