基于主动防御的校园网安全部署浅论

黄丽芬

广西工业职业技术学院 广西南宁 530001

摘要：随着校园网办公自动化的不断普及，校园网络的安全问题也越来越受到更多地重视，它关系到学校的教学、科研和管理地工作是否能够正常进行。 而传统的校园网安全防御体系已经很难适应当前复杂、大规模的攻击行为。 虽然主动防御系统还存在着一些技术上的不足，但是它能够主动地检测、分析这些攻击行为，并对其及时阻断并提高系统的免疫力。 该文针对校园网存在的安全问题的主动防御系统及其相关的实施策略。

关键词：校园网；主动防御；系统部署

1 校园网所面临的新威胁

在当前的校园网络中，随着网络技术的应用和发展，黑客攻击和病毒技术日益泛滥，方式日趋多样化、自动化，病毒的传播更快，危害更大。如各种蠕虫、间谍软件、网络钓鱼等威胁、移动代码结合，形成复合型威胁，可以在很短的时间内蔓延整个校园网，造成大面积断网，使威胁更加危险和难以抵御。此外，对校园网的滥用，在线音乐影视、P2P下载等流量非常大的网络应用占用大量的网络带宽，使校园网中正常的业务流量无法得到有效保证。而校园网是一个开放 的、复杂的网络，存在很多不确定的因素，在管理上面临更大的挑战。回顾我院校院园10年来的建设过程主要完成了基础性建设，如带宽的扩容、多线路的负载均衡、网络节点的增加等。而在网络安全方面却没有引起足够的重视，一直以来，在历次网络安全问题出现时处于“头痛医头，脚痛医脚”的被动防御局面。虽然也逐步部署了安全认证服务、防病毒服务、防火墙、IDS等安全设备，但设备间各自为政，不能相互协作，使用效果并不理想。

2 主动防御安全技术研究

统一威胁管理（UTM）通过采用综合分析、分流处理的设计思想，对各种数据的分析是在一个综合分析引擎中实现，由综合分析引擎判断出数据的合法性与否，如果合法则正常流过，如果非法则交与独立的处理引擎进行处理。采用综合分析引擎进行数据分析比各个安全模块采用独立的分析引擎具有更高的效率和安全性。

流量控制可以把全网网络流量分布情况展现在我们面前。将第七层流量打回第四层，在流量检测过后，使用第七层防火墙来阻挡某些应用。并会把在第七层流量过滤，让其以第四层正常的端口号运行，帮助你原有的第四层防火墙得以用端口号作最基本的控制。另外，流量控制系统可以阻挡非标准的IM联机，可以识别应用程序的精细行为，针对每个使用者或组给予不同的权限。

蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。蜜罐并不向外界用户提供任何服务，所有进出蜜罐的网络流量都可能预示着一次扫描、攻击和攻陷，蜜罐的核心价值在于对这些非法活动进行监视、检测和分析。蜜罐技术上逐步发展为诱捕网络,蜜网构成了一个诱捕网络体系架构，在这个架构中，可以包含一个或多个蜜罐，同时保证了网络的高度可控性，以及提供多种工具以方便对攻击信息的采集和分析。

3 主动防御安全系统部署

3.1主动防御安全系统部署分析

我们在校园网中部署能够捕获攻击者的攻击，收集攻击数据，分析和抑制攻击的基于主动策略的安全系统,结合统一威胁管理、流量控制和蜜罐技术，相互补充，进一步提高我院校园网络的防御能力。

1. 外部统一威胁管理设备作为校园网络边界的第一道防线，将大部分的入侵行为进行隔离。该设备防火墙采用的策略是：对入境的通信严格控制，而对出境的通信则按安全策略放行。

2. 内部流量控制设备作为内部流量管理控制设备，在应用层对校园网内部的流量进行分析检测，分析突发的大流量应用、异常流量监测，对P2P协议进行时间限制，有效的对非正常教学、办公流量进行阻挡，在现有带宽下保证网络的安全高效。

3. 蜜网的设置与外部UTM恰巧相反，即对入境的通信放宽，以便收集更多的数据、证据；而对出境的通信则按安全策略严格控制，防止入侵者利用该系统作为跳板，对其它系统进行进一步的攻击。为了更进一步收集数据，在蜜网内部防火墙的内部安装嗅探器，对进入系统的每一个数据包都做记录。

4. 主动防御管理收集各数据源，包括UTM阻挡日志、流量阻挡日志，蜜罐主机记录日志、嗅探器的数据，将收集到的数据按照统一的格式进行分类、归纳，以供分析利用。

5. 将淘汰的网络设备、功能服务器经过虚拟和重定向处理应用到蜜网的部署中，由于这些系统和应用都是真实的，因此在蜜网中发现的漏洞和弱点就是真实存在的，需要改进的。

3.2校园网动态安全体系的构建

我们已经了解到了相关的网络安全模型以及主动防御技术，下面我们就根据相关的技术，制定一个符合校园网络的动态安全体系，防御校园网黑客的入侵。根据校园网的网络安全，我们设计了校园网动态安全防御系统。将校园网安全防御体系分为了管理员控制平台、在线控制平台以及网络引擎三大部分，方便校园管理和部署。而这之间的数据通信采用 SSL 协议加密通信。SSL(Sec ure Soc ket Layer)是使用数据加密技术，确保网络数据通信不被窃取和监听，SSL协议应用于 TCP/IP 协议与其它协议之间，为数据通信提供安全保障。

（1）管理员控制平台。管理员控制平台主要进行配置管 理、系统监控和日志管理三部分。管理员会根据当前网络安全状态，进行系统配置，必要时会升级安全等级，使得系统能够很好的抵御黑客攻击。

（2）在线控制平台。为了方便管理员能及时调整动态防御体系的策略，因此同步实现了在线安全控制平台，用于实现部分策略调整功能，即使管理员不在网络管理中心，也能及时应对突发情况。

（3）网络引擎。网络引擎即为当前校园网中的保护体系核心板块，用户对当前网络的数据流进行监控，避免异常发生，保证校园网用户安全的进行网络通信。

另外，该系统结合了入侵保护系统(IPS)、入侵检测系统 (IDS)以及防火墙技术为一体，实现了包过滤、包检测、协议检测等功能，并能对异常数据进行拦截，配合 WPDRRC 模型，能够很好的预防网络黑客的攻击。

总之，校园网动态安全模型是以WPDRRC模型为基础，加上主动防御技术，在校园网动态安全防御系统框架的基础上实施，最终达到一个基于主动防御的动态校园网络安全体系，全方位的抵制黑客的入侵。

总 结

针对网络安全而言，主动防御应当属于新时期的关键技术。最近几年，主动防御的相关技术也获得了显著的改进和提高。作为防御技术的一类，主动防御有助于监测并且防控系统隐患，在此基础上确保了全方位的网络安全。同时，主动防御还可以借助跟踪反击和超前防御的措施来防控黑客或者木马的伤害，从而保障了运行过程中的网络安全。然而截至目前，网络安全领域中的主动防御并不完善，还有待提高。在未来的实践中，技术人员还需要不断摸索经验，进而服务于网络安全整体水平的提高。

随着校园网络应用规模的扩大化和复杂化，其面临安全问题也变的越来越复杂，而主动防御系统改变了传统的被动防御的理念，不是等到入侵和攻击行为发生之后才去制定防御策略，而是主动去预先阻止这些行为的发生，保障校园网络的安全。 但是，目前，主动防御系统在校园网中的部署还没有普及，主要原因是：首先是入侵的检测技术还不够成熟，存在大量的漏报和误报现象；其次，对安全威胁的自动响应能力还不足，各种安全防御设备的联动性还不够好。 因此，校园网的主动防御技术还需要继续深入研究，使之真正形成一个有机的防御体系，增强校园网络的安全。

参考文献

[1]董希泉，林利，张小军，等.主动防御技术在通信网络安全保障工程中的应用研究[J].信息安全与技术，2016（1）：80-84.

[2]王艳.大数据时代网络安全主动防御系统应用与设计[J].湖北函授大学学报，2016（9）：68-69.

[3]韩韦.网络安全主动防御技术探析[J].信息与电脑（理论版），2012（9）：1-2.