校园网网络安全分析及安全解决方案

校园网网络安全分析及安全解决方案摘要：该文详细分析了校园网的安全问题并提出了相应的对策。在分析校园网原有的网络安全措施的基础上，针对校园网在运行中所遇到的实际问题，对电子邮件过滤检测，入侵检测，病毒检测，防火墙设置等多方面提出了综合性安全解决方案。关键字：网络安全，校园网，入侵检测，病毒检测，防火墙一、网络安全的现状分析我院校园网由网络中心、主干网和各楼内的局域网组成。主干网以千兆以太网为主，覆盖整个校区。部门级交换机根据下连的计算机数量和网络应用的级别，与中心交换机实现千兆、百兆连接。校园网的主干网中采用的是子网过滤结构的双路由器的结构。Linux服务器执行堡垒主机的功能，采用RedHatLinux7.2版作为操作系统。该系统装有单一集成的可管理的软件包，提供各种服务，包括入侵保护、性能加速、安全的VPN能力以及对外Internet访问的全面控制等。由该主机的包过滤防火墙保护内部网络免受来自Internet的侵害。过滤范围包括内部网络和堡垒主机之间的数据包，以防堡垒主机被攻占。同时，在该堡垒主机上，运行多种服务器，如：电子邮件服务器、web服务器、FTP服务器等等。IntelExpress550TRoutingSwitch实现内部路由的功能，有效地阻断内部子网间的广播包发送，最大限度地减轻了网络负担。二、校园网络中不安全的主要问题现阶段，我院校园网的主题架构已经成型，然而随着对网络服务要求的进一步提高，我们还要全面地解决在运行中所出现的问题，从而提供更加完善的服务。1.IP盗用问题校园网内部连接有几千台电脑，一部分电脑通过正常的申请途径申请得到合法的IP地址，另一部分则不然。当某些没有IP地址的用户，冒用他人的合法IP地址时，就会造成网络内部地址的冲突，严重阻碍了合法用户的正常使用。2.防火墙攻击防火墙系统相关技术的发展已经比较成熟，防火墙系统很坚固，但这只是对于对外的防护而已，它对于内部的防护则几乎不起什么作用。然而不幸的是，一般情况下有70%的攻击是来自局域网的内部人员。所以怎样防止来自内部的攻击是当前校园网建设中的一个非常重要的方面。3.Email问题由于用户安全观念的淡薄以及网上某些人的别有用心，会给校园网的Email用户发一些不良内容的信件，有时还会携带各种各样的病毒。因此，怎样防止有问题的信件进入校园网的Email系统也是一个待解决的问题。4.各种服务器和网络设备的扫描和攻击有时会有一些用户对校园网的服务器和网络设备进行扫描和攻击，造成网络负载过重，致使服务器拒绝提供服务，或造成校园网不能提供正常的服务。5.非法URL的访问问题对于一些反动的或不健康的站点，应当禁止校园网用户通过校园网去访问。6.病毒防护互联网迅猛发展使得网络运营成为社会时尚，但同时也为病毒感染和快速传播提供了途径。病毒从网络之间传递，并在计算机没有任何防护措施的情况下运行，从而导致系统崩溃，网络瘫痪，对网络服务构成严重威胁，造成巨大损失。近阶段泛滥的"尼姆达病毒"就是典型的例子。因此，如何让校园网更安全，防止网络遭受病毒的侵袭，已成为校园网迫切需要解决的问题。三、校园网安全的解决方法现阶段，由于我院校园网已有较完善的网络系统架构，因此，在保证现有网络工作顺通的同时，再进行开发和完善是解决校园网网络安全的最佳选择。现提出以下解决方法。1.采用入侵检测系统入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安仅有效地加快了上网速度，又可以利用Squid代理服务过滤掉内网无效访问和攻击，实现了透明代理。5.对于无法使用IP伪装方式访问Internet的特殊协议与软件采用Socks代理服务。Socks是一组是用客户端/服务器端结构的Proxy协议。Socks的软件组成包含Socks服务器程序及Socks客户端应用程序库。用户的应用程序只要支持Socks协议就能通过Socks代理服务器连接到防火墙外的网络。6.漏洞扫描系统解决网络层安全问题，首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况，仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估，显然是不现实的。解决的方案是，寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具，利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下，可以利用各种黑客工具，对网络模拟攻击从而暴露出网络的漏洞。7.IP盗用问题的解决在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时，路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符，如果相符就放行。否则不允许通过路由器，同时给发出这个IP广播包的工作站返回一个警告信息。8.利用网络监听维护子网系统安全对于校园网外部的入侵可以通过安装防火墙来解决，但是防火墙对于校园网内部的侵袭则无能为力。在这种情况下，可以采用这样的方法：为校园网内部的各个子网做一个具有一定功能的审计文件，为管理人员分析内部网络的运作状态提供依据。总之，通过以上方法，以及校园网中的原有网络安全措施，基本上可以建立一套相对完整的网络安全系统。不过，网络安全是一个系统的工程，不能仅仅依靠防火墙等单个的系统，而需要仔细考虑系统的安全需求，并将各种安全技术，如密码技术等，结合在一起，才能生成一个高效、通用、安全的网络系统。【参考文献】[1]梁亚声