吴李

摘要：文章通过阐述校园网的特点，分析校园网的安全问题，对校园网多层次访问控制展开探讨，旨在为如何促进校园网有序健康运行研究适用提供一些思路。

关键词：校园网；分层防护；访问控制；安全体系

一、引言

校园网如同一把“双刃剑”，一方面会对高校建设起到促进作用，一方面会引发一系列信息安全问题。由此可见，对校园网多层次访问控制展开研究有着十分重要的现实意义。

二、校园网的特点

校园网作为一个全面开放式的网络计算机环境，此类开放性经由制定协调一致的网络体系架构，秉承协调一致的通信协议标准达成，涵盖选取开放标准、开放架构、开放技术等内容，所以其应当提供多层次安全控制手段，构建健全安全管理体系，防止校园网遭受外部入侵或内部破坏，为数据完整及系统安全提供有效保障。

三、校园网的安全问题

（一）外部攻击

该种威胁源于校园网外部的非法入侵，诸如一系列病毒传播、各类软件自身存在漏洞、黑客攻击及互联网赖以生存的TCP/IP协议未有相关安全机制等。就好比，黑客会对网络信息有效性、全面性进行选择性地破坏，伪装成常规用户进入网络，同时占用各种资源，修改网络数据，破坏软件执行等[1]。

（二）内部攻击

校园网提供了各式各样的网络应用功能，包括网上选课、PIP、视频点播、课表查询、成绩查询等，由于一些学生有着强烈的好奇心，一心想要成为一名黑客，且不乏有部分学生应用自学的相关攻击技术，自局域网内部对校园网展开攻击，而通常情况下，此类行为往往是应用硬件防火墙的校园网最薄弱部分。此外，一些学生未养成良好的上网习惯，好比杀毒软件及防火墙不定时更新、下载一些含有病毒的网络文件、随意使用U盘等，一定程度对全面校园网安全构成不良影响。

四、校园网多层次访问控制

（一）物理层

确保计算机信息系统每一设备的物理安全是全面计算机系统完全的重要前提。最底层是安全最为薄弱的环节，倘若遭受威胁、破坏，则该层以上的任意网络层次均会面临不良影响，其为网络安全的重要基础。物理层应当权衡的安全内容包括物理设备安全、线路安全以及机房安全等。为了尽可能消除安全风险，强化突发状况下的恢复能力，应当构建完善的网络管理制度，同时应当结合网络环境转变作出实时优化调整，从而有效适应网络发展需求。

（二）数据链路层

数据链路层关联的网络设备已交换机为主，为了对校园网内部全面安全开展防范，最佳途径是于交换机部位开展控制。数据链路层的安全隐患有MAC地址欺骗、STP攻击及接入点管理不足等。于交换机上划分VLAN，制定好一系列安全配置。倘若条件允许，可将MAC地址与端口进行绑定，从而有效防止或者缩减MCA地址欺骗及ARP病毒攻击等[2]。

（三）网络互联层

于网络互联层工作的设备已路由器、三层交换机为主，也就是说大多数安全隐患均聚集与此方面设备上。

1、IP地址欺骗。对合法用户IP地址进行盗用，对自身真实身份进行隐藏，IP地址欺骗与MAC地址欺骗之间结合，伪装成合法用户开展网络访问。就好比十分多见的IP地址冲突就可能是IP地址欺骗造成的，致使网络中其他主机无法有序运行或占用大量资源，对带宽造成不良影响。

2、IP扫描攻击。现阶段常见的扫描攻击包括：“目的IP地址变化的扫描”可称作“scan dest ip at-tack”，此类扫描攻击对网络会构成极大危害，一方面会对网络带宽进行消耗，一方面会极大交换机负担；“目的IP地址不存在”可称作“same des ip at-tack”，此类扫描攻击会不断发送大量的报文[3]。

于路由器配置一系列安全策略，就好比ACL一类，现阶段大部分网络在与外部网络连接的接口部位启用NAT相关的技术，同样能够一定的安全保障，此外还有禁止PING，HTTP服务或者TRACERT相关命令等，为网络互联层提供安全保障。

（四）传输层

传输层所遭受的攻击以面向连接、非面向连接为主。网络离不开通信，通信则一定要对相关端口进行占用，而传输层则以端到端的通信为主。拒绝服务攻击/分布式拒绝服务攻击（DoS/DDoS），其指的是直接采取野蛮方式或者故意攻击网络协议的弊端来耗尽攻击目标的资源，从而使目标极端及或网络难以有序运行，乃至系统形成瘫痪。

安全套接层（SSL）及其继任者传输层安全（TSL）指的是为网络通信提供安全及数据全面性的一项安全协议，SSL与TLS与传输层可网络连接开展加密，为传输层提供安全保障[4]。

（五）应用层

1、病毒威胁。经由网络传播的计算机病毒在传播覆盖面、传播速度及危害性等方面均是单机病毒难以比拟的。就以蠕虫病毒为例，其可经由主动扫描、网络共享或者电子邮件等途径对校园网Web服务器形成破坏，转变网页目录促进自身繁衍，并经由发送垃圾邮件、扫描网络，造成网络拒绝服务，甚至造成网络瘫痪。

2、垃圾邮件。垃圾邮件即便没有像病毒感染那样的破坏性，然而它会迅速充斥满用户的收件箱，从而加大了用户查看重要电子邮件的难度。此外，垃圾邮件还是黑客重要的传播媒介。

3、内部隐患。通常而言，内部用户对网络结构、应用模式均较为了解，由此便会引发极大的内部安全隐患。现阶段，黑暗攻击手段可在网上随意下载到，一些学生心理特征造成其借助此类手段开展攻击的可能。

五、校园网多层次访问控制实例说明——以pppoe、8021x为例

pppoe、8021x是相对常见的两项宽带网络接入认证方式。该两项方法用户使用体验极为相近，不过它们的协议却存在极大的不同，且具有各自的优缺点。

pppoe是在以太网上传送PPP分组的协议，对过去PSTN窄带拨号接入技术进行了沿用，且继承了PSTN窄带拨号接入技术的特征。Pppoe认证系统包括客户端、宽带接入服务器两个实体，会话期间包括发现阶段、会话阶段。Pppoe实践应用过程中，一些pppoe面临的问题经由结合相关安全机制可得以有效处理。在网络安全问题方面，主要避免广播包占用带宽、避免BRAS欺骗，能够于接入交换机处配置MAC ACL，促使相关种类广播包仅可转发至上联接口。

8021x协议是一类以端口为基础的接入控制协议。8021x认证系统包括认证系统、客户端、认证服务器三个实体。8021x认证数据流与业务数据流是相互分开的。现阶段，大多数主流交换机均适用8021x协议，能够相对便捷地推行8021x认证的分布式部署。大多数支持802.1X 的交换机同时也能够从DHCP包中获取主机IP地址，因此可以在部署了DHCP 的情况下，实现IP+MAC+端口的绑定，解决IP冲突、ARP攻击等网络安全问题。

六、结束语

总而言之，校园网极易遭受来自各方的攻击，选取多层防护体系，于逐层制定安全策略，为校园网提供有利的安全保障。相关人员务必要清楚认识校园网的特点，全面分析校园网的安全问题，不断钻研研究、总结经验，积极促进校园网有序健康运行。（作者单位：广东工业大学）

参考文献：

[1]李贺华，林婧，王伟强. 校园网访问控制系统原理与实现[J].中国公共安全（学术版），2009，（3）：75-78.

[2]齐润泉，贾瑞生. 基于角色的访问控制在校园网中的应用研究[J].山东科技大学学报（自然科学版），2004，23（1）：35-37.

[3]陈艳华，张凯. 基于多层次的校园网网络安全分析[J].软件导刊，2011，10（4）：142-144.