校園網(wǎng)系統(tǒng)安全方案

PAGEPAGE1課程設(shè)計成績評價表指導(dǎo)老師評閱成績表課程設(shè)計成績評價表學(xué)習(xí)與工作態(tài)度（30%）選題的價值與意義（10%）文獻(xiàn)綜述（10%）研究水平與設(shè)計能力（20%）課程設(shè)計說明說（論文）撰寫質(zhì)量（20%）學(xué)術(shù)水平與創(chuàng)新（10%）總分指導(dǎo)老師簽名：年月日課程設(shè)計答辯記錄及評價表學(xué)生講述情況教師主要提問記錄學(xué)生回答問題情況答辯評分評分項目分值評價參考標(biāo)準(zhǔn)評分總分優(yōu)良中及格差選題的價值與意義1098764文獻(xiàn)綜述1098764研究水平與設(shè)計能力201917151310課程設(shè)計說明書（論文）撰寫質(zhì)量201917151310學(xué)術(shù)水平與創(chuàng)新1098764答辯效果302825221915是否同意論文（設(shè)計）通過答辯□同意□不同意答辯小組成員簽名答辯小組組長簽名：年月日課程設(shè)計成績評定表成績匯總評分項目評分比例分?jǐn)?shù)課程設(shè)計總分指導(dǎo)老師評分50%答辯小組評分50%封面 封面成都信息工程學(xué)院課程設(shè)計題目：校園網(wǎng)的安全整體解決方案設(shè)計作者姓名：班級：學(xué)號：日期：2010年12月18日作者簽名：第10頁共12頁 校園網(wǎng)的安全整體解決方案設(shè)計摘要隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)技術(shù)越來越受到人們的重視，它已逐漸滲入我們生活各個層面，當(dāng)然學(xué)校這個小集體也被包括在內(nèi)。目前許多學(xué)校都已經(jīng)建立了校園網(wǎng)，并通過各種方式與國際互聯(lián)網(wǎng)相連，校園網(wǎng)已經(jīng)成為學(xué)校教學(xué)、科研和管理的重要渠道，并已經(jīng)改變了人們的生活和學(xué)習(xí)方式，成為人們進(jìn)行信息交流的基本工具。而且，校園網(wǎng)作為高校信息化建設(shè)的基礎(chǔ)設(shè)施，在各學(xué)校也得到了極大的發(fā)展。隨著校園網(wǎng)規(guī)模急劇擴大、網(wǎng)絡(luò)用戶數(shù)量快速增多、校園網(wǎng)的開放程度日益增加，校園網(wǎng)的安全問題也就顯得愈發(fā)突出了?？梢哉f，校園網(wǎng)安全問題已經(jīng)成為當(dāng)前各高校網(wǎng)絡(luò)建設(shè)中不可忽視的首要問題，如何保證校園網(wǎng)的安全運行，已成為當(dāng)前許多高校信息化建設(shè)的當(dāng)務(wù)之急。本方案就是為了解決校園網(wǎng)由于安全建設(shè)嚴(yán)重滯后，使得其在建設(shè)初期就埋下了安全隱患，投入運行后，又疏于安全管理而引起的安全問題。希望通過此方案能夠使校園網(wǎng)能夠成為高速、穩(wěn)定、安全可靠的網(wǎng)絡(luò)。關(guān)鍵字：計算機網(wǎng)絡(luò)；校園網(wǎng)；安全；解決方目錄TOC\o"1-3"\h\u1.引言 11.1國內(nèi)高校校園網(wǎng)發(fā)展歷史 11.2國內(nèi)高校校園網(wǎng)現(xiàn)狀 12.高校校園網(wǎng)需求分析 22.1網(wǎng)絡(luò)高性能高穩(wěn)定可靠的需求 22.2網(wǎng)絡(luò)安全的需求 22.2.1高校面臨的嚴(yán)重網(wǎng)絡(luò)形勢 22.2.1網(wǎng)絡(luò)安全一定是全方位的安全 32.3方便運營的管理的需求 33.高校校園網(wǎng)問題解決方案 43.1骨干網(wǎng)絡(luò)高性能高穩(wěn)定可靠 43.2有效的安全措施 53.2.1訪問控制 53.2.2防火墻與IDS聯(lián)合使用 53.2.3漏洞掃描系統(tǒng) 63.2.4安裝補丁程序和殺毒軟件 63.2.5使用虛擬局域網(wǎng)(VLAN)技術(shù) 73.2.6關(guān)閉不需要的端口 73.2.7系統(tǒng)日志功能 73.2.8智能高效的數(shù)據(jù)設(shè)計 7結(jié)論 9參考文獻(xiàn) 101.引言1.1國內(nèi)高校校園網(wǎng)發(fā)展歷史高校校園網(wǎng)一直是國內(nèi)Internet發(fā)展的領(lǐng)頭羊。1994年7月，中國教育和科研計算機網(wǎng)CERNET示范工程啟動。也就是同一年，清華北大等頂尖大學(xué)建成了自己的校園網(wǎng)，事實上這些網(wǎng)絡(luò)也是中國Internet的開端。高校校園網(wǎng)從1994年的啟動建立到現(xiàn)在的16年間，無論是高校校園網(wǎng)的網(wǎng)絡(luò)技術(shù)，還是高校校園網(wǎng)的關(guān)注要點，大致可以分為三個階段。

第一階段是基礎(chǔ)設(shè)施建設(shè)時期，時間大約從1994年到2000年。這期間各種網(wǎng)絡(luò)技術(shù)在高校同時都有應(yīng)用：以太網(wǎng)技術(shù)，F(xiàn)DDI，ATM網(wǎng)絡(luò)技術(shù)。在這個階段，由于校園網(wǎng)應(yīng)用的技術(shù)比較繁雜，而且業(yè)務(wù)相對單一，因此，這一階段，主要關(guān)注網(wǎng)絡(luò)的連通性和兼容性，即如何保證校園網(wǎng)的連通，和各種不同網(wǎng)絡(luò)技術(shù)的兼容和融合。

第二階段是應(yīng)用平臺建設(shè)時期，時間大約是從2000年到2005年。這期間，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，各種應(yīng)用也開始出現(xiàn)并發(fā)展迅速，包括BBS、WWW、FTP、E-mail，以及近兩年流行的BT下載、視音頻業(yè)務(wù)等等，這些應(yīng)用都對帶寬提出了挑戰(zhàn)。另一個在此階段發(fā)展迅速的校園網(wǎng)應(yīng)用就是IPTV，更是被成為帶寬的殺手級應(yīng)用。與此同時，網(wǎng)絡(luò)技術(shù)--特別是以太網(wǎng)技術(shù)迅猛發(fā)展，1000M以太網(wǎng)已經(jīng)步入校園，萬兆標(biāo)準(zhǔn)也已經(jīng)公布。結(jié)合實際應(yīng)用和網(wǎng)絡(luò)技術(shù)來看，這個階段主要關(guān)注：帶寬和應(yīng)用。

第三個階段是信息資源建設(shè)時期。時間從2005年至今，乃至今后幾年時間內(nèi)。近兩年，萬兆以太網(wǎng)已經(jīng)開始在高校校園網(wǎng)中規(guī)模化應(yīng)用，下一代以太網(wǎng)標(biāo)準(zhǔn)也已經(jīng)確立為10萬兆標(biāo)準(zhǔn)。同時，隨著cernet2的啟動，IPV6技術(shù)也已經(jīng)在校園網(wǎng)中實驗并逐步應(yīng)用。1.2國內(nèi)高校校園網(wǎng)現(xiàn)狀校園網(wǎng)作為高校信息化建設(shè)的基礎(chǔ)設(shè)施，在各高校也得到了極大的發(fā)展。隨著校園網(wǎng)規(guī)模急劇擴大、網(wǎng)絡(luò)用戶數(shù)量快速增多、校園網(wǎng)的開放程度日益增加，校園網(wǎng)的安全問題也就顯得愈發(fā)突出了，縱觀這兩年整個網(wǎng)絡(luò)世界，安全事件頻發(fā)：沖擊波、震蕩波、ARP攻擊等等。所以，安全可信成為了高校校園網(wǎng)當(dāng)前關(guān)注的要點。

2.高校校園網(wǎng)需求分析2.1網(wǎng)絡(luò)高性能高穩(wěn)定可靠的需求首先是網(wǎng)絡(luò)的高性能。高校校園網(wǎng)中用戶數(shù)在不斷增加，并且隨著網(wǎng)絡(luò)應(yīng)用技術(shù)的不斷豐富，高校校園網(wǎng)應(yīng)用也愈發(fā)復(fù)雜，例如FTP、VOD點播等大數(shù)據(jù)量的訪問，尤其目前流行的P2P的應(yīng)用產(chǎn)生了巨大的網(wǎng)絡(luò)流量，如何高速進(jìn)行網(wǎng)絡(luò)傳輸，對網(wǎng)絡(luò)設(shè)備的性能提出了很高的要求。實際情況中，依然有很多高校使用的設(shè)備是集中式表查詢和集中式轉(zhuǎn)發(fā)模式的。由于這些設(shè)備性能不足，常常導(dǎo)致網(wǎng)速很慢。其次是網(wǎng)絡(luò)的穩(wěn)定可靠。未來的社會是電子信息的社會，當(dāng)前隨著校內(nèi)師生員工的工作、科研、學(xué)習(xí)、生活、娛樂越來越離不開網(wǎng)絡(luò)，網(wǎng)絡(luò)的穩(wěn)定可靠性就顯得越來越重要。但是在應(yīng)用豐富的同時，網(wǎng)絡(luò)環(huán)境也變得異常惡劣。近兩年，安全攻擊事件呈指數(shù)級上升而網(wǎng)絡(luò)攻擊所需要的知識卻越來越弱化，各種網(wǎng)絡(luò)攻擊工具在網(wǎng)絡(luò)上可以隨時下載。這也對網(wǎng)絡(luò)設(shè)備在網(wǎng)絡(luò)攻擊或者病毒泛濫情況下的穩(wěn)定可靠提出了挑戰(zhàn)。目前，在高校使用的設(shè)備中還存在大量早期采購的設(shè)備，這些設(shè)備在啟用了安全規(guī)則情況下性能急劇下降--在受到網(wǎng)絡(luò)攻擊或病毒泛濫的時候，CPU利用率居高不下，設(shè)備性能穩(wěn)定性降低，很可能造成死機。2.2網(wǎng)絡(luò)安全的需求2.2.1高校面臨的嚴(yán)重網(wǎng)絡(luò)形勢(1)來自硬件系統(tǒng)的安全威脅硬件的安全問題也可以分為兩種，一種是物理安全，一種是設(shè)置安全。物理安全是指由于物理設(shè)備的放置不合適或者防范不得力，使得服務(wù)器、交換機、路由器等網(wǎng)絡(luò)設(shè)備，光纜和雙絞線等網(wǎng)絡(luò)線路以及UPS和電纜線等電源設(shè)備遭受意外事故或人為破壞，造成校園網(wǎng)不能正常運行。設(shè)置安全是指在設(shè)備上進(jìn)行必要的安全設(shè)置(如服務(wù)器、交換機的密碼等)，防止黑客取得硬件設(shè)備的遠(yuǎn)程控制權(quán)。(2)來自校園網(wǎng)內(nèi)部的威脅由于內(nèi)部用戶對網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解，特別是在校學(xué)生——這群精力充沛的年輕一族對新鮮事物有著強烈的好奇心，他們有著探索的高智商和沖勁，卻缺乏全面思考的責(zé)任感。有數(shù)據(jù)顯示，目前校園網(wǎng)所遭受的攻擊有90%是來自校園網(wǎng)絡(luò)內(nèi)部。(3)來自Internet的威脅Internet網(wǎng)上網(wǎng)站眾多，然而各個網(wǎng)站的制作水平各不相同導(dǎo)致安全級別也不一樣。一些防御薄弱的網(wǎng)站經(jīng)常被黑客所利用導(dǎo)致訪問的用戶所在網(wǎng)絡(luò)被攻擊。(4)系統(tǒng)或軟件的漏洞目前使用的操作系統(tǒng)和應(yīng)用軟件都存在安全漏洞，對網(wǎng)絡(luò)安全構(gòu)成了威脅。而且現(xiàn)在許多從網(wǎng)絡(luò)上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼,這些軟件的使用也可能被攻擊者侵入和利用。(5)管理方面的問題隨著計算機信息系統(tǒng)的不斷發(fā)展，用戶的核心業(yè)務(wù)越來越依賴于信息系統(tǒng)的可靠運行，信息系統(tǒng)中的關(guān)鍵業(yè)務(wù)數(shù)據(jù)已經(jīng)成為用戶最為重要的資產(chǎn)。因此，對關(guān)鍵的業(yè)務(wù)數(shù)據(jù)進(jìn)行備份保護(hù)刻不容緩。但是當(dāng)前絕大多數(shù)國內(nèi)高校，對于關(guān)鍵數(shù)據(jù)，比如財務(wù)資料、學(xué)籍/檔案、學(xué)術(shù)論文等資料都還沒有進(jìn)行有效的備份或容災(zāi)。一旦數(shù)據(jù)毀壞/丟失，后果不堪設(shè)想。2.2.1網(wǎng)絡(luò)安全一定是全方位的安全首先，網(wǎng)絡(luò)出口、數(shù)據(jù)中心、服務(wù)器等重點區(qū)域要做到安全過濾；其次，不管接入設(shè)備，還是骨干設(shè)備，設(shè)備本身需要具備強大的安全防護(hù)能力，并且安全策略部署不能影響到網(wǎng)絡(luò)的性能，不造成網(wǎng)絡(luò)單點故障；最后，要充分考慮全局統(tǒng)一的安全部署，需要能夠從準(zhǔn)入控制，到對網(wǎng)絡(luò)安全事件進(jìn)行深度探測，到現(xiàn)有安全設(shè)備有機的聯(lián)動，到對安全事件觸發(fā)源的準(zhǔn)確定位和根據(jù)身份進(jìn)行的隔離、修復(fù)措施，從而能對網(wǎng)絡(luò)形成一個由內(nèi)至外的整體安全構(gòu)架。

2.3方便運營的管理的需求首先，校園網(wǎng)需要進(jìn)行合理的運營。第一、校園網(wǎng)的投資較大，加上每年的維護(hù)成本，對于學(xué)校并不是一筆可以忽視的開支；第二、根據(jù)各校的情況，進(jìn)行合理的運營收費，依靠市場化的手段能夠推動校園網(wǎng)的運作規(guī)范化和提高建設(shè)水平。當(dāng)然，學(xué)校不是運營商，運營的模式和業(yè)務(wù)流程并不清晰。而學(xué)校收費和學(xué)生繳費又是一對天然的矛盾，當(dāng)前不少學(xué)校采用的運營模式與學(xué)校實際的情況差距太大，無法有效杜絕學(xué)生逃避收費等問題一直困擾著學(xué)校的網(wǎng)管人員。

(2)其次，有效的管理可以從用戶管理和設(shè)備管理兩方面來看。

對于用戶管理，最重要的是能夠?qū)崿F(xiàn)事前的身份認(rèn)證和準(zhǔn)確定位、事中的實時處理、事后的完整日志審計。事前的認(rèn)證和定位是指可嚴(yán)格實現(xiàn)用戶身份識別，根據(jù)用戶賬號、密碼、MAC地址、IP地址、交換機IP、交換機端口號、用戶所在VLAN的靈活組合，來識別用戶身份。將網(wǎng)絡(luò)中的虛擬用戶和生活中的真實用戶相對應(yīng)；事中的實時處理是指對于正在使用網(wǎng)絡(luò)的用戶，如果出現(xiàn)私自撥號上網(wǎng)、使用代理、更改IP地址等，認(rèn)證計費系統(tǒng)會強制用戶下線。對于感染病毒，出現(xiàn)安全事件的用戶，結(jié)合全局安全通過安全聯(lián)動來進(jìn)行隔離、阻斷和修復(fù)，以保證校園網(wǎng)的安全。事后的日志審計是指記錄用戶上網(wǎng)的詳細(xì)信息（包括用戶名、IP、MAC等）及完整的用戶訪問外網(wǎng)的記錄（包括源IP、目的IP、源端口、目的端口、訪問時間），一旦出現(xiàn)安全事件，可以進(jìn)行快速完整的審計，迅速定位到個人。

對于設(shè)備管理，需要的是統(tǒng)一有效的網(wǎng)絡(luò)管理系統(tǒng)。能夠直觀全面地監(jiān)控整個網(wǎng)絡(luò)和各種設(shè)備的運行狀態(tài)，記錄和深入分析網(wǎng)絡(luò)流量，及時報告各種故障和性能問題，協(xié)助管理員找到故障的起源，并且對網(wǎng)絡(luò)的性能變化和故障發(fā)生提前進(jìn)行預(yù)測。

高校用戶數(shù)和網(wǎng)絡(luò)節(jié)點數(shù)眾多，因此難以一體化管理眾多的設(shè)備和用戶，出現(xiàn)網(wǎng)絡(luò)故障無法快速定位、IP地址盜用、IP地址沖突等問題日益嚴(yán)重，如何利用有限的人力物力對網(wǎng)絡(luò)進(jìn)行高效管理也成為學(xué)校考慮的著重點。3.高校校園網(wǎng)問題解決方案3.1骨干網(wǎng)絡(luò)高性能高穩(wěn)定可靠骨干網(wǎng)最重要的就是穩(wěn)定可靠性。影響骨干網(wǎng)穩(wěn)定可靠的因素有很多，但是最主要的有三個方面：設(shè)備本身、網(wǎng)絡(luò)架構(gòu)、安全保障。只有這三個方面都沒問題了，才會形成穩(wěn)固健壯的骨干網(wǎng)絡(luò)。

網(wǎng)絡(luò)核心作為全網(wǎng)的心臟，向?qū)W校的教學(xué)辦公、學(xué)生宿舍以及各種應(yīng)用系統(tǒng)（在線點播、電子郵件、WEB服務(wù)等）源源不斷的提供安全穩(wěn)定的信息血液，保證整個學(xué)校相關(guān)業(yè)務(wù)的可靠運行。因此，作為整個網(wǎng)絡(luò)平臺的神經(jīng)中樞，網(wǎng)絡(luò)核心層是全網(wǎng)數(shù)據(jù)傳輸?shù)闹行?，不僅要保證7*24小時的穩(wěn)定運行，各種應(yīng)用服務(wù)器的數(shù)據(jù)能夠被穩(wěn)定可靠的傳輸，同時，還要協(xié)調(diào)全網(wǎng)的數(shù)據(jù)流量和訪問策略，在提供信息服務(wù)的同時，保證網(wǎng)絡(luò)中心自身的安全。整網(wǎng)采用萬兆多核心、萬兆/千兆骨干、千兆/百兆到桌面的設(shè)計理念。高吞吐量，線速轉(zhuǎn)發(fā)的核心路由器和三層交換機，所有關(guān)鍵器件的冗余，包括主控板、交換網(wǎng)板、電源等，支持板件的熱插拔技術(shù)，保證了網(wǎng)絡(luò)的高效運轉(zhuǎn)。骨干設(shè)備雙核心雙鏈路，或者核心成環(huán)之后，相互之間互為容錯備份，并在核心交換機中采用關(guān)鍵模塊冗余設(shè)計（雙電源冗余等）。核心和匯聚之間采用雙鏈路連接，一旦數(shù)據(jù)傳輸?shù)幕顒渔溌肥б院罂梢宰詣忧袚Q到另一條鏈路，保障數(shù)據(jù)的正常轉(zhuǎn)發(fā)。這樣，從全網(wǎng)架構(gòu)上，核心層雙鏈路交換系統(tǒng)不存在單點故障，是一種高級別交換完全冗余的容錯方案，這樣即使其中一條鏈路斷線或一個主干交換機發(fā)生故障，都能在用戶覺察不到的極短的時間內(nèi)啟用備份恢復(fù)數(shù)據(jù)傳遞，從而保證網(wǎng)絡(luò)系統(tǒng)的高可靠性、穩(wěn)定性的運行。3.2有效的安全措施3.2.1訪問控制訪問控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。用戶的入網(wǎng)訪問控制通常有用戶名和口令的識別與驗證、用戶帳號的缺省限制檢查等。當(dāng)用戶進(jìn)入網(wǎng)絡(luò)后，網(wǎng)絡(luò)系統(tǒng)就賦予這一用戶一定的訪問權(quán)限，用戶只能在其權(quán)限內(nèi)進(jìn)行操作。這樣，就保證網(wǎng)絡(luò)資源不被非法訪問和非法使用。用戶在其合法的訪問授權(quán)之外無其他的訪問特權(quán)，有效防止了網(wǎng)絡(luò)因超權(quán)限訪問而造成的損失。目前網(wǎng)上的大部分對系統(tǒng)的攻擊都是從截獲或猜測密碼開始的。一旦黑客進(jìn)入了系統(tǒng)，那么所有的防衛(wèi)措施幾乎就沒有作用，所以對服務(wù)器系統(tǒng)管理員的賬號和密碼進(jìn)行管理是保證系統(tǒng)安全非常重要的措施。3.2.2防火墻與IDS聯(lián)合使用防火墻是構(gòu)建整個網(wǎng)絡(luò)安全體系的核心，它位于內(nèi)部網(wǎng)和外部網(wǎng)之間，成為內(nèi)外網(wǎng)之間一道牢固的安全屏障，其中WWW、MAIL、FTP、DNS等對外服務(wù)器連接在防火墻的DMZ區(qū)，與內(nèi)、外網(wǎng)間進(jìn)行隔離，內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機，外網(wǎng)口通過防火墻與Internet連接。通過Internet進(jìn)來的公眾用戶只能訪問到對外公開的一些服務(wù)，既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問或破壞，也可以阻止內(nèi)部用戶對外部不良資源的濫用，并能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事件進(jìn)行跟蹤和審計。對于校園網(wǎng)而言，不但要防御外部的攻擊還要考慮內(nèi)部的攻擊。但是，防火墻畢竟只是被動防御，因此，必須加強與IDS（入侵檢測系統(tǒng)）的聯(lián)動。IDS所采用的不是被動防御的策略，而是主動監(jiān)視、檢測和識別正在進(jìn)行的或已經(jīng)成功的入侵行為，并及時報告給網(wǎng)絡(luò)管理者。由于IDS系統(tǒng)除了報告外，本身不能對入侵采取任何的防御措施。所以網(wǎng)絡(luò)中心通過IDS和防火墻的聯(lián)動來實現(xiàn)入侵防御，當(dāng)IDS發(fā)現(xiàn)攻擊企圖后，它會通知防火墻將攻擊來源的IP地址或端口禁掉。這種聯(lián)動方式集合了IDS和防火墻的優(yōu)點，從而能主動地阻擋入侵，降低非法入侵造成的損失。3.2.3漏洞掃描系統(tǒng)解決網(wǎng)絡(luò)中安全問題，首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患、漏洞。面對大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況，僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗尋找安全漏洞、做出風(fēng)險評估，顯然是不夠的。解決的方案是，尋找一種能查找網(wǎng)絡(luò)安全漏洞、評估風(fēng)險并提出修改建議的網(wǎng)絡(luò)安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞。而且也可以采用目前先進(jìn)的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器、交換機等進(jìn)行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全性分析報告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。3.2.4安裝補丁程序和殺毒軟件任何操作系統(tǒng)都有漏洞，大部分校園網(wǎng)服務(wù)器使用的操作系統(tǒng)都有漏洞，蓄意攻擊它們的人也特別多，作為網(wǎng)絡(luò)系統(tǒng)管理員就有責(zé)任及時對系統(tǒng)進(jìn)行升級。在校園網(wǎng)防病毒方案中，系統(tǒng)管理員最終要達(dá)到的一個目標(biāo)就是，要在整個網(wǎng)絡(luò)中杜絕病毒的感染和傳播。為了實現(xiàn)這個目標(biāo)，系統(tǒng)管理員應(yīng)該在整個網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。同時為了有效、快捷地實施和管理整個網(wǎng)絡(luò)的防病毒體系，應(yīng)能實現(xiàn)遠(yuǎn)程安裝、智能升級、遠(yuǎn)程報警、集中管理、分布查殺病毒等多種功能。網(wǎng)絡(luò)病毒成為威脅網(wǎng)絡(luò)安全的重要因素，如何防止網(wǎng)絡(luò)病毒也就成為校園網(wǎng)安全必須考慮的重要問題，因此必須在校園網(wǎng)上安裝網(wǎng)絡(luò)版的殺毒軟件才能滿足要求。3.2.5使用虛擬局域網(wǎng)(VLAN)技術(shù)VLAN(VirtualLocalAreaNetwork)即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的技術(shù)。VLAN技術(shù)的核心是網(wǎng)絡(luò)分段，根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級別，將網(wǎng)絡(luò)分段并進(jìn)行隔離，實現(xiàn)相互間的訪問控制，可以達(dá)到限制用戶非法訪問的目的。采用交換式局域網(wǎng)技術(shù)的校園網(wǎng)絡(luò)，可以用VLAN技術(shù)來加強內(nèi)部網(wǎng)絡(luò)管理。3.2.6關(guān)閉不需要的端口服務(wù)器操作系統(tǒng)在安裝的時候，會啟動一些不需要的服務(wù)，這樣會占用系統(tǒng)的資源，而且也增加了系統(tǒng)的安全隱患。對于完全不用的服務(wù)，可以完全關(guān)閉；對于要使用的服務(wù)，應(yīng)開通其服務(wù)。另外，還要關(guān)掉沒有必要開的TCP端口。3.2.7系統(tǒng)日志功能針對各種網(wǎng)絡(luò)攻擊和安全威脅進(jìn)行日志記錄，采用統(tǒng)一的格式，支持本地查看的同時，還能夠通過統(tǒng)一的輸出接口將日志發(fā)送到日志服務(wù)器，為用戶事后分析、審計提供重要信息，方案中所能提供的日志包括：