基于校園網(wǎng)邊界網(wǎng)絡(luò)安全的研究與實現(xiàn)

楊朋 殷旻昊

摘要：隨著信息科技的飛速發(fā)展，校園網(wǎng)的應(yīng)用建設(shè)和規(guī)模也越來越大，而與此同時，飛速發(fā)展的互聯(lián)網(wǎng)應(yīng)用技術(shù)也給校園網(wǎng)的網(wǎng)絡(luò)安全提出了越來越嚴(yán)峻的考驗，互聯(lián)網(wǎng)對校園網(wǎng)的攻擊策略和手段也層出不窮，但歸根結(jié)底，其流量和手段都需要從校園網(wǎng)與互聯(lián)網(wǎng)的邊界進(jìn)行流入流出。所以如何部署穩(wěn)固校園網(wǎng)的邊界網(wǎng)絡(luò)安全設(shè)備，打造邊界網(wǎng)絡(luò)安全體系，從而為校園網(wǎng)提供一個安全可靠的上網(wǎng)環(huán)境是該文研究的重點。

關(guān)鍵詞：邊界網(wǎng)絡(luò);校園網(wǎng);安全

中圖分類號：TP393.1 ? ? ? ?文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2020）25-0075-02

Abstract：With the rapid developing of information technology， the constructions and the scale of campus network applications are becoming larger. At the same time， the rapid development of Internet application technology also poses more severe challenges to the network security of campus network. The attack strategies and methods of the campus network are also endless， but in the final analysis， but in the final analysis， most of the traffic and methods need to flow in and out from the border between the campus network and the Internet. Therefore， how to deploy the border network security equipment to stabilize the campus network and create a border network security system to provide a safe and reliable online environment for the campus network is the focus of this paper.

Key words： border network; campus network; security

1 前言

校園網(wǎng)絡(luò)是打造高校“數(shù)字校園”“智慧校園”的載體，而校園網(wǎng)絡(luò)的安全則是所有校園網(wǎng)絡(luò)和應(yīng)用系統(tǒng)建設(shè)的前提條件[1]。當(dāng)前，大多數(shù)學(xué)校對于投入了大量資金用于網(wǎng)絡(luò)環(huán)境的建設(shè)，已經(jīng)形成了良好的網(wǎng)絡(luò)環(huán)境和應(yīng)用體系，校園網(wǎng)的數(shù)字化應(yīng)用已經(jīng)遍及師生日常生活的各個方面。但隨著云服務(wù)技術(shù)和大數(shù)據(jù)技術(shù)的不斷發(fā)展，校園網(wǎng)的信息安全問題也日益突出，尤其是在校園網(wǎng)邊界附近，交換機、路由器、防火墻等設(shè)備所面臨的考驗形勢變得非常嚴(yán)峻，網(wǎng)絡(luò)安全威脅日益復(fù)雜，攻擊來源層出不窮、攻擊手段種類繁多、攻擊目標(biāo)多種多樣、攻擊危害也愈加嚴(yán)重[2]。這就要求學(xué)校對校園網(wǎng)的安全防護(hù)工作不僅僅要求能夠防御網(wǎng)絡(luò)攻擊，更要求預(yù)先防患未然，將網(wǎng)絡(luò)安全隱患排斥于校園網(wǎng)之外[3]。本文是通過論述學(xué)校的邊界網(wǎng)絡(luò)安全體系，邊界網(wǎng)絡(luò)安全設(shè)備的部署情況，通過各個安全設(shè)備的聯(lián)動運行可以有效防御當(dāng)前問題較為突出的Web漏洞及網(wǎng)絡(luò)攻擊威脅，實現(xiàn)學(xué)校各個應(yīng)用系統(tǒng)的安全、可靠和可控，從而建立比較安全的網(wǎng)絡(luò)環(huán)境來保障教學(xué)服務(wù)質(zhì)量和師生上網(wǎng)安全[4-5]。

2 研究背景

當(dāng)前，大多數(shù)學(xué)校均部署了較為完善的邊界網(wǎng)絡(luò)安全設(shè)備來保障校內(nèi)網(wǎng)絡(luò)安全，當(dāng)用戶通過在校園內(nèi)部網(wǎng)絡(luò)進(jìn)行訪問互聯(lián)網(wǎng)的時候，其數(shù)據(jù)包經(jīng)過邊界網(wǎng)絡(luò)安全設(shè)備時經(jīng)過層層審計來保障數(shù)據(jù)安全，同時也將互聯(lián)網(wǎng)進(jìn)行廣泛傳播的網(wǎng)絡(luò)風(fēng)暴、病毒等隔離出校園網(wǎng)之外，使校園內(nèi)網(wǎng)形成了一個相對封閉安全的上網(wǎng)環(huán)境[6]。本文所指邊界網(wǎng)絡(luò)安全設(shè)備主要是指學(xué)校的校園網(wǎng)出口至核心交換機到的網(wǎng)絡(luò)設(shè)備，主要有網(wǎng)絡(luò)出口防火墻設(shè)備、入侵防御系統(tǒng)設(shè)備、多業(yè)務(wù)控制網(wǎng)關(guān)、負(fù)載均衡設(shè)備等設(shè)備共同保障網(wǎng)絡(luò)的安全運行。這些網(wǎng)絡(luò)安全設(shè)備的聯(lián)動使用一方面可以抵御網(wǎng)絡(luò)病毒、DDos攻擊，端口攻擊、拒絕服務(wù)攻擊、提權(quán)攻擊等的網(wǎng)絡(luò)攻擊手段，另一方面還可以主動監(jiān)測學(xué)校內(nèi)部系統(tǒng)的安全漏洞和學(xué)校外部網(wǎng)絡(luò)的網(wǎng)絡(luò)隱患，達(dá)到預(yù)先防范的效果。從而更好地保障校園網(wǎng)的網(wǎng)絡(luò)安全。

3 系統(tǒng)設(shè)計方案

3.1 系統(tǒng)總體設(shè)計框架

校園網(wǎng)邊界網(wǎng)絡(luò)安全顧名思義把有著不同安全級別的校園網(wǎng)和外界互聯(lián)網(wǎng)相連接，并通過在校園網(wǎng)網(wǎng)絡(luò)邊界處部署相應(yīng)的軟硬件設(shè)備來設(shè)置的安全防御措施，一方面保障校園內(nèi)部合法用戶合法的訪問外界互聯(lián)網(wǎng)，另一方面過濾掉非法訪問和惡性攻擊行為，從而建立起比較穩(wěn)定、可靠的安全防御體系。目前天津師范大學(xué)核心交換機由兩臺萬兆交換機虛擬化為一個核心進(jìn)行負(fù)責(zé)，在核心交換機和互聯(lián)網(wǎng)串聯(lián)部署出口網(wǎng)關(guān)、出口防火墻、負(fù)載均衡設(shè)備、抗DDoS系統(tǒng)、IPS等安全設(shè)備，同時在學(xué)校的核心交換機旁單臂部署了BRAS設(shè)備、VPN網(wǎng)關(guān)系統(tǒng)、上網(wǎng)行為管理系統(tǒng)、日志審計系統(tǒng)、DNS系統(tǒng)、網(wǎng)絡(luò)緩存系統(tǒng)、流量清洗系統(tǒng)等。通過這些系統(tǒng)的部署，可以有效地實現(xiàn)抵御外來網(wǎng)絡(luò)攻擊，審視用戶上網(wǎng)行為，檢測校園內(nèi)部系統(tǒng)的網(wǎng)絡(luò)漏洞等功能。其主要設(shè)備的部署拓?fù)鋱D如圖1所示。該部署方式既能減少了學(xué)校主干網(wǎng)絡(luò)上的安全設(shè)備，同時也為邊界網(wǎng)絡(luò)安全體系的進(jìn)一步的健壯提供了較好的兼容性和可擴展性。

3.2 串聯(lián)網(wǎng)絡(luò)安全設(shè)備

串聯(lián)的網(wǎng)絡(luò)安全設(shè)備必須實現(xiàn)高轉(zhuǎn)發(fā)速度、高穩(wěn)定性、高安全性、高兼容性以及高智能性，同時也需要實時地對病毒數(shù)據(jù)庫進(jìn)行更新。串聯(lián)的網(wǎng)絡(luò)安全設(shè)備對校園網(wǎng)提供了環(huán)境感知功能，實現(xiàn)對安全策略的制定，病毒入侵的主動防御，病毒風(fēng)險的隔絕，異常流量的監(jiān)控，惡意文件的監(jiān)測，IP地址的隔離，數(shù)據(jù)庫升級等功能。

出口防火墻（Firewall）無疑是最重要的邊界網(wǎng)絡(luò)安全設(shè)備，也是校園網(wǎng)安全體系的第一道防線。出口防火墻是通過分析ARP數(shù)據(jù)包并配置相應(yīng)的NAT訪問策略來保護(hù)校內(nèi)的端口、服務(wù)、程序、系統(tǒng)、以及應(yīng)用數(shù)據(jù)庫，可以及時發(fā)現(xiàn)并處理內(nèi)外網(wǎng)絡(luò)的可能存在或者已經(jīng)存在的系統(tǒng)隱患和網(wǎng)絡(luò)攻擊。防火墻可以實現(xiàn)集中地安全管理、制定執(zhí)行策略、設(shè)立訪問控制列表、訪問轉(zhuǎn)發(fā)、端口映射等功能，其工作方式主要包括包過濾、狀態(tài)檢測、應(yīng)用代理三種方式。包過濾通過檢測防火墻的運行狀態(tài)來預(yù)先編輯其運行的訪問策略;狀態(tài)檢測是通過讀取并分析ARP數(shù)據(jù)包來分析訪問狀態(tài)來確定該系統(tǒng)應(yīng)用程序是否允許連接;應(yīng)用代理是使用的代理程序來分析基于的特定類型協(xié)議的流量來實現(xiàn)對應(yīng)用層的管理和監(jiān)控。

入侵防御系統(tǒng)（IPS）是對出口防火墻安全防護(hù)的一種補充，是實現(xiàn)校園網(wǎng)安全訪問的“雙保險”。IPS是通過流檢技術(shù)來收集和監(jiān)聽系統(tǒng)的運行情況和數(shù)據(jù)的傳輸情況，預(yù)先主動地對數(shù)據(jù)源進(jìn)行檢測并阻斷那些具非法或異常的數(shù)據(jù)傳輸。IPS主要防護(hù)針對防火墻相對防護(hù)較弱的應(yīng)用層面的網(wǎng)絡(luò)攻擊和風(fēng)險漏洞，具有對校園網(wǎng)的網(wǎng)絡(luò)環(huán)境、應(yīng)用系統(tǒng)、程序內(nèi)容的深度感知能力，以及對未知風(fēng)險的防患能力，通過IPS探針的方式對數(shù)據(jù)包進(jìn)行異常協(xié)議識別、病毒庫特征匹配、異常流量檢測，將用戶登錄信息、應(yīng)用系統(tǒng)信息、應(yīng)用部署位置和應(yīng)用地址、應(yīng)用或站點訪問頻率等多種信息進(jìn)行關(guān)聯(lián)，使用白名單訪問策略，建立校園網(wǎng)訪問的白環(huán)境，從而實現(xiàn)對應(yīng)用系統(tǒng)的端口、狀態(tài)和行為的精細(xì)化管理，并準(zhǔn)確識別用戶異常行為。

負(fù)載均衡設(shè)備（SLB）主要是針對不同服務(wù)器的性能和配置的差異進(jìn)行合理有效地分配帶寬、任務(wù)和資源，從而保障各個服務(wù)器高效穩(wěn)定的運行。原則上來說SLB并不屬于安全設(shè)備，但其也可以針對服務(wù)器進(jìn)行定向的過濾數(shù)據(jù)包和應(yīng)用攻擊，隔離協(xié)議和網(wǎng)絡(luò)攻擊，從而實現(xiàn)故障處理，流量分析的功能。SLB可以針對DNS、代理服務(wù)器、地址轉(zhuǎn)換網(wǎng)關(guān)、網(wǎng)絡(luò)地址轉(zhuǎn)換進(jìn)行優(yōu)化和調(diào)度。SLB實現(xiàn)的機制主要包括數(shù)據(jù)收集、閾值設(shè)定和服務(wù)器遷移三個方面，即SLB動態(tài)的確定進(jìn)行負(fù)載均衡的閥值，當(dāng)負(fù)載信息進(jìn)行采集并分析后如果觸發(fā)閥值機制后便將資源遷移到其他服務(wù)器。伴隨著云平臺技術(shù)的發(fā)展和虛擬機的廣泛應(yīng)用，SLB在校園網(wǎng)環(huán)境中發(fā)揮了不可替代的作用。

3.3 旁掛網(wǎng)絡(luò)安全設(shè)備

旁掛的網(wǎng)絡(luò)安全設(shè)備相對而言在邊界安全功能上大多是起著檢測和輔助作用，但也發(fā)揮著至關(guān)重要的作用，一方面可以減輕主干網(wǎng)絡(luò)安全設(shè)備和帶寬帶來的壓力，另一方面提高校園網(wǎng)系統(tǒng)和應(yīng)用運行效率，為校園網(wǎng)提供了更加實時全面的安全防護(hù)。旁掛的網(wǎng)絡(luò)安全設(shè)備主要實現(xiàn)異常流量進(jìn)行檢測、網(wǎng)絡(luò)數(shù)據(jù)的緩存、日志的審計和存儲、上網(wǎng)行為的監(jiān)管和控制等功能，從而實現(xiàn)“檢測與控制相分離，引擎特征相統(tǒng)一”的理念。

BRAS（多業(yè)務(wù)控制網(wǎng)關(guān)）為校園網(wǎng)提供互聯(lián)網(wǎng)和教育網(wǎng)的寬帶接入服務(wù)和多業(yè)務(wù)運行方案。BRAS匯總整個校園網(wǎng)的用戶流量，通過兼容多種協(xié)議和方式來接入各個系統(tǒng)的管理網(wǎng)關(guān)、控制網(wǎng)關(guān)和認(rèn)證網(wǎng)關(guān)，滿足不同用戶和應(yīng)用系統(tǒng)對傳輸容量和帶寬利的精細(xì)化要求和顆粒度管理。

VPN網(wǎng)關(guān)系統(tǒng)為互聯(lián)網(wǎng)接入到校園網(wǎng)提供了一條隱私、安全的數(shù)據(jù)加密隧道來實現(xiàn)校外用戶訪問校內(nèi)網(wǎng)資源的功能。VPN系統(tǒng)通過SSL協(xié)議對數(shù)據(jù)行為加密，并使用LDAP協(xié)議進(jìn)行認(rèn)證，使不同用戶通過VPN訪問只能獲得訪問相應(yīng)的地址的權(quán)限，從而保障校園網(wǎng)安全。

上網(wǎng)行為管理系統(tǒng)針對所有訪問校內(nèi)網(wǎng)用戶的行為提供智能精準(zhǔn)的行為分析、數(shù)據(jù)審計、網(wǎng)站訪問過濾、應(yīng)用程序控制以及流量資源管理等功能，可視可控的展現(xiàn)訪問人員的身份、終端、內(nèi)容、應(yīng)用程序等內(nèi)容，規(guī)范用戶的入網(wǎng)行為，提高網(wǎng)絡(luò)安全防護(hù)，信息安全管理和風(fēng)險防范的能力。

日志審計系統(tǒng)可以實時的采集各個邊界網(wǎng)絡(luò)安全系統(tǒng)以及其他應(yīng)用程序產(chǎn)生的流量和數(shù)據(jù)，對此進(jìn)行統(tǒng)一規(guī)范化的記錄、存儲和備份，并提供靈活方便的日志查詢機制。日志審計系統(tǒng)還可以配合其他安全設(shè)備對數(shù)據(jù)進(jìn)行分析，設(shè)立訪問策略，對異常行為建立報警機制。

異常流量檢測系統(tǒng)在核心交換機上配置鏡像的方式來獲取數(shù)據(jù)，通過探針式流量檢測技術(shù)實現(xiàn)基于數(shù)據(jù)流特征的攻擊類型檢測，通過對IP地址、端口號、協(xié)議號等產(chǎn)生的分流信數(shù)據(jù)的監(jiān)測和分析，提供異常流量發(fā)現(xiàn)、異常行為監(jiān)測、設(shè)備性能告警監(jiān)測和網(wǎng)絡(luò)攻擊報警等功能。

4 結(jié)束語

打造邊界網(wǎng)絡(luò)安全體系可以有效地抵御校內(nèi)外針對校園網(wǎng)基于出口的網(wǎng)絡(luò)攻擊，解決當(dāng)前來自網(wǎng)絡(luò)內(nèi)外部對安全帶來的各種威脅，實現(xiàn)多層次、多應(yīng)用的防護(hù)功能。當(dāng)然，任何一種設(shè)備和體系都無法保障網(wǎng)絡(luò)安全的萬無一失，我們要做的是進(jìn)一步優(yōu)化網(wǎng)絡(luò)布局，提升安全設(shè)備性能，規(guī)范內(nèi)部上網(wǎng)行為，從而實時為數(shù)字化校園提供了更加全面細(xì)致的安全防護(hù)，為打造“數(shù)字校園”、“智慧校園”提供強力保障。

參考文獻(xiàn)：

[1] 黃存東.關(guān)于計算機網(wǎng)絡(luò)信息安全問題的技術(shù)研究[J].軟件，2013，34（1）：140-141

[2] 王世偉.論信息安全、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間安全[J].中國圖書館學(xué)報， 2015，41 （2）：72-84.

[3] 張煥國，韓文報，來學(xué)嘉，等.網(wǎng)絡(luò)空間安全綜述[J].中國科學(xué)：信息科學(xué)，2016，46（2）：125-164.

[4] 趙穎，樊曉平，周芳芳，等.網(wǎng)絡(luò)安全數(shù)據(jù)可視化綜述[J].計算機輔助設(shè)計與圖形學(xué)學(xué)報，2014，26（5）：687-697.

[5] 劉志杰.淺談大數(shù)據(jù)時代下計算機網(wǎng)絡(luò)信息安全現(xiàn)狀及對策[J].電腦知識與技術(shù)，2017，13（21）：10-11.

[6] 張康榮.計算機網(wǎng)絡(luò)信息安全及其防護(hù)對策分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（2）：92，94.

【通聯(lián)編輯：代影】