基于多鏈路出口訪問技術的高校網絡安全管理研究

劉璀

（中央財經大學網絡信息中心，北京 100081）

1 引言

我國《網絡安全法》于2017年6月1日正式施行，這是我國第一部全面規(guī)范網絡空間安全管理方面問題的基礎性法律，是我國網絡空間法治建設的重要里程碑。《網絡安全法》的發(fā)布也同時標志著網絡安全等級保護工作正式進入2.0時代。《網絡安全法》第二十一條對網絡運營者的安全義務作出了說明：網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。

等保2.0為了和《網絡安全法》相對應，將原來的標準《信息系統(tǒng)安全等級保護基本要求》改為《網絡安全等級保護基本要求》，對于網絡運營者必須履行的安全義務做了進一步解讀。

高校校園網管理者在滿足校內外用戶網絡訪問需求的同時，應該把履行網絡安全義務放在運營工作的首位。

2 等保2.0網絡出口安全管理要求

在等保2.0中，保護的對象從信息系統(tǒng)上升到了網絡空間安全，對象也從信息系統(tǒng)擴展到涵蓋網絡基礎設施、云、移動互聯(lián)網、物聯(lián)網、大數據等。網絡安全這一控制項上除原有的控制點“訪問控制外”，還新增了“網絡架構”和“邊界防護”等。

其中，對局域網出口的具體要求包括：

（1）應保證網絡設備的業(yè)務處理能力具備冗余空間，滿足業(yè)務高峰期需要；

（2）應保證網絡各個部分的帶寬滿足業(yè)務高峰期需要；

（3）應劃分不同的網絡區(qū)域，重要網絡區(qū)域不能部署在網絡邊界處，且局域網邊界應該具有防護措施；

（4）應能夠對外網設備未經授權連接到內部網絡設備的行為進行檢查，定位和阻斷；

（5）應能夠對內部用戶非授權聯(lián)到外部網絡的行為進行限制或檢查；

（6）應在網絡邊界部署訪問控制設備，并要求控制到端口；

（7）應在網絡邊界、重要網絡節(jié)點隊用戶行為進行安全審計，審計日志要留存6個月以上。

校園網管理者應針對這些要求，做好校園網出口的管理和配置工作。

3 高校校園網出口存在的問題

隨著高校的發(fā)展，網絡規(guī)模和用戶人數不斷增加，用戶訪問需求、網絡應用以及網絡資源種類日益多樣。為滿足師生需求，校園網出口除了接入中國教育科研網之外，還會接入其他基礎運營商鏈路，如電信、移動、聯(lián)通等，以解決出口帶寬問題。多鏈路帶寬接入能夠很好地解決網速和資源的問題，但這種多ISP(Internet Service Provider)互聯(lián)網服務提供商的接入方式在提高網絡訪問速度的同時，也增加了網絡的復雜性，為管理帶來了一定難度。

當前，校園網出口設備不僅要做好多條鏈路的負載均衡和效率，滿足業(yè)務高峰需要，還要做好訪問控制、邊界防護以及日志審計等安全管理工作，以滿足等保要求。在出口設備上，多鏈路出口訪問技術的部署可以解決絕大部分以上提出的問題。

4 多鏈路出口訪問技術

4.1 鏈路負載均衡技術

負載均衡(Load Balance，簡稱LB)是一種基于服務器資源或網絡資源的集群技術和調度分配算法，根據業(yè)務流量傳輸方向可以分為Outbound和Inbound兩種。內網和外網之間存在多條鏈路時，通過Outbound鏈路負載均衡可以實現在多條鏈路上分擔內網用戶訪問外網服務器的流量。負載均衡設備在收到內網用戶請求時，依次根據策略和調度算法選擇最佳的鏈路，并將流量分發(fā)到該鏈路，如圖1所示。

內網和外網之間存在多條鏈路時，通過Inbound鏈路負載均衡可以實現在多條鏈路上分擔外網用戶訪問內網服務器的流量，如圖2所示。

圖1 Outbound鏈路負載均衡

4.2 NAT地址轉換技術

NAT（Network Address Translation，網絡地址轉換）位于網絡邊界，將內網IP地址與公網IP地址之間進行轉換。一般用于解決局域網公網IP不足的情況，由于安全性良好，目前用于大部分校園網出口配置。

NAT的實現方式有三種，即靜態(tài)轉換一對一NAT、目的NAT以及動態(tài)轉換源NAT。

一對一NAT是指將內網的私有IP地址轉換為公網IP地址時，上下行用到的IP地址是一對一不變的，用于實現外網對校內服務器的一對一訪問，一般用于與上級單位有業(yè)務往來的校內視頻和公文服務器。

目的NAT是指外網訪問校內服務器時，服務器公網IP地址轉換為內網的私有IP地址是固定的，而校內服務器或電腦訪問外網時，轉換的公網地址并不固定，校內大部分Web服務器和信息系統(tǒng)均采用這種技術。

源NAT是指將內部網絡的私有IP地址轉換為公用IP地址時，IP地址是不固定的，是隨機從地址池中分配的。當帶寬服務商提供的公網IP較少時，采用這種方式，使得所有被授權內網IP地址可隨機轉換為公網IP地址，進行互聯(lián)網訪問。目前校內用戶訪問互聯(lián)網，大部分采用這種技術。

圖2 Inbound鏈路負載均衡

4.3 訪問控制技術

訪問控制技術，指防止對任何資源進行未授權的訪問，從而使計算機系統(tǒng)在合法的范圍內使用。訪問控制保證合法用戶訪問受權保護的網絡資源，防止非法的主體進入受保護的網絡資源，或防止合法用戶對受保護的網絡資源進行非授權的訪問。為了保證內網的安全性，需要通過安全策略來保障非授權用戶只能訪問特定的網絡資源，從而達到對訪問進行控制的目的。訪問控制列表（Access Control List，ACL）可以用來控制進出的IPv4或者IPv6 數據包，從而過濾網絡中的非授權訪問，是目前比較常用的控制訪問技術手段。

4.4 用戶行為審計分析技術

用戶行為審計分析技術通過日志采集和日志審計功能，收集用戶上網數據，分析用戶上網行為，掌握網絡運行的狀態(tài)，為網絡管理人員追查相關行為的責任人提供依據。目前針對不同的日志類型，管理員可以獲得如源IP地址、源端口、目的IP地址、目的端口、開始/結束時間、協(xié)議類型、協(xié)議摘要（目前支持HTTP、SMTP、FTP協(xié)議）等信息。通過對這些信息的審計分析，可以實現統(tǒng)計網絡應用；對非法訪問進行識別和攔截；防范敏感信息外泄；防范拒絕服務攻擊，病毒攻擊、ARP欺騙, 保護內網安全。

5 高校多鏈路出口訪問安全管理

針對校園網出口存在的問題，在進行了大量的調研分析和設備測試實踐基礎上，最終對中央財經大學校園網出口進行了全面改造。改造后的出口部分網絡拓撲如圖3所示。

圖3 校園網出口拓撲圖

通過出口改造，從幾個方面對校園網安全進行了管理和控制，確保校園網出口滿足等級保護2.0對網絡架構、邊界防護以及訪問控制的要求。

（1）增加多條運營商鏈路，增加校園網出口帶寬，極大提高校內用戶訪問互聯(lián)網的速度。在校內大力推廣IPv6的應用，鼓勵師生使用IPv6資源。

（2）啟用高性能鏈路負載均衡設備，根據帶寬、所屬運營商、鏈路狀態(tài)和質量（丟包和延時等）等幾個屬性，通過全局調度算法選擇合適的站點，從而提高用戶的網絡應用體驗。

（3）啟用鏈路調度策略控制流量走向，使得鏈路合理利用率最大化。設備還應該支持通過運營商、鏈路過載保護、指定源地址、指定入接口和指定應用類型等多種方式控制流量走向，使得各種類型的鏈路能夠得到充分利用，優(yōu)化整體流量質量。優(yōu)化DNS配置，根據流量分析結果，將校內訪問流量大的應用，分布到不同鏈路的站點上。

（4）啟用鏈路健康檢查功，通過指定鏈路對遠端設備或者服務器進行探測。依據不同的探測方法（TCP、ICMP等）判斷當前鏈路是否可用，如果當前鏈路出現故障，則會將流量切換到其它正常的鏈路上。

（5）通過出口高性能防火墻設備，將校園網以及外網區(qū)分為 Trust區(qū)和Untrust 區(qū)，啟用安全隔離以及訪問控制，保護校內用戶計算機安全。在防火墻上對IP報文包進行過濾，對不合法的訪問采用丟包操作。

（6）在出口防火墻上啟用地址轉換技術，對校內服務器使用目的NAT及一對一NAT技術，校內用戶使用源NAT技術訪問互聯(lián)網資源，在每條出口鏈路上設置NAT地址池，用戶通過不同鏈路訪問互聯(lián)網時，從對應的地址池中取得公網地址。以中央財經大學使用的迪普DPX8000設備為例，校園網出口部署多鏈路啟用ADX板卡的 NAT 功能實現內部私網訪問Internet 資源與外網訪問內網主機的服務

（7）部署出口日志服務器, 記錄保存用戶的網絡行為，日志保存最少6個月以上。

（8）啟用流量控制設備，合理利用網絡帶寬、提升網絡使用效率。

（9）啟用上網行為審計功能，全面管控和過濾校內用戶上網行為，如網絡連接、Web訪問、FTP、收發(fā)電子郵件、文件共享、BBS論壇訪問/留言等,并能妥善有效記錄和審計各類行為日志，以供校園網管理人員按需查看。還可通過專業(yè)病毒特征庫向用戶提供防病毒服務，能夠檢測通過 HTTP、FTP、SMTP、POP3、IMAP、SMB、TFTP 等協(xié)議傳輸的病毒。防病毒模塊通過采用實時分析的方式，自動檢測、阻斷、隔離或重定向攜帶病毒的流量。中央財經大學上網行為審計統(tǒng)計數據截圖如圖4所示。

圖4 統(tǒng)計數據圖

6 網絡安全演練

根據《中華人民共和國網絡安全法》以及網信辦《網絡安全事件應急演練指南》要求，為健全完善高校網絡安全事件應急工作機制，規(guī)范網絡安全事件工作流程，加強網站網絡信息安全保障工作，形成科學、有效、反應迅速的應急工作機制，確保重要計算機信息系統(tǒng)的實體安全、運行安全和數據安全，預防和減少網絡安全事件造成的損失和危害，維護正常校內秩序，還應該根據內網實際情況，制定網絡安全演練方案。通過對出口設備NAT規(guī)則以及訪問控制策略的操作，可以實現一鍵斷網等安全演練，特殊時期對校內關鍵信息設施采取保護措施。

7 結束語

《網絡安全法》的施行，特別是量刑的設立使高校校園網管理者承擔的責任更重了，高校網絡安全管理工作上升到了新的高度。在校園網安全管理工作中，不僅要加強安全理論學習，合理規(guī)劃建設網絡安全基礎設施，還要注重提高應急處置預案的能力和關鍵信息基礎設施的保護，按照“預防為主，積極防護”的原則，進一步完善應急處置機制，提升校園網抵抗網絡風險的能力。