论文部分内容阅读
摘 要:以X高职院校校园网为案例,分析了高职院校校园网安全现状,从防火墙技术、VLAN技术、防病毒技术等方面分析了高职院校校园网络安全防护的关键技术。
关键词:高职院校;校园网络;安全技术
中图分类号:TN915.08
随着网络规模的扩大和用户数量的激增,校园网安全问题越来越严重,数据的安全性和学校自身的利益受到了严重的威胁,校园网面临着一系列的安全问题。在面对来自互联网的安全威胁的同时,组成校园网络体系的各个层面也都存在着不同程度的问题,建立校园网络的整体安全具有重要的现实意义。
1 X高职院校校园网概况
X高职院校设有6个专业教学系和一个成人教育培训部,现有全日制在籍学生8920人。全日制专科教育开设了道路桥梁工程技术、汽车运用技术等27个专业。X职业技术学院校园网作为服务于全校教学、科研和行政管理的计算机信息网络基础平台,实现了计算机互联、信息资源的共享。学校本部局域网设计成三级结构:网络中心机房为核心;校园内各建筑互联形成园区主干;各建筑物内部扩展面向用户。采用光纤和超 5 类双绞线混合组网,星型拓扑结构。
2 高职院校校园网安全现状分析
2.1接入层安全分析
来自于网络接入层的攻击主要包括:MAC 地址泛洪攻击、地址解析协议(ARP)攻击、操纵生成树协议、DHCP服务器欺骗攻击、IP/MAC 地址欺骗、VLAN 攻击等,这些攻击方式在校园网络安全事故中大量出现。校园网内很多用户计算机应用水平不高,安全意识不强,操作系统配置不当或不及时进行补丁升级,导致计算机病毒及恶意代码泛滥。
2.2汇聚/核心层安全分析
(1)缺少内部网络各个不同区域之间的隔离和访问控制。校园网采取的是基于端口进行 VLAN 划分,上百个 VLAN 之间虽然有采用 VLAN 技术进行隔离,但每个 VLAN 之间并没有做访问控制,不同区域网络之间能相互访问,存在着严重的安全隐患;
(2)网段内某个用户的蠕虫病毒攻击可能会波及整个网络,造成大量传播或网络拥塞;
(3)端口扫描、地址欺骗、拒绝服务等攻击方式在网络普遍出现。
2.3网络边界安全分析
X高职院校校园网网络与 INTERNET 连接。面临着来自 Internet各种攻击的风险。Internet 中传播的各种病毒和木马随时都有可能更新,时时刻刻威胁着校园网并导致网络性能下降或者不能提供服务等。学校服务器存在的有用信息资源也容易招致黑客攻击。其中最易受攻击的就是学校的 WEB 服务,Web 应用服务器自身具有很多脆弱性,如 Web 服务软件自身存在安全问题,Web应用程序安全性较差,比较典型的是目前应用很广的 CGI 程序和 ASP、PHP 脚本等都具有严重的安全漏洞。
为了使其他校区行政教务管理人员访问校内各业务系统,也为了方便学校办公自动化系统的应用,校园网内部部署 PPTP 服务器对外提供 VPN 服务,但 PPTP仅对隧道的终端实体进行验证,不对数据报文进行认证并且不对数据报文的完整性进行校验,容易受到地址欺骗、拒绝服务等形式的攻击。虽然使用软件搭设PPTP VPN 服务较为方便,成本也低,但 VPNServer 不能根据用户分组对校内资源制定访问策略,而且拨号客户端配置有一定专业要求,用户使用不便。
2.4业务应用及数据库安全分析
一方面学校内部的学生群体活跃,有尝试各种技术手段的欲望,学校内部的应用服务器正好成为他们攻击的目标;另一方面,学校对内部网络的防范措施并不严格,首先,校园网内部用户可以不通过任何认证即可访问校内服务资源。其次,校内各业务应用系统均存在程度不一的安全问题,如数据库服务采用默认密码或弱密码、操作系统没有及时更新补丁、不必要的服务和端口开放过多等等。
3 高职院校校园网安全的防护关键技术分析
3.1 防火墙技术的应用
为了实现校园网的安全目标,X高职院校在Intemct和校园网之间部署了一台锐捷RG-WALLI600M防火墙,为内外网之间建立了一道可靠的安全屏障。同时建立DMZ区,该区域是非安全系统与安全系统之间的缓冲区,将WWW、E-mail、DNS服务器等连接在该区域内,它阻止了内外网之间的直接通信,更有效的保护了内部网络的安全。
3.2 VLAN技术的应用
X高职院校根据自己的网络部署实际,将不同的楼宇各自划分VLAN,对于学校的多媒体教室、一卡通系统、广播各自划分单独的VLAN。通过这些划分,保证了网络的畅通运行,防止网络上的广播数据包造成数据的堵塞,保证了校园网络的顺利运行,同时能够实现同部门数据之间的通信和数据共享。下图为X高职院校2号教学楼VLAN划分的网络拓扑结构图(图1):
3.3防病毒技术的应用
首先,积极选用网络版防病毒软件。对于客户端用户来说,不用自行进行病毒库升级、查杀病毒,而可以有网络管理员统一处理。目前X高职院校选用的是2010瑞星杀毒软件(X高职高专校园网络专用版),在每台用户机器上都安装瑞星杀毒软件的客户端,在一台专门的服务器上安装瑞星杀毒软件网络版系统中心,通过该系统中心可以管理己经安装了客户端的局域网内的计算机,这样可以实现在同一时刻同时查杀病毒,使得病毒无处藏身。
其次,选用安装简单、管理灵活的防病毒软件,由于局域网内用户数量众多,并且大多数用户都是非计算机专业人士,特别是行政办公人员,瑞星杀毒系统可以实现在系统中心的病毒库升级之后,客户端自动从系统中心升级,免受用户的干预,为网络管理人员和用户都提供了很大的方便。
最后,为了方便非计算机专业用户的杀毒软件安装,我们提供了Web安装形式,网络管理员在Web服务器上设置瑞星杀毒软件Web页面安装文件,在任意客户端访问该页面,都可以按照提示完成客户端的程序安装。
3.4 ACL访问控制列表的应用
(1)采用基于时段的扩展ACL访问控制列表技术;(2)除课前10分钟及上课时间能够进行互联网Web访问外,其余时段一律禁止互联网Web访问;(3)任何时段均不限制FTP、QQ等其他网络应用服务。根据确定的解决方案和多媒体教室VLAN在校园网的拓扑(图2),X高职院校对各教学楼上的汇聚交换机(型号为RG-3760)一一进行了基于时段的扩展ACL访问控制列表的部署。
4结束语
在配套安全管理制度规范下,全方位实施网络安全技术带给X高职院校校园网络安全的改变是非常明显的。网络安全技术在不断推陈出新,如何将这些技术整合在一起,形成一个整体的防御体系,提高整个网络的防御能力,是信息安全理论和技术的发展方向。
参考文献
[1]李涛.网络安全概论[M].电子工业出版社,2004
[2]Cormac Long.IP网络设计[M].人民邮电出版社,2002
[3]刘远生,辛一.计算机网络安全第二版[M].清华大学出版社,2009
关键词:高职院校;校园网络;安全技术
中图分类号:TN915.08
随着网络规模的扩大和用户数量的激增,校园网安全问题越来越严重,数据的安全性和学校自身的利益受到了严重的威胁,校园网面临着一系列的安全问题。在面对来自互联网的安全威胁的同时,组成校园网络体系的各个层面也都存在着不同程度的问题,建立校园网络的整体安全具有重要的现实意义。
1 X高职院校校园网概况
X高职院校设有6个专业教学系和一个成人教育培训部,现有全日制在籍学生8920人。全日制专科教育开设了道路桥梁工程技术、汽车运用技术等27个专业。X职业技术学院校园网作为服务于全校教学、科研和行政管理的计算机信息网络基础平台,实现了计算机互联、信息资源的共享。学校本部局域网设计成三级结构:网络中心机房为核心;校园内各建筑互联形成园区主干;各建筑物内部扩展面向用户。采用光纤和超 5 类双绞线混合组网,星型拓扑结构。
2 高职院校校园网安全现状分析
2.1接入层安全分析
来自于网络接入层的攻击主要包括:MAC 地址泛洪攻击、地址解析协议(ARP)攻击、操纵生成树协议、DHCP服务器欺骗攻击、IP/MAC 地址欺骗、VLAN 攻击等,这些攻击方式在校园网络安全事故中大量出现。校园网内很多用户计算机应用水平不高,安全意识不强,操作系统配置不当或不及时进行补丁升级,导致计算机病毒及恶意代码泛滥。
2.2汇聚/核心层安全分析
(1)缺少内部网络各个不同区域之间的隔离和访问控制。校园网采取的是基于端口进行 VLAN 划分,上百个 VLAN 之间虽然有采用 VLAN 技术进行隔离,但每个 VLAN 之间并没有做访问控制,不同区域网络之间能相互访问,存在着严重的安全隐患;
(2)网段内某个用户的蠕虫病毒攻击可能会波及整个网络,造成大量传播或网络拥塞;
(3)端口扫描、地址欺骗、拒绝服务等攻击方式在网络普遍出现。
2.3网络边界安全分析
X高职院校校园网网络与 INTERNET 连接。面临着来自 Internet各种攻击的风险。Internet 中传播的各种病毒和木马随时都有可能更新,时时刻刻威胁着校园网并导致网络性能下降或者不能提供服务等。学校服务器存在的有用信息资源也容易招致黑客攻击。其中最易受攻击的就是学校的 WEB 服务,Web 应用服务器自身具有很多脆弱性,如 Web 服务软件自身存在安全问题,Web应用程序安全性较差,比较典型的是目前应用很广的 CGI 程序和 ASP、PHP 脚本等都具有严重的安全漏洞。
为了使其他校区行政教务管理人员访问校内各业务系统,也为了方便学校办公自动化系统的应用,校园网内部部署 PPTP 服务器对外提供 VPN 服务,但 PPTP仅对隧道的终端实体进行验证,不对数据报文进行认证并且不对数据报文的完整性进行校验,容易受到地址欺骗、拒绝服务等形式的攻击。虽然使用软件搭设PPTP VPN 服务较为方便,成本也低,但 VPNServer 不能根据用户分组对校内资源制定访问策略,而且拨号客户端配置有一定专业要求,用户使用不便。
2.4业务应用及数据库安全分析
一方面学校内部的学生群体活跃,有尝试各种技术手段的欲望,学校内部的应用服务器正好成为他们攻击的目标;另一方面,学校对内部网络的防范措施并不严格,首先,校园网内部用户可以不通过任何认证即可访问校内服务资源。其次,校内各业务应用系统均存在程度不一的安全问题,如数据库服务采用默认密码或弱密码、操作系统没有及时更新补丁、不必要的服务和端口开放过多等等。
3 高职院校校园网安全的防护关键技术分析
3.1 防火墙技术的应用
为了实现校园网的安全目标,X高职院校在Intemct和校园网之间部署了一台锐捷RG-WALLI600M防火墙,为内外网之间建立了一道可靠的安全屏障。同时建立DMZ区,该区域是非安全系统与安全系统之间的缓冲区,将WWW、E-mail、DNS服务器等连接在该区域内,它阻止了内外网之间的直接通信,更有效的保护了内部网络的安全。
3.2 VLAN技术的应用
X高职院校根据自己的网络部署实际,将不同的楼宇各自划分VLAN,对于学校的多媒体教室、一卡通系统、广播各自划分单独的VLAN。通过这些划分,保证了网络的畅通运行,防止网络上的广播数据包造成数据的堵塞,保证了校园网络的顺利运行,同时能够实现同部门数据之间的通信和数据共享。下图为X高职院校2号教学楼VLAN划分的网络拓扑结构图(图1):
3.3防病毒技术的应用
首先,积极选用网络版防病毒软件。对于客户端用户来说,不用自行进行病毒库升级、查杀病毒,而可以有网络管理员统一处理。目前X高职院校选用的是2010瑞星杀毒软件(X高职高专校园网络专用版),在每台用户机器上都安装瑞星杀毒软件的客户端,在一台专门的服务器上安装瑞星杀毒软件网络版系统中心,通过该系统中心可以管理己经安装了客户端的局域网内的计算机,这样可以实现在同一时刻同时查杀病毒,使得病毒无处藏身。
其次,选用安装简单、管理灵活的防病毒软件,由于局域网内用户数量众多,并且大多数用户都是非计算机专业人士,特别是行政办公人员,瑞星杀毒系统可以实现在系统中心的病毒库升级之后,客户端自动从系统中心升级,免受用户的干预,为网络管理人员和用户都提供了很大的方便。
最后,为了方便非计算机专业用户的杀毒软件安装,我们提供了Web安装形式,网络管理员在Web服务器上设置瑞星杀毒软件Web页面安装文件,在任意客户端访问该页面,都可以按照提示完成客户端的程序安装。
3.4 ACL访问控制列表的应用
(1)采用基于时段的扩展ACL访问控制列表技术;(2)除课前10分钟及上课时间能够进行互联网Web访问外,其余时段一律禁止互联网Web访问;(3)任何时段均不限制FTP、QQ等其他网络应用服务。根据确定的解决方案和多媒体教室VLAN在校园网的拓扑(图2),X高职院校对各教学楼上的汇聚交换机(型号为RG-3760)一一进行了基于时段的扩展ACL访问控制列表的部署。
4结束语
在配套安全管理制度规范下,全方位实施网络安全技术带给X高职院校校园网络安全的改变是非常明显的。网络安全技术在不断推陈出新,如何将这些技术整合在一起,形成一个整体的防御体系,提高整个网络的防御能力,是信息安全理论和技术的发展方向。
参考文献
[1]李涛.网络安全概论[M].电子工业出版社,2004
[2]Cormac Long.IP网络设计[M].人民邮电出版社,2002
[3]刘远生,辛一.计算机网络安全第二版[M].清华大学出版社,2009