基于高校內聯網的服務器安全訪問控制技術探討＊

江 春

（南京工程學院，江蘇 南京 211100）

1 引言

隨著信息化進程的深入和互聯網的迅速發展，網絡安全問題也日漸突出，特別是對內聯網中的各種應用和數據服務器安全造成嚴重威脅，如何有效地保障服務器的數據和信息安全一直是大家探討和研究的問題。一般意義上，網絡安全是指信息安全和控制安全兩部分，國際標準化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”，信息安全的技術主要包括監控、掃描、檢測、加密、認證、防攻擊、防病毒以及審計等幾個方面，其中數據傳輸加密技術和數據加密算法已有了大量的研究；控制安全則指身份認證、不可否認性、授權和訪問控制。下面針對內聯網的特點，以某高校內聯網為模型在網絡層面上對服務器的安全訪問控制進行相關技術探討。

2 內聯網安全控制技術

在大多數企業、機關、院校都擁有一個半封閉或全封閉的、管理集中的可控網絡，它和因特網不一樣，它可以存放大量敏感的、秘密的、甚至具有極高的軍事、政治、商業價值的信息。如何較好地保障內聯網的安全就顯得尤為重要，主要采用以下幾種技術手段來加以實現。

（1）在內聯網和因特網之間設立防火墻，使內聯網和因特網相互隔離。防火墻是一道控制進出企業內聯網的雙方向通信門檻，它可以阻止因特網中的黑客訪問或攻擊某機構的內聯網。防火墻有包過濾防火墻，應用層網關（代理）防火墻等不同種類。防火墻安全保障技術主要是為了保護與互聯網相連的企業內部網絡或單獨節點。它具有簡單實用的特點，并且透明度高，可以在不修改原有網絡應用系統的情況下達到一定的安全要求。防火墻一方面通過檢查、分析、過濾從內部網流出的IP包，盡可能地對外部網絡屏蔽被保護網絡或節點的信息、結構，另一方面對內屏蔽外部某些危險地址，實現對內部網絡的保護。

（2）為了防止非法用戶的侵人，可在Intranet內部采用識別認證和訪問控制技術（防火墻就是內網和外網之間的訪問控制技術），內網的訪問控制經常采用人網控制、網絡權限控制、目錄級安全控制、屬性安全控制、網絡服務器的安全控制、網絡檢測和鎖定控制、網絡端口及節點的安全控制等技術。

（3）為了防止網絡中進行數據交換時出現否認、抵賴事件，需采用數字簽名技術和公正仲裁機構。

（4）為了保證系統存儲數據不被非法竊取和泄露，可采用存儲加密技術。

（5）為了防止信息在信道上被截獲或泄露，可采用傳輸加密技術。

（6）為了防止敵手在信道對數據流量進行分析，可以采取業務流量填充技術。

（7）為了便于事故發生后追查責任和查找網絡安全漏洞，還應當采用嚴格審計制度和技術。此外，為了防止病毒對系統的侵蝕破壞，一方面要嚴格管理人網軟件，另一方面網上要具有病毒測試和清除的軟件技術。

3 外網與內網之間安全性訪問控制

如圖1所示，外網與內網之間安全性的控制和管理由三個主要設備來完成，即核心交換機（CISCO4507）、防火墻（Juniper ISG 1000）和路由器（H3C6608）。

圖1 高校通用網絡拓撲圖

在實際應用中，可能希望某些內部的主機可以訪問外部網絡，而某些主機不允許訪問，即當NAT網關查看數據報報頭內容時，如果發現源IP地址屬于禁止訪問外部網絡的內部主機，它將不進行NAT轉換，即對地址轉換進行控制。

設備可以通過定義地址池來實現多對多地址轉換，同時利用訪問控制列表來對地址轉換進行控制。

（1）利用訪問控制列表限制地址轉換：可以有效地控制地址轉換的使用范圍，只有滿足訪問控制列表條件的數據報文才可以進行地址轉換。

（2）地址池：用于地址轉換的一些連續的公有IP地址的集合。用戶應根據自己擁有的合法IP地址數目、內部網絡主機數目以及實際應用情況，配置恰當的地址池。地址轉換的過程中，NAT網關將會從地址池中挑選一個地址做為轉換后的源地址。

NAPT（Network Address Port Translation，網絡地址端口轉換）是NAT的一種變形，它允許多個內部地址映射到同一個公有地址上，也可稱之為“多對一地址轉換”或“地址復用”。

NAPT同時映射IP地址和端口號：來自不同內部地址的數據報的目的地址可以映射到同一外部地址，但它們的端口號被轉換為該地址的不同端口號，因而仍然能夠共享同一地址，也就是“私有地址＋端口”與“公有地址＋端口”之間的轉換。

在測試系統中，由于有富余的外網地址，為了有效地增強各網段對外網的訪問能力，分別對各內網段作了獨立的NAT轉換，還可實現對部分內網段實行流量控制，其實現的部分配置策略如下：

通過配置防火墻的安全策略，實現內外網的訪問控制和入侵檢測。面向對象ACL（Access Control List，訪問控制列表）用來在安全域之間實現流識別功能。一對源安全域和目的安全域之間維護一個面向對象ACL，面向對象ACL中可以配置一系列的匹配規則，以識別出特定的報文，然后根據預先設定的操作允許或禁止該報文通過。

面向對象ACL通過引用對象管理中的地址組對象和服務組對象，來根據報文的源IP地址、目的IP地址、IP承載的協議類型和協議的特性（例如TCP或UDP的源端口/目的端口、ICMP協議的消息類型/消息碼）等信息制定匹配規則。每條規則還可以通過引用對象管理中的時間段對象，來指定這條規則在該時間段定義的時間范圍內有效。

4 各網段與服務器之間的安全性訪問控制

根據圖1中網絡模型，為了確保各類服務器的安全，可以將重要的數據服務器和各類應用服務器分網段管理，再配合相應的訪問控制技術從網絡層面上限制其訪問的有效性和合法性。現以具體的機型為例進行分析，VLAN劃分主要由匯聚層H3C5510來實現的，而核心三層交換機C4507實現數據的高速轉發，具體劃分如下。

（1）匯聚層1的VLAN劃分

VLAN 11：IP 地址段（192.165.1.0/24）

VLAN 12：IP 地址段（192.165.2.0/24）

（2）匯聚層2的VLAN劃分

VLAN 21：IP 地址段（192.165.3.0/24）

VLAN 22：IP 地址段（192.165.4.0/24）

（3）匯聚層3的VLAN劃分

VLAN 31：IP 地址段（192.165.5.0/24） 各種管理機網段

VLAN 32：IP 地址段（192.165.6.0/24） 應用服務器網段

VLAN 33：IP 地址段（192.165.7.0/24） 數據庫服務器網段

VLAN劃分的配置過程不詳述了，下面主要介紹一下各網段的安全訪問控制策略，其控制策略主要集中在匯聚層3上實現。首先假設數據庫服務器網段連接在匯聚層3的G1/0/1端口，應用服務器網段連接在匯聚層3的G1/0/2端口，管理機網段連接在匯聚層3的G1/0/3端口，其具體配置如下：

（1）只允許應用服務器網段和管理機網段訪問數據庫服務器網段

（2）各個學生機房相應網段不允許互訪

以匯聚層 1 的交換機為例，假設 192.165.1.0網段接口交換機G1/0/1端口，控制此網段訪問其他學生機房網段。其實現如下：

訪 策 略 拒 絕 了 192.165.1.0 網 段 訪 問192.165.2.0、192.165.3.0 和 192.165.4.0 三個網段，其他網段的相互拒絕策略類似。

（3）屏蔽常見病毒及木馬端口的控制策略

該策略的實現主要是通過在三層匯聚層交換機的所有端口進行相應的控制策略配置。以三層匯聚層1的G1/0/1端口為例：

通過以上訪問控制技術可以從內聯網的網絡層面上保障了各種數據庫和應用服務器的安全訪問問題，最大程度地減少來自內網和外網對服務器的攻擊，確保了服務器數據的安全訪問。

［1］王擁軍，李建清.淺談企業網絡安全防護體系的建設［J］.信息安全與通信保密，2009.

［2］張麗娜.無線局域網面臨的安全問題及防范措施［J］.大理學院學報，2009，（4）.

［3］劉建煒.基于網絡層次結構安全的校園網絡安全防護體系解決方案［J］.教育探究，2010（1）.

［4］陶宇清.訪問控制列表在校園網絡安全中的應用［J］.電腦知識與技術，2011，（33）.

［5］邊云生.計算機網絡安全防護技術探究［J］.電腦知識與技術，2011，（31）.