校园网的主动防护策略配置

来源：电脑爱好者作者：出处：巧巧读书 2005-12-14 进入讨论组

引用:http://www.qqread.com/net-case/a061165808.html
　　4、不同的区域就是网段配置不同的五大安全部件，在防火墙、防毒墙、身份验证、传输加密、IDS/IPS几个方面区别配置来适应不同区域的具体要求。

以上就是分区域防守思想，我们在具体实施之后发现网络安全有以下几点可喜的变化：

1、校园整体网络安全有所提高，不同区域的网络安全由具体人负责，责任到人，相关网络安全问题可以快速解决。

2、因为专业人员的方向不同，负责不同区域的防守个人的专业特长有所体现，处理问题得心应手。

3、在出现安全问题时可以轻松做到尽量减少损失。在损失掉一个区域之后其他区域仍有很强的安全性，以往整个网络同时出现一种安全问题的现象基本杜绝。

4、成立了安全委员会后，负责不同防守任务的人员互通情况相互促进学校安全人员的技能和素质有很大的提高。

但是，简单的靠IP分段会存在许多功能问题。而且由于IP的人为可设置性使得网络存在很大的安全隐患。所以在此基础上学校更换了主交换机和子交换机。使用了主三层交换设备和可配置VLAN的子交换设备和高性能路由器。这样使得我们的分网段实施“壁垒”的思想可以更方便地实现。分网段实施“壁垒”的思想是分区域防守的有利保证，从硬件方面增强了分区域防守的力度。

分网段增强网段“壁垒”的思想较为简单，为了让大家更好理解，在此作简单的阐述。

1、把原来的按地理情况分网段改按功能分网段，在设备的支持下改以物理连接控制为逻辑连接控制。

2、利用设备所能提供的三层交换和VLAN功能加强防火墙实力。

3、改IDS为IPS从根本上可以预防攻击的来临，同时启用设备自带的安全功能加强安全防护。

寻求主动优势

以上就是分网段加强壁垒的思想。在人员得到锻炼从而增强自身技术实力和硬件设备得到加强的基础上，我们对学校校园网的安全做了更大胆的改进。我们变被动防守为主动防守，在相关法律的允许下学校做了大量尝试。

首先，学校建立了自由网络攻击区域对学生们开放，学生可以自由对此区域的机器发起攻击，使得学生们有了攻击的目标。既锻炼了学生们的攻防能力又减少了校园网的内部攻击，一举两得。

其次，学校建立了诱攻区，转移来自外网对学校主服务器的攻击方向。通过改变主服务器的配置，使得来自网外针对服务器的攻击转入诱攻区。而且学校在诱攻区内实施了网络陷阱等多种安全设置使得攻击者徒劳无功，保护了主服务器的安全。

再次，学校对相关服务器提供的服务都实施了虚拟化，使得即使虚拟机被攻陷，主要数据和服务仍然可以很快得以恢复。

同时，学校培养了攻击捕获手，针对攻击展开了针锋相对的网络捕获。这样学校对违法攻击就可以追查到具体的攻击IP，为学校从法律角度维护网络安全提供事实依据。

学校还建立了补丁服务器，对所有软件的补丁统一管理，对各区域的机器统一升级，使全校计算机针对各种漏洞的补丁达到了最快速度的处理。全范围的实现防止漏洞攻击，解决了补丁升级不一致导致的安全问题。

在经过以上3个阶段的网络安全策略实施之后，我们经过近一年的实践和数据统计发现整体网络安全有了本质的提高。大范围的网络安全事故基本没有出现，相关攻击大大减少。

期待更进一步

我们在实验过程中也发现了相关的问题：

1、由于防火墙的设置导致不同区域网络互访速度下降。

2、由于主防火墙和子防火墙在安全策略上的设置问题导致有些区域的有关网络功能实施困难。

3、由于负责安全的人员比较多，增加了网络安全的密码风险。

针对以上三个问题我们做了相应的改进。速度和安全很难兼顾，所以只有通过更新设备、增大容量来从本质上提高速度。针对主防火墙和子防火墙策略冲突问题，采取了由紧到松的逐步放开的策略，即先关闭相应功能，然后根据具体区域的网络需求经过配置实践后再逐一打开相关功能。这样教师微机网络的网络游戏问题也得到了一定控制。针对密码风险的问题，加强了人员思想培训和密码分发更新制度，基本解决了无意泄密的问题。更多内容请看校园网专题、数字化校园网解决方案、校园网设计专题专题，或进入讨论组讨论。