校园局域网的安全管理方案探讨

来源:用户上传      作者: 李志峰

　　 摘 要：校园局域网网络的安全十分重要，它承载着学校的教学、行政、后勤、招生等方面事务处理。文章从网络安全的各个方面，详细分析了威胁校园网络安全的各种因素，并以Netfilter/iptables系统为例，介绍了如何在Red Hat Linux 9中安装防火墙。
　　 关键词：网络体系安全：安全监控；管理制度
　　
　　 校园局域网承载着校园的教学、行政、后勤等方面事务处理，它的安全状况直接影响着学校的教学、行政管理、招生宣传等活动。在网络建成初期，安全问题可能还不突出，随着应用的深入，网络上各种数据会急剧增加、访问增多，潜在的安全缺陷和漏洞、恶意的攻击等造成的问题开始频繁出现。
　　 一、校园局域网一般受到的攻击
　　 1. 病毒破坏
　　 通过网络传播的病毒无论是在传播速度、破坏性和传播范围等方面都是单机病毒所不能比拟的。特别是在学校接入广域网后，为外面病毒进入学校大开方便之门。
　　 2. 恶意入侵
　　 学校的行政部门会存放教师和学生重要的个人信息，因此会面临来自外部和内部的非法访问。不法人员可能会通过非正常的手段获得这些资料，给学校造成难以挽救的损失，同时也损害了学校本身的形象，影响了学校的正常运作。
　　 3. 恶意破坏
　　 对计算机硬件系统和软件系统的恶意破坏，包括对网络设备和网络系统两个方面的破坏。网络设备包括服务器、交换机、集线器、路由器、通信媒体、工作站等，它们分布在整个学校范围内，不可能24小时专人看管，某些人员可能出于各种目的，有意或无意地将它们损坏，这样会造成学校网络全部或部分瘫痪。另一方面是利用黑客技术对学校网络系统进行破坏。表现在以下几个方面：对学校网站的主页面进行修改，破坏学校的形象，向服务器发送大量信息使整个网络陷于瘫痪；利用学校的邮件服务器转发各种非法的信息等。
　　 4. 口令入侵
　　 为了方便管理，一般来说，学校会给每个员工分配一个账号和密码，并根据其应用范围，分配相应的权限。某些员工可能会为了访问不属于自己应该访问的内容，用不正常的手段窃取别人的口令，造成管理的混乱，甚至给学校带来损失。
　　 二、安全管理的策略
　　 为保证校园网络的安全性，一般采用以下一些策略。
　　 1. 设备安全
　　 在校园局域网规划设计阶段应该充分考虑到网络设备的安全问题，将一些重要的设备实行集中管理。各种通信线路要尽量实行深埋、穿线或架空，并有明显标记，防止恶意损坏。
　　 2. 技术保证
　　 目前，网络安全的技术主要包括杀毒软件、防火墙技术、身份验证等内容。针对校园局域网来说，我们主要该采取以下一些技术措施。
　　 （1）运用内容过滤器和防火墙。过滤器技术可以屏蔽不良的网站，对网上色情、暴力和邪教等内容有强大的堵截功能。
　　 防火墙是借鉴了古代真正用于放火的防火墙的喻义。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网内部的信息、结构和运行状况，以此来实现网络的安全保护。
　　 （2）运用VLAN技术。采用交换式局域网技术的校园局域网络，可以运用VLAN技术来加强内部网络管理。
　　 （3）杀毒软件。选择合适的网络杀毒软件可以有效地防止病毒在校园局域网上传播。它具有以下一些特征：第一，能够支持所有的主流平台，并实现软件安装、升级、配置的中央管理；第二，要能保护校园局域网所有可能的病毒入口，能适应并且及时跟上瞬息万变的Internet时代步伐；第三，具有较强的防护功能，可以对数据、程序提供有效的保护。
　　 三、使用Netfilter/iptables防火墙框架
　　 1. 简介
　　 Netfilter/iptables可以对流入和流出的信息进行细化控制，且可以在一台低配置机器上很好地运行，符合学校成本控制的需求，被认为是Linux中实现包过滤功能的第四代应用程序。
　　 2. 安装Netfilter/iptables系统
　　 因为Netfilter/iptables的netfilter组件是与内核2.4.x集成在一起，对于Red Hat Linux9或更高版本的Liunx都配备了netfilter这个内核工具，只需要下载安装iptables源代码包。
　　 3. 使用iptables的过滤规则
　　 通过向防火墙提供有关对来自某个源、到某个目的地或具有特定协议类型的信息包要做什么的指令，规则控制信息包的过滤。通过使用Netfilter/iptables系统提供的特殊命令iptables，建立这些规则，并将其添加到内核空间的特定信息包过滤表内的链中。
　　 4. iptables的运用
　　 学校服务器安装的是Red Hat Linux 9.03操作系统，安装完防火墙之后，进行了以下的测试。
　　 （1）接受来自指定IP地址的所有流入的数据包。#iptables -AINPUT-s192.168.129.134-j ACCEPT
　　 （2）只接受来自指定端口（服务）的数据包。#iptables-D INPUT-deport 80-j DROP
　　 （3）拒绝发往WWW服务器的客户端的请求数据包。#iptables -A FORWARD -p tcp-d 192.168.129.131-dport www-I eth0 -j REJECT
　　 以上测试分别在连接一个客户端、连接20个客户端的状态下进行，经检验达到预期效果，有效地控制了客户对不良网站的访问以及非法信息的进入，保证了学校网络的健康运行。
　　 校园局域网的安全及相应的管理策略是一个需要长期关注的实用研究课题。Netfilter/iptables系统的一大优点是可以根据情况的变化随时添加/除去/编辑过滤规则，以保证校园局域网稳定可靠运行。
　　
　　参考文献：
　　[1]王丽娜.网络多媒体信息安全保密技[M].武汉：武汉大学出版社，2003．
　　[2]李洋，汪虎松，等.Red Hat Linux 9系统与网络管理教程[M].北京：电子工业出版社，2006.
　　（广州市交通技师学院）

转载注明来源:https://www.xzbu.com/9/view-2315352.htm