【高校网络安全问题与应对策略11000字（论文）】

高校网络安全问题与应对策略目录TOC\o"1-2"\h\u14588引言 II摘要：随着网络的普及和发展，大学校园网作为校园重要的信息化和数字化基础设施，服务于学校教学、科研、管理、对外交流等方面的重要项目，为办学提供了良好的保障。大学校园网现已加入所有大学部门，成为所有大学校园的基础设备。学校需要越来越多的可操作性和网络安全性，因此构建合理的网络安全性体系尤为重要。本文首先阐述了高校校园网安全的背景、意义和计算机网络的发展趋势；其次分析了高校校园网络的安全形势以及校园网网络在实际应用中存在安全问题，并探讨和改进了目前存在的部分问题。最后，针对存在的问题提出了设置白名单机制、最小权限法则、纵深防御等安全原则，采取相应的措施改进校园网网络存在的问题，有利于维护校园网的安全。关键词：网络技术；校园网；网络管理；网络安全；安全策略引言网络的快速普及和发展也加快了信息的传播速度和校园的数字化进程，作为大学网络信息化和数字化的基础设施，提供学校教育管理、科研和外汇业务方面的项目。如今，大学校园网络已在各院系普及，大学校园网络已成为校园发展的基础设施，在网络安全方面应该加大重视的力度，而对该方面的重视集中表现在网络安全和可管理上。从现如今的的网络攻击和威胁来看，如果只依靠单一的网络设备或简单的安全技术是无法保证高校校园网的安全。随着网络安全技术的吧进步和发展，校园网内部的情况也会变得复杂，由此，对于校园网安全体系的建设和规划，要从整体安全状况出发，层层建设，从核心到终端的综合部署，从而减少整个高校校园网的安全威胁，给校园网用户提供有力保障。网络空间安全行业作为国家支持和发展的高新技术产业和战略性产业之一，由国家政策大力扶持。自2016年以来，我国政府颁布了《网络安全法》等重要法规并制定了《“十三五”国家信息化规划》《软件和信息技术服务业发展规划(2016-2020)年》《信息通信网络与信息安全规划(2016-2020)年》等政策规划，从政策、制度以及法规等多个方面促进国内网络安全行业的发展，对政府、企业等网络安全有了更高的要求。随着我国《网络安全法》的颁布实施和相关规划的持续推进，相关政策也为安全行业的发展提供了新的机遇和更有力的支持。国家政策从两个大的方面推动了我国网络安全产业的发展，一方面，对网络安全的重视程度要加强，网络安全产品的应用规模需要提高；另一方面，从硬件设备等基础设施上杜绝和消除网络信息安全隐患。确保大学校园网络将改善学习环境和学术交流，并影响大学的未来和发展。学校网络的发展不仅可以保证现有学校资源的安全和完善，还可以改善网络的工作环境，提高网络的管理和维护能力，增加网络的可靠性。这就是为什么大学网络的安全性非常重要的原因。一、高校校园网络安全问题概述（一）网络技术与网络安全概念1.网络的功能在互联网信息技术的推动下，人类社会科学技术发展迅速，人们的生活、教学和工作都发生了变化。如今，大多数学校都使用网络技术，因此教育不仅限于课堂，许多学校都有在线课程，并且可以在所有专业中完成高质量的在线课程，而不仅仅是在某些学校的网站上进行学习，自己感兴趣的课程也可以研究学习。同时，高校教师也在不断探索新的教学方法，不仅将教学任务融入教学，更便于网络分享教学信息，这对教学质量大有裨益。2.网络安全的内涵所谓网络安全，就是为了保护计算机网络系统的软硬件免受外部因素的影响，防止数据损坏和被盗，使所有网络系统都是安全的和健康的。信息安全就是保护信息的完整性、机密性和可用性。网络安全性的含义非常广泛，不仅限于计算机技术和网络系统的集成，还涵盖了以下领域：信息和通信、数学和保密工程领域。3.常用网络安全技术（1）防火墙防火墙是一个保护屏障，由软件和硬件的组合组成，建立在内联网和外网之间的接口上，以及私人网络和公共网络之间。网络防火墙是一种网络安全系统，它监控并依据预定义的规则控制进入和外发的网络流量。防火墙系统尤其包括服务访问、身份验证工具、数据包过滤器和应用程序奴役的规则。防火墙是计算机上连接到网络的软件或硬件。进出这台计算机的所有网络流量和数据包都通过此防火墙。至于硬件防火墙，有许多来自国内外制造商的防火墙产品值得使用。例如：以华为防火墙产品USG6325E-AC来看，作为下一代防火墙的的代表之一，第一时间获取新威胁信息、准确检测并防御针对漏洞的攻击等重要的功能。软件防火墙的产品也是非常多的，这些软件防火墙针对不同的攻击方式启用相关的防范措施。比如下面一款叫做火绒剑的网络监控软件，如图1所示。通过时时监控与网络连接的进程以及跟踪敏感进程的网络流量信息。达到对涉及到主机的提权、敏感文件的防护功能。图1火绒剑网络监控软件（2）VPNVPN（VirtualPrivateNetwork，虚拟专用网络）是架设在共享的互联网基础设施上，在非受信任的网络上建立私有的和安全的连接，把分布在不同地域的信息基础设施、办公场所、用户或商业伙伴互联起来。VPN是扩展网络不可分割的一部分，它确保了网络的安全，同时扩展了网络的要素。（3）入侵检测根据部署的位置，入侵检测系统大致可以分为网络入侵检测和主机入侵检测。网络入侵检测系统安装在网络边界，提供整个网络的入侵检测功能和服务，分析网络流量，识别入侵。主机入侵检测系统独立安装在每台主机上，提供入侵检测功能和服务，通过解析文件特征、网络流量和连接活动、进程行为、日志字符串匹配等，判断是否发生扫描器扫描或入侵。在系统发生故障的情况下，冗余设备会介入并负责有缺陷的设备的工作。尽管安全技术和措施可以减少网络攻击并保护系统的大部分漏洞，但如果没有过度的系统设计或安全性，任何技术或措施都无法阻止或阻止已知或未知的威胁或可能的攻击，系统安全也得不到保证。正常的工作设备保证了系统的可靠性和稳定性，使网络管理员能够创建网络保护系统以节省时间，这一点很重要。（二）高校校园网络概述1.校园网的用途大学校园网络可为教师、学生和其他教职员工提供全校范围内的宽带多媒体网络服务。大学校园网络是一个具有信息交换、信息共享等特点的局域网，非常特殊且专业。大学校园网络是连接多媒体学习的信息平台、教师研究平台和校园服务平台，校园网络也是一个大型的本地网络，由多个小型本地网络通过无线或有线连接，这个小型内部本地网络可以是大学、专业或院系。为了方便大学管理和服务人员的工作，大学网络应该有综合的教学、行政和管理工作，以便更好地进行教学管理、资产管理、后勤管理等。因此，大学校园网络应该有更好的互联网带宽和较强的专业性、交互性。2.高校校园网的设计及原则我们将按照以下原则设计大学的网络安全体系，提供较为全面、系统的网络安全解决方案：（1）体系化设计原则在分析网络层次结构和安全需求的基础上，提出了科学的安全体系和模型。根据安全模型和原则，分析了高校网络中可能存在的安全威胁。提出全面的网络安全措施，以此将未来可能发生的安全方面的问题解决。（2）全局性、均衡性原则为了平衡信息资产的价值和安全风险，根据资产价值的风险准则，采用由高到低的预防方案，使最终的解决方案产生最佳效果。（3）可行性、可靠性原则更新后的网络安全政策应用后，不影响原高校网络和应用系统。在网络和应用系统正常运行的情况下，网络安全强度非常好和数据资产的安全性。3.高校校园网特殊的安全性校园网络安全的主要目的是在大学网络中实施各种组织措施，特别是提供网络安全服务。因此，校园网络必须实现以下安全目标：校园的可访问性和完整性；大学校园网络物理设备的可靠性和完整性；学校网络数据和信息的机密性和完整性；大学网络系统运行的完整性；网络操作系统的完整性，以校园的角度出发，对校园网络进行可控管理。（三）高校校园网安全的需求分析大学校园网络的发展不仅搭建了硬件平台，还为应用系统搭建了软件平台，大学网络的主要作用是服务，所有师生都是大学网络的用户。为适应现代校园的教学需求，实现教学现代化需求，利用计算机信息系统实施教育现代化，提高教育的整体水平，精简日常学校管理，提高管理方面的效率，强化各个学校之间的资源共享，并通过计算机网络加强学校和家长之间的沟通交流。为此，校园网应实现以下目标：1.教育管理需要网络化来完成高校教育管理信息的采集、预处理、处理、统计和分析。它还提高了学校各部门办公室的自动化程度，并简化了学校的管理，提高了效率，收集和维护行政、人力资源、财务、薪酬、教育管理、学生、后勤等高校数据的各种数据，并根据用户需求授权查询和维护。2.它充分发挥高校校园网络化的作用，涉及多媒体网络的制作，完成教师信息和多媒体备课。3.校园需要建立内部电子邮件服务，以方便访问大学网络和互联网。接入中国教研网和互联网进行实时数据交换、信息共享。（四）校园网环境下网络安全问题分析随着高校的快速发展，高校纷纷提出“建设数字校园”的口号。作为大学网络的重要组成部分和基础平台，我们构建了一个完整、先进、高效的大学网络。每个计算机室都可以与互联网相连接，多媒体室的一部分可以根据教师的需要连接到互联网。在一门课程结束后，可以通过学校的无线和无线网络，对其进行申请和学习，从而将工作和学习效率提高。学校可以请求教育网络和域名的路径，并在网络中心的云计算机上创建虚拟服务。虚拟化服务中心可以提高服务器性能，提高容错能力，将数据速度提高到万兆，连接基础设备，提高数据响应能力。网络拓扑如图2所示。图2网络拓扑图整个校园网络构成了核心、融合和分布式访问设计，多链路灾难恢复设计，大型融合和分区模块化网络设计，灵活简单的管理策略；可以拓展网络灵活性，并且还强调性能和应用程序；最后，基本设备设计有许多链路分区模块化，并实现了分区管理。分区管理的引入使得网络管理能够统一控制，对网络策略的设计可以定制化。由于分区域，可以引导用户的网络并分担用户的数据负载。这些网设备为现有IPv4网络之间的通信以及IPv4与IPv6之间的转换提供了最便捷、最灵活的支持和保障。二、高校校园网安全现状分析随着计算机网络的发展，高校建立了管理学生信息的大学校园网络，使学生更容易管理，同时，也为教师建立了一个教学的交流平台，一方面，大学网络有很多优势，另一方面，大学网络是开放的，来自大学网络的数据越来越重要，很容易改变或窃取，对学校造成或多或少的损害。在网络上，病毒不仅是互联网的唯一敌人，从安全的角度来看，它还有间谍插件、广告植入物和一些网络钓鱼软件等同伙，他们一起对互联网攻击，间谍插件对互联网的伤害最大，是影响网络安全的主要力量。经过文献综述总结了校园网现存以下主要安全问题。（一）硬件方面1.硬件设备自身存在漏洞在建设大学网络时，由于大学网络管理的建设设计不重视或存在困难，呈现出各种形式，使大学网络物理层的数据传输不顺畅；此外，资金方面的严重缺少，使校园网的硬件安全性也会受到影响，网络设备的冗余设计成为高校校园网设计者考虑的一个问题，影响了高校校园网正常工作的稳定性和可行性。服务器机房管理系统相对薄弱，容易遭受黑客攻击。系统的设计过程非常复杂，经常会有大量的监控，会有各种各样的认证和服务限制。在此过程中，整个网络抵抗外部攻击的能力非常弱，因此经常被一些动机不纯者用来攻击计算机系统。2.星型结构的冗余设计和相关设备的逻辑缺陷现阶段校园网络结构主要采用星型结构，如图3所示。如果中心交换机出现故障，没有适当的冗余设计，整个大学网络就会瘫痪。由于校园网络环境的物理因素（如温度、湿度、机房监控等），以及人工使用，都会造成设备损坏和安全问题，因此校园网络的物理设备的安全性是不容忽视的。在高校校园网络安全领域有一种误解，那就是“我使用了主流的基础设备，例如网站服务器、数据库服务器、缓存服务器，因此再不需要额外的防护应用了。”我们把主流的网络安全设备在设计和实现时放在重要的位置，但健壮的验证机制和安全控制措施是必不可少的，这些设备中的漏洞反而会成为明显的攻击点，黑客通过设备漏洞完全控制高校的物理设备。2017年5月中旬，中国大陆部分高校发现电脑被攻击，文档被加密，高校校园网用户首当其冲，受害严重，大量实验数据和毕业设计被锁定加密，这是著名的“永恒之蓝”。事实上早在2017年3月，微软官方已经放出针对这一漏洞的补丁。这个事件告诉我们要密切关注基础设备的安全，及时修复设备中存在的安全漏洞。图3典型的星型结构3.高校校园网络异常信息的植入和信息泄露高校校园网络异常信息的植入大多为注入漏洞和跨站脚本漏洞。注入漏洞的产生是因为进行了未授权的数据访问或应用程序未对输入的数据进行严格验证而导致执行了预期之外的程序。任何数据源都可能是一种注入的载体，可能导致未经授权的各方修改、删除或泄漏数据，也可能导致拒绝不需要的服务。网站之间的脚本攻击，当用户提交的数据不可避免或没有过滤规则允许恶意黑客在网页上显示恶意代码并且安装的代码在其他用户在场的情况下运行时，就会存在漏洞。信息泄露是指与应用程序交互时，利用应用程序的反常行为提取出有价值的信息。这一般有以下场景：一是用户读取到了应用程序未封装的出错信息，泄露了应用程序版本和配置信息以及调用的第三方接口等；二是因为操作不规范或配置不合理导致源代码、应用程序配置文件可以被直接下载。例如，把Web可访问目录中的config.php复制成config.php.bak，而导致可直接下载config.php.bak；三是核心数据未使用强散列算法存储或强加密，从而导致被恶意读取后利用。例如，在高校校园网络日志或者数据库中用明文记录老师和学生完整的身份证号码、电话号码和密码原文等，都是极其可能带来的信息泄露的问题。（二）软件方面1.非正版软件的使用非正版版软件在高校计算机实验室、教师、学生私人电脑尤其泛滥，因此非正版软件也成为众多木马和病毒的载体，而安装了这些载有恶意代码的非正版软件后，可能会直接突破网络边界上的安全控制，直接影响到服务器和数据的安全。对于服务器管理和操作系统来说，使用非正版软件的风险尤其严重。2.钓鱼邮件攻击高校校园网络常见被攻击的方式还有钓鱼邮件，通过社会工程方式发送的钓鱼邮件是黑客组织最常用的攻击手段。这种以钓鱼邮件为载体的攻击方式又被称为“鱼叉攻击”。社会工程攻击手法的逐渐成熟，电子邮件几乎很难辨别真假。从一些受到网络威胁攻击的高校可以发现，这些高校受到威胁的关键因素都与老师或者学生遭遇的社会工程的恶意邮件相关。攻击者刚一开始，就是针对特定老师和学生发送钓鱼邮件，以此作为攻击的源头。例如OceanLotus（海莲花）组织所使用的60%左右的攻击都是将木马程序作为电子邮件的附件发送给特定的攻击目标，并诱使目标打开附件。在一个典型的钓鱼邮件攻击中，攻击者可以通过一封看似正常但却极具伪装性和迷惑性标题和附件的邮件就可以让服务器失陷。因此，我们要培养老师和学生的网络安全意识，在不知道邮件的来源或者和工作无关的邮件，不要随便打开，尤其是不要被具有诱惑性的标题所迷惑。此外，在日常工作中发现钓鱼邮件时，要及时告知网络安全管理人员进行调查。3.密码安全性不高大量的高校校园网络安全事件表明，弱密码问题是导致众多校园网络安全事件的罪魁祸首。很多时候，黑客入侵并不需要高超的技术能力，他们仅仅从弱密码这个入口突破就可以攻破校园网以及企业的整个信息基础设施。因此，高校及企业应该特别注意弱密码的问题。（三）管理方面高校建立互联网后，管理工作少了很多，但目前的安全状况远不如其他方面。高校一般都有一定数量的校园网管理的维护人员，但他们的大部分职责是检查计算机的日常运行情况，当互联网系统在检查维护方面出现问题时，在专门负责互联网安全的人员往往不足的情况下，校园网安全问题就会暴露。1.专业人员缺乏目前，我国许多高校在配备网络安全管理人员的同时，往往缺乏对网络安全维护的良好掌握。因此，高校负责网络监控的人员缺乏安全管理技能，当黑客攻击大学网络时，他们往往未能及时采取适当的防御措施。2.相关人员保密性差关于在互联网上设置的密码，不能向公众披露的信息不得严格保密，不得向他人任意披露，专用文件的透明度等问题，是互联网监管机构自身的问题。作为一名网络管理员，他没有积极的工作情绪，对任意破坏与互联网有关的设备也不太认真。目前，我国校园网建设的重点是校园网管理服务和学校信息化建设，没有专门的系统来保护网络的安全性。3.工作人员安全意识弱网络工作人员的技术知识并不好，尤其是对重要的机密文件，有时无法将准确的信息发送给需要的人，而是发送给其他人，这势必会降低文件的机密性。日常数据管理中，需要对各类信息进行分类存储，但实际上对重要文件和普通文件往往没有明确的区别，它们放在一个磁盘上，或者在计算机的每个磁盘上按顺序分发，从而损害了重要文件的机密性，没有任何好处。（四）校园网使用者不安全因素目前，大学生是校园网的主要用户。学生对互联网安全的意识通常很低。只有计算机相关专业的学生才能拥有一些互联网安全性意识，其他专业学生对网络的安全毫不在意。他认为，大学有受过专业培训的技术人员，他们应该负责维护大学网络的安全，而不是他们自己的责任，因此这是大学网络的不确定性问题。大多数学生将大学网络视为训练场，学生的好奇心使他们能够将大学网络形象化，并探索轻松访问所需资源的好处，而无需任何管辖权。校园网系统本身容易受到攻击，校园网监控人员应对外部攻击时，不能以任何方式改变、灵活采取的措施，不能有效遏制攻击，甚至无法及时发现互联网威胁，导致网络安全性低下的恶性循环。其次，必须尊重相关的安全法律法规，学校在对网络安全上的宣传是不够的，我国也有关于互联网使用的规则和法律，学校通常不会告知学生这个问题，也没有制定规章制度。规章制度应明确网络安全问题需要考虑的事项，对破坏安全的学生的处罚，除法律法规外，学生还应具有一定的特点，请勿浏览互联网不健康的网站，请勿滥用校园网资源，请勿散布不健康的信息。三、高校网络校园网网络安全问题对策在建设高校校园网络的设计方案中，为解决校园网络中将会遇到的网络安全问题，采取合理规划VLAN、NAT技术与VPN结合、使用防火墙技术、纵深防御、最小权限法则、白名单机制以此来保证高校校园网络的稳定、安全的运作。（一）部署安全策略1.合理划分VLAN核心聚集层模块是大学网络的基础设备，核心层功能保证了大学网络的速度和连续传输。有了核心设备的基本保护，就可以在不影响系统运行的情况下激活安全计划。汇聚层具有可靠性、高性能和冗余性的特点，由于网络的特性，原设计中的汇聚层应该在一定程度上减少接入层中不必要的连接，从而可以扩展核心层，双层网络实现校园骨干相关的安全性和可靠性，在汇聚层上进行端口和双机备份的重新定位设计，实现了核心层的稳定性，保证大学网络的正常运行。此外，终端的访问控制解决方案将采用核心汇聚层模块部署来实现。VLAN划分的目的是限制广播域，防止病毒和木马在校园校园网中传播，同时根据校园网的实际情况，适合加强管理和组织，制定方案以及实施。VLAN划分的方案，说明如下：大学网络有实时交互性的特点，学生每天通过大学网络发送大量信息，所以根据学生主系的分布特点，将VLAN划分为不同的系，相同的系划分为一个VLAN组件，将VLAN划分的更加具体；出于安全考虑，办公室和宿舍可能被划分为单独的VLAN，学生无法访问教师，以确保教师终端的科研资料和数据的安全；为方便教学实验，可将VLAN划分到每个教室，将各楼层功能相同的教室划分为一个VLAN；为方便网络管理，可以通过楼栋来划分VLAN，然后由各个部门的不同功能划分VLAN。由于新生入学和毕业生离校的情况，人员变动频繁，人员流动性大，VLAN划分困难，所以即使在大学中学生人数和班级发生变化，也只有管理员必须通过端口重新分配已配置的VLAN，以便易于配置和监视。将访问控制与VLAN空间规划结合使用，会限制VLAN之间的数据流量。例如，禁用财务访问、禁用在不同服务的VLAN通信以及设置ACL对以防止病毒通过某些端口传播。2.NAT技术与VPN结合网络边界模块位于校内网与校外网的交汇处，如图4所示。其目的是将边界的各个部件互连起来，保证教育网络的主动接入和电子通信的接入，网络、远程访问、网络托管等。由于大学网络连接快速且容易，它们还提供了一个网络入侵通道，需要网络安全模块，这些模块不仅提供与高风险外部网络的连接，还需要校园网内部网络的安全性。图4网络边界安全模块因此对网络边界板块做以下安全部署：使用NAT技术设置访问路由隐藏校园内网IP地址。安装网络防火墙，保护内外网，防止外网破坏内网重要数据。使用ACL访问控制来防止对外部网络的非法和未经授权的访问，并防止对内部网络的非法外部连接。架设Nginx反向代理服务器，在防火墙和服务器之间架设Nginx反向代理服务器，解决外网访问慢的问题，保证对服务器的保护。引入入侵防御和防火墙，作为防病毒和防火墙软件的强大补充。通过实施网络流量管理策略，实施流量分析和监控措施，包括高校网络上因被破解软件和P2P软件误用而导致的校园安全问题，可控软件可以管理高校内的第三方软件。设置网络边界安全板块，可以有效防范非法越权访问、仿冒ARP、文件上传、DDOS攻击等网络威胁。3.使用防火墙技术服务器的安全保障了最终用户和设备提供应用程序服务，并在此基础上架设终端控制对服务器方案的访问。校园网络服务区管理单元一般分为外部服务器区和内部服务器区两个区域，外部服务器区为外部用户提供访问大学网络的服务，虽然有一定的局限性，但内部与大学网络的通信存在局限性，服务器外部区域仍然是风险高发区域；服务器的内部区域主要供内部用户使用，由于该领域的应用系统和服务的数量以及安全级别的不同，内部服务器必须相互隔离，以防止服务在故障后作为跳板攻击另一台内部服务器。因此，本模块定义了安全中心（内部）、隔离区（内部）和DMZ（隔离区）。设置三个接口防火墙隔离区，每个防火墙接口分别连接解决方案区和隔离区，三个接口分别连接内网、外网和隔离区以及各隔离区之间的防火墙。网络服务器设置在隔离区域，方便外部用户访问校园，攻击者也会在校园内开火。在防火墙和隔离区之间安装入侵检测系统或Web应用程序防火墙，以方便收集攻击者的信息。网络管理员可以根据当前的位置信息重置安全策略，Web应用防火墙可以主动防御各种针对Web的网络攻击，例如“阻止”行为，并在这些攻击到达服务器之前将其阻止。这确保了Web服务器的安全性并减少了威胁。由于内部隔离区与安全中心之间的安全级别不一样，安全中心的防盗系统正在引入，对加强有效保护提出了更高的要求；隔离区只能设置入侵检测系统，收集入侵检测攻击信息。（二）操作系统安全策略在校园网的日常工作中，我们首先要认识到只有保障了操作系统安全，才能保障依赖于其他提供服务的信息安全。信息安全是有生命周期的。从其生产、收集、处理、传输、分析到销毁或者存档，每个阶段都有可能有大量的设备、平台、应用介入。而为这些设备、平台、应用提供底层支持的，往往有大量的操作系统，其为信息的整个生命周期提供源源不断的动力支撑。如果一个操作系统上没有储存任何有价值的信息，不生产或者传输有价值的信息，不处理和分析有价值的信息，那么这个系统也就失去了价值。1.最小权限和权限分离原则最小权限原则是指恰好给予对使用操作系统的人员、系统、程序最小的仅仅能够完成任务的权限。最小权限和权限分离原则在等保测评和安全运维的工作中经常用到，高校校园网在管理和维护时建议使用此安全策略。（1）程序在Chroot环境下运行程序执行在经过Chroot后，此时程序所能读写的目录和文件在一个新的位置而不是原来的位置。（2）访问数据库的控制在进行数据库的访问时，比如一般情况下，针对高校教务系统MySQL数据库的访问，只给予SELECT权限而不是ALL的权限。（3）运行应用程序时使用普通用户权限使用普通用户权限可以有效减少程序漏洞带来的威胁。（4）校园服务器网络访问权限控制在建设校园网时，大多数后端服务器不需要被外界访问，就无需公网IP,比如内网API服务器。2.设置白名单原则白名单原则和黑名单原则恰恰相反，白名单原则能阻止未预期的威胁。黑名单原则则是明确什么是不被允许的，而其他所有情况是允许的。黑名单原则的缺陷很明显，单一使用黑名单原则在大多数情况下，无法阻止所有可能的威胁。比如在设置校园网防火墙规则时，白名单原则就显得更加有效，相对最优的规则是拒绝其他所有连接。白名单原则可以防御校园网0Day漏洞和有针对性攻击击，在默认的情况下，任何未经授权的软件工具和进程都不能在操作系统上运行。当启用了白名单后有恶意进程在运行时，白名单原则可以确定这是不可信的进程，并拒绝其运行。3.纵深防御原则纵深防御原则是指应用安全、主机安全、网络安全、物理安全多层安全机制下的安全防护。在给校园网提供了冗余的安全机制后，一种安全防御失效后或者被打穿后，可以运用其他的安全机制来降低风险。比如主机安全层面，我们在校园内网和外网之间部署蜜罐以及防病毒网关，及时更新安全策略和蜜罐告警可以确保校园内部网络安全，还可以校园网主机安全上添加多因子认证技术，通常利用两种及两种以上的规则对用户进行验证，以此来提高校园网的安全性。四、总结计算机技术的安全性是影响