淺析校園網的安全

黃慧

上海濟光職業技術學院信息中心 上海 201901

0 引言

隨著計算機網絡的不斷發展，網絡的開放性、共享性、互連性隨之擴大。特別是互聯網的普及，使得網上交易、網絡銀行等一些網絡新生業務的迅速興起，計算機網絡安全性問題顯得相當重要。目前造成網絡不安全的主要因素是系統、協議及數據庫等的設計上存在缺陷。由于當今的計算機網絡操作系統在本身結構設計和代碼設計時偏重考慮系統使用時的方便性，導致了系統在遠程訪問、權限控制和口令管理等許多方面存在安全漏洞。網絡互連一般采用 TCP/IP協議，它是一個工業標準的協議簇，但該協議簇在制訂之初，對安全問題考慮不多，協議中有很多的安全漏洞。同樣，數據庫管理系統(DBMS)也存在數據的安全性、權限管理及遠程訪問等方面問題，在DBMS或應用程序中可以預先安置從事情報收集、受控激發、定時發作等破壞程序。

由此可見，針對系統、網絡協議及數據庫等，無論是其自身的設計缺陷，還是由于人為的因素產生的各種安全漏洞，都可能被一些另有圖謀的黑客所利用并發起攻擊。因此要保證校園網網絡安全，則必須熟知黑客攻擊網絡的一般過程。只有這樣方可在黑客攻擊前做好必要的防備，從而確保網絡運行的安全和可靠。

1 校園網防火墻配置的總原則

在校園網防火墻的配置時，要考慮以下兩個問題：

(1) 可伸縮性問題：某學院校園網對防火墻的需求不同于一般性的商業公司。按照校園網要求配置防火墻的時候，防火墻應當具有伸縮性，可以隨著它所保護網絡的發展而升級。它應該考慮到教工和學生的需求，他們希望能網上沖浪和發送e_mail。如今，由于TCP/IP協議既用于Internet又用于內部網絡，防火墻也需要根據學校的具體需要對IP地址進行一些處理，例如，IP轉發或NAT等。

防火墻需要根據它所保護網絡不同要求作相應的改變。很可能，這其中的變化之一就是某學院自身的發展，而更多教學方面信息來自 Internet這些意味著將需要更多的防火墻資源，要注意進行定期檢查并按需要升級軟件和硬件來更新防火墻。

(2) 系統效率問題：安裝防火墻的挑戰之一，就是上網人員用來通信和交換數據的速度。防火墻的功能越強大，數據的傳送速度可能就越小。

可供堡壘主機使用的處理資源和內存資源是防火墻的兩個重要特征。盡管堡壘主機可能不是防火墻組成結構中惟一的硬件部分，當其防火墻軟件運行時，它具有重要的作用。如果主機運行得太慢，或者它沒有足夠的內存來處理大量的包過濾決策、代理服務請求和其他通信，整個系統的效率將會受到嚴重的影響，這是因為堡壘主機處于網絡的周邊，并且如果沒有設置其他的堡壘主機和防火墻來保證網絡負載平衡的話，該堡壘主機將是通信能否順利通過的惟一網關。

堡壘主機并不僅僅是一臺經過特別配置的，可以運行的防火墻、代理服務器和其他軟件的計算機，它還需要足夠快的處理器速度和大容量的內存來處理網絡的當前通信。對防火墻和堡壘主機來說，可伸縮性和安全性都很重要，但是，內存狀況對防火墻的性能發揮和它所保護的個人用戶的工作效率很重要。堡壘主機需要足夠的 RAM，以便支持每個程序的運行，這些程序對本機加載必不可少，否則，堡壘主機需要執行內存交換，從而降低了效率。

關鍵資源是和硬件或者軟件相關的內容，它在服務或者程序的運行過程中起重要作用。表1列出了防火墻成功運行的關鍵資源。

表1 防火墻服務的關鍵資源

表中第二列中的限制項目可以節省關鍵資源。

2 校園網防火墻配置的具體策略

設置了安全策略，并且決定了防火墻要遵循的規則以后，就可以按照既定的策略來配置防火墻。不同防火墻配置的特點，如表2所示。

表2 不同防火墻配置的特點

表3 防火墻受到的威脅及相應的抵御措施

2.1 DMZ屏蔽子網的防火墻

某學院校園網的防火墻系統類似于DMZ屏蔽子網的防火墻。所謂DMZ屏蔽子網的防火墻是在內部網絡和外部網絡之間建立一個被隔離的子網，用兩臺分組過濾路由器將這一子網分別與內部網絡和外部網絡分開，在很多實現中，兩個分組過濾路由器放在子網的兩端，在子網內構成一個“非軍事區”DMZ。有的屏蔽子網中還設有一堡壘主機作為惟一可訪問點，支持終端交互或作為應用網關代理。這種配置的危險帶僅包括堡壘主機、子網主機及所有連接內網、外網和屏蔽子網的路由器。

如果攻擊者試圖完全破壞防火墻，他必須重新配置連接三個網的路由器，既不切斷連接又不要把自己鎖在外面，同時又不使自己被發現，這樣也還是可能的。但若禁止網絡訪問路由器或只允許內網中的某些主機訪問它，則攻擊會變得很困難。在這種情況下，攻擊者得先侵入堡壘主機，然后進入內網主機，再返回來破壞屏蔽路由器，整個過程中不能引發警報。屏蔽子網防火墻能夠幫助建立一個非防護區，這種類型防火墻利用堡壘主機夾在兩個路由器中間，所以它是最安全的防火墻系統。

對于進來的信息，外面的這個路由器用于防范通常的外部攻擊(如源地址欺騙和源路由攻擊)，并管理Internet到DMZ網絡的訪問。它只允許外部系統訪問堡壘主機(還可能有信息服務器)。里面的這個路由器提供第二層防御，只接受源于堡壘主機的數據包，負責的是管理DMZ到內部網絡的訪問。

對于去往 Internet的數據包，里面的路由器管理內部網絡到DMZ網絡的訪問。它允許內部系統只訪問堡壘主機(還可能有信息服務器)。外面的路由器上的過濾規則要求使用代理服務(只接受來自堡壘主機的去往Internet的數據包)。如圖1所示。

圖1 DMZ屏蔽子網示意圖

部署DMZ屏蔽子網防火墻系統有如下優點：

(1) 入侵者必須突破 3個不同的設備(夫法探測)才能侵襲內部網絡：外部路由器，堡壘主機，還有內部路由器。

(2) 由于外部路由器只能向Internet通告DMZ網絡的存在，Internet上的系統不需要有路由器與內部網絡相連。這樣網絡管理員就可以保證內部網絡是“不可見”的，并且只有在DMZ網絡上選定的系統才對Internet開放(通過路由表和DNS信息交換)。

(3) 由于內部路由器只向內部網絡通告 DMZ網絡的存在，內部網絡上的系統不能直接通往Internet，這樣就保證了內部網絡上的用戶必須通過駐留在堡壘主機上的代理服務才能訪問Internet。

(4) 包過濾路由器直接將數據引向 DMZ網絡上所指定的系統，消除了堡壘主機雙宿的必要。

(5) 內部路由器在作為內部網絡和 Internet之間最后的防火墻系統時，能夠支持比雙宿堡壘主機更大的數據包吞吐量。

(6) 由于 DMZ網絡是一個與內部網絡不同的網絡，NAT(網絡地址變換)可以安裝在堡壘主機上，從而避免在內部網絡上重新編址或重新劃分子網。

2.2 校園網防火墻系統的新功能

為了使學校的校園網絡更加安全可靠，某學院對其校園網的防火墻添加了一些特殊的功能。

(1) NAT

學校的路由器或者防火墻執行NAT時，可以把公共IP地址轉變為專用地址，反之亦然，這樣可以對外部的計算機隱藏受保護網絡上計算機的IP地址。使用NAT進行簡單的數據傳送的步驟如圖2所示。

圖2 網絡地址轉換示意圖

(2) 加密

做SSL或者其他類型加密的路由器或者防火墻在接收一個請求后，通過私鑰將它轉為雜亂數據，然后通過接收者的路由器或者防火墻交換公鑰。接著就可以對消息進行解密，并以一種容易理解的形式把它提供給終端用戶，如圖3所示。

圖3 路由器或者防火墻可以對消息加密

(3) 應用程序代理

應用程序代理是一個軟件，它根據主機的要求，接收請求，重建請求，把它們發送到指定的位置，就像是從它(代理)那里發出的請求一樣。它可以通過雙宿主主機來創建。在雙宿主主機設置中，包括防火墻或者代理服務器軟件的主機擁有兩個接口，一個和 Internet相連，另一個和受保護的內部網絡相連(見圖4)。某學院校園網采用的是應用程序代理，因為它是一套軟件相對來講比較易維護、易操作；同時也比較安全可靠。

圖4 雙宿主主機上的應用程序代理

因為雙宿主主機位于內部LAN和Internet之間，位于內部網絡上的主機永遠不能直接訪問Internet。根據雙宿主主機的要求，代理服務器程序發出請求，并且將來自 Internet的包轉發到主機上去。

在屏蔽子網中，提供代理服務器軟件的主機擁有一個獨立的網絡接口。除了代理服務器軟件指定的數據類型，主機過濾器兩端的包過濾器會過濾掉所有的通信。

(4) 入侵檢測系統(IDS)

監控到可能的入侵襲擊并及時報警，可以有多種選擇。入侵檢測系統安裝在處于網絡邊界的外部或者內部的路由器上(見圖5)。許多流行的軟件防火墻包中內置IDSB了，包括Secure Computing的Sidewinder。

圖5 并入邊界路由器的IDS系統

圖6 防火墻與外部路由器之間的Cisco CIDS設備

某學院校園網為什么要安裝IDS呢？安裝IDS的外部路由器負責告知來自Internet的入侵攻擊，而安裝了IDS的內部路由器負責監控內部網絡上的主機，在他們試圖通過可疑端口或者不尋常的服務進入 Internet時通知管理員，這些動作可能是已侵入計算機的特洛伊木馬病毒引起的。IDS也可以用來尋找是否有大量的 TCP連接請求發送到了目標計算機的許多端口上，因此可以發現是否有人正企圖進行TCP端口的掃描。若有則發送警報通知管理員，及時阻斷此類攻擊。

Cisco CIDS的入侵檢測系統(IDS)可以有不同的工作方式。它負責監控防火墻和 Internet之間的區域。通過配置，能夠檢測到來自Internet上對防火墻的攻擊時間(見圖6)。

3 小結

校園網的安全性是校園網正常運行的前提，對校園網健康發展至關重要。首先，提出了防火墻配置總的策略，主要關心兩點：(1)可伸縮性；(2)運行效率。對不同的防火墻配置進行了列表比較，某學院選用的是性價比較高的 DMZ屏蔽子網防火墻系統，因為其對安全性有較大的保證，所以被人們認為是目前最好的校園網防火墻。在此基礎上，某學院又對防火墻添加了新功能有4個：(1)NAT；(2)加密；(3)應用程序代理；(4)入侵檢測系統。

[1] 孫鋒編著.網絡安全與防黑技術.北京: 機械工業出版社.2004.

[2] 趙泉編.網絡安全與電子商務.北京:清華大學出版社.2005.

[3] 朱傳靖著.知者無畏:一個真實的病毒世界.北京:金城出版社.2002.