基于ROS的高校圖書館服務器網絡安全策略研究

石曉東

SHI Xiao-dong

（平頂山學院 圖書館，平頂山 467000）

基于ROS的高校圖書館服務器網絡安全策略研究

Security policy researches of the university library’s network based by ROS

石曉東

SHI Xiao-dong

（平頂山學院 圖書館，平頂山 467000）

本文以平頂山學院圖書館為例，研究了如何利用基于Router OS的端口映射和防火墻策略以保障圖書館服務器的網絡安全。實踐表明，該策略不但可以節約安全成本，而且可以有效的屏蔽對服務器的惡意攻擊，保障服務器數據的安全，彌補了VPN技術的不足。

Router OS; 網絡安全; 端口映射; 防火墻

0 引言

網絡安全問題素來是高校圖書館的重中之重，為了解決這一問題，一些有實力的高校圖書館不得不投入大量的資金，購置了昂貴的硬件防火墻以及熱備份系統等，以保證系統在遭到網絡攻擊后能最大限度的保證數據的安全并及時恢復正常工作。但是對于許多的普通的本專科院校而言，并沒有如此充足的財力購買這些設備，如何花最少的錢，最大限度的保證圖書館服務器的安全呢？本文以平頂山學院圖書館為例，研究了如何利用ROS的端口映射和防火墻策略來保護圖書館的網絡安全。

1 Router OS系統簡介

1.1 什么是RouterOS

RouterOS全稱為MikroTik RouterOS，是一種軟路由系統，并通過該軟件將標準的PC電腦變成專用的路由器，特別在無線、認證、策略路由、帶寬控制和防火墻過濾等功能上有著非常突出的功能[1]。與其他體積龐大的路由系統來說，RouterOS不但在功能上毫不遜色，而且還具有體積小巧（整個系統不過20兆），資源占用率極低，即使在奔騰III的計算機上也可以游刃有余的順利運行。同硬路由系統相比，RouterOS具有運行配置需求低、投資低廉、擴展靈活等優點。

1.2 Router OS的優點

1）基于linux微內核，具有較高的安全性；

2）體積小巧，安裝后只有20多兆；

3）占用資源率低，即使586級別的普通主機，也可以快速運行；

4）功能豐富，支持多網卡橋接，軟件路由以及強大的防火墻策略等多項功能；

2 平頂山學院圖書館網絡安全策略簡介

在網絡安全上，平頂山學院圖書館最初采用的是基于VPN的安全策略：這個策略需要開啟Router OS的PPTP服務、配置VPN服務器并為每臺桌面客戶端設置VPN登陸密碼，在使用過程中，該方案較好的保證了圖書館數據庫服務器的安全，但是也發現了一些不足之處。

2.1 維護不便

首先，客戶端維護不方便。為了允許圖書館的幾十臺工作機訪問服務器，需要為每一臺機器配置VPN的登錄賬戶和密碼，而且考慮到安全因素，這些賬戶和密碼都要不定期的修改，無疑增加了網絡管理人員的工作負擔。

其次，服務器數據備份不便，在實踐中，筆者發現VPN方式，無法實現遠程鏡像備份機正常執行備份任務。

2.2 多臺服務器的配置策略復雜，且不便于訪問

平頂山學院圖書館有兩臺服務器，一臺是辦公自動化系統的數據庫服務器，一臺為圖書館的WEB服務器。WEB服務器不但擔負著圖書館網絡服務窗口的任務，還運行著圖書館的WEB Office軟件，同時還是數據庫服務器的備份服務器。如何使WEB Office服務和數據備份任務只對圖書館的員工開放，如何使數據備份任務只對備份服務器開放，如何防止外網IP訪問內部服務，配置起來是很棘手的問題，而且，每增加一臺服務器，都要修改相關的很多配置項目，管理起來十分麻煩。

2.3 安全性存在瑕疵

再復雜的服務器設置，有時候也會有疏漏。尤其是在網絡環境下，工作機眾多，任何一臺工作機如果在安全上存在問題，都會成為木桶效應中的那塊短板。在圖書館，很多員工的計算機安全意識薄弱，因此客戶端計算機被注入木馬病毒的情況并不鮮見。此時，VPN登錄的密碼就會變得形同虛設，木馬病毒不但可以獲悉VPN密碼，而且還可以利用VPN網絡連接，直接非法訪問圖書館的服務器資源，其嚴重性可想而知。

3 基于ROS的網絡安全策略的配置

3.1 平頂山學院圖書館的網絡拓撲

平頂山學院分為東西兩個校區，因此圖書館也被分割為東西兩個分部，中心機房設備位于東校區圖書館，西校區的工作站通過校園網連接圖書館的中心交換機，進而實現與圖書館局域網的互聯互通。具體網絡拓撲圖見圖1.

雖然客戶端和服務器在物理上存在著實連接，但是客戶端并不能直接訪問圖書館的數據庫服務器和WEB服務器，客戶端只允許訪問圖書館的網關服務器，然后數據的雙向傳輸有網關服務器完成，具體而言，就是用到了端口映射技術。

圖1 平頂山學院圖書館網絡拓撲圖

3.2 端口映射技術簡介

端口映射是將一臺主機IP地址的某個端口映射到另外一個IP地址的某個端口上，當用戶訪問提供映射端口的主機的該端口時，服務器自動將請求轉到提供這種特定服務的主機。端口映射可以讓內部網絡中某臺機器對外部提供服務，而不是將真實IP地址直接轉到內部提供服務的主機。將真實IP地址直接轉到內部提供服務的主機有兩個弊端：一是外部網絡可以通過地址轉換功能訪問到這臺機器，內部機器不安全；二是當有多臺機器需要提供這種服務時，必須有同樣多的IP地址進行轉換，達不到節省IP地址的目的[2]。

利用端口映射功能還可以將一臺真IP地址機器的多個端口映射成內部不同機器上的不同端口.端口映射功能還可以完成一些特定代理功能，如代理POP，SMTP，TELNET等協議。

3.3 給予端口映射和防火墻的安全配置示例

3.3.1 端口映射的配置

采用端口映射的目的就是為了在能正常提供網絡服務的情況下隱藏內部的網絡服務器，從而達到一定的網絡安全效果。因此，對端口映射的配置其實就是對圖1中網關服務器的配置。

如拓撲圖1所示，網關服務器是一個具備雙網卡和雙獨立IP的普通PC機（RouterOS具有低配置要求的優點），內網接口IP連接到圖書館局域網交換機上，負責和局域網的服務器通信。外網接口IP則負責接收各個工作站或客戶端對主機的訪問請求，并把數據轉發給內網的相應服務器主機。為了實現這個功能，我們首先要設置路由,將針對內網的數據訪問包轉發給內網的IP接口。（以我館的服務器內網IP為10.10.0.1，外網IP為211.69.*.*，要映射的服務為10.10.0.3服務器的WEB服務為例）。方法如下：

登錄ROS（RouterOS）客戶端工具Winbox，選擇IP->Routers，在出現的路由表中點選+號增加一條路由，設置Destination為內網的網絡段，Pref.Source為服務器的內網IP，接口為內網網卡名即可，如圖2所示。

然后增加一條端口映射，打開Winbox的終端窗口，輸入端口映射命令：

add chain=dstnat dst-address=211.69.*.* protocol=tcp dst-port=80 action=dst-nat to-addresses=10.10.0.3 toports=80comment=”” disabled=no

完成后，對211.69.*.*主機80端口的訪問，就會被主機映射為對10.10.0.2主機80端口的訪問。以上映射也可以在Windox中以窗口交互的方式添加，方法為：點選IP->Firewall->添加NAT，Chain設置為dstnat，Dst.Address設置為211.69.*.*；protocol設置為6(tcp),Dst.Port設置為80，Action選項卡的Action設置為Dstnat，To Address設置為10.10.0.3，to ports設置為80。到此配置完成[3]。

圖2 內網路由設置

其他服務器服務端口的映射方法相同，本文略。

3.3.2 防火墻的配置

防火墻的配置較為復雜，盡管Router具備強大的防火墻功能，但是鑒于筆者對軟件的運用水平等因素，筆者只采用了以下策略：

1）IP過濾策略

本策略主要限制非法IP對指定端口的訪問，比如非圖書館工作站IP不得訪問網關服務器的1433端口（此端口通常為SQL server數據庫服務器的服務端口）。這條規則的設置并不難，只需要管理員掌握本單位的IP分布段即可。

2）ARP綁定策略

設置這條規則的目的是為了防范內部網絡的ARP攻擊，以免內部網絡某臺計算機在受到ARP病毒感染后冒充網關服務器，引起網絡故障。關于ARP綁定的設置，限于篇幅和本文的討論重點，此處不予討論，讀者可以參考網上的相關資料。

4 結論

實踐中，筆者發現機遇端口映射和防火墻機制的網絡，除具有較高的安全性外，在維護上也方便不少。以上為平頂山學院圖書館的網絡安全策略，限于筆者個人水平，其中難免有不足之處，在此拋磚引玉，希望得到各位專家斧正。

[1] MikroTik RouterOS介紹[EB/OL]. (2007-09-04)[2009-07-15]. http： //www.mikrotik. com. cn/.

[2] 傅豐,徐洪章.端口映射的分析與應用.2006.

[3] winbox端口映射[EB/OL].(2008-06-10)[2009-08-21].http：//hi.baidu.com/bluefire_h/blog/item/710fcb19544305bc4ae dbc3e.html.

TP393

B

1009-0134(2010)09-0212-03

10.3969/j.issn.1009-0134.2010.09.65

2010-05-15

石曉東（1971 -），女，河南平頂山人，中級館員，本科，研究方向為數字圖書館。