（三）運用VLAN（虛擬局域網）技術。高校校園網的規模通常都很大，網上的廣播信息會很多，特別是學生之間的網絡交流非常頻繁，大量的信息很容易形成廣播風暴，引起網絡堵塞。可以通過劃分很多虛擬局域網來減少整個網絡範圍內廣播包的傳輸，把廣播限製在各個虛擬網的範圍內，從而提高網絡的傳輸效率。另外，VLAN根據不同的應用業務及不同的安全級別，將網絡分段並進行隔離，實現相互間的訪問控製，這樣可以限製用戶的非法訪問，將損失降到最低點。

（四）客戶賬號與IP地址、端口進行綁定。現在很多高校學生宿舍都設置了上網功能，學生使用校園網的頻率越發頻繁，同一宿舍的端口被學生分線為多個端口，當一台機器發生問題，其他同端口的機器也有影響，不利於網絡管理，因此，應當將客戶賬號與IP地址、端口進行綁定。這可以極大地提高客戶行為的唯一性，有效防止IP地址和客戶賬號盜用現象的發生。對賬號登錄次數進行限定，避免多人次使用同一賬號上網的現象。係統提供內、外網NAT（地址轉換）功能，避免內網IP地址的暴露，可以降低遭受網絡攻擊的可能性。

（五）運用過濾平台和防火牆技術。大學生思想活躍，能夠敏銳地捕捉各類信息，但也缺乏屏蔽不良信息的能力。作為校園網管理者，應當引進過濾技術，幫助學生屏蔽不良網站的幹擾，對網上色情、暴力和其他不健康的內容進行過濾、堵截。如，設置電子公告服務內容的過濾係統和郵件過濾係統。防火牆技術包含動態的過濾包、應用代理服務器、用戶認證、網絡地址轉換、預警模塊、日誌及計費分析等功能，可以有效地將內部網與外部網隔離開，保護校園網絡不被未授權的第三方入侵。

三、其他安全配套機製

要建立一個真正安全的網絡環境，還要加強以下幾方麵的工作，以便多層次地保障係統的安全性能。

（一）設置病毒防治係統。服務器應當安裝計算機病毒防治係統，以防止病毒入侵並對已經入侵的病毒及時進行檢測和清除。該病毒防治係統，還應該具備實時更新功能，將抵禦病毒侵入的正能量提到最高值，以應對突發的、更加趨於複雜的、隱蔽的病毒攻擊。

（二）郵件過濾係統。自身具備郵件係統的網站必須建立郵件過濾係統，它具備反惡意攻擊、反垃圾郵件、郵件病毒過濾、郵件內容過濾四項基本功能，以對不同性質的非法郵件和可疑郵件作分別處理，防止惡意使用者利用服務器大量轉發不良郵件。這些功能可以為學生營造健康有序的網絡空間和環境。

（三）網絡入侵檢測係統。入侵檢測技術是為保證計算機係統的安全而設計配置的一種能夠及時發現並報告係統中未授權或異常現象的技術，是一種用於檢測計算機網絡中違反安全策略行為的技術。在入侵檢測係統中，利用審計記錄、入侵檢測係統能夠識別出任何不希望發生的活動，從而達到保護係統安全的目的。網絡入侵檢測係統能對網絡或操作係統上的可疑行為做出策略反應，及時切斷資料入侵源，並通過各種途徑通知網絡管理員，最大限度地保障係統安全。同時，要求網絡入侵檢測係統本身應當具有一定的抗攻擊能力。

（四）漏洞掃描係統的設計。解決網絡安全問題，首先要弄清網絡中存在哪些安全隱患、漏洞。漏洞掃描係統根據大型網絡的複雜性及其變化規律，查找網絡安全漏洞，評估並提出修改建議，利用優化係統配置和補丁等方式彌補最新的安全漏洞，消除安全隱患。

此外，還需對服務器係統做到有限授權、預防攻擊、主機恢複、審計跟蹤等安全措施。如采用服務器備份機製，采用災難恢複機製來確保係統被破壞後能及時地進行恢複，保證不影響正常的教學秩序。災難恢複機製中最為重要的當屬備份機製。

網絡安全防範技術不斷進步的同時，威脅網絡安全的計算機病毒技術、黑客技術、木馬技術等也在不斷地發展變化。因此，應該意識到在校園網絡的建設實踐中，追求百分之百的網絡安全是不可能的，綜合運用多種網絡安全技術構建一個相對安全可靠、先進實用的校園網才是明智之舉。