危光輝

[摘 要]現(xiàn)在高校校園網(wǎng)絡(luò)系統(tǒng)隨著招生規(guī)模的增加,網(wǎng)絡(luò)系統(tǒng)變得越來(lái)越大,結(jié)構(gòu)也越來(lái)越復(fù)雜,許多高校校園網(wǎng)建設(shè)初期對(duì)網(wǎng)絡(luò)安全重視度不夠,網(wǎng)絡(luò)安全布防不規(guī)范,給安全體系帶來(lái)了極大的挑戰(zhàn)。本文通過(guò)首先分析了校園網(wǎng)普遍存在的安全問(wèn)題,然后結(jié)合大學(xué)校園網(wǎng)絡(luò)的安全需求,論述了建立大學(xué)校園網(wǎng)絡(luò)安全系統(tǒng)的解決措施。

[關(guān)鍵詞]計(jì)算機(jī)網(wǎng)絡(luò) 防火墻 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)設(shè)計(jì)

[中圖分類號(hào)]G72[文獻(xiàn)標(biāo)識(shí)碼]A[文章編號(hào)]1007-9416(2009)12-0009-02

1引言

本文通過(guò)對(duì)一些高校校園網(wǎng)絡(luò)的調(diào)查,分析網(wǎng)絡(luò)運(yùn)行狀況,發(fā)現(xiàn)高校校園網(wǎng)絡(luò)主要存在這樣一些現(xiàn)象:網(wǎng)絡(luò)不穩(wěn)定,時(shí)常斷網(wǎng),不能正常訪問(wèn)internet;由于外網(wǎng)線路,外部路由器等引起外部用戶不能正常訪問(wèn)學(xué)校網(wǎng)站;由于帶寬不夠造成網(wǎng)絡(luò)反應(yīng)速度緩慢;常受外部攻擊,內(nèi)網(wǎng)數(shù)據(jù)受非授權(quán)訪問(wèn),資源濫用,病毒感染等等情況常有發(fā)生。上述問(wèn)題己嚴(yán)重影響到校園網(wǎng)的正常應(yīng)用。文本針對(duì)這些問(wèn)題,設(shè)計(jì)了建立網(wǎng)絡(luò)安全系統(tǒng)的解決措施,包括外網(wǎng)的安全訪問(wèn);網(wǎng)絡(luò)結(jié)構(gòu)的安全設(shè)計(jì):主干安全設(shè)計(jì)、子網(wǎng)安全隔離;網(wǎng)絡(luò)服務(wù)的安全管理:防火墻控制、病毒防治、登錄控制、使用硬盤(pán)保護(hù)卡及其它安全措施等。

2 外網(wǎng)的安全訪問(wèn)

利用校園網(wǎng)站對(duì)外進(jìn)行宣傳是展現(xiàn)現(xiàn)代高校形象的重要方式,校園網(wǎng)必然地要與公眾網(wǎng)絡(luò)相連接,由于現(xiàn)在網(wǎng)絡(luò)攻擊手段日益增多,如何確保高校的信息資源、校內(nèi)數(shù)據(jù)資料的安全保密是一個(gè)重要的問(wèn)題。要保證外網(wǎng)在任何時(shí)候都能訪問(wèn)到學(xué)校的Web站點(diǎn),又需要禁止所有來(lái)自外網(wǎng)用戶對(duì)學(xué)校內(nèi)部的重要數(shù)據(jù)的訪問(wèn),應(yīng)該對(duì)校園網(wǎng)采用了屏蔽子網(wǎng)模式設(shè)計(jì),專門為學(xué)校對(duì)外提供的Web服務(wù)器,FTP服務(wù)器和Mail服務(wù)器等提供一個(gè)DMZ區(qū)域,并對(duì)Web,FTP,Mail,DNS等服務(wù)器采用雙機(jī)熱備策略實(shí)現(xiàn)服務(wù)器的冗余以提高安全性和可靠性。同時(shí),為了避免外部路由器、防火墻的單點(diǎn)失效及外網(wǎng)線路,ISP等引起的故障,可以采用鏈路備份技術(shù):可申請(qǐng)兩條外網(wǎng)通信鏈路,一條為100M甚至1000M帶寬的光纖鏈路,另申請(qǐng)一條低價(jià)的2M ADSL作為備份,一旦主鏈路出了問(wèn)題,可自動(dòng)切換到備份鏈路上,當(dāng)主鏈路故障未恢復(fù)前,可以保證學(xué)校主要部門訪問(wèn)外部網(wǎng)絡(luò)不致中斷,從而保證了外網(wǎng)接入和訪問(wèn)的安全性和可靠性。

3 網(wǎng)絡(luò)結(jié)構(gòu)的安全設(shè)計(jì)

要解決一個(gè)網(wǎng)絡(luò)的安全問(wèn)題,絕不能只是將各種網(wǎng)絡(luò)安全設(shè)備作簡(jiǎn)單的布署和堆切,也不是簡(jiǎn)單的安裝殺毒軟件等就可以解決,必須有安全的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)作為前提:主干安全設(shè)計(jì)和子網(wǎng)安全隔離設(shè)計(jì)。

3.1 主干安全設(shè)計(jì)

校園內(nèi)網(wǎng)主干安全性和可靠性的高低,是評(píng)判一個(gè)校園網(wǎng)是否安全的重要標(biāo)準(zhǔn)。對(duì)于校園內(nèi)部網(wǎng)絡(luò)骨干,為了提高網(wǎng)絡(luò)的穩(wěn)定性和高速反應(yīng)的性能,應(yīng)該采用雙核心技術(shù),比如可采用兩臺(tái)Cisco Catalyst6509核心交換機(jī),并以網(wǎng)關(guān)負(fù)載均衡協(xié)議GLBP技術(shù)進(jìn)行冗余設(shè)計(jì),既保證了交換帶寬,又保證了鏈路的冗余。從核心層到各分布層交換機(jī),可以采用以千兆光纖作為干路,使用3對(duì)光纖冗余的方式,從網(wǎng)絡(luò)管理中心的核心交換機(jī)的千兆端口分別連接至校園內(nèi)各辦公大樓、教學(xué)大樓、實(shí)驗(yàn)大樓等分布層交換機(jī),采用3對(duì)光纖冗余的設(shè)計(jì)方式可以解決鏈路損壞時(shí)線路檢修導(dǎo)致長(zhǎng)時(shí)間內(nèi)網(wǎng)絡(luò)不通的情況。

3.2 子網(wǎng)安全隔離

通常一個(gè)大學(xué)內(nèi)的應(yīng)用點(diǎn)眾多,地址位置十分分散,并且對(duì)網(wǎng)絡(luò)安全性也有不同的要求,所以需要?jiǎng)澐肿泳W(wǎng)以便管理。劃分子網(wǎng)的原則有兩個(gè):一是從安全性角度,二是從地理位置,主機(jī)數(shù)量的角度。首從安全性上考慮:在學(xué)校職能部門中,對(duì)安全性要求較高的主要有校長(zhǎng)辦公室,黨支部辦公室,人事處,財(cái)務(wù)處等,每個(gè)部分需要?jiǎng)澐忠粋€(gè)子網(wǎng),以利于與其它網(wǎng)段隔離,提高安全性,而如校工會(huì),校團(tuán)委等對(duì)安全性要求一般的部門,可以劃分在一個(gè)子網(wǎng)內(nèi);然后結(jié)合地理位置、使用對(duì)象、主機(jī)數(shù)量等綜合考慮劃分子網(wǎng),然后對(duì)各子網(wǎng)間互訪進(jìn)行策略設(shè)計(jì),比如采用分布式防火墻,以及訪問(wèn)控制列表ACL,以及端口、IP、MAC相綁定以杜絕非法盜用及非法訪問(wèn)。

4 網(wǎng)絡(luò)服務(wù)的安全保障

校園網(wǎng)應(yīng)用系統(tǒng)的多樣性,復(fù)雜性,開(kāi)放性,終端分布的不均勻性,極易遭受黑客,惡性軟件,非法授權(quán)的入侵與攻擊,以及存在有越權(quán)訪問(wèn)服務(wù)器數(shù)據(jù)或網(wǎng)絡(luò)設(shè)備等問(wèn)題,即使使用了再好的高性能的網(wǎng)絡(luò)設(shè)備,如果沒(méi)有對(duì)網(wǎng)絡(luò)進(jìn)行安全設(shè)計(jì)以及良好的管理,那么也可能在很短的時(shí)間內(nèi),輕則變得極其緩慢,重則數(shù)據(jù)丟失,網(wǎng)絡(luò)崩潰。在設(shè)計(jì)校園網(wǎng)時(shí),可以采用以下方式來(lái)提升網(wǎng)絡(luò)的安全性:

4.1 防火墻控制

防火墻是在內(nèi)網(wǎng)與外網(wǎng)之間構(gòu)筑的一道安全屏障,用于保護(hù)內(nèi)網(wǎng)中的信息不受來(lái)自外網(wǎng)的非法侵犯。根據(jù)本文前面所述,校園網(wǎng)內(nèi)外網(wǎng)連接采用屏蔽子網(wǎng)模式,可以在DMZ區(qū)與內(nèi)網(wǎng)之間的防火墻使用比CiscoPIX系列防火墻安全性更高的Cisco適應(yīng)性安全產(chǎn)品ASA(Adaptive Security Appliance);DMZ區(qū)與外網(wǎng)之間可使用Cisco PIX Firewall 535系列防火墻,并在防火墻上只開(kāi)啟有限的端口,如訪問(wèn)網(wǎng)站,文件服務(wù)器和電子郵件服務(wù)器的端口,禁用其它端口以提高DMZ區(qū)中服務(wù)器和內(nèi)網(wǎng)數(shù)據(jù)的安全性。

4.2 病毒防治

網(wǎng)絡(luò)服務(wù)器是計(jì)算機(jī)網(wǎng)絡(luò)的中心,是網(wǎng)絡(luò)的支柱。網(wǎng)絡(luò)癱瘓的—個(gè)重要標(biāo)志就是網(wǎng)絡(luò)服務(wù)器癱瘓。網(wǎng)絡(luò)服務(wù)器—旦被擊垮,造成的損失是災(zāi)難性的、難以挽回和無(wú)法估量的。但計(jì)算機(jī)病毒有別于一般的網(wǎng)絡(luò)攻擊,不可能靠安裝防火墻等設(shè)備來(lái)防治。針對(duì)網(wǎng)絡(luò)服務(wù)器的病毒防治方法,可以使用防病毒可裝載模塊(NLM),以提供實(shí)時(shí)掃描病毒的能力,并結(jié)合利用在服務(wù)器上的插防毒卡技術(shù),從而切斷病毒進(jìn)一步傳播的途徑,同時(shí),在學(xué)校的信息管理中心人員,應(yīng)該在學(xué)校培養(yǎng)起集體防毒意思,制定出防病毒管理機(jī)制,變被動(dòng)為主動(dòng),從根本上保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。

4.3 登錄控制

對(duì)能登到重要的服務(wù)器、交換機(jī)和路由器等網(wǎng)絡(luò)設(shè)備的用戶,應(yīng)該專門配置進(jìn)行集中驗(yàn)證的radius服務(wù)器進(jìn)行身份認(rèn)證,針對(duì)每個(gè)有權(quán)訪問(wèn)學(xué)校重要數(shù)據(jù),如財(cái)務(wù)數(shù)據(jù),招生信息數(shù)據(jù)以及學(xué)院的重要決策等,根據(jù)身份或角色的不同,應(yīng)該分別設(shè)置不同訪問(wèn)權(quán)限,分配不同的賬號(hào),并對(duì)登錄時(shí)間,地點(diǎn),用戶帳號(hào)等進(jìn)行了控制,特別針對(duì)帳號(hào)進(jìn)行管理,要求定期修改口令,設(shè)置口令的長(zhǎng)度以及拒絕純數(shù)字口令等。

4.4 使用硬盤(pán)保護(hù)卡

針對(duì)不需要經(jīng)常安裝新軟件的終端,如圖書(shū)館電子閱覽室,應(yīng)該采用了硬盤(pán)保護(hù)卡,如果被病毒感染,重啟之后即可恢復(fù)正常。

4.5 其它安全措施

如定期數(shù)據(jù)的備份,數(shù)據(jù)鏡像,對(duì)重要數(shù)據(jù)的加密保存,操作系統(tǒng)漏洞補(bǔ)丁檢測(cè)等等技術(shù)綜合應(yīng)用,以提高校園網(wǎng)重要數(shù)據(jù)的安全性和可靠性。

[參考文獻(xiàn)]

[1] 黎連業(yè),張維.防火墻及其應(yīng)用技術(shù)[M].清華大學(xué)出版社.

[2] 許治坤,王偉,郭添森,楊冀龍.網(wǎng)絡(luò)滲透技術(shù)[M].電子工業(yè)出版社,2005-5-11.

[3] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)(第4版)[M].北京:電子工業(yè)出版社,2003.