圖書館防火墻的部署及其實(shí)現(xiàn)方法

0 前言

隨著高校數(shù)字化圖書館建設(shè)的不斷推進(jìn)，圖書館各種應(yīng)用系統(tǒng)越來越多。除傳統(tǒng)的文獻(xiàn)資源管理系統(tǒng)之外，還包括各種鏡像電子資源數(shù)據(jù)庫(kù)、導(dǎo)讀系統(tǒng)、閱報(bào)系統(tǒng)、圖書推薦系統(tǒng)、館際互借系統(tǒng)、學(xué)位論文系統(tǒng)，參考咨詢與學(xué)科導(dǎo)航系統(tǒng)、特色數(shù)據(jù)庫(kù)系統(tǒng)、OPAC系統(tǒng)、整合鏈接系統(tǒng)等等，并且這些系統(tǒng)都是每周7×24小時(shí)服務(wù)。因此如何保證它們安全有效地運(yùn)行，一直是圖書館現(xiàn)代化的一項(xiàng)重要工作。當(dāng)前許多圖書館都從網(wǎng)絡(luò)建設(shè)方面入手，希望通過部署防火墻系統(tǒng)，來保護(hù)圖書館整個(gè)內(nèi)部網(wǎng)絡(luò)不受外界入侵，避免信息泄漏、數(shù)據(jù)非法刪除等安全隱患，已確保各種應(yīng)用系統(tǒng)的安全運(yùn)行。本文不是從理論上探討防火墻產(chǎn)品的優(yōu)劣，而是具體論述幾類防火墻產(chǎn)品在實(shí)際部署時(shí)的具體實(shí)踐，希望對(duì)圖書館在建立自身網(wǎng)絡(luò)防護(hù)體系方面，具有實(shí)際的指導(dǎo)意義。

1 網(wǎng)絡(luò)環(huán)境

大家知道，就高校圖書館網(wǎng)絡(luò)而言，其防火墻的部署一般如圖1所示。

圖1 設(shè)置1

為了安全起見，應(yīng)用于圖書采訪、編目、流通等業(yè)務(wù)環(huán)節(jié)的文獻(xiàn)管理系統(tǒng)（當(dāng)前絕大部分是采用Client/Server結(jié)構(gòu)）的主服務(wù)器都會(huì)放在防火墻后面的圖書館內(nèi)部網(wǎng)絡(luò)。OPAC服務(wù)器因防火墻產(chǎn)品的不同，有的放置在防火墻內(nèi)部，有的放置在防火墻外部。其它應(yīng)用系統(tǒng)和鏡像電子資源數(shù)據(jù)庫(kù)等，可根據(jù)安全程度的不同要求，放在內(nèi)部區(qū)、DMZ區(qū)或防火墻外。

2 ISA軟件防火墻的應(yīng)用

ISA SERVER是由微軟公司開發(fā)的集成化安全軟件。將它裝在服務(wù)器（服務(wù)器通常配三塊網(wǎng)卡。一塊接外部網(wǎng)絡(luò)，一塊接內(nèi)部網(wǎng)絡(luò)，一塊接DMZ區(qū)）上，就形成了一個(gè)網(wǎng)絡(luò)防火墻。就ISA而言，我們?cè)诓渴餙PAC服務(wù)器時(shí)，應(yīng)將它放在圖書館內(nèi)網(wǎng)上，如圖1中的OPAC服務(wù)器1，同時(shí)要在連接外部網(wǎng)絡(luò)的一塊網(wǎng)卡上設(shè)置兩個(gè)IP地址（這兩個(gè)IP地址是互聯(lián)網(wǎng)認(rèn)可的真實(shí)IP地址）。一個(gè)用于圖書館文獻(xiàn)信息管理系統(tǒng)的數(shù)據(jù)庫(kù)應(yīng)用服務(wù)器發(fā)布（假設(shè)圖書館文獻(xiàn)信息管理系統(tǒng)主服務(wù)器使用的數(shù)據(jù)庫(kù)是Oracle，后面所說發(fā)布簡(jiǎn)稱為 Oracle應(yīng)用服務(wù)器發(fā)布）。另一個(gè)用于OPAC服務(wù)器（也就是Web服務(wù)器）發(fā)布。

2.1 Oracle應(yīng)用服務(wù)器發(fā)布

要將 Oracle應(yīng)用服務(wù)器作發(fā)布，是因?yàn)榉中^(qū)圖書館的采購(gòu)、編目、流通等計(jì)算機(jī)客戶端在工作時(shí)，必須透過ISA防火墻去訪問主服務(wù)器上基于Oracle數(shù)據(jù)庫(kù)的文獻(xiàn)管理系統(tǒng)。如果沒有分校區(qū)圖書館，Oracle應(yīng)用服務(wù)器不需要進(jìn)行發(fā)布。

首先在ISA上，先對(duì)分校區(qū)圖書館文獻(xiàn)管理系統(tǒng)客戶機(jī)的IP地址范圍作一個(gè)定義，以便在后面制定防火墻策略時(shí)，只允許這個(gè)范圍的IP地址計(jì)算機(jī)訪問Oracle主服務(wù)器。打開ISA，在網(wǎng)絡(luò)對(duì)象的地址范圍中進(jìn)行設(shè)置，如圖2所示。

圖2 設(shè)置2

其次，在ISA上自定義Oracle通訊協(xié)議。打開ISA，從“工具箱” —〉協(xié)議—〉用戶定義，新建一個(gè)Oracle網(wǎng)絡(luò)通訊協(xié)議。所起協(xié)議名稱：Oracle，協(xié)議類型：TCP，端口1521（通常Oracle通訊端口為1521）。

最后作Oracle應(yīng)用服務(wù)器發(fā)布。打開ISA，右擊防火墻策略，到“新建”處看到有“服務(wù)器發(fā)布規(guī)則”。如圖3所示

圖3 設(shè)置3

在Oracle應(yīng)用服務(wù)器發(fā)布向?qū)У倪^程中，由于是發(fā)布，所以“方向”的選擇是“入站”方向。“通訊”選擇前面定義的Oracle通訊協(xié)議，“從”選擇前面定義的分校區(qū)圖書館，到那個(gè)網(wǎng)絡(luò)，注意選擇的是“外部”，而不是“內(nèi)部”。勾選“外部”，然后點(diǎn)擊下面的“地址”按鈕，選擇“在此網(wǎng)絡(luò)上的IP地址”，就會(huì)在“可用的IP地址”欄，顯示出外網(wǎng)卡的兩個(gè)IP，如圖4所示。

圖4 設(shè)置4

比如把圖中的121.248.104.194作為Oracle應(yīng)用服務(wù)器的發(fā)布地址。至此在ISA防火墻上就設(shè)定出了只有分館的圖書館文獻(xiàn)管理系統(tǒng)客戶機(jī)，可以以TCP協(xié)議的1521端口去訪問防火墻內(nèi)的文獻(xiàn)管理系統(tǒng)主服務(wù)器，其它IP地址的計(jì)算機(jī)或者想以TCP協(xié)議1521以外的端口去訪問防火墻內(nèi)的文獻(xiàn)管理系統(tǒng)主服務(wù)器都會(huì)被阻止，從而確保防火墻內(nèi)主服務(wù)器的安全。

2.2 OPAC服務(wù)器發(fā)布（也就是Web服務(wù)器發(fā)布）

打開ISA，右擊防火墻策略—〉“新建” —〉“Web服務(wù)器發(fā)布規(guī)則”，見圖3。在Web服務(wù)器發(fā)布規(guī)則向?qū)У倪^程中，確認(rèn)的主要參數(shù)有：①偵聽器；②公共名稱；③從（哪里）；④到（哪里）；⑤橋接。如將OPAC服務(wù)器發(fā)布在8080端口，則在偵聽器端口鍵入8080。協(xié)議選擇HTTP。“從”選擇任何地點(diǎn)，表示外網(wǎng)上的所有計(jì)算機(jī)都能訪問OPAC服務(wù)器。“到”選擇內(nèi)網(wǎng)上OPAC服務(wù)器的 IP地址，比如內(nèi)網(wǎng)中的 OPAC服務(wù)器 IP地址是192.168.101.89。對(duì)外發(fā)布的 IP地址選擇外網(wǎng)卡上的121.248.104.210。因此只要搞清各個(gè)參數(shù)的關(guān)系，通過Web服務(wù)器發(fā)布規(guī)則向?qū)В芸炀湍芡瓿蒓PAC服務(wù)器發(fā)布。

目前ISA已經(jīng)升級(jí)到Forefront Threat Management Gateway。它是 64位內(nèi)存尋址，性能上又有了很大提升。如：具備雙 ISP線路支持。增強(qiáng)的NAT地址轉(zhuǎn)換，可以支持多個(gè)外網(wǎng)址轉(zhuǎn)換。支持Web 非法軟件掃描與過濾，郵件過濾等。

3 Fortigate硬件防火墻的應(yīng)用

與ISA防火墻不同，對(duì)于Fortigate硬件防火墻來講，會(huì)把OPAC服務(wù)器放在外網(wǎng)上，如圖 1中所示的 OPAC服務(wù)器 2。Fortigate硬件防火墻采取地址映射的辦法，把內(nèi)網(wǎng)Oracle應(yīng)用服務(wù)器的IP地址映射到防火墻外網(wǎng)口上的一個(gè)IP地址。

圖5 設(shè)置5

在制定Fortigate硬件防火墻策略之前，同樣先要定義分館中允許訪問內(nèi)網(wǎng)Oracle應(yīng)用服務(wù)器的IP地址范圍，定義用于訪問Oracle數(shù)據(jù)庫(kù)的通訊協(xié)議（TCP，端口號(hào)1521），并且作IP地址映射，將內(nèi)網(wǎng)Oracle應(yīng)用服務(wù)器IP地址映射到防火墻外網(wǎng)口的IP地址。如圖5所示。

內(nèi)網(wǎng)中Oracle應(yīng)用服務(wù)器IP地址192.168.101.89，被映射到Fortigate防火墻外網(wǎng)口上的IP地址121.248.104.195。由于OPAC服務(wù)器是在外網(wǎng)上，所以O(shè)PAC服務(wù)器不需要發(fā)布。

最后制定防火墻策略，即允許OPAC服務(wù)器訪問內(nèi)網(wǎng)Oracle應(yīng)用服務(wù)器，允許分館處理圖書館業(yè)務(wù)的IP地址訪問內(nèi)網(wǎng)Oracle應(yīng)用服務(wù)器，至此完成防火墻內(nèi)的Oracle應(yīng)用服務(wù)器的部署。當(dāng)然還可以進(jìn)行內(nèi)網(wǎng)訪問外網(wǎng)的控制，包括流量控制。比如讓圖書館內(nèi)網(wǎng)中的采編部門計(jì)算機(jī)可以訪問外網(wǎng)，以獲取外網(wǎng)上的采訪數(shù)據(jù)與編目數(shù)據(jù)，不允許借還文獻(xiàn)的計(jì)算機(jī)訪問外網(wǎng)等等。

4 SINFOR-AC行為管理設(shè)備的應(yīng)用

SINFOR-AC設(shè)備是深信服科技公司的行為管理產(chǎn)品。將行為管理設(shè)備作為防火墻，其OPAC服務(wù)器與Oracle應(yīng)用服務(wù)器部署與Fortigate硬件防火墻一致。也是把OPAC服務(wù)器放在外網(wǎng)上，采取地址映射的方法，把內(nèi)網(wǎng)Oracle應(yīng)用服務(wù)器的IP地址映射到行為管理設(shè)備外網(wǎng)口上的一個(gè)IP地址，然后做防火墻策略。

SINFOR-AC行為管理設(shè)備除了具備傳統(tǒng)防火墻、防ARP攻擊、防DoS攻擊、網(wǎng)關(guān)殺毒等安全功能之外，還具備“訪問控制、流量控制”等上網(wǎng)行為管理和監(jiān)控功能。可基于用戶/用戶組、應(yīng)用、時(shí)間等條件的上網(wǎng)授權(quán)策略，精細(xì)管控所有與工作無關(guān)的網(wǎng)絡(luò)行為。如圖6所示。

圖6 設(shè)置6

圖中表明允許內(nèi)網(wǎng)默認(rèn)組訪問外網(wǎng)全部。在上網(wǎng)行為上作限制，不許上網(wǎng)炒股，不許上網(wǎng)玩游戲，不許P2P流媒體，不許到木馬網(wǎng)站。當(dāng)然還可以做其它限制。

設(shè)備還會(huì)詳盡記錄用戶的上網(wǎng)軌跡，做到網(wǎng)絡(luò)行為有據(jù)可查，滿足組織對(duì)網(wǎng)絡(luò)行為記錄的相關(guān)要求、規(guī)避可能的法規(guī)風(fēng)險(xiǎn)。如圖7所示。

圖7 設(shè)置7

能夠查詢哪天，什么時(shí)間，用戶訪問了哪些網(wǎng)站。

另外設(shè)備也可以對(duì)用戶的訪問頻率進(jìn)行統(tǒng)計(jì)，如圖8所示。

圖8 訪問頻率統(tǒng)計(jì)圖

這個(gè)用戶網(wǎng)絡(luò)活動(dòng)排行榜，清楚地表明哪幾臺(tái)計(jì)算機(jī)活動(dòng)頻繁，主要做了什么事情。需要的話，可以對(duì)這幾臺(tái)計(jì)算機(jī)進(jìn)行限制。

5 結(jié)語

綜上所述，三類產(chǎn)品具有不同的技術(shù)特點(diǎn)。就防火墻實(shí)施的基本方法而言，任何防火墻系統(tǒng)都要先作接口IP設(shè)置（內(nèi)網(wǎng)口、外網(wǎng)口、DMZ接口）、網(wǎng)關(guān)設(shè)置、DNS設(shè)置等，然后對(duì)需要限制訪問的 IP地址做一個(gè)網(wǎng)絡(luò)劃分，選擇或定義數(shù)據(jù)庫(kù)通訊協(xié)議，最后制定出相應(yīng)的防火墻策略。從性能來看，硬件防火墻采用專有芯片作為專門的安全引擎，因此它能以非常高的速率處理數(shù)據(jù)，而且有些新的產(chǎn)品還集成有防病毒網(wǎng)關(guān)、VPN、IDS、內(nèi)容過濾和流量控制等多項(xiàng)功能，但價(jià)格相對(duì)較高。由于不同的圖書館，其網(wǎng)絡(luò)規(guī)模、網(wǎng)絡(luò)帶寬、網(wǎng)絡(luò)安全要求程度等不盡相同，且各個(gè)館的設(shè)備經(jīng)費(fèi)、人員技術(shù)水平也不一樣，有的可能需要幾種產(chǎn)品的不同組合，有的單一產(chǎn)品就能滿足。因此實(shí)際部署防火墻系統(tǒng)時(shí)，更強(qiáng)調(diào)選擇適合自己的網(wǎng)絡(luò)安全產(chǎn)品，而不能一味追求高性能、多功能的高檔防火墻產(chǎn)品。