【摘要】近来,无线WIFI6局域网技术开始逐渐走入校园,而移动网络技术也同时在渐进发展、不断迭代,目前已经发展到5G技术,能够将两者结合的移动智能终端也如雨后春笋般出现在我们身边,将WIFI6、5G这两种不同属性的网络架构有机结合,在城域网组网、控制带宽以及进行有效负载均衡方面拥有很多优点,已经成为网络应用领域的研究方向之一。今天小编给大家找来了《校园网络系统网络完全论文 (精选3篇)》相关资料,欢迎阅读!
校园网络安全方案的设计与实现
【摘 要】随着高校信息化建设的不断开展,几乎所有的高校都建立了自己的校园网,由于网络具有开放性,以及本身存在的技术弱点和人为疏忽,网络安全就成了至关重要的问题,本文从软件,硬件及管理方面阐述了解决方案。
【关键词】校园网;网络安全;防火墙;VLAN
【
【Key words】Campus Network;Network security;Firewalls;VLAN
在当今社会,网络逐渐取代了很多传统信息通道,成为一种不可缺少的信息交换媒体应用在各个领域。然而,由于网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性,再加上本身存在的技术弱点和人为的疏忽,网络安全就成了至关重要的问题。
随着高校信息化建设的不断开展,几乎所有的高校都建立了自己的校园网,为加快信息处理、合理配置和充分利用优质教育资源、科研和管理提供资源共享、信息交流和协同工作的平台,同时也是衡量一个高校教育信息化、现代化的重要标志。
在校园网的建设过程中,由于安全意识淡薄和资金欠缺,技术落后等多方面的原因,使得各高校普遍都存在着“轻安全、轻管理”的现象。但是随着网络规模的急剧膨胀,学生网络用户的快速增长,u盘的普及应用,校园网已经不仅仅服务于教育、科研和行政管理,它应用已经逐渐渗透到校园生活的方方面面。同时,学生是一个比较特殊的群体,他们思想单纯,心性不定,又对新鲜事物存在极大好奇心,容易受外界影响,学校有责任限制他们登陆不健康网站。在这种情况下,校园网的安全问题日益严峻起来。那么,如何在开放网络环境下保证校园网正常、安全、高效地运行就成为各个高校不可回避的一个十分重要的问题。
1.网络安全定义
网络信息安全一般分为网络安全和信息安全两个层面。网络安全包括系统安全,即硬件平台、操作系统、应用软件和运行服务安全,即保证服务的连续性、高效率。信息安全是指数据安全,包括数据加密、备份、程序等,我院主要是使用数据终端设备来进行数据信息保护的技术,如防火墙、防病毒等技术。
我们天津滨海职业学院的校园网络系统构成除了新校的十多个部门外,还包括成教的旧校区,而每一个部门或用户都有宝贵的或机密的信息,校园网络内部的信息也可以说是门类较多、丰富多彩。其中有的信息可以被外部访问,而有的信息相对外部来说是保密的。对这些信息如何去很好的管理,也是一个很重要的问题。管理作为信息安全保障三大要素之一,常常在保障信息安全的“链条”中,它成为最重要的一环。
2.校园网络的现状
2.1我校园网络的拓扑结构
天津滨海职业学院校园网作为服务于全校教育、科研和行政管理的计算机信息网络,实现了校园内局域网互通,并通过交换机与互联网相联。校园网由核心层、汇聚层和接入层构成星型千兆以太网络,网络的设计思想是万兆可擴展,千兆为主干,百兆到桌面。核心层作为整个网络的核心,选用思科三层交换机为服务器作为这个网络数据快速转发的核心基础;接入层直接面向客户端,选用的是思科二层交互机连接不同的VLAN;汇聚层作为核心层和接入层的分界点。
校园内建筑物之间的连接选用多模光纤,以行政楼为中心,向其他建筑物辐射;楼内采用非屏双绞线缆。网络拓扑结构十分简单,网络入口在学院的网络中心,由电信光纤经过防火墙,最后到达核心交换机,再从核心交换机向四周辐射通向各个汇聚交换机。
2.2我校园网络面临的问题
我校园网的安全问题有其历史原因:在以前,主要因为意识与资金方面的原因,学校网络建设经费投入严重不足,所以就将有限的经费投在关键设备上,对于网络安全建设一直没有比较系统的投入,致使校园网处在一个开放的状态,没有任何有效的安全预警手段和防范措施。只是在内部网与互联网之间放一个防火墙就万事大吉,同时对学生上网不加限制,从而导致病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等,这些安全隐患只要发生一次,对整个网络都将是致命性的。我校园网建设中面临的问题有如下几个方面:
2.2.1硬件设备简陋
校园网的出口是网络规划和建设中需要重点考虑的问题,它关系到校园网用户对Internet访问的速度。我校网络整体结构设备简陋,现有设备技术指标低,没有路由器,路由选择由三层交换机来完成,为了提高速度,防火墙设置也不是很高。校园网建设的目的是为学校的各项工作信息化服务,提高工作效率,应强调其应用,应多购置服务器,每个服务器满足一个应用,把应用平台搭建起来,供师生逐渐熟悉,最终完全接受。
2.2.2 IP地址欺骗、盗用
现在TCP/IP协议广泛用于各种网络。但是TCP/IP协议本身就存在很多问题,几乎所有的internet协议都没有考虑安全机制。TCP/IP协议是采用物理地址来为网络节点的唯一标识,但是由于我们采用的是DHCP服务器技术,节点的IP地址是不固定的,是一个公共数据,因此攻击者可以直接修改节点的IP地址,冒充某个可信节点的IP地址,进行攻击。
2.2.3操作系统不防盗
我校大部分都使用windows操作系统,它虽然属于C2级安全操作系统,拥有用户标识、身份认证、存储控制和审计跟踪等功能,但由于整体设计的缺陷和其软件代码的巨大开发规模,系统本身存在安全漏洞也在所难免,校园网中大部分都使用盗版的操作系统,安全系数更加难以保证。人们很容易从网上获得相关的核心技术资料,特别是有关internet自身的技术资料及各类黑客软件,很容易造成网络安全问题。尤其是在学校,校园网内经常的病毒泛滥,这是因为学生的好奇心重,总在校园网内显示自己的自人能力。
3.信息安全技术
由一于我校的网络设备相对简陋,所以在软件、设置问题上也受到一定局限性,好多高级安全功能没有,便无从设置,这就在网络安全方面留下了比较大的漏洞。校园网中的计算机系统的购置和管理情况也非常复杂。这样我们就必须在服务器设置,校园网络管理上多下功夫。
3.1防火墙技术
防火墙的英文名为“Firewall”,它是目前最重要的一种网络安全防护设备,从专业角度讲,防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。它结合硬件和软件来共同防御未经过授权的出入访问,目的是保护我们的网络和系统不受侵犯。它的物理载体可以简单地表现为一个路由器、主机或任何一个可提供网络安全的设备,更可以是它们的组合。
防火墙是一种将局域网和广域网分开的方法,通常设置在内网和外网之间,是内网和外网之间信息流通的唯一通道,它能限制被保护的内网与外网之间的信息存取和交换操作。防火墙可以作为不同网络或网络安全域之间交换信息的出入,在防火墙的工作日志中,会记录和统计网络的使用情况,即何人何时去往何处及做什么,哪怕他的访问未被允许。当然,它的控制规则是具有可设计性的,对于一些不健康网站可以禁止访问,可是网站众多,不可能一一设置,所以火墙设计时多数采用的是“没有被允许就是禁止”的策略,其意是说防火墙的安全作用是首要的。防火墙“防外不防内”,在内部网络中实施攻击,防火墙是无能为力的,目前对于这类来自内部网络用户的威胁,只能要求加强内部管理,如主机安全和用户教育等。
3.2 VLAN划分
VLAN(虚拟局域网)是一种将物理网络划分成多个逻辑(虚拟)局域网的技术。在传统局域网中,任何一台机器都可以截取同一局域网中其他计算机之间传输的数据包,存在着安全漏洞。但当划分了VLAN后,由于各个VLAN之间不能直接进行数据通信,而必须通过路由来转发VLAN之间的数据,因此,如果VLAN之间没有路由器,那么VLAN就是与外界其他设备相隔的,相当于一个独立的局域网,安全性可以得到较大程度的提高另外,我们还可以在VLAN之间的路由器上进行适当的设置,来防止大部分网络监听手段的入侵。
校园局域网与其他企事业单位的局域网相比,联网计算机及网络用户的群体更为复杂,有多媒体教室、学生机房、学生宿舍、图书馆、以及行政办公计算机等。不同的用户对于网络有着不同的需求。对于自身信息的安全性要求也不同,据此可以将校园网划分为多个VLAN。
3.3流量控制
在我们校园网中,网速一直都是个学生和教师们抱怨的问题。这是因为同时在线人数众多,一般在3000人以上,由于上网人数很多,而带宽有限,学生又大量使用BT等P2P类软件下载资源,网络常常因为流量过大而导致拥塞,连正常的网页都很难打开。
增加流量控制设备是一个很好的解决方案。通过网络流量控制设备的流量管理功能为日常的关键应用分配到了足够的带宽资源,以优先保护重要的应用稳定的运行;过滤一些浪费网络资源的P2P下载等网络应用,从而节省了宝贵的网络资源;通过网络流量控制设备的网络流量监视功能详细的了解网络中应用流量的分布情况,当有突發网络异常流量时可以提前处理,并利用报告生成功能,生成详细的网络流量应用报告,很大程度上提高了网络管理人员的工作效率。
4.小结
校园网络是一个比较特殊的网络,他既要满足校园的正常教学,科研,教务管理工作的需求,又要确保学生在安全健康的环境下学习,因此如何在开放网络环境下保证校园网正常、安全运行就成为了一个至关重要的问题。我们要在技术与管理等多方面进行维护,以确保校园网安全。
【参考文献】
[1]基于任务的访问控制模型在高校图书馆的应用[J].山西电子技术,2009,1.
[2]计算机网络安全[M].清华大学出版社,2011,8.
[3]基于分类技术的Blog用户兴趣挖掘[J].科学之友,2010,2.
[4]校园网络信息安全保护研究与实现[D].内蒙古大学,2010,6.
[5]刘冬霞.基于移动Agent的入侵检测系统的研究[D].济南:山东师范大学,2006.
[6]网络安全系统集成与建设[M].机械工业出版社,2010,09.
作者:冯淑杰
WIFI6与5G技术在教育城域网中的融合应用前景研究
【摘要】 近来,无线WIFI6局域网技术开始逐渐走入校园,而移动网络技术也同时在渐进发展、不断迭代,目前已经发展到5G技术,能够将两者结合的移动智能终端也如雨后春笋般出现在我们身边,将WIFI6、5G这两种不同属性的网络架构有机结合,在城域网组网、控制带宽以及进行有效负载均衡方面拥有很多优点,已经成为网络应用领域的研究方向之一。作为从网络运营商下载数据的一种主要方式,WIFI6可以异构集成到5G网络中,以实现对多种网络服务的高速无线访问,增加系统容量并提供高质量的通信服务。是教育信息化建设的核心組成部分之一,也是公共管理的重要组成部分。本文对WIFI6与蜂窝技术在教育城域网中的融合应用进行了前景研究。
【关键词】 WIFI6 蜂窝技术 教育城域网 融合
教育城域网的信息资源是通过数字处理以及使用信息和通信技术将教育资源整合到学校的教学,研究和管理中形成的。它是根据学科知识体系和网络教学的要求,将不同的教育资源进行全面的整合。
近年来,智能移动终端如雨后春笋般出现在我们身边,应用的广度和深度之大,已经开始倒逼多模式无线网络必须进行有效融合。
网络带宽的提升速度超乎想象,海量的各型各类多媒体内容充斥我们的身边,人们对网络内容应用的诉求,也逐渐由过去的单向接受,向双向推送转变。这使得日益增长的网络流量已经被网络带宽所拖累,已经成为有效沟通的瓶颈,而这也成为研究WIFI6-5G网络融合网络的动力。
一、相关概念
1.1教育城域网的概念
建立教育城域网的目标是共享资源,包括硬件和软件资源,同时进行教育大数据的收集、处理、分析。目前,区域教育网络可以概括如下:校园网作为核心单元,在一定的教育思想和教育理论的指导下,根据网络的某些技术特征,可以在共享信息和资源的学校中实现区域性特征。教育城域网是一种基于教育和培训以及大数据分析处理的分布式区域网络资源系统。
1.2 WIFI6简介
作为一种高效,流行和经济的移动无线技术,在过去的十年中,WIFI技术不断发展和完善,为运营商级网络奠定了基础,WIFI网络的传输速度又从最初的54Mbps到802.11a再到600Mbps到802.11n再次提高。再演变至802.11ac以及ad协议,网络速度已经超过1G。与此同时,网络访问延迟也大大缩短,同时WIFI6针对网络服务的控制功能也得到一定程度的增强。
WIFI6极大地拓展了之前WIFI5有限的无线带宽,是传统wifi无线技术的衍生、发展和集成。与固定的有线网络相比,它不仅在成本和带宽方面具有优势,而且由于无线技术的便利性,更加方便各类物联网设备在校园中进行有效部署,WIFI6和5G网络之间的通信和协作具有非常广阔的发展前景。
1.3移动数据传输技术
蜂窝移动通信发展非常迅速,因此业务需求远远超出了最初的预测。在大多数情况下,运营商仅限于固定频率范围,几乎没有希望扩大该范围,并且无法根据需求的发展扩展原始的模拟技术。新技术可以更有效地利用频谱,并为用户提供更高的安全性和舒适度。
而新兴的5G通讯技术同上述WIFI6技术一样,超快的网速、极小的网络延迟成为5G通讯技术的标签。
二、在教育城域网中5G网络与 WIFI6 网络的融合
2.1 5G网络与WIFI6融合的架构
随着终端用户需求的不断提升,在教育城域网环境下,为了满足各类终端的应用,5G网络与WIFI6的无界融合是实现用户双向数据沟通及交流的重要途径,在可以预见的时间段内,一定会成为5G网络系统设计中的优选方案。用户终端可以使用S2a、b、c接口通过可穿透高级分组核心的交互式体系结构(WLAN)访问城域网范围内的各种服务。
基于S2a接口的融合体系结构支持经过认可的WLAN访问。通常, PDN网关在WLAN和PDN网关之间建立受信任的PDN连接,并在WLAN中成为用户的配置节点。
S2a接口可以代理5G网络的IPv6协议,并通过安全的隧道协议进行外部地址代理。S2a接口同样可以满足终端用户通过受信任的wlan进行身份验证和注册信息的重定向。
如果需要利用不受信任的WLAN进行网络传输,可以通过S2b接口进行。设备与PDN网关之间可以通过S2b接口建立连接。可以在不受信任的WLAN和网络设备之间建立相对安全的接口连接,双方可以在安全隧道中建立数据联系。
而通过S2c接口可以同时进行可信任和不受信任的WLAN访问。
5G网络与WIFI6网络是两种从协议到模式都完全不同的无线网络,所以他们之间在没有媒介的情况下,完全不可能实现通常意义上的互联互通,为了实现将固定部署的小型校园基站或者5G网络中的流量需求转嫁到到WIFI6上,目前大致有三种方法:1、基于网络的IP流移动性(NBIFOM),2、本地IP接入(LIPA),3、选择性IP流量卸除(SIPTO)。同时关于5G网络与WIFI6网络之间互联互通的技术标准也在紧锣密鼓的制定中,其中有两个关键的网络融合方式Hotspot和NGN技术是基于802.11u协议提出的。
2.2 WIFI6-5G网络的结构特点
其实WIFI6-5G融合网络本质上是一种Mesh网络。传统Mesh网络是在骨干网络的基础上,利用Mesh节点作为路由,扩展网络覆盖范围,提供一定的路由器功能,以方便终端用户对网络进行性管理和使用。但在WIFI6—5G融合网络中,网络中所有的有效工作节点不论是功能还是所处地位都是平等的。
在WIFI6-5G融合网络中,所有接入网络的节点设备,共同组成了一个大型多路径多跳点无线网络,所在网络中正常工作的全部网络节点都可以承担数据转发业务,他们可以共同组成大一统的区域网络,更重要的是完全可以使用较低功率的发射功率进行大范围的网络覆盖,这一点,作为在城域网教育教学环境中部署的网络设备尤为重要,将射频辐射对环境的影响降至忽略不计。
在WIFI6—5G融合网络中,所有的接入设备,如笔记本电脑,网络通讯设备,各类手机、平板电脑等,都不再是仅仅进行网络接入的单纯的客户端,而是作为组成网络的有机分子,在一个可以统一协调组织的架构下通过可靠的协议进行数据的存储和转发。
在这样的一个庞大复杂而又多功能的综合性网络中,必定会存在大量的智能手机终端在同时使用,而手机终端和移动通讯基站都会有专属的4G/5G数据传输链路,同时,它们和WIFI6网络也可以有点对点链接。这些设备同样形成了构成了整体网络架构中的WIFI6-5G异构网关节点。在这个异构网络中的网关节点就是那些可以同时连接wifi6或5G网络的终端设备。
WIFI6-5G融合网络是一种在5G数据网络的基础上,同时通过WIFI6连接组成点对点网络的一种异构无线网络。融合网络中的数据传输模式也同时存在很强的异构性,包括传统移动数据网络中的5G数据连接,以及点对点的WIFI6连接。
可以根据城域网中各接入设备的属性将接入WIFI6-5G网络的节点设备分为四种:
1)5G节点:直接接入5G网络基站的节点,如没有开启WIFI6网络功能的智能手机、平板电脑;
2)网关节点:可以同时连接5G网络和wifi6网络的复合型异构节点,如拥有WIFI6网卡设备和5G网络的手机,拥有WIFI6网卡同时可以通过移动5G CPE 接入网络的笔记本电脑;
3)临时网络节点:通过WIFI6进行网络连接的节点,包括网络中的笔记本电脑,平板电脑、拥有WIFI6无线网卡的台式电脑。
同时也可以将WIFI6-5G融合网络中的连接方式分为两种:
1)移動终端(如5G智能手机)与基站的5G接入:由于5G网络的特性,在网络运行中,终端与基站始终保持它们之间只有一跳;
2)通过WIFI6网卡设备接入网络:该类接入设备可以基于WIFI6网络中点对点连接的特点,在不同的网络设备之间通过媒介节点通过多跳进行数据传输。
三、结束语
随着信息化教学手段的快速普及,信息展现方式的日新月异,大数据分析在教育教学中的应用日益增多,这些都给教育城域网的建设带来极大的挑战,传统的wifi5或4G网络已经不堪重负,2020年开始涌现出的各类直播课、在线课堂更是让传统教育城域网压力剧增,甚至达到不堪重负的地步。南京市秦淮区在2020年2-5月份的在线直播课中,仅仅一天,一个上午的直播带来的流量就达到150T,而150T的流量,仅仅给不到13万的在校学生提供了3个小时左右的在线直播服务。这类应用给传统的城域网络带来超大的流量负载压力。
除了升级5G网络之外,分流成为卸除5G网络数据流量压力的有效途径。而WIFI6凭借其极高的传输速度、简单的部署方案、极佳的扩展性和灵活性、极小的网络延迟成为5G网络数据分流的首选方案。WIFI6与5G网络进行更高层次的深度融合一定会是教育城域网发展中的必经之路。
参 考 文 献
[1]刘乃安.无线局域网(WLAN)——原理、技术与应用[D].西安电子科技大学,2017.
[2]段水福,历晓华,段炼.无线局域网(WLAN)设计与实现[D].浙江大学,2017.
[3]魏格利,张大威.Microsoft Mobile移动应用开发宝典[M].北京:清华大学出版社,2018.
[4]卢方方.IEEE 802.11a物理层关键技术的研究及吞吐量的提高[D].大连海事大学,2017.
[5]陈华强.无线局域网的安全技术研究[D].复旦大学,2018.
作者:徐强
防火墙技术在校园网中的合理应用
摘 要:本文通过简要阐述了校园网络系统面临的威胁,提出了防火墙技术在校园网应用的必要性,分析了防火墙技术的优缺点,提出了防火墙技术在校园网的中的具体应用措施。
关键词:防火墙技术;校园网;应用;措施
0 引言
防火墙是一种隔离控制技术,是一个用以阻止网络中的黑客访问某个机构网络的屏障。防火墙有软件防火墙和硬件防火墙,软件防火墙一般安装在主机上,它既可以防止来自外网,也可以防止来自局域网内部的攻击;硬件防火墙是安装在校园网的入口处,以减少外部对校园网的攻击。
由于校园网的开放性、校园网用户网络安全意识低等因素,导致校园网络安全事故时有发生。有来自互联网的恶意攻击,也有来自校内的非法访问;有网络层面的攻击,也有应用层面的威胁。校园网网站也曾遭篡改、黑屏甚至拒绝服务等,直接影响到正常的教学秩序以及科研管理等,校园网采用防火墙技术极为必要。
1 防火墙技术在校园网应用的必要性
1.1信息共享资源的泄露
校园网络主要承担教学、科研、办公任务,因此经常要部署共享网络资源,便于师生之间的资源共享,由于缺少必要的访问控制策略和保密意识淡薄,就可能有意、无意的把重要信息,特别是科研成果长期暴露在网络上,从而被轻易窃取并传播出去造成泄密。
1.2计算机病毒入侵
校园网的特点是用户量大、上网时间长、在线用户比例高,在这种高速、大容量的局域网中,各种计算机病毒和蠕虫都容易通过用户的不小心或有漏洞的系统迅速传播扩散,由于它是在网络上传播的,加快了病毒的传播速度,造成网络阻塞甚至瘫痪,给网络带来灾难性后果。如著名的“黑色星期五”“熊猫烧香”等病毒都曾给网络正常应用带来巨大麻烦。校园网接入互联网之后,也给病毒传播提供了通路,可能会引起网速变慢、数据丢失、系统瘫痪等问题。凭其强大的破坏力和极快的传播速度成为威胁校园网安全的罪魁祸首。
1.3黑客攻击
校园网与 Internet 相连,在享受 Internet 方便快捷的同时,也面临着遭遇黑客攻击的风险。校园网中较易受攻击的应用服务器主要是 DNS 服务器、Web 应用服务器和邮件服务器。黑客甚至利用一些专业的攻击工具对校园网络及服务器发起 DoS、DDoS 攻击,增大校园网流量,导致网络及服务不可用,甚至系统崩溃。
1.4校园网内部用户的攻击
校园网与一般企业网不同的是,不仅要注意防止外部网络对校园网的攻击,还要注意防范校园网内部的恶意攻击。根据观察,来自校园网内部的各种攻击大多是一些学生因好奇发起的。
2 防火墙技术的优缺点
在众多不安全隐患的面前,清楚地认识到防火墙的优缺点,才能有效地利用防火墙技术为校园网络安全服务。
2.1 防火墙的优点
防火墙能够有效保护校园网的安全,通过安全策略的设置,只有被认可的和符合要求的请求能够通过防火墙,这样就能够有效防止非法入侵,防火墙是内部网络与外部网络进出的唯一控制点,能够有效记录和收集网络正常使用或者错误使用的信息,使校内网络与外部网络之间的联系更加安全。利用防火墙在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地止网络中的黑客来访问自己的网络,防止他们随意更改、偷窃或破坏网络上的重要信息。
2.2防火墙的缺点
防火墙虽然能够有效保护校园网络的安全,但也不是绝对的,防火墙自身也存在很多的缺点。防火墙能够使其保护范围内的网络系统信息用户安全发送信息,但是如果信息用户使用 U 盘等直接复制信息,那么这些信息就能够直接绕过防火墙,数据信息就被非法带走了,对于已经侵入的信息,防火墙就无法对其进行控制了,那么对于内部信息用户对数据和信息的窃取,对软件硬件的破坏,防火墙就发挥不了作用了。如果信息不通过防火墙传输,防火墙就不能够对入侵者进行有效拦截,防火墙作用的发挥需要设计方案做支撑,有了良好的设计方案才能对已知威胁进行防备,防火墙没有自动防御新威胁的功能。
3 校园网安全方案与措施
校园网络的结构一般由两部分构成:校园网内部网与校园网外部网。校园网内部网主要包含教学局域网、图书馆局域网、办公自动化局域网等。下面所提出了一些方案和措施可供大家参考。
3.1 合理设置防火墙系统
校园网大多数都是通过路由器与 Cernet 连接的,校园网的 IP 地址是确定的,闭合边界也比较明确,这为校园网的系统控制提供了便利。进入 Cernet 主干网的存取进行控制,校园网的 IP 地址都是合法的,非法的 IP 地址想要通过路由器进行 Cernet 访问,就要对校园网路由器进行命令设置,同时也要加强对主机的访问控制,网络中心的 WWW、DNS、FTP 等服务器十分重要,需要进行保护,网络中心所在的子网应该对除了WWW、DNS、FTP以外的服务进行禁止。
3.2禁止非法访问
非法访问一般都还有计算机病毒,因此一旦获得非法访问网址,就要对路由器中的存取控制列表进行更改,严谨非法访问,同时要在校园网与路由器连接的以太网预设出控制组,插入命令,用来过滤非法访问网址,插入命令就是对路由器的动态配置,路由器的配置能够通过 telnet 或者控制台登录路由器,根据命令进行人工配置,我们可以利用这一点,通过 TEHET SOCKET 编制仿真程序,针对 CISCO,对人工命令进行仿真,对路由器进行动态配置。仿真程序的编制需要一个与 CISCO 控制表项相一致的文件,这是存取控制表的插入是由 deny 决定的,先把控制项放入配置的文件中,再将配置传输入路由器中。
3.3 加强对 IP 地址的保护
首先登记每个合法IP地址和对应的以太网地址,形成一个对应表。运行时通过定期扫描校园网内各个路由器中的ARP表,获得当前IP和MAC的对应关系,和事先合法的IP和MAC地址进行比较,如不一致,则为非法访问。这种方法的出发点是每个网卡的以太网地址是固定不变而且是唯一的。但事实上用户可以让网卡使用任意的以太网地址。因此,这种方法的效果不是很好。可对其进行改进,由用户自己动态地控制IP地址的访问权限,当用户不需要对外通信时,可以关掉自己的IP地址对外的权限,这时即使有人盗用IP地址也不会对用户造成直接的经济损失。
4解决校园网安全问题的其它措施
不论采用什么样的防火墙技术,都不能完全解决校园网的安全问题。因此必须针对防火墙所存在的缺陷和漏洞,采取相应的措施解决校园网络的安全。
4.1封锁系统安全漏洞
黑客之所以得以非法访问系统资源和数据,很多情况下是因为操作系统和各种应用软件的设计漏洞或者管理上的漏洞所致。因此,在制定访问控制策略时,不要忘记封锁系统安全漏洞。目前,Internet中的一些重要的网络都建立了计算机紧急相应工作组,如中国教育和科研网的紧急响应组,在发现新病毒或因系统安全漏洞威胁网络安全时,会及时向用户发出安全通告,并提供各种补丁程序以便下载。许多应用软件也在不断更新版本以修正错误或完善功能。对于校园网管理人员而言,只需注意跟踪此类信息,及时下载和安装各种补丁程序,升级程序就能对保护网络和信息系统的安全起到很大作用。
4.2网络病毒的防治措施
为防止网络病毒通过校园网进行传播,可以采用时下流行的杀毒软件如:360。它具有如下特点:独创的“五核引擎”杀毒技术,查杀、清除病毒能力远超同类软件;为国内用户量身打造的“嵌入式杀毒技术”,方便高效的保护QQ、MSN上的传输的文件,以及U盘、移动硬盘上的文件,不被病毒入侵;“云查杀”技术可以快速定位用户机器内的未知可疑文件,分析、处理仅需10分钟,可以防范“新木马”入侵等。
5总结
从理论上讲,一个校园网络系统越安全越好,但是绝对安全可靠的系统并不存在。校园网防火墙系统构建是一项复杂的系统工程,实际上也是入侵者与反入侵者之间,持久的对抗与反对抗过程,不是一劳永逸地能够防范任何攻击的完美系统。校园网络访问控制体系策略的制定要针对网络的实际情况具体地对各种安全措施和方案进行取舍,使系统的性能比达到一个合理的水平。
参考文献
[1]张艳,王雪涛.网络防火墙的组网及实例分析[J].电信快报,2010(01).
[2]郑羽.网络防火墙的技术实现及性能测试[J].安庆师范学院学报(自然科学版),2008(01).
[3]杨秋田.校园网安全研究[J].武警学院学报,2010,26(9)
[4]黄锋.高校校园网信息安全突发事件: 危机预防中存在的问题及其对策研究[J]. 咸宁学院学报 2010,30(9)
[5]张艳,王雪涛.网络防火墙的组网及实例分析[J].电信快报,2010(01).
作者:贾笑明
推荐阅读:
校园网络系统网络完全论文提纲11-15
校园网络论文提纲11-15
校园网络安全论文03-23
校园网络安全论文提纲11-15
校园网络管理论文提纲11-15
校园网络文化论文提纲11-15
校园网络建设论文提纲11-15
高校校园网络文化论文04-21
校园网络教学论文提纲11-15
校园网络安全分析论文提纲11-15
