构建校园网安全的体系.docVIP

构建校园网安全的体系 　　[摘要]校园网络是高校课题研究发展及人才培养的必备条件，校园网络安全对整个高校的安全和稳定至关重要。本文介绍了当前校园网常见安全威胁及传统网络安全体系的不完善性，结合三层交换技术，基于虚拟局域网的校园网安全体系，建立了一个网络层的合理网络信息安全体系。 　　[关键词] VLAN；校园网；交换机；网络安全 　　 [Abstract] The campus network is a university research development and personnel training, a prerequisite for campus network security is essential to security and stability of the entire university. This article describes common security threats of the campus network and traditional network security system is imperfect, the combination of the three-layer switching technology based on virtual LAN campus network security system, the establishment of a network layer network information security system.[Key words] VLANs; campus network; switch; network security 　　 　　中图分类号：TU714 文献标识码：A文章编号： 　　 校园规模的扩大造就了网络规模的不断膨胀。扩展网络规模时多采用在原有的网络基础上直接增加计算机数目的方法，使得网络体系变得越发复杂，对网络的治理也变得越来越困难，网内的安全系数降低，且网络资源的利用率也大大降低。此时，如何行之有效地达到其资源与安全最大化平衡成为最大的难题。本文从校园网安全角度出发，分析当前校园网常见安全威胁及传统网络安全体系的不完善性，基于目前逐渐被广泛应用的三层交换技术和虚拟局域网技术，构建一种校园网安全体系。 　　 当前VLAN技术及其优点 　　 VLAN(Virtual LocalArea Network)，即虚拟局域网，是一种利用工作组来逻辑划分局域网的技术，核心是网络分段。由于VLAN中成员通过交换机来通信，其成员间无法直接联系。根据不同的业务及安全级别，可以将网络分段并隔离，实现相互间的访问控制，以达到限制用户非法访问、加强内部网络管理的目的。目前，基于VLAN隔离技术的访问控制方法已在校园网安全体系中逐渐被广泛使用。 VLAN技术是在局域网内将工作站逻辑的划分成一个个网段从而实现虚拟工作组的技术。IEEE于1999年颁布了802.1Q关于VLAN的协议草案。是为了解决以太网广播问题和安全性而提出的协议。VLAN并非一种新型的网络，是包含一组端站点的逻辑上的LAN，其中的站点好像被同一网线连接在一起，而实际上可能出于LAN的不同物理网段。是一组逻辑上的设备或用户，它们就好像处于同一个物理LAN中一样相互通信，不受物理位置的限制。基于交换网络的VLAN目前大致可分为4类：基于端口的VLAN、基于MAC地址的VLAN、基于路由的VLAN和基于策略的VLAN。基于端口的VLAN划分是最简单、最有效的划分方法，是基于交换机端口的划分方法，只需网络管理员对网络设备的交换端口进行重新分配，不需考虑该端口所连接的设备，就可将属于不同交换机端口的不同网段划分在一个VLAN中；基于MAC地址的VLAN是MAC地址的集合，允许网络用户从一个位置移动到另一个物理位置，且自动保留起所属VLAN的成员身份，是基于网络用户的，但由于MAC地址的唯一性，初始化困难，且网卡更换就必须重新配置，另外它不能防止MAC欺骗攻击，有可能受到假冒MAC地址攻击的危险。 　　 VLAN技术的出现为设计、扩展、更改提供了更大的灵活性，主要体现如下： 　　 （1）使网络连接更加灵活。VLAN技术能够将不同地点的不同网络用户连接起来，形成类似本地局域网一样灵活、有效的网络，大大降低了移动工作站地理位置的管理费用。还可使处于不同地理位置的站点可划分到同一个虚拟网中，不受地理位置的限制；可根据功能、项目组、应用的需要来划分用户和设备，可根据实际情况增加和减少用户。 　　 （2）控制网络安全。VLAN中的防火墙机制在防止网络中广播过量的同时，可以将某个端口或用户赋予一个特定的VLAN组使其跨接多个交换机。方便站点