计算机教学
0 前言
高校校园网络具有开放性、终端的分布不均匀性和用户多样性等特点,因此很容易成为网络上各种恶意软件、计算机病毒、黑客网络攻击和安全威胁的目标[1]。内网的稳固性和安全性也逐渐受到高校的重视。在校园网的内部,带有较强隐蔽性的网络病毒很容易潜伏在特定的校园网络区域,并且威胁到校园网的整体安全[2]。对于一个无安全策略的高校内网而言,很轻易就会受到网络蠕虫病毒攻击、广播风暴、拒绝服务攻击等严峻的网络事件,严重威胁着高校的网络安全,也对全校师生日常使用网络产生了极大影响,甚至会导致师生信息数据泄漏。
一般情况下,高校内网具体存在如下几方面的安全隐患:内网资源滥用,严重影响教职工的正常工作效率;对内网资源进行非法公网映射,给黑客留下了入侵后门;师生个人敏感信息泄漏,对高校造成不可弥补的损失;内网频繁瘫痪,降低师生上网用户体验;木马和病毒肆意横行,一旦扩散,全校网络被攻陷,这类隐患即便花费高额的开销也无法消除。
要让高校校园网络持续在一个保密、安全和可靠的环境下正常运行,可以采用有哪些奏效措施呢?对于一名网络安全人员而言,这是一个急需解决的问题。通过研究表明,实现校园网网络安全,通常需要对网络运维管理做如下要求:(1)最大限度地把网络病毒传播扩散的时间窗口和产生影响范围缩减到最小;
(2)第一时间发现并抑制广播风暴,避免校园网故障或瘫痪;
(3)对关键部门的数据访问进行控制,以防关键业务数据发生泄漏;
(4)禁止高校外来人员随意接入校园网络,避免木马病毒的安全隐患。
只有人员防护和技术手段结合的安全策略才能完成上面的网络运维管理要求。换言之,除了要制定网络运维管理规范和奖惩规则以外,还需要在校园网中运用一些比较奏效的网络安全技术,由这些网络安全技术构成一套切实可行的网络安全策略。
(1)利用虚拟局域网技术(VLAN)对校园网这一庞大的广播域进行局部区域化和隔离化,将广播风暴抑制在最小的范围内;
(2)对于不同局域网段之间的互访,利用L3交换技术实现;
(3)利用端口绑定技术实现全校师生的客户端计算机的IP地址与MAC地址的绑定,实现一人一号,绿上网,杜绝任何人利用任何终端在任何时间段非法接入校园网;(4)利用访问控制列表技术,限制不同局域网段间的互访,安全有效地隔离对具有敏感业务数据部门的访问。
1 虚拟局域网技术和L3交换技术
■1.1  L2交换技术的缺点
OSI七层参考模型是一个抽象的、七层的模型体,我们通常所说的数据链路层就是L2,L2协议控制着数据如何在链路上进行传输。在L2交换技术中,转发数据帧的标识信息就是硬件地址(MAC),它是厂商生产网卡时出厂自带的全球唯一标识的地址,换言之,硬件是L2技术的数据交换的媒介。L2技术最大的优势就是比起软件平台的数据交换来说具有更快的传输速度,但L2的缺点也是非常明显的,也即广播风暴的易发生性,因为对于广播域庞大的高校而言,一旦发生广播风暴,校园网就会在最短时间内陷入混乱进而瘫痪,此外,L2技术只限于在同一网段内进行数据交换,跨网段的信息交换它是胜任不了的,L2技术在安全访问和接入控制方面是较弱的。
在初期,高校的校园内部通信网络的基本架构都是基于L2技术,几乎所有的网络设备也都是L2设备或者少量的L1设备,如L2以太网交换机、集线器、中继器等,校园网内所有终端可以进行无限制的自由通信。在高校的师生数不太多的情况下,这种情况不会影响到网络性能,但随着高校
基于VLAN技术的高校网络安全加固策略初探
曹园青
(河套学院,内蒙古巴彦淖尔,015000)
基金项目:1.内蒙古自治区高等科学研究项目《负载均衡方法研究及在Sugon cvm虚拟化平台上的实现》研究成果(项目编号:NJZY17385);2.河套学院新冠肺炎重点研发课题(课题编号:HYZX202089)。
摘要:高校的正常运作与否很大程度上取决于内部网络安全是否可靠。为了确保高校内网运行在一个稳定和安全的环境下,人员防护和技术手段的双重防护策略缺一不可。文中主要论述了由VLAN技术、L3交换技术、端口绑定技术和访问控制列表技术等数种在局域网内常用的安全技术组成的防护策略,阐述了每种技术的作用和原理,针对性较强地把高校内部网络安全问题逐个解决。
关键词:网络安全;VLAN;L3交换技术;端口绑定;访问控制列表
www�ele169�com  |  39
40  |  电子制作    2020年11
寓区、教职工家属区的网络从逻辑上划分到各自的 VLAN 中,由于不同 VLAN 间的用户不能直接通信,大大降低了因广播风暴造成网络瘫痪的可能[3],对于高校网络安全和网络运维
管理有很大的益处。
因为VLAN 能够跨越多个交换机存在,任何客户端都可
以随便更换物理位置而接入校园网,前提是在校内移动。只要客户端的VLAN ID 没有更换,也即客户端的业务网络环境也没更换,那么客户端也不用做调整来适应业务网络环境,管理网络的工作人员可以借助于虚拟局域网技术,轻松自如地管理网络[4],从这一点看,VLAN 的灵活性为我们带
来很多方便。 ■1.3  L3交换技术
所谓L3,即OSI 参考模型的第三层,网络层,又名IP 层,
通常所说的L3交换技术,就是IP 技术。L3交换机的最大亮点在于,在L2技术的基础上,将L2技术和L3技术有机
地结合在一起,完成数据分组在路由技术的帮助下在网络中的快速转发,所以学术界通常将L3技术描述为:L3=L2交换+L3路由。L3交换技术的出现,突破了L2技术下不同VLAN 间不能进行数据通信的壁垒,此外,还能解决出口路由器的转发功能太弱导致的内网总吞吐量太低的问题。IEEE 在1999年将802.1q 的协议进行颁布,初衷是用
来把VLAN 技术协议标准化。协议中明文规定,L3交换技术可以实现各个VLAN 之间的数据通信。所以,把L3技术
和VLAN 技术进行融合而架设起来的高校校园网络,具有简
单可靠、安全高速、便捷灵活和管理容易等优点。 ■1.4 层级化的L3网络架构
高校校园网的设计阶段,通常利用层级化的网络架构来
实现方便管理和高效实施的目的。常用的网络架构为L3网
络架构,由接入层、汇聚层和核心层组成。在L3层级化的网络架构里,每一层都有其特殊的功能和作用,正因为层与接入层提供的服务包括数据汇聚和分发。此外,接入层的各个VLAN 之间的通信也是通过汇聚层来实现的,接入层对核心层的访问权限的控制,核心网络设备的稳定安全的保证,全是汇聚层的工作。网络设备方面,汇聚层通常采用可管理的智能L3交换机,比接入层交换机在交换速率、背板带宽、
硬件性能等方面更加强大。
(3)核心层
核心层是整个校园内网的干道,就像高速公路一样,为
内网总的上下行吞吐流量提供一条可靠的高速通信链路,各个汇聚层之间的联接,依靠的正是核心层。此外,核心层还能为内网提供Internet 接入服务,所有内网用户访问互联网的数据都要经过核心层,所以核心层的网络设备一定要具
备强背板带宽交换能力和高速数据交换性能。
2 采用访问控制列表技术完成相异VLAN 间互访可控
■2.1  VLAN 规划
如果校园网的架构是由L2技术进行搭设的,那么,它
就会有一个严重的缺陷,即广播域太大导致内网广播风暴的发生,此外,网段互访的安全控制也很难实现。VLAN 技术正好可以将一个庞大的广播域化整为零,打散成若干个小的广播域,信息只在同一VLAN 内传播,相异VLAN 间的互访被禁止,目前比较普及的解决方法便是L3交换技术,保障
校园内网愈加安全、平稳和可靠。规划VLAN 的基本原则之一就是根据用户实际需求进行,通常利用下面几种方式:(1)依据L3协议来规划。依据各个客户端运用的L3协议类型,能够规划为基于ICMP、ARP、IGMP 和IP 协议
的虚拟局域网网络;
(2)依据IP 地址来规划。依据各个客户端的IP 地址
进行规划,把所有包含在相同IP广播域的客户端划分到相同虚拟局域网中;
(3)依据MAC地址来规划。依据各个客户端的网卡物理地址进行规划,由于网卡连接着交换机端口,所以MAC地址的归属VLAN决定着端口的VLAN归属;(4)依据端口来规划。这种规划方式最普及,把网络设备的单端口或者多端口规划在同一虚拟局域网中。
但没有一种方法是通用的,具体情况具体分析,用户究竟选择哪种方式,依实际需求而定。
■2.2 相异VLAN间的访问控制
VLAN技术的设计初衷就是为了加强网络安全,对各网段进行可靠隔离。但在三层网络设备上开启虚接口技术后,一般场景下,就可以实现相异VLAN间的互访了。但随着高校的网络节点数越来越多,组网规模也越来越庞大,如果对这种基于三层技术的VLAN间任意互访不做任何约束的话,即便使用了VLAN技术,也和使用VLAN技术之前的二层广播域没有差别,从而依旧会对高校校园网的网络安全环境产生不稳定、效率低和高风险的危害。
VLAN间的访问控制可以通过访问控制列表技术(ACL)来实现,具体地说就是在核心层或者汇聚层的智能交换机的对应端口上,配置新建好的访问控制列表,并开启三层交换机的包过滤功能,从而对流经核心/汇聚交换机的VLAN 报文进行ACL条目的规则匹配,匹配成功则转发报文,匹配失败则丢弃报文,即决定哪些VLAN的哪些端口的哪些协议在哪些时间段内可以访问哪些其他VLAN,从而完成了VLAN间访问控制的任务,更深一步提高高校校园网网络安全的可防可控。
■2.3 访问控制列表技术的运用
ACL 是使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的[5]。实际上,ACL就是一张包括很多指令规则的检查表,网络设备(交换机/路由器)按照指令顺序由上至下顺次匹配数据包,逻辑地进行检查和处理,实现对报文的特定操作,即允许或拒绝。
访问控制列表技术的主要功能如下:
(1)控制通信流量。ACL能够简化或者限定路由表更新信息长度,从而对通过某一VLAN的信息进行限流;(2)网络安全访问控制。如允许电脑A访问机房的网段,拒绝电脑B访问机房的网段;
(3)过滤数据流。ACL应用到网络设备端口上,决定不同协议报文转发或丢弃;
(4)限制内网访问流量,提升整体用户体验。
访问控制列表的分类:
(1)标准访问控制列表
标准访问控制列表只检查数据包中的源IP地址,当它通过网络设备时,会读取包头中的源IP信息,然后进行规则匹配,决定是否放行。通常在配置标准访问控制列表时,使用的编号范围为1~99,显然,数据包中所包含的目的地址,协议和端口号都无关紧要,即只匹配源地址。(2)扩展访问控制列表
如果把标准访问控制列表比作“粗略过滤”,那么扩展访问控制列表就是“精细过滤”,后者对数据包的过滤,提升了精细度,具备比标准访问控制列表更加强大的数据包的检查能力,它不仅对数据包的源IP地址进行检查,还对数据包的目的IP地址、目的端口、源端口、协议类型、IP地址优先级进行检查,利用数据包的特征信息进行匹配。在实际情况下,通常把两种类型的访问控制列表技术进行搭配使用,如对于汇聚层而言,标准ACL通常就够用,但在核心层,为了全校内网全局的安全考虑,更多需要扩展ACL。
3 端口安全技术的运用
高校校园网交换机的端口安全技术是提高整个网络安全的关键,通过交换机的端口安全技术(Port-Security)可以有效防御MAC泛洪攻击[6]。交换机的端口默认是开放式的,即未提供任何安全检测策略。但大部分的网络攻击行为均采用如DHCP攻击、MAC地址欺骗攻击或者ARP攻击等行为,它们都是针对交换机端口进行的攻击,而端口安全技术是防范这类攻击的有效方法。
端口安全技术实现功能:
(1)拒绝特定源地址数据。转发除拒绝地址以外的所有源地址的数据包;
osi模型有哪些
(2)主机IP地址(安全地址)和端口进行绑定。端口只转发安全IP地址主机的数据包;
(3)主机MAC地址和端口进行绑定。端口只转发安全MAC地址主机的数据包;
(4)主机IP地址和MAC地址进行绑定。实现端口数据安全输入和客户端主机的内网安全接入;(5)限制端口最大安全地址数。当端口连接的地址数超过阈值,或端口连接地址不在安全地址列表里,则产生违例,违例处罚动作包括发送违例通知和关闭端口等。4 结语
高校的校园网网络安全绝对不是仅靠几种简单的技术
(下转第35页)
www�ele169�com  |  41
(2)展示绿形象。智能垃圾桶的设计秉承着以人为本、可持续发展的设计理念,充分考虑公众的使
用体验感,在定点投入的同时,注重与垃圾桶投放地的环境搭配和人物彩的调和。运用仿生树桩的形象,采用先进技术将垃圾桶设计为树木的形状,外表美观,设计感强,垃圾投放简便、省时、省力,使之投放环境与投放地点二者相得益彰。树桩型智能垃圾筒功能齐全,吸引公众的同时,帮助公众准确分类垃圾。树木代表绿环保,树立公众爱护环境的思想,保护景区环境,是当代青年人义不容辞的责任。(3)降解投入使用。智能环保垃圾桶采取重力式分离方法,因为油、气和水的密度不同,通过增大水分子密度,扩大油水密度差来提高分离效率,根据系统设定进行精确分类投放,剩余油水污染物分离出来的油脂做对应处理。由于厨余垃圾里富含较高的水分子和有机物质,且营养成分比较均匀,利用降解技术减少碳原子数量,降低分子量,形成水。将降解之后的高物质进行再生产,转换改造为纪念品。此外,部分剩余垃圾可采用微生物技术处理,使厨余垃圾经过一系列处理后形成饲料和肥料,产生的沼气用作发电,油脂部分可制备生物燃料。
参考文献
* [1]李兴和.一种智能垃圾桶的设计与应用[J].电子制作,2018(16):38-39.
* [2]刘红,许妙佳.智能垃圾桶的研究与设计[J].上海电机学院学报,2019,22(01):42-45+49.
* [3]朱莹. 智能垃圾桶的设计与研究[D].中国矿业大学,2019.* [4]贾筝.大学生创新创业项目——音乐垃圾桶[J].教育教学论坛,2020(17):164-165.
* [5]沙文馨.一款新型智能垃圾桶的设计研究[J].计算机产品与流通,2020(07):83+102.
就可以完美保障的,数据安全、系统安全、软件安全和物理安全都要进行联动应用,比如可以实时监测内网所有网络设备工作状态的日志审计系统,比如可以记录内网所有师生上网轨迹的行为管理系统,比如可以对服务器进行漏洞扫描的漏扫系统,比如可以对运维人员进行审计的堡垒机,等等。可以说,保障高校网络安全,是一个发展变化的技术领域,没有最安全,只有更加灵活地把诸多安全措施实践应用,才能为全校师生营造一个良好的网络环境和学习空间。
参考文献
* [1]平恩鹏.高校网络安全体系设计与研究[J].信息与电脑(理论
版),2019,31(21):192-194.
* [2]刘志刚.校园网络安全技术与应用[J].电子元器件与信息技术,2019,3(10):29-31+35.
* [3]马煜.基于VLAN技术的校园网应用管理[J].网络安全技术与应用,2017(02):100.
* [4]陆树芬.试谈虚拟局域网(VLAN)技术的应用[J].电脑编程技巧与维护,2017(23):69-70.
* [5]马秀琴.基于访问控制列表的企业网络安全管理研究[J].计算机产品与流通,2019(10):47.
* [6]黄飞.基于仿真软件模拟MAC泛洪攻击与防御的实验综述[J].电脑知识与技术,2019,15(18):252-253+260.
(上接第41页)
www�ele169�com  |  35

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。