關于提升新疆財經大學校園網安全防護能力方案的研究

◆張曉宇 嚴 星 李 繁

（1.新疆財經大學網絡與實驗教學中心 新疆 830012；2.新疆財經大學資產管理處 新疆 830012； 3.新疆財經大學網絡與實驗教學中心 新疆 830012）

新疆財經大學校園網采用傳統的三層網絡架構模式，3 臺核心層交換機按照功能區域劃分分別承擔教學辦公區、學生生活區以及家屬區的業務數據的處理與轉發，邊界出口部署1 臺迪普FW1000-TS-N 防火墻負責校園網絡的整體安全防護與出口路由選擇，身份認證計費、上網行為審計等網絡安全設備分別旁掛于校園網的骨干網絡設備，如防火墻、BRAS、核心層交換機等處發揮必要的安全作用。校園網現有2 條出口鏈路，分別為一條13Gbps 的鏈路上聯至中國電信（ChinaNet）和一條800Mbps 的鏈路上連至中國教育和科研計算機網（CERNET）。校園網目前已經初步形成以三層網絡架構為基礎，兼顧網絡安全保障的網絡結構體系。校園網的拓撲結構如圖1 所示。

圖1 校園網拓撲圖

由圖1 可以看出，學校現網的網絡安全體系存在著明顯的安全漏洞，安全防護能力比較薄弱，因此需要針對學校現網的實際情況以及業務特點，以“對現網改動最少，能夠快速提供業務能力”為原則，研究、探索符合學校實際需求、切實可行的網絡安全加固方案。

1 現網存在的問題

1.1 邊界出口安全防護能力不足

目前，校園網的邊界出口只部署了一臺迪普FW1000-TS-N防火墻提供安全防護，這么做存在兩方面的問題。一方面該防火墻實測的吞吐量＜8Gbps，而學校的實際出口帶寬是13.8Gbps，出口帶寬的利用率存在瓶頸，同時它還需要虛擬出一臺邏輯墻供數據中心使用，直接導致設備的性能嚴重不足，另一方面該防火墻只能提供2 至3 層（基于OSI 參考模型）的防護，而當前來自互聯網的網絡攻擊更多的是基于應用層的攻擊，如DNS 類報文攻擊、HTTP 類報文攻擊等[1]，因此現有的防火墻無法有效抵御來自互聯網的網絡威脅。

1.2 缺少必要的DMZ 區

學校目前所有的業務系統全部署在數據中心，這些業務有提供內網服務的也有提供外網服務的，這就可能會導致一種情況的發生，即如果提供外網服務的業務系統被攻陷后，就有可能成為攻擊者的跳板或者肉雞繼續攻擊數據中心內的其他業務系統，產生一系列的連鎖反應，因此非常有必要建立DMZ 區，把對外提供服務的業務系統部署在DMZ 區，如站群、郵件、OA 辦公系統等，即使以上業務系統被攻陷也不會影響內網業務系統的正常使用。

1.3 數據中心缺少必要的安全防護措施

目前數據中心前端只部署了一臺由邊界防火墻虛擬出來的一臺邏輯防火墻，一方面容易導致組網結構復雜，不利于設備的管理、維護，另一方面缺乏對4 至7 層（基于OSI 參考模型）的安全防護，防御能力水平較低。

1.4 針對DDoS 攻擊沒有有效的防御手段

DDoS 攻擊屬于目前比較常見的一種攻擊手段，它的攻擊方式比較多，主要分為3 種類型，分別為連接型攻擊、流量型攻擊和特殊協議缺陷[2]。它可以同時控制多臺分布在不同地方的設備對同一目標發動攻擊，從而導致被攻擊目標短時間內迅速消耗完網絡帶寬或系統資源，從而導致網絡或者系統癱瘓無法提供正常的服務。

2 解決方案

2.1 邊界出口安全加固

迪普FW1000-TS-N 防火墻屬于傳統防火墻，只能基于網絡層針對IP 報文頭進行檢查和規則匹配，無法識別隱藏在正常報文中或跨越幾個報文的應用層攻擊[3]。因此，為了有效應對當前日益復雜、進攻手段多樣的網絡攻擊，需要部署一體化安全網關設備，該設備由傳統防火墻、入侵防御系統（IPS）、Web 應用程序防火墻（WAF）等功能模塊組成，如圖5 所示。入侵防御系統（IPS）主要針對4 至7 層（基于OSI 參考模型）的安全防護，能夠防御來自應用層安全威脅，可以對流經的報文進行深入L7的深度分析，與事先定義的攻擊特征進行匹配，發現并阻斷數據流里隱藏的攻擊報文進行實時阻斷過濾，Web 應用程序防火墻（WAF）可以對來自Web 應用程序客戶端的各類請求進行內容檢測和驗證，確保其安全性與合法性，對非法的請求予以實時阻斷，從而對學校的各業務系統進行有效的防護[4]。圖2 為一體化安全網關的部署方式。

圖2 一體化安全網關

2.2 建立DMZ 區

建立DMZ 區的目的主要在于把學校對外提供服務的業務系統從數據中心中剝離出來，例如學校的站群系統、郵件系統、OA辦公系統等，部署在非安全系統與安全之間的緩沖區中[5]，從而有效地保護內網業務系統遭受來自外網的攻擊。DMZ 區部署在一體化安全網關下方，由一體化安全網關提供安全防護，DMZ區的部署方式如圖3 所示。

2.3 完善數據中心安全加固

學校的數據中心部署有近40 臺服務器，承載了學校所有的核心業務，例如教務系統、學工系統、人事系統、科研系統、財務系統以及一卡通系統等，因此數據中心的安全穩定運行顯得尤為重要。

目前學校的數據中心主要由校園網的邊界防火墻迪普FW1000-TS-N 虛擬出的邏輯防火墻提供安全防護，采用這種模式一方面容易導致校園網鏈路邏輯混亂，增加運維難度，另一方面由于迪普FW1000-TS-N 防火墻自身的性能有限，當它一邊作為校園網的邊界防火墻提供校園網的整體安全防護的同時，還要消耗一部分硬件資源用來維持數據中心的安全保障，在校園網的高峰時段，迪普FW1000-TS-N 防火墻的CPU 利用率達到99%，從而導致校園網的用戶體驗很差。

因此，為了有效保障數據中心安全，提高用戶體驗，建議在數據中心部署2 臺高性能的一體化安全網關，配置雙電源冗余、萬兆主控，實現雙機虛擬化[6]。數據中心的一體化安全網關與核心交換機通過萬兆聚合鏈路互聯，根據業務需要配置足夠的業務辦卡，實現所有服務器的直接接入。服務器通過雙鏈路連接至2臺一體化安全網關，實現跨設備鏈路聚合，從而使服務器的鏈路帶寬提升至2G，提高業務響應速度，同時兩條鏈路同時轉發數據，即使有一條鏈路發生中斷也不會影響數據的正常轉發，提高了數據中心的可靠性。數據中心安全組網方式如圖4 所示。

一體化安全網關配置高性能的專業防火墻業務模塊，實現學校各個業務系統的安全區域劃分，對不相關的業務進行隔離，對所有服務器的端口進行封堵，只放通與業務相關的業務端口，大大降低了業務系統的安全隱患。同時，為了有效抵御病毒、木馬等攻擊行為，一體化安全網關還需要配置IPS 入侵防御系統模塊、AV 防病毒模塊以及WAF 模塊等[7]，實現數據中心的4 至7 層（基于OSI 參考模型）的安全防護。

圖3 DMZ 區

圖4 數據中心網絡拓撲圖

2.4 建立DDoS 攻擊防御體系

為了有效地抵御DDoS 攻擊，需要借助流量清洗技術把正常流量與惡意流量進行區分[8]，即清洗流量，再把正常的報文返回給目標系統。

具體實施方案為，在校園網出口部署一套異常流量清洗設備，檢測設備旁路部署于核心交換機，將網絡流量鏡像給檢測設備進行分析，檢測設備將分析日志發送給中間管理聯動平臺進行分析輸出報表，一旦發生攻擊，聯動管理平臺將發送通知給清洗平臺，旁路部署于防火墻側的清洗設備將流量從防火墻通過策略路由牽引至清洗設備對攻擊流量進行清洗，清洗完成后將正常的用戶訪問流量回注給邊界防火墻[9]，即一體化安全網關，進行正常的互聯網訪問和業務辦公。攻擊結束后聯動平臺通知清洗設備停止清洗，數據恢復正常流轉，清洗設備停止工作。異常流量清洗拓撲結構如圖5 所示。

圖5 異常流量清洗拓撲圖

圖6 基于虛擬化技術的一體化安全網關組網結構

3 實現效果

3.1 提高了網絡的可靠性、穩定性

通過在校園網邊界出口部署高性能的一體化安全網關，解決了長期存在的校園網出口設備性能瓶頸問題，有效地提高了校園網出口帶寬的利用率，進一步提升了校園網用戶的上網體驗，同時使校園網的運行變得更加可靠、穩定。

3.2 提高了校園網的安全防護等級

該設計方案通過采取一系列的安全防護措施，如升級邊界防火墻、建立DMZ 區、完善數據中心保護、建立DDoS 攻擊防御體系等，有效提升了校園網的安全防護等級，保障了學校關鍵業務的穩定運行。

3.3 簡化了校園網的組網結構

傳統的網絡安全加固方式，需要同時部署防火墻、入侵檢測系統（IPS）、Web 應用系統防火墻（WAF）等獨立式的網絡安全設備，組網結構復雜，單點故障風險較多，運行維護煩瑣[10]。

一體化安全網關采用框式結構，通過模塊化設計實現防火墻、IPS 入侵檢測、WAF、流控等業務板卡的自由組合，結合虛擬化技術只需2 臺設備即可實現傳統8 臺獨立式設備的功能。相比傳統方式，采用一體化安全網關組網結構更加簡單，能夠有效降低單點故障風險，運行維護變得更加簡單。基于虛擬化技術的一體化安全網關組網結構如圖6 所示。

4 結束語

本方案基于新疆財經大學的實際需求，深入剖析校園網在網絡安全方面存在的薄弱環節，以“對現網改動最少，能夠快速提供業務能力”為原則，通過結合虛擬化、流量清洗等技術優化網絡結構、提升學校網絡安全防護能力。

雖然通過該設計方案使學校的校園網的安全防護能力獲得進一步提升，網絡運行得更加穩定、可靠，但是目前在校園網的網絡安全優化方面還有很多需要提高的地方，例如網絡安全事件回溯分析、針對終端用戶的安全防護等，因此后期還需要進一步優化校園網絡安全加固方案。