编者按：校园网的安全问题日益成为了人们关注的焦点，校园网络安全策略应该如何建？

　　【IT168 报道】校园网是学校进行教学、科研、管理工作和各类信息交流沟通的应用平台，是一个集相关软件系统和硬件于一体的具有多媒体教学、办公自动化、图书信息管理、教务学籍管理、视频点播、远程教育、校园一卡通等综合功能的计算机校园局域网。

　　随着互联网的普及、网络技术的发展，校校通工程的推进，校园网的建设和应用得到了迅速普及和发展，对学校实现管理网络化和教学手段现代化，提高学校的管理水平和教学质量，发挥了积极的作用。但是，校园网接入互联网后，成为了Internet 的组成部分，由于计算机网络具有开放性、互联性和共享性的特点，不可避免地受到病毒、黑客、恶意软件和其他不轨行为的安全威胁和攻击，校园网数据丢失、系统被改、网络瘫痪的事情时有发生。校园网的安全问题日益成为了人们关注的焦点。因此，必须建立完善的全面的校园网络安全策略，才能确保校园网安全、稳定、高效地运转。

    一：校园网安全威胁

    系统漏洞或后门

　　操作系统和应用软件不可能无缺陷和漏洞，这些缺陷和漏洞，如未及时发现，就会被攻击者通过恶意扫描所利用，成为黑客攻击的首选目标。近年来的“冲击波”、“震荡波”就是利用微软件操作系统本身的漏洞进行攻击的。“后门”是在设计编写程序时所留的“后门”，是未公开的暗道，在用户未授权的情况下，设计者或其他人可以通过这些暗道出入，极有可能成为保密信息泄露的暗道。

    计算机病毒入侵

　　计算机病毒是校园网安全最大威胁。计算机病毒具有传染性、潜伏性、激发性、破环性、隐蔽性等特点。能够通过计算机网络、存储介质等进行传播。特别是网络病毒因其通过网络方式（如电子邮件）进行传播，且具有传染方式多、传播速度快、影响面大、清除难度大、破坏力强的特点，对网络造成的危害性更大。近年来的“CIH 病毒”、“爱虫病毒”等网络病毒对全球计算机网络造成了极大的破坏和严重的经济损失。

    黑客攻击

　　校园网在接入Internet 后，即使有防火墙的保护，由于技术本身的局限或防火墙错误配置等原因，仍很难保证校园网不遭到黑客攻击。黑客大多利用系统中的安全漏洞非法进入他人计算机系统，通过获取口令、控制中间站点、获得超级用户权限达到读取他人电子邮件、搜索和盗用私人文件、毁坏重要数据、破坏整个系统的目的。黑客常用的攻击手段主要有：网络监听、地址欺骗、会话劫持、拒绝服务攻击。

    IP 地址盗用

　　校园网在规划自己的内部网段时，为用户分配并制定了相应的网络IP 地址资源，以保证网络通信数据的正常传输。在校园网中，盗用IP 地址是一个经常发生的问题。IP地址的盗用将会导致IP 地址发生资源冲突或使合法用户的权益受到侵害，造成网络混乱或无法上网。

    二：校园网络系统安全策略

　　校园网的安全策略的建立是一个系统工程，它涉及物理安全、系统安全、技术安全，管理安全等诸多方面，只有建立一套能解决校园网安全威胁的安全策略，才能保证校园网的各种资源免受自然或人为的破坏，确保校园网安全运行。

    安全隔离技术

　　网络的安全威胁和风险主要存在于三个方面：物理层、协议层和应用层。从安全风险来看，基于物理层的攻击较少，基于网络层的攻击较多，而基于应用层的攻击最多，并且复杂多样，难以防范。面对新型网络攻击手段的不断出现和高安全网络的特殊需求，全新安全防护理念“安全隔离技术”应运而生。它的目标是，在确保把有害攻击隔离在可信网络之外，并保证可信网络内部信息不外泄的前提下，完成网间信息的安全交换。

    防火墙技术

　　防火墙是设置在不同网络之间的一系列软硬件的组合，它在校园网与Internet网络之间执行访问控制策略，决定哪些内部站点允许外界访问和允许访问外界，从而既可以保护校园网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，过滤不良信息。防火墙能够检测到通过防火墙的各种入侵、攻击和异常事件，并以相应的方式通知相关人员，安全员依据这些警报信息及时修改相应的安全策略，重新制定访问控制规则。

    入侵检测系统（IDS）部署

　　入侵检测被认为是继防火墙、信息加密之后的新一代网络安全技术。入侵检测能力是衡量一个防御体系是否完整有效的重要因素，强大完整的入侵检测系统可以弥补防火墙相对静态防御的不足。作为一个安全管理工具，它能根据系统的安全策略从不同的系统资源收集信息，分析反映误用或异常行为的信息，对检测的行为作出自动的反应，并报告检测过程的结果。入侵检测被认为是防火墙之后的第一道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

    数字签名技术

　　数字签名技术就是使用数字证书验证用户的身份。数字证书是互联网络通信中标志通信各方身份信息的一系列数据，提供一种在Internet 上验证身份的方式，人们在网上用它来识别对方的身份。最简单的数字证书包含一个公开密钥、名称以及证书授权中心的数字签名。公开密钥；证书发行者对证书的签名。使用数字证书，通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统，从而保证信息除发送方和接收方外不被其他人窃取；信息在传输过程中不被篡改；发送方能够通过数字证书来确认接收方的身份；发送方对于自己的信息不能抵赖。确保信息安全无误地到达目的地。身份认证是整个校园网络安全体系的基础，校园网上的身份验证技术用于判断对象身份的真实性，作为校园网上信息安全的最终客户端，主要表现口令机制：如各种开机口令，登录口令，共享权限口令等等。对这些口令的保护除建立严格的保密。

     建立网络版防病毒安全体系

    应用安校园网作为一个网络系统，必须建立一种具有远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能的针对校园网络的防病毒安全体系。选择适用的防病毒软件，及时更新病毒库是非常重要的。从网络管理和病毒监控的角度来说，校园网宜选用网络版防毒软件。因为网络版防毒软件的管理功能更强大，校园网的管理员只要及时在服务器端进行升级，客户端启动后就可自动升级，网管员还可对所有安装客户端的计算机进行病毒监控、进行远程杀毒，及时了解校园网中病毒疫情。另外，网络版防毒软件针对服务器的网络操作系统进行了功能优化，进一步提高了服务器防毒能力、运行的安全性和稳定性。

    ACL访问控制策略

　　访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。访问控制列表（简述访问表）是一个有序的语句集, 可以根据报文的源IP地址、目的IP地址和应用类型来控制进入内部网络的数据流。访问表一般有标准和扩展两种类型。

　　三：淮阴师范学院应用环境分析

　　淮阴师范学院校园网主干速率为为1000M，中心交换为具有三层路由功能的Cisco Catalyst 6509交换机，利用具有强大访问控制列表功能的Cisco 3640路由器作为边界路由上联CERNET江苏淮安主接点。

　　众所周知，如果Internet用户可以任意主动连接校园网内用户的话，从网络安全角度考虑的话就危害无穷了，因为Internet恶意用户可以利用木马、蠕虫病毒等一些基本的黑客技巧就会破坏校园网的安全，严重时甚至会导致校园网的瘫痪。鉴于上述原因，我们在网络边界路由器（CISCO3640）上采取基于路由器安全策略、公共服务器安全策略和用户主机安全策略的报文过滤技术，其主要表现形式就是基于报文访问控制的路由访问控制列表ACL访问控制列表。

ACL控制策略图

　　access-list 102 permit tcp any host 202.195.x.1 eq smtp（开放邮件服务器25端口）
　　access-list 102 permit tcp any host 202.195.x.1 eq pop3（开放邮件服务器110端口）
　　access-list 111 permit tcp any eq smtp host 202.195.x.1（开放MAIL服务器与其他邮件服务器通讯端口）
　　access-list 102 permit tcp any host 202.195.x.2 eq www（开放WWW服务器80端口）
　　access-list 102 permit tcp any host 202.195.x.3 eq domain（允许DNS服务器解析管辖域）                                                                  
　　access-list 102 deny any host 202.195.x.1（拒绝外部用户对于邮件服务器其余端口的访问）

    用户主机安全策略

access-list 102 deny ip 0.0.0.0 0.255.255.255 any（拒绝全网络IP源地址）
access-list 111 deny ip 192.168.0.0 0.0.255.255 any（拒绝私有IP源地址）
access-list 111 deny ip 127.0.0.0 0.255.255.255 any（拒绝回环IP源地址）
access-list 111 deny ip 169.254.0.0 0.0.255.255 any（拒绝DHCP自定义IP源地址）
access-list 111 deny ip 224.0.0.0 15.255.255.255 any（拒绝组播IP源地址）
access-list 111 deny tcp any any eq 135
access-list 111 deny tcp any any eq 137
access-list 111 deny tcp any any eq 138
access-list 111 deny tcp any any eq 139
access-list 111 deny tcp any any eq 445
access-list 111 deny tcp any any eq 593（拒绝访问135、137、138、139、445和593端口，用于控制Blaster蠕虫的扫描和攻击）
access-list 111 deny udp any any eq 1434（拒绝访问1434端口，用于控制 Slammer 蠕虫的传播）
access-list 111 permit tcp any any established（允许内网用户主动对外建立连接后返回的数据包通过）

    IP地址防盗策略

　　在当今的TCP/IP网络系统中，特别是按IP流量进行计费的CERNET网络，由于费用是按IP地址进行统计收费的，因此许多用户为了逃避网络计费，使得IP地址盗用现象十分普遍，已经严重地影响了网络的管理，对网络管理人员及网络用户带来了极大的麻烦，成为网络管理中的一大难题。

　　目前，IP地址盗用主要有单纯修改静态IP地址和成对修改IP-MAC地址两种方式，目前常用的防范技术主要有划分VLAN、扫描网络设备的ARP表以获取IP地址和MAC地址的对应表与事先登记的合法对应表比较，但是都不能从根本上遏制IP地址的盗用。针对此问题，笔者依据TCP/IP协议栈的层次结构原理，结合日常管理经验，针对不同的IP盗用方法，在不同的层次采用不同的方法来防止IP地址的盗用。

    四：具体应用分析

    利用交换机端口单地址工作模式制止IP地址盗用

　　在现今的校园网络中，应该都划分了VLAN，所以用户单纯修改静态IP地址的成功盗用也只能发生在同一VLAN中，解决单纯修改静态IP地址的最彻底方法是在TCP/IP协议栈的层次结构的第一层即链路层进行控制，利用交换机提供的端口单地址（MAC地址）工作模式，即交换机的每一个端口只允许一台主机通过该端口访问网络，其他任何地址的主机的访问被拒绝。
　　
　　(config-if)#port secure max-mac-count 1
　　(config)#mac-address-table restricted static xxxx.xxxx.xxxx FastEthernet 0/1
　　(config)# address-violation disable
　　如上图所示，如果防止计算机A用户和B用户通过在交换机下挂接HUB，进而采取静态盗用其他合法用户计算机IP地址的话，可以通过将2950交换机的Ethernet 0/1端口地址盗用采取的动作设为disable状态的话，将由于端口单地址工作模式而导致Ethernet 0/1端口禁用，使得计算机A与计算机B均不能正常使用Internet。
2.7.2 利用网络管理软件监控成对修改IP-MAC地址并制止盗用行为
　　成对修改IP-MAC地址的盗用形式采取在TCP/IP协议栈层次结构的第四层即应用层进行控制，利用网络管理软件维护每一个交换机的端口-MAC对应表。
　　当成对修改IP-MAC地址的盗用发生后，网络管理软件将自动检测到被盗用机器的MAC地址发生了改变，即可以按照制定的策略执行相应措施，例如可以关闭交换机端口、删除非法MAC地址列表等。

    VLAN技术和VPN技术

　　VLAN 分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项重要措施。采用交换式局域网技术组建的校园网络，可以运用VLAN（虚拟网络）技术来加强内部网络管理。VLAN 技术的核心是网络分段，根据不同的部门及不同的安全机制，将网络进行隔离，可以达到限制用户非法访问的目的。
　　VPN（虚拟专用网）技术的核心是采用隧道技术。将内部网络的数据加密封装后，透过虚拟的公网隧道进行传输，从而防止敏感数据被窃。无论您身处何处，只要能连接到Internet（通过普通拨号上网PPP 的方式），就能够与校园网络在互联网上的“虚拟专用网”网关联接，登录到内部浏览或交换信息。

    安全漏洞防范

　　现今的网络安全事件中，大部分的网络攻击是针对服务器上运行的服务漏洞，其中包括电子邮件服务、匿名FTP服务、WWW服务、NFS服务等服务系统。基于服务裁剪的安全策略可以有效控制服务的运行，关闭不需要启动的服务端口，达到减少攻击漏洞的目的。

　　系统漏洞是网络安全最大的罪魁祸首，例如求职信病毒就是利用IE和Outlook 的漏洞，附件自动被执行，所以才能广泛流传。许多操作系统和应用软件在不断更新版本以修正错误或完善功能。在校园网管理过程中，要及时下载和安装各种补丁、升级程序，封锁系统安全漏洞。防止一些“黑客”因为操作系统和各种应用软件的设计漏洞对校园网资源进行非法访问和有关操作。对于校园网络服务器的操作系统，要及时修补系统漏洞，最好还是使用微软的漏洞检测服务、自动更新以及安全分析工具来实现。
应用分析：

　　Solaris系统Inetd方式的服务裁剪：
　　此种方式下服务启动是依靠在文件/etc/inet/services 和/etc/inet/inetd.conf中进行定义的。/etc/inet/services文件把每个服务的名称给定一个端口号和一个端口类型，其字段的定义如下所示：

　　name    port/protocol   [alias]
　　其中name是服务的名称，port是IP端口号，protocol是所使用的协议（数据传输控制协议TCP或者用户数据协议UDP），alias是一个可选项，可以利用它为服务指定其他替代名称。下面给出文件的部分：

　　systat      11/tcp    users
　　netstat     15/tcp
　　ftp-data    20/tcp
　　ftp         21/tcp
　　telnet      23/tcp

　　假如现在本服务器对ftp服务进行裁剪，可以利用solaris系统下提供的vi编辑器（当然ed、pico等其他编辑器也可）对/etc/inet/services文件中相应的行进行注释即可（在行开始加入“#”）：

　　……
　　#ftp-data    20/tcp
　　#ftp         21/tcp
　　……
　　如此注释完之后重新启动服务器，利用netstat命令可以显示当前服务器打开的端口，进行对照即可了解达到目的与否了。

    结束语

　　随着互联网的普及、校园网功能的不断完善，校园网必将进一步渗透到学校教育的各个方面，推进学校教育现代化的步伐。同时，由于计算机网络技术目前正处于蓬勃发展的阶段，新技术层出不穷，不可避免地出现新的漏洞、新的病毒、新的攻击手段，对校园网形成新的安全隐患和安全威胁。因此，校园网络的安全策略不能一劳永逸，必须应用新的防御技术和安全策略，努力改善并提升校园网的安全防护能力，形成全方面的、立体的安全防护体系，才能确保校园网安全、有效、快速运行。