高校計算中心網(wǎng)絡安全分析與防范措施探討

摘要：以某高校的計算機中心局域網(wǎng)的網(wǎng)絡狀況為例，分析該網(wǎng)絡存在的安全問題，并就如何采取相應的措施。保障該局域網(wǎng)的安全、正常運作展開討論。經(jīng)過測試檢驗，文中所提方案能夠有效地保護網(wǎng)絡安全，達到了預期的設計要求。

關鍵詞：局域網(wǎng)；安全問題；虛擬局域網(wǎng)；訪問控制列表

0 引言

隨著互聯(lián)網(wǎng)規(guī)模的迅速擴大，豐富的網(wǎng)絡信息資源給用戶帶來極大方便的同時，計算機病毒、黑客入侵及木馬控制、垃圾郵件等也給互聯(lián)網(wǎng)的運行系統(tǒng)、基于互聯(lián)網(wǎng)的重要應用系統(tǒng)和廣大互聯(lián)網(wǎng)用戶帶來了越來越多的麻煩。在互聯(lián)網(wǎng)受到各種安全問題困擾的同時，校園網(wǎng)絡也正遭受著類似的沖擊。本文以某高校的計算機中心局域網(wǎng)的網(wǎng)絡狀況為例，分析該網(wǎng)絡存在的安全問題，并就如何采取相應的措施，保障該局域網(wǎng)的安全、正常運作展開討論。首先來了解一下該計算機中心網(wǎng)絡情況。中心共有計算機1000多臺，大小服務器10臺，Cisco交換機40多臺，分布于大樓的四個樓層。整個網(wǎng)絡共劃分成五個VLAN，每個樓層的200臺學生機劃為一個VLAN，四個樓層共四個，剩下一個VLAN用來接入服務器。各樓層間VLAN不能相互通訊，但是用來接入服務器的VLAN設置為公共區(qū)域，與其它樓層VLAN可以互相通訊。處于四個樓層VLAN中的1000臺學生機均安裝了中心購買的《聯(lián)創(chuàng)機房管理系統(tǒng)客戶端程序》，并通過網(wǎng)絡與一臺處于公共VLAN中安裝了《聯(lián)創(chuàng)機房管理系統(tǒng)服務端程序》的中心服務器通訊，并由該服務器來管理學生機。圖1為該計算中心的網(wǎng)絡拓撲結構圖。

圖1 計算中心網(wǎng)絡拓撲圖

從圖1可以看到，該網(wǎng)絡結構的核心層由兩臺CISCO3750交換機組成，采用堆疊配置方案，并通過靜態(tài)路由直接接入到外網(wǎng)。在建網(wǎng)時出于網(wǎng)絡的穩(wěn)定性考慮，在兩臺CISCO3750上設置了HSRP(熱備份路由協(xié)議)，使兩臺cisco3750實現(xiàn)平滑切換。處于匯聚層的是3550-24EMI交換機，該層與接入層、核心層相連，與核心層交換機之間采用雙端口捆綁成的FEC高速以太網(wǎng)通道連接，為各自的樓層VLAN間路由交換提供硬件支持。處于接入層的是位于各個教室或者辦公室內(nèi)的2950—24交換機，直接為各個信息點提供訪問接入。此外，CISCO 3750上還連接了上網(wǎng)認證服務器、機房管理系統(tǒng)服務器，每個樓層3550-24EMI交換機上掛靠了ftp服務器，還有各個系專業(yè)實驗室的專用服務器，部分服務器為雙網(wǎng)卡，一端連接3550-24EMI，另一端接入外網(wǎng)。

1 計算機中心局域網(wǎng)安全分析

由于該中心集中了整個學院大部分的基礎和專業(yè)實驗室，主要承擔著全院的計算機操作的實驗課程，若計算機、網(wǎng)絡出現(xiàn)大面積的故障，正常的教學秩序將受到嚴重影響。因此分析該中心現(xiàn)存的各種網(wǎng)絡安全威脅，對如何采取具體的防范措施具有重要的意義。經(jīng)分析，該中心主要存在以下安全威脅：

計算機病毒的威脅 計算機病毒一直是網(wǎng)絡安全的主要威脅。計算機病毒具有破壞性、隱蔽性等特點。病毒不僅破壞程序和數(shù)據(jù)，還能夠通過計算機網(wǎng)絡、存儲介質(軟盤、硬盤)、通信鏈路和其他途徑在網(wǎng)絡上傳播和蔓延。特別是網(wǎng)絡病毒因其通過網(wǎng)絡方式(如電子郵件)進行傳播，具有傳染方式多、傳播速度快、影響面大、清除難度大、破壞力強的特點，對網(wǎng)絡正常通訊造成的危害性很大。計算機中心的網(wǎng)絡具有信息點密集的特點，在同一個VLAN中連接了多達250臺的學生機，當網(wǎng)絡病毒發(fā)作時，所產(chǎn)生的破壞力將比一般網(wǎng)絡更大。一旦如“沖擊波”、“震蕩波”等病毒發(fā)作，可能會造成整個中心網(wǎng)絡速度變慢，阻塞，甚至癱瘓。近段時期的\"arp欺騙”病毒就曾給該中心網(wǎng)絡的正常運作造成很大麻煩。

非法訪問 非法訪問是指對網(wǎng)絡設備及信息資源進行非正常使用和越權使用，或者是利用假冒和欺騙的手段非法獲得用戶的使用權限。非法訪問可能破壞服務器數(shù)據(jù)的完整性。計算機中心的機房管理系統(tǒng)服務器數(shù)據(jù)庫及上網(wǎng)認證服務器中均存有整個學校上機學生的賬號、密碼、金額等重要信息，若有人以非法手段竊得對數(shù)據(jù)的使用權，刪除、修改、插入或重發(fā)某些重要信息，會嚴重干擾用戶的正常使用。

人為的惡意破壞 人為的惡意破壞包括對網(wǎng)絡設備和網(wǎng)絡系統(tǒng)兩個方面的破壞。網(wǎng)絡設備包括服務器、路由器、交換機、集線器、工作站、電源等。計算機中心的網(wǎng)絡設備除工作站(學生機)外都統(tǒng)一放置在每個樓層的專用設備問，不存在惡意破壞的問題(除了中心工作人員誤操作)。這里所指的惡意破壞是對網(wǎng)絡系統(tǒng)的攻擊，主要是利用黑客技術對計算機中心網(wǎng)絡造成破壞，干擾網(wǎng)絡正常運作?，F(xiàn)在，很多大學生的計算機技術已經(jīng)達到一定水平，他們具有強烈的好奇心和實踐欲望，在計算機中心上機時經(jīng)常會做出惡意攻擊行為，具體表現(xiàn)為向中心機房管理系統(tǒng)服務器發(fā)送大量垃圾包使網(wǎng)絡陷入癱瘓，或嘗試遠程登錄交換機、服務器。一旦他們利用某些黑客工具登錄成功，修改或損壞網(wǎng)絡設備的配置文件后，將造成不可預計的損失。

操作系統(tǒng)受到的安全威脅計算機中心安裝的操作系統(tǒng)是win2000 advanced server，工作站(學生機)上安裝的是winxpprofessional和win2000 sp4，各系統(tǒng)或多或少地存在著“后門”和漏洞，安裝系統(tǒng)時候的缺省配置、弱口令或空口令，以及開啟的不必要的服務、不完全的安全補丁等情況，都給服務器和工作站的安全構成了重大的隱患。計算機中心網(wǎng)絡中的部分服務器配備了雙網(wǎng)卡，一端連接內(nèi)部公共VLAN，另一端接入外網(wǎng)，中間沒有可靠的防火墻的阻隔，這使內(nèi)部網(wǎng)絡的安全系數(shù)大大降低。

2 針對安全威脅所采取的防范措施

(1)嚴格的管理

計算機中心應加強內(nèi)部管理，建立事件的審計和跟蹤體系，提高整體信息安全意識。應由專人負責管理服務器或網(wǎng)絡設備，其他工作人員未經(jīng)允許不得隨意更改配置；對服務器或網(wǎng)絡設備的操作應建立詳細的日志，減少內(nèi)部工作人員的誤操作而引起的故障。對于學生，應加強網(wǎng)絡方面法律、法規(guī)的教育，提高學生的法律意識，防止出現(xiàn)破壞網(wǎng)絡安全的違法行為。

(2)防火墻技術

圖2 DMZ區(qū)結構圖

計算機中心有多臺服務器配有雙網(wǎng)卡，分連內(nèi)、外網(wǎng)，這些服務器直接暴露在互聯(lián)網(wǎng)上，具有很大的風險。為解決此問題，可以利用防火墻技術來構建一個DMZ區(qū)域，DMZ是英文“demilitarized zone”的縮寫，中文名稱為“隔離區(qū)”，也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡不能訪問內(nèi)部網(wǎng)絡服務器的問題，而設立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的小網(wǎng)絡區(qū)域內(nèi)。DMZ通常是一個過濾的子網(wǎng)，采用DMZ技術，可以在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間構造一個安全地帶。把那些內(nèi)、外網(wǎng)絡都需要訪問的服務器放置在DMZ區(qū)域內(nèi)，既保證了服務器能正常地為內(nèi)、外網(wǎng)用戶服務，又有效地避免了由于服務器雙網(wǎng)卡配置給內(nèi)部網(wǎng)絡安全帶來的重大風險，使得服務器免受非授權用戶訪問、攻擊，并達到保護內(nèi)部網(wǎng)絡的目的。具體的網(wǎng)絡結構如圖2所示。

(3)利用訪問控制列表(ACCESS-LIST)g(高網(wǎng)絡安全性

CISC03550-24EMI三層交換機提供了訪問控制列表(access—list)功能。訪問控制列表是思科的IOS提供的一種控制網(wǎng)絡訪問的工具，利用訪問控制列表可以在三層交換機的接口上靈活地控制過濾數(shù)據(jù)包，從而可以決定在三層交換機的接口上允許或者禁止放行需要控制的數(shù)據(jù)包(如禁止學生TELNET交換機、封ICMP包)。由于網(wǎng)絡病毒(特別是系統(tǒng)漏洞病毒)都是利用相應端口進行傳播與攻擊的，所以可以考慮通過在CISCO 3550-24EMI交換機上設置相應的ACL來封禁這些網(wǎng)絡病毒傳播所用端口，從根本上阻斷病毒的傳播。以防御“沖擊波”病毒為例，可以在CISCO 3550-24EMI交換機配置一個訪問控制列表，具體配置如下：

access-list 120 deny tcp any any eQ echo

access-list 120 deny tcp any any ea chargen

access-list 120 deny tcp any any ea 135

access-list 120 deny tcp any any ea 136

……

access-list 120 deny udp any any ea 139

access-list 120 deny udp any any ea snmp

access-list 120 deny udp any any ea 389

access-list 120 deny udp any any eq 445

access-list 120 deny udp any any ea 1434

access-list 120 deny udp any any ea 1433

access-list 120 permit ip any any

(4)通過VLAN提高網(wǎng)絡安全性

VLAN(Virtual Local Area Network)又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎上，采用網(wǎng)絡管理軟件構建的可跨越不同網(wǎng)段、不同網(wǎng)絡的端到端的邏輯網(wǎng)絡。一個VLAN組成一個邏輯子網(wǎng)，即一個邏輯廣播域，它可以覆蓋多個網(wǎng)絡設備，允許處于不同地理位置的網(wǎng)絡用戶加入到一個邏輯子網(wǎng)中。計算機中心將每個樓層200多臺計算機各劃分在一個VLAN中，具有同一個VLAN中機器的數(shù)量過多的缺點，通過多劃分幾個基于端口的VLAN，縮小廣播范圍，有效控制廣播風暴的產(chǎn)生，從而提高整個網(wǎng)絡的整體性能。增加VLAN的數(shù)量，在抵御網(wǎng)絡病毒傳播上也有很大作用，通過在各個VLAN之間設置訪問控制列表來實現(xiàn)包的過濾，當某一VLAN中有主機出現(xiàn)網(wǎng)絡病毒傳播時，也只能影響到其所在的VLAN，對整個網(wǎng)絡不會有太大的影響，大大提高了網(wǎng)絡的安全性。

(5)安裝殺毒軟件，及時安裝系統(tǒng)補丁，備份系統(tǒng)

在工作站、服務器上安裝相應的防病毒軟件，由中央控制臺統(tǒng)一控制和管理，實現(xiàn)全網(wǎng)統(tǒng)一防病毒。定期對各個系統(tǒng)進行端口、漏洞掃描，時刻關注補丁信息，及時進行補丁更新。對網(wǎng)絡中的服務器、交換機等設備進行系統(tǒng)備份，使網(wǎng)絡管理者能夠在故障發(fā)生后很快重新組織被破壞了的文件或應用，使系統(tǒng)重新恢復到破壞前的狀態(tài)，最大限度地減少損失。

(6)用管理軟件進行安全控制

計算機中心的學生機都安裝了《聯(lián)創(chuàng)機房管理系統(tǒng)客戶端》程序，通過服務器端軟件的控制，可以實現(xiàn)對學生上機登錄過程的認證，確保用戶的合法性，并嚴格限制登錄者的操作權限，將其可完成的操作限制在最小的范圍內(nèi)；其次可以配合國家的關于網(wǎng)絡安全方面的法律法規(guī)，實現(xiàn)對學生的上網(wǎng)過程進行全程監(jiān)控，做到上網(wǎng)日志可查詢，發(fā)現(xiàn)問題能夠及時進行審計、跟蹤，確定到個人。

3 結束語

實際應用中，以上采取的防范措施在計算機中心網(wǎng)絡安全保障工作方面產(chǎn)生了很好的效果。網(wǎng)絡安全是一項復雜的系統(tǒng)工程，不能只依靠一種措施來保證安全，必須把各種安全措施有機地結合起來，合理地運用，才能達到保障網(wǎng)絡安全的目的。在采取安全防范措施的同時，還必須制訂完善的安全管理規(guī)章制度，只有做到了管理與技術協(xié)調(diào)運作，才能有效地保障計算機中心網(wǎng)絡安全、可靠、穩(wěn)定的運行。

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文。