智 峰 张 明 韩 超 钱振宇
(中国计量科学研究院,北京 100029)
中国计量科学研究院网络系统支撑网站、计量基标准资源共享平台等重要应用系统,提供电子邮件、互联网访问等重要功能,为我院科研、量传、管理提供了基础保障作用,是我院信息化工作的基础核心。随着网络技术的飞速发展以及互联网络的应用日益广泛,越来越多的科研人员通过网络进行文献检索、获取信息、开展学术交流,网络在科研管理中发挥的支撑保障作用日益明显。为了满足科研管理工作对网络的需求,中国计量科学研究院对网络进行了升级改造,尤其加强了网络安全工作,并取得一定效果。
网络升级改造,只有在充分的需求分析基础上制定网络升级方案,才能达到网络升级的目的,否则可能造成盲目投资,进而影响到应用效果。中国计量科学研究院网络系统由和平里及昌平实验基地两院区网络共同组成。随着计量院网络系统规模的扩大和应用的复杂化,现有网络架构已不能满足实际工作需求,并且相关的信息安全风险也逐年增加,比如病毒威胁、流氓软件攻击和网页被篡改风险等,为了保证网络及应用系统安全正常运行,不因各种威胁的破坏而中断,对网络进行整体升级并提升网络安全防护水平势在必行。
分析网络现状,我院网络面临以下几方面的问题:
1)网络访问量及数据传输量猛增,使网络中并发数据量增大,突发性操作频繁,原有网络的传输能力及实时性面临挑战。
2)随着网络规模扩大、网络应用的增加,黑客和网络病毒的日益猖獗,网络安全管理的重要性越来越突出。
3)网络结构不合理,没有做清晰的界定与控制,没有明确的安全域划分,容易造成安全隐患。
4)非工作应用如BT、迅雷、网络电视等严重浪费网络带宽,占用有限的网络资源、降低办公效率。
5)部分员工安全意识薄弱,主要表现在没有升级系统、修补漏洞等意识,对于办公用电子信箱密码等的管理随意化,造成信息外泄。
网络升级前要先做好整体的规划和设计。结合现状及未来发展的需要,经过多次论证,我们选用了以下技术方案:
1)网络采用层次化设计。网络结构如图1所示。可划分为以下4部分:互联网接入、防火墙系统、VPN系统、局域网。互联网接入采用核心路由器实现与互联网接入商的互联。防火墙上联路由器,并与外部服务器、VPN系统连接,提供安全防护功能,保证院内服务器、上网用户网络安全。VPN系统直接接入路由器,用于用户通过VPN访问内部应用系统。局域网络根据使用性质分为三类:外部服务器、内部服务器和内部用户。外部服务器主要使用公网IP,对外部用户提供服务,主要包括以下服务器:网站、邮件、DNS等;内部服务器主要是通过内网IP,对院内用户提供服务。
2)结合局域网调整优化,对安全区域进行重新划分。调整安全边界,设立DMZ区(隔离区),从纵深防御的角度提升企业网络的安全级别。安全区域划分是保障信息网络安全的必要手段,按照业务重要等级,划分出不同的网络区域,确定出清晰的网络边界,便于进行各种安全控制管理。部署安全区域间的访问控制,控制安全区域间的访问行为,只允许必要的访问活动,发挥系统的管控作用。实际划分为两个安全域(公网、私网)。通过防火墙进行访问控制授权与隔离。公网域各服务器通过2层交换机统一接入防火墙。私网域统一接入核心交换机,通过三层路由协议接入防火墙。内部用户通过NAT方式访问互联网络,内部服务器如需要可通过一对一NAT实现互联网访问。防火墙与路由器之间启用内部私有IP实现互联,实现服务器对外服务及内部用户访问互联网。
图1 中国计量院网络架构
3)优化网络结构。局域网络采用层次化设计模式,根据网络实际规划为三层,分别为接入层、汇聚层、核心层。这样设计的优点是结构清晰,分层设计实现故障隔离,简化管理,提高网络可用性及可扩展性。
4)重新划分VLAN。我院曾多次发生网络广播风暴、ARP攻击,影响到整个网络正常运行。通过重新划分VLAN,用户VLAN将同一栋楼或同一单位的用户划分在相同的逻辑组内,网络结构更加合理,病毒造成的影响在相对小的范围内,避免对整体网络的冲击,确保网络安全。本次VLAN划分的原则是:保留原有用户VLAN,一个VLAN在同一汇聚交换机上配置和使用。其他汇聚交换机不能再进行配置和使用,便于网络配置和管理。
5)加强对IPV6的支持。根据我院应用现状,设计方案,使用户终端IPV4、IPV6协议共存,根据访问目的地址,自动选择IP协议版本。便于科研人员与高校、科研院所通过IPV6开展工作。
实现网络安全,不但靠先进的安全技术,而且也得靠严格的安全管理和安全教育。安全技术主要是针对网络系统、操作系统及数据库等提出具体的安全技术措施,是网络安全的基础保障。所采取的安全技术是本文阐述的重点。
主要是通过制定防火墙、VPN等安全策略,通过加强访问控制,保证网络资源不被非法使用。
1)防火墙控制策略是维护网络安全最重要的手段。防火墙的工作原理是按照事先规定好的配置和规则,监控所有通过防火墙的数据流,只允许授权的数据通过,同时记录有关的联接来源、服务器提供的通信量以及试图闯入者的任何企图,以方便管理员的监测和跟踪。
2)VPN系统,主要为需要移动办公的员工服务,通过互联网访问内网OA系统。VPN设备利用加密技术以及安全认证机制,保护信息在网络上传输的机密性、真实性、完整性及可靠性。高加密强度的安全隧道,认证通信双方的身份,实现基于应用的访问控制。有详细的日志和审计记录,对所处理的每一次通信或服务都可以进行详细的记录。与现有的用户认证系统实现了集成,提供更强的身份认证和访问控制功能。
交换机运行正常,网络才能正常运行,用户就不会出现断网现象。为防止交换机受攻击,在交换机上需要配置一些安全策略。不同类型的交换机考虑配置的安全策略不同,一般核心和汇聚交换机配置相同的安全策略,连接用户的接入交换机配置相同的策略。
对于核心和汇聚交换机,要考虑防止病毒和黑客的攻击。可采取端口限速控制技术,利用交换机ACL,设置IP鉴权。
1)为了防止因大流量数据传输引起的端口阻塞,消除恶意用户或者中毒用户对网络的影响,可以采用流量及端口限速控制技术——配置端口流量阈值。通过配置,系统可以周期性地对端口的数据流量进行监控。当端口的数据流量超出配置的阈值后,系统将根据指定的方式进行处理:关闭端口并发送告警信息或仅发送告警信息。
2)划分交换机的管理口地址。交换机在配置IP地址后可进行远程管理、修改配置、升级交换机软件等操作,便于网络管理员监控交换机。本次升级,所有交换机管理地址统一配置在同一个VLAN中,并配置ACL,仅允许网管特定的IP访问交换机,使交换机运行更加稳定、安全。
对于接入交换机,主要考虑抑制广播风暴,防止ARP攻击,防止路由环路,防止内部虚假DHCP服务器。可以在交换机的接口上配置广播风暴抑制比例,限定ARP包的传输速率,在交换机上启用spanning—tree功能和DHCP Snooping功能。
1)配置广播/组播风暴抑制,通过以下配置任务,限制端口上允许接收的广播/组播风暴数据包的流量大小为20%。当流量超过20%,系统将对超出流量限制的报文进行丢弃,从而使广播/组播风暴数据包所占的流量比例降低到合理的范围,保证网络业务的正常运行。有效地防止环路、病毒发作、攻击等引起的广播风暴,避免网络拥塞。
2)启用DHCP Snooping功能。DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表,过滤不信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。当交换机开启了 DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录相关的IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。
综合上述,本网络经上述措施改进之后,便可初步形成外防内堵,集防护、监测、响应等多种技术于一体的的安全网络。对于外网,它以防火墙为网络安全的第一道屏障,兼以流量控制,过滤不安全的网络服务从而降低风险;对于内网,通过设定IPS的安全策略,对流经的每个报文进行深度检测并根据攻击的威胁级别立即采取防御措施,同时加强局域网管理控制,使得网络管理员能够第一时间解决网络当前隐患。
随着互联网技术不断发展和业务的不断拓展,网络环境的复杂性、多变性以及信息系统的脆弱性,决定了网络不能仅仅依靠网络安全产品,还涉及到管理和技术等方方面面,需要仔细考虑系统的安全需求,建立相应的管理制度,并将各种安全技术与管理手段结合在一起,才能生成一个高效、通用、安全的业务系统网络。
[1]王斌君,景乾元,吉增瑞.信息安全技术体系研究.计算机应用,2009,29(6):59-62
[2]邵波,王其和.计算机网络安全技术及应用.北京电子工业出版社,2005
[3]张玉龙,张彦珍,王大龙.计算机网络的风险分析与对策.网络安全技术与应用,2006,(1):87-89
[4]何绘宇.基于WIFI和QR Code的器具流转系统的应用.计量计术,2013(2):64-67
[5]史简,郭山清,谢立.统一网络安全管理平台的研究与实现.计算机应用研究,2006(9):92-94
[6]王谦,陈放.电子政务的信息安全保障及体系构建.信息网络安全,2008(3):52-55
[7]吴晓梅,董建设.网络安全策略在局域网中的应用,信息系统与网络安全,2003(3):21-25