校园网安全防御四步走(1)

校园网安全防御四步走(1)

随着高校信息化进程的推进，高校校园网上运行的应用系统越来越多，信息系统变得越来越庞大和复杂。从结构上分析，校园网总体上分为校园内网和校园外网。校园内网主要包括教学局域网、图书馆局域网、办公自动化局域网等。校园外网主要指学校提供对外服务的服务器群、与 Internet的接入以及远程移动办公用户的接入等。校园网的服务器群构成了校园网的服务系统，主要包括DNS、Web、FTP、Proxy、视频点播以及Mail服务等。外部网主要实现校园网与Internet的基础接入。

安全隐患多且复杂

校园网络存在的安全隐患和漏洞主要有以下几个方面:

第一，校园网与Internet相连，在享受Internet方便快捷的同时，也面临着遭遇攻击的风险。

第二，校园网内部也存在很大的安全隐患。由于内部用户对网络的结构和应用模式都比较了解，因此来自内部的安全威胁会更大一些。

第三，目前使用的操作系统存在安全漏洞，对网络安全构成了威胁。网络服务器安装的操作系统有Windows NT/2000、UNIX、Linux等，这些系统安全风险级别不同，例如Windows NT/2000的普遍性和可操作性使它成为最不安全的系统:自身安全漏洞、浏览器的漏洞、IIS的漏洞、病毒木马等。

第四，随着校园内计算机应用的大范围普及，接入校园网的节点数日益增多，而这些节点大部分都没有采取安全防护措施，随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。

第五，内部用户对Internet的非法访问威胁，如浏览黄色、暴力、反动等网站，以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网;内外网恶意用户可能利用利用一些工具对网络及服务器发起DoS/DDoS攻击，导致网络及服务不可用;校园网内针对QQ的黑客程序随处可见。

第六，可能会因为校园网内管理人员以及全体师生的安全意识不强、管理制度不健全，带来校园网的威胁。

上述分析的几点是当今校园网普遍面临的安全隐患。特别是近年来，随着学生宿舍、教职工家属等接入校园网后，网络规模急剧增大。对此，一套安全的防护体系颇为重要。

安全防御四步走

根据以上分析。可以确定以下几个必须考虑的安全防护要点:网络安全隔离、网络监控措施、网络安全漏洞扫描、网络病毒的防范等。

防火墙部署

防火墙是网络安全的屏障。一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。在防火墙设置上我们按照以下原则配置来提高网络安全性:

第一，根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。

第二，将防火墙配置成过滤掉以内部网络地址进入路由器的IP包，这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外攻击。

第三，在防火墙上建立内网计算机的IP地址和MAC地址的对应表，防止IP地址被盗用。

第四，在局域网的入口架设千兆防火墙，并实现VPN的功能，在校园网络入口处建立第一层的安全屏障，VPN保证了管理员在家里或出差时能够安全接入数据中心。

第五，定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。