校园网安全防御体系的构建
1现状
1.1程序安全漏洞
校园网在网络设备、应用软件以及操作系统当中存在着一定程度的漏洞,如果病毒或者黑客对这些漏洞加以利用,就会针对校园网发起大规模的攻击,不仅会对主机进行侵占,同时还会对网络进行攻击,从而严重地破坏计算机资源,在严重的情况下还会导致网络系统出现瘫痪的危险。
1.2计算机木马和病毒
木马和病毒在网络环境下具有非常快的传播速度和很多传播的途径,病毒和木马在校园网当中的出现会破坏重要数据、阻塞网络,还会导致系统崩溃,从而使校园网的安全正常运行受到了非常严重的威胁。这些计算机木马和病毒包括磁碟机病毒以及机器狗木马等。
1.3网络入侵
校园网需要面对来自于内部以及外部的攻击以及入侵等破坏性行为,一旦黑客攻破了校内当中的某一台计算机,其就会将其作为工具对其他的计算机进行攻击。
1.4下载的滥用
一些校园网内部用户滥用网络资源,利用各种视频软件下载大量的电影和视频,从而将大部分的网络宽带占用了,最终使校园网的快速应用受到了极大的影响。
几乎每个院校都存在着上述的几种校园网安全问题,随着现在校园网内部不断提升的用户使用水平、不断增加的应用服务系统以及网络规模,安全问题开始变得越来越重要。
2安全防御体系设计与部署
2.1软件
2.1.1漏洞扫描
必须要对先进的漏洞扫描系统予以充分的运用,从而能够对客户端、防火墙、路由交换设备、服务器以及工作站等实施定期的安全检查。然后以相关的检查结果作为根据,将详细准确的安全性分析报告提供给系统管理员,这样可以有效地促进网络安全整体水平的提升,学校的每台主机都要配置正确的系统,并且要安装充足的操作系统补丁,将自己的密码保护好,同时还要将不必要的端口以及服务关闭掉。比如在校园网络当中针对WSUS服务器进行部署,能够保证时刻处于最新状态的用户Windows操作系统,可以在服务器上直接针对操作系统的漏洞补丁进行上下载安装,并不需要在微软官网上进行更新,其能够保证系统的更新速度具有更安全以及更快速的特点,并且能够将宽带的流量节省下来,在对系统的状态进行更新的时候还可以直接在控制台监控客户机操作系统实施操作。
2.1.2网络版杀毒软件
在整个局域网当中针对病毒的发作、传播以及感染进行预防是最为理想的状况,要想实现这种理想的状况,就需要采取必要的防病毒的手段针对可能会出现传播和感染的地方进行预防、与此同时要想使整个网络的防病毒体系得到方便以及有效的管理和实施,就应该针对分布查杀、集中管理、远程报警、智能升级以及远程安装等各项功能进行部署。
2.1.3 Wireshark网络分析软件
有很多内部因素会导致校园网出现问题,而又有许许多多的VLAN网段共同构成了其内部结构。因此,要想对发生问题的网络部分进行具体而清晰的了解,就可以对Wireshark网络分析软件进行充分的利用,Wireshark的功能等同于微软公司出品的Sniffer,其能够对所有的数据包在某个共享的网络环境下进行实施分析和捕捉。Wireshark网络分析软件一共包括以下几种功能:详细分析捕获的网络流量,通过对专家分析系统的有效运用从而对问题进行诊断、针对网络活动实施实时的监控、针对网络错误以及利用率进行收集等。
2.1.4第三方的安全工具
在网络当中第三方安全工具有十分强大的功能,其中包括对系统漏洞进行修复、针对系统实施实时保护、针对应用软件进行管理、针对系统插件以及恶评插件进行清理、针对流行木马进行查杀等若干强劲的功能。与此同时,第三方安全工具还可以将系统的全面诊断报告提供出来,从而能够使用户针对网络当中出现问题的地方进行全面的定位。比较流行的第三方安全工具包括:卡卡上网助手以及360安全卫士等,其可以有效地结合杀毒软件,从而保证安全防护具有全面立体的特点、
2.2硬件
校园安全系统的硬件部署共有5个方面组成,由内到外分别是校园内部VLAN、入侵检测系统IDS、交换机系统、防毒墙系统和防火墙系统。
2.2.1防火墙系统
所谓的防火墙,就是一道专用的防御系统,用来将安全区域(局域网)与风险区域(风险网络)隔离开来。作为控制点和阻塞点的防火墙对内部网络的安全性有着重要的作用,能够将不安全的服务进行过滤,从而降低内部网络的风险。能够通过防火墙的必须是经过选择的应用协议,并将危险的应用协议进行过滤。防火墙必须根据校园网的安全目标和策略,对安全过滤的规则进行规划和设置。对IP数据包进行规划审核的项目内容有:流向、目标地址、源地址、端口和协议等等。对于来自公网的非法访问以及对于校园内部网没有必要的访问都必须严格禁止、如利用TCP135端口的冲击波,利用TCP445端口的震荡波等等,校园网边界防火墙系统都可以根据相应的访问策略,对企图连接TCP445, TCP135端口的数据包予以拒绝。从而达到阻挡病毒的目的。
2.2.2防毒墙系统
防毒墙主要是对通过网关的数据包进行扫描,能够对MSN协议、IMAP, POP3, SMTP, FTP,HTTP等内容进行检查,对发现的病毒进行清除。不仅如此通过安全策略,防毒墙系统还可以在网络环境中,在内外网的中间建立安全屏障,这道安全屏障可以阻止内部用户滥用外部网络的不良资源,并防止外部网络对内部资源的侵犯。防毒墙既可以作为三层病毒扫描架构(边缘保护、服务器、客户端)中的一个内容,也可以相对独立,作为一个边缘病毒的扫描结构。以正确的策略配置防毒墙,能够通过对防火墙CPU负荷的降低而为内部网络的运行提供平稳的保障。
2.2.3入侵检测系统IDS的架设
入侵检测系统IDS在防火墙的后面,能够为网络活动提供实时检测,因此其架设对于校园网的安全非常重要。入侵检测系统IDS可以对网络活动进行禁止和记录,有效地配合防火墙进行工作、
IDS能够对网络的流量和活动进行监视、记录和扫描,以其规则对主机网卡的过滤包进行过滤,并及时报警。IDS会对网络上所有的PACKETS进行被动的监测,以捕捉恶意动作和危险信息包。由于IDS的记录非常庞大,因此其需要对其配置合适的规则,否则就难以达到应有的效果。通过合理的配置,IDS能够很好对系统网络攻击进行防范,对系统管理员的响应能力、攻击识别能力、监视能力和安全审计能力都有很大的提高,保证了系统安全的基础结构的稳定。
2.2.4交换机
交换机作为网络的核心,对于网络安全也有着重要的作用。在网络建设中,安全问题是非常重要的。交换机的安全功能体现在其要能够在病毒和黑客的攻击下能够保持其数据转发的高速率。此外,交换机要对其他安全设备进行配合,以阻止和监控网络攻击和非授权访问。
2.2.5 VIAN技术的应用
通过VIAN技术,能够对整个校园网进行划分成为几个广播域,校园网内部的网段之间就能实现隔离,但不影响不同地理位置的用户能够进入一个逻辑子网、VIAN技术可以防止网段之间的安全问题相互传播,也对网络广播风暴进行控制。
3结语
由于校园网的自身情况处于不断的发展和变化当中,而且还会不断地出现各种各样新的安全问题,因此校园网安全防御体系并不是建好之后就能够万事大吉,必须要采取有效的措施针对局域网实施及时的更新以及维护,从而能够使校园网络安全防御体系的良性发展得到充分的保证,并且使其的先进性以及安全性得到确保。