校园网服务器的配置及安全防护

朱克华

随着高校信息化进程的推进，高校校园网上运行的应用系统越来越多，信息系统变得越来越庞大和复杂。从结构上分，校园网总体上分为校园内网和校园外网。校园内网主要包括：教学局域网、图书馆局域网、办公自动化局域网等。校园外网主要指学校提供对外服务的服务器群、与Internet的接入以及远程移动办公用户的接入。因此，安全风险的防御问题也就变得较为严重和复杂。

一、安全问题来源分析

1病毒入侵严重目前，网络病毒层出不穷，传播速度快、破坏性强、传播范围广，时刻威胁着校园网的安全。大量病毒以电子邮件、网络共享、网页浏览、即时通信或主动扫描等方式，感染校园网的服务器和客户机，导致网络的“拒绝服务”，严重时会造成网络瘫痪。

2网络的先天性不足校园网络一般基于Internet技术构建，并与Internet相连。Internet的互联性和开放性给社会带来极大效益的同时．入侵者也得到了更多的机会。因为Internet本身缺乏相应的安全机制，不对机密信息和敏感信息提供保护。Web的精华是交互性，这也正是它的致命弱点。

二、配置安全服务器

目前很多校园网服务器安装的是Windows 2000 Server操作系统，该系统稳定性较强但安全性并不是很好，配置不当很容易因遭受攻击而瘫痪。

1端口

端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直接影响主机的安全。一般来说，仅打开必需的端口是最明智的安全做法，配置方法是在“网卡属性→TCP／IP协议→高级→选项、→TCP／IP筛选”中启用“TCP／IP筛选”。

2IIS

IIS是微软组件中迄今为止发现漏洞最多的一个，特别是它的默认安装、此处应重点进行配置；其一、彻底删除系统盘(一般是C盘)的Inetpub目录、到其他盘新建一个目录、而且起名最好不是Inetpub。

其二，删除IIS安装时默认的Scripts等虚拟目录、它们很容易暴露出本地网页物理路径。需要什么权限的目录就自己建立一个。权限也一定要注意，特别是写权限和执行程序的权限。

其三，在IIs管理器中删除必须之外的任何无用映射，必须指出的是ASP、ASA：和其他需用到的文件类型％在IIS管理器中右击“主机一属性一www服务编辑一主目录一配置一应用程序映射”，接着开始单独删除即可。

3账号安全

Windows 2000 Server默认安装后允许任何用户通过139端口的空连接得到系统所有账号名称及共享列表。本来这是为方便校园局域网用户共享文件设计的，但远程用户同样也能得到这些敏感信息，从而使暴力破解用户密码成为可能。

打开注册表编辑器，在“开始一运行”中填入“Regedit”并确定，找到Hkey_Local Machines＼Svstem＼CnrrentControlSet＼Control＼LSA RestrictAnonymous、令其值为“1”，这样即可禁止139端口的空连接访问。

三、管理员的安全意识

网络安全涉及网络系统本身的复杂性、管理员和用户的安全意识等因素，除网络管理员和用户应具备足够的网络知识外，还要有较好的管理模式。

1管理模式从网络管理角度来看，在网络管理中应实施“A-C-S角色管理模型”，即A：Administrator系统管理员，负责承担日常的例行维护，他是管理计算机系统的主要人员；C：Configuation Manager配置管理员，负责进行计算机设备的资产管理、网络参数(如网络地址子网掩码)的分配和登记；S：SecurityConsultant,安全管理员，负责评估和审核计算机系统的安全状况，关注网络安全动态，调整相关安全设置，进行入侵防范，发出安全公告，紧急修复系统。

2口令安全策略大多数黑客入侵，就是通过各种途径取得管理员口令，因此．校园网管理员的口令安全策略显得尤其重要。管理员口令安全策略主要有：

(1)不要使用比较容易猜的口令，最好使用字符和数字的混合口令。

(2)定期更换管理员口令。

(3)设置系统安全策略，限制用户错误口令登录次数，防止用户枚举性地试探猜测管理员口令。

四、结束语：

教育信息化，校园网的建设是基础，而网络信息安全是保障。安全防范不仅要在技术上采取安全措施，更重要是在管理上加强安全措施。