校园网络维护的探讨.docVIP

校园网络维护的探讨 　　摘要：校园网络的蓬勃发展给网络管理者带来了很大的挑战和麻烦。文章主要对网络管理和维护进行了探讨。根据目前已有的防火墙技术并结合自身的经验对校园网络提出一套管理和维护的方法。深入剖析了ARP病毒的攻击原理并给出了整体解决方案，该方案旨在既保证网络安全又能提高网络的传输效率。 　　关键词：校园网络；网络管理；防火墙；ARP病毒 　　 　　0　引言 　　 　　随着科技的进步，网络也逐渐成为了人们在工作、生活中不可缺少的一部分，人们在享受网络带来的乐趣的同时也对网络的服务和质量提出了更高的要求。从目前网络发展的情况来看，高校的网络得到了较快的发展，每个院校都拥有自己的校园网络。 　　校园网络的快速发展所带来的问题就是网络规模急剧膨胀、网络用户数量快速增长。目前校园网络已应用到教学方面，成为了教育行业不可或缺基础设施之一，保证校园网络能够快速、稳定、安全成为了网络管理人员的头等大事。 　　 　　1　校园网络管理 　　 　　1.1 Vlan划分 　　校园网络的不断膨胀和用户的不断增多，会带来许多的问题，例如网络安全、IP地址冲突等。解决这些问题的一个办法就是划分Vlan(virtual local area network,虚拟网络)，将网络配置成几种不同的安全级别模式。这种方法主要应用于校园网络以及用户的隔离，使得网络数据包在很小的网络范围内传输，确保校园内部的网络信息不被远程的主机节点所访问。 　　 　　1.2划分Vlan的作用 　　划分Vlan的主要作用有两个，其中一个是保证网络的安全，阻止那些未经授权的主机，擅自访问校园内部资源；另一个作用就是减少广播在网络中的传播范围，将广播隔离到一个小的子网中，提高网络的传输效率。 　　校园网络可以按照机构或部门进行划分Vlan，也可以按照教学楼划分，这样可以使得各个部门的主机、内部服务器等都在自己Vlan中内工作，且相互不会干扰。 　　 　　1.3IP地址 　　当用户主机接入校园网时，需要给其分配一个IP地址。如果给其固定一个IP地址，则不够科学，而且不好管理。例如在用户电脑非常多的情况下，当一个用户随意修改自己电脑的IP地址时，可能会导致IP冲突。所以最好使用DHCP服务器来给校园主机分配IP地址，这样不仅用户不需要手动配置IP地址，而且容易管理，只要用户把电脑的IP设置为自动获取就可以达到“即插即用”的效果，而且也能保证子网当中不会出现IP冲突等问题。现在的三层交换机都具备DHCP服务器的功能，只要启动DHCP服务，就可以为一子网分配IP地址。 　　 　　1.4防火墙 　　校园网络当中使用大量的应用性服务器，极易成为黑客攻击的目标。为确保这些服务器能够正常、稳定的工作，我们需要一些软硬件设备使其与外部网络隔离，对此，防火墙是最佳的选择。防火墙是设立在内外之间的一道安全屏障，可以有效防止外部用户在未授权的情况下非法访问校内资源。各个高等院校可以根据自己的需求来设置防火墙的过滤规则，网络管理人员可以随时查看防火墙的日志，及时发现异常的记录，并采取必要的安全措施。 　　目前的防火墙根据其技术的不同大体上可分为以下几种。 　　包过滤型，目前，包过滤型防火墙仍然是保护内部网络的最主要的技术。这种防火墙当接收到外部网络连接请求时，首先根据数据包的信息来判断一下是否来自可信网络，如果发现是来自危险站点的通信数据包，便丢弃掉，不让此类数据包通过防火墙。防火墙的判断规则是由网络管理员根据实际的情况来制定的，这些过滤信息存储在防火墙的通信端口之中，防火墙利用这些规则来审查通过该端口的每一个数据包，根据其包头信息和通信地址来判断是丢弃该数据包，还是让其通过。 　　代理型代理型防火墙又称代理服务器(Proxy Server)，它的安全性能要高过包过滤型防火墙，主要在于代理服务器应用于客户端和服务器的之间，不允许两者直接通信。其原理是：当内部主机需要连接外部服务器时，首先向代理服务器发送连接请求，由代理服务器检查该请求是否合法，然后再由代理服务器以客户机的形式向真正的服务器发送数据请求；当数据返回时，数据先返回到代理服务器，由代理服务器检查数据是否合法，然后才把数据发给真正需求的主机。代理服务器技术的关键在于它切断了内网、外网的数据通道，当有连接请求时必须要通过代理服务器，这样保证了内网的安全性；并且当下次请求同一数据时，可以直接从代理服务器取得，不必再经过外网，提高了网络的速度。 　　状态监测型状态监测型防火墙安全性能远远高出了传统包过滤防火墙，它的包过滤规则不是静态的，而是利用先前数据包进行归纳分析获取数据包的一些状态信息动态地生成过滤规则。而且根据这些规则对防火墙可以主动的、实时地对网络各层进行监控。 　　 　　2　校园网络维