高校計算中心網絡安全分析與防范措施探討

摘要：以某高校的計算機中心局域網的網絡狀況為例，分析該網絡存在的安全問題，并就如何采取相應的措施。保障該局域網的安全、正常運作展開討論。經過測試檢驗，文中所提方案能夠有效地保護網絡安全，達到了預期的設計要求。

關鍵詞：局域網；安全問題；虛擬局域網；訪問控制列表

0 引言

隨著互聯網規模的迅速擴大，豐富的網絡信息資源給用戶帶來極大方便的同時，計算機病毒、黑客入侵及木馬控制、垃圾郵件等也給互聯網的運行系統、基于互聯網的重要應用系統和廣大互聯網用戶帶來了越來越多的麻煩。在互聯網受到各種安全問題困擾的同時，校園網絡也正遭受著類似的沖擊。本文以某高校的計算機中心局域網的網絡狀況為例，分析該網絡存在的安全問題，并就如何采取相應的措施，保障該局域網的安全、正常運作展開討論。首先來了解一下該計算機中心網絡情況。中心共有計算機1000多臺，大小服務器10臺，Cisco交換機40多臺，分布于大樓的四個樓層。整個網絡共劃分成五個VLAN，每個樓層的200臺學生機劃為一個VLAN，四個樓層共四個，剩下一個VLAN用來接入服務器。各樓層間VLAN不能相互通訊，但是用來接入服務器的VLAN設置為公共區域，與其它樓層VLAN可以互相通訊。處于四個樓層VLAN中的1000臺學生機均安裝了中心購買的《聯創機房管理系統客戶端程序》，并通過網絡與一臺處于公共VLAN中安裝了《聯創機房管理系統服務端程序》的中心服務器通訊，并由該服務器來管理學生機。圖1為該計算中心的網絡拓撲結構圖。

圖1 計算中心網絡拓撲圖

從圖1可以看到，該網絡結構的核心層由兩臺CISCO3750交換機組成，采用堆疊配置方案，并通過靜態路由直接接入到外網。在建網時出于網絡的穩定性考慮，在兩臺CISCO3750上設置了HSRP(熱備份路由協議)，使兩臺cisco3750實現平滑切換。處于匯聚層的是3550-24EMI交換機，該層與接入層、核心層相連，與核心層交換機之間采用雙端口捆綁成的FEC高速以太網通道連接，為各自的樓層VLAN間路由交換提供硬件支持。處于接入層的是位于各個教室或者辦公室內的2950—24交換機，直接為各個信息點提供訪問接入。此外，CISCO 3750上還連接了上網認證服務器、機房管理系統服務器，每個樓層3550-24EMI交換機上掛靠了ftp服務器，還有各個系專業實驗室的專用服務器，部分服務器為雙網卡，一端連接3550-24EMI，另一端接入外網。

1 計算機中心局域網安全分析

由于該中心集中了整個學院大部分的基礎和專業實驗室，主要承擔著全院的計算機操作的實驗課程，若計算機、網絡出現大面積的故障，正常的教學秩序將受到嚴重影響。因此分析該中心現存的各種網絡安全威脅，對如何采取具體的防范措施具有重要的意義。經分析，該中心主要存在以下安全威脅：

計算機病毒的威脅 計算機病毒一直是網絡安全的主要威脅。計算機病毒具有破壞性、隱蔽性等特點。病毒不僅破壞程序和數據，還能夠通過計算機網絡、存儲介質(軟盤、硬盤)、通信鏈路和其他途徑在網絡上傳播和蔓延。特別是網絡病毒因其通過網絡方式(如電子郵件)進行傳播，具有傳染方式多、傳播速度快、影響面大、清除難度大、破壞力強的特點，對網絡正常通訊造成的危害性很大。計算機中心的網絡具有信息點密集的特點，在同一個VLAN中連接了多達250臺的學生機，當網絡病毒發作時，所產生的破壞力將比一般網絡更大。一旦如“沖擊波”、“震蕩波”等病毒發作，可能會造成整個中心網絡速度變慢，阻塞，甚至癱瘓。近段時期的\"arp欺騙”病毒就曾給該中心網絡的正常運作造成很大麻煩。

非法訪問 非法訪問是指對網絡設備及信息資源進行非正常使用和越權使用，或者是利用假冒和欺騙的手段非法獲得用戶的使用權限。非法訪問可能破壞服務器數據的完整性。計算機中心的機房管理系統服務器數據庫及上網認證服務器中均存有整個學校上機學生的賬號、密碼、金額等重要信息，若有人以非法手段竊得對數據的使用權，刪除、修改、插入或重發某些重要信息，會嚴重干擾用戶的正常使用。

人為的惡意破壞 人為的惡意破壞包括對網絡設備和網絡系統兩個方面的破壞。網絡設備包括服務器、路由器、交換機、集線器、工作站、電源等。計算機中心的網絡設備除工作站(學生機)外都統一放置在每個樓層的專用設備問，不存在惡意破壞的問題(除了中心工作人員誤操作)。這里所指的惡意破壞是對網絡系統的攻擊，主要是利用黑客技術對計算機中心網絡造成破壞，干擾網絡正常運作。現在，很多大學生的計算機技術已經達到一定水平，他們具有強烈的好奇心和實踐欲望，在計算機中心上機時經常會做出惡意攻擊行為，具體表現為向中心機房管理系統服務器發送大量垃圾包使網絡陷入癱瘓，或嘗試遠程登錄交換機、服務器。一旦他們利用某些黑客工具登錄成功，修改或損壞網絡設備的配置文件后，將造成不可預計的損失。

操作系統受到的安全威脅計算機中心安裝的操作系統是win2000 advanced server，工作站(學生機)上安裝的是winxpprofessional和win2000 sp4，各系統或多或少地存在著“后門”和漏洞，安裝系統時候的缺省配置、弱口令或空口令，以及開啟的不必要的服務、不完全的安全補丁等情況，都給服務器和工作站的安全構成了重大的隱患。計算機中心網絡中的部分服務器配備了雙網卡，一端連接內部公共VLAN，另一端接入外網，中間沒有可靠的防火墻的阻隔，這使內部網絡的安全系數大大降低。

2 針對安全威脅所采取的防范措施

(1)嚴格的管理

計算機中心應加強內部管理，建立事件的審計和跟蹤體系，提高整體信息安全意識。應由專人負責管理服務器或網絡設備，其他工作人員未經允許不得隨意更改配置；對服務器或網絡設備的操作應建立詳細的日志，減少內部工作人員的誤操作而引起的故障。對于學生，應加強網絡方面法律、法規的教育，提高學生的法律意識，防止出現破壞網絡安全的違法行為。

(2)防火墻技術

圖2 DMZ區結構圖

計算機中心有多臺服務器配有雙網卡，分連內、外網，這些服務器直接暴露在互聯網上，具有很大的風險。為解決此問題，可以利用防火墻技術來構建一個DMZ區域，DMZ是英文“demilitarized zone”的縮寫，中文名稱為“隔離區”，也稱“非軍事化區”。它是為了解決安裝防火墻后外部網絡不能訪問內部網絡服務器的問題，而設立的一個非安全系統與安全系統之間的緩沖區，這個緩沖區位于企業內部網絡和外部網絡之間的小網絡區域內。DMZ通常是一個過濾的子網，采用DMZ技術，可以在內部網絡和外部網絡之間構造一個安全地帶。把那些內、外網絡都需要訪問的服務器放置在DMZ區域內，既保證了服務器能正常地為內、外網用戶服務，又有效地避免了由于服務器雙網卡配置給內部網絡安全帶來的重大風險，使得服務器免受非授權用戶訪問、攻擊，并達到保護內部網絡的目的。具體的網絡結構如圖2所示。

(3)利用訪問控制列表(ACCESS-LIST)g(高網絡安全性

CISC03550-24EMI三層交換機提供了訪問控制列表(access—list)功能。訪問控制列表是思科的IOS提供的一種控制網絡訪問的工具，利用訪問控制列表可以在三層交換機的接口上靈活地控制過濾數據包，從而可以決定在三層交換機的接口上允許或者禁止放行需要控制的數據包(如禁止學生TELNET交換機、封ICMP包)。由于網絡病毒(特別是系統漏洞病毒)都是利用相應端口進行傳播與攻擊的，所以可以考慮通過在CISCO 3550-24EMI交換機上設置相應的ACL來封禁這些網絡病毒傳播所用端口，從根本上阻斷病毒的傳播。以防御“沖擊波”病毒為例，可以在CISCO 3550-24EMI交換機配置一個訪問控制列表，具體配置如下：

access-list 120 deny tcp any any eQ echo

access-list 120 deny tcp any any ea chargen

access-list 120 deny tcp any any ea 135

access-list 120 deny tcp any any ea 136

……

access-list 120 deny udp any any ea 139

access-list 120 deny udp any any ea snmp

access-list 120 deny udp any any ea 389

access-list 120 deny udp any any eq 445

access-list 120 deny udp any any ea 1434

access-list 120 deny udp any any ea 1433

access-list 120 permit ip any any

(4)通過VLAN提高網絡安全性

VLAN(Virtual Local Area Network)又稱虛擬局域網，是指在交換局域網的基礎上，采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。一個VLAN組成一個邏輯子網，即一個邏輯廣播域，它可以覆蓋多個網絡設備，允許處于不同地理位置的網絡用戶加入到一個邏輯子網中。計算機中心將每個樓層200多臺計算機各劃分在一個VLAN中，具有同一個VLAN中機器的數量過多的缺點，通過多劃分幾個基于端口的VLAN，縮小廣播范圍，有效控制廣播風暴的產生，從而提高整個網絡的整體性能。增加VLAN的數量，在抵御網絡病毒傳播上也有很大作用，通過在各個VLAN之間設置訪問控制列表來實現包的過濾，當某一VLAN中有主機出現網絡病毒傳播時，也只能影響到其所在的VLAN，對整個網絡不會有太大的影響，大大提高了網絡的安全性。

(5)安裝殺毒軟件，及時安裝系統補丁，備份系統

在工作站、服務器上安裝相應的防病毒軟件，由中央控制臺統一控制和管理，實現全網統一防病毒。定期對各個系統進行端口、漏洞掃描，時刻關注補丁信息，及時進行補丁更新。對網絡中的服務器、交換機等設備進行系統備份，使網絡管理者能夠在故障發生后很快重新組織被破壞了的文件或應用，使系統重新恢復到破壞前的狀態，最大限度地減少損失。

(6)用管理軟件進行安全控制

計算機中心的學生機都安裝了《聯創機房管理系統客戶端》程序，通過服務器端軟件的控制，可以實現對學生上機登錄過程的認證，確保用戶的合法性，并嚴格限制登錄者的操作權限，將其可完成的操作限制在最小的范圍內；其次可以配合國家的關于網絡安全方面的法律法規，實現對學生的上網過程進行全程監控，做到上網日志可查詢，發現問題能夠及時進行審計、跟蹤，確定到個人。

3 結束語

實際應用中，以上采取的防范措施在計算機中心網絡安全保障工作方面產生了很好的效果。網絡安全是一項復雜的系統工程，不能只依靠一種措施來保證安全，必須把各種安全措施有機地結合起來，合理地運用，才能達到保障網絡安全的目的。在采取安全防范措施的同時，還必須制訂完善的安全管理規章制度，只有做到了管理與技術協調運作，才能有效地保障計算機中心網絡安全、可靠、穩定的運行。

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。