引言：為及時、全面、準(zhǔn)確地宣傳黨的路線、方針、政策，為廣大黨員干部和群眾，提供優(yōu)質(zhì)的、具有地方特色的教學(xué)資源，提供完善的黨員干部教育服務(wù)，筆者所在的某地市級黨員干部遠(yuǎn)程教育辦公室，建立了覆蓋全市的遠(yuǎn)程教育平臺系統(tǒng)，每位黨員干部在Internet網(wǎng)絡(luò)的任何“角落”，都能順利地進(jìn)行在線學(xué)習(xí)。

遠(yuǎn)程教育平臺系統(tǒng)，租用了電信的一條寬帶線路，接入Internet網(wǎng) 絡(luò)，出口帶寬大小為4MB，光纖經(jīng)過光電轉(zhuǎn)換器轉(zhuǎn)為RJ45接口后，連接到一臺核心路由交換機上。核心交換機上除了連接兩臺主、備遠(yuǎn)程教育平臺服務(wù)器外，還使用多模光纖線路，連接了遠(yuǎn)程教育大樓四個樓層交換機，圖1所示界面是整個遠(yuǎn)程教育網(wǎng)的簡單拓?fù)鋱D。

存在問題

圖1 遠(yuǎn)程教育網(wǎng)簡單拓?fù)鋱D

當(dāng)初組網(wǎng)時，以為遠(yuǎn)程教育平臺只是面對特定用戶，而且需要授權(quán)才能訪問，所以基本沒有采取任何安全防護(hù)措施，遠(yuǎn)程教育平臺服務(wù)器僅僅依靠安裝在其中的殺毒軟件和軟式防火墻，來保護(hù)遠(yuǎn)程訪問的安全。但這幾年，隨著訪問人數(shù)的越來越多，遠(yuǎn)程教育平臺遭遇非法攻擊的次數(shù)逐漸增多，嚴(yán)重影響了黨員干部的在線學(xué)習(xí)。某次，因為沒有及時更新殺毒軟件病毒庫，造成遠(yuǎn)程教育系統(tǒng)感染了一種特殊病毒，這種病毒通過Windows系統(tǒng)平臺自身存在的漏洞，對遠(yuǎn)程教育網(wǎng)進(jìn)行了非法攻擊，不但強行關(guān)閉殺毒軟件或其他安全工具，而且還對網(wǎng)絡(luò)445端口進(jìn)行攻擊，讓整個網(wǎng)絡(luò)傳輸通道堵塞不堪，影響了遠(yuǎn)程教育網(wǎng)絡(luò)的數(shù)據(jù)傳輸，技術(shù)人員經(jīng)過連夜加班后，才勉強將病毒危險降到最低限度。此外，遠(yuǎn)程教育平臺訪問還經(jīng)常出現(xiàn)堵塞現(xiàn)象，網(wǎng)絡(luò)出口帶寬不大，在視頻教學(xué)資源越來越多的情況下，出口帶寬已經(jīng)成為網(wǎng)絡(luò)的傳輸瓶頸。遠(yuǎn)程教育大樓內(nèi)部的布線方面，因為缺少專門的網(wǎng)絡(luò)管理人員，網(wǎng)絡(luò)私拉亂接現(xiàn)象十分嚴(yán)重，核心交換機和樓層交換機之間，還掛接有相當(dāng)多的小交換機，甚至在網(wǎng)絡(luò)中常常發(fā)生環(huán)路現(xiàn)象。網(wǎng)絡(luò)線纜連接基本沒有捆扎和標(biāo)簽說明，每次遇到故障時，給排查帶來了極大麻煩。面對諸多問題，整個教育系統(tǒng)的改造已經(jīng)刻不容緩。

安全分析

鑒于遠(yuǎn)程教育系統(tǒng)的安全現(xiàn)狀，如果要保證該網(wǎng)絡(luò)中的主、備平臺服務(wù)器不被攻擊，應(yīng)該立即采取有效措施，全面超前地保護(hù)好它們，畢竟在實際工作中，無論怎么運行平臺系統(tǒng)，它們都有可能存在各種非法攻擊?？紤]到遠(yuǎn)程教育系統(tǒng)的兩臺服務(wù)器中，存儲有大量珍貴的視頻教學(xué)資源，所以一定要通過嚴(yán)格的訪問控制技術(shù)，來限制無關(guān)用戶的登錄訪問。不過，對于來自間接物理訪問引起的病毒入侵，往往很難預(yù)防，同時整個遠(yuǎn)程教育系統(tǒng)的自動化程度和工作效能無法得到保障。

防火墻在安全防護(hù)體系中，可以對網(wǎng)絡(luò)訪問行為進(jìn)行有效控制，對確保網(wǎng)絡(luò)訪問行為的安全性起到了相當(dāng)重要的作用?？梢赃@樣說，防火墻安全防護(hù)體系的建立與否，直接關(guān)系到遠(yuǎn)程教育系統(tǒng)能不能對惡意訪問進(jìn)行有效的預(yù)防。眾所周知，善于使用硬件或軟件防火墻，能預(yù)防各式各樣的非法攻擊，可以幫助定位攻擊類型和攻擊來源。能夠避免惡意用戶的非法掃描，通過定制安全規(guī)則將攻擊行為扼殺于萌芽之中?？梢缘种艱oS/DDoS攻擊和源路由攻擊，借助檢測、控制和報警措施，攔截DoS惡意用戶攻擊，通過配置合適的規(guī)則，拒絕TCP/IP數(shù)據(jù)包中的源路由選項，避免源路由攻擊現(xiàn)象發(fā)生。此外，安全防護(hù)體系中的防火墻，還具有監(jiān)控、審計和報警功能，利用這些功能可以加強對遠(yuǎn)程教育系統(tǒng)的實時監(jiān)控，當(dāng)遇到意外攻擊時，網(wǎng)絡(luò)管理員在第一時間會得到報警提示。

在上述安全分析基礎(chǔ)之上，為了加強對遠(yuǎn)程教育系統(tǒng)主、備服務(wù)器的保護(hù)，決定對該系統(tǒng)的拓?fù)浣Y(jié)構(gòu)進(jìn)行適當(dāng)調(diào)整，在該系統(tǒng)中部署防火墻子系統(tǒng)，以便在邏輯上保護(hù)、隔離好主、備服務(wù)器，不讓其中的重要數(shù)據(jù)受到安全威脅。增加一臺核心路由交換機，與原來的核心路由交換機，通過生成樹協(xié)議達(dá)到智能切換目的，提高整個遠(yuǎn)程教育網(wǎng)絡(luò)與外網(wǎng)的連接安全性和穩(wěn)定性。為了不讓遠(yuǎn)程系統(tǒng)內(nèi)部網(wǎng)絡(luò)由于管理混亂，出現(xiàn)安全隱患，決心重新布置網(wǎng)絡(luò)線纜，確保標(biāo)簽明確、走線美觀、結(jié)構(gòu)清晰。此外，為了提高遠(yuǎn)程教育平臺的訪問速度，決定擴充Internet出口帶寬，從當(dāng)?shù)剡\營商那里重新申請一條10M光纖線路，來改善出口帶寬大小。

改造過程

下面的任務(wù)主要是制定改造方案和設(shè)備選型。制定改造方案任務(wù)，主要包括改造費用測算、修改網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、明確改造步驟等。在進(jìn)行設(shè)備選型時，決定新買的核心路由交換機也使用H3C品牌，因為已有的一臺設(shè)備型號為H3C Quidway S8500系列，這樣采用統(tǒng)一的品牌產(chǎn)品，可以有效預(yù)防設(shè)備不兼容之間的問題，同時也能給日后的管理維護(hù)帶來方便，網(wǎng)管員只要使用以前掌握的命令就能配置維護(hù)設(shè)備了。硬件防火墻則選擇天融信的NGFW4000-UF，該防火墻具有系統(tǒng)管理、身份認(rèn)證、攻擊防護(hù)、高可用、病毒防護(hù)、流量管理、行為管理及審計、PKI、IPSEC VPN、SSL VPN等功能，比較符合遠(yuǎn)程教育系統(tǒng)的安全改造要求；而且該設(shè)備還有4個10/100/1000BASE-T接口和4個SFP插槽，完全可以滿足當(dāng)前使用和日后用戶接入的擴展。其他一些輔助設(shè)備的采購，盡量選用目前市場上的主流產(chǎn)品，包括網(wǎng)絡(luò)線纜、屏蔽水晶頭、機柜間互聯(lián)用配線架以及整理線路的理線架等等。

考慮到新購買的核心路由器和防火墻設(shè)備配置，均由設(shè)備供應(yīng)商負(fù)責(zé)完成，單位提出要求是通過VRRP協(xié)議讓兩臺核心路由交換機實現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備冗余，保證主路由交換機遇到問題后，遠(yuǎn)程教育網(wǎng)絡(luò)可以自動切換到備份路由實現(xiàn)網(wǎng)絡(luò)的連接。為了防止在線學(xué)習(xí)中斷，要求兩臺交換機在主、備切換時，不能等待太長的時間。兩臺防火墻設(shè)備必須連接在交換機之前，作為負(fù)載均衡使用，可以簡單、靈活地控制遠(yuǎn)程教學(xué)平臺服務(wù)器的授權(quán)訪問，同時將以前主、備服務(wù)器連接的交換機，接入到防火墻的SSN區(qū)端口中，通過合理配置啟用防火墻的透明工作模式，再定義好相關(guān)的安全防護(hù)策略，讓防火墻僅允許訪問限定的服務(wù)端口，并僅允許遠(yuǎn)程教育平臺服務(wù)器響應(yīng)必要的外界限定端口。遠(yuǎn)程教育平臺的兩臺主、備服務(wù)器要求做Cluster，同時要求映射一個浮動的IP地址，這兩臺服務(wù)器能夠相互熱備份。在與產(chǎn)品供應(yīng)商簽訂合同的時候，需要注意的是到達(dá)現(xiàn)場服務(wù)的時間和故障響應(yīng)時間要能符合單位事先提出的要求。這次遠(yuǎn)程教育系統(tǒng)安全改造提出的組網(wǎng)拓?fù)鋱D見如圖2所示。

圖2 改造后的組網(wǎng)拓?fù)鋱D

在實際施工的時候，本著先易后難的原則，從樓層弱電間開始梳理線路，等遠(yuǎn)程教育中心機房相關(guān)設(shè)備替換成功后，終端計算機就能立即正常訪問遠(yuǎn)程教育網(wǎng)絡(luò)。梳理樓層弱電間時，首先將那些平時用不到的線纜全部移除，之后根據(jù)組網(wǎng)資料對每根正在使用的連接線纜，進(jìn)行準(zhǔn)確定位，同時貼上標(biāo)簽并進(jìn)行捆帶扎線，再將它們沿著墻角或不容易碰到的位置處走線。在對每個樓層弱電間處理后，開始對中心機房里的線纜進(jìn)行整理，處理步驟同樣是先將不用的或無效的線纜移除掉，之后借助音頻信號查線儀等外力工具，來查找定位線纜同時貼上標(biāo)簽。這種查線操作其實很簡單，可以先將線纜一頭插入工具信號源接口，讓音頻信號發(fā)射出來，接著通過探測頭，越靠近線纜的位置，探測到的聲音會越清晰越大聲，這樣通過聲音就能輕易查找到線纜的另一頭。在查線過程中，將那些違規(guī)接入的中間小交換機全部清除掉，以防出現(xiàn)網(wǎng)絡(luò)環(huán)路現(xiàn)象，同時也減輕網(wǎng)絡(luò)維護(hù)難度。下面是廠商工程師進(jìn)場配置參數(shù)，在正式配置之前，先了解已有設(shè)備的配置參數(shù)，同時熟悉單位新的組網(wǎng)拓?fù)浣Y(jié)構(gòu)，根據(jù)單位提出的改造要求，進(jìn)行有針對性的配置和測試，各項操作都成功后再將防火墻、核心路由器等設(shè)備上架接入，同時將遠(yuǎn)程教育系統(tǒng)的主、備服務(wù)器接入到新的教育網(wǎng)絡(luò)中。至此，就對整個遠(yuǎn)程教育系統(tǒng)完成了安全改造。

最后總結(jié)

這次升級改造主要有三個方面的亮點：一是雙核心路由交換機的投入使用，實現(xiàn)了數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備冗余，提高了遠(yuǎn)程教育網(wǎng)絡(luò)的運行安全性和穩(wěn)定性；二是由兩臺防火墻設(shè)備構(gòu)成的防火墻子系統(tǒng)，重點加強了對遠(yuǎn)程教育平臺兩臺服務(wù)器的核心保護(hù)，給其中的數(shù)據(jù)增加了一層強有力的防護(hù)；三是對出口帶寬的升級，改善了遠(yuǎn)程教育系統(tǒng)的訪問速度和使用效果。經(jīng)過一段時間的運行實踐，發(fā)現(xiàn)遠(yuǎn)程教育系統(tǒng)的運行安全性得到了極大提升，基本上就沒有出現(xiàn)過平臺服務(wù)器內(nèi)容被非法修改或其他攻擊行為，遠(yuǎn)程教育內(nèi)網(wǎng)也很少出現(xiàn)網(wǎng)絡(luò)故障了。