浅述校园局域网安全.docVIP

浅述校园局域网安全 　　摘 要：校园局域网安全已经成为校园网络应用的重要前提。文章对局域网中常见安全现象进行了简要的概括分析并提出了加强网络安全防范的技术措施。 　　关键词：局域网；网络安全；安全防护措施 　　中图分类号：TP393.17 　　近几年网络在我国得到了飞速发展，现在很多家庭有了电脑，并且也连接上了因特网，作为一所完全中学，我校的信息技术建设也得到了学校领导的充分重视，每位教师都配备了能够接入互联网络的计算机，这给教学带来了充分的便利，与此同时，我校的网络安全也在经受严峻的考验。 　　网络的迅速发展给我们带来了很大的便利，但同时网络的迅速发展给传播病毒木马等恶意程序也带来了更快的通道，我们如何保护个人隐私及资料，我作为学校网络管理人员，又如何保障学校网络畅通，不被攻击，这都给我的工作提出了严峻的考验，工作之余我不断学习网络技术知识，考取国家软考网络工程师资格证，提高自己理论知识水平的同时，将理论应用与实践，积累了一些经验，拿出来与大家分享。 　　对于中小学网络安全面临的问题，我认为主要是保障网络畅通，预防学校服务器被黑客攻击，防止个人资料丢失等，涉密的信息不多。木桶原理指的是：一个木桶由许多块木板组成，如果组成木桶的这些木板长短不一，那么木桶的最大容量不取决于长的木板，而取决于最短的那块木板。这个原理同样适用网络安全。一个企业的网络安全水平将由与网络安全有关的所有环节中最薄弱的环节决定。很多单位认为我们是小企业，没有资金去搞网络安全及数据保密备份工作，其实，企业可以根据自身特点及需要，来定制符合自己实际情况的安全防御体系，在安全木桶的不同木板上都要投入，投入多少可以根据企业自身情况来决定，一定不能有短板。 　　网络攻击形式按网络服务分为：E-Mail、FTP、Telnet、R服务、IIS等， 按技术途径分为：口令攻击、Dos攻击、种植木马，按攻击目的分为：数据窃取、伪造滥用资源、篡改数据。 　　了解了主流网络攻击方法以及自身单位需要防御哪些攻击，剩下就是根据自己单位实际预算来完成木桶上的每个木板，很人多认为我们安装杀毒软件就可以了，不需要防火墙，或者安装个防火墙，就万事大吉，不需要购置入侵保护系统，要知道，黑客攻击的就是网络安全的最短板，可能你每个方面做得都很好，但是有一个地方疏漏，就会导致黑客长驱直入，获取所有网络权限，进出自由。 　　我们单位在外边界上为一台路由器，外网为电信30M光纤接入，光电转换器转为电口，路由器内网接口和核心交换机之间接入一台绿盟NIPS，即通常所说的入侵保护系统，这样所有出公网的数据流以及从公网来访问内部网络的数据流都要经过这台入侵保护系统，它自身带防火墙模块、防病毒模块，它内部定义了很多规则库，名称为攻击事件、蠕虫事件、病毒事件、高风险事件等，用户根据自身需要将这些事件全部阻止，这就大大降低了网络被攻击的风险，用户如果认为网络安全优先于网络速度，可以将中低风险事件以及可疑网络事件都添加进来，当然这也会导致网络速度变慢，网络也更安全。用户通过日志也可以查看哪些计算机受到攻击，对这些被攻击的计算机进行安全检查，入系统补丁、防病毒软件升级等。因为入侵保护系统工作在应用层，根据这台入侵保护系统的功能，用户除了安全性的防御以外，还能根据学校自身特点来禁止教师在教学时段使用某些应用程序，如游戏、多线程下载等。 　　根据学校自身情况，除了在路由器上关闭了很多病毒蠕虫常用的攻击端口外，我在核心交换机上划分了10个C类的VLAN，分别对应3个机房、及各个部门，有效控制网络广播，提高网络的安全性，在路由交换安全上，建议大家设置加密的密码，对调试路由设备建议采用SSH方式，如果认为有必要，或者经常需要远程接入，可以采用AAA认证方式来进行会更加安全。并且建议设置访问控制列表来限制远程访问位置。 　　在服务器上不需要的服务及端口尽量禁止，如果能用linux做的服务尽量用linux来做，我校的http ftp以及图片服务器 vod服务器都是采用linux系统来实现，众所周知，windows系统界面友好，但就是窗口式的模式导致系统资源的大量占用，windows系统漏洞较多，并且在windows下能够运行的病毒木马也较多，我校大部分服务器采用的为linux 企业版4，安装好服务后，禁用其他服务及端口，修改启动配置文件直接将启动模式改为3，速度又快，系统又稳定，一学期几乎不用维护。 　　学校有了入侵保护系统，并在上面启用了防火墙及防病毒网关系统，终端计算机仍需要安装杀毒软件，我校购买了瑞星网络版杀毒软件，网络版与单机版的最大区别在于网络版可以由主控端控制终端用户集体杀毒，这样就避免了网管一台一台杀毒，病毒仍然在网络中传播。现在的攻击都来自于应用层，安全设备、网络版杀毒软件都设置好了，终端计算