论文部分内容阅读
摘 要:校园网是实现教育现代化的重要硬件支撑,保障校园网络高效、安全、稳定运行已成为信息技术教师必需的工作与任务,本文从网络初期建设、网络安全设置与网络安全防范等方面阐述了笔者在校园网络安全方面所做的实践。
关键词:校园网;网络安全;网络建设;网络设置;网络防护
中图分类号:TP393文献标识码:A文章编号:1673-8454(2009)10-0088-02
为贯彻落实教育部“校校通”工程,加快中小学教育信息化工作的步伐,实现网络通讯和资源共享两大功能,我校根据市教育局关于校园网建设的精神,投资100多万元,建成了连通各教室、办公室、图书室及各功能用室的校园网络。随着学校校园网络的建成运行,如何维护网络和服务器的安全、防止病毒发作与传播、阻止网内外的攻击、保障网络的畅通等成为学校信息中心首先要解决的安全问题。为了解决这些问题,我们主要从以下几个方面进行规划、设置。
一、网络建设合理规划,避免出现安全隐患
71.合理划分VLAN
为将广播风暴和IP互换等限在最小的范围内,我校原则上将每一个教室组、科室或功能用室划分一个VLAN,联机台数较多的教研组再利用华为交换机PVLAN的功能划分子VLAN,从而杜绝了数据被非法篡改和泄密,对于会计核算中心等有重要数据的单位,做到与互联网物理隔离。同时设置了管理VLAN,信息中心管理人员可以通过管理VLAN登录到任一交换机上进行查看和操作,极大地方便了网络管理人员解决网络故障。
2.购置防火墙和杀毒软件
防火墙能保护内部网络免于遭受外部的非法访问和网络攻击,如SYN Flood、Ping of Death、DDOS等。在病毒发作时,我们在防火墙上设置为只开放WWW、POP、SMTP、FTP等常用的端口,防止路由器受到攻击影响网速,待到全网查杀病毒后再正常开放,保证了网速的正常。在建网的同时,我们购买了瑞星网络版杀毒软件,并要求网内所有的机器必须安装客户端。瑞星网络版杀毒软件能够做到中心、客户端自动升级和中心控制全网查杀和定时查杀,同时,可以利用网络版的漏洞修复工具,将安装瑞星客户端的计算机统一进行漏洞的扫描和修复,最大限度的使全网内的病毒切断传播途径,保障整个网络畅通。
3.购买网管软件
由于我校校园网全部采用了华为的交换机,我们安装了华为的IManager Quidview网管软件和北大青鸟网硕网络管理系统,它们与SNMP相结合,能够发现全网内的交换设备和计算机形成拓扑结构图,并能对设备及其接口的运行状态进行查看和设置,让网管人员了解全网设备的即时状态,做到运筹帷幄。
4.升级网络安全设备
为进一步加强我校校园网络的数据安全,我校又采购了能够有效对网络攻击实施阻断的锐捷入侵防御系统RG-IPS,从而更加方便地对系统进行安全策略配置、攻击实时监控和流量管理等操作。
二、做好安全设置,出现故障及时分析
1.重要数据进行备份设置
邮件、信息发布、办公平台等服务器承载着教育信息的上传下达,安全设置要求高。为保障服务器的不间断运行,我们在服务器中采用了Radi-5磁盘阵列进行数据备份。对于会计中心等重要数据,我市使用了NAS4300文件服务器和备份软件Backup Exec进行实时备份,做到了数据万无一失。
2.做好ACL访问控制列表
访问列表能够阻止具有端口等特性的蠕虫病毒或攻击传播,保证全网的正常运行。我们在信息中心的主交换机和各级交换机等设备上做了访问列表并不断填充,使全网形成了一个ACL体系。
3.全网机器安装个人防火墙和木马查杀工具
木马病毒能够获取用户的资料,对服务器及用户构成了潜在的威胁,为此,我们要求全网均安装个人防火墙和木马查杀工具,以保护服务器和用户的安全。
4.安装协议分析软件,出现故障及时分析
协议分析软件是网管人员的好帮手,它能够捕获网络流量进行详细分析和诊断,还能够实时监控网络活动、收集网络利用率和错误等。我们在网管机器中安装了Sniffer Pro 和Ethereal两个软件,当出现网络故障时,首先用ping等工具判断故障所在地,然后用协议分析软件捕获故障地的数据进行分析,找到攻击或病毒的源头。我们还在信息中心主交换机的上联口做了端口镜像,将数据映射到捕获口上去,用协议分析软件实时监控网络,及时发现不正常的数据流量进行处理。我们在故障处理时一般遵循“先校内后校外、先本端后对端、先交换后传输、先重点后一般、先群路后分路、先调通后修理、障碍消除后及时建立备案”的基本原则。
三、网络安全防范中存在的问题
1.防范工作不具有预见性,是被动防范
华为网管软件和协议分析软件都具有查看和分析功能,但没有预警功能,不能在出现异常数据时通知网管人员,致使不能把不安全因素消灭在萌芽中,网络安全防范效率低。由于缺少硬件防毒设备,校园网中只能采用“感染病毒—杀毒—再感染—再杀毒”的模式,而不能将病毒阻挡于网络的外部。
2.内部防范功能低
各楼宇交换机与信息中心交换机采用光纤直联,中间没有安全网关、防病毒网关和认证授权体系,服务器极易受到内部的攻击,且不易防范。
(编辑:隗爽)
关键词:校园网;网络安全;网络建设;网络设置;网络防护
中图分类号:TP393文献标识码:A文章编号:1673-8454(2009)10-0088-02
为贯彻落实教育部“校校通”工程,加快中小学教育信息化工作的步伐,实现网络通讯和资源共享两大功能,我校根据市教育局关于校园网建设的精神,投资100多万元,建成了连通各教室、办公室、图书室及各功能用室的校园网络。随着学校校园网络的建成运行,如何维护网络和服务器的安全、防止病毒发作与传播、阻止网内外的攻击、保障网络的畅通等成为学校信息中心首先要解决的安全问题。为了解决这些问题,我们主要从以下几个方面进行规划、设置。
一、网络建设合理规划,避免出现安全隐患
71.合理划分VLAN
为将广播风暴和IP互换等限在最小的范围内,我校原则上将每一个教室组、科室或功能用室划分一个VLAN,联机台数较多的教研组再利用华为交换机PVLAN的功能划分子VLAN,从而杜绝了数据被非法篡改和泄密,对于会计核算中心等有重要数据的单位,做到与互联网物理隔离。同时设置了管理VLAN,信息中心管理人员可以通过管理VLAN登录到任一交换机上进行查看和操作,极大地方便了网络管理人员解决网络故障。
2.购置防火墙和杀毒软件
防火墙能保护内部网络免于遭受外部的非法访问和网络攻击,如SYN Flood、Ping of Death、DDOS等。在病毒发作时,我们在防火墙上设置为只开放WWW、POP、SMTP、FTP等常用的端口,防止路由器受到攻击影响网速,待到全网查杀病毒后再正常开放,保证了网速的正常。在建网的同时,我们购买了瑞星网络版杀毒软件,并要求网内所有的机器必须安装客户端。瑞星网络版杀毒软件能够做到中心、客户端自动升级和中心控制全网查杀和定时查杀,同时,可以利用网络版的漏洞修复工具,将安装瑞星客户端的计算机统一进行漏洞的扫描和修复,最大限度的使全网内的病毒切断传播途径,保障整个网络畅通。
3.购买网管软件
由于我校校园网全部采用了华为的交换机,我们安装了华为的IManager Quidview网管软件和北大青鸟网硕网络管理系统,它们与SNMP相结合,能够发现全网内的交换设备和计算机形成拓扑结构图,并能对设备及其接口的运行状态进行查看和设置,让网管人员了解全网设备的即时状态,做到运筹帷幄。
4.升级网络安全设备
为进一步加强我校校园网络的数据安全,我校又采购了能够有效对网络攻击实施阻断的锐捷入侵防御系统RG-IPS,从而更加方便地对系统进行安全策略配置、攻击实时监控和流量管理等操作。
二、做好安全设置,出现故障及时分析
1.重要数据进行备份设置
邮件、信息发布、办公平台等服务器承载着教育信息的上传下达,安全设置要求高。为保障服务器的不间断运行,我们在服务器中采用了Radi-5磁盘阵列进行数据备份。对于会计中心等重要数据,我市使用了NAS4300文件服务器和备份软件Backup Exec进行实时备份,做到了数据万无一失。
2.做好ACL访问控制列表
访问列表能够阻止具有端口等特性的蠕虫病毒或攻击传播,保证全网的正常运行。我们在信息中心的主交换机和各级交换机等设备上做了访问列表并不断填充,使全网形成了一个ACL体系。
3.全网机器安装个人防火墙和木马查杀工具
木马病毒能够获取用户的资料,对服务器及用户构成了潜在的威胁,为此,我们要求全网均安装个人防火墙和木马查杀工具,以保护服务器和用户的安全。
4.安装协议分析软件,出现故障及时分析
协议分析软件是网管人员的好帮手,它能够捕获网络流量进行详细分析和诊断,还能够实时监控网络活动、收集网络利用率和错误等。我们在网管机器中安装了Sniffer Pro 和Ethereal两个软件,当出现网络故障时,首先用ping等工具判断故障所在地,然后用协议分析软件捕获故障地的数据进行分析,找到攻击或病毒的源头。我们还在信息中心主交换机的上联口做了端口镜像,将数据映射到捕获口上去,用协议分析软件实时监控网络,及时发现不正常的数据流量进行处理。我们在故障处理时一般遵循“先校内后校外、先本端后对端、先交换后传输、先重点后一般、先群路后分路、先调通后修理、障碍消除后及时建立备案”的基本原则。
三、网络安全防范中存在的问题
1.防范工作不具有预见性,是被动防范
华为网管软件和协议分析软件都具有查看和分析功能,但没有预警功能,不能在出现异常数据时通知网管人员,致使不能把不安全因素消灭在萌芽中,网络安全防范效率低。由于缺少硬件防毒设备,校园网中只能采用“感染病毒—杀毒—再感染—再杀毒”的模式,而不能将病毒阻挡于网络的外部。
2.内部防范功能低
各楼宇交换机与信息中心交换机采用光纤直联,中间没有安全网关、防病毒网关和认证授权体系,服务器极易受到内部的攻击,且不易防范。
(编辑:隗爽)