危光輝

[摘 要]現(xiàn)在高校校園網(wǎng)絡(luò)系統(tǒng)隨著招生規(guī)模的增加,網(wǎng)絡(luò)系統(tǒng)變得越來越大,結(jié)構(gòu)也越來越復(fù)雜,許多高校校園網(wǎng)建設(shè)初期對網(wǎng)絡(luò)安全重視度不夠,網(wǎng)絡(luò)安全布防不規(guī)范,給安全體系帶來了極大的挑戰(zhàn)。本文通過首先分析了校園網(wǎng)普遍存在的安全問題,然后結(jié)合大學(xué)校園網(wǎng)絡(luò)的安全需求,論述了建立大學(xué)校園網(wǎng)絡(luò)安全系統(tǒng)的解決措施。

[關(guān)鍵詞]計算機(jī)網(wǎng)絡(luò) 防火墻 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)設(shè)計

[中圖分類號]G72[文獻(xiàn)標(biāo)識碼]A[文章編號]1007-9416(2009)12-0009-02

1引言

本文通過對一些高校校園網(wǎng)絡(luò)的調(diào)查,分析網(wǎng)絡(luò)運(yùn)行狀況,發(fā)現(xiàn)高校校園網(wǎng)絡(luò)主要存在這樣一些現(xiàn)象:網(wǎng)絡(luò)不穩(wěn)定,時常斷網(wǎng),不能正常訪問internet;由于外網(wǎng)線路,外部路由器等引起外部用戶不能正常訪問學(xué)校網(wǎng)站;由于帶寬不夠造成網(wǎng)絡(luò)反應(yīng)速度緩慢;常受外部攻擊,內(nèi)網(wǎng)數(shù)據(jù)受非授權(quán)訪問,資源濫用,病毒感染等等情況常有發(fā)生。上述問題己嚴(yán)重影響到校園網(wǎng)的正常應(yīng)用。文本針對這些問題,設(shè)計了建立網(wǎng)絡(luò)安全系統(tǒng)的解決措施,包括外網(wǎng)的安全訪問;網(wǎng)絡(luò)結(jié)構(gòu)的安全設(shè)計:主干安全設(shè)計、子網(wǎng)安全隔離;網(wǎng)絡(luò)服務(wù)的安全管理:防火墻控制、病毒防治、登錄控制、使用硬盤保護(hù)卡及其它安全措施等。

2 外網(wǎng)的安全訪問

利用校園網(wǎng)站對外進(jìn)行宣傳是展現(xiàn)現(xiàn)代高校形象的重要方式,校園網(wǎng)必然地要與公眾網(wǎng)絡(luò)相連接,由于現(xiàn)在網(wǎng)絡(luò)攻擊手段日益增多,如何確保高校的信息資源、校內(nèi)數(shù)據(jù)資料的安全保密是一個重要的問題。要保證外網(wǎng)在任何時候都能訪問到學(xué)校的Web站點,又需要禁止所有來自外網(wǎng)用戶對學(xué)校內(nèi)部的重要數(shù)據(jù)的訪問,應(yīng)該對校園網(wǎng)采用了屏蔽子網(wǎng)模式設(shè)計,專門為學(xué)校對外提供的Web服務(wù)器,FTP服務(wù)器和Mail服務(wù)器等提供一個DMZ區(qū)域,并對Web,FTP,Mail,DNS等服務(wù)器采用雙機(jī)熱備策略實現(xiàn)服務(wù)器的冗余以提高安全性和可靠性。同時,為了避免外部路由器、防火墻的單點失效及外網(wǎng)線路,ISP等引起的故障,可以采用鏈路備份技術(shù):可申請兩條外網(wǎng)通信鏈路,一條為100M甚至1000M帶寬的光纖鏈路,另申請一條低價的2M ADSL作為備份,一旦主鏈路出了問題,可自動切換到備份鏈路上,當(dāng)主鏈路故障未恢復(fù)前,可以保證學(xué)校主要部門訪問外部網(wǎng)絡(luò)不致中斷,從而保證了外網(wǎng)接入和訪問的安全性和可靠性。

3 網(wǎng)絡(luò)結(jié)構(gòu)的安全設(shè)計

要解決一個網(wǎng)絡(luò)的安全問題,絕不能只是將各種網(wǎng)絡(luò)安全設(shè)備作簡單的布署和堆切,也不是簡單的安裝殺毒軟件等就可以解決,必須有安全的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計作為前提:主干安全設(shè)計和子網(wǎng)安全隔離設(shè)計。

3.1 主干安全設(shè)計

校園內(nèi)網(wǎng)主干安全性和可靠性的高低,是評判一個校園網(wǎng)是否安全的重要標(biāo)準(zhǔn)。對于校園內(nèi)部網(wǎng)絡(luò)骨干,為了提高網(wǎng)絡(luò)的穩(wěn)定性和高速反應(yīng)的性能,應(yīng)該采用雙核心技術(shù),比如可采用兩臺Cisco Catalyst6509核心交換機(jī),并以網(wǎng)關(guān)負(fù)載均衡協(xié)議GLBP技術(shù)進(jìn)行冗余設(shè)計,既保證了交換帶寬,又保證了鏈路的冗余。從核心層到各分布層交換機(jī),可以采用以千兆光纖作為干路,使用3對光纖冗余的方式,從網(wǎng)絡(luò)管理中心的核心交換機(jī)的千兆端口分別連接至校園內(nèi)各辦公大樓、教學(xué)大樓、實驗大樓等分布層交換機(jī),采用3對光纖冗余的設(shè)計方式可以解決鏈路損壞時線路檢修導(dǎo)致長時間內(nèi)網(wǎng)絡(luò)不通的情況。

3.2 子網(wǎng)安全隔離

通常一個大學(xué)內(nèi)的應(yīng)用點眾多,地址位置十分分散,并且對網(wǎng)絡(luò)安全性也有不同的要求,所以需要劃分子網(wǎng)以便管理。劃分子網(wǎng)的原則有兩個:一是從安全性角度,二是從地理位置,主機(jī)數(shù)量的角度。首從安全性上考慮:在學(xué)校職能部門中,對安全性要求較高的主要有校長辦公室,黨支部辦公室,人事處,財務(wù)處等,每個部分需要劃分一個子網(wǎng),以利于與其它網(wǎng)段隔離,提高安全性,而如校工會,校團(tuán)委等對安全性要求一般的部門,可以劃分在一個子網(wǎng)內(nèi);然后結(jié)合地理位置、使用對象、主機(jī)數(shù)量等綜合考慮劃分子網(wǎng),然后對各子網(wǎng)間互訪進(jìn)行策略設(shè)計,比如采用分布式防火墻,以及訪問控制列表ACL,以及端口、IP、MAC相綁定以杜絕非法盜用及非法訪問。

4 網(wǎng)絡(luò)服務(wù)的安全保障

校園網(wǎng)應(yīng)用系統(tǒng)的多樣性,復(fù)雜性,開放性,終端分布的不均勻性,極易遭受黑客,惡性軟件,非法授權(quán)的入侵與攻擊,以及存在有越權(quán)訪問服務(wù)器數(shù)據(jù)或網(wǎng)絡(luò)設(shè)備等問題,即使使用了再好的高性能的網(wǎng)絡(luò)設(shè)備,如果沒有對網(wǎng)絡(luò)進(jìn)行安全設(shè)計以及良好的管理,那么也可能在很短的時間內(nèi),輕則變得極其緩慢,重則數(shù)據(jù)丟失,網(wǎng)絡(luò)崩潰。在設(shè)計校園網(wǎng)時,可以采用以下方式來提升網(wǎng)絡(luò)的安全性:

4.1 防火墻控制

防火墻是在內(nèi)網(wǎng)與外網(wǎng)之間構(gòu)筑的一道安全屏障,用于保護(hù)內(nèi)網(wǎng)中的信息不受來自外網(wǎng)的非法侵犯。根據(jù)本文前面所述,校園網(wǎng)內(nèi)外網(wǎng)連接采用屏蔽子網(wǎng)模式,可以在DMZ區(qū)與內(nèi)網(wǎng)之間的防火墻使用比CiscoPIX系列防火墻安全性更高的Cisco適應(yīng)性安全產(chǎn)品ASA(Adaptive Security Appliance);DMZ區(qū)與外網(wǎng)之間可使用Cisco PIX Firewall 535系列防火墻,并在防火墻上只開啟有限的端口,如訪問網(wǎng)站,文件服務(wù)器和電子郵件服務(wù)器的端口,禁用其它端口以提高DMZ區(qū)中服務(wù)器和內(nèi)網(wǎng)數(shù)據(jù)的安全性。

4.2 病毒防治

網(wǎng)絡(luò)服務(wù)器是計算機(jī)網(wǎng)絡(luò)的中心,是網(wǎng)絡(luò)的支柱。網(wǎng)絡(luò)癱瘓的—個重要標(biāo)志就是網(wǎng)絡(luò)服務(wù)器癱瘓。網(wǎng)絡(luò)服務(wù)器—旦被擊垮,造成的損失是災(zāi)難性的、難以挽回和無法估量的。但計算機(jī)病毒有別于一般的網(wǎng)絡(luò)攻擊,不可能靠安裝防火墻等設(shè)備來防治。針對網(wǎng)絡(luò)服務(wù)器的病毒防治方法,可以使用防病毒可裝載模塊(NLM),以提供實時掃描病毒的能力,并結(jié)合利用在服務(wù)器上的插防毒卡技術(shù),從而切斷病毒進(jìn)一步傳播的途徑,同時,在學(xué)校的信息管理中心人員,應(yīng)該在學(xué)校培養(yǎng)起集體防毒意思,制定出防病毒管理機(jī)制,變被動為主動,從根本上保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。

4.3 登錄控制

對能登到重要的服務(wù)器、交換機(jī)和路由器等網(wǎng)絡(luò)設(shè)備的用戶,應(yīng)該專門配置進(jìn)行集中驗證的radius服務(wù)器進(jìn)行身份認(rèn)證,針對每個有權(quán)訪問學(xué)校重要數(shù)據(jù),如財務(wù)數(shù)據(jù),招生信息數(shù)據(jù)以及學(xué)院的重要決策等,根據(jù)身份或角色的不同,應(yīng)該分別設(shè)置不同訪問權(quán)限,分配不同的賬號,并對登錄時間,地點,用戶帳號等進(jìn)行了控制,特別針對帳號進(jìn)行管理,要求定期修改口令,設(shè)置口令的長度以及拒絕純數(shù)字口令等。

4.4 使用硬盤保護(hù)卡

針對不需要經(jīng)常安裝新軟件的終端,如圖書館電子閱覽室,應(yīng)該采用了硬盤保護(hù)卡,如果被病毒感染,重啟之后即可恢復(fù)正常。

4.5 其它安全措施

如定期數(shù)據(jù)的備份,數(shù)據(jù)鏡像,對重要數(shù)據(jù)的加密保存,操作系統(tǒng)漏洞補(bǔ)丁檢測等等技術(shù)綜合應(yīng)用,以提高校園網(wǎng)重要數(shù)據(jù)的安全性和可靠性。

[參考文獻(xiàn)]

[1] 黎連業(yè),張維.防火墻及其應(yīng)用技術(shù)[M].清華大學(xué)出版社.

[2] 許治坤,王偉,郭添森,楊冀龍.網(wǎng)絡(luò)滲透技術(shù)[M].電子工業(yè)出版社,2005-5-11.

[3] 謝希仁.計算機(jī)網(wǎng)絡(luò)(第4版)[M].北京:電子工業(yè)出版社,2003.