2024年5月2日发(作者：)

计算机光盘软件与应用　

２０１０年第５期　

Ｃｏｍｐｕｔｅｒ　ＣＤ　Ｓｏｆｔｗａｒｅ　ａｎｄ　Ａｐｐｌｉｃａｔｉ０ｎｓ　工程技术　

构筑校园网安全服务器　

靳建平　

（焦作大学信息中心，河南焦作４５４００３）　

摘要：本文详细分析了目前高校校园网服务器的安全问题，针对校园网中运行的不同服务器提出了相应的综合性安　

全解决方案。　

关冀词：网络安全；校园网；防火墙；ＤＭＺ；ＦｒｅｅＢＳＤ　

中目分类号：ＴＰ３９３　文献标识码：Ａ　文章蝙号：　

Ｉｍｐｌｅｍｅｎｔａｔｉｏｎ　ｏｆ　Ｓｅｃｕｒｉｔｙ　Ｓｅｒｖｅｒｓ　ｏｎ　Ｃａｍｐｕｓ　Ｎｅｔｗｏｒｋ　

Ｊｉｎ　ｊｉａｎｐｉｎｇ　

（Ｊｉａｏｚｕｏ　Ｕｎｉｖｅｒｓｉｔｙ　Ｉｎｆｏｒｍａｔｉｏｎ　Ｃｅｎｔｅｒ。Ｊｉａｏｚｕｏ　４５４００３，Ｃｈｉｎａ）　

Ａｂｓｔｒａｃｔ：Ｔｈｉｓ　ｐａｐｅｒ　ｅｌａｂｏｒａｔｅｓ　ｏｎ　ｔｈｅ　ｓｅｃｕｒｉｔｙ　ｐｒｏｂｌｅｍｓ　ｏｆ　ｓｅｒｖｅｒｓ　ｏｎ　ｃａｍｐｕｓ　ｎｅｔｗｏｒｋ　ａｎｄ　ｐｒｏｐｏｓｅｓ　ｃｏｍｐｒｅｈｅｎｓｉｖｅ　ｓｅｃｕｒｉｔｙ　

ｓｏｌｕｔｉｏｎｓ　ｔｏｗａｒｄｓ　ｄｉｆｅｒｅｎｔ　ｔｙｐｅｓ　ｏｆ　ｓｅｒｖｅｒｓ　ｒｕｎｎｉｎｇ　ｏｎ　ｃａｍｐｕｓ　ｎｅｔｗｏｒｋ．　

Ｋｅｙｗｏｒｄｓ：Ｉｎｔｅｒｎｅｔ　ｓｅｃｕｒｉｔｙ；Ｃａｍｐｕｓ　ｎｅｔｗｏｒｋ；Ｆｉｒｅｗａｌｌ；Ｄｍｚ；ＦｒｅｅＢＳＤ　

随着基于计算机网络技术的现代教育手段应用的日益广泛，　等安全措施和理念，使得ＢＳＤ得以成为最为安全的系统。　

各个高校已建好了校园网。校园网的普及，为合理配置教育资源，　

（四）对硬件要求很低　

充分利用优质教育资源提供了可能。然而，不少校园网由于安全　

如果您用Ｗｉｎｄｏｗｓ作为服务器的操作系统，那么杀毒软件、　

建设严重滞后，使得其在建设初期就埋下了安全隐患；投入运行　

防火墙是必备的，而这些软件都极占系统资源，而要提供给高访　

后，又未建立或严格执行必要的规章制度，工作人员安全意识淡　问量的站点使用，Ｗｉｎｄｏｗｓ操作系统需要很高的机器配置，成本　

薄，疏于安全管理，再加上病毒、木马肆虐，以及学生有意、无　

较高。相比而言，ＢＳＤ则没这样的问题，一个很普通的ｐｃ机就可　

意的破坏，导致校园网出现安全危机，严重影响校园网信息数据　

以作为服务器来使用，笔者所在的学校因为条件所限，有些服务　

与网络设备的正常运行，因此加强安全建设是建好、用好校园网　就是在ｐｃ机上跑着，一年半载的不关也没有任何问题。　

的重要保障。　二、软硬件系统　

服务器的安全总的来说涉及到如下几个方面：　选择好操作系统之后就该软件系统了，这些软件系统的安全　

・操作系统的安全　直接影响着整个服务器的安全，在很大程度上说来，软件系统的　

・软硬件的安全　安全就决定着服务器的安全。下面我们对应用最广泛的ｗＷＷ服务　

・信息传输的安全　

加以讨论。　

・硬件的可靠性　（一）提供ｗｗｗ服务最常用的是ＩＩｓ和Ａｐａｃｈｅ，上一节我们　

一

、

操作系统　已经讨论了操作系统的选择问题，因此ＩＩＳ可以放弃，所以我们　

操作系统是网络协议和服务得以实现的最终载体之一，它不　

选择Ａｐａｃｈｅ来作为服务器端软件，这样我们的软件系统就要在　

仅负责网络硬件设备的接口封装，同时还提供网络通信所需要的　ＰＩｔＰ和ＪＳＰ之间选择，虽然在ｕｎｉｘ也有Ｃｈｉ１ｉＳｏｆｔ的组件来支持　

各种协议和服务的程序实现。操作系统规模都很大，其中的网络　ＡＳＰ，但是ＡＳＰ本身的功能有限，必须通过ＡＳＰ＋ＣＯＭ的组合来扩充，　

协议实现尤其复杂，这点已经决定了操作系统必然存在各种实现　

而Ｕｎｉｘ下的ＣＯＭ实现起来非常困难。　

过程所带来的缺陷和漏洞，而某些商用操作系统的源代码封闭性　

ＰＨＰ是一种跨平台的服务器端的嵌入式脚本语言。它大量地　

更是加剧了这样一种现象，网络操作系统的漏洞成为网络所面临　

借用Ｃ、Ｊａｖａ和Ｐｅｒｌ语言的语法，并耦合Ｐ｝Ⅱ）自己的特性，使　

的安全重要威胁之一。　

Ｗｅｂ开发者能够快速地写出动态页面。它支持目前绝大多数数据　

目前服务器所用的操作系统大致可分为两种：Ｗｉｎｄｏｗｓ和　

库。还有一点，ＰＨＰ是完全免费的，不用花钱，你可以从ＰＨＰ官　

＊ｎｉｘ，笔者强力推荐ＵＮＩＸ血统的ＢＳＤ系统来作为服务器操作系统。　

方站点自由下载。而且你可以不受限制地获得源码，甚至可以从　

之所以要给大家推荐ＢＳＤ，有如下几方面的原因：　

中加进你自己需要的特色。　

（一）高水平的参与者　

ＪＳＰ是Ｓｕｎ公司推出的新一代网站开发语言，Ｓｕｎ公司借助自　

ＢＳＤ拥有大量非常高水平的开发者，在它的开发团队中，突　

己在Ｊａｖａ上的不凡造诣，将Ｊａｖａ从Ｊａｖａ应用程序和ＪａｖａＡｐｐｌｅｔ　

然发现某个人竟然是ＩＥＥＥ／ＡＣＭ委员的概率非常高。这些人不仅有　

之外，又有新的硕果，就是ＪｓＰ（Ｊａｖａ　Ｓｅｒｖｅｒ　Ｐａｇｅ）。ＪＳＰ可以　

相关领域的广博知识，而且也对操作系统开发和架构具有丰富的　

在Ｓｅｒｖｅｒｌｅｔ和ＪａｖａＢｅａｎ的支持下，完成功能强大的站点程序。　

经验。　

有人做过实验，对这三种语言分别做回圈性能测试及存取　

（二）良好的开发传统、严谨的开发习惯和正确的开发流程　

Ｏｒａｃｌｅ数据库测试，ＪｓＰ的数据远远好于ＰＨＰ和ＡＳＰ。从实际应　

ＢＳＤ的开发流程如下：代码冻结、集中复审、测试、修正问　

用角度出发，笔者推荐如下：　

题、交付。保证每一个ＲＥＬＥＡＳＥ都会成为最近一个阶段这一分支　

１．如果ＪＳＰ的开发人员足够或者有足够的财力购买的话，那　

上最为稳定可靠的版本，而且ＢＳＤ从不赶日期推出ＲＥＬＥＡＳＥ，如　么裁选用ＪＳＰ吧，它的速度会让你满意的，而且ＪＳＰ几乎可以执　

果一个ＲＥＬＥＡＳＥ有问题，甚至不惜把公告前已经发出的ｉｓｏ文件　

行辛所有平台，从一个平台移植到另外一个平台，ＪＳＰ和ＪａｖａＢｅａｎ　

全部销毁，或甚至将已经打过ｔａｇ的版本取消并推出另一个版本　

甚变不用重新编译，因为Ｊａｖａ字节码都是标准的与平台无关的。　

以避免混淆。　

这样你一次开发或购买，在任意的服务器上就可以任意使用。　

（三）重视安全、尊重别人的版权、高品质的代码　

２．对于一些小的应用系统，用户使用不是特别频繁的，可以　

ＢＳＤ非常重视安全，从不故意掩盖安全问题，ＢＳＤ更重视未雨　

使用ＨＩＰ与ｍｙｓｑｌ的绝佳组合，二者均可免费使用。　

绸缪的安全防范。在配置方面，目前默认安装的ＢＳＤ都不开放任　

（二）网络的安全问题主要是由网络的开放性、无边界性、　

何有安全隐患的服务端口。在代码方面，ＢＳＤ严格的代码复审机　自由性造成的，所以我们考虑校园网信息网络的安全首先应该考　

制，以及持续不断的安全改进，特别是来自ＯｐｅｎＢＳＤ的特权分离　

虑把被保护的网络由开放的、无边界的网络环境中独立出来，成　

一

８９一　

计算机光盘软件与应用　

工程技术　

Ｃｏｍｐｕｔｅｒ　ＣＤ　Ｓｏｆｔｗａｒｅ　ａｎｄ　Ａｐｐｌｉｃａｔｉｏｎｓ　２０１０年第５期　

为可管理、可控制的安全的内部网络。最基本的分隔手段就是防　协议都是明文传输密码的，是个安全隐患，ｔｅｌｎｅｔ建议换成ｓｓｈ，　

火墙。利用防火墙可以实现内部网（信任网络）与外部不可信任　ｆｔｐ服务器建议更换为支持ｓｓｌ的。密码要是安全的便于记忆的　

网络（如因特网）之间或是内部网不同网络安全域的隔离与访问　

密码，别人无法通过猜测或使用自动程序确定的密码。　

控制，保证网络系统及网络服务的可用性。此时就要提一下ＤＭＺ　四、硬件的可靠性　

了，ＤＭＺ是ｄｅｍｉ１ｉｔａｒｉｚｅｄ　ｚｏｎｅ（非军事缓冲区）的缩写，它主　要保证服务的持久可用，除了上述软件方面的因素，服务器　

要的功能就是控制内、外网络对该区的服务器的访问，为他们设　

本身的硬件环境也要考虑到，笔者有如下建议：　

置不同的规则。　

（一）重要服务一定要架设在专业服务器上　

笔者推荐这样的方案：建两个ＤＭＺ，其中一个设置在外部，　实际工作中，有些临时性的服务器就是用的ｐｃ机，而这些机　

在这个ＤＭＺ区内的服务器通常需要和外网进行一些资源共享，像　器由于其自身设计的就不是为了２４小时运转的，长时间运行下　

ｗｗｗ、匿名ＦＴＰ等会随时为外网访问用户开放的服务器。再将其它　

来，硬件损坏的几率大增，因此，重要的、长期的服务一定要架　

的一些给内部网用户提供服务的服务器单独建立一个ＤＭＺ区，这　设在专业的服务器上。　

个ＤＭＺ和前一个都是独立的，互不干扰，不过都处于防火墙之后，　

（二）备足ＵＰＳ电源　

这样可以做到服务和安全两不误。　偶尔的停电是在所难免的，如果不准备ＵＰＳ，那么服务将中　

（三）除了防火墙之外，还有一些系统也是需要的，比如入　断，而如今越来越多的工作要依靠网络，比如办公系统、多媒体　

侵检测系统、安全审计系统、ＶＰＮ，这些系统都会帮助你将服务器　授课系统，因此要根据服务器、核心交换等的用电量各足ＵＰＳ电　

的安全做得更好，这些系统可根据自己学校实际情况加以采购、　

源。　

架设。　（三）存储、数据中心　

三、信息传输的安全　

受硬盘ｉｈ身平均无故障时间ＭＴＢＦ所限，对于重要的资料要注　

前面我们提到的方法只是保证不让非授权用户攻破服务器，　意备份，而建立一个数据中心就是必不可少的选择，依靠冗余机　

而要保证服务器的安全，我们还需要保护授权用户与服务器之间　制，一套存储系统可免除我们对硬盘损坏的担心。　

的交流信息，保证任意一条命令均出自授权用户，不是他人伪造　

（四）物理安全　

的，主要的解决方法就是加密。　

防火、防水、防盗也是很重要的一环，定期的检查，安排值班人　

在实际管理工作中，ｔｅｌｎｅｔ、ｆｔｐ用的比较多，但是这两个　员，基本上可以避免这种情况的出现。　

（上接第６５页）　

记录模块可记录全部事件的时间、日期、原因、区域号、探　器和线路的工作状态及位置，由用户对各分机及所带探头的编号　

测器号。全部记录文件是可检索的。系统和数据显示模块以图形　

重新定义。报警模块是报警信号启动，一旦发生火警，分机和主　

显示方式分别给出用户名、时间装订、系统区域分机和探测器分　

机分别显示和打印出报警区域、探测器编号、报警时间，并调用　

布及区域实际情况。通讯模块可定时和键盘命令巡检各分机探测　

文件记录模块等。而报警模块的具体数据流程图如下：　

图４－２模块数据流程图　

结语　

手段。　

计算机网络是通信技术和计算机信息技术相结合的产物，是　参考文献：　

人类最伟大的发明之一。计算机网络技术可以将不同地区的信息　【１】吴功宜．计算机网络．清华大学出版社，２００７，３　

交换、共享，计算机网络不仅可以应用于人工智能、卫星通信等　

￣］ＧＢ５０１１６－９８火灾自动报警系统设计规范．国家质量技术监督局　

科学领域，还可以应用在火灾报警系统等重要领域。通过计算机　中华人民共和国建设部联合发布，１９９８．１２．０７　

网络不仅可以加大消防意识的宣传，促进各种信息社会化的有效　

—

９Ｏ一