系統(tǒng)安全改造

引言：為及時(shí)、全面、準(zhǔn)確地宣傳黨的路線、方針、政策，為廣大黨員干部和群眾，提供優(yōu)質(zhì)的、具有地方特色的教學(xué)資源，提供完善的黨員干部教育服務(wù)，筆者所在的某地市級(jí)黨員干部遠(yuǎn)程教育辦公室，建立了覆蓋全市的遠(yuǎn)程教育平臺(tái)系統(tǒng)，每位黨員干部在Internet網(wǎng)絡(luò)的任何“角落”，都能順利地進(jìn)行在線學(xué)習(xí)。

遠(yuǎn)程教育平臺(tái)系統(tǒng)，租用了電信的一條寬帶線路，接入Internet網(wǎng) 絡(luò)，出口帶寬大小為4MB，光纖經(jīng)過(guò)光電轉(zhuǎn)換器轉(zhuǎn)為RJ45接口后，連接到一臺(tái)核心路由交換機(jī)上。核心交換機(jī)上除了連接兩臺(tái)主、備遠(yuǎn)程教育平臺(tái)服務(wù)器外，還使用多模光纖線路，連接了遠(yuǎn)程教育大樓四個(gè)樓層交換機(jī)，圖1所示界面是整個(gè)遠(yuǎn)程教育網(wǎng)的簡(jiǎn)單拓?fù)鋱D。

存在問(wèn)題

圖1 遠(yuǎn)程教育網(wǎng)簡(jiǎn)單拓?fù)鋱D

當(dāng)初組網(wǎng)時(shí)，以為遠(yuǎn)程教育平臺(tái)只是面對(duì)特定用戶，而且需要授權(quán)才能訪問(wèn)，所以基本沒(méi)有采取任何安全防護(hù)措施，遠(yuǎn)程教育平臺(tái)服務(wù)器僅僅依靠安裝在其中的殺毒軟件和軟式防火墻，來(lái)保護(hù)遠(yuǎn)程訪問(wèn)的安全。但這幾年，隨著訪問(wèn)人數(shù)的越來(lái)越多，遠(yuǎn)程教育平臺(tái)遭遇非法攻擊的次數(shù)逐漸增多，嚴(yán)重影響了黨員干部的在線學(xué)習(xí)。某次，因?yàn)闆](méi)有及時(shí)更新殺毒軟件病毒庫(kù)，造成遠(yuǎn)程教育系統(tǒng)感染了一種特殊病毒，這種病毒通過(guò)Windows系統(tǒng)平臺(tái)自身存在的漏洞，對(duì)遠(yuǎn)程教育網(wǎng)進(jìn)行了非法攻擊，不但強(qiáng)行關(guān)閉殺毒軟件或其他安全工具，而且還對(duì)網(wǎng)絡(luò)445端口進(jìn)行攻擊，讓整個(gè)網(wǎng)絡(luò)傳輸通道堵塞不堪，影響了遠(yuǎn)程教育網(wǎng)絡(luò)的數(shù)據(jù)傳輸，技術(shù)人員經(jīng)過(guò)連夜加班后，才勉強(qiáng)將病毒危險(xiǎn)降到最低限度。此外，遠(yuǎn)程教育平臺(tái)訪問(wèn)還經(jīng)常出現(xiàn)堵塞現(xiàn)象，網(wǎng)絡(luò)出口帶寬不大，在視頻教學(xué)資源越來(lái)越多的情況下，出口帶寬已經(jīng)成為網(wǎng)絡(luò)的傳輸瓶頸。遠(yuǎn)程教育大樓內(nèi)部的布線方面，因?yàn)槿鄙賹ｉT的網(wǎng)絡(luò)管理人員，網(wǎng)絡(luò)私拉亂接現(xiàn)象十分嚴(yán)重，核心交換機(jī)和樓層交換機(jī)之間，還掛接有相當(dāng)多的小交換機(jī)，甚至在網(wǎng)絡(luò)中常常發(fā)生環(huán)路現(xiàn)象。網(wǎng)絡(luò)線纜連接基本沒(méi)有捆扎和標(biāo)簽說(shuō)明，每次遇到故障時(shí)，給排查帶來(lái)了極大麻煩。面對(duì)諸多問(wèn)題，整個(gè)教育系統(tǒng)的改造已經(jīng)刻不容緩。

安全分析

鑒于遠(yuǎn)程教育系統(tǒng)的安全現(xiàn)狀，如果要保證該網(wǎng)絡(luò)中的主、備平臺(tái)服務(wù)器不被攻擊，應(yīng)該立即采取有效措施，全面超前地保護(hù)好它們，畢竟在實(shí)際工作中，無(wú)論怎么運(yùn)行平臺(tái)系統(tǒng)，它們都有可能存在各種非法攻擊。考慮到遠(yuǎn)程教育系統(tǒng)的兩臺(tái)服務(wù)器中，存儲(chǔ)有大量珍貴的視頻教學(xué)資源，所以一定要通過(guò)嚴(yán)格的訪問(wèn)控制技術(shù)，來(lái)限制無(wú)關(guān)用戶的登錄訪問(wèn)。不過(guò)，對(duì)于來(lái)自間接物理訪問(wèn)引起的病毒入侵，往往很難預(yù)防，同時(shí)整個(gè)遠(yuǎn)程教育系統(tǒng)的自動(dòng)化程度和工作效能無(wú)法得到保障。

防火墻在安全防護(hù)體系中，可以對(duì)網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行有效控制，對(duì)確保網(wǎng)絡(luò)訪問(wèn)行為的安全性起到了相當(dāng)重要的作用。可以這樣說(shuō)，防火墻安全防護(hù)體系的建立與否，直接關(guān)系到遠(yuǎn)程教育系統(tǒng)能不能對(duì)惡意訪問(wèn)進(jìn)行有效的預(yù)防。眾所周知，善于使用硬件或軟件防火墻，能預(yù)防各式各樣的非法攻擊，可以幫助定位攻擊類型和攻擊來(lái)源。能夠避免惡意用戶的非法掃描，通過(guò)定制安全規(guī)則將攻擊行為扼殺于萌芽之中。可以抵制DoS/DDoS攻擊和源路由攻擊，借助檢測(cè)、控制和報(bào)警措施，攔截DoS惡意用戶攻擊，通過(guò)配置合適的規(guī)則，拒絕TCP/IP數(shù)據(jù)包中的源路由選項(xiàng)，避免源路由攻擊現(xiàn)象發(fā)生。此外，安全防護(hù)體系中的防火墻，還具有監(jiān)控、審計(jì)和報(bào)警功能，利用這些功能可以加強(qiáng)對(duì)遠(yuǎn)程教育系統(tǒng)的實(shí)時(shí)監(jiān)控，當(dāng)遇到意外攻擊時(shí)，網(wǎng)絡(luò)管理員在第一時(shí)間會(huì)得到報(bào)警提示。

在上述安全分析基礎(chǔ)之上，為了加強(qiáng)對(duì)遠(yuǎn)程教育系統(tǒng)主、備服務(wù)器的保護(hù)，決定對(duì)該系統(tǒng)的拓?fù)浣Y(jié)構(gòu)進(jìn)行適當(dāng)調(diào)整，在該系統(tǒng)中部署防火墻子系統(tǒng)，以便在邏輯上保護(hù)、隔離好主、備服務(wù)器，不讓其中的重要數(shù)據(jù)受到安全威脅。增加一臺(tái)核心路由交換機(jī)，與原來(lái)的核心路由交換機(jī)，通過(guò)生成樹協(xié)議達(dá)到智能切換目的，提高整個(gè)遠(yuǎn)程教育網(wǎng)絡(luò)與外網(wǎng)的連接安全性和穩(wěn)定性。為了不讓遠(yuǎn)程系統(tǒng)內(nèi)部網(wǎng)絡(luò)由于管理混亂，出現(xiàn)安全隱患，決心重新布置網(wǎng)絡(luò)線纜，確保標(biāo)簽明確、走線美觀、結(jié)構(gòu)清晰。此外，為了提高遠(yuǎn)程教育平臺(tái)的訪問(wèn)速度，決定擴(kuò)充Internet出口帶寬，從當(dāng)?shù)剡\(yùn)營(yíng)商那里重新申請(qǐng)一條10M光纖線路，來(lái)改善出口帶寬大小。

改造過(guò)程

下面的任務(wù)主要是制定改造方案和設(shè)備選型。制定改造方案任務(wù)，主要包括改造費(fèi)用測(cè)算、修改網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、明確改造步驟等。在進(jìn)行設(shè)備選型時(shí)，決定新買的核心路由交換機(jī)也使用H3C品牌，因?yàn)橐延械囊慌_(tái)設(shè)備型號(hào)為H3C Quidway S8500系列，這樣采用統(tǒng)一的品牌產(chǎn)品，可以有效預(yù)防設(shè)備不兼容之間的問(wèn)題，同時(shí)也能給日后的管理維護(hù)帶來(lái)方便，網(wǎng)管員只要使用以前掌握的命令就能配置維護(hù)設(shè)備了。硬件防火墻則選擇天融信的NGFW4000-UF，該防火墻具有系統(tǒng)管理、身份認(rèn)證、攻擊防護(hù)、高可用、病毒防護(hù)、流量管理、行為管理及審計(jì)、PKI、IPSEC VPN、SSL VPN等功能，比較符合遠(yuǎn)程教育系統(tǒng)的安全改造要求；而且該設(shè)備還有4個(gè)10/100/1000BASE-T接口和4個(gè)SFP插槽，完全可以滿足當(dāng)前使用和日后用戶接入的擴(kuò)展。其他一些輔助設(shè)備的采購(gòu)，盡量選用目前市場(chǎng)上的主流產(chǎn)品，包括網(wǎng)絡(luò)線纜、屏蔽水晶頭、機(jī)柜間互聯(lián)用配線架以及整理線路的理線架等等。

考慮到新購(gòu)買的核心路由器和防火墻設(shè)備配置，均由設(shè)備供應(yīng)商負(fù)責(zé)完成，單位提出要求是通過(guò)VRRP協(xié)議讓兩臺(tái)核心路由交換機(jī)實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備冗余，保證主路由交換機(jī)遇到問(wèn)題后，遠(yuǎn)程教育網(wǎng)絡(luò)可以自動(dòng)切換到備份路由實(shí)現(xiàn)網(wǎng)絡(luò)的連接。為了防止在線學(xué)習(xí)中斷，要求兩臺(tái)交換機(jī)在主、備切換時(shí)，不能等待太長(zhǎng)的時(shí)間。兩臺(tái)防火墻設(shè)備必須連接在交換機(jī)之前，作為負(fù)載均衡使用，可以簡(jiǎn)單、靈活地控制遠(yuǎn)程教學(xué)平臺(tái)服務(wù)器的授權(quán)訪問(wèn)，同時(shí)將以前主、備服務(wù)器連接的交換機(jī)，接入到防火墻的SSN區(qū)端口中，通過(guò)合理配置啟用防火墻的透明工作模式，再定義好相關(guān)的安全防護(hù)策略，讓防火墻僅允許訪問(wèn)限定的服務(wù)端口，并僅允許遠(yuǎn)程教育平臺(tái)服務(wù)器響應(yīng)必要的外界限定端口。遠(yuǎn)程教育平臺(tái)的兩臺(tái)主、備服務(wù)器要求做Cluster，同時(shí)要求映射一個(gè)浮動(dòng)的IP地址，這兩臺(tái)服務(wù)器能夠相互熱備份。在與產(chǎn)品供應(yīng)商簽訂合同的時(shí)候，需要注意的是到達(dá)現(xiàn)場(chǎng)服務(wù)的時(shí)間和故障響應(yīng)時(shí)間要能符合單位事先提出的要求。這次遠(yuǎn)程教育系統(tǒng)安全改造提出的組網(wǎng)拓?fù)鋱D見如圖2所示。

圖2 改造后的組網(wǎng)拓?fù)鋱D

在實(shí)際施工的時(shí)候，本著先易后難的原則，從樓層弱電間開始梳理線路，等遠(yuǎn)程教育中心機(jī)房相關(guān)設(shè)備替換成功后，終端計(jì)算機(jī)就能立即正常訪問(wèn)遠(yuǎn)程教育網(wǎng)絡(luò)。梳理樓層弱電間時(shí)，首先將那些平時(shí)用不到的線纜全部移除，之后根據(jù)組網(wǎng)資料對(duì)每根正在使用的連接線纜，進(jìn)行準(zhǔn)確定位，同時(shí)貼上標(biāo)簽并進(jìn)行捆帶扎線，再將它們沿著墻角或不容易碰到的位置處走線。在對(duì)每個(gè)樓層弱電間處理后，開始對(duì)中心機(jī)房里的線纜進(jìn)行整理，處理步驟同樣是先將不用的或無(wú)效的線纜移除掉，之后借助音頻信號(hào)查線儀等外力工具，來(lái)查找定位線纜同時(shí)貼上標(biāo)簽。這種查線操作其實(shí)很簡(jiǎn)單，可以先將線纜一頭插入工具信號(hào)源接口，讓音頻信號(hào)發(fā)射出來(lái)，接著通過(guò)探測(cè)頭，越靠近線纜的位置，探測(cè)到的聲音會(huì)越清晰越大聲，這樣通過(guò)聲音就能輕易查找到線纜的另一頭。在查線過(guò)程中，將那些違規(guī)接入的中間小交換機(jī)全部清除掉，以防出現(xiàn)網(wǎng)絡(luò)環(huán)路現(xiàn)象，同時(shí)也減輕網(wǎng)絡(luò)維護(hù)難度。下面是廠商工程師進(jìn)場(chǎng)配置參數(shù)，在正式配置之前，先了解已有設(shè)備的配置參數(shù)，同時(shí)熟悉單位新的組網(wǎng)拓?fù)浣Y(jié)構(gòu)，根據(jù)單位提出的改造要求，進(jìn)行有針對(duì)性的配置和測(cè)試，各項(xiàng)操作都成功后再將防火墻、核心路由器等設(shè)備上架接入，同時(shí)將遠(yuǎn)程教育系統(tǒng)的主、備服務(wù)器接入到新的教育網(wǎng)絡(luò)中。至此，就對(duì)整個(gè)遠(yuǎn)程教育系統(tǒng)完成了安全改造。

最后總結(jié)

這次升級(jí)改造主要有三個(gè)方面的亮點(diǎn)：一是雙核心路由交換機(jī)的投入使用，實(shí)現(xiàn)了數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備冗余，提高了遠(yuǎn)程教育網(wǎng)絡(luò)的運(yùn)行安全性和穩(wěn)定性；二是由兩臺(tái)防火墻設(shè)備構(gòu)成的防火墻子系統(tǒng)，重點(diǎn)加強(qiáng)了對(duì)遠(yuǎn)程教育平臺(tái)兩臺(tái)服務(wù)器的核心保護(hù)，給其中的數(shù)據(jù)增加了一層強(qiáng)有力的防護(hù)；三是對(duì)出口帶寬的升級(jí)，改善了遠(yuǎn)程教育系統(tǒng)的訪問(wèn)速度和使用效果。經(jīng)過(guò)一段時(shí)間的運(yùn)行實(shí)踐，發(fā)現(xiàn)遠(yuǎn)程教育系統(tǒng)的運(yùn)行安全性得到了極大提升，基本上就沒(méi)有出現(xiàn)過(guò)平臺(tái)服務(wù)器內(nèi)容被非法修改或其他攻擊行為，遠(yuǎn)程教育內(nèi)網(wǎng)也很少出現(xiàn)網(wǎng)絡(luò)故障了。