校內各單位自管自維服務器的安全防護解決方案

2018-01-13 01:45:23李向龍楊貴福葛永興

網絡安全技術與應用 2018年1期

◆李向龍楊貴福葛永興

（東北師范大學信息化管理與規劃辦公室吉林 130024）

0 引言

我校校園網絡從1995年建設，經歷了基礎網絡建設、信息系統（網站）建設到數字化校園建設的三個階段。在信息系統（網站）建設階段，各單位自行購買服務器建立信息系統（網站），出于管理和維護的方便，服務器大多數都放置在本單位，由于缺少必要的安全防護設備和專業技術人員，大部分服務器都直接暴露在互聯網中，存在極大的安全隱患，而相當一部分成為黑客掃描、攻擊和病毒傳播的溫床，充當了網絡攻擊的肉雞。

隨著新的網絡應用不斷出現，隨之而來的網絡危險也呈現多發趨勢，大量非法的、惡意的、帶有特定目的的應用建立在HTTP等協議之上，通過隨機端口號、采用SSL加密等方式來隱藏真實內容，導致用戶端無法正常識別和判斷，由此出現的安全事件層出不窮，給用戶造成一定的經濟損失。

1 安全風險分析

我校各單位自管自維服務器的網絡拓撲見圖1，互聯網用戶通過internet可以直接訪問這些服務器，中間沒有經過任何的安全防護設備，安全問題主要表現為遭受惡意代碼攻擊、網站入侵篡改、被當作網絡肉雞跳板等。

1.1 惡意代碼攻擊

惡意代碼攻擊，就是指網絡上不法分子自己建立釣魚網站，利用一些誘惑性信息引導用戶訪問，或者利用工具攻擊安全措施不到位的網站，上傳一些帶有病毒、木馬等內容的文件，用戶通過瀏覽器訪問后就會將病毒或者木馬下載到本地，導致個人信息泄露或者機器中毒等。由于安全管理和技術人員水平等原因，此類問題在各單位的服務器上尤為突出。

1.2 網站入侵篡改

網站入侵篡改是較為常見的安全問題，由于多數單位的網站都是采用免費的CMS系統，其源代碼的開放性導致漏洞公開化，黑客不需要掌握較多技術，按照公布的漏洞即可實現入侵和篡改的目的，此種攻擊具有顯示度高，可即時看到效果的特點，受到各級別黑客的青睞。

1.3 網絡肉雞跳板

所謂網絡肉雞跳板，就是擁有管理權限的遠程電腦，一般都是開了3389端口的windows服務器容易受此攻擊。服務器管理員為了維護方便，通常打開3389端口，利用遠程桌面功能管理服務器，黑客恰好利用這個漏洞，在服務器上植入遠程控制軟件，當作其發起DDos攻擊的馬前卒或者實施不法行為的跳板。此種攻擊具有一定的隱蔽性，帶來的問題是服務器響應緩慢或者流量異常。

2 安全解決方案

為了提高校內各單位自管自維服務器的安全，實施必要的訪問控制，有效降低安全風險。決定在不改動服務器地理位置，不增加相應單位工作負擔情況下，通過調整服務器網段的邏輯拓撲結構，集中部署安全設備和防護措施，達到提高自管自維服務器安全防護能力和水平的目的。

圖1 調整前服務器網絡拓撲圖

整體解決方案分為以下三部分：

（1）增加三層交換機，防火墻和入侵檢測設備各一臺，承擔數據交換、限定開放端口、安全防護和異常通訊的攔截阻斷功能。

（2）調整服務器網段的邏輯拓撲結構，見圖2（圖中白色虛框內是本解決方案中增加的設備，用于各單位自管自維服務器的安全防范）。將服務器網段的網關遷移至新增加的三層交換機 C上，強制引導數據流經過防火墻和入侵檢測設備。

圖2調整后服務器網段的邏輯拓撲圖

（3）配置防火墻防護策略，提高安全級別，阻止不必要的端口和服務與外部通訊。

通過以上調整，除服務器網段外，無論校內校外用戶訪問服務器上的內容，必須經過防火墻和入侵檢測設備。通過開放特定的對外服務端口，阻斷了黑客從非服務端口進行攻擊的途徑，利用入侵防護設備，實時、主動的攔截各種常規惡意攻擊、蠕蟲病毒、后門木馬等異常通訊，有效降低了受訪者訪問被植入木馬、病毒等惡意代碼網站的危險。