3Com公司推出堵塞校园网络漏洞的全方位安全解决方案

来源：作者：出处：巧巧读书 2006-02-18 进入讨论组

　　对于教育工作者来说，学校网络的安全性历来是一个重要问题。在较低年级，学校领导担心年级较小的学生可能访问不适合他们的网站。在大学，又担心有人会未经授权擅自浏览敏感的研究或通信信息。

在所有高等学府，教育工作者因为担心有人会窃取学生的保密纪录或破坏学校资源而夜不能寝。
　　任何规模或等级的学校都面临下面两个事实：危险是确实存在的，而且没有一种方法能够封锁和完全保护学校网络；同时网络是个复杂系统，需要提供各种各样的服务，其中每个部件或每项服务都可能产生危险。但是，如果采用一种系统化、多层次的安全模式，就能够减少这些危险。最保险的做法是采取三阶段方式：彻底评估网络基础设施和服务，查找和确定内在的弱点，然后采取相应的措施。下面，我们将通过采取这种方式来概要阐述各种安全问题，旨在帮助教育工作者做出最佳决策，即利用学校有限的预算和IT资源，应对网络运营方面的各种挑战，以便为学生、教职员工和管理人员提供一种安全的教学和工作环境。
　　防御外部威胁
　　虽然网络服务和电邮服务能极大丰富教学内容，但互联网的每个网关都是进入网络的门户。黑客能利用这个弱点通过校园的互联网连接侵入学校网络，并给系统和数据造成严重破坏。消除这种危险的最有效策略是使用防火墙。如果在连接外部世界的每个网络部署防火墙，它们就会在网络的周围竖起一道“围墙”。此举有利于确保只有经过授权的用户才能进入网络。
　　除此之外，性能强劲的防火墙还能保护网络免受某些病毒的侵袭（这些病毒可以破坏文件和应用程序）和黑客发起的攻击（例如，破坏网络可用性的拒绝服务攻击）。一种功能齐全的防火墙还可以保护旁路端口，以便为外联网提供主机服务。这将允许学校在网上张贴可以公开访问的网页，从而既可以让学校股东共享学校信息，又能防止黑客破坏信息。
　　
　　保护学生
　　不言而喻，网络是一种颇有价值的资源，但网上的许多站点却不适合教育机构，特别是年幼的儿童。为了对付这种威胁，立法机关已着手采取各种措施加强低年级学生访问互联网的安全性。例如，美国已经颁布了《儿童互联网保护法》（CIPA）。在这方面，防火墙也可以成为保护整个学校网络的一种有效解决方案。特性丰富的防火墙能够提供动态网络过滤技术，它允许教育工作者选择那些不适宜的网站类型，对它们进行封锁，以防儿童出于好奇访问它们。系统也可以通过提供订购服务自动对防火墙禁止访问的网站清单进行更新，并保证随时对通信内容执行过滤。
　　保护网络外部的通信安全
　　学校在防火墙以内的数据可以保障其安全性。但当这些信息离开校园网络，并通过互联网传输给另一个目的地时，将会发生什么情况呢？如果不提供保护，校园、设施或家庭办公室之间的信息传输就面临着被窃听、盗窃或窜改的危险。如果通信内容包含保密纪录或专用科研信息，将会酿成非常严重的后果。先进的防火墙可提供另一种功能来保护学术机构，这种功能被称为虚拟专用网（VPN）。当不同机构之间通过互联网传输信息时，VPN允许使用虚拟“隧道”对任何通信进行加密。VPN对用户是透明的，能够为教职员工和管理员收发的大部分保密信息提供防黑客保护。
　　防御内部威胁
　　如果破坏分子隐藏在“围墙”后边，而且他们可以使用校园计算机，那么最好的电子屏障也不能保护基础设施。因此，保护网络内部的安全是一项重大挑战，特别是在大专院校的开放式环境。为了满足这种需求，管理员可以通过制定电子政策，确定哪些设备能够访问特定的服务器和应用程序，以便设置必要的限制。例如，这些政策可以允许校园的任何人访问含有公用信息的服务器，但拒绝所有未经授权的用户查看保密的管理或业务资源。为了保证学校网络内部的安全，可以采用下面两种互为补充、相辅相成的方法。
　　管理员可以部署交换解决方案，以支持虚拟局域网（VLAN）和访问控制表。这些功能允许学校对单一网络基础设施的通信量进行分割，从而使学生和教职员工/管理员的通信保持分隔状态。
　　除此之外，还可以在每部台式计算机、笔记本电脑和服务器安装嵌入式防火墙，这是一种功能更强劲的解决方案。该解决方案主要是设置于网卡（NIC）内部的防火墙，它只允许设备登录那些它获得了访问授权的服务器和应用程序。这种创新方案的运行模式和边缘防火墙相同。例如，它只允许科研组织的成员访问特定服务器。而且，嵌入式防火墙实行集中式管理。这对于拥有大量计算机的校园环境是一个非常重要的因素。它将为管理员提供一种功能强大的策略，以便执行以机构为单位的安全策略。
　　
　　保护无线网络安全
　　无线连接是在整个设施、宿舍或校园内提供渗透性网络的理想选择，其特点是操作简便、易于扩展。但无线解决方案却成为制造恐慌的受害者。这些人变戏法似地想象出坐在校园的停车场里入侵无线网络。
　　实际上，当今的无线系统能够提供一系列强化型安全功能，它们可以和传统有线系统提供的保护相媲美。例如，无线解决方案以广泛采用的Wi-Fi无线标准为基础，因此能够交付诸如RADIUS验证这类绝对有效的加密技术，以保证只有经过授权的用户才能访问网络。为了进一步加强安全性，许多无线厂商甚至在现行预防措施的基础上提供专用保护技术。
　　使用网络技术保护校园网
　　从严格意义上讲，网络电话系统并非是一种网络安全解决方案，但它可以为保护整个校园的安全发挥重要作用。通过部署网络电话系统，学校能够对校园的话音服务和现行以太网络进行整合，以便在凡是有网络端口的地方安装电话。这种解决方案既可以避免常规电话技术所带来的高成本、复杂性和限制因素，而且更易于执行运营和维护，从而允许人们以非常实用的方法在整个校园范围内使用电话。也就是说，电话不仅可以在公用场合和办公室使用，而且能够在所有的宿舍区和大楼内使用。由于人们能够以更快的方式获得帮助，因此校园的安全性将进一步得到提高。而且，管理员可以选择支持E911服务的网络电话解决方案。该项服务在接收紧急电话时，将自动通知当局拨打紧急电话的精确位置。
　　低成本解决方案
　　安全问题已经成为校园网络管理员所要考虑的当务之急。从长远讲，只有网络安全解决方案的成本费用比较低，又能够随着学校网络的日益发展进行相应扩展，并易于管理和维护，它们才能够成为行之有效的安全解决方案。学术机构，特别是进入大学前的中小学校，通常缺乏管理复杂安全系统所需要的IT资源。但学校网络确实存在许多危险，采用低成本、易维护的安全解决方案，将有助于防堵许多层面和网点存在的安全上的漏洞。只有让各种安全措施都发挥功能，学生，教职员工和管理员才能够执行他们各自的任务。
　　3Com作为企业网络市场的领导者，在从防火墙、内嵌式防火墙、远程接入安全网关等专业安全产品，到局域网络交换产品、无线局域网络产品和网络电话产品等丰富的网络产品线中广泛采用网络安全技术，为教育机构用户提供端到端的全方位解决方案。同时，3Com的网络顾问和3Com的网络安全服务伙伴将携手合作，为用户制定有效的安全策略与实施步骤，提供全面的技术咨询与服务。请保留地址 http://www.qqread.com/erp/26/z547136004.html