呂宏強

中共寶雞市委黨校 陜西 721001

0 前言

現(xiàn)有的校園網(wǎng)是在前幾年ADSL上網(wǎng)的基礎上擴充為光纖而來的，用的網(wǎng)絡設備都是不可網(wǎng)管的，性能較差，安全性較低。一般都是用寬帶路由作為網(wǎng)絡的網(wǎng)關、DHCP服務器和 DNS服務器。內(nèi)網(wǎng)服務器通過交換機與客戶機相連，處于一個網(wǎng)段，為了方便管理在內(nèi)網(wǎng)不配置 DNS服務器，訪問內(nèi)網(wǎng)WEB服務器是通過IP地址來完成，也很少搭建FTP服務。

1 改進思路一：配置單獨的DHCP和DNS服務器減輕路由的負擔

方法相對很簡單，需要指定相應的網(wǎng)段、IP地址池、網(wǎng)關、DNS，或者為特殊主機保留的IP地址。以圖1為例，網(wǎng)段為192.168.1.0，網(wǎng)關為192.168.1.254，首選DNS為192.168.1.252，IP地址池以網(wǎng)絡中的主機數(shù)為依據(jù)，比所有的主機總數(shù)多就行，如最多100臺主機時可以指定為192.168.1.1至192.168.1.100。

圖1 改進思路一網(wǎng)絡拓撲圖

由于傳統(tǒng)方案中路由承擔的服務角色太多影響網(wǎng)絡的效率和安全性，為此，可以將路由所承擔的 DHCP和 DNS服務分離出來，由專門的服務器來完成，這一方面可以減輕路由的承擔；另一方面也便于對服務器的集中管理，便于以后網(wǎng)絡的升級。

1.1 網(wǎng)絡拓撲圖

將寬帶路由的DHCP和DNS服務分離出來，用一個服務器來承擔，以減輕其通信負擔。配置的DHCP服務可以實現(xiàn)內(nèi)網(wǎng)的IP地址自動獲取，配置的DNS服務可以實現(xiàn)內(nèi)網(wǎng)HTTP服務的域名訪問和內(nèi)網(wǎng)訪問外網(wǎng) WEB站點。配置的FTP服務可以實現(xiàn)內(nèi)網(wǎng)的各種教學資源的共享使用(如圖1)。

1.2 服務配置

DHCP配置：用中檔客戶機就可以實現(xiàn)DHCP服務的需求，操作系統(tǒng)最好是 Windows Server 2003。DHCP的配置

DNS配置：DNS服務對硬件的要求不是很高，可以和DHCP服務配置在一臺服務器機上。對于DNS的配置可以創(chuàng)建WEB服務器(WWW.AAA.COM=192.168.1.253)和 FTP服務器(FTP.AAA.COM=192.168.1.253)的正向作用域和反向作用域，配置DNS的轉(zhuǎn)發(fā)器，指向ISP提供的DNS服務器(如陜西電信可指定 61.134.1.4)。這樣當內(nèi)網(wǎng)用戶訪問時，通過DNS解析后，如果是內(nèi)網(wǎng)就會通過IP地址直接訪問，如果是外網(wǎng)就會通過網(wǎng)關去訪問外網(wǎng)。同時 DNS配置后就啟動了DNS緩存服務功能，在工作過程中能夠大減少內(nèi)網(wǎng)對外網(wǎng)的訪問(主要是DNS解析的訪問)，從而提高通信效率。

WEB/FTP服務配置：首先，在DNS服務器上創(chuàng)建WEB和FTP所對應的正向作用域(由域名到IP的解析)和反向作用域(由 IP到域名的解析)；其次，在服務器上安裝 Windows Server 2003操作系統(tǒng)，并安裝IIS服務。創(chuàng)建基于主機頭的虛擬WEB站點和FTP站點，指定相應的訪問目錄和訪問權(quán)限。完成后就能夠在內(nèi)網(wǎng)上通過域名訪問 WEB(URL=HTTP://WWW.AAA.COM)和FTP(URL=FTP://FTP. AAA.COM)服務。

安全防護措施配置：在DHCP/DNS服務器和WEB/FTP服務器上安裝桌面防火墻和殺毒軟件，以提高服務器的安全防護能力。

1.3 優(yōu)點

內(nèi)網(wǎng)的DHCP和DNS不再由路由來承擔，而是由專門的服務器來承擔，這樣有利于減輕路由的負擔，同時內(nèi)網(wǎng)的WEB和FTP兩種服務均可以采用域名來訪問，方便了用戶對內(nèi)網(wǎng)的訪問。

1.4 缺點

安全性不高，內(nèi)網(wǎng)服務器和客戶機還是在同一網(wǎng)段，安全性方面和傳統(tǒng)的方案沒有多大提高。同時桌面防病毒軟件防護能力有限，不能起到有效的防護，特別是對于基于局域網(wǎng)傳播的病毒(如ARP)防護力度很差。

2 改進思路二：采用代理服務器，增加內(nèi)網(wǎng)的安全

改進思路一雖然將路由的部分服務角色分離出來，但是對于網(wǎng)絡的安全防護沒有改進多少，不便于安裝基于網(wǎng)絡訪問的防火墻，內(nèi)網(wǎng)服務器也無法對外發(fā)布。改進思路二在思路一的基礎上增加了堡壘主機，起到內(nèi)外網(wǎng)絡隔離的作用，對網(wǎng)絡的安全具有一定的作用。下面對改進思路二作簡單的說明。

2.1 網(wǎng)絡拓撲圖

代理服務器采用雙網(wǎng)卡的堡壘主機來增加網(wǎng)絡的安全性。堡壘主機的作用主要有：Internet防火墻、Web緩存服務器以及內(nèi)網(wǎng)服務器發(fā)布等。雙網(wǎng)卡的堡壘主機一個網(wǎng)卡與路由相連，IP地址與路由的LAN口IP在同一網(wǎng)段，如圖可設為192.168.1.253；另一網(wǎng)卡與內(nèi)網(wǎng)交換機相連，IP地址與內(nèi)網(wǎng)IP在同一網(wǎng)段，如圖可設為192.168.2.254，此IP也是內(nèi)網(wǎng)用戶的網(wǎng)關IP。此思路內(nèi)外網(wǎng)通過堡壘主機進行了隔離，同時 DHCP/DNS由內(nèi)網(wǎng)的專門服務器承擔也減輕了路由的負擔，這樣不僅提高了網(wǎng)絡的效率和安全性，也便于維護管理(如圖 2)。

圖2 改進思路二網(wǎng)絡拓撲圖

2.2 服務配置

DHCP/DNS配置：同思路一，網(wǎng)段為192.168.2.0，網(wǎng)關為192.168.2.254，DNS為192.168.2.252。

WEB/FTP配置：同思路一，WEB服務器(WWW.AAA.COM=192.168.2.253)和FTP服務器(FTP.AAA.COM=192.168.2.253)。

防火墻配置：在堡壘主機上安裝防火墻軟件ISA2004，并設置相應的網(wǎng)絡規(guī)則和防火墻策略，以達到對內(nèi)網(wǎng)的訪問控制和安全防護作用。

2.3 優(yōu)點

①安全性較高：通過堡壘主機使得內(nèi)網(wǎng)和外網(wǎng)得到有效的隔離，保障了內(nèi)網(wǎng)的安全，也可以避免內(nèi)網(wǎng)中的客戶機受到外網(wǎng)的攻擊。

②網(wǎng)絡效率較高：堡壘主機具有 Web緩存服務器的作用，可以大大提高內(nèi)網(wǎng)訪問外網(wǎng)的效率。

2.4 缺點

①改進成本較大和管理難度較高：此思路要增添堡壘主機和ISA2004軟件，同時對網(wǎng)絡管需要較專業(yè)的網(wǎng)管員來完成。

②安全性不高：內(nèi)網(wǎng)服務器和內(nèi)網(wǎng)用戶同處于一個網(wǎng)段，服務器的安全不能得到很好的保障，安全性不高。

3 改進思路三：構(gòu)建DMZ區(qū)，增加內(nèi)網(wǎng)的安全性

改進思路二采用雙網(wǎng)卡的堡壘主機作為代理服務器，這有利于網(wǎng)絡安全的提高，但是對于內(nèi)網(wǎng)的WEB/FTP服務器與用戶在同一網(wǎng)段，不便于服務的安全管理，為此思路三在雙網(wǎng)卡的基礎上采用三網(wǎng)卡的堡壘主機，將內(nèi)網(wǎng)的WEB/FTP服務器規(guī)劃在DMZ區(qū)，將內(nèi)網(wǎng)、外網(wǎng)和服務器網(wǎng)段分離開來，達到很好的防護效果。下面對改進思路三作簡單的說明。

3.1 網(wǎng)絡拓撲圖

采用三網(wǎng)卡的堡壘主機來增加網(wǎng)絡的安全性。堡壘主機的連接情況如圖3所示：一個網(wǎng)卡連接路由，IP地址可設為192.168.1.253；另一網(wǎng)卡與內(nèi)網(wǎng)交換機相連，IP地址可設為192.168.2.254，此IP也是內(nèi)網(wǎng)用戶的網(wǎng)關IP；第三個網(wǎng)卡與DMZ區(qū)相連，IP地址可設為192.168.3.254，此IP是DMZ區(qū)服務器的外網(wǎng)網(wǎng)關IP。在堡壘主機上安裝ISA2004網(wǎng)關防火墻。對于網(wǎng)絡設備交換機和路由器，可采用專業(yè)的產(chǎn)品(如思科、華為)，這更能增加網(wǎng)絡的安全性和可管理性。

圖3 改進思路三網(wǎng)絡拓撲圖

3.2 服務配置

DHCP/DNS配置：DHCP/DNS服務器部署在內(nèi)網(wǎng)，配置方法同思路二。網(wǎng)段為192.168.2.0，內(nèi)網(wǎng)網(wǎng)關為192.168.2.254，DNS為192.168.2.253。

WEB/FTP配置：WEB/FTP服務器部署在DMZ區(qū)，配置方法類同思路二。WEB服務器(WWW.AAA.COM=192.168.3.252)和FTP服、務器(FTP.AAA.COM=192.168.3.253)。

防火墻配置：在堡壘主機上安裝防火墻軟件 ISA2004，并設置相應的網(wǎng)絡訪問規(guī)則，使得內(nèi)網(wǎng)用戶可以訪問外網(wǎng)和DMZ區(qū)；外網(wǎng)和DMZ不能訪問內(nèi)網(wǎng)，但可以互相訪問，并設置相應的防火墻策略，以達到對內(nèi)網(wǎng)的訪問控制和安全防護作用。同時還可以將DMZ區(qū)的服務器向外網(wǎng)發(fā)布，以便外網(wǎng)客戶的訪問。

3.3 優(yōu)點

①安全性高：通過DMZ使得內(nèi)網(wǎng)服務器和客戶機在不同的網(wǎng)段，增強了服務器的安全性。同時通過ISA2004使得內(nèi)網(wǎng)的訪問得到很好的控制，也保證了客戶機的安全。這樣可以有效防護內(nèi)網(wǎng)客戶機的安全，同時DMZ區(qū)的服務器的安全性也受到堡壘主機的防護。

②拓展性強：構(gòu)建DMZ不僅可以提高網(wǎng)絡安全性，還有利于網(wǎng)絡的拓展升級，如用DMZ區(qū)的服務器承擔學校外網(wǎng)網(wǎng)站服務，可以減少網(wǎng)站服務器托管費用。

③管理性強：網(wǎng)絡設備采用專業(yè)的可網(wǎng)管的產(chǎn)品，可以進行更加細致和專業(yè)的管理，如可以對內(nèi)網(wǎng)劃分VLAN以減小網(wǎng)絡廣播的影響，同時可以有效防止類似ARP病毒對局域網(wǎng)大范圍的傳播和攻擊。專業(yè)的網(wǎng)絡設備還可以通過網(wǎng)絡進行遠程管理和維護。

3.4 缺點

①改進成本較大：此思路要增添堡壘主機和ISA2004軟件，還要增加相應的專業(yè)網(wǎng)絡設，改進成本較大。

②管理難度較高：網(wǎng)絡管理需要懂ISA2004和專業(yè)網(wǎng)絡設備維護管理的專業(yè)網(wǎng)管員來完成。

4 結(jié)束語

網(wǎng)絡安全的防護與網(wǎng)絡的結(jié)構(gòu)緊密相關，不同的結(jié)構(gòu)具有不同的安全防護作用。對于不同需求的學校可以將以上幾種思路作為改進網(wǎng)絡時的一個參考，本著提高網(wǎng)絡效率，增加網(wǎng)絡安全性的原則去進行改進。

[1] 蔡磊.小型局域網(wǎng)級網(wǎng)實戰(zhàn).電子工業(yè)出版社.2001.

[2] 劉曉輝.圖解局域網(wǎng)構(gòu)建與實戰(zhàn).北京科海電子出版社.2006.

[3] 美Jeffey R.Shapiro.Windows Server 2003寶典.電子工業(yè)出版社.2004.

[4] 王達.網(wǎng)管員必讀——網(wǎng)絡應用.電子工業(yè)出版社.2006.