◆闕 非

（南京理工大學(xué) 江蘇 210094）

基于網(wǎng)絡(luò)拓?fù)浣ㄔO(shè)高校網(wǎng)絡(luò)安全

◆闕 非

（南京理工大學(xué) 江蘇 210094）

探究當(dāng)下高校的網(wǎng)絡(luò)安全環(huán)境，研究網(wǎng)絡(luò)安全建設(shè)的現(xiàn)實意義。搜集了網(wǎng)絡(luò)安全相關(guān)系統(tǒng)設(shè)備的資料，并進(jìn)行了分析與比較。將校園網(wǎng)絡(luò)環(huán)境分為邊界、核心、數(shù)據(jù)、用戶四個區(qū)域，針對不同區(qū)域考量各類安全系統(tǒng)與設(shè)備。根據(jù)各個網(wǎng)絡(luò)區(qū)域的實際與特點(diǎn)，部署相適應(yīng)的安全防護(hù)系統(tǒng)。并逐步優(yōu)化區(qū)域內(nèi)系統(tǒng)之間的級聯(lián)關(guān)系，從而高效率解決常見的安全問題，提升高校的網(wǎng)絡(luò)安全級別。

網(wǎng)絡(luò)安全；拓?fù)鋮^(qū)域；設(shè)備系統(tǒng)；架構(gòu)建設(shè)

0 引言

目前，絕大多數(shù)高校在校園網(wǎng)絡(luò)建設(shè)方面已有所成就，并構(gòu)建出一套適合本校網(wǎng)絡(luò)環(huán)境與特色的網(wǎng)絡(luò)拓?fù)?，但在網(wǎng)絡(luò)安全層面仍存在短板與不足。在校園網(wǎng)環(huán)境下，無論網(wǎng)絡(luò)拓?fù)涠嗝待嫶?，也必定存在邊界出口、網(wǎng)絡(luò)核心、數(shù)據(jù)中心等功能結(jié)構(gòu)，將整個拓?fù)浞指顬樗膫€區(qū)域：邊界區(qū)域、核心區(qū)域、DMZ區(qū)域與用戶區(qū)域。每個區(qū)域承載的功能不同，網(wǎng)絡(luò)安全的需求也大相徑庭。

1 高校網(wǎng)絡(luò)邊界區(qū)域安全建設(shè)

邊界區(qū)域，主要負(fù)責(zé)運(yùn)營商ISP的接入，出口地址NAT映射，IP域名的準(zhǔn)入準(zhǔn)出等重要功能；核心區(qū)域，主要承載了網(wǎng)絡(luò)核心交換、路由地址轉(zhuǎn)發(fā)、下層匯聚網(wǎng)絡(luò)等功能；DMZ區(qū)域，包括服務(wù)器、存儲設(shè)備，形式上可以是實體機(jī)也可以是虛擬化設(shè)備，甚至采用服務(wù)器集群或是小型機(jī)來提供高性能的運(yùn)算資源；用戶區(qū)域，由底層匯聚交換、樓宇交換以及用戶使用的終端組成，也是高校網(wǎng)絡(luò)拓?fù)涞淖詈笠还铩?/p>

高校邊界區(qū)域位于整個網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的最外端，負(fù)責(zé)連接校內(nèi)與校外的網(wǎng)絡(luò)資源。出口防火墻用于校內(nèi)資源的訪問控制與黑白名單設(shè)置。目前高性能的防火墻具備諸多安全防護(hù)功能：訪問控制，用于針對源頭地址與目標(biāo)地址的隔離；會話數(shù)限制，主要用于針對校內(nèi)服務(wù)器IP，進(jìn)行并發(fā)數(shù)控制以此防護(hù)惡意的流量攻擊；黑名單功能，用于對校外攻擊源IP或URL進(jìn)行封停處理。

除了出口防火墻，需要其他系統(tǒng)來加固邊界區(qū)域的網(wǎng)絡(luò)安全等級。高校比較常見的是防洪流 ADS設(shè)備，針對流量性質(zhì)的惡意攻擊進(jìn)行事前預(yù)警，并聯(lián)動出口防火墻進(jìn)行應(yīng)急控制。洪流攻擊能夠輕易造成網(wǎng)站服務(wù)器擁堵，影響核心網(wǎng)絡(luò)層的設(shè)備導(dǎo)致網(wǎng)絡(luò)癱瘓、停滯。常見的洪流攻擊種類包括：服務(wù)拒絕攻擊 DDoS與代理服務(wù)攻擊 CC。由于攻擊者多采用多臺終端或者控制他人終端進(jìn)行集中式攻擊，導(dǎo)致攻擊源頭存在數(shù)量多、變化快的特征，難以定位并加以遏制。防洪流 ADS設(shè)備為旁路部署、級聯(lián)反饋的方式，通過一系列的模擬算法與異常檢測機(jī)制，預(yù)警出將要發(fā)生的攻擊行為，并依據(jù)算法模擬結(jié)果，聯(lián)動出口防火墻持續(xù)性對抗攻擊源，動態(tài)禁止浮動IP。

另一類高校常見的邊界區(qū)域安全系統(tǒng)為入侵防御系統(tǒng) IPS。IPS系統(tǒng)部署于出口防火墻與網(wǎng)絡(luò)核心之間，同樣采用級聯(lián)部署方式。與出口防火墻的攔截手段不同的是，IPS系統(tǒng)并非針對IP或是 URL進(jìn)行限制防護(hù)，而是依靠對數(shù)據(jù)包的檢測進(jìn)行防御。入侵防御系統(tǒng)實時檢查流向網(wǎng)絡(luò)核心區(qū)域的數(shù)據(jù)包，在確定數(shù)據(jù)包的目的與用途之后，決定是否允許其進(jìn)入高校內(nèi)網(wǎng)環(huán)境。IPS系統(tǒng)實現(xiàn)了邊界區(qū)域的網(wǎng)絡(luò)監(jiān)控與傳輸行為的準(zhǔn)入準(zhǔn)出，自主并實時隔離異常的數(shù)據(jù)流量，并中斷影響危害校園內(nèi)網(wǎng)的資源傳輸行為。

2 高校網(wǎng)絡(luò)核心區(qū)域安全架構(gòu)

關(guān)于高校網(wǎng)絡(luò)核心區(qū)域的安全架構(gòu)，與電商、ICP公司不同的是，在高校環(huán)境下網(wǎng)絡(luò)核心區(qū)域的中心是核心交換而不是核心路由，這是由于高校網(wǎng)絡(luò)的服務(wù)目標(biāo)是網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)而不是內(nèi)網(wǎng)資源對外發(fā)布。圍繞網(wǎng)絡(luò)核心的部署原則：旁路部署、鏡像引流。這里需要解釋下此部署原則的原因：由于網(wǎng)絡(luò)核心區(qū)域的主要功能是處理大量的數(shù)據(jù)轉(zhuǎn)發(fā)工作，所以其負(fù)載較重且穩(wěn)定性要求較高。安全架構(gòu)對于核心區(qū)域只能采用并聯(lián)的方式，不能串聯(lián)部署影響網(wǎng)絡(luò)運(yùn)行。同理，為了不增加核心交換機(jī)的運(yùn)載負(fù)荷，這里的安全系統(tǒng)通常只進(jìn)行分析評估而不采取封停限制等控制措施。

在高校網(wǎng)絡(luò)環(huán)境下，盲目地部署檢測系統(tǒng)是低效且冗余的，信息化工作人員需要根據(jù)攻擊類型進(jìn)行針對性檢測與防護(hù)。針對資源竊取、信息泄露、數(shù)據(jù)篡改，需要部署高級持續(xù)性威脅檢測系統(tǒng)APT；針對洪流攻擊、網(wǎng)頁篡改、跨站腳本，則需要部署入侵檢測系統(tǒng)IDS；而針對惡意訪問、定向攻擊、偽裝數(shù)據(jù)則需要部署蜜罐網(wǎng)絡(luò)系統(tǒng)HPS。APT系統(tǒng)通過沙盒測試的方式，在測試環(huán)境內(nèi)分析評估異常數(shù)據(jù)，從而發(fā)現(xiàn)正在進(jìn)行中的數(shù)據(jù)竊取類行為。IDS系統(tǒng)采用流量分析直接依據(jù)攻擊模式的pattern特征識別攻擊行為。HPS則是設(shè)置虛假的蜜罐陷阱，讓黑客鎖定在一個無效的測試環(huán)境之下。以上三類安全防護(hù)系統(tǒng)不同的是各自的分析方法與檢測模式，如何選擇三類網(wǎng)絡(luò)核心區(qū)域的防護(hù)系統(tǒng)需要因地制宜，根據(jù)高校的實際情況與遭受的安全風(fēng)險類型而選擇部署。

3 高校網(wǎng)絡(luò)DMZ區(qū)域安全部署

關(guān)于高校DMZ區(qū)域的安全部署問題，各大高校往往缺乏針對性的防護(hù)體系。很多高校雖然在邊界出口部署了安全系統(tǒng)，但在服務(wù)器、存儲設(shè)備所處的環(huán)境方面卻忽視了部署安全系統(tǒng)的重要性。由于邊界的防護(hù)不是絕對命中生效的，這會導(dǎo)致部分木馬病毒潛入高校內(nèi)部，從而發(fā)起一系列的攻擊行為。不僅如此很多黑客行為也是在高校內(nèi)部服務(wù)器被劫持的情況下從內(nèi)而外產(chǎn)生的，需要內(nèi)部安全防護(hù)體系的處理。

與邊界區(qū)類似，DMZ區(qū)域也需要部署一臺專屬的防火墻設(shè)備。DMZ防火墻的作用與邊界防火墻的作用不同，DMZ防火墻承擔(dān)的是隔離不同安全域，保證內(nèi)對內(nèi)的網(wǎng)絡(luò)攻擊與病毒傳播能夠得到封鎖。通過在匯聚交換機(jī)之前部署防火墻，能夠有效防御來自高校內(nèi)部的攻擊，如被劫持的僵尸主機(jī)等威脅。此外，高校數(shù)據(jù)中心通常部署了不同功能的服務(wù)器集群，為了有效隔離各個安全域我們通常部署多臺DMZ防火墻，從而實現(xiàn)一對多的定點(diǎn)防護(hù)與不同DMZ之間消除惡性干擾。

高校運(yùn)行的信息系統(tǒng)多數(shù)是基于WEB界面的B/S架構(gòu)應(yīng)用，而防火墻無法針對服務(wù)器運(yùn)載的系統(tǒng)進(jìn)行逐項監(jiān)測，因此在DMZ區(qū)域需要部署應(yīng)用系統(tǒng)防護(hù)設(shè)備WAF。WAF能夠依據(jù)不斷更新優(yōu)化的規(guī)則庫，識別出針對WEB應(yīng)用的惡意攻擊。無論是遍歷掃描、數(shù)據(jù)篡改、還是跨站攻擊，WAF設(shè)備均可以定位到攻擊行為的源頭IP與目標(biāo)URL，并及時采取攔截或是隔離等操作。相比較于DMZ防火墻，WAF設(shè)備能夠更加專業(yè)的防護(hù)服務(wù)器運(yùn)行的應(yīng)用與網(wǎng)站，并智能化地進(jìn)行抗攻擊處理。

DMZ區(qū)域通常需要部署漏掃設(shè)備，用于檢查全校網(wǎng)站及應(yīng)用系統(tǒng)的安全漏洞問題。安全漏洞包括：主機(jī)漏洞與WEB漏洞。主機(jī)漏洞為服務(wù)器部署的操作系統(tǒng)所存在的系統(tǒng)漏洞。而 WEB漏洞多數(shù)存在于WEB應(yīng)用程序本身，系開發(fā)過程中未曾規(guī)避的代碼漏洞，包括：SQL注入、跨站腳本、外鏈嵌入等。漏掃系統(tǒng)能夠集中掃描高校運(yùn)行的各類網(wǎng)站與系統(tǒng)，為網(wǎng)站及系統(tǒng)的安全加固提供技術(shù)指導(dǎo)與處理方案。

4 高校網(wǎng)絡(luò)用戶區(qū)域安全建設(shè)

高校的網(wǎng)絡(luò)用戶是全校學(xué)生與老師，而用戶使用的終端種類繁雜且基數(shù)龐大，導(dǎo)致用戶個體的管理變得十分困難，因此，對用戶區(qū)域進(jìn)行統(tǒng)一的管理與安全建設(shè)是非常必要的。所以采用安裝于終端的軟件防火墻來防御黑客攻擊，或針對辦公區(qū)域安裝終端管理系統(tǒng)進(jìn)行直接監(jiān)控。如果木馬病毒已經(jīng)滲透至用戶區(qū)域，則需要請安全公司進(jìn)行滲透測試并完成后續(xù)應(yīng)急處理。

5 結(jié)論

本文闡述了高校網(wǎng)絡(luò)環(huán)境下，不同區(qū)域內(nèi)實用且精煉的安全架構(gòu)與防護(hù)系統(tǒng)。然而高校安全建設(shè)也并非是系統(tǒng)平臺越多越好，與之相反，在有限的經(jīng)費(fèi)支持下，我們更應(yīng)該追求安全架構(gòu)的性價比與實用性。僅靠建設(shè)安全系統(tǒng)是遠(yuǎn)遠(yuǎn)不夠的，我們還需要完備的安全管理制度、可操作的安全事件流程以及訓(xùn)練有素的工作人員，校外安全服務(wù)公司的技術(shù)支持與應(yīng)急響應(yīng)同樣至關(guān)重要。建設(shè)并完善一套高效網(wǎng)絡(luò)安全架構(gòu)，能夠讓信息安全管理者事半功倍，更有助于創(chuàng)建良好的校園網(wǎng)絡(luò)環(huán)境。

[1]楊學(xué)富.構(gòu)建高校網(wǎng)絡(luò)安全系統(tǒng)[J].華東交通大學(xué)學(xué)報，2004.

[2]厲曉華.高校網(wǎng)絡(luò)安全管理模式的探索與實踐[J].科技創(chuàng)新導(dǎo)報，2009.

[3]諸曄.用 ACL實現(xiàn)系統(tǒng)的安全訪問控制[J].計算機(jī)應(yīng)用與軟件，2005.

[4]V.Ahuja.Network and Internet Security[M].Chestnut Hill:Academic Press，1996.[5]Shirey R.Internet Security Glossary[M]. RFC Editor，2000.