校园网外网安全防范措施浅谈
[摘要] 随着计算机网络的不断发展和普及，计算机网络给我们带来了无穷的资源，但随之而来的网络安全问题也显得尤为重要，为了更好的解决上述问题，确保信息网络安全，企业应建立完善的安全保障体系该体系包括网络安全技术防护和网络安全管理
两方面。

本文重点介绍了校园网络信息外网建设方案，并提出了一些外网安全防范措施。

[关键词] 计算机网络；安全；外网；防范措施
[abstract] with the continuous development and popularization of the computer network, computer network has brought us endless resources, but the attendant issue of network security is particularly important in order to better address these issues, to ensure the security of information networks, the enterprise shouldestablish a sound security system and the system includes two aspects of network security protection and network security management. this paper focuses on the campus network information network construction program, and made a number of external network security measures.
[keywords] computer network; security; external network; precautions
中图分类号：tn711 文献标识码：a 文章编号：
1校园网外网现状
1.1 网络架构
目前我校每个办公室都铺设了信息外网结点，信息结点由楼层接入交换机连接到核心交换机。

然后再通过外网边界处部署的防火墙，通过vpn通道统一出口访问互联网。

1.2 网络设备型号
核心交换机：h3c3600
防火墙：fw4120
校园网接入路由器：h3c5060
楼层交换机：cisco 2950
1.3 现有网络安全配置
为了做好我校信息外网安全工作，我校统一安装部署了卡巴斯基杀毒软件并定期更新、扫描，同时在信息外网的边界处部署了防火墙、由学校统一加强互联网出口、病毒木马、网络行为分析与流量监控来抵御来自外部网络的安全威胁，在这些设备、软件的严密监控下，来自网络外部的安全威胁大大减小，而对来自网络内部的计算机客户端的安全威胁所作的安全管理措施不够，安全威胁较大。

而且来自信息外网的威胁，也可能通过u盘等传播到信息内网，使信息内网同样面临安全威胁。

为了抵御内部威胁防止未授权计算机的接入，最初我们只是在h3c3600核心交换机上做了ip、mac地址绑定，这种配置方式虽然在一定程度上可以减少非法接入和arp
欺骗攻击但仍存在一定的缺陷，因为mac地址可以伪造，非法用户可以利用绑定列表中的ip并虚拟与该ip绑定的mac地址，通过任意一个办公室的信息结点连接外网。

因此，最初所做的绑定策略是较低级别的授权认证。

2校园网信息外网安全防范措施
为了解决单纯在核心交换机上进行ip、mac地址绑定存在的缺陷，严格限制非法设备接入，同时做好外网信息安全工作，制定以下防范措施：
2.1 核心交换机上执行端口+ip+mac地址绑定策略
在核心交换机上，对在用的每一个端口进行端口+ip+mac地址的绑定，实现在固定端口只允许固定ip和mac地址的访问，对于未使用的端口全部关闭。

由于对每个在用的端口进行绑定并有严格限制，而未使用的端口全部关闭，所以在一个端口绑定的pc使用该ip地址和mac地址也不可以在其他端口上网。

在核心交换机上对端口、ip、mac地址进行绑定，可以严格控制非法网络接入，但是由于只是在核心交换机上进行限制，而终端计算机不是直接接入核心交换而是通过接入交换机进行接入，该方法虽然可以限制网络访问，但同一接入交换机直接相连的终端或不同接入交换机相连的终端仍然可以通信，且会产生不必要的网络流量，对网络仍产生一定的威胁，所以我们可以采用基于核心、接入交换的两级绑定管理。

2.2 基于核心、接入交换机的两级绑定管理
我们保留最初在核心交换机上做的ip、mac地址绑定，同时在接入层交换机上对每个端口绑定固定的一个mac地址，且每个端口只允许一个mac地址通过。

这样，在接入层交换机上可以实现对终端计算机的一级mac地址过滤管理，严格控制网络接入设备，同时减少非法接入设备产生的不必要的流量；在核心交换机上实现对终端设备的二级ip管理，每个mac地址只能使用特定的ip，防止终端私自更改ip，做好ip地址管理工作。

通过此配置，可以实现基于核心、接入交换机的两级绑定管理，即从源头上，通过接入层一级管理严格控制终端计算机非法接入，同时对核心交换层进行二级管理防止私自更改ip，做好ip地址维护管理工作。

2.3 基于cams的身份认证机制
针对目前越来越复杂的网络环境，cams身份认证服务机制从企业用户的网络接入控制入手，可以统一管理网络中用户的身份、权限信息，通过严格的身份认证、安全状态评估和终端准入控制功能，解决企业网用户接入控制的问题，可以大幅度提升企业网络的安全性和可管理性。

cams服务器与h3c系列路由器和交换机的协同配合，可以稳定、高效地完成对网路接入用户的安全认证、授权和管理，满足企业的高安全和可管理的需求。

2.3.1 基于cams身份认证的组网结构
此结构需要通过配置路由器实现radius 服务器对登录路由器
的用户进行认证。

radius 服务器可使用h3c的cams服务器，cams 与核心交换机相互配合，以保证安全性。

cams配置需要以系统管理
员admin的权限登录cams配置台，以界面的形式进行接入设备信息和策略的配置，实现设备用户管理功能，这里只需在cams配置管理平台进行简单配置即可。

2.3.2 可以实现的功能
（1）用户信息统一管理：利用cams强大的身份认证对设备管理用户信息（用户名，密码，设备服务类型和访问权限等）进行统一认证管理，提高网络的可维护性。

（2）增加了绑定技术：可以将用户的帐号和ip、mac、vlan、设备的端口等元素绑定在一起。

每次认证的时候不仅确认用户名和密码，还需认证其ip或mac，甚至是vlan和端口号。

当用户数量很多时这时只需启动自动绑定功能，cams可以自动学习用户第一次上网时的ip和mac并做相应绑定。

这样一来不仅完善了对用户合法身份识别的方法，更提高了网络的安全性。

（3）在线用户控制：cams提供具体的用户在线信息，如帐号、ip、mac、端口、时间、流量等，并可实施强制下线，减少非法用户和中毒计算机对网络的危害。

2.4 加强病毒防范
为了能有效地预防并清除病毒，必须建立起有效的病毒防范体系，这包括漏洞检测、病毒预防、病毒查杀、病毒隔离等措施，建立病毒预警机制，以提高对病毒的反应速度，并有效加强对病毒的处理能力。

我校目前安装的主要安全软件有网络版卡巴斯基和360安全卫士。

2.5 加强工作人员的网络安全培训，培养用户的信息安全意识
要确保信息安全工作的顺利进行，必须注重把每个环节落实到每个层次上，而进行这种具体操作的是人，人正是网络安全中最薄弱的环节，然而这个环节的加固又是见效最快的。

所以必须加强对使用网络的人员的管理，加强工作人员的安全培训。

增强内部人员的安全防范意识，提高内部管理人员整体素质。

参考文献
[1] 吴钰锋，刘泉，李方敏.网络安全中的密码技术研究及其应用〔j〕真空电子技术，2004.34-36
[2] 杨义先.网络安全理论与技术〔m〕 .北京：人民邮电出版社， 2003.76-89
[3] 李学诗.计算机系统安全技术〔m〕.武汉：华中理工大学出版社， 2003.73-79。