校園網(wǎng)絡(luò)安全體系架構(gòu)搭建的技防策略分析

宋曉峰

（上海市西南工程學(xué)校，上海 201108）

1 前言

黨的二十大報(bào)告旗幟鮮明地提出要實(shí)施人才強(qiáng)國(guó)、優(yōu)化職業(yè)教育定位和全面貫徹國(guó)家安全觀三個(gè)重要論述，對(duì)于全國(guó)的職業(yè)教育工作者來(lái)說(shuō)，這三個(gè)重要論述給我們提時(shí)代之問，并需要我們作出符合中國(guó)實(shí)際和時(shí)代要求的正確回答。如何回答這一問題，需要我們每個(gè)教育工作者全面學(xué)習(xí)二十大報(bào)告，深刻領(lǐng)會(huì)報(bào)告精神，運(yùn)用中國(guó)化時(shí)代化的馬克思主義世界觀和方法論，結(jié)合自身的情境和視域，給出真正解決問題的新理念新思路新辦法。面對(duì)后疫情時(shí)代的國(guó)際國(guó)內(nèi)大環(huán)境，校園網(wǎng)的安全問題日益凸顯，2021年，全國(guó)發(fā)生校園網(wǎng)安全事件（含詐騙）791萬(wàn)起，受害的學(xué)生群體達(dá)428萬(wàn)余人。2022年9月5日，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和360公司分別發(fā)布了關(guān)于西北工業(yè)大學(xué)遭受境外網(wǎng)絡(luò)攻擊的調(diào)查報(bào)告。從這一報(bào)告我們可以得出，針對(duì)學(xué)生群體和校園網(wǎng)絡(luò)環(huán)境的各種攻擊、釣魚、詐騙、竊取的范圍之大、時(shí)間之長(zhǎng)令人觸目驚心，建立完善的校園網(wǎng)安全管理體系迫在眉睫。當(dāng)然，網(wǎng)絡(luò)安全體系架構(gòu)的建設(shè)涉及人防、物防和技防等多個(gè)方面，本文著重就技防策略問題展開分析。

2 技防策略分析

2.1 校園網(wǎng)安全技術(shù)分析

學(xué)校的校園網(wǎng)根據(jù)互聯(lián)網(wǎng)接入路由器—核心層交換機(jī)—匯聚層交換機(jī)—用戶使用的接入層交換機(jī)形成星形網(wǎng)絡(luò)拓?fù)?。核心網(wǎng)絡(luò)需要連接到核心交換機(jī)上，再由核心交換分配給服務(wù)器及主要建筑的匯聚交換機(jī)上。集中式網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單，便于管理人員的管理和控制。網(wǎng)絡(luò)核心設(shè)備是相互分開的，以確保服務(wù)器的正常運(yùn)作。某學(xué)校校園主要網(wǎng)絡(luò)和建筑群拓?fù)浣Y(jié)構(gòu)圖如圖1所示。

圖1 某學(xué)校校園主要網(wǎng)絡(luò)和建筑群拓?fù)浣Y(jié)構(gòu)圖

2.2 網(wǎng)絡(luò)邊界出口安全設(shè)計(jì)

網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的連接設(shè)備是路由器。轉(zhuǎn)換和轉(zhuǎn)換數(shù)據(jù)信息可以在多個(gè)網(wǎng)絡(luò)或網(wǎng)段之間，以便對(duì)方可以讀取兩者之間的信息，這就可以在多個(gè)網(wǎng)絡(luò)中建立并匯聚形成一個(gè)大規(guī)模的網(wǎng)絡(luò)。路由器還需具備數(shù)據(jù)通道功能和控制功能。其中數(shù)據(jù)通道功能由硬件操作完成，硬件中還可以實(shí)現(xiàn)轉(zhuǎn)發(fā)和轉(zhuǎn)發(fā)決策。由軟件實(shí)現(xiàn)數(shù)據(jù)控制功能，可以實(shí)現(xiàn)系統(tǒng)管理，不同的路由器需要配置不同的交換信息。

路由器是連接內(nèi)外網(wǎng)的主要核心。它本身需要配置路由表進(jìn)行網(wǎng)絡(luò)訪問路徑的確認(rèn)，路由還分為靜態(tài)和動(dòng)態(tài)兩種。其中靜態(tài)路由是默認(rèn)的，不做配置時(shí)是不會(huì)發(fā)生變化的；動(dòng)態(tài)路由是根據(jù)配置時(shí)在不斷的學(xué)習(xí)變化。靜態(tài)路由配置、RIP路由協(xié)議配置和OSPF路由協(xié)議配置的相關(guān)策略如下 。

（1）靜態(tài)路由策略如圖2所示。由用戶或網(wǎng)絡(luò)管理員手動(dòng)配置的路由信息。當(dāng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)或鏈路的狀態(tài)發(fā)生變化時(shí)，網(wǎng)絡(luò)管理員需要手動(dòng)去修改路由表中相關(guān)的靜態(tài)路由信息。

圖2 靜態(tài)路由策略

靜態(tài)路由信息在缺省情況下是私有的，不會(huì)傳遞給其他的路由器。當(dāng)然，網(wǎng)絡(luò)管理員也可以通過(guò)對(duì)路由器進(jìn)行設(shè)置使之成為共享的。靜態(tài)路由一般適用于比較簡(jiǎn)單的網(wǎng)絡(luò)環(huán)境，在這樣的環(huán)境中，網(wǎng)絡(luò)管理員易于清楚地了解網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，便于設(shè)置正確的路由信息。

（2）Rip協(xié)議配置策略如圖3所示。RIP協(xié)議是一個(gè)距離矢量協(xié)議，路由選擇協(xié)議的度量值為跳步數(shù)，最大允許的跳步數(shù)是16，缺省情況下每隔30s廣播一次路由更新，它有在多條鏈路上進(jìn)行負(fù)載均衡的功能。

圖3 RIP協(xié)議配置策略圖

（3）路由的防環(huán)路（路由毒化）機(jī)制如圖4所示。當(dāng)路由器A檢測(cè)到一個(gè)路由條目不可達(dá)的時(shí)候不會(huì)直接刪除，而是會(huì)將該路由條目的metric置為16跳（毒化），然后再泛洪給其他所有路由器，保證其他路由器同樣可以收到該條目不可達(dá)的消息。

圖4 路由毒化機(jī)制

確保接口打開能夠被訪問是能夠成功通信的根本。訪問時(shí)優(yōu)先確認(rèn)接口是否正常，才會(huì)有數(shù)據(jù)傳輸。內(nèi)網(wǎng)內(nèi)想要訪問其他網(wǎng)段時(shí)，可直接到達(dá)需求所在的網(wǎng)段。外網(wǎng)想要訪問內(nèi)網(wǎng)時(shí)，需要逐層篩選方可抵達(dá)目標(biāo)網(wǎng)段。查找導(dǎo)出路由表網(wǎng)關(guān)信息指定路徑到達(dá)下一個(gè)地址，如果下一跳是PC設(shè)備，網(wǎng)關(guān)和路由將被反向搜索，然后跳轉(zhuǎn)到源IP；下一跳是網(wǎng)絡(luò)設(shè)備時(shí)會(huì)直接跳轉(zhuǎn)到源地址并自行尋找路徑，此時(shí)通信已經(jīng)連接成功。

學(xué)校通過(guò)訪問控制列表策略進(jìn)行網(wǎng)絡(luò)管理，使其提升網(wǎng)絡(luò)性能，能夠更好地在各個(gè)網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)并記錄標(biāo)識(shí)信息與訪問對(duì)象。其中數(shù)據(jù)包會(huì)根據(jù)優(yōu)先級(jí)進(jìn)行轉(zhuǎn)發(fā)，從而使得更好地利用網(wǎng)絡(luò)資源，減輕了網(wǎng)絡(luò)訪問壓力，都是通過(guò)ACL來(lái)完成的，它還可以允許或阻止一些不必要的數(shù)據(jù)流量。

2.3 防火墻安全部署

已經(jīng)發(fā)展了很多年的主動(dòng)防御概念，但是許多障礙都存在于理論到應(yīng)用中。指定程序或線程的行為需通過(guò)分析和掃描，危險(xiǎn)程序確認(rèn)后需要主動(dòng)防御及清除。技術(shù)的不斷革新，使得安全設(shè)備有了自動(dòng)監(jiān)視、分析及診斷的功能，提高了病毒、蠕蟲和特洛伊木馬等惡意攻擊的有效防護(hù)，大大提高了校園網(wǎng)絡(luò)的安全，所以防火墻的部署成為必然的趨勢(shì)。

使用訪問控制列表Access Control ListACL策略進(jìn)行設(shè)置安全級(jí)別和權(quán)限，IP、TCP、UDP、ICMP和其他協(xié)議類型有選擇地過(guò)濾。如果受到IP地址欺騙攻擊時(shí)，防火墻的攻擊防御系統(tǒng)需要進(jìn)行IP、端口、Teardrop、DMZ、ICMPFlood、SYN Flood、UDP Flood、Ping of Death的掃描檢測(cè)。配置安全域模式時(shí)，安全域的所有攻擊防護(hù)功能可以打開，具體參數(shù)要求可以根據(jù)各種攻擊防護(hù)功能進(jìn)行配置。

2.4 核心層交換機(jī)安全部署

整個(gè)園區(qū)網(wǎng)絡(luò)的骨干是核心層交換設(shè)備，其性能的穩(wěn)定及快速使數(shù)據(jù)交互更加安全有效，并支持雙主控、電源冗余、分布式轉(zhuǎn)發(fā)和風(fēng)扇冗余等功能。

將網(wǎng)絡(luò)分別規(guī)劃管理，使得整個(gè)局域網(wǎng)和服務(wù)器能夠?qū)崿F(xiàn)有效通信，為學(xué)校院網(wǎng)絡(luò)交互帶來(lái)了極大的便利。具體包括虛擬局域網(wǎng)(Virtual Local Area Network,VLAN)的劃分和DMZ（非軍事化區(qū)域）區(qū)的劃分及安全策略。DMZ是用來(lái)進(jìn)行安全性的隔離策略，其特性與VLAN相似，同樣是在防火墻中配置。

安全策略DMZ區(qū)主要實(shí)現(xiàn)以下功能：（1）可以從內(nèi)部網(wǎng)絡(luò)開始訪問外部網(wǎng)絡(luò)。這是一種基本策略，需要經(jīng)過(guò)防火墻的篩選檢測(cè)，使得學(xué)生、老師更加方便地使用網(wǎng)絡(luò)。（2）Intranet和外部局域網(wǎng)都不能對(duì)DMZ訪問，目的是為了保護(hù)DMZ區(qū)域內(nèi)的數(shù)據(jù)，但如果郵件服務(wù)器位于DMZ中時(shí)，外部網(wǎng)絡(luò)需要訪問時(shí)就無(wú)法工作，因此，需對(duì)郵件服務(wù)器另行安置。

2.5 匯聚層交換機(jī)安全部署

匯聚交換機(jī)連接核心層和接入層用戶，使其能夠通信。匯聚層的流量、匯總、轉(zhuǎn)發(fā)和數(shù)據(jù)信息的傳輸，都需要路由協(xié)議轉(zhuǎn)換。因此，匯聚層可以使用OSPF和STP動(dòng)態(tài)路由協(xié)議配置，進(jìn)行優(yōu)先打開最短路徑，為網(wǎng)絡(luò)提供路徑冗余，同時(shí)防止環(huán)路產(chǎn)生。

3 結(jié)語(yǔ)

多層次的三維保護(hù)結(jié)構(gòu)使學(xué)校的網(wǎng)絡(luò)系統(tǒng)安全性得到了較大的提升。外部小型組織的威脅源發(fā)起的惡意攻擊得到保護(hù)，重要資源相對(duì)減少有害的威脅，安全漏洞和安全事件可以及時(shí)發(fā)現(xiàn)。系統(tǒng)損壞后，通過(guò)配置的策略恢復(fù)網(wǎng)絡(luò)正常運(yùn)行。安全策略的配置減少了被入侵的次數(shù)，有效地提高了安全等級(jí)。使用VLAN劃分與ARP部署，使得校園網(wǎng)內(nèi)網(wǎng)攻擊得到了遏制，最大程度的控制ARP病毒的傳播，有效地遏制了學(xué)校濫用IP地址的現(xiàn)象。系統(tǒng)的配置提供了安全保障，使得有惡意的用戶訪問時(shí)被限制在外。