校園網多層次訪問控制探析

吳李

摘要：文章通過闡述校園網的特點，分析校園網的安全問題，對校園網多層次訪問控制展開探討，旨在為如何促進校園網有序健康運行研究適用提供一些思路。

關鍵詞：校園網；分層防護；訪問控制；安全體系

一、引言

校園網如同一把“雙刃劍”，一方面會對高校建設起到促進作用，一方面會引發一系列信息安全問題。由此可見，對校園網多層次訪問控制展開研究有著十分重要的現實意義。

二、校園網的特點

校園網作為一個全面開放式的網絡計算機環境，此類開放性經由制定協調一致的網絡體系架構，秉承協調一致的通信協議標準達成，涵蓋選取開放標準、開放架構、開放技術等內容，所以其應當提供多層次安全控制手段，構建健全安全管理體系，防止校園網遭受外部入侵或內部破壞，為數據完整及系統安全提供有效保障。

三、校園網的安全問題

（一）外部攻擊

該種威脅源于校園網外部的非法入侵，諸如一系列病毒傳播、各類軟件自身存在漏洞、黑客攻擊及互聯網賴以生存的TCP/IP協議未有相關安全機制等。就好比，黑客會對網絡信息有效性、全面性進行選擇性地破壞，偽裝成常規用戶進入網絡，同時占用各種資源，修改網絡數據，破壞軟件執行等[1]。

（二）內部攻擊

校園網提供了各式各樣的網絡應用功能，包括網上選課、PIP、視頻點播、課表查詢、成績查詢等，由于一些學生有著強烈的好奇心，一心想要成為一名黑客，且不乏有部分學生應用自學的相關攻擊技術，自局域網內部對校園網展開攻擊，而通常情況下，此類行為往往是應用硬件防火墻的校園網最薄弱部分。此外，一些學生未養成良好的上網習慣，好比殺毒軟件及防火墻不定時更新、下載一些含有病毒的網絡文件、隨意使用U盤等，一定程度對全面校園網安全構成不良影響。

四、校園網多層次訪問控制

（一）物理層

確保計算機信息系統每一設備的物理安全是全面計算機系統完全的重要前提。最底層是安全最為薄弱的環節，倘若遭受威脅、破壞，則該層以上的任意網絡層次均會面臨不良影響，其為網絡安全的重要基礎。物理層應當權衡的安全內容包括物理設備安全、線路安全以及機房安全等。為了盡可能消除安全風險，強化突發狀況下的恢復能力，應當構建完善的網絡管理制度，同時應當結合網絡環境轉變作出實時優化調整，從而有效適應網絡發展需求。

（二）數據鏈路層

數據鏈路層關聯的網絡設備已交換機為主，為了對校園網內部全面安全開展防范，最佳途徑是于交換機部位開展控制。數據鏈路層的安全隱患有MAC地址欺騙、STP攻擊及接入點管理不足等。于交換機上劃分VLAN，制定好一系列安全配置。倘若條件允許，可將MAC地址與端口進行綁定，從而有效防止或者縮減MCA地址欺騙及ARP病毒攻擊等[2]。

（三）網絡互聯層

于網絡互聯層工作的設備已路由器、三層交換機為主，也就是說大多數安全隱患均聚集與此方面設備上。

1、IP地址欺騙。對合法用戶IP地址進行盜用，對自身真實身份進行隱藏，IP地址欺騙與MAC地址欺騙之間結合，偽裝成合法用戶開展網絡訪問。就好比十分多見的IP地址沖突就可能是IP地址欺騙造成的，致使網絡中其他主機無法有序運行或占用大量資源，對帶寬造成不良影響。

2、IP掃描攻擊?，F階段常見的掃描攻擊包括：“目的IP地址變化的掃描”可稱作“scan dest ip at-tack”，此類掃描攻擊對網絡會構成極大危害，一方面會對網絡帶寬進行消耗，一方面會極大交換機負擔；“目的IP地址不存在”可稱作“same des ip at-tack”，此類掃描攻擊會不斷發送大量的報文[3]。

于路由器配置一系列安全策略，就好比ACL一類，現階段大部分網絡在與外部網絡連接的接口部位啟用NAT相關的技術，同樣能夠一定的安全保障，此外還有禁止PING，HTTP服務或者TRACERT相關命令等，為網絡互聯層提供安全保障。

（四）傳輸層

傳輸層所遭受的攻擊以面向連接、非面向連接為主。網絡離不開通信，通信則一定要對相關端口進行占用，而傳輸層則以端到端的通信為主。拒絕服務攻擊/分布式拒絕服務攻擊（DoS/DDoS），其指的是直接采取野蠻方式或者故意攻擊網絡協議的弊端來耗盡攻擊目標的資源，從而使目標極端及或網絡難以有序運行，乃至系統形成癱瘓。

安全套接層（SSL）及其繼任者傳輸層安全（TSL）指的是為網絡通信提供安全及數據全面性的一項安全協議，SSL與TLS與傳輸層可網絡連接開展加密，為傳輸層提供安全保障[4]。

（五）應用層

1、病毒威脅。經由網絡傳播的計算機病毒在傳播覆蓋面、傳播速度及危害性等方面均是單機病毒難以比擬的。就以蠕蟲病毒為例，其可經由主動掃描、網絡共享或者電子郵件等途徑對校園網Web服務器形成破壞，轉變網頁目錄促進自身繁衍，并經由發送垃圾郵件、掃描網絡，造成網絡拒絕服務，甚至造成網絡癱瘓。

2、垃圾郵件。垃圾郵件即便沒有像病毒感染那樣的破壞性，然而它會迅速充斥滿用戶的收件箱，從而加大了用戶查看重要電子郵件的難度。此外，垃圾郵件還是黑客重要的傳播媒介。

3、內部隱患。通常而言，內部用戶對網絡結構、應用模式均較為了解，由此便會引發極大的內部安全隱患?，F階段，黑暗攻擊手段可在網上隨意下載到，一些學生心理特征造成其借助此類手段開展攻擊的可能。

五、校園網多層次訪問控制實例說明——以pppoe、8021x為例

pppoe、8021x是相對常見的兩項寬帶網絡接入認證方式。該兩項方法用戶使用體驗極為相近，不過它們的協議卻存在極大的不同，且具有各自的優缺點。

pppoe是在以太網上傳送PPP分組的協議，對過去PSTN窄帶撥號接入技術進行了沿用，且繼承了PSTN窄帶撥號接入技術的特征。Pppoe認證系統包括客戶端、寬帶接入服務器兩個實體，會話期間包括發現階段、會話階段。Pppoe實踐應用過程中，一些pppoe面臨的問題經由結合相關安全機制可得以有效處理。在網絡安全問題方面，主要避免廣播包占用帶寬、避免BRAS欺騙，能夠于接入交換機處配置MAC ACL，促使相關種類廣播包僅可轉發至上聯接口。

8021x協議是一類以端口為基礎的接入控制協議。8021x認證系統包括認證系統、客戶端、認證服務器三個實體。8021x認證數據流與業務數據流是相互分開的?，F階段，大多數主流交換機均適用8021x協議，能夠相對便捷地推行8021x認證的分布式部署。大多數支持802.1X 的交換機同時也能夠從DHCP包中獲取主機IP地址，因此可以在部署了DHCP 的情況下，實現IP+MAC+端口的綁定，解決IP沖突、ARP攻擊等網絡安全問題。

六、結束語

總而言之，校園網極易遭受來自各方的攻擊，選取多層防護體系，于逐層制定安全策略，為校園網提供有利的安全保障。相關人員務必要清楚認識校園網的特點，全面分析校園網的安全問題，不斷鉆研研究、總結經驗，積極促進校園網有序健康運行。（作者單位：廣東工業大學）

參考文獻：

[1]李賀華，林婧，王偉強. 校園網訪問控制系統原理與實現[J].中國公共安全（學術版），2009，（3）：75-78.

[2]齊潤泉，賈瑞生. 基于角色的訪問控制在校園網中的應用研究[J].山東科技大學學報（自然科學版），2004，23（1）：35-37.

[3]陳艷華，張凱. 基于多層次的校園網網絡安全分析[J].軟件導刊，2011，10（4）：142-144.