刘璀
(中央财经大学网络信息中心,北京 100081)
我国《网络安全法》于2017年6月1日正式施行,这是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑。《网络安全法》的发布也同时标志着网络安全等级保护工作正式进入2.0时代。《网络安全法》第二十一条对网络运营者的安全义务作出了说明:网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
等保2.0为了和《网络安全法》相对应,将原来的标准《信息系统安全等级保护基本要求》改为《网络安全等级保护基本要求》,对于网络运营者必须履行的安全义务做了进一步解读。
高校校园网管理者在满足校内外用户网络访问需求的同时,应该把履行网络安全义务放在运营工作的首位。
在等保2.0中,保护的对象从信息系统上升到了网络空间安全,对象也从信息系统扩展到涵盖网络基础设施、云、移动互联网、物联网、大数据等。网络安全这一控制项上除原有的控制点“访问控制外”,还新增了“网络架构”和“边界防护”等。
其中,对局域网出口的具体要求包括:
(1)应保证网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
(2)应保证网络各个部分的带宽满足业务高峰期需要;
(3)应划分不同的网络区域,重要网络区域不能部署在网络边界处,且局域网边界应该具有防护措施;
(4)应能够对外网设备未经授权连接到内部网络设备的行为进行检查,定位和阻断;
(5)应能够对内部用户非授权联到外部网络的行为进行限制或检查;
(6)应在网络边界部署访问控制设备,并要求控制到端口;
(7)应在网络边界、重要网络节点队用户行为进行安全审计,审计日志要留存6个月以上。
校园网管理者应针对这些要求,做好校园网出口的管理和配置工作。
随着高校的发展,网络规模和用户人数不断增加,用户访问需求、网络应用以及网络资源种类日益多样。为满足师生需求,校园网出口除了接入中国教育科研网之外,还会接入其他基础运营商链路,如电信、移动、联通等,以解决出口带宽问题。多链路带宽接入能够很好地解决网速和资源的问题,但这种多ISP(Internet Service Provider)互联网服务提供商的接入方式在提高网络访问速度的同时,也增加了网络的复杂性,为管理带来了一定难度。
当前,校园网出口设备不仅要做好多条链路的负载均衡和效率,满足业务高峰需要,还要做好访问控制、边界防护以及日志审计等安全管理工作,以满足等保要求。在出口设备上,多链路出口访问技术的部署可以解决绝大部分以上提出的问题。
负载均衡(Load Balance,简称LB)是一种基于服务器资源或网络资源的集群技术和调度分配算法,根据业务流量传输方向可以分为Outbound和Inbound两种。内网和外网之间存在多条链路时,通过Outbound链路负载均衡可以实现在多条链路上分担内网用户访问外网服务器的流量。负载均衡设备在收到内网用户请求时,依次根据策略和调度算法选择最佳的链路,并将流量分发到该链路,如图1所示。
内网和外网之间存在多条链路时,通过Inbound链路负载均衡可以实现在多条链路上分担外网用户访问内网服务器的流量,如图2所示。
图1 Outbound链路负载均衡
NAT(Network Address Translation,网络地址转换)位于网络边界,将内网IP地址与公网IP地址之间进行转换。一般用于解决局域网公网IP不足的情况,由于安全性良好,目前用于大部分校园网出口配置。
NAT的实现方式有三种,即静态转换一对一NAT、目的NAT以及动态转换源NAT。
一对一NAT是指将内网的私有IP地址转换为公网IP地址时,上下行用到的IP地址是一对一不变的,用于实现外网对校内服务器的一对一访问,一般用于与上级单位有业务往来的校内视频和公文服务器。
目的NAT是指外网访问校内服务器时,服务器公网IP地址转换为内网的私有IP地址是固定的,而校内服务器或电脑访问外网时,转换的公网地址并不固定,校内大部分Web服务器和信息系统均采用这种技术。
源NAT是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不固定的,是随机从地址池中分配的。当带宽服务商提供的公网IP较少时,采用这种方式,使得所有被授权内网IP地址可随机转换为公网IP地址,进行互联网访问。目前校内用户访问互联网,大部分采用这种技术。
图2 Inbound链路负载均衡
访问控制技术,指防止对任何资源进行未授权的访问,从而使计算机系统在合法的范围内使用。访问控制保证合法用户访问受权保护的网络资源,防止非法的主体进入受保护的网络资源,或防止合法用户对受保护的网络资源进行非授权的访问。为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。访问控制列表(Access Control List,ACL)可以用来控制进出的IPv4或者IPv6 数据包,从而过滤网络中的非授权访问,是目前比较常用的控制访问技术手段。
用户行为审计分析技术通过日志采集和日志审计功能,收集用户上网数据,分析用户上网行为,掌握网络运行的状态,为网络管理人员追查相关行为的责任人提供依据。目前针对不同的日志类型,管理员可以获得如源IP地址、源端口、目的IP地址、目的端口、开始/结束时间、协议类型、协议摘要(目前支持HTTP、SMTP、FTP协议)等信息。通过对这些信息的审计分析,可以实现统计网络应用;对非法访问进行识别和拦截;防范敏感信息外泄;防范拒绝服务攻击,病毒攻击、ARP欺骗, 保护内网安全。
针对校园网出口存在的问题,在进行了大量的调研分析和设备测试实践基础上,最终对中央财经大学校园网出口进行了全面改造。改造后的出口部分网络拓扑如图3所示。
图3 校园网出口拓扑图
通过出口改造,从几个方面对校园网安全进行了管理和控制,确保校园网出口满足等级保护2.0对网络架构、边界防护以及访问控制的要求。
(1)增加多条运营商链路,增加校园网出口带宽,极大提高校内用户访问互联网的速度。在校内大力推广IPv6的应用,鼓励师生使用IPv6资源。
(2)启用高性能链路负载均衡设备,根据带宽、所属运营商、链路状态和质量(丢包和延时等)等几个属性,通过全局调度算法选择合适的站点,从而提高用户的网络应用体验。
(3)启用链路调度策略控制流量走向,使得链路合理利用率最大化。设备还应该支持通过运营商、链路过载保护、指定源地址、指定入接口和指定应用类型等多种方式控制流量走向,使得各种类型的链路能够得到充分利用,优化整体流量质量。优化DNS配置,根据流量分析结果,将校内访问流量大的应用,分布到不同链路的站点上。
(4)启用链路健康检查功,通过指定链路对远端设备或者服务器进行探测。依据不同的探测方法(TCP、ICMP等)判断当前链路是否可用,如果当前链路出现故障,则会将流量切换到其它正常的链路上。
(5)通过出口高性能防火墙设备,将校园网以及外网区分为 Trust区和Untrust 区,启用安全隔离以及访问控制,保护校内用户计算机安全。在防火墙上对IP报文包进行过滤,对不合法的访问采用丢包操作。
(6)在出口防火墙上启用地址转换技术,对校内服务器使用目的NAT及一对一NAT技术,校内用户使用源NAT技术访问互联网资源,在每条出口链路上设置NAT地址池,用户通过不同链路访问互联网时,从对应的地址池中取得公网地址。以中央财经大学使用的迪普DPX8000设备为例,校园网出口部署多链路启用ADX板卡的 NAT 功能实现内部私网访问Internet 资源与外网访问内网主机的服务
(7)部署出口日志服务器, 记录保存用户的网络行为,日志保存最少6个月以上。
(8)启用流量控制设备,合理利用网络带宽、提升网络使用效率。
(9)启用上网行为审计功能,全面管控和过滤校内用户上网行为,如网络连接、Web访问、FTP、收发电子邮件、文件共享、BBS论坛访问/留言等,并能妥善有效记录和审计各类行为日志,以供校园网管理人员按需查看。还可通过专业病毒特征库向用户提供防病毒服务,能够检测通过 HTTP、FTP、SMTP、POP3、IMAP、SMB、TFTP 等协议传输的病毒。防病毒模块通过采用实时分析的方式,自动检测、阻断、隔离或重定向携带病毒的流量。中央财经大学上网行为审计统计数据截图如图4所示。
图4 统计数据图
根据《中华人民共和国网络安全法》以及网信办《网络安全事件应急演练指南》要求,为健全完善高校网络安全事件应急工作机制,规范网络安全事件工作流程,加强网站网络信息安全保障工作,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,预防和减少网络安全事件造成的损失和危害,维护正常校内秩序,还应该根据内网实际情况,制定网络安全演练方案。通过对出口设备NAT规则以及访问控制策略的操作,可以实现一键断网等安全演练,特殊时期对校内关键信息设施采取保护措施。
《网络安全法》的施行,特别是量刑的设立使高校校园网管理者承担的责任更重了,高校网络安全管理工作上升到了新的高度。在校园网安全管理工作中,不仅要加强安全理论学习,合理规划建设网络安全基础设施,还要注重提高应急处置预案的能力和关键信息基础设施的保护,按照“预防为主,积极防护”的原则,进一步完善应急处置机制,提升校园网抵抗网络风险的能力。