基于校园局域网的安全管理分析

基于校园局域网的安全管理分析

刘晓燕

北京开放大学延庆分校 北京市延庆区 102100

【摘 要】： 文章分析了校园局域网的安全管理所涉及到的问题，并根据自己的实际经验提出了系统的解决方法，即从网络规划，防病毒体系，提高局域网用户的安全防护意识三方面来实现。

【关键字】：局域网；网络规划；防火墙

局域网技术是本科《计算机应用基础》需要重点掌握的内容，为了让学生更好的将所学知识应用于实践，结合自己对北京开放大学延庆分校局域网管理的工作实际，提出一些关于局域网安全管理方面的经验，供学生参考学习。

1.局域网规划

1.1主干网的选择

当前，主干网技术主要有FDDI、FAST ETHERNET、GIGABIT ETHERNET和ATM几种^【1】。可以发现FDDI在我们学校不太适用，而ATM虽然技术显见，但目前标准还未完全形成，根据我们学校网络的需求原则，我们选择了千兆位以太网作为主干网，并且易向ATM过渡。千兆位以太网采用CSMA/CD协议，帧格式。传输介质可以是光纤，也可以是双绞线。

1.2网络分段

校园网内部根据不同的需求对整个网络进行必要分段，将校园网分为办公段、机房段和教室段，由于各网段间不能直接互访，从而增强各子网的安全性能^【2】。

网络分段可分为物理分段和逻辑分段两种方式：物理分段通常是指将网络从物理层和数据链路层（ISO/OSI模型中的第一层和第二层）上分为若干网段，各网段相互之间无法进行直接通讯。逻辑分段则是指将整个系统在网络层（ISO/OSI模型中的第三层）上进行分段。目前,逻辑分段中的VLAN(Virtual local area net)即虚拟网络技术已经成熟,能使对网络的划分更加灵活。VLAN允许处于不同地理位置的用户加入到一个逻辑子网当中,共享一个广播域。通过对VLAN的创建,可以控制广播风暴的产生,从而提高交换式网络的整体性能和安全性^【3】。

对于VLAN的划分,目前有四种策略:1.基于端口的VLAN:该方法只需要对网络设备的交换端口进行重新分配组合在不同的逻辑网段中即可;2.基于MAC地址的VLAN:MAC地址即网卡的标志符,每块网卡的MAC地址都是唯一的,该方法仅适用于小型网络,当网络规模扩大,使用者增多时,会加大管理的难度;3.基于路由的VLAN:路由协议工作在七层协议的第三层,即网络层,该方式允许VLAN跨越多个交换机,也允许一个端口位于多个VLAN中;4.基于策略的VLAN:该方式主要取决于VLAN的规划策略。目前对于VLAN的划分主要是采用1,3两种方式。

根据实际需求,我们采用基于IP地址绑定的VLAN策略将办公区域、机房区域和教室区域划分成相应的子网,即提高了部门内的子网访问速度,又有效的将部门内子网与网络中其他用户进行隔离,使整个网络更高效,可靠运行。

2.防病毒体系

2.1防火墙技术

防火墙是一种用来阻止外面的未经授权用户非法访问内部网络下设备的工具，它通常是软件和硬件的结合体。防火墙有助于提高主系统总体安全性。防火墙的基本思想——不是对每台主机系统进行保护，而是让所有对系统的访问均通过某一点，并且保护这一点，并尽可能地对外界屏蔽受保护的网络信息和结构。它是设置在可信任的内部网络和不可信任的外界之间的一道屏障，它可以实施比较广泛的安全策略来控制信息流，防止不可预料的潜在入侵破坏。

在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

2.2基于网络的入侵检测技术

为了确保计算机网络安全，建立一整套的安全防护体系，进行多层次、多手段的检测和防护也是非常必要的。入侵检测系统是安全防护体系中重要的一环，它能够及时识别网络中发生的入侵行为并实时报警。专业入侵检测系统所具有的实时性、动态检测和主动防御等特点，弥补了防火墙这类静态防御工具的不足。

入侵检测系统作为一种积极主动的安全防护工具，提供了对内部攻击、外部攻击和误操作的实时防护，在计算机网络受到危害之前进行报警、拦截和响应。它具有以下主要作用：

1. 通过检测和记录网络中的安全违规行为，惩罚网络犯罪，防止网络入侵事件的发生；

2. 检测其它安全措施未能阻止的攻击或安全违规行为；

3. 检测黑客在攻击前的探测行为，预先给管理员发出警报；

4. 报告网络中存在的安全威胁；

5. 提供有关攻击的信息，帮助管理员诊断网络中存在的安全弱点，利于其进行修补；

6. 在大型、复杂的计算机网络中布置入侵检测系统，可以显著提高网络安全管理的质量。

2.3补丁管理器

虽然微软操作系统自身带有自动更新功能,可以搜索最新更新并安装,但由于我校教职工大多数非计算机专业，没有经常下载补丁的习惯,因此多数用户的系统安全仍然得不到保障,对此我们采用了相应的补丁管理器,时时搜索并下载最新的系统补丁,发布命令,使局域网内所有用户计算机系统自动进行更新,确保局域网内所有用户的操作系统工作在最安全可靠的状态下。

2.4企业级网络版防病毒软件

随着数字技术及Internet技术的日益发展，病毒技术也在不断发展提高。它们的传播途径越来越广，传播速度越来越快，造成的危害越来越大，几乎到了令人防不胜防的地步。因此学校在建立了一个完整的网络平台之后，为确保整个校园网的业务数据不受到病毒的破坏，日常工作不受病毒的侵扰，选择一款性能卓越的网络版防病毒软件也是防病毒体系中至关重要的元素。目前比较推崇的防病毒产品诺顿,趋势均来自国外,价格不菲,而瑞星杀毒软件作为国产知名品牌,其性能也得到了广大用户的肯定,我校考虑到售后服务问题,以及以前对瑞星防病毒产品的实际使用情况,采用了瑞星网络版防病毒产品,目前一切运行良好。

3.局域网用户应做的安全防护

校园内发生的网络安全危机，还有一部分是来自网络用户本身没有具备基本的网络安全常识,导致本机感染病毒,并进而侵入网络中的其他计算机，造成对整个网络的安全威胁。因此校园局域网内用户加强自身的网络安全防护知识，有绝对的必要。这个问题,我觉得可以从以下几个方面实现:

1. 不要随意对客户端防病毒软件进行更改和删除，保证其正常运行。

2. 在使用软盘、光盘、U盘、移动硬盘等存储设备时，应先进行查杀毒。

3. 浏览WEB时不要轻易打开来历不明的电子邮件，不要浏览不健康网页。

4. 不要随便将计算机借给他人使用。

黑客会在你的计算机上种植木马程序或获取你的相关网络资源密码等，以后就可以在任何计算机上随意获取资源，并监视和控制计算机，使计算机运行速度下降，甚至死机。

5. 重要文件最好存放在系统盘以外的分区。

对于计算机而言，最重要的应该是硬盘中存储的数据。用户数据不要与系统共用一个分区，万一系统感染病毒，对计算机进行重装时也能避免数据丢失。

4.小结

从网络规划、防病毒体系、提高局域网用户的安全防护意识三方面针对校园局域网的安全进行分析，激发了学生的学习兴趣，提高了学生的网络安全防护意识。

参考文献:

[1]. 《计算机网络技术及应用》 刘瑞星 机械工业出版社 2004-2-1

[2]. 《局域网建设DIY》 曲景东 钱昆 清华大学出版社 2001-6-1

[3]. 《计算机网络》(第三版) Andrew S. Tanenbaum/著 熊桂喜 王小虎/译 清华大学出版社 1998年7月