校内各单位自管自维服务器的安全防护解决方案

2018-01-13 01:45李向龙杨贵福葛永兴

网络安全技术与应用 2018年1期

◆李向龙杨贵福葛永兴

（东北师范大学信息化管理与规划办公室吉林 130024）

0 引言

我校校园网络从1995年建设，经历了基础网络建设、信息系统（网站）建设到数字化校园建设的三个阶段。在信息系统（网站）建设阶段，各单位自行购买服务器建立信息系统（网站），出于管理和维护的方便，服务器大多数都放置在本单位，由于缺少必要的安全防护设备和专业技术人员，大部分服务器都直接暴露在互联网中，存在极大的安全隐患，而相当一部分成为黑客扫描、攻击和病毒传播的温床，充当了网络攻击的肉鸡。

随着新的网络应用不断出现，随之而来的网络危险也呈现多发趋势，大量非法的、恶意的、带有特定目的的应用建立在HTTP等协议之上，通过随机端口号、采用SSL加密等方式来隐藏真实内容，导致用户端无法正常识别和判断，由此出现的安全事件层出不穷，给用户造成一定的经济损失。

1 安全风险分析

我校各单位自管自维服务器的网络拓扑见图1，互联网用户通过internet可以直接访问这些服务器，中间没有经过任何的安全防护设备，安全问题主要表现为遭受恶意代码攻击、网站入侵篡改、被当作网络肉鸡跳板等。

1.1 恶意代码攻击

恶意代码攻击，就是指网络上不法分子自己建立钓鱼网站，利用一些诱惑性信息引导用户访问，或者利用工具攻击安全措施不到位的网站，上传一些带有病毒、木马等内容的文件，用户通过浏览器访问后就会将病毒或者木马下载到本地，导致个人信息泄露或者机器中毒等。由于安全管理和技术人员水平等原因，此类问题在各单位的服务器上尤为突出。

1.2 网站入侵篡改

网站入侵篡改是较为常见的安全问题，由于多数单位的网站都是采用免费的CMS系统，其源代码的开放性导致漏洞公开化，黑客不需要掌握较多技术，按照公布的漏洞即可实现入侵和篡改的目的，此种攻击具有显示度高，可即时看到效果的特点，受到各级别黑客的青睐。

1.3 网络肉鸡跳板

所谓网络肉鸡跳板，就是拥有管理权限的远程电脑，一般都是开了3389端口的windows服务器容易受此攻击。服务器管理员为了维护方便，通常打开3389端口，利用远程桌面功能管理服务器，黑客恰好利用这个漏洞，在服务器上植入远程控制软件，当作其发起DDos攻击的马前卒或者实施不法行为的跳板。此种攻击具有一定的隐蔽性，带来的问题是服务器响应缓慢或者流量异常。

2 安全解决方案

为了提高校内各单位自管自维服务器的安全，实施必要的访问控制，有效降低安全风险。决定在不改动服务器地理位置，不增加相应单位工作负担情况下，通过调整服务器网段的逻辑拓扑结构，集中部署安全设备和防护措施，达到提高自管自维服务器安全防护能力和水平的目的。

图1 调整前服务器网络拓扑图

整体解决方案分为以下三部分：

（1）增加三层交换机，防火墙和入侵检测设备各一台，承担数据交换、限定开放端口、安全防护和异常通讯的拦截阻断功能。

（2）调整服务器网段的逻辑拓扑结构，见图2（图中白色虚框内是本解决方案中增加的设备，用于各单位自管自维服务器的安全防范）。将服务器网段的网关迁移至新增加的三层交换机 C上，强制引导数据流经过防火墙和入侵检测设备。

图2调整后服务器网段的逻辑拓扑图

（3）配置防火墙防护策略，提高安全级别，阻止不必要的端口和服务与外部通讯。

通过以上调整，除服务器网段外，无论校内校外用户访问服务器上的内容，必须经过防火墙和入侵检测设备。通过开放特定的对外服务端口，阻断了黑客从非服务端口进行攻击的途径，利用入侵防护设备，实时、主动的拦截各种常规恶意攻击、蠕虫病毒、后门木马等异常通讯，有效降低了受访者访问被植入木马、病毒等恶意代码网站的危险。