蘇少敏，陳 東，羅國權

(中國科學院國家天文臺云南天文臺，云南 昆明 650011)

為了提高觀測效率，節(jié)約運行成本，云南天文臺將在2.4m望遠鏡建立一套遠程觀測系統(tǒng)[1]。在這個系統(tǒng)的觀測流程中，實際觀測中的每一步都可以在線完成。包括提交觀測申請，觀測計劃，在線觀測，觀測后處理。并且在在線觀測過程中，觀測者可以監(jiān)測望遠鏡及儀器設備的工作狀態(tài),并可根據實際情況, 在自己觀測時間內修改觀測計劃，觀測后還要進行數據的下載[2]。

傳統(tǒng)的觀測模式并沒有通過網絡的交互及操作，甚至沒有接入任何的網絡，所以不需要考慮網絡安全方面的問題。而遠程觀測模式是基于網絡技術，所以對網絡安全方面有更高的要求。如果給每一個用戶都提供一條專用線當然能夠保證可靠和安全的訪問通道，但是這樣支持一個分布廣泛的用戶群恐怕是無法負擔的。那么使用公共的網絡就必然會面臨網絡威脅的問題。

1 網絡安全目標

目前在網絡上存在許多威脅系統(tǒng)安全的因素。首先網絡上存在著各種各樣的病毒，如果系統(tǒng)感染了這些病毒，會造成或大或小的問題，嚴重的會造成整個系統(tǒng)的崩潰。其次與病毒同時存在的還有各種類型的攻擊行為，網絡攻擊主要有以下幾類：拒絕服務、緩沖區(qū)溢出、SYN攻擊、淚珠攻擊、侵入攻擊、信息竊取等。無論系統(tǒng)遇到了哪一類攻擊，都必然帶來相應的損失。這不僅會給系統(tǒng)本身帶來問題，還有可能泄露應該保密的數據信息。

鑒于現今網絡環(huán)境的不安全因素較多，網絡中計算機及各個相關設備的安全防護是一項極其重要的工作。第一，要保護各個網絡設備、計算機、望遠鏡相關的一些硬件設施的安全；第二，要保證各種數據及信息的安全，防止被篡改或竊??；第三，整個系統(tǒng)是為觀測者服務的，所以要保證對觀測者的服務質量，保障其工作的順利進行，不受任何安全問題的妨礙。也就是系統(tǒng)能夠安全穩(wěn)定地運行，不受任何不安全因素的影響；第四，整個系統(tǒng)的安全問題解決后，也必然能夠解決由不安全地因素及事件帶來的相關聲譽和信任的問題。

通過安全防護工作希望對網絡信息的訪問、讀寫等操作受到保護和控制，避免出現病毒、非法存取、拒絕服務、網絡資源非法占用和非法控制等威脅，能夠制止和防御黑客的攻擊行為。

尤其需要指出的是，有人會認為沒有黑客會對望遠鏡感興趣，所以就不會遭受攻擊，數據也會很安全。可是現在的網絡環(huán)境中，系統(tǒng)是否感染病毒，是否會遭到攻擊與系統(tǒng)本身是否重要，是否有某些特殊的原因會引起黑客的興趣毫無關系。很多攻擊行為是沒有任何道理可講的。只要是接入網絡的計算機或局域網網絡都會受到病毒及攻擊和各種不安全因素的影響。所以，為了防止由網絡帶來的威脅造成的各類損失，必須重視安全防護體系的建設，只有做好安防工作，才有可能抵御病毒及網絡攻擊，使損失減少到最小。

2 網絡分析及設計

2.4m望遠鏡的網絡目前是由光纜通過交換機與外界相連。共有4臺服務器。建筑物有2.4m望遠鏡圓頂、綜合樓、鍍膜機房、專家樓。望遠鏡圓頂內網絡分為氣象站、辦公網絡和望遠鏡網絡。各建筑及各子網間以光纖或電纜通過交換機連接。內外網分開，具備監(jiān)控報警系統(tǒng)。

在這個網絡中沒有路由器，沒有專用的防火墻，網絡結構也沒有考慮安全問題。出于建筑及工程方面的原因，目前的情況只是提供了最基礎的一些安全保障措施，并沒有制定全面系統(tǒng)的策略章程，所以很多細節(jié)問題沒有注意到。現在望遠鏡已投入使用，即將建成遠程觀測系統(tǒng)，必須做好安全工作，為整個網絡提供安全保護。圖1為目前的望遠鏡網絡結構。

圖1 麗江目前網絡拓撲結構Fig.1 Current network structure at the Lijiang Station

圖1中，服務器1是Web服務器；服務器2是DNS服務器；服務器3是辦公網代理服務器/軟件防火墻/PPTP VPN；服務器4是望遠鏡網代理服務器/L2TP VPN。由圖1可以看出，目前的網絡只有兩臺代理服務器VPN和軟件防火墻作為安全防護，在網絡結構方面也沒有體現安全性。

圖2 Web服務器掃描結果Fig.2 Scan results of the Web server

圖3 Web服務器分析結果Fig.3 Analysis results of the Web server

圖4 網關掃描結果Fig.4 Scan results of the gateway

圖5 網關分析結果Fig.5 Analysis results of the gateway

圖6 公網代理服務器掃描結果Fig.6 Scan results of the network proxy server

圖7 公網代理服務器分析結果Fig.7 Analysis results of the network proxy server

通過對現在麗江網絡的掃描可以發(fā)現，各主要服務器的安全防護措施已經做得比較好了，沒有已知安全漏洞，沒有任何安全警告，對外開放的端口也很有限。Web服務器的SSH端口是用來做遠程維護與調試的，也是必不可少的。而且SSH本身也是安全的連接，不會帶來太大的安全隱患。ftp端口的具體解釋是“可能”開放，用專用端口掃描工具掃描后發(fā)現并沒有開放ftp端口。

目前由Internet對望遠鏡網絡的訪問是雙重VPN方式：園區(qū)網對望遠鏡網內計算機不能直接訪問，需要撥入VPN，才可獲得訪問權限；Internet對望遠鏡網的訪問，需撥入園區(qū)網VPN，先獲得園區(qū)網訪問權限后，再撥入望遠鏡網VPN。望遠鏡對外部，可以直接訪問。

目前望遠鏡并沒有使用遠程觀測，使用VPN，再加上對各個服務器的安全配置，做好每個服務器本身的安全防護，應該可以基本保證網絡的安全。可是對于以后要建成的遠程觀測系統(tǒng)，這樣的防護措施顯然是不夠的。

代理服務器VPN的確可以在一定程度上保護網絡，但是作為今后遠程觀測系統(tǒng)的保護就顯得單薄了。其存在的安全隱患為：

(1)VPN的賬號密碼有可能被破解，VPN就失去了防護作用，網絡攻擊就有可能發(fā)生；

(2)內網對外網的直接訪問也有可能感染到病毒；

(3)遠程觀測是要通過網絡來完成所有的工作，任何小的危險都有可能對系統(tǒng)、數據，甚至是望遠鏡等硬件造成損壞；

(4)代理服務器VPN應該只是安全防護的一個環(huán)節(jié)，還應該逐步完善其它各項措施；

(5)只有一個軟件防火墻來作為整個局域網的防火墻，也是不行的。

考慮到今后網絡的需求，以及目前還比較薄弱的網絡防護措施，首先對網絡的整體結構進行了重新設計。網絡拓撲結構的設計會直接影響到網絡系統(tǒng)的安全性。在外部和內部網絡進行通信時，內部網絡的安全就會受到威脅，同時也影響在同一網絡上的許多其它系統(tǒng)。自己數據庫內的資料、數據信息也有可能遭到破壞或被盜取。正在通過遠程觀測系統(tǒng)進行的工作也有可能被中斷或受到影響。進一步通過網絡的傳播，還會影響到連上 Internet的其它網絡；影響所及，還可能涉及安全敏感領域。造成的影響將會不堪設想。所以必須要有一個安全合理的網絡結構，這樣拓撲結構本身就可以防止對網絡進一步的破壞行為。

圖8和圖9為經過重新設計改進后的網絡拓撲結構。其中，服務器1和服務器2仍為原網絡的2臺服務器，除在拓撲中位置有變化外并無其它改變。

辦公網絡包括原網絡中的綜合樓、專家樓、鍍膜機房、氣象站以及2.4m圓頂內的辦公網絡，由交換機進行連接。

望遠鏡網絡包括原網絡中的望遠鏡網絡以及一些今后將要建成的遠程觀測系統(tǒng)的服務器，并且這些服務器不對外提供服務。

DMZ區(qū)包括了需要與外界聯系的服務器，遠程觀測系統(tǒng)涉及到對外服務的服務器。由于需要為觀測者提供數據下載服務，所以數據庫服務器也在DMZ區(qū)，同時又添加一道防火墻作為保護，以確保數據庫的安全。也可以在DMZ區(qū)設置堡壘主機(圖中沒有顯示)，可用于進一步保護DMZ區(qū)的安全。

圖8 設計后的網絡系統(tǒng)整體拓撲結構Fig.8 The overall structure of the entire network system

圖9 DMZ區(qū)拓撲結構Fig.9 Structure of the DMZ area

由圖中可以看出，在設計圖中首先保留了原來網絡的結構及基本的防護措施。這樣在重新建設中就不需要改動以前的網路，方便今后的工作。在此基礎上，對需要公開的服務器與網絡的其它部分進行了隔離，采用了DMZ區(qū)的設計。在與外網的連接中也添加了路由器，采用包過濾路由器，可以對網絡中的包進行最基本的過濾，以減輕防火墻的負擔，提高防火墻的工作效率。

同時在網絡的關鍵節(jié)點，即連接DMZ區(qū)和內部業(yè)務網絡的一點，添加了防火墻。這個防火墻并不是普通意義上的防火墻，在其中集成了入侵檢測系統(tǒng)。因為普通的防火墻只是對數據包的包頭部分進行檢查，來決定是否放行或丟棄。而入侵檢測的功能就要全面的多。入侵檢測不僅檢查數據包的包頭部分，還會檢查數據部分，發(fā)現有惡意攻擊的內容就會發(fā)出報警。不僅如此，入侵檢測還可以通過收集分析網絡行為、安全日志、審計數據、其它網絡上可以獲得的信息以及計算機系統(tǒng)中若干關鍵點的信息，檢查網絡或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。更重要的是入侵檢測不僅檢測來自外部的入侵行為，同時也監(jiān)督內部用戶的未授權活動。這一點非常重要，因為由大量長期的統(tǒng)計表明，大部分的惡意行為來自內部。隨著網絡的發(fā)展，內部用戶會增加，各種工作人員的情況也會復雜起來，人為的失誤，甚至故意的破壞都有可能發(fā)生。所以入侵檢測對內部用戶的檢測這項功能起到了尤其重要的防范作用。

由于今后網絡必然會發(fā)展成比較大型的，功能很全面的網絡格局，所以必須要有入侵檢測系統(tǒng)才能實現全方位的安全保護。并且入侵檢測記錄的信息也可以作為違法行為的證據，來進一步跟蹤追查。如果破壞行為對系統(tǒng)、服務或望遠鏡造成損壞也可以追究法律責任來減輕損失。

3 防火墻的實現

在整個的防護措施中，核心的技術設施就是集成了入侵檢測系統(tǒng)的防火墻。采用的是Snort+Guardian的主動防火墻。主要由Snort、Guardian與Iptables組成。Snort是一個開源的輕量級入侵檢測系統(tǒng)，可以監(jiān)測網絡上的異常情況，并給出報告；Guardian 是基于Snort和Iptables的一個主動防火墻，它分析Snort的日志文件，根據一定的判據自動將某些惡意的IP加入Iptables的輸入鏈，并將其數據報丟棄[3]。

圖10 防火墻邏輯結構圖Fig.10 Logical structure of the firewall

防火墻的邏輯結構如圖10，其核心為Snort，Snort與Guardian聯動，Guardian控制Iptables實現防御。Snort又需要其它的軟件、插件來配合工作。PCRE、Libpcap、Oinkmaster對Snort的安裝運行是必不可少的，數據庫及其它插件可以使Snort更加簡便易用。

Snort并不是安裝好了就可以使用的簡單的軟件。必須進行合理的配置，制定符合實際情況的使用方法及策略，使其按照需要來運轉。

Snort的配置文件snort.conf起到非常關鍵的作用，這個配置文件對Snort的各項功能及運行方式等進行配置。主要包括以下幾部分[4]：(1)網絡變量的設置;(2)動態(tài)裝載庫;(3)預處理器;(4)輸出模塊;(5)運行時指令;(6)規(guī)則的制定。其中預處理器部分，針對目前網絡中ARP攻擊頻繁發(fā)生的情況，增加了ARP Spoof Preprocessor預處理器。

輸出模塊采用默認路徑及格式和Mysql數據庫兩種方式。采用兩種方式并行，防止由于某方面出了問題而漏掉報警信息和日志。Mysql數據庫也與遠程觀測系統(tǒng)的其它數據庫一致，方便交互，同時又為Snort其它眾多插件所支持，使功能的進一步擴展變得更容易。

Guardian用來給操作系統(tǒng)發(fā)出指令，封鎖可能產生攻擊的源IP地址。Guardian必須與入侵檢測系統(tǒng)Snort協(xié)同工作[5]。

Iptables是與Linux內核集成的IP信息包過濾系統(tǒng)。由netfilter和iptables兩個組件組成。Netfilter也稱為內核空間，屬于內核的一部分，由信息包過濾表組成，這些表是用來控制處理過濾的信息包的規(guī)則集。Iptables也稱為用戶空間，用來插入、修改和刪除信息包過濾表中的規(guī)則，以方便其管理。

4 未來的工作

未來的工作中，需要對安全防護系統(tǒng)及各軟件不斷地進行升級更新，針對網絡情況的改變對防火墻及入侵檢測的各項設置以及安防策略進行相應的調整。安全防護是一個需要不斷完善的過程。

[1] 韋卡寧.2.4米望遠鏡遠程觀測系統(tǒng)——設計及部分實現[D].中國科學院研究生院碩士學位論文,2005.

[2] 陳東,韋卡寧, 諶俊毅,等.2.4m望遠鏡遠程觀測系統(tǒng)的初步系統(tǒng)設計[J].天文研究與技術(國家天文臺臺刊)，2006,3(4):394-400.

CHEN Dong,WEI Ka-ning,CHEN Jun-yi,et al.Preliminary System Design of the Remote Observing System for 2.4m Telescope[J].Astronomical Research & Technology,2006,3(4):394-400.

[3] http://www.chinaunix.net/jh/29/484898.html

[4] http://www.snort.org/

[5] http://www.chaotic.org/guardian/