基于網絡拓撲建設高校網絡安全

◆闕 非

（南京理工大學 江蘇 210094）

基于網絡拓撲建設高校網絡安全

◆闕 非

（南京理工大學 江蘇 210094）

探究當下高校的網絡安全環境，研究網絡安全建設的現實意義。搜集了網絡安全相關系統設備的資料，并進行了分析與比較。將校園網絡環境分為邊界、核心、數據、用戶四個區域，針對不同區域考量各類安全系統與設備。根據各個網絡區域的實際與特點，部署相適應的安全防護系統。并逐步優化區域內系統之間的級聯關系，從而高效率解決常見的安全問題，提升高校的網絡安全級別。

網絡安全；拓撲區域；設備系統；架構建設

0 引言

目前，絕大多數高校在校園網絡建設方面已有所成就，并構建出一套適合本校網絡環境與特色的網絡拓撲，但在網絡安全層面仍存在短板與不足。在校園網環境下，無論網絡拓撲多么龐大，也必定存在邊界出口、網絡核心、數據中心等功能結構，將整個拓撲分割為四個區域：邊界區域、核心區域、DMZ區域與用戶區域。每個區域承載的功能不同，網絡安全的需求也大相徑庭。

1 高校網絡邊界區域安全建設

邊界區域，主要負責運營商ISP的接入，出口地址NAT映射，IP域名的準入準出等重要功能；核心區域，主要承載了網絡核心交換、路由地址轉發、下層匯聚網絡等功能；DMZ區域，包括服務器、存儲設備，形式上可以是實體機也可以是虛擬化設備，甚至采用服務器集群或是小型機來提供高性能的運算資源；用戶區域，由底層匯聚交換、樓宇交換以及用戶使用的終端組成，也是高校網絡拓撲的最后一公里。

高校邊界區域位于整個網絡拓撲結構的最外端，負責連接校內與校外的網絡資源。出口防火墻用于校內資源的訪問控制與黑白名單設置。目前高性能的防火墻具備諸多安全防護功能：訪問控制，用于針對源頭地址與目標地址的隔離；會話數限制，主要用于針對校內服務器IP，進行并發數控制以此防護惡意的流量攻擊；黑名單功能，用于對校外攻擊源IP或URL進行封停處理。

除了出口防火墻，需要其他系統來加固邊界區域的網絡安全等級。高校比較常見的是防洪流 ADS設備，針對流量性質的惡意攻擊進行事前預警，并聯動出口防火墻進行應急控制。洪流攻擊能夠輕易造成網站服務器擁堵，影響核心網絡層的設備導致網絡癱瘓、停滯。常見的洪流攻擊種類包括：服務拒絕攻擊 DDoS與代理服務攻擊 CC。由于攻擊者多采用多臺終端或者控制他人終端進行集中式攻擊，導致攻擊源頭存在數量多、變化快的特征，難以定位并加以遏制。防洪流 ADS設備為旁路部署、級聯反饋的方式，通過一系列的模擬算法與異常檢測機制，預警出將要發生的攻擊行為，并依據算法模擬結果，聯動出口防火墻持續性對抗攻擊源，動態禁止浮動IP。

另一類高校常見的邊界區域安全系統為入侵防御系統 IPS。IPS系統部署于出口防火墻與網絡核心之間，同樣采用級聯部署方式。與出口防火墻的攔截手段不同的是，IPS系統并非針對IP或是 URL進行限制防護，而是依靠對數據包的檢測進行防御。入侵防御系統實時檢查流向網絡核心區域的數據包，在確定數據包的目的與用途之后，決定是否允許其進入高校內網環境。IPS系統實現了邊界區域的網絡監控與傳輸行為的準入準出，自主并實時隔離異常的數據流量，并中斷影響危害校園內網的資源傳輸行為。

2 高校網絡核心區域安全架構

關于高校網絡核心區域的安全架構，與電商、ICP公司不同的是，在高校環境下網絡核心區域的中心是核心交換而不是核心路由，這是由于高校網絡的服務目標是網絡數據轉發而不是內網資源對外發布。圍繞網絡核心的部署原則：旁路部署、鏡像引流。這里需要解釋下此部署原則的原因：由于網絡核心區域的主要功能是處理大量的數據轉發工作，所以其負載較重且穩定性要求較高。安全架構對于核心區域只能采用并聯的方式，不能串聯部署影響網絡運行。同理，為了不增加核心交換機的運載負荷，這里的安全系統通常只進行分析評估而不采取封停限制等控制措施。

在高校網絡環境下，盲目地部署檢測系統是低效且冗余的，信息化工作人員需要根據攻擊類型進行針對性檢測與防護。針對資源竊取、信息泄露、數據篡改，需要部署高級持續性威脅檢測系統APT；針對洪流攻擊、網頁篡改、跨站腳本，則需要部署入侵檢測系統IDS；而針對惡意訪問、定向攻擊、偽裝數據則需要部署蜜罐網絡系統HPS。APT系統通過沙盒測試的方式，在測試環境內分析評估異常數據，從而發現正在進行中的數據竊取類行為。IDS系統采用流量分析直接依據攻擊模式的pattern特征識別攻擊行為。HPS則是設置虛假的蜜罐陷阱，讓黑客鎖定在一個無效的測試環境之下。以上三類安全防護系統不同的是各自的分析方法與檢測模式，如何選擇三類網絡核心區域的防護系統需要因地制宜，根據高校的實際情況與遭受的安全風險類型而選擇部署。

3 高校網絡DMZ區域安全部署

關于高校DMZ區域的安全部署問題，各大高校往往缺乏針對性的防護體系。很多高校雖然在邊界出口部署了安全系統，但在服務器、存儲設備所處的環境方面卻忽視了部署安全系統的重要性。由于邊界的防護不是絕對命中生效的，這會導致部分木馬病毒潛入高校內部，從而發起一系列的攻擊行為。不僅如此很多黑客行為也是在高校內部服務器被劫持的情況下從內而外產生的，需要內部安全防護體系的處理。

與邊界區類似，DMZ區域也需要部署一臺專屬的防火墻設備。DMZ防火墻的作用與邊界防火墻的作用不同，DMZ防火墻承擔的是隔離不同安全域，保證內對內的網絡攻擊與病毒傳播能夠得到封鎖。通過在匯聚交換機之前部署防火墻，能夠有效防御來自高校內部的攻擊，如被劫持的僵尸主機等威脅。此外，高校數據中心通常部署了不同功能的服務器集群，為了有效隔離各個安全域我們通常部署多臺DMZ防火墻，從而實現一對多的定點防護與不同DMZ之間消除惡性干擾。

高校運行的信息系統多數是基于WEB界面的B/S架構應用，而防火墻無法針對服務器運載的系統進行逐項監測，因此在DMZ區域需要部署應用系統防護設備WAF。WAF能夠依據不斷更新優化的規則庫，識別出針對WEB應用的惡意攻擊。無論是遍歷掃描、數據篡改、還是跨站攻擊，WAF設備均可以定位到攻擊行為的源頭IP與目標URL，并及時采取攔截或是隔離等操作。相比較于DMZ防火墻，WAF設備能夠更加專業的防護服務器運行的應用與網站，并智能化地進行抗攻擊處理。

DMZ區域通常需要部署漏掃設備，用于檢查全校網站及應用系統的安全漏洞問題。安全漏洞包括：主機漏洞與WEB漏洞。主機漏洞為服務器部署的操作系統所存在的系統漏洞。而 WEB漏洞多數存在于WEB應用程序本身，系開發過程中未曾規避的代碼漏洞，包括：SQL注入、跨站腳本、外鏈嵌入等。漏掃系統能夠集中掃描高校運行的各類網站與系統，為網站及系統的安全加固提供技術指導與處理方案。

4 高校網絡用戶區域安全建設

高校的網絡用戶是全校學生與老師，而用戶使用的終端種類繁雜且基數龐大，導致用戶個體的管理變得十分困難，因此，對用戶區域進行統一的管理與安全建設是非常必要的。所以采用安裝于終端的軟件防火墻來防御黑客攻擊，或針對辦公區域安裝終端管理系統進行直接監控。如果木馬病毒已經滲透至用戶區域，則需要請安全公司進行滲透測試并完成后續應急處理。

5 結論

本文闡述了高校網絡環境下，不同區域內實用且精煉的安全架構與防護系統。然而高校安全建設也并非是系統平臺越多越好，與之相反，在有限的經費支持下，我們更應該追求安全架構的性價比與實用性。僅靠建設安全系統是遠遠不夠的，我們還需要完備的安全管理制度、可操作的安全事件流程以及訓練有素的工作人員，校外安全服務公司的技術支持與應急響應同樣至關重要。建設并完善一套高效網絡安全架構，能夠讓信息安全管理者事半功倍，更有助于創建良好的校園網絡環境。

[1]楊學富.構建高校網絡安全系統[J].華東交通大學學報，2004.

[2]厲曉華.高校網絡安全管理模式的探索與實踐[J].科技創新導報，2009.

[3]諸曄.用 ACL實現系統的安全訪問控制[J].計算機應用與軟件，2005.

[4]V.Ahuja.Network and Internet Security[M].Chestnut Hill:Academic Press，1996.[5]Shirey R.Internet Security Glossary[M]. RFC Editor，2000.