校園一卡通網絡安全設計與實現

田愛寶，董增華

?

校園一卡通網絡安全設計與實現

田愛寶，董增華

摘 要：隨著校園一卡通系統功能的豐富和與第三方系統對接需求的增加，校園一卡通系統面臨著諸多網絡安全問題，為此，建立核心層、服務層、終端層三層安全模型，通過策略控制不同層級間不同設備的網絡訪問權限，使用防火墻的Trust、DMZ、Untrust的三個安全區域代替安全模型的三層結構，實現校園一卡通網絡的安全管理，提高安全水平。

關鍵詞：一卡通；安全模型；防火墻；區域

章編號：1007-757X(2016)07-0068-03

0　引言

隨著校園信息化的建設，學校各信息系統不斷的進行整合集成。校園一卡通系統作為校園信息化的基礎系統平臺，一方面提供諸如門禁、刷卡消費等服務，另一方面需要與其他信息系統進行對接，實現校園信息化系統間的數據共享與交換。這就使校園一卡通系統對網絡接入能力、穩定性、安全性等提出了較高的要求。

1　面臨的問題

校園一卡通系統極其龐大，本身承載著身份驗證、日常消費、機房管理等功能。同時與第三方系統對接實現諸如圖書管理、上網管理、教務管理等與師生日常工作、學習、生活相關的業務管理功能，所以校園一卡通系統幾乎遍布校園的每一個角落。校園一卡通網絡為了滿足一卡通系統的業務需求，各學校根據實際情況，一般采用兩種建網方案：獨立專網和校園網劃分專用VLAN。

建設一卡通獨立專網是最常見的一種網絡方案，邏輯結構簡單，但相對建設成本較高，日常維護工作量大，任何一卡通終端均需要安裝配置網絡設備和光纖鏈路，即使只有一個接入終端也如此。

在校園網絡上劃分一卡通專用 VLAN的網絡方案能共享網絡設備和線路，大量節省建網成本，部署時間短，但相對部署復雜，網絡安全防護依賴于網絡設備的策略配置情況，配置錯誤和漏洞將會導致巨大的安全問題。

校園網一卡通系統通過不同的網絡方案解決了系統內部設備和終端的接入問題，但由于網絡分散、終端不可控，導致系統內部存在網絡安全威脅，而現有的機制無法解決。另外，校園一卡通作為基礎信息平臺,需要與第三方信息系統進行對接。而各應用系統有自己的網絡環境，如專網、校園網等，這就導致了一卡通系統某些服務器或終端需要能連接到不同的專網或校園網中，以滿足系統間對接的網絡連接問題。在實際情況中，不同應用系統的網絡環境不盡相同，甚至部分應用系統的網絡安全性相對較差，存在各種安全隱患，很容易將一卡通系統暴露在不安全的網絡環境中。

2　網絡設計

校園一卡通系統雖然廠商不同，但系統架構基本相似，基本分為后臺數據庫服務器、前置機、業務終端三個部分，如圖1所示：

圖1　校園一卡通系統網絡通信圖

數據庫服務器是整個系統最為核心的部分，也是核心層。該部分保存著整個系統的身份基礎信息和金融數據，數據的損壞和丟失將會導致整個系統的崩潰和巨大的經濟損失，是網絡安全防護的重中之重。

前置機是整個系統的中間層，也是服務層。該部分根據不同的業務類型配置不同的服務器，各服務器只對相應業務類型的終端提供服務，包括對第三方系統提供業務接口供系統對接調用，而不直接提供服務。該層主要將終端數據與數據庫數據進行暫存和轉換，同時保存各業務系統的配置數據、管理數據等，網絡安全防護重要性居中，即使數據丟失與損壞只影響相應業務系統，影響范圍不大。

業務終端是指具體如門禁控制器、餐廳消費刷卡器等直接為用戶提供服務的設備或軟件，屬于系統的最外層，也可叫終端層。業務終端根據業務類型不同設備各不相同，包括網絡接入方式也不相同，甚至包括第三方業務系統，該部分數量多、分布廣、可控性差、網絡中斷或數據丟失等只會影響單個用戶，對系統的影響較小。

根據以上的分析整理，校園一卡通系統可以分成核心層、服務層、終端層三層網絡安全模型。核心層位于整套系統的核心位置，網絡安全級別最高，必須提供極高的安全可靠的網絡訪問；服務層為承上啟下的作用，既要連接核心層的數據庫等服務器，同時也要為終端層提供服務；終端層只與服務層建立網絡連接，最終形成的網絡安全模型如圖2所示：

圖2　校園一卡通系統網絡安全模型

在圖2的網絡安全模型中，兩相鄰系統安全層必須經過統一的安全控制關口，所有通信流量必須經過安全檢查，保障通信數據的合法性。

根據圖2的網絡安全模型，在網絡中需要配置兩臺安全設備。由于一卡通系統的數據通信量并不大，使用兩臺設備存在的一定的浪費，在實際應用中可以考慮對網絡安全模型進行簡化，將兩相鄰層間的安全控制關口合并，所有的安全策略統一配置在一個關口上，如圖3所示：

圖3　校園一卡通簡化網絡安全模型

3　實現方法

網絡安全防護基本上依賴于硬件設備、軟件和策略來實現，其中防火墻是安全設備中使用最為廣泛、技術比較成熟的設備，通過將網絡劃分不同的區域，并在區域間施加防火墻策略來達到網絡安全防護的作用。防火墻模式有三個安全區域，即Trust、DMZ、Untrust。這三個區域代表不同的安全級別，其中Trust代表安全區域，一般指內網，信任該區域不存在網絡安全威脅；DMZ是隔離區，處于安全和非安全的中間區域，可以對安全區域和非安全區域提供服務；Untrust是非安全區域，一般指互聯網的公網，存在著大量的網絡安全威脅。

結合防火墻的特點和網絡一卡通的網絡模型，可以將一卡通網絡的三層模型對應到防火墻的三個區域，利用防火墻區域間的策略來保障一卡通網絡的安全，如圖4所示：

圖4　一卡通網絡防火墻區域分配

根據網絡安全模型設計，將一卡通網絡劃分最少3個子網，其中最為核心部分的數據庫服務器配置在一個獨立的子網內，并放置在防火墻對應的 Trust區域，IP地址段為192.168.0.0/24；位于服務層的前置機配置到另一個獨立子網中，并放置在DMZ區域，IP地址端為192.168.1.0/24；將各種業務終端，包括第三方系統對接設置到獨立的一個或多個子網中，并放置在Untrust區域，IP地址段為192.168.2.0/23。

具體配置如下：

1、創建安全區域并將網絡接口添加到安全區域內。

firewall zone untrust

add interface GigabitEthernet0/0/0

firewall zone dmz

add interface GigabitEthernet0/0/1

firewall zone trust

add interface Vlanif 100

添加到安全區域的網絡接口必須是三層網絡接口，可以為物理三層接口，也可以是邏輯三層接口。

2、創建安全區域間防火墻策略

firewall interzone trust untrust

firewall interzone trust dmz

firewall interzone dmz untrust

由于不同一卡通服務器需要與不同的服務器或終端進行網絡通信，在防火墻中根據它們的IP、端口號以及通信特征放行正常通信數據，阻斷非正常或攻擊數據，達到保護一卡通系統安全的目的。

核心數據庫服務器192.168.0.10與前置機192.168.1.5需要進行IP通信，策略如下：

policy interzone trust dmz inbound

policy 0

action permit

policy source 192.168.1.5 mask 32

policy destination 192.168.0.10mask 32

#

policy interzone trust dmz outbound

policy 0

action permit

policy source 192.168.0.10mask 32

policy destination 192.168.1.5 mask 32

#

前置機服務器為終端設備提供HTTP服務的策略如下：

policy interzone dmz untrust inbound

policy 0

action permit

policy service service-set http

policy source 192.168.2.7. mask 32

policy destination 192.168.1.8 mask 32

#

policy interzone dmz untrust outbound

policy 0

action permit

policy service service-set http

policy source 192.168.1.8 mask 322

policy destination 192.168.2.7. mask 32

#

如此類似，根據不同層級的服務器的通信需求，配置相應的放行策略，可以將匹配條件精確到IP、端口和應用協議。

3、創建防火墻安全區域默認策略。考慮到安全性，建議采用默認策略為拒絕，對需要通行的數據按照第2條逐條放行。

firewall packet-filter default deny interzone dmz trust direction inbound

firewall packet-filter default deny interzone dmz trust direction outbound

firewall packet-filter default deny interzone dmz untrust direction inbound

firewall packet-filter default deny interzone dmz untrust direction outbound

firewall packet-filter default deny interzone trust untrust direction inbound

firewall packet-filter default deny interzone trust untrust direction outbound

根據上述的配置方法，可以對一卡通系統中的網絡通信進行精確控制，保障整個系統的網絡安全。

4　結論

通過對一卡通網絡進行安全設計，使用防火墻完成對一卡通網絡的安全升級，雖然在管理中增加了較為復雜的安全管理策略，但對于校園網一卡通系統在學校的重要性來說是很有必要的。

參考文獻

[1] 李春霞,齊菊紅.校園網安全防御體系的相關技術及模型[J].自動化與儀器儀表,2014(1):122-124

[2] 姜福泉.校園一卡通系統安全設計與分析[J].電子技術與軟件工程,2014(5):186

[3] 王君.計算機網絡安全與防火墻技術分析[J].網絡安全技術與應用,2015(12):10-11

[4] 段忠祥.云計算下的計算機網絡安全問題研究[J].軟件,2013,34(6):83-863

[5] 郭紅芳.校園一卡通系統的設計與實現[J].信息安全與通信保密,2011,(7):67-69.

中圖分類號：TP311

文獻標志碼：A

收稿日期：（2016.01.12）

作者簡介：田愛寶（1982-），男，湖北蘄春人，中國石油大學（華東）網絡及教育技術中心，工程師，工學碩士，研究方向：校園網絡數據通信與安全，青島，266580董增華（1988-），男，山東莒縣人，中國石油大學（華東）網絡及教育技術中心，助理工程師，工學碩士，研究方向：校園網絡通信與安全，青島，266580

Campus Card Network Security Design and Implementation

Tian Aibao, Dong Zenghua
(China University of Petroleum (East China) Network Technology and Education Center, Qingdao 266580, China)

Abstract:With the functions enriching and demand for third-party docking system increasing, the campus card system faces many network security issues. Therefore, it should establish the three-layer security model which consists of the core layer, service layer and terminal layer. Then by using some strategies to control the network access to the different devices of the different layers, it uses three security zones of the firewalls, Trust, DMZ, Untrust, instead of three-layer structure between the different levels of security model so as to achieve campus card network security management and improve the level of safety.

Key words:Card; Firewall; Zone; Security Model