校园网现状及对策浅谈

3.病毒防范
　　各种类型网站和程序的应用，造成病毒泛滥，形成对网络安全的严重冲击，同时学生经常使用可以移动存储设备在不同的计算上拷贝文件，造成病毒感染。在整个网络中一旦有一个计算机中了病毒，病毒就会在网络中迅速传播，导致整个网络瘫痪，给校园网络的维护带来极大的麻烦。我们提出病毒安全智能点前置的安全方案，即在网络的汇聚三层交换机上实施不同的病毒安全策略。
　　我们通过在交换机上设置相应的病毒策略，配合我们的认证客户端软件，能具体侦测到具体的计算机上有病毒。当交换机侦测到病毒后交换机立即给用户发布信息提示用户杀毒，并启动网络管理员配置的断开该用户的时间程序，比如管理员设定的时间是2小时，在发现有病毒2小时后，开通该用户的网络，再次检测是否有病毒，如果用户已经杀掉病毒，就为他开通。如果没有杀掉继续关闭，然后以2小时为时间段循环检测，直到病毒被杀掉。这种策略做到了有病毒的计算机不能使用网络，同时网络中心也知道具体的用户中了病毒，利于网络管理员定位和发现病毒源，保证整个网络无病毒运行。
　　4.安全监控
　　针对当前内网安全薄弱的现实情况，在业内率先推出的能够实现内网个人访问控制和访问跟踪的安全产品。是首家把宽带接入、安全控制和访问跟踪综合为一体的安全路由交换机，能把以前防火墙想做的却一直做不到的事做到了，即把出网访问安全控制前移到用户的接入点。革新了传统的网络安全模式和思维，克服了传统网络“外强中干”的缺陷。
　　使用三层交换机的网络监控软件，实现了对网络的即时监控，这些监控包括：实时记录电脑工作台的屏幕快照；通过重播器可随时播放已记录的历史画面；可自由选择每次记荧幕快照的时间间隔；同时监控一个或多个工作站等多种功能。同时还具有对用户的控制功能。包括：只有用户持有USB密钥和密码才能在指定电脑上网，禁止使用指定的应用程式，禁止或只运行浏览指定的网站，锁定工作站和登出、重启或关闭工作站并对所监控的数据进行分析归类。我们的网络监控在校园网的应用，可以知道学生的上网的情况，即使发现并阻止学生上不健康的网站。正确引导学生使用网络，确保学生不受不良网络的影响。
　　5.防范代理
　　目前，在校园网网络建设中，利用客户端所在机器上安装代理服务器软件实现多人共用一个账号上网的现象非常普遍，如Wingate、Sygate、 Windows提供的网络共享功能或是使用SOHO路由器实现网络共享。这样学校提供给学生一条上网的线路，就会给多个学生使用，大大消耗了网络资源，给学校的运营带来很大的损失。使用我们的三层交换机上的802.1x扩展功能和802.1x客户端，就能防止非认证的用户借助代理软件从已认证的端口使用服务或访问网络资源，需侦测出被代理用户和代理服务器之间代理关系，已认证通过的客户端被当作代理服务器使用。正真做到学校提供一个网络端口只能一个用户上网。
　　6.专业打假
　　学生是一个不安分、好奇心强的群体，他们会一方面把学校的网络当作一个实验环境，测试各种网络功能，另一方面，他们在不断地寻找方法摆脱学校对学生网络资源使用的控制。现在遇到的除了代理外还有假冒DHCP SEVER和假冒IP、MAC给学校的运营管理带来很大的麻烦。一些活跃的学生用自己的计算机和操作系统配置一个DHCP SEVER，使在网络上的计算机从假冒的DHCP SEVER了解到IP地址，导致合法用户不能登陆到DHCP提供的正确IP地址而无法使用网络资源。我们通过在会聚三层交换机和客户端软件配合，如果发现有假冒的DHCP SEVER，将立即封掉该账户，让他不能享用网络资源。并且，认证方式基于用户流而不是物理端口，假冒的IP和MAC在这里就起不到任何作用。
　　以上是本人对我校校园网现状及对策的一点思考，安全互联网的各种安全威胁在校园网的运行和管理中表现得尤为突出，加强校园网的安全管理是当前非常迫切、充满挑战的任务。