网络教育站点安全xing能的改进.docVIP

网络教育站点平安性能的改良

〔作者:___________单位:___________:___________〕

摘要：网络教育站点的平安是网络教育机构组织不得不严肃考虑的问题。除了建立网络平安策略用于指导和标准各网络教育管理人员的网络平安管理职责外，对网络教育站点的平安改良是使站点平安运行的重要方法。本文从效劳器主机选择、虚拟网络〔VLAN〕运用和划分原那么、效劳器主机和效劳器软件的配置、效劳器管理等四方面论述了如何对网络教育站点进行平安改良。

关键词：VLAN；网络隔离；效劳器；平安模式

AbstractThesecurityofnetworkeducationWEBsitesisaproblemwhichnetworkeducationorganizationshouldconsider.TheimprovementofthesecurityontheWEBsitesisanimportantwayfortheoperationofthesites,besidestheemphasisoftheestablishedstrategiesforguidanceanddutyofworkingstaff.Inthispaper,theimprovementsonthesecurityoftheWEBsitesarereviewedbasedontheselectionofservers,sortingofnetwork,applicationofVLAN,configurationofserver-hardwareandsoftware,andmanagementofservers.

KeyWordsVLAN;Isolatednetwork;server;safemodel

1教育站点效劳器主机的选择

在选择教育站点效劳器主机时，除了考虑诸如功能、性能和价格等因素外，更重要的要考虑平安需求，效劳器很多，但它们的平安性能是不一样的，要使教育站点具有平安性就必须选择满足平安需求的效劳器，网络教育站点的平安需求一般包括：

⑴较小的易受攻击性

⑵只能由授权用户进行管理的限制能力

⑶拒绝访问效劳器中没有发布的信息的能力

⑷关闭操作系统或效劳器软件中不必要的网络效劳的能力

⑸访问各种外部可执行程序〔如CGIscripts、效劳器plug-ins〕的可控能力

⑹为侦测入侵或企图入侵，记录教育站点效劳器活动的能力

2教育网络分段及虚拟网络〔VLAN〕运用和划分原那么

对局域网来说，网络分段和VLAN的运用是保证教育网络平安的有效措施。

2.1教育网络分段改善平安性能。

教育网络分段是保证平安的一项重要措施，同时也是一项根本措施，其指导思想在于将非法用户与网络资源相互隔离，从而到达限制用户非法访问的目的。教育网络分段可分为物理分段和逻辑分段两种方式：

物理分段通常是指将网络从物理层和数据链路层(ISO/OSI模型中的第一层和第二层)上分为假设干网段,各网段相互之间无法直接通讯。目前，许多交换机都有一定的访问控制能力，可实现对网络的物理分段。

逻辑分段那么是指将整个系统在网络层〔ISO/OSI模型中的第三层〕上进行分段。例如，对于TCP/IP网络，可把网络分成假设干IP子网，各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接，利用这些中间设备〔含软件、硬件〕的平安机制来控制各自网间的访问。在实际应用过程中可采取物理分段与逻辑分段相结合的方法来实现对网络系统的平安性能控制。

2.2运用VLAN改变平安性能

以太网从本质基于播送机制，但应用了交换和VLAN技术后，实际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入〔改变〕问题。

由以上运行机制带来的网络平安的好处是显而易见的：

信息只到达应该到达的地点。因此、防止了大局部基于网络监听的入侵手段。

通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。

2.3VLAN之间的划分原那么

VLAN的划分方式的目的是保证系统的平安性。因此，可以按照系统的平安性来划分VLAN；可以将主要的效劳器系统单独划分作一个VLAN，如数据库效劳器、电子邮件效劳器等。也可以按照教育机构、对象的设置来划分VLAN，如可以按照教育机构效劳器管理员所在的网络单独作为一个leaderVLAN(LVLAN)，其它层次的分别作为另一个或几个VLAN，并且控制LVLAN与其他VLAN之间的单向信息流向，即允