论文部分内容阅读
摘要:校园网络已经成为学校教育教学的主要工具,其安全性也面临着新的考验。本文主要分析了防病毒、防火墙与网络隔离、VLAN、云防护四种适合校园网安全的典型技术,提出了针对性的解决方案。
关键词:校园网;网络安全技术;防护
中图分类号:TP393.08文献标识码:A 文章编号:1673-8454(2010)22-0085-03
随着信息技术的发展,大部分学校都组建了内部局域网,实现了资源共享,提高了工作效率,校园网已成为现代学校的重要组成部分。作为园区网的典型,校园网的规模正逐步由中小型向大中型发展和过渡,其典型特点是访问形式多样、用户群庞大、网络行为突发性高。与此同时,校园网络安全问题在新形势下日益突出,除对色情、反动等不良信息过滤外,还应加强对病毒、黑客、流氓软件、木马、僵尸网络等攻击行为的防范。校园网的安全性高低取决于学校网络中最弱的环节,符合“木桶理论”,而且各种网络危害行为也是从薄弱的环节入手。本文根据校园网络安全面临的新挑战,分析了四种适合校园网络的安全技术:防病毒技术、防火墙与网络隔离技术、VLAN技术、云防护技术。
一、防病毒技术
新型病毒层出不穷,传播速度快,破坏力越来越强。校园网必须在网络系统的各个环节严加防范,才能控制或阻止病毒的侵害。学生和教师用机是查、杀、清、防病毒的最底层,考虑学校教学用机数量庞大,建议建立全面的主动病毒防护体系,在每台工作站、服务器上都要有反病毒软件并能统一管理。校园网与Internet相连的网关,也要安装网关型防病毒软件进行拦截,以阻止病毒进入校园网传播扩散。由于师生信息浏览和E-mail通信的普遍性,在Internet浏览、上下载信息时有可能传播病毒到内部网络上,防病毒软件要能阻止网页携带的Applet小应用程序、JavaScript、ActiveX等病毒破坏,发现并清除隐藏在E-mail、QQ、MSN、邮件附件中的欺骗性病毒和木马。
目前,主流的防病毒产品主要有赛门铁克、趋势、NAI McAfee、瑞星、金山等,网络上也不乏免费杀毒软件。学校选择防病毒产品时,应结合自身的需求和能力。首次安装防病毒软件时,一定要对计算机做一次彻底的病毒扫描,在使用过程中要注意定期查杀和软件的更新。
二、防火墙与网络隔离技术
防火墙(Firewall)介于内外部网络之间,它定义了一组访问策略,保护内部网络不受非法访问和攻击。配置防火墙可以最大限度防止Internet上的不安全因素蔓延到校园网内部。校内单机可以使用个人防火墙,网上这样的免费或限时软件很多,比如瑞星、360安全卫士、天网等。校园内外网之间可根据学校需要配置软件或硬件防火墙。软件防火墙依赖于服务器的操作系统,安全性有较大限制,速度也比较慢,建议有条件的学校配置硬件防火墙。硬件防火墙有专用硬件平台和专用操作系统,芯片级硬件防火墙使用专门芯片硬件平台,没有操作系统,它们速度快、性能高、处理能力强。目前,常用的软件防火墙有Checkpoin、CyberwallPlus、KFW傲盾、天网等,常用的硬件防火墙有NetScreen、Cisco、Hillstone等,还可根据学校需要选配NAT、DNS、VPN、IDS等不同模块。另外,现在很多厂商把防火墙和防病毒功能集成在一起,应用更加方便。
ARP攻击给校园网管理员造成了很大麻烦。攻击者通过伪造IP地址和MAC地址实现ARP欺骗,使校园网堵塞或中断服务。大多数防火墙都具备了检测IP广播包的MAC地址是否与路由器上的MAC地址表一致的能力,有效地拦截ARP攻击。学校网管利用防火墙和一些工具对校园网进行入侵检测(intrusion detection)可以发现部分威胁到系统安全的行为,这是一种增强系统安全的有效方法。目前,入侵检测系统的产品很多,仅国内的就有东软、联想等十几种,网上也有很多免费检测软件。
防火墙对操作系统和访问策略有较大的依赖。然而操作系统也有漏洞,黑客控制了操作系统,就控制了防火墙,校园网就完全暴露在攻击之下。错误的访问策略配置,也会使校园网内外短路。新的网络隔离技术在内、外部主机系统中嵌入安全加固且不同的操作系统,内部主机的操作系统对外部攻击者是不可见的,在校园网和外部网络之间形成了物理隔离带,消除了基于网络协议的攻击。这种技术的应用,必将使校园网络管理高效化、简单化,安全级别也更高。这种技术的产品化,国外已经趋于成熟,比较出名的有Owl公司、Tenix公司、HP公司等,国内的产品还处于起步阶段。
三、VLAN技术
随着校园网络规模扩大,网内机器超过一定数量时,网络管理将极为困难。因此,通过路由器等设备分割网段势在必行。这种物理的硬件隔离的方法,对教学用机的移动很不方便。在实际应用时,采取VLAN技术把校园网划分为行政办公、教师、学生等子网。划分可以跨过物理设备,各子网之间无法直接通信,信息仅在VLAN内的成员之间传送,限制非成员数据转发,从而减少了主干网的数据流量,将网络风暴控制在必要范围内,并增强网络的安全性和利于管理。根据校园网管理特点,通常选择下面三种方法划分VLAN:
1.基于端口的划分
根据以太网交换机的端口划分不同VLAN,可以把跨交换机的端口划分到同一VLAN中,一个VLAN对应一个端口集合,一个端口在某一时间只能位于一个VLAN中。比如可以把交换机SW1的端口1、4、5和SW2的端口2、3、6划为VLAN1;把交换机SW1的端口2、3和SW2的端口1、4、5划为VLAN2。这种方法简单易行,但是灵活性差。当教学用机需要移动,但是新端口不位于原VLAN中时,机器不能直接连接通信,需要管理员重新定义端口配置。
2.基于MAC地址的划分
校园网中的每个MAC地址对应一台计算机,一个VLAN就是一个MAC地址集合。比如把所有教师机的MAC地址添加到VLAN1中,所有学生机的MAC地址添加到VLAN2中。配置完成后,交换机根据MAC地址识别和跟踪教学用机。即使教学用机或服务器移动位置,更换端口,也不会改变其所属的VLAN。这种方法,用户使用灵活,但是管理员工作量大而且烦琐:初始化时,如果用户数量较多,要收集所有计算机的MAC地址,对所有计算机进行配置,工作量极大;后期,每一台计算机新入网时,都需要添加到对应的VLAN中,否则不能连接。
3.基于IP地址的划分
校园网中的网络层IP地址对应一台计算机,一个VLAN就是一个IP地址集合。例如:把IP地址192.168.1.1—192.168.1.100设置为VLAN1给教师使用,把192.168.2.1—192.168.2.200设置为VLAN2给学生使用。它具有第2种划分方法的优点,用户计算机不修改网络配置就能移动,并且无需收集MAC地址对所有计算机单独配置。但网络工作效率低,校园网中每次数据转发,都需要检查TCP/IP协议的网络层。
目前,应用得比较广泛的具备VLAN功能的交换机、路由器主要有Cisco、锐捷、神州数码等,这些网络设备也不一定具备VLAN所有划分方式。因此学校要根据自己的要求和价格承受能力,选择不同层次和功能的VLAN网络设备,再根据实际设备选择适合的VLAN划分方式配置网络。
四、云防护技术
校园网中E-mail、BBS、WEB、即时通信、上传下载各种服务和应用繁多,这也为黑客提供了更多的攻击途径。目前针对网络的联合攻击规模越来越大,破坏性越来越强。许多校园网络工作站点要么成为“僵尸”,要么成为被攻击的对象。比如:“僵尸网络”就是通过挂马、下载等途径控制数量巨大的“肉鸡”对目标进行DoS等攻击;“零日攻击”则指恶意运用立即被发现的安全漏洞,利用时间差在网络未及防范的情况下实施攻击。
云防护技术就是通过云火墙、网络防控中心动态、主动、协同阻止病毒、木马、蠕虫的蔓延和破坏。互联网中,攻击经常是不可避免的,例如江苏一个网络感染蠕虫病毒,立即把地址等信息报告云中心,云中心再同步其它网络,就可能阻止上海等其它地方网络被感染。这种实时智能技术,有别于防火墙技术的静态被动式防护,极大地提高了防护的效率。目前市场上云防护安全产品主要有思科ASA云火墙等;一些个人防火墙也具备云防护功能。学校可以选择购买云防护构件,加入这些云防护中心。
校园网络安全是一个系统性工程,实践中不能仅依靠防病毒、防火墙、VLAN、云火墙等网络安全技术。任何技术的应用都必须建立在对人和资源的有效管理上,学校应建立相应的规章制度,并将技术与管理结合起来,才能确保校园网正常安全运行和朝着健康有序的方向发展。
参考文献:
[1]王亚原.企业网络安全问题及对策[J].太原师范学院学报(自然科学版),2005,(1).
[2]张世永.网络安全原理与应用[M].北京:科学出版社,2003,(5).
[3]网络安全新技术与发展趋势[EB/OL]. http://tech.sina.com.cn/b/2009-11-25/09271147860.shtml.
(实习编辑:纪颖)
关键词:校园网;网络安全技术;防护
中图分类号:TP393.08文献标识码:A 文章编号:1673-8454(2010)22-0085-03
随着信息技术的发展,大部分学校都组建了内部局域网,实现了资源共享,提高了工作效率,校园网已成为现代学校的重要组成部分。作为园区网的典型,校园网的规模正逐步由中小型向大中型发展和过渡,其典型特点是访问形式多样、用户群庞大、网络行为突发性高。与此同时,校园网络安全问题在新形势下日益突出,除对色情、反动等不良信息过滤外,还应加强对病毒、黑客、流氓软件、木马、僵尸网络等攻击行为的防范。校园网的安全性高低取决于学校网络中最弱的环节,符合“木桶理论”,而且各种网络危害行为也是从薄弱的环节入手。本文根据校园网络安全面临的新挑战,分析了四种适合校园网络的安全技术:防病毒技术、防火墙与网络隔离技术、VLAN技术、云防护技术。
一、防病毒技术
新型病毒层出不穷,传播速度快,破坏力越来越强。校园网必须在网络系统的各个环节严加防范,才能控制或阻止病毒的侵害。学生和教师用机是查、杀、清、防病毒的最底层,考虑学校教学用机数量庞大,建议建立全面的主动病毒防护体系,在每台工作站、服务器上都要有反病毒软件并能统一管理。校园网与Internet相连的网关,也要安装网关型防病毒软件进行拦截,以阻止病毒进入校园网传播扩散。由于师生信息浏览和E-mail通信的普遍性,在Internet浏览、上下载信息时有可能传播病毒到内部网络上,防病毒软件要能阻止网页携带的Applet小应用程序、JavaScript、ActiveX等病毒破坏,发现并清除隐藏在E-mail、QQ、MSN、邮件附件中的欺骗性病毒和木马。
目前,主流的防病毒产品主要有赛门铁克、趋势、NAI McAfee、瑞星、金山等,网络上也不乏免费杀毒软件。学校选择防病毒产品时,应结合自身的需求和能力。首次安装防病毒软件时,一定要对计算机做一次彻底的病毒扫描,在使用过程中要注意定期查杀和软件的更新。
二、防火墙与网络隔离技术
防火墙(Firewall)介于内外部网络之间,它定义了一组访问策略,保护内部网络不受非法访问和攻击。配置防火墙可以最大限度防止Internet上的不安全因素蔓延到校园网内部。校内单机可以使用个人防火墙,网上这样的免费或限时软件很多,比如瑞星、360安全卫士、天网等。校园内外网之间可根据学校需要配置软件或硬件防火墙。软件防火墙依赖于服务器的操作系统,安全性有较大限制,速度也比较慢,建议有条件的学校配置硬件防火墙。硬件防火墙有专用硬件平台和专用操作系统,芯片级硬件防火墙使用专门芯片硬件平台,没有操作系统,它们速度快、性能高、处理能力强。目前,常用的软件防火墙有Checkpoin、CyberwallPlus、KFW傲盾、天网等,常用的硬件防火墙有NetScreen、Cisco、Hillstone等,还可根据学校需要选配NAT、DNS、VPN、IDS等不同模块。另外,现在很多厂商把防火墙和防病毒功能集成在一起,应用更加方便。
ARP攻击给校园网管理员造成了很大麻烦。攻击者通过伪造IP地址和MAC地址实现ARP欺骗,使校园网堵塞或中断服务。大多数防火墙都具备了检测IP广播包的MAC地址是否与路由器上的MAC地址表一致的能力,有效地拦截ARP攻击。学校网管利用防火墙和一些工具对校园网进行入侵检测(intrusion detection)可以发现部分威胁到系统安全的行为,这是一种增强系统安全的有效方法。目前,入侵检测系统的产品很多,仅国内的就有东软、联想等十几种,网上也有很多免费检测软件。
防火墙对操作系统和访问策略有较大的依赖。然而操作系统也有漏洞,黑客控制了操作系统,就控制了防火墙,校园网就完全暴露在攻击之下。错误的访问策略配置,也会使校园网内外短路。新的网络隔离技术在内、外部主机系统中嵌入安全加固且不同的操作系统,内部主机的操作系统对外部攻击者是不可见的,在校园网和外部网络之间形成了物理隔离带,消除了基于网络协议的攻击。这种技术的应用,必将使校园网络管理高效化、简单化,安全级别也更高。这种技术的产品化,国外已经趋于成熟,比较出名的有Owl公司、Tenix公司、HP公司等,国内的产品还处于起步阶段。
三、VLAN技术
随着校园网络规模扩大,网内机器超过一定数量时,网络管理将极为困难。因此,通过路由器等设备分割网段势在必行。这种物理的硬件隔离的方法,对教学用机的移动很不方便。在实际应用时,采取VLAN技术把校园网划分为行政办公、教师、学生等子网。划分可以跨过物理设备,各子网之间无法直接通信,信息仅在VLAN内的成员之间传送,限制非成员数据转发,从而减少了主干网的数据流量,将网络风暴控制在必要范围内,并增强网络的安全性和利于管理。根据校园网管理特点,通常选择下面三种方法划分VLAN:
1.基于端口的划分
根据以太网交换机的端口划分不同VLAN,可以把跨交换机的端口划分到同一VLAN中,一个VLAN对应一个端口集合,一个端口在某一时间只能位于一个VLAN中。比如可以把交换机SW1的端口1、4、5和SW2的端口2、3、6划为VLAN1;把交换机SW1的端口2、3和SW2的端口1、4、5划为VLAN2。这种方法简单易行,但是灵活性差。当教学用机需要移动,但是新端口不位于原VLAN中时,机器不能直接连接通信,需要管理员重新定义端口配置。
2.基于MAC地址的划分
校园网中的每个MAC地址对应一台计算机,一个VLAN就是一个MAC地址集合。比如把所有教师机的MAC地址添加到VLAN1中,所有学生机的MAC地址添加到VLAN2中。配置完成后,交换机根据MAC地址识别和跟踪教学用机。即使教学用机或服务器移动位置,更换端口,也不会改变其所属的VLAN。这种方法,用户使用灵活,但是管理员工作量大而且烦琐:初始化时,如果用户数量较多,要收集所有计算机的MAC地址,对所有计算机进行配置,工作量极大;后期,每一台计算机新入网时,都需要添加到对应的VLAN中,否则不能连接。
3.基于IP地址的划分
校园网中的网络层IP地址对应一台计算机,一个VLAN就是一个IP地址集合。例如:把IP地址192.168.1.1—192.168.1.100设置为VLAN1给教师使用,把192.168.2.1—192.168.2.200设置为VLAN2给学生使用。它具有第2种划分方法的优点,用户计算机不修改网络配置就能移动,并且无需收集MAC地址对所有计算机单独配置。但网络工作效率低,校园网中每次数据转发,都需要检查TCP/IP协议的网络层。
目前,应用得比较广泛的具备VLAN功能的交换机、路由器主要有Cisco、锐捷、神州数码等,这些网络设备也不一定具备VLAN所有划分方式。因此学校要根据自己的要求和价格承受能力,选择不同层次和功能的VLAN网络设备,再根据实际设备选择适合的VLAN划分方式配置网络。
四、云防护技术
校园网中E-mail、BBS、WEB、即时通信、上传下载各种服务和应用繁多,这也为黑客提供了更多的攻击途径。目前针对网络的联合攻击规模越来越大,破坏性越来越强。许多校园网络工作站点要么成为“僵尸”,要么成为被攻击的对象。比如:“僵尸网络”就是通过挂马、下载等途径控制数量巨大的“肉鸡”对目标进行DoS等攻击;“零日攻击”则指恶意运用立即被发现的安全漏洞,利用时间差在网络未及防范的情况下实施攻击。
云防护技术就是通过云火墙、网络防控中心动态、主动、协同阻止病毒、木马、蠕虫的蔓延和破坏。互联网中,攻击经常是不可避免的,例如江苏一个网络感染蠕虫病毒,立即把地址等信息报告云中心,云中心再同步其它网络,就可能阻止上海等其它地方网络被感染。这种实时智能技术,有别于防火墙技术的静态被动式防护,极大地提高了防护的效率。目前市场上云防护安全产品主要有思科ASA云火墙等;一些个人防火墙也具备云防护功能。学校可以选择购买云防护构件,加入这些云防护中心。
校园网络安全是一个系统性工程,实践中不能仅依靠防病毒、防火墙、VLAN、云火墙等网络安全技术。任何技术的应用都必须建立在对人和资源的有效管理上,学校应建立相应的规章制度,并将技术与管理结合起来,才能确保校园网正常安全运行和朝着健康有序的方向发展。
参考文献:
[1]王亚原.企业网络安全问题及对策[J].太原师范学院学报(自然科学版),2005,(1).
[2]张世永.网络安全原理与应用[M].北京:科学出版社,2003,(5).
[3]网络安全新技术与发展趋势[EB/OL]. http://tech.sina.com.cn/b/2009-11-25/09271147860.shtml.
(实习编辑:纪颖)