网络安全系统的保证

文｜西安旭龙电子技术有限责任公司 武永斌

近年来，信息技术发展迅猛，成果瞩目，“信息化”这几个字被称作发展的翅膀、高科技的象征，随处可见。全社会都在响应政府号召，齐力建设信息化的载体和标志——网络。那么如何针对不同的应用和环境建设符合自身条件的定制网络呢？笔者通过在陕西省图书馆网络的建设中，对实现网络的安全、可靠和可管理性，保障网络的正常运行方面颇有心得，整理此文与大家分享。

陕西省图书馆新馆建筑面积4.7万平方米，藏书500余万册，其建设规模在全国省级公共图书馆名列前茅。配套的陕西省图书馆管理信息系统除了实现图书馆五大基本业务模块的全部自动化外，还具有数字化信息的采集、存储及加工处理的功能，这些数字化的信息存储在书目数据库、特色文献数据库及读者数据库等专业数据库中，通过Web网站24小时为全世界的读者提供服务。该网络投资规模大，设备档次高，有一定的代表性。在此，就系统的冗余和内网安全特性方面加以分析。

1 冗余特性

为了保证整个系统的可靠性，最大限度地缩短宕机时间，我们在设计和实施中突出了冗余性和模块化两个特点。为了实现网络的冗余性，我们选用两台配置相同的Cisco Catalyst 6509做中心交换机，各配备双引擎，两台交换机通过两条千兆光纤互连同时运行，四块引擎分担交换和VLAN路由工作。当某台交换机宕机时，另一台立即接管它的全部作业，而接管的过程对用户是透明的。二级交换机选用Cisco Catalyst 3512，分别用千兆光纤连接两台中心交换机，这样即使某台6509或某根光纤中断，网络还能保证畅通。由于采用冗余链路设计，网络主干存在环路，为了在链路层解决环路问题，在所有主干交换机上运行生成树协议，保证在任意时刻，在某两台交换机的同一VLAN之间只有一条激活的链路，从而防止环路出现。

网络的冗余实现了，作为应用核心的服务器又是怎么实现冗余的？本项目共配备五台IBM RS/6000系列企业服务器，分别为H80两台、B80一台、B50两台。为了保证24小时在线，所有服务器都配置双网卡，分别连接两台中心交换机，形成冗余连接，连接方法如图1所示。其中两台H80做双应用互备双机系统，保证主要应用软件的不间断服务。

2 内网安全

图1 主机连接图

大家都在强调安全，都在注视着尼姆达、木马及黑客的远程攻击，却往往忽视了最安全的也是最危险的地方——内网。如何保证内网的安全和秩序？我们采用了防火墙和VLAN相结合的解决方案。利用VLAN技术，可以逻辑划分广播域，有效地控制广播风暴，提升网络整体性能，还可将不同权限的用户群有效地隔离开来，防止内部无关人员非法访问受保护的信息。实施时，首先建立多个VLAN，每个VLAN对应一组安全级别相同的用户，然后为每个VLAN分配一个独立的IP网段，最重要的是一定要将用户接入的交换机端口划分到相应的VLAN中，这样做的优点是可以防止用户私自改换IP地址到别的IP网段，盗用IP地址。在中心交换机的第三层路由模块上设置不同VLAN之间的访问策略，从而使各VLAN之间的访问完全在管理员的控制之下。

建立了VLAN后，如何将分散在各个交换机上的VLAN和属于同一VLAN而分散在多个交换机上的用户逻辑的组合起来，实现统一管理？在本系统中，我们采用Cisco提出的VTP解决方案，将中心交换机设置为VTP Server，建立VTP域“Shengtu”，将所有二级交换机设置为VTP Client，加入VTP域，将连接中心交换机和二级交换机的链路设置为802.1Q Trunk，这样VTP的环境就搭建起来了。实施中先统一在VTP Server即中心交换机上建立VLAN，然后通过Trunk将VLAN更新信息传递到VTP Client即二级交换机上，接着就可以将交换机的端口根据需要划分到相应的VLAN，最后只要VTP Server和VTP Client间定期的传递更新，这样就实现了全图书馆所有VLAN的统一管理。

上面描述的主要是针对内网用户间的安全措施，另外我们还使用了硬件防火墙来实现针对外网的保护措施。在防火墙上共安装四块网卡，分别连接外网、内网、拨号接入用户和对外服务的Web、E-Mail等服务器。在防火墙上通过配置实现四个接口间的访问策略，可以有效的保护来自外网和内网等对服务器的安全威胁。

因为内网和服务器首先连接6509，然后再上联防火墙。如何在6509上将这两个区域完全隔离，使它们之间只能通过防火墙进行访问，且不会出现重复的路由？我们特意在6509上将服务器连接接口全部划分到一个VLAN中，然后在6509的第三层路由模块上，不为该VLAN建立虚拟子接口，使其与其余VLAN之间不可能通过第三层路由模块通信，只能通过网关即防火墙。经过测试，这种方法完全可行，内网用户必须通过防火墙才能访问服务器，实现隔离。

3 结束语

网络的建设工作不应该仅仅是网络设备的简单互连和即插即用，除了可以互相ping通和可以访问Internet外，还应该对安全、性能和可管理性等方面加以设计，使网络不仅仅是设备的互连，更应该是建设者们思想的体现、辛勤的劳作和智慧的结晶。

每天，大大小小类似陕西省图书馆的计算机网络系统都在繁忙地为信息的传递而运行着、服务着。在黑客攻击之前都是安全的，没有发生类似丢失数据或用户之间无法访问的事件。虽然我们不能保证这样的事情绝对不会发生，但至少我们看到了危险的存在，并为阻止这种事情的发生而努力着。

网络作为信息的载体，是快捷的、便利的，但同时也是开放的、脆弱的。它需要我们去建设，更需要我们去保护。