吕宏强
中共宝鸡市委党校 陕西 721001
现有的校园网是在前几年ADSL上网的基础上扩充为光纤而来的,用的网络设备都是不可网管的,性能较差,安全性较低。一般都是用宽带路由作为网络的网关、DHCP服务器和 DNS服务器。内网服务器通过交换机与客户机相连,处于一个网段,为了方便管理在内网不配置 DNS服务器,访问内网WEB服务器是通过IP地址来完成,也很少搭建FTP服务。
方法相对很简单,需要指定相应的网段、IP地址池、网关、DNS,或者为特殊主机保留的IP地址。以图1为例,网段为192.168.1.0,网关为192.168.1.254,首选DNS为192.168.1.252,IP地址池以网络中的主机数为依据,比所有的主机总数多就行,如最多100台主机时可以指定为192.168.1.1至192.168.1.100。
图1 改进思路一网络拓扑图
由于传统方案中路由承担的服务角色太多影响网络的效率和安全性,为此,可以将路由所承担的 DHCP和 DNS服务分离出来,由专门的服务器来完成,这一方面可以减轻路由的承担;另一方面也便于对服务器的集中管理,便于以后网络的升级。
将宽带路由的DHCP和DNS服务分离出来,用一个服务器来承担,以减轻其通信负担。配置的DHCP服务可以实现内网的IP地址自动获取,配置的DNS服务可以实现内网HTTP服务的域名访问和内网访问外网 WEB站点。配置的FTP服务可以实现内网的各种教学资源的共享使用(如图1)。
DHCP配置:用中档客户机就可以实现DHCP服务的需求,操作系统最好是 Windows Server 2003。DHCP的配置
DNS配置:DNS服务对硬件的要求不是很高,可以和DHCP服务配置在一台服务器机上。对于DNS的配置可以创建WEB服务器(WWW.AAA.COM=192.168.1.253)和 FTP服务器(FTP.AAA.COM=192.168.1.253)的正向作用域和反向作用域,配置DNS的转发器,指向ISP提供的DNS服务器(如陕西电信可指定 61.134.1.4)。这样当内网用户访问时,通过DNS解析后,如果是内网就会通过IP地址直接访问,如果是外网就会通过网关去访问外网。同时 DNS配置后就启动了DNS缓存服务功能,在工作过程中能够大减少内网对外网的访问(主要是DNS解析的访问),从而提高通信效率。
WEB/FTP服务配置:首先,在DNS服务器上创建WEB和FTP所对应的正向作用域(由域名到IP的解析)和反向作用域(由 IP到域名的解析);其次,在服务器上安装 Windows Server 2003操作系统,并安装IIS服务。创建基于主机头的虚拟WEB站点和FTP站点,指定相应的访问目录和访问权限。完成后就能够在内网上通过域名访问 WEB(URL=HTTP://WWW.AAA.COM)和FTP(URL=FTP://FTP. AAA.COM)服务。
安全防护措施配置:在DHCP/DNS服务器和WEB/FTP服务器上安装桌面防火墙和杀毒软件,以提高服务器的安全防护能力。
内网的DHCP和DNS不再由路由来承担,而是由专门的服务器来承担,这样有利于减轻路由的负担,同时内网的WEB和FTP两种服务均可以采用域名来访问,方便了用户对内网的访问。
安全性不高,内网服务器和客户机还是在同一网段,安全性方面和传统的方案没有多大提高。同时桌面防病毒软件防护能力有限,不能起到有效的防护,特别是对于基于局域网传播的病毒(如ARP)防护力度很差。
改进思路一虽然将路由的部分服务角色分离出来,但是对于网络的安全防护没有改进多少,不便于安装基于网络访问的防火墙,内网服务器也无法对外发布。改进思路二在思路一的基础上增加了堡垒主机,起到内外网络隔离的作用,对网络的安全具有一定的作用。下面对改进思路二作简单的说明。
代理服务器采用双网卡的堡垒主机来增加网络的安全性。堡垒主机的作用主要有:Internet防火墙、Web缓存服务器以及内网服务器发布等。双网卡的堡垒主机一个网卡与路由相连,IP地址与路由的LAN口IP在同一网段,如图可设为192.168.1.253;另一网卡与内网交换机相连,IP地址与内网IP在同一网段,如图可设为192.168.2.254,此IP也是内网用户的网关IP。此思路内外网通过堡垒主机进行了隔离,同时 DHCP/DNS由内网的专门服务器承担也减轻了路由的负担,这样不仅提高了网络的效率和安全性,也便于维护管理(如图 2)。
图2 改进思路二网络拓扑图
DHCP/DNS配置:同思路一,网段为192.168.2.0,网关为192.168.2.254,DNS为192.168.2.252。
WEB/FTP配置:同思路一,WEB服务器(WWW.AAA.COM=192.168.2.253)和FTP服务器(FTP.AAA.COM=192.168.2.253)。
防火墙配置:在堡垒主机上安装防火墙软件ISA2004,并设置相应的网络规则和防火墙策略,以达到对内网的访问控制和安全防护作用。
①安全性较高:通过堡垒主机使得内网和外网得到有效的隔离,保障了内网的安全,也可以避免内网中的客户机受到外网的攻击。
②网络效率较高:堡垒主机具有 Web缓存服务器的作用,可以大大提高内网访问外网的效率。
①改进成本较大和管理难度较高:此思路要增添堡垒主机和ISA2004软件,同时对网络管需要较专业的网管员来完成。
②安全性不高:内网服务器和内网用户同处于一个网段,服务器的安全不能得到很好的保障,安全性不高。
改进思路二采用双网卡的堡垒主机作为代理服务器,这有利于网络安全的提高,但是对于内网的WEB/FTP服务器与用户在同一网段,不便于服务的安全管理,为此思路三在双网卡的基础上采用三网卡的堡垒主机,将内网的WEB/FTP服务器规划在DMZ区,将内网、外网和服务器网段分离开来,达到很好的防护效果。下面对改进思路三作简单的说明。
采用三网卡的堡垒主机来增加网络的安全性。堡垒主机的连接情况如图3所示:一个网卡连接路由,IP地址可设为192.168.1.253;另一网卡与内网交换机相连,IP地址可设为192.168.2.254,此IP也是内网用户的网关IP;第三个网卡与DMZ区相连,IP地址可设为192.168.3.254,此IP是DMZ区服务器的外网网关IP。在堡垒主机上安装ISA2004网关防火墙。对于网络设备交换机和路由器,可采用专业的产品(如思科、华为),这更能增加网络的安全性和可管理性。
图3 改进思路三网络拓扑图
DHCP/DNS配置:DHCP/DNS服务器部署在内网,配置方法同思路二。网段为192.168.2.0,内网网关为192.168.2.254,DNS为192.168.2.253。
WEB/FTP配置:WEB/FTP服务器部署在DMZ区,配置方法类同思路二。WEB服务器(WWW.AAA.COM=192.168.3.252)和FTP服、务器(FTP.AAA.COM=192.168.3.253)。
防火墙配置:在堡垒主机上安装防火墙软件 ISA2004,并设置相应的网络访问规则,使得内网用户可以访问外网和DMZ区;外网和DMZ不能访问内网,但可以互相访问,并设置相应的防火墙策略,以达到对内网的访问控制和安全防护作用。同时还可以将DMZ区的服务器向外网发布,以便外网客户的访问。
①安全性高:通过DMZ使得内网服务器和客户机在不同的网段,增强了服务器的安全性。同时通过ISA2004使得内网的访问得到很好的控制,也保证了客户机的安全。这样可以有效防护内网客户机的安全,同时DMZ区的服务器的安全性也受到堡垒主机的防护。
②拓展性强:构建DMZ不仅可以提高网络安全性,还有利于网络的拓展升级,如用DMZ区的服务器承担学校外网网站服务,可以减少网站服务器托管费用。
③管理性强:网络设备采用专业的可网管的产品,可以进行更加细致和专业的管理,如可以对内网划分VLAN以减小网络广播的影响,同时可以有效防止类似ARP病毒对局域网大范围的传播和攻击。专业的网络设备还可以通过网络进行远程管理和维护。
①改进成本较大:此思路要增添堡垒主机和ISA2004软件,还要增加相应的专业网络设,改进成本较大。
②管理难度较高:网络管理需要懂ISA2004和专业网络设备维护管理的专业网管员来完成。
网络安全的防护与网络的结构紧密相关,不同的结构具有不同的安全防护作用。对于不同需求的学校可以将以上几种思路作为改进网络时的一个参考,本着提高网络效率,增加网络安全性的原则去进行改进。
[1] 蔡磊.小型局域网级网实战.电子工业出版社.2001.
[2] 刘晓辉.图解局域网构建与实战.北京科海电子出版社.2006.
[3] 美Jeffey R.Shapiro.Windows Server 2003宝典.电子工业出版社.2004.
[4] 王达.网管员必读——网络应用.电子工业出版社.2006.