基于VPN的機房網絡架構及安全體系設計

廖　珊

(湖南工程職業(yè)技術學院 信息化建設與管理中心,湖南 長沙　410151)

?

基于VPN的機房網絡架構及安全體系設計

廖珊

(湖南工程職業(yè)技術學院 信息化建設與管理中心,湖南 長沙410151)

摘要文中以校園機房網絡為例,針對機房網絡建設中涉及到的網絡技術及網絡安全體系等問題,設計開發(fā)了一種基于VPN技術的機房網絡架構及安全系統(tǒng),通過對機房網絡架構合理性及安全性的考慮,提出了網絡拓撲結構,調整了VLAN的劃分,引入了VPN技術使得機房網絡的穩(wěn)定性和利用率得到了提升。并建立起一個基于防火墻、入侵檢測系統(tǒng)的安全防護體系,通過測試驗證達到了設計要求。

關鍵詞VPN;網絡架構;安全體系;入侵檢測

建立合理的校園機房網絡結構體系,健全校機房網絡的安全防御體系,對學校以及使用者來說是重要的。隨著互聯網內容的逐漸增多,機房承載的數據傳輸率也越來越高,應用于FTP、VOD點播和 PSP技術需要巨大的網絡流量,為保證使用者能正?？焖俚氖褂眠@些功能,這就對機房網絡架構提出了新的挑戰(zhàn)。未來是互聯網的時代,對互聯網的穩(wěn)定性和安全性提出了新要求,保證互聯網的穩(wěn)定安全運行,也是必須面對的問題。本文提出了網絡拓撲結構,調整了VLAN的劃分,引入了VPN技術使得機房網絡的穩(wěn)定性和利用率得到提升。建立起一個基于防火墻、入侵檢測系統(tǒng)的安全防護體系,達到了設計需求[1]。

1訪問控制技術概述

訪問控制(Access Control)是指系統(tǒng)按照用戶身份及其所屬的某預定義策略組來限制用戶使用某項資源的能力。訪問控制的主要作用是幫組系統(tǒng)管理員對用戶進行管理和控制,其中就包括用戶對服務器中的內容、信息、文件等的訪問。訪問控制的內容包括3個方面,分別為主體、客體以及控制策略。主體其實就是使用者或者需要使用網絡資源信息的用戶,用戶可提出訪問的請求,也可申請激活某個網絡進程或者設備?？腕w是訪問者需要訪問的資源信息的總稱[2]。具體來說就是可以被使用者操作的數據、信息和程序等,在信息社會中,客體可以是信息、文件、記錄等的集合體,也可是網絡上的硬件設施、無線通信中的終端,甚至可包含另一個客體。控制策略其實是客體在被訪問時需要主體提供的規(guī)則集,即屬性集合?？刂撇呗跃褪枪芾砣藛T對訪問者的一種控制方式,也是對一些常規(guī)命令的默認操作。訪問控制之所以是系統(tǒng)中比較重要的部分,就是因為其是保護系統(tǒng)隱身,防止惡意干擾,保護用戶安全的基礎,是網絡安全防范和資源保護的主要策略。該策略的依據會根據使用者以及管理者的不同需求,動態(tài)地進行更改和保存。在保證管理者使用權限最大化的同時,盡可能為使用者提供安全、穩(wěn)定的服務,保證網絡資源的合理運用。為滿足系統(tǒng)設計的需求,控制訪問需要對每個請求登陸的用戶進行授權,在授權成功后,才能打開某一特定資源供用戶使用,并對使用的程度根據使用者的級別加以控制和監(jiān)督。所以訪問控制的內容包括認證、控制策略實現和安全審計[3],如圖2所示。

圖1　訪問控制

2網絡總體架構

在機房網絡機構的設計過程中,制定好總體的框架,是新系統(tǒng)設計的重要一步,因為一個好的框架結構,可更好地使網絡協(xié)議及安全策略得到更大的發(fā)揮。根據傳統(tǒng)的機房網絡結構和如今用戶和使用者的需求,經過分析和比對,得出以下幾個構建原則。首先是可靠以及實用性原則,其次是可擴展性原則,以及有效控制與網絡管理原則。綜合上述分析的構建原則,本文設計的機房網絡架構以原樹型拓撲結構作為基本結構,在原有結構上進行合理化改造。普通校園網的結構被分為3個等級:第一級是總線網絡,具有較大的帶寬和很低的延遲;第二級是通過單模光纖上聯核心交換機,并且核心交換機升級為 2 臺,以便均衡核心交換機的負載;第三級是通過單模光纖下聯三級交換機,同時在本地通過超五類雙絞線直接連接用戶的終端。使用這3個等級劃分的結構在使用過程中有很多優(yōu)勢,首先通過分級,系統(tǒng)結構清晰、穩(wěn)定性強,方便使用者的操作和管理者的控制;其次是分級結構可以最大程度的拓寬網絡寬度,提高網絡信息的承載量;最后分級結構可在網絡傳輸量壓力較大時可起到分流作用,不會因此而影響使用者操作的流暢性[4]。圖2為校園機房網絡的總體結構圖。

圖2　網絡總體構架

3網絡拓撲結構設計

本文在結構設計上采用在原有拓撲結構上進行拓展的星形網絡拓撲結構,這種結構得優(yōu)點是使用和管理更加靈活、易于擴展。在交換技術上采用交換式以太網作為基本網絡結構,基本的網絡架構是以千兆為主干,百兆交換到桌面,個別區(qū)域建有覆蓋室外11 Mbit·s-1和室內54 Mbit·s-1無線網絡。在機房網絡系統(tǒng)中,設計時將每個使用模塊,各類型的終端服務器、傳輸設備、網絡維護設備等分別分配到不同的網段,并在安全設置中通過軟件設置為用戶劃分不同的權限。同時系統(tǒng)在對最高級別的用戶單獨設立且劃分了一個網段,在網絡架構內,該使用者具有最高的權限,可控制使用者操作的權限以及控制資源的流動,并且該使用者的信息不會被其余人員訪問。在機房系統(tǒng)的設計方法中,對象是最基本的模塊,耦合是指不同對象之間相互關聯的緊密程度,低耦合的優(yōu)勢就是可最大程度的將某一模塊獨立處理,在個別模塊出現問題時將其他模塊的影響范圍降到最低,當系統(tǒng)達到成熟的條件下,對某一部分的測試或修改,無須涉及系統(tǒng)的其他部分。本機房網絡架構為了增強系統(tǒng)的穩(wěn)定性和傳輸速度,增加了眾多額外的網絡接入點,在所有 IP 地址不能滿足多個使用者同時操作大流量數據時增加了無線局域網的發(fā)射裝置,主干線使用的是傳輸速度最快的千兆光纖。在每個三層交換機上配置STP協(xié)議,同時為了減輕 DHCP 服務器在整個校園網中的通信,安排所有有自有服務器的單位各自在三層交換機上開啟 DHCP 協(xié)議。并在所有三層交換機上運行 OSPF[5]。為防止機房外的網絡對機房內網進行惡意攻擊,為機房提供一個安全穩(wěn)定的網絡環(huán)境,該設計不僅在交換機以及核心區(qū)域加裝了防火墻,還利用劃分 VLAN 及應用ACL。對安全性以及低廣播風暴的要求,各部門可單獨劃分 VLAN,在原有VLAN 的基礎上細化劃分,同時盡量減少不正常的網絡流量的傳播[8]。圖3為網絡拓撲結構圖。

圖3　網絡拓撲圖

4VPN 系統(tǒng)的建立和設計

VPN 即虛擬私有網絡技術,該技術也是本系統(tǒng)設計中的主要技術之一,其只要目的就是保證了系統(tǒng)的安全性。VPN有著許多安全功能,如信息傳輸協(xié)議,數據加密傳輸與保存,身份認證和分析等。其工作原理其實并不復雜,使用者或管理者向機房網絡系統(tǒng)內置的VPN發(fā)出使用請求,VPN系統(tǒng)及時作出響應,并根據申請使用的等級向使用者或管理者發(fā)送身份驗證信息,使用者通過對問題的回答,將信息傳回VPN服務器,服務器經過加密處理發(fā)送至服務器終端,終端根據數據庫中的數據對傳來的信息進行比對和識別,若賬戶被確定是有效信息,則用戶就具備了遠程訪問的權限,系統(tǒng)將自動跳轉到申請者希望使用的界面。該技術最突出的特點是在進行身份驗證的過程中,對使用者輸入和系統(tǒng)輸出的信息都進行了加密處理,外界無法得知一切與身份驗證過程中的信息,最大程度上的保護了系統(tǒng)的安全性。

用戶進行登錄時首先需要根據要求輸入用戶名,密碼等相關信息,數據傳送至服務器,服務器通過與數據庫進行比對后驗證用戶身份的合法性,返回相應的信息,用戶根據返回的信息進行相應的操作,對于成功登陸的用戶,數據庫服務器在返回接受信息的同時經用戶填寫的信息保存到總機中,提供給系統(tǒng)的管理者,管理者可通過管理主機控制使用者的計算機[6]。

5機房網絡性能測試分析

數據流量在普通網絡監(jiān)控過程中被看做是一個常規(guī)指標,但從網絡安全這個角度來分析,確實有著重要的指導意義。這是衡量網絡安全的一個標志性指標。因為對網絡使用過程中流量的采集、運算、分析以及預測這一系列指標對于機房的管理者來說都有重要的意義[9]。圖4是一款常用流量監(jiān)控軟件統(tǒng)計出的數據,通過對數據的加工和分析,與正常的峰值進行比對后發(fā)現,網絡終端輸出的總流量與系統(tǒng)及網絡的最大承受量還有一定的盈余,且始終保持在一個有序且穩(wěn)定的狀態(tài),在測試過程中及時偶爾遇到網絡不穩(wěn)定等突發(fā)情況時,系統(tǒng)仍能保持一個穩(wěn)定的狀態(tài),且各項指標符合規(guī)定標準,VC 分布合理,整個網絡性能良好。在對輸出結果分析后,可看到各個端口,服務器以及各個交換機的安全性能都比較高,服務器的整體防范性能也比較好,這證明文中通過添加入侵檢測系統(tǒng)、合理的改進拓撲結構,使機房管理者在管理機房時效率更高。

圖4　帶寬使用率

6結束語

本文在如今普遍使用的機房網絡架構及安全體系的基礎上,分析了存在的不足與問題,提出了一個有效的優(yōu)化和改革方案。通過對需求的分析,提出了網絡拓撲結構,調整了VLAN的劃分,并引入了VPN技術使得機房網絡的穩(wěn)定性和利用率得到提升,建立起一個基于防火墻、入侵檢測系統(tǒng)的安全防護體系,通過機房網絡性能的測試與分析,該系統(tǒng)可穩(wěn)定的完成各項測試條件,達到了設計要求。

參考文獻

[1]呂冀寧.北京市電子工業(yè)干部學校校園網設計實施方案研究[D].天津:天津大學,2009.

[2]劉水.防火墻與入侵檢測系統(tǒng)在校園網中結合應用的初探[D].南京:南京理工大學,2003.

[3]鄭秋生.網絡安全技術及應用[M].北京:電子工業(yè)出版社,2009.

[4]楊國富.網絡設備安全與防火墻[M].北京:清華大學出版社,2005.

[5]張平.淺析防火墻技術[J].山東輕工業(yè)學院學報:自然科學版,2007(3):31-34.

[6]王群.計算機網絡安全技術[M].北京:清華大學出版社,2008.

[7]張敏波.網絡安全實戰(zhàn)詳解[M].北京:電子工業(yè)出版社,2008.

[8]李艇.網絡安全基礎教程[M].北京:北京大學出版社,2006.

[9]白云.關于計算機網絡訪問控制技術的分析[J].信息系統(tǒng)工程,2010(11):36-37.

Design and Development of Computer Room Network Architectureand Security System Based on VPN

LIAO Shan

(Construction and Management Center,Hunan Vocational College of Information Engineering,Changsha 410151,China)

AbstractWith the campus computer network as an example,the network technology and network security involved in the construction of computer room system are discussed.A computer network based on the VPN technology is designed and developed with an innovative network topology,in which the VLAN division is adjusted.The VPN technology is introduced for better computer network stability and efficiency.A security protection system based on firewall,intrusion detection system is also provided.Tests show all the design requirements are met.

KeywordsVPN;the network architecture;security system;intrusion detection

中圖分類號TP393

文獻標識碼A

文章編號1007-7820(2016)04-187-03

doi:10.16180/j.cnki.issn1007-7820.2016.04.050

作者簡介:廖珊(1983—),女,碩士,實驗師。研究方向:計算機實訓室管理。

收稿日期:2015- 10- 10