999精品在线视频,手机成人午夜在线视频,久久不卡国产精品无码,中日无码在线观看,成人av手机在线观看,日韩精品亚洲一区中文字幕,亚洲av无码人妻,四虎国产在线观看 ?

基于ROS的高校圖書館服務器網絡安全策略研究

2010-04-11 08:06:42石曉東
制造業自動化 2010年9期
關鍵詞:網絡安全設置圖書館

石曉東

SHI Xiao-dong

(平頂山學院 圖書館,平頂山 467000)

基于ROS的高校圖書館服務器網絡安全策略研究

Security policy researches of the university library’s network based by ROS

石曉東

SHI Xiao-dong

(平頂山學院 圖書館,平頂山 467000)

本文以平頂山學院圖書館為例,研究了如何利用基于Router OS的端口映射和防火墻策略以保障圖書館服務器的網絡安全。實踐表明,該策略不但可以節約安全成本,而且可以有效的屏蔽對服務器的惡意攻擊,保障服務器數據的安全,彌補了VPN技術的不足。

Router OS; 網絡安全; 端口映射; 防火墻

0 引言

網絡安全問題素來是高校圖書館的重中之重,為了解決這一問題,一些有實力的高校圖書館不得不投入大量的資金,購置了昂貴的硬件防火墻以及熱備份系統等,以保證系統在遭到網絡攻擊后能最大限度的保證數據的安全并及時恢復正常工作。但是對于許多的普通的本專科院校而言,并沒有如此充足的財力購買這些設備,如何花最少的錢,最大限度的保證圖書館服務器的安全呢?本文以平頂山學院圖書館為例,研究了如何利用ROS的端口映射和防火墻策略來保護圖書館的網絡安全。

1 Router OS系統簡介

1.1 什么是RouterOS

RouterOS全稱為MikroTik RouterOS,是一種軟路由系統,并通過該軟件將標準的PC電腦變成專用的路由器,特別在無線、認證、策略路由、帶寬控制和防火墻過濾等功能上有著非常突出的功能[1]。與其他體積龐大的路由系統來說,RouterOS不但在功能上毫不遜色,而且還具有體積小巧(整個系統不過20兆),資源占用率極低,即使在奔騰III的計算機上也可以游刃有余的順利運行。同硬路由系統相比,RouterOS具有運行配置需求低、投資低廉、擴展靈活等優點。

1.2 Router OS的優點

1)基于linux微內核,具有較高的安全性;

2)體積小巧,安裝后只有20多兆;

3)占用資源率低,即使586級別的普通主機,也可以快速運行;

4)功能豐富,支持多網卡橋接,軟件路由以及強大的防火墻策略等多項功能;

2 平頂山學院圖書館網絡安全策略簡介

在網絡安全上,平頂山學院圖書館最初采用的是基于VPN的安全策略:這個策略需要開啟Router OS的PPTP服務、配置VPN服務器并為每臺桌面客戶端設置VPN登陸密碼,在使用過程中,該方案較好的保證了圖書館數據庫服務器的安全,但是也發現了一些不足之處。

2.1 維護不便

首先,客戶端維護不方便。為了允許圖書館的幾十臺工作機訪問服務器,需要為每一臺機器配置VPN的登錄賬戶和密碼,而且考慮到安全因素,這些賬戶和密碼都要不定期的修改,無疑增加了網絡管理人員的工作負擔。

其次,服務器數據備份不便,在實踐中,筆者發現VPN方式,無法實現遠程鏡像備份機正常執行備份任務。

2.2 多臺服務器的配置策略復雜,且不便于訪問

平頂山學院圖書館有兩臺服務器,一臺是辦公自動化系統的數據庫服務器,一臺為圖書館的WEB服務器。WEB服務器不但擔負著圖書館網絡服務窗口的任務,還運行著圖書館的WEB Office軟件,同時還是數據庫服務器的備份服務器。如何使WEB Office服務和數據備份任務只對圖書館的員工開放,如何使數據備份任務只對備份服務器開放,如何防止外網IP訪問內部服務,配置起來是很棘手的問題,而且,每增加一臺服務器,都要修改相關的很多配置項目,管理起來十分麻煩。

2.3 安全性存在瑕疵

再復雜的服務器設置,有時候也會有疏漏。尤其是在網絡環境下,工作機眾多,任何一臺工作機如果在安全上存在問題,都會成為木桶效應中的那塊短板。在圖書館,很多員工的計算機安全意識薄弱,因此客戶端計算機被注入木馬病毒的情況并不鮮見。此時,VPN登錄的密碼就會變得形同虛設,木馬病毒不但可以獲悉VPN密碼,而且還可以利用VPN網絡連接,直接非法訪問圖書館的服務器資源,其嚴重性可想而知。

3 基于ROS的網絡安全策略的配置

3.1 平頂山學院圖書館的網絡拓撲

平頂山學院分為東西兩個校區,因此圖書館也被分割為東西兩個分部,中心機房設備位于東校區圖書館,西校區的工作站通過校園網連接圖書館的中心交換機,進而實現與圖書館局域網的互聯互通。具體網絡拓撲圖見圖1.

雖然客戶端和服務器在物理上存在著實連接,但是客戶端并不能直接訪問圖書館的數據庫服務器和WEB服務器,客戶端只允許訪問圖書館的網關服務器,然后數據的雙向傳輸有網關服務器完成,具體而言,就是用到了端口映射技術。

圖1 平頂山學院圖書館網絡拓撲圖

3.2 端口映射技術簡介

端口映射是將一臺主機IP地址的某個端口映射到另外一個IP地址的某個端口上,當用戶訪問提供映射端口的主機的該端口時,服務器自動將請求轉到提供這種特定服務的主機。端口映射可以讓內部網絡中某臺機器對外部提供服務,而不是將真實IP地址直接轉到內部提供服務的主機。將真實IP地址直接轉到內部提供服務的主機有兩個弊端:一是外部網絡可以通過地址轉換功能訪問到這臺機器,內部機器不安全;二是當有多臺機器需要提供這種服務時,必須有同樣多的IP地址進行轉換,達不到節省IP地址的目的[2]。

利用端口映射功能還可以將一臺真IP地址機器的多個端口映射成內部不同機器上的不同端口.端口映射功能還可以完成一些特定代理功能,如代理POP,SMTP,TELNET等協議。

3.3 給予端口映射和防火墻的安全配置示例

3.3.1 端口映射的配置

采用端口映射的目的就是為了在能正常提供網絡服務的情況下隱藏內部的網絡服務器,從而達到一定的網絡安全效果。因此,對端口映射的配置其實就是對圖1中網關服務器的配置。

如拓撲圖1所示,網關服務器是一個具備雙網卡和雙獨立IP的普通PC機(RouterOS具有低配置要求的優點),內網接口IP連接到圖書館局域網交換機上,負責和局域網的服務器通信。外網接口IP則負責接收各個工作站或客戶端對主機的訪問請求,并把數據轉發給內網的相應服務器主機。為了實現這個功能,我們首先要設置路由,將針對內網的數據訪問包轉發給內網的IP接口。(以我館的服務器內網IP為10.10.0.1,外網IP為211.69.*.*,要映射的服務為10.10.0.3服務器的WEB服務為例)。方法如下:

登錄ROS(RouterOS)客戶端工具Winbox,選擇IP->Routers,在出現的路由表中點選+號增加一條路由,設置Destination為內網的網絡段,Pref.Source為服務器的內網IP,接口為內網網卡名即可,如圖2所示。

然后增加一條端口映射,打開Winbox的終端窗口,輸入端口映射命令:

add chain=dstnat dst-address=211.69.*.* protocol=tcp dst-port=80 action=dst-nat to-addresses=10.10.0.3 toports=80comment=”” disabled=no

完成后,對211.69.*.*主機80端口的訪問,就會被主機映射為對10.10.0.2主機80端口的訪問。以上映射也可以在Windox中以窗口交互的方式添加,方法為:點選IP->Firewall->添加NAT,Chain設置為dstnat,Dst.Address設置為211.69.*.*;protocol設置為6(tcp),Dst.Port設置為80,Action選項卡的Action設置為Dstnat,To Address設置為10.10.0.3,to ports設置為80。到此配置完成[3]。

圖2 內網路由設置

其他服務器服務端口的映射方法相同,本文略。

3.3.2 防火墻的配置

防火墻的配置較為復雜,盡管Router具備強大的防火墻功能,但是鑒于筆者對軟件的運用水平等因素,筆者只采用了以下策略:

1)IP過濾策略

本策略主要限制非法IP對指定端口的訪問,比如非圖書館工作站IP不得訪問網關服務器的1433端口(此端口通常為SQL server數據庫服務器的服務端口)。這條規則的設置并不難,只需要管理員掌握本單位的IP分布段即可。

2)ARP綁定策略

設置這條規則的目的是為了防范內部網絡的ARP攻擊,以免內部網絡某臺計算機在受到ARP病毒感染后冒充網關服務器,引起網絡故障。關于ARP綁定的設置,限于篇幅和本文的討論重點,此處不予討論,讀者可以參考網上的相關資料。

4 結論

實踐中,筆者發現機遇端口映射和防火墻機制的網絡,除具有較高的安全性外,在維護上也方便不少。以上為平頂山學院圖書館的網絡安全策略,限于筆者個人水平,其中難免有不足之處,在此拋磚引玉,希望得到各位專家斧正。

[1] MikroTik RouterOS介紹[EB/OL]. (2007-09-04)[2009-07-15]. http: //www.mikrotik. com. cn/.

[2] 傅豐,徐洪章.端口映射的分析與應用.2006.

[3] winbox端口映射[EB/OL].(2008-06-10)[2009-08-21].http://hi.baidu.com/bluefire_h/blog/item/710fcb19544305bc4ae dbc3e.html.

TP393

B

1009-0134(2010)09-0212-03

10.3969/j.issn.1009-0134.2010.09.65

2010-05-15

石曉東(1971 -),女,河南平頂山人,中級館員,本科,研究方向為數字圖書館。

猜你喜歡
網絡安全設置圖書館
中隊崗位該如何設置
少先隊活動(2021年4期)2021-07-23 01:46:22
網絡安全
網絡安全人才培養應“實戰化”
上網時如何注意網絡安全?
圖書館
小太陽畫報(2018年1期)2018-05-14 17:19:25
飛躍圖書館
本刊欄目設置說明
中俄臨床醫學專業課程設置的比較與思考
圖書館里的是是非非
我國擬制定網絡安全法
聲屏世界(2015年7期)2015-02-28 15:20:13
主站蜘蛛池模板: 伊人AV天堂| 播五月综合| 亚洲人成网址| 亚洲日韩精品无码专区97| 欧美性精品| 54pao国产成人免费视频| 在线观看网站国产| 欧美第一页在线| 91无码人妻精品一区| 国产爽妇精品| 一本色道久久88亚洲综合| 久久国产精品娇妻素人| 国产91在线|日本| 91毛片网| 超清无码一区二区三区| 国产精品黄色片| 日韩在线影院| 国产精品护士| 影音先锋丝袜制服| 丰满人妻被猛烈进入无码| 精品91在线| 在线免费看黄的网站| 2021国产在线视频| 亚洲欧美日韩天堂| 精品国产女同疯狂摩擦2| 天天综合网色| 一区二区影院| 亚洲欧美人成人让影院| 亚洲婷婷丁香| 五月综合色婷婷| 久久精品无码专区免费| 97超爽成人免费视频在线播放| 精品久久人人爽人人玩人人妻| а∨天堂一区中文字幕| 精品亚洲欧美中文字幕在线看| 午夜成人在线视频| 国产亚洲欧美日韩在线一区| 国产丰满成熟女性性满足视频| 国产精品第5页| 日本不卡在线视频| 中文字幕亚洲精品2页| 波多野结衣第一页| 97久久精品人人| 亚洲人成网站日本片| 亚洲日本www| 免费在线国产一区二区三区精品| 日韩精品少妇无码受不了| 在线观看国产精美视频| 白浆免费视频国产精品视频| 国产玖玖视频| 91小视频在线观看免费版高清| 91在线播放免费不卡无毒| 亚洲第一网站男人都懂| 亚洲人成在线精品| 久久人妻xunleige无码| 国产系列在线| 人妻21p大胆| 人妻丰满熟妇αv无码| 国产色爱av资源综合区| 在线播放91| 全免费a级毛片免费看不卡| 欧洲一区二区三区无码| 久久精品国产91久久综合麻豆自制| 国产无套粉嫩白浆| 欧美怡红院视频一区二区三区| 欧美成a人片在线观看| 国产极品嫩模在线观看91| 精品久久国产综合精麻豆| 国产美女人喷水在线观看| 国产精品男人的天堂| 美女一级毛片无遮挡内谢| 日韩 欧美 小说 综合网 另类| 在线观看91精品国产剧情免费| 婷婷亚洲综合五月天在线| 玖玖精品在线| 久久鸭综合久久国产| 亚洲成人黄色在线| 国产97公开成人免费视频| 99热精品久久| 97在线国产视频| 免费看一级毛片波多结衣| 香蕉色综合|