谈学校局域网的安全防护

〔关键词〕 局域网；安全防护；三层交换机；防火墙；

入侵检测系统；防病毒软件

〔中图分类号〕 G482　〔文献标识码〕 A

〔文章编号〕 1004—0463（2012） 10—001８—０1

局域网（Local Area Network）是在一个局部的地理范围内（如一个学校、工厂或机关内），将各种计算机、外部设备和数据库等互相联接起来组成的计算机通信网。近年来各种网络安全问题接踵而至，计算机病毒、操作系统漏洞、黑客攻击等屡见不鲜，局域网也同样面临这些问题。一旦发生安全问题，可能对学校造成的损害更大。下面笔者从纯技术手段探讨一下局域网的安全防护。

一、使用三层交换机，划分VLAN和设置访问控制列表

目前的局域网基本上都采用以广播为技术基础的以太网，任何两个节点之间的通信数据包，不仅为这两个节点的网卡所接收，同时也为处在同一以太网上的任何一个节点的网卡所截取。因此，黑客只要接入以太网上的任一节点进行窃听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息。这就是以太网存在的安全隐患。

VLAN是为解决以太网的广播问题和安全性而提出的一种协议。它是通过将网络划分为虚拟网络VLAN网段，从而强化网络管理和网络安全，控制不必要的数据广播。目前的VLAN技术主要有三种：基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN技术比较成熟，在实际应用中使用较多。我们可以将重要的主机系统集中到一个VLAN里，使这个VLAN里不允许有任何用户节点，从而较好地保护敏感的主机资源。也可以按机构或部门的设置来划分VLAN，各部门内部的所有服务器和用户节点都在各自的VLAN内。VLAN内部的计算机可以互相访问，取消了更多的访问控制。VLAN与VLAN之间互相是不通的，如果需要访问，可以通过三层交换机来实现，并根据需要设置精确的访问控制列表，只有授权用户才能对该VLAN进行访问。

二、防火墙和非法外联检测技术

现在的信息系统都不会是一个孤立的系统，或多或少都会与外部网络有数据交换等联系，如果控制不好就会遭到病毒、黑客的攻击。在局域网与外部网络之间设置防火墙，实现内外网的隔离与访问控制，是保护局域网安全最主要、最有效也是最经济的措施之一。防火墙通常被用来进行网络安全边界的防护，事实证明，在内网中不同安全级别的安全域之间采用防火墙进行安全防护，不但能保证各安全域之间的相对安全，同时也为网络日常运行中各安全域访问权限的调整提供了便利条件。

三、建立入侵检测系统

防火墙对我们的内部局域网络起到了很好的防护作用，但防火墙有一个缺陷就是防外不防内。目前很大一部分网络安全事件都是内部人员所为。然而入侵检测系统（IDS）就很好地解决了这一问题，成为防火墙的延续。入侵检测就是对发生在计算机系统或者网络上的事件进行监视，分析是否出现入侵的过程。入侵监测系统处于防火墙之后，对网络内部的信息做到实时监控和预警，同时做到与防火墙的联动，给局域网中重要的安全域打造了一个动态的实时防护屏障。

四、使用好网络防病毒软件

在网络环境下，计算机病毒有着不可估量的威胁性和破坏性，因此它的防范是网络安全建设中重要的一环。防毒软件应该构造全网统一的防病毒体系——主要面向MAIL 、Web服务器以及办公网段的PC服务器和PC机等。主要功能为：支持对网络、服务器和工作站的实时病毒监控;提供定期在线更新病毒库服务;支持多种平台的病毒防范;能够识别广泛的已知和未知病毒，包括宏病毒;支持对Internet服务器的病毒防治，能够阻止恶意的Java或ActiveX小程序的破坏；支持对电子邮件附件的病毒防治，包括WORD、EXCEL中的宏病毒;支持对压缩文件的病毒检测等。

五、建立漏洞扫描系统和补丁分发系统

漏洞扫描系统通常是指基于漏洞数据库，通过扫描等手段，对指定的远程或者本地计算机系统的安全脆弱性以及对发现可利用的漏洞进行安全检测的网络防火墙软件。网络漏洞扫描系统是一种积极主动的安全防护技术，能够在网络系统受到危害之前，及时发现安全隐患和漏洞，并提供安全防护解决方案。它利用模拟黑客攻击的技术手段，对不同操作系统下的计算机或网络设备进行漏洞和隐患检测，进而分析和指出网络的安全漏洞及被测系统的薄弱环节，给出安全评估报告和安全建议，使网络安全员能在系统遭到攻击前就能采取措施，避免攻击。同时还要建立补丁分发系统，当漏洞扫描系统检测出漏洞或安全隐患，就会安装相应的补丁进行修复。补丁分发系统可以对网内的计算机进行在线打补丁，也可以按照不同的策略机制，定时或强制进行系统补丁的扫描和安装。

编辑：张昀

推荐访问:局域网 安全防护 学校