江 春

（南京工程學(xué)院，江蘇 南京 211100）

1 引言

隨著信息化進(jìn)程的深入和互聯(lián)網(wǎng)的迅速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題也日漸突出，特別是對(duì)內(nèi)聯(lián)網(wǎng)中的各種應(yīng)用和數(shù)據(jù)服務(wù)器安全造成嚴(yán)重威脅，如何有效地保障服務(wù)器的數(shù)據(jù)和信息安全一直是大家探討和研究的問(wèn)題。一般意義上，網(wǎng)絡(luò)安全是指信息安全和控制安全兩部分，國(guó)際標(biāo)準(zhǔn)化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”，信息安全的技術(shù)主要包括監(jiān)控、掃描、檢測(cè)、加密、認(rèn)證、防攻擊、防病毒以及審計(jì)等幾個(gè)方面，其中數(shù)據(jù)傳輸加密技術(shù)和數(shù)據(jù)加密算法已有了大量的研究；控制安全則指身份認(rèn)證、不可否認(rèn)性、授權(quán)和訪問(wèn)控制。下面針對(duì)內(nèi)聯(lián)網(wǎng)的特點(diǎn)，以某高校內(nèi)聯(lián)網(wǎng)為模型在網(wǎng)絡(luò)層面上對(duì)服務(wù)器的安全訪問(wèn)控制進(jìn)行相關(guān)技術(shù)探討。

2 內(nèi)聯(lián)網(wǎng)安全控制技術(shù)

在大多數(shù)企業(yè)、機(jī)關(guān)、院校都擁有一個(gè)半封閉或全封閉的、管理集中的可控網(wǎng)絡(luò)，它和因特網(wǎng)不一樣，它可以存放大量敏感的、秘密的、甚至具有極高的軍事、政治、商業(yè)價(jià)值的信息。如何較好地保障內(nèi)聯(lián)網(wǎng)的安全就顯得尤為重要，主要采用以下幾種技術(shù)手段來(lái)加以實(shí)現(xiàn)。

（1）在內(nèi)聯(lián)網(wǎng)和因特網(wǎng)之間設(shè)立防火墻，使內(nèi)聯(lián)網(wǎng)和因特網(wǎng)相互隔離。防火墻是一道控制進(jìn)出企業(yè)內(nèi)聯(lián)網(wǎng)的雙方向通信門檻，它可以阻止因特網(wǎng)中的黑客訪問(wèn)或攻擊某機(jī)構(gòu)的內(nèi)聯(lián)網(wǎng)。防火墻有包過(guò)濾防火墻，應(yīng)用層網(wǎng)關(guān)（代理）防火墻等不同種類。防火墻安全保障技術(shù)主要是為了保護(hù)與互聯(lián)網(wǎng)相連的企業(yè)內(nèi)部網(wǎng)絡(luò)或單獨(dú)節(jié)點(diǎn)。它具有簡(jiǎn)單實(shí)用的特點(diǎn)，并且透明度高，可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下達(dá)到一定的安全要求。防火墻一方面通過(guò)檢查、分析、過(guò)濾從內(nèi)部網(wǎng)流出的IP包，盡可能地對(duì)外部網(wǎng)絡(luò)屏蔽被保護(hù)網(wǎng)絡(luò)或節(jié)點(diǎn)的信息、結(jié)構(gòu)，另一方面對(duì)內(nèi)屏蔽外部某些危險(xiǎn)地址，實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)的保護(hù)。

（2）為了防止非法用戶的侵人，可在Intranet內(nèi)部采用識(shí)別認(rèn)證和訪問(wèn)控制技術(shù)（防火墻就是內(nèi)網(wǎng)和外網(wǎng)之間的訪問(wèn)控制技術(shù)），內(nèi)網(wǎng)的訪問(wèn)控制經(jīng)常采用人網(wǎng)控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器的安全控制、網(wǎng)絡(luò)檢測(cè)和鎖定控制、網(wǎng)絡(luò)端口及節(jié)點(diǎn)的安全控制等技術(shù)。

（3）為了防止網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)交換時(shí)出現(xiàn)否認(rèn)、抵賴事件，需采用數(shù)字簽名技術(shù)和公正仲裁機(jī)構(gòu)。

（4）為了保證系統(tǒng)存儲(chǔ)數(shù)據(jù)不被非法竊取和泄露，可采用存儲(chǔ)加密技術(shù)。

（5）為了防止信息在信道上被截獲或泄露，可采用傳輸加密技術(shù)。

（6）為了防止敵手在信道對(duì)數(shù)據(jù)流量進(jìn)行分析，可以采取業(yè)務(wù)流量填充技術(shù)。

（7）為了便于事故發(fā)生后追查責(zé)任和查找網(wǎng)絡(luò)安全漏洞，還應(yīng)當(dāng)采用嚴(yán)格審計(jì)制度和技術(shù)。此外，為了防止病毒對(duì)系統(tǒng)的侵蝕破壞，一方面要嚴(yán)格管理人網(wǎng)軟件，另一方面網(wǎng)上要具有病毒測(cè)試和清除的軟件技術(shù)。

3 外網(wǎng)與內(nèi)網(wǎng)之間安全性訪問(wèn)控制

如圖1所示，外網(wǎng)與內(nèi)網(wǎng)之間安全性的控制和管理由三個(gè)主要設(shè)備來(lái)完成，即核心交換機(jī)（CISCO4507）、防火墻（Juniper ISG 1000）和路由器（H3C6608）。

圖1 高校通用網(wǎng)絡(luò)拓?fù)鋱D

在實(shí)際應(yīng)用中，可能希望某些內(nèi)部的主機(jī)可以訪問(wèn)外部網(wǎng)絡(luò)，而某些主機(jī)不允許訪問(wèn)，即當(dāng)NAT網(wǎng)關(guān)查看數(shù)據(jù)報(bào)報(bào)頭內(nèi)容時(shí)，如果發(fā)現(xiàn)源IP地址屬于禁止訪問(wèn)外部網(wǎng)絡(luò)的內(nèi)部主機(jī)，它將不進(jìn)行NAT轉(zhuǎn)換，即對(duì)地址轉(zhuǎn)換進(jìn)行控制。

設(shè)備可以通過(guò)定義地址池來(lái)實(shí)現(xiàn)多對(duì)多地址轉(zhuǎn)換，同時(shí)利用訪問(wèn)控制列表來(lái)對(duì)地址轉(zhuǎn)換進(jìn)行控制。

（1）利用訪問(wèn)控制列表限制地址轉(zhuǎn)換：可以有效地控制地址轉(zhuǎn)換的使用范圍，只有滿足訪問(wèn)控制列表?xiàng)l件的數(shù)據(jù)報(bào)文才可以進(jìn)行地址轉(zhuǎn)換。

（2）地址池：用于地址轉(zhuǎn)換的一些連續(xù)的公有IP地址的集合。用戶應(yīng)根據(jù)自己擁有的合法IP地址數(shù)目、內(nèi)部網(wǎng)絡(luò)主機(jī)數(shù)目以及實(shí)際應(yīng)用情況，配置恰當(dāng)?shù)牡刂烦?。地址轉(zhuǎn)換的過(guò)程中，NAT網(wǎng)關(guān)將會(huì)從地址池中挑選一個(gè)地址做為轉(zhuǎn)換后的源地址。

NAPT（Network Address Port Translation，網(wǎng)絡(luò)地址端口轉(zhuǎn)換）是NAT的一種變形，它允許多個(gè)內(nèi)部地址映射到同一個(gè)公有地址上，也可稱之為“多對(duì)一地址轉(zhuǎn)換”或“地址復(fù)用”。

NAPT同時(shí)映射IP地址和端口號(hào)：來(lái)自不同內(nèi)部地址的數(shù)據(jù)報(bào)的目的地址可以映射到同一外部地址，但它們的端口號(hào)被轉(zhuǎn)換為該地址的不同端口號(hào)，因而仍然能夠共享同一地址，也就是“私有地址＋端口”與“公有地址＋端口”之間的轉(zhuǎn)換。

在測(cè)試系統(tǒng)中，由于有富余的外網(wǎng)地址，為了有效地增強(qiáng)各網(wǎng)段對(duì)外網(wǎng)的訪問(wèn)能力，分別對(duì)各內(nèi)網(wǎng)段作了獨(dú)立的NAT轉(zhuǎn)換，還可實(shí)現(xiàn)對(duì)部分內(nèi)網(wǎng)段實(shí)行流量控制，其實(shí)現(xiàn)的部分配置策略如下：

通過(guò)配置防火墻的安全策略，實(shí)現(xiàn)內(nèi)外網(wǎng)的訪問(wèn)控制和入侵檢測(cè)。面向?qū)ο驛CL（Access Control List，訪問(wèn)控制列表）用來(lái)在安全域之間實(shí)現(xiàn)流識(shí)別功能。一對(duì)源安全域和目的安全域之間維護(hù)一個(gè)面向?qū)ο驛CL，面向?qū)ο驛CL中可以配置一系列的匹配規(guī)則，以識(shí)別出特定的報(bào)文，然后根據(jù)預(yù)先設(shè)定的操作允許或禁止該報(bào)文通過(guò)。

面向?qū)ο驛CL通過(guò)引用對(duì)象管理中的地址組對(duì)象和服務(wù)組對(duì)象，來(lái)根據(jù)報(bào)文的源IP地址、目的IP地址、IP承載的協(xié)議類型和協(xié)議的特性（例如TCP或UDP的源端口/目的端口、ICMP協(xié)議的消息類型/消息碼）等信息制定匹配規(guī)則。每條規(guī)則還可以通過(guò)引用對(duì)象管理中的時(shí)間段對(duì)象，來(lái)指定這條規(guī)則在該時(shí)間段定義的時(shí)間范圍內(nèi)有效。

4 各網(wǎng)段與服務(wù)器之間的安全性訪問(wèn)控制

根據(jù)圖1中網(wǎng)絡(luò)模型，為了確保各類服務(wù)器的安全，可以將重要的數(shù)據(jù)服務(wù)器和各類應(yīng)用服務(wù)器分網(wǎng)段管理，再配合相應(yīng)的訪問(wèn)控制技術(shù)從網(wǎng)絡(luò)層面上限制其訪問(wèn)的有效性和合法性?，F(xiàn)以具體的機(jī)型為例進(jìn)行分析，VLAN劃分主要由匯聚層H3C5510來(lái)實(shí)現(xiàn)的，而核心三層交換機(jī)C4507實(shí)現(xiàn)數(shù)據(jù)的高速轉(zhuǎn)發(fā)，具體劃分如下。

（1）匯聚層1的VLAN劃分

VLAN 11：IP 地址段（192.165.1.0/24）

VLAN 12：IP 地址段（192.165.2.0/24）

（2）匯聚層2的VLAN劃分

VLAN 21：IP 地址段（192.165.3.0/24）

VLAN 22：IP 地址段（192.165.4.0/24）

（3）匯聚層3的VLAN劃分

VLAN 31：IP 地址段（192.165.5.0/24） 各種管理機(jī)網(wǎng)段

VLAN 32：IP 地址段（192.165.6.0/24） 應(yīng)用服務(wù)器網(wǎng)段

VLAN 33：IP 地址段（192.165.7.0/24） 數(shù)據(jù)庫(kù)服務(wù)器網(wǎng)段

VLAN劃分的配置過(guò)程不詳述了，下面主要介紹一下各網(wǎng)段的安全訪問(wèn)控制策略，其控制策略主要集中在匯聚層3上實(shí)現(xiàn)。首先假設(shè)數(shù)據(jù)庫(kù)服務(wù)器網(wǎng)段連接在匯聚層3的G1/0/1端口，應(yīng)用服務(wù)器網(wǎng)段連接在匯聚層3的G1/0/2端口，管理機(jī)網(wǎng)段連接在匯聚層3的G1/0/3端口，其具體配置如下：

（1）只允許應(yīng)用服務(wù)器網(wǎng)段和管理機(jī)網(wǎng)段訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器網(wǎng)段

（2）各個(gè)學(xué)生機(jī)房相應(yīng)網(wǎng)段不允許互訪

以匯聚層 1 的交換機(jī)為例，假設(shè) 192.165.1.0網(wǎng)段接口交換機(jī)G1/0/1端口，控制此網(wǎng)段訪問(wèn)其他學(xué)生機(jī)房網(wǎng)段。其實(shí)現(xiàn)如下：

訪 策 略 拒 絕 了 192.165.1.0 網(wǎng) 段 訪 問(wèn)192.165.2.0、192.165.3.0 和 192.165.4.0 三個(gè)網(wǎng)段，其他網(wǎng)段的相互拒絕策略類似。

（3）屏蔽常見病毒及木馬端口的控制策略

該策略的實(shí)現(xiàn)主要是通過(guò)在三層匯聚層交換機(jī)的所有端口進(jìn)行相應(yīng)的控制策略配置。以三層匯聚層1的G1/0/1端口為例：

通過(guò)以上訪問(wèn)控制技術(shù)可以從內(nèi)聯(lián)網(wǎng)的網(wǎng)絡(luò)層面上保障了各種數(shù)據(jù)庫(kù)和應(yīng)用服務(wù)器的安全訪問(wèn)問(wèn)題，最大程度地減少來(lái)自內(nèi)網(wǎng)和外網(wǎng)對(duì)服務(wù)器的攻擊，確保了服務(wù)器數(shù)據(jù)的安全訪問(wèn)。

［1］王擁軍，李建清.淺談企業(yè)網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)［J］.信息安全與通信保密，2009.

［2］張麗娜.無(wú)線局域網(wǎng)面臨的安全問(wèn)題及防范措施［J］.大理學(xué)院學(xué)報(bào)，2009，（4）.

［3］劉建煒.基于網(wǎng)絡(luò)層次結(jié)構(gòu)安全的校園網(wǎng)絡(luò)安全防護(hù)體系解決方案［J］.教育探究，2010（1）.

［4］陶宇清.訪問(wèn)控制列表在校園網(wǎng)絡(luò)安全中的應(yīng)用［J］.電腦知識(shí)與技術(shù)，2011，（33）.

［5］邊云生.計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)探究［J］.電腦知識(shí)與技術(shù)，2011，（31）.