校园网安全概述及防范的策略.docVIP

校园网安全概述及防范的策略 　　摘 要：校园网和一般的网络相比，具有一定的特殊性，高校校园网的用户主要是在校大学生和教学科研人员，其中数量庞大的大学生用户，因为知识水平较高，求知探索欲较强，更容易对网络造成破坏。该文主要介绍了有关校园网安全的特点，校园网面临的主要威胁，安全防范的方法，通过部署网络防火墙，划分虚拟局域网、建立虚拟专用网、在出口路由器实施NAT、MAC地址绑定等方法进行网络安全防范。 　　关键词：校园网安全 vlan技术 网络地址转换 端口安全 　　中图分类号：G717 文献标识码：A 文章编号：1672-3791（2016）12（b）-0198-02 　　1 校园网安全特点 　　校园网和一般的网络相比，具有一定的特殊性，高校校园网的用户主要是在校大学生和教学科研人员，其中数量庞大的大学生用户，因为知识水平较高，求知探索欲较强，更容易对网络造成破坏。在此环境下，校园网安全显得尤为重要。 　　校园网的安全主要来自外网安全和内网安全两方面，外网的威胁，主要有黑客发起的DDos攻击、网站挂马、网络病毒、信息窃取等；对于内网，病毒攻击、广播风暴、漏洞扫描、内网渗透、非授权访问等，更容易对网络造成破坏。 　　2 校园网安全防范 　　2.1 部署网络防火墙 　　防火墙是连接网络内外网之间的堡垒，安全系数高的防火墙能够起到抵抗外网黑客攻击，保护内网的作用。防火墙一般部署在网络的边界，起到隔离内外网的作用。外网黑客想要入侵内网，首先需要入侵者穿越防火墙设置的安全防线，才能接触内网的目标主机。 　　2.2 划分VLAN 　　VLAN（Virtual Local Area Network）虚拟局域网，在校园网中，把不同部门划分到不同VLAN中，通过访问控制列表限制不同部门之间的访问，提高了安全性。另一个方面，不划分VLAN，整个交换机都处于一个广播域中，任何一台PC发送的广播报文都能传送至整个广播域，占用了大量的网络带宽，划分VLAN后，缩小的广播域的大小，进而缩小了广播报文能够到达的范围，提升了网络性能。 　　划分VLAN的部分代码如下： 　　（1）划分VIAN。 　　Switch#vlan data //进入VLAN数据库模式 　　Switch（vlan）#vlan 31 name jiaowuchu //添加VLAN 31，名字为jiaowuchu 　　Switch（vlan）#vlan 32 name caiwuchu //添加VLAN 32，名字为caiwuchu 　　（2）把端口分配到VIAN中。 　　Switch（config）#int gigabitEthernet 1/1 //?M入端口配置模式 　　Switch（config-if）#switchport access vlan 31 //把端口G1/1添加到VLAN 31中 　　2.3 实施NAT 　　实现安全防护的另一个强大的技术就是NAT（网络地址转换）。实施网络地址转换能隐藏内网的IP地址，整个内网统一以一个公网IP访问互联网，使得黑客无法了解校园网的网络拓扑结构和IP地址规划，同时，通过网络地址转换后访问外网，能节省大量IP地址。 　　（1）超载NAT的部分代码如下。 　　Router（config）#int fa0/0//进入fa0/0端口配置模式 　　Router（config-if）#ip nat outside//指定该端口为连接外网的端口 　　Router（config-if）#int fa0/1//进入fa0/1端口配置模式 　　Router（config-if）#ip nat inside//指定该端口为连接内网的端口 　　Router（config）#ip nat pool gxsdxy 124.227.192.162 124.227.192.164 netmask 255.255.255.248//定义一个名字为gxsdxy的地址池，用于NAT地址转换 　　Router（config）#access-list 1 permit 192.168.1.0 0.0.255.255//定义1条ACL 　　Router（config）#ip nat inside source list 1 pool gxsdxy overload//定义超载NAT，是内部计算机能上网。 　　（2）静态NAT的部分代码如下。 　　Router（config）#ip nat inside source static tcp 192.168.8.1 80 200.10.10.2 80//定义一条静态nat映射，允许外网用户使用200.10.10.2的地址访问服务器192.168.8.1的web服务。