楊 凱,李桂青
(1.武漢音樂學(xué)院,湖北 武漢 430000;2.曲阜師范大學(xué),山東 濟(jì)寧 272000)
校園網(wǎng)是一個(gè)集計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、辦公自動(dòng)化、信息管理及信息發(fā)布等功能于一體的綜合信息平臺(tái),是一個(gè)服務(wù)器、網(wǎng)絡(luò)設(shè)備、終端及眾多用戶組成的局域網(wǎng),通過有線方式和無線方式實(shí)現(xiàn)數(shù)據(jù)傳輸和信息共享。但是,網(wǎng)絡(luò)病毒、黑客入侵及管理不善等使校園網(wǎng)面臨著嚴(yán)重威脅[1]。針對(duì)校園網(wǎng)目前存在的安全隱患,本文重點(diǎn)研究和設(shè)計(jì)了合理穩(wěn)定的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),整體實(shí)現(xiàn)了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的健壯性,并實(shí)現(xiàn)了負(fù)載均衡。
網(wǎng)絡(luò)基礎(chǔ)架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)信息安全是相互依存的,因此規(guī)劃校園網(wǎng)整體網(wǎng)絡(luò)和信息安全系統(tǒng)方案時(shí),需引入新的層次型網(wǎng)絡(luò)和信息安全區(qū)域模型。
根據(jù)校園網(wǎng)網(wǎng)絡(luò)實(shí)際應(yīng)用,可分為3個(gè)層次,由上到下分別對(duì)應(yīng)由高到低3個(gè)防護(hù)等級(jí)(核心層、隔離層及接入層)。每個(gè)防護(hù)等級(jí)中的設(shè)備采用類似的安全防護(hù)功能[2]。
(1)核心層:設(shè)置安全等級(jí)為高,主要對(duì)應(yīng)校園網(wǎng)核心設(shè)備。
(2)隔離層:設(shè)置安全等級(jí)為中,主要是各種數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備。
(3)接入層:設(shè)置安全等級(jí)為低,主要存放各種網(wǎng)絡(luò)接入設(shè)備。
對(duì)整個(gè)校園網(wǎng)采取分層分級(jí)別防護(hù),可有效增加安全系數(shù)。外部入侵需多層破解,增加了攻擊難度,為主動(dòng)防御爭(zhēng)取了時(shí)間。
校園網(wǎng)網(wǎng)絡(luò)建設(shè)不僅要滿足學(xué)校的現(xiàn)狀需求,而且要符合國家規(guī)定的校園網(wǎng)建設(shè)標(biāo)準(zhǔn)。同時(shí),需充分考慮網(wǎng)絡(luò)的健壯性,不能出現(xiàn)單一節(jié)點(diǎn),避免其中一臺(tái)網(wǎng)絡(luò)設(shè)備性能下降或出現(xiàn)網(wǎng)絡(luò)故障影響校園網(wǎng)正常辦公[3]。此外,校園網(wǎng)的安全防范既要做到避免外網(wǎng)攻擊,又要做到避免內(nèi)網(wǎng)攻擊,拓?fù)湓O(shè)計(jì)如圖1所示。
由圖1可知,核心交換區(qū)、內(nèi)網(wǎng)接入?yún)^(qū)、互聯(lián)網(wǎng)區(qū)及服務(wù)器等組成了一個(gè)完整可行的校園網(wǎng)。
該校園網(wǎng)中主要使用IP Sec 虛擬專用網(wǎng)技術(shù)、NAT技術(shù)、靜態(tài)路由協(xié)議技術(shù)、防火墻技術(shù)及LACP技術(shù)等。
考慮在公共網(wǎng)絡(luò)中傳輸數(shù)據(jù)的不安全性,引入了IP Sec VPN。對(duì)使用的數(shù)據(jù)隧道進(jìn)行加密,可實(shí)現(xiàn)公共網(wǎng)絡(luò)傳遞私有數(shù)據(jù),相當(dāng)于在共有網(wǎng)絡(luò)中建立一個(gè)私有專用網(wǎng)[4]。
具體實(shí)現(xiàn)步驟和代碼如下:
(1)配置組屬性的查詢模式
WHmusic(conf i g)#aaa new-model //啟用
WHmusic(conf i g)#aaa authentication login yk local //定義一個(gè)名叫yk登陸認(rèn)證,使用本地?cái)?shù)據(jù)庫進(jìn)行驗(yàn)證
WHmusic(config)#aaa authorization network yk1 local //命名yk1,對(duì)yk的事件授權(quán)
WHmusic(config)#username cisco password 0 cisco//創(chuàng)建用戶名密碼
(2)配置IKE(ISAKMP)策略,IPSec第一階段配置
WHmusic(conf i g)#crypto isakmp policy 10 //創(chuàng)建IKE策略10
WHmusic(conf i g-crypto)#encryption 3des //采用3des加密方式
圖1 校園網(wǎng)整體網(wǎng)絡(luò)拓?fù)鋱D
WHmusic(conf i g-crypto)#hash md5 //使用md5哈希散列算法
WHmusic(config-crypto)#authentication pre-share //采用預(yù)共享密鑰的認(rèn)證方式
WHmusic(conf i g-crypto)#group 2 //指定密鑰的位數(shù)
(3)定義EzVPN client連接后自動(dòng)分配的地址池
WHmusic(config)#ip local pool ez 192.168.129.10 192.168.129.100
(4)配置用戶組策略
WHmusic(conf i g)#crypto isakmp client conf i guration group wuhanmusic //配置組和密碼
WHmusic(conf i g-crypto)#key ykwh
WHmusic(conf i g-crypto)#pool yk
(5)配置Ipsec交換集,IPSec第二階段配置
WHmusic(conf i g)#crypto ipsec transform-set wh esp-3des esp-md5-hmac //配置交換集twh,設(shè)置esp加密算法3des,esp的完整性用哈希算法md5來保證
WHmusic(config)#crypto dynamic-map ezmap 10 //動(dòng)態(tài)加密圖
WHmusic(config-crypto-map)#set transform-set tim//tim與lmmap關(guān)聯(lián)
(6)關(guān)聯(lián)認(rèn)證信息
對(duì)VPN進(jìn)行認(rèn)證,授權(quán)配置,list是調(diào)用上面AAA配置名,liming是客戶端保密圖的名字,lmmap為動(dòng)態(tài)保密圖的名字,最后動(dòng)態(tài)加密圖必須有靜態(tài)綁定。
WHmusic(config)#crypto map liming client authentication list yk
WHmusic(config)#crypto map liming isakmp authorization list yk1
WHmusic(config)#crypto map liming client conf i guration address respond //客戶端響應(yīng)服務(wù)器
WHmusic(config)#crypto map liming 10 ipsecisakmp dynamic lmmap
(7)應(yīng)用crypto map
WHmusic(conf i g-if)#crypto map tom //綁定到接口
為解決內(nèi)部網(wǎng)絡(luò)使用私有地址主機(jī)和因特網(wǎng)上使用公有地址主機(jī)的通信問題,必須進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT),即通信時(shí)把私有地址轉(zhuǎn)換成因特網(wǎng)上合法的公有地址[5]。
NAT技術(shù)結(jié)合ACL技術(shù)可對(duì)訪問公網(wǎng)的源地址進(jìn)行訪問控制,即內(nèi)網(wǎng)網(wǎng)絡(luò)管理中心樓的機(jī)器出于安全考慮,不允許訪問互聯(lián)網(wǎng),可通過ACL具體配置,代碼如下:
WHmusic(config)#access-list 10 deny 192.168.70.0 0.0.0.255
//拒絕地址為192.168.70.0網(wǎng)段的數(shù)據(jù)包通過
WHmusic(conf i g)#access-list 10 permit any //允許其他網(wǎng)段地址的數(shù)據(jù)包通過
WHmusic(config)#ip nat inside source list 10 interface Serial0/3/0 overload //表示以端口復(fù)用方式,將訪問控制列表10中的私有地址轉(zhuǎn)換為路由器外部接口的合法IP地址
WHmusic(conf i g)#interface FastEthernet0/0 //進(jìn)入接口并配置ip地址
WHmusic(config-if)#ip address 192.168.129.2 255.255.255.0
WHmusic(conf i g-if)#ip nat inside //指定NAT的內(nèi)部轉(zhuǎn)換接口
WHmusic(conf i g)#interface Serial0/3/0 //進(jìn)入接口并配置ip地址
WHmusic(config-if)#ip address 158.18.18.1 255.255.255.252
WHmusic(conf i g-if)#ip nat outside //指定NAT的外部轉(zhuǎn)換接口,此接口翻譯為內(nèi)部全局地址到達(dá)外部網(wǎng)絡(luò)
該校園網(wǎng)安全設(shè)計(jì)是基于當(dāng)前校園網(wǎng)網(wǎng)絡(luò)功能進(jìn)行改進(jìn),考慮了核心層的冗余備份和服務(wù)器群的安全性,并設(shè)計(jì)了三層安全防護(hù)措施。該設(shè)計(jì)的不足之處在于模擬器的功能有限,審計(jì)和統(tǒng)計(jì)管理等功能無法實(shí)現(xiàn),需在后期實(shí)際應(yīng)用中進(jìn)行擴(kuò)展。