危光辉
[摘 要]现在高校校园网络系统随着招生规模的增加,网络系统变得越来越大,结构也越来越复杂,许多高校校园网建设初期对网络安全重视度不够,网络安全布防不规范,给安全体系带来了极大的挑战。本文通过首先分析了校园网普遍存在的安全问题,然后结合大学校园网络的安全需求,论述了建立大学校园网络安全系统的解决措施。
[关键词]计算机网络 防火墙 网络安全 网络设计
[中图分类号]G72[文献标识码]A[文章编号]1007-9416(2009)12-0009-02
1引言
本文通过对一些高校校园网络的调查,分析网络运行状况,发现高校校园网络主要存在这样一些现象:网络不稳定,时常断网,不能正常访问internet;由于外网线路,外部路由器等引起外部用户不能正常访问学校网站;由于带宽不够造成网络反应速度缓慢;常受外部攻击,内网数据受非授权访问,资源滥用,病毒感染等等情况常有发生。上述问题己严重影响到校园网的正常应用。文本针对这些问题,设计了建立网络安全系统的解决措施,包括外网的安全访问;网络结构的安全设计:主干安全设计、子网安全隔离;网络服务的安全管理:防火墙控制、病毒防治、登录控制、使用硬盘保护卡及其它安全措施等。
2 外网的安全访问
利用校园网站对外进行宣传是展现现代高校形象的重要方式,校园网必然地要与公众网络相连接,由于现在网络攻击手段日益增多,如何确保高校的信息资源、校内数据资料的安全保密是一个重要的问题。要保证外网在任何时候都能访问到学校的Web站点,又需要禁止所有来自外网用户对学校内部的重要数据的访问,应该对校园网采用了屏蔽子网模式设计,专门为学校对外提供的Web服务器,FTP服务器和Mail服务器等提供一个DMZ区域,并对Web,FTP,Mail,DNS等服务器采用双机热备策略实现服务器的冗余以提高安全性和可靠性。同时,为了避免外部路由器、防火墙的单点失效及外网线路,ISP等引起的故障,可以采用链路备份技术:可申请两条外网通信链路,一条为100M甚至1000M带宽的光纤链路,另申请一条低价的2M ADSL作为备份,一旦主链路出了问题,可自动切换到备份链路上,当主链路故障未恢复前,可以保证学校主要部门访问外部网络不致中断,从而保证了外网接入和访问的安全性和可靠性。
3 网络结构的安全设计
要解决一个网络的安全问题,绝不能只是将各种网络安全设备作简单的布署和堆切,也不是简单的安装杀毒软件等就可以解决,必须有安全的网络结构设计作为前提:主干安全设计和子网安全隔离设计。
3.1 主干安全设计
校园内网主干安全性和可靠性的高低,是评判一个校园网是否安全的重要标准。对于校园内部网络骨干,为了提高网络的稳定性和高速反应的性能,应该采用双核心技术,比如可采用两台Cisco Catalyst6509核心交换机,并以网关负载均衡协议GLBP技术进行冗余设计,既保证了交换带宽,又保证了链路的冗余。从核心层到各分布层交换机,可以采用以千兆光纤作为干路,使用3对光纤冗余的方式,从网络管理中心的核心交换机的千兆端口分别连接至校园内各办公大楼、教学大楼、实验大楼等分布层交换机,采用3对光纤冗余的设计方式可以解决链路损坏时线路检修导致长时间内网络不通的情况。
3.2 子网安全隔离
通常一个大学内的应用点众多,地址位置十分分散,并且对网络安全性也有不同的要求,所以需要划分子网以便管理。划分子网的原则有两个:一是从安全性角度,二是从地理位置,主机数量的角度。首从安全性上考虑:在学校职能部门中,对安全性要求较高的主要有校长办公室,党支部办公室,人事处,财务处等,每个部分需要划分一个子网,以利于与其它网段隔离,提高安全性,而如校工会,校团委等对安全性要求一般的部门,可以划分在一个子网内;然后结合地理位置、使用对象、主机数量等综合考虑划分子网,然后对各子网间互访进行策略设计,比如采用分布式防火墙,以及访问控制列表ACL,以及端口、IP、MAC相绑定以杜绝非法盗用及非法访问。
4 网络服务的安全保障
校园网应用系统的多样性,复杂性,开放性,终端分布的不均匀性,极易遭受黑客,恶性软件,非法授权的入侵与攻击,以及存在有越权访问服务器数据或网络设备等问题,即使使用了再好的高性能的网络设备,如果没有对网络进行安全设计以及良好的管理,那么也可能在很短的时间内,轻则变得极其缓慢,重则数据丢失,网络崩溃。在设计校园网时,可以采用以下方式来提升网络的安全性:
4.1 防火墙控制
防火墙是在内网与外网之间构筑的一道安全屏障,用于保护内网中的信息不受来自外网的非法侵犯。根据本文前面所述,校园网内外网连接采用屏蔽子网模式,可以在DMZ区与内网之间的防火墙使用比CiscoPIX系列防火墙安全性更高的Cisco适应性安全产品ASA(Adaptive Security Appliance);DMZ区与外网之间可使用Cisco PIX Firewall 535系列防火墙,并在防火墙上只开启有限的端口,如访问网站,文件服务器和电子邮件服务器的端口,禁用其它端口以提高DMZ区中服务器和内网数据的安全性。
4.2 病毒防治
网络服务器是计算机网络的中心,是网络的支柱。网络瘫痪的—个重要标志就是网络服务器瘫痪。网络服务器—旦被击垮,造成的损失是灾难性的、难以挽回和无法估量的。但计算机病毒有别于一般的网络攻击,不可能靠安装防火墙等设备来防治。针对网络服务器的病毒防治方法,可以使用防病毒可装载模块(NLM),以提供实时扫描病毒的能力,并结合利用在服务器上的插防毒卡技术,从而切断病毒进一步传播的途径,同时,在学校的信息管理中心人员,应该在学校培养起集体防毒意思,制定出防病毒管理机制,变被动为主动,从根本上保护网络系统的安全运行。
4.3 登录控制
对能登到重要的服务器、交换机和路由器等网络设备的用户,应该专门配置进行集中验证的radius服务器进行身份认证,针对每个有权访问学校重要数据,如财务数据,招生信息数据以及学院的重要决策等,根据身份或角色的不同,应该分别设置不同访问权限,分配不同的账号,并对登录时间,地点,用户帐号等进行了控制,特别针对帐号进行管理,要求定期修改口令,设置口令的长度以及拒绝纯数字口令等。
4.4 使用硬盘保护卡
针对不需要经常安装新软件的终端,如图书馆电子阅览室,应该采用了硬盘保护卡,如果被病毒感染,重启之后即可恢复正常。
4.5 其它安全措施
如定期数据的备份,数据镜像,对重要数据的加密保存,操作系统漏洞补丁检测等等技术综合应用,以提高校园网重要数据的安全性和可靠性。
[参考文献]
[1] 黎连业,张维.防火墙及其应用技术[M].清华大学出版社.
[2] 许治坤,王伟,郭添森,杨冀龙.网络渗透技术[M].电子工业出版社,2005-5-11.
[3] 谢希仁.计算机网络(第4版)[M].北京:电子工业出版社,2003.