校园网安全防护的策略.docVIP

校园网安全防护的策略 　　摘 要：本文通过对当前校园网面临的潜在安全威胁的具体分析，提出了校园网安全防护策略，其中重点阐述了信息安全防范策略。笔者长期从事军训网的管理及维护工作，根据实际工作经验总结出了如何通过编写设备层ACL、如何配置网络服务器（Windows Server），来保障校园网的信息安全，具有较高的实用价值。 　　关键词：校园网 信息安全 密钥 ACL 　　中图分类号：TP393.18 文献标识码：A 文章编号：1673-8454（2009）09-0028-03 　　 　　随着计算机网络技术的不断发展，教育信息化、校园网络化作为网络时代的教育方式和环境，已经成为教育发展的方向。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络中存在着自然和人为等诸多不确定因素威胁着网上信息和设备安全。 　　 　　一、威胁网络安全的因素 　　 　　（1）自然灾害；（2）人祸，如计算机病毒、失职；（3）事故，如火灾、停电等意外事故；（4）犯罪和非法使用。 　　 　　二、威胁网络安全的常见方式 　　 　　（1）计算机病毒；（2）信息泄密、篡改；（3）非授权访问；（4）资源的错误使用。 　　 　　三、校园网安全防护策略 　　 　　1.物理安全策略 　　物理安全策略的目的是保护网络硬件设备和通信链路免受自然灾害、人为破坏，确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。 　　2.设备层的访问控制策略 　　访问控制是网络信息安全防范和保护的主要策略，是保护网络体系的基本机制。它的主要任务是保证网络资源不被非法使用和访问。它也是维护网络系统安全、保护网络资源的重要手段。防火墙和所有的三层交换设备都支持访问控制。防火墙为网络访问提供了第一层访问控制，它控制哪些用户能够登录到服务器并获取网络资源；三层交换设备则通过合理划分VLAN（Virtual Local Area Network，虚拟局域网）和配置ACL（Access Control List，访问控制列表）对内网用户进行分类，抑制网络风暴、保护用户终端安全。 　　（１）防火墙 　　防火墙是一种保护计算机网络安全的技术性措施，它是一个用以阻止黑客访问校园网的屏障。防火墙的主要功能是：根据安全规则，对于任何外网对内网的行为进行认证，对外网应尽可能地屏蔽内网的信息、结构和运行状态，而对合法用户则允许进入内网并仅限于进行合法操作，对未经授权的用户应限制在防火墙之外。此外通过在防火墙上实现日志服务，安全管理员可以监视所有来自外网的访问。 　　（２）交换设备的安全控制 　　三层交换设备通过划分VLAN有效减少广播风暴。管理子网和服务器子网不允许其他网段访问。在关键业务子网设置ACL，实现单向访问。在端口上针对特殊用户做端口安全保护，结合ACL实现端口间不能互访。通过IP与MAC绑定对用户身份进行鉴别。为确保交换设备安全，除管理VLAN能Telnet到任意交换机外，其它任何IP不能登录到交换机。 　　我们以CISCO设备为例，来看一下如何通过合理配置交换机的ACL来实现关键业务子网的单向访问并限制非法IP登录交换机（只有管理子网可以登录）。假设管理子网为192.168.1.0/24；关键业务子网为192.168.2.0/24（vlan 4）。 　　ACL配置 　　 (编写访问控制列表) 　　S1 (config) #access-list 101 permit tcp any 192.168.2.00.0.0.255 established 　　S1 (config) #access-list 101 permit udp any any 　　S1 (config) #access-list 101 permit icmp any any echo-reply 　　S1 (config) #access-list 12 permit 192.168.1.0 　　S1 (config-if) #interface vlan 4 （进入ＶＬＡＮ ４ 配置模式） 　　S1 (config-if) #ip access-group 101 out（应用访问控制列表） 　　S1 (config-if) #exit 　　S1 (config) #line vty 0 4 　　S1 (config-line) # access-class 12 in（应用访问控制列表） 　　S1 (config) #snmp-serverr community public RO（添加ＳＮＭＰ协议读字符串） 　　S1 (config) #snmp