关于提升新疆财经大学校园网安全防护能力方案的研究

◆张晓宇 严 星 李 繁

（1.新疆财经大学网络与实验教学中心 新疆 830012；2.新疆财经大学资产管理处 新疆 830012； 3.新疆财经大学网络与实验教学中心 新疆 830012）

新疆财经大学校园网采用传统的三层网络架构模式，3 台核心层交换机按照功能区域划分分别承担教学办公区、学生生活区以及家属区的业务数据的处理与转发，边界出口部署1 台迪普FW1000-TS-N 防火墙负责校园网络的整体安全防护与出口路由选择，身份认证计费、上网行为审计等网络安全设备分别旁挂于校园网的骨干网络设备，如防火墙、BRAS、核心层交换机等处发挥必要的安全作用。校园网现有2 条出口链路，分别为一条13Gbps 的链路上联至中国电信（ChinaNet）和一条800Mbps 的链路上连至中国教育和科研计算机网（CERNET）。校园网目前已经初步形成以三层网络架构为基础，兼顾网络安全保障的网络结构体系。校园网的拓扑结构如图1 所示。

图1 校园网拓扑图

由图1 可以看出，学校现网的网络安全体系存在着明显的安全漏洞，安全防护能力比较薄弱，因此需要针对学校现网的实际情况以及业务特点，以“对现网改动最少，能够快速提供业务能力”为原则，研究、探索符合学校实际需求、切实可行的网络安全加固方案。

1 现网存在的问题

1.1 边界出口安全防护能力不足

目前，校园网的边界出口只部署了一台迪普FW1000-TS-N防火墙提供安全防护，这么做存在两方面的问题。一方面该防火墙实测的吞吐量＜8Gbps，而学校的实际出口带宽是13.8Gbps，出口带宽的利用率存在瓶颈，同时它还需要虚拟出一台逻辑墙供数据中心使用，直接导致设备的性能严重不足，另一方面该防火墙只能提供2 至3 层（基于OSI 参考模型）的防护，而当前来自互联网的网络攻击更多的是基于应用层的攻击，如DNS 类报文攻击、HTTP 类报文攻击等[1]，因此现有的防火墙无法有效抵御来自互联网的网络威胁。

1.2 缺少必要的DMZ 区

学校目前所有的业务系统全部署在数据中心，这些业务有提供内网服务的也有提供外网服务的，这就可能会导致一种情况的发生，即如果提供外网服务的业务系统被攻陷后，就有可能成为攻击者的跳板或者肉鸡继续攻击数据中心内的其他业务系统，产生一系列的连锁反应，因此非常有必要建立DMZ 区，把对外提供服务的业务系统部署在DMZ 区，如站群、邮件、OA 办公系统等，即使以上业务系统被攻陷也不会影响内网业务系统的正常使用。

1.3 数据中心缺少必要的安全防护措施

目前数据中心前端只部署了一台由边界防火墙虚拟出来的一台逻辑防火墙，一方面容易导致组网结构复杂，不利于设备的管理、维护，另一方面缺乏对4 至7 层（基于OSI 参考模型）的安全防护，防御能力水平较低。

1.4 针对DDoS 攻击没有有效的防御手段

DDoS 攻击属于目前比较常见的一种攻击手段，它的攻击方式比较多，主要分为3 种类型，分别为连接型攻击、流量型攻击和特殊协议缺陷[2]。它可以同时控制多台分布在不同地方的设备对同一目标发动攻击，从而导致被攻击目标短时间内迅速消耗完网络带宽或系统资源，从而导致网络或者系统瘫痪无法提供正常的服务。

2 解决方案

2.1 边界出口安全加固

迪普FW1000-TS-N 防火墙属于传统防火墙，只能基于网络层针对IP 报文头进行检查和规则匹配，无法识别隐藏在正常报文中或跨越几个报文的应用层攻击[3]。因此，为了有效应对当前日益复杂、进攻手段多样的网络攻击，需要部署一体化安全网关设备，该设备由传统防火墙、入侵防御系统（IPS）、Web 应用程序防火墙（WAF）等功能模块组成，如图5 所示。入侵防御系统（IPS）主要针对4 至7 层（基于OSI 参考模型）的安全防护，能够防御来自应用层安全威胁，可以对流经的报文进行深入L7的深度分析，与事先定义的攻击特征进行匹配，发现并阻断数据流里隐藏的攻击报文进行实时阻断过滤，Web 应用程序防火墙（WAF）可以对来自Web 应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对学校的各业务系统进行有效的防护[4]。图2 为一体化安全网关的部署方式。

图2 一体化安全网关

2.2 建立DMZ 区

建立DMZ 区的目的主要在于把学校对外提供服务的业务系统从数据中心中剥离出来，例如学校的站群系统、邮件系统、OA办公系统等，部署在非安全系统与安全之间的缓冲区中[5]，从而有效地保护内网业务系统遭受来自外网的攻击。DMZ 区部署在一体化安全网关下方，由一体化安全网关提供安全防护，DMZ区的部署方式如图3 所示。

2.3 完善数据中心安全加固

学校的数据中心部署有近40 台服务器，承载了学校所有的核心业务，例如教务系统、学工系统、人事系统、科研系统、财务系统以及一卡通系统等，因此数据中心的安全稳定运行显得尤为重要。

目前学校的数据中心主要由校园网的边界防火墙迪普FW1000-TS-N 虚拟出的逻辑防火墙提供安全防护，采用这种模式一方面容易导致校园网链路逻辑混乱，增加运维难度，另一方面由于迪普FW1000-TS-N 防火墙自身的性能有限，当它一边作为校园网的边界防火墙提供校园网的整体安全防护的同时，还要消耗一部分硬件资源用来维持数据中心的安全保障，在校园网的高峰时段，迪普FW1000-TS-N 防火墙的CPU 利用率达到99%，从而导致校园网的用户体验很差。

因此，为了有效保障数据中心安全，提高用户体验，建议在数据中心部署2 台高性能的一体化安全网关，配置双电源冗余、万兆主控，实现双机虚拟化[6]。数据中心的一体化安全网关与核心交换机通过万兆聚合链路互联，根据业务需要配置足够的业务办卡，实现所有服务器的直接接入。服务器通过双链路连接至2台一体化安全网关，实现跨设备链路聚合，从而使服务器的链路带宽提升至2G，提高业务响应速度，同时两条链路同时转发数据，即使有一条链路发生中断也不会影响数据的正常转发，提高了数据中心的可靠性。数据中心安全组网方式如图4 所示。

一体化安全网关配置高性能的专业防火墙业务模块，实现学校各个业务系统的安全区域划分，对不相关的业务进行隔离，对所有服务器的端口进行封堵，只放通与业务相关的业务端口，大大降低了业务系统的安全隐患。同时，为了有效抵御病毒、木马等攻击行为，一体化安全网关还需要配置IPS 入侵防御系统模块、AV 防病毒模块以及WAF 模块等[7]，实现数据中心的4 至7 层（基于OSI 参考模型）的安全防护。

图3 DMZ 区

图4 数据中心网络拓扑图

2.4 建立DDoS 攻击防御体系

为了有效地抵御DDoS 攻击，需要借助流量清洗技术把正常流量与恶意流量进行区分[8]，即清洗流量，再把正常的报文返回给目标系统。

具体实施方案为，在校园网出口部署一套异常流量清洗设备，检测设备旁路部署于核心交换机，将网络流量镜像给检测设备进行分析，检测设备将分析日志发送给中间管理联动平台进行分析输出报表，一旦发生攻击，联动管理平台将发送通知给清洗平台，旁路部署于防火墙侧的清洗设备将流量从防火墙通过策略路由牵引至清洗设备对攻击流量进行清洗，清洗完成后将正常的用户访问流量回注给边界防火墙[9]，即一体化安全网关，进行正常的互联网访问和业务办公。攻击结束后联动平台通知清洗设备停止清洗，数据恢复正常流转，清洗设备停止工作。异常流量清洗拓扑结构如图5 所示。

图5 异常流量清洗拓扑图

图6 基于虚拟化技术的一体化安全网关组网结构

3 实现效果

3.1 提高了网络的可靠性、稳定性

通过在校园网边界出口部署高性能的一体化安全网关，解决了长期存在的校园网出口设备性能瓶颈问题，有效地提高了校园网出口带宽的利用率，进一步提升了校园网用户的上网体验，同时使校园网的运行变得更加可靠、稳定。

3.2 提高了校园网的安全防护等级

该设计方案通过采取一系列的安全防护措施，如升级边界防火墙、建立DMZ 区、完善数据中心保护、建立DDoS 攻击防御体系等，有效提升了校园网的安全防护等级，保障了学校关键业务的稳定运行。

3.3 简化了校园网的组网结构

传统的网络安全加固方式，需要同时部署防火墙、入侵检测系统（IPS）、Web 应用系统防火墙（WAF）等独立式的网络安全设备，组网结构复杂，单点故障风险较多，运行维护烦琐[10]。

一体化安全网关采用框式结构，通过模块化设计实现防火墙、IPS 入侵检测、WAF、流控等业务板卡的自由组合，结合虚拟化技术只需2 台设备即可实现传统8 台独立式设备的功能。相比传统方式，采用一体化安全网关组网结构更加简单，能够有效降低单点故障风险，运行维护变得更加简单。基于虚拟化技术的一体化安全网关组网结构如图6 所示。

4 结束语

本方案基于新疆财经大学的实际需求，深入剖析校园网在网络安全方面存在的薄弱环节，以“对现网改动最少，能够快速提供业务能力”为原则，通过结合虚拟化、流量清洗等技术优化网络结构、提升学校网络安全防护能力。

虽然通过该设计方案使学校的校园网的安全防护能力获得进一步提升，网络运行得更加稳定、可靠，但是目前在校园网的网络安全优化方面还有很多需要提高的地方，例如网络安全事件回溯分析、针对终端用户的安全防护等，因此后期还需要进一步优化校园网络安全加固方案。