教育城域网建设安全经验谈

安全架构教育之本

网络安全包含两部分内容，一是构成网络物理体系的正常运行，保证数据在网上高效传送；二是保障基于网络的数据在传输过程中、存取中不被窍取、篡改、遗失。网络的安全架构指为保证网络安全从工作理念、网络结构、软件及硬件设备、技术手段等方面共同构成的一个完整体系。

互联网在设计之初就是本着自由与开放的原则，缺乏对安全性的总体构想和考虑，导致目前许多应用系统处于不设防状态。

广泛存在的安全问题、侵权问题、诚信问题和精神污染等问题，已经成为互联网进一步发展的最大障碍。互联网存在的这些问题应该作为教训来指导教育城域网建设，如果教育城域网没有一个科学的安全架构，很好解决网络安全问题，那么它只能是一种互联网的延伸，也就失去存在的意义。

但是，如何才能行之有效地建立起网络安全架构呢？

成本与安全

局域网普通交换机是一种二层网络设备，它在操作过程中不断收集并建立它本身的MAC地址表，而且定时刷新。它的引入使网络站点间可独享带宽，消除了无谓的碰撞检测和出错重发，提高了传输效率。但二层交换也暴露出它的弱点：只有在相同的网段内的计算机才能通信，不能有效解决广播风暴、异种网络不能互连、处于一个大型的广播域内安全性控制性方面等问题不能解决。二层交换机虚拟网VLAN技术很好地解决了安全性和广播风暴的问题。但虚拟网之间通信是不允许的，“三层交换”技术的引入实现了不同虚拟网间的高速路由，才真正解决了既利用VLAN提高了网络的安全性有效地扼制广播风暴，又解决了不同虚网之间的互通的难题。但三层交换机是普通交换机价格的4～5倍，作为教育城域网接入运营商（无论是电信还是广电）都会考虑一个运行成本和效益的问题，所以他们往往会选用价格低廉二层交换机组建宽带IP网作为我们教育城域网的接入，这就使教育城域网的安全运行留下了很大的隐患。

本文开头所述的绍兴教育城域网所发生的故障，就是上述原因造成网络经常性出现大量的广播包阻塞，同时又很难及时控制阻断广播源，严重影响了网络的正常运行。科学安全的解决方案是各校以不同的VLAN直接接入三层会聚交换机，并引入策略管理属性，不仅使二层与三层相互关联起来，而且还提供流量优先化处理、安全访问机制以及多种其它的灵活功能。为学校如财务数据等安全要求较高应用提供安全的传输网络。

规范接入和运行监控

绍兴教育城域网的应用实践也告诉我们，学校网络安全还必须与规范接入和运行监控相结合。

具体的措施可以参考以下办法：学校设立一台代理服务器（或防火墙设NAT），以一个终端的形式接入城域网，校园网内的计算机访问教育城域以代理服务器作为惟一出口。做到校园网地址和城域网地址隔离，避免校园网内的大量计算机直接接入造成管理的困难，若一旦校园网产生广播风暴则首先会使代理服务器阻塞，避免扩散到城域网；学校接入城域网的计算机必须按网络中心分配的IP地址段设定，禁止盗用他人的IP和非法IP地址的接入；接入城域网的每一台计算机均必须安装杀毒软件。

在网络使用高峰时段，利用网管软件查看路由器、交换机、服务器端口的数据流量，分析网络中传送的数据包的构成，分析造成网络异常的原因，诊听异常数据包来自哪条线路哪个学校，一时解决不了可以暂时屏蔽该校接入的VLAN避免影响到整个城域网的正常工作。 

实践心得：

阻击教育网内“头号杀手”

根据笔者在教育网内实际应用中大量的网络监测分析，造成教育网网络故障的“头号杀手”就是广播风暴。产生大规模广播数据包的成因主要有这样三类：

 （1）蠕虫病毒对网络速度的影响是头号因素。

笔者采用sniffer捕获大量发广播包计算机的IP地址，通过这些地址寻找相应的学校，然后打电话通知该校进行杀毒处理，结果杀出大量蠕虫病毒，杀毒处理后计算机恢复正常，广播包也随之消失，这类事件曾发生多起。I-Worm/Blaster冲击波病毒、I-Worm/Chian(冲击波杀手)病毒通过向网络发送大量的数据包，使网络流量剧增，最终导致许多网络瘫痪的后果。蠕虫病毒的传播通常采用广播包的形式及向外大量发邮件实现并对特定IP段进行疯狂扫描，这种病毒导致被感染的用户只要一连上网就不停地往外发邮件，成百上千的这种垃圾邮件有的排着队往外发送，有的又成批成批地被退回来堆在服务器上。造成个别骨干互联网出现明显拥塞，个别局域网近于瘫痪。因此，应时常注意各种新病毒通告，了解各种病毒特征；及时升级所用杀毒软件。计算机也要及时升级、安装系统补丁程序；同时卸载不必要的服务，关闭不必要的端口，以提高系统的安全性和可靠性。

（2）网卡或网络设备损坏造成向外发广播包。

当网卡或网络设备损坏后，因为无法处理响应包，主机会不停地发送广播包，从而导致广播风暴，使网络通信陷于瘫痪。因此，当网络设备硬件有故障时也会引起网速变慢。当怀疑有此类故障时，首先可采用置换法替换集线器或交换机来排除设备故障。然后用ping命令对所涉及计算机逐一测试，找到有故障网卡的计算机，更换新的网卡可恢复网速正常。绍兴教育网因接入城域网的学校用交换机损坏引起过二起这类事件。

（3）学校的视频广播服务器的工作形成广播包。

有些学校设立视频点播、视频会议、视频广播服务，以实现在网络上传送视频节目，这是应用上的问题。我们允许存在但必须控制数量，并要求他们控制开启的时间。