摘要：以某高校的計(jì)算機(jī)中心局域網(wǎng)的網(wǎng)絡(luò)狀況為例，分析該網(wǎng)絡(luò)存在的安全問(wèn)題，并就如何采取相應(yīng)的措施。保障該局域網(wǎng)的安全、正常運(yùn)作展開(kāi)討論。經(jīng)過(guò)測(cè)試檢驗(yàn)，文中所提方案能夠有效地保護(hù)網(wǎng)絡(luò)安全，達(dá)到了預(yù)期的設(shè)計(jì)要求。

關(guān)鍵詞：局域網(wǎng)；安全問(wèn)題；虛擬局域網(wǎng)；訪問(wèn)控制列表

0 引言

隨著互聯(lián)網(wǎng)規(guī)模的迅速擴(kuò)大，豐富的網(wǎng)絡(luò)信息資源給用戶(hù)帶來(lái)極大方便的同時(shí)，計(jì)算機(jī)病毒、黑客入侵及木馬控制、垃圾郵件等也給互聯(lián)網(wǎng)的運(yùn)行系統(tǒng)、基于互聯(lián)網(wǎng)的重要應(yīng)用系統(tǒng)和廣大互聯(lián)網(wǎng)用戶(hù)帶來(lái)了越來(lái)越多的麻煩。在互聯(lián)網(wǎng)受到各種安全問(wèn)題困擾的同時(shí)，校園網(wǎng)絡(luò)也正遭受著類(lèi)似的沖擊。本文以某高校的計(jì)算機(jī)中心局域網(wǎng)的網(wǎng)絡(luò)狀況為例，分析該網(wǎng)絡(luò)存在的安全問(wèn)題，并就如何采取相應(yīng)的措施，保障該局域網(wǎng)的安全、正常運(yùn)作展開(kāi)討論。首先來(lái)了解一下該計(jì)算機(jī)中心網(wǎng)絡(luò)情況。中心共有計(jì)算機(jī)1000多臺(tái)，大小服務(wù)器10臺(tái)，Cisco交換機(jī)40多臺(tái)，分布于大樓的四個(gè)樓層。整個(gè)網(wǎng)絡(luò)共劃分成五個(gè)VLAN，每個(gè)樓層的200臺(tái)學(xué)生機(jī)劃為一個(gè)VLAN，四個(gè)樓層共四個(gè)，剩下一個(gè)VLAN用來(lái)接入服務(wù)器。各樓層間VLAN不能相互通訊，但是用來(lái)接入服務(wù)器的VLAN設(shè)置為公共區(qū)域，與其它樓層VLAN可以互相通訊。處于四個(gè)樓層VLAN中的1000臺(tái)學(xué)生機(jī)均安裝了中心購(gòu)買(mǎi)的《聯(lián)創(chuàng)機(jī)房管理系統(tǒng)客戶(hù)端程序》，并通過(guò)網(wǎng)絡(luò)與一臺(tái)處于公共VLAN中安裝了《聯(lián)創(chuàng)機(jī)房管理系統(tǒng)服務(wù)端程序》的中心服務(wù)器通訊，并由該服務(wù)器來(lái)管理學(xué)生機(jī)。圖1為該計(jì)算中心的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。

圖1 計(jì)算中心網(wǎng)絡(luò)拓?fù)鋱D

從圖1可以看到，該網(wǎng)絡(luò)結(jié)構(gòu)的核心層由兩臺(tái)CISCO3750交換機(jī)組成，采用堆疊配置方案，并通過(guò)靜態(tài)路由直接接入到外網(wǎng)。在建網(wǎng)時(shí)出于網(wǎng)絡(luò)的穩(wěn)定性考慮，在兩臺(tái)CISCO3750上設(shè)置了HSRP(熱備份路由協(xié)議)，使兩臺(tái)cisco3750實(shí)現(xiàn)平滑切換。處于匯聚層的是3550-24EMI交換機(jī)，該層與接入層、核心層相連，與核心層交換機(jī)之間采用雙端口捆綁成的FEC高速以太網(wǎng)通道連接，為各自的樓層VLAN間路由交換提供硬件支持。處于接入層的是位于各個(gè)教室或者辦公室內(nèi)的2950—24交換機(jī)，直接為各個(gè)信息點(diǎn)提供訪問(wèn)接入。此外，CISCO 3750上還連接了上網(wǎng)認(rèn)證服務(wù)器、機(jī)房管理系統(tǒng)服務(wù)器，每個(gè)樓層3550-24EMI交換機(jī)上掛靠了ftp服務(wù)器，還有各個(gè)系專(zhuān)業(yè)實(shí)驗(yàn)室的專(zhuān)用服務(wù)器，部分服務(wù)器為雙網(wǎng)卡，一端連接3550-24EMI，另一端接入外網(wǎng)。

1 計(jì)算機(jī)中心局域網(wǎng)安全分析

由于該中心集中了整個(gè)學(xué)院大部分的基礎(chǔ)和專(zhuān)業(yè)實(shí)驗(yàn)室，主要承擔(dān)著全院的計(jì)算機(jī)操作的實(shí)驗(yàn)課程，若計(jì)算機(jī)、網(wǎng)絡(luò)出現(xiàn)大面積的故障，正常的教學(xué)秩序?qū)⑹艿絿?yán)重影響。因此分析該中心現(xiàn)存的各種網(wǎng)絡(luò)安全威脅，對(duì)如何采取具體的防范措施具有重要的意義。經(jīng)分析，該中心主要存在以下安全威脅：

計(jì)算機(jī)病毒的威脅 計(jì)算機(jī)病毒一直是網(wǎng)絡(luò)安全的主要威脅。計(jì)算機(jī)病毒具有破壞性、隱蔽性等特點(diǎn)。病毒不僅破壞程序和數(shù)據(jù)，還能夠通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)、存儲(chǔ)介質(zhì)(軟盤(pán)、硬盤(pán))、通信鏈路和其他途徑在網(wǎng)絡(luò)上傳播和蔓延。特別是網(wǎng)絡(luò)病毒因其通過(guò)網(wǎng)絡(luò)方式(如電子郵件)進(jìn)行傳播，具有傳染方式多、傳播速度快、影響面大、清除難度大、破壞力強(qiáng)的特點(diǎn)，對(duì)網(wǎng)絡(luò)正常通訊造成的危害性很大。計(jì)算機(jī)中心的網(wǎng)絡(luò)具有信息點(diǎn)密集的特點(diǎn)，在同一個(gè)VLAN中連接了多達(dá)250臺(tái)的學(xué)生機(jī)，當(dāng)網(wǎng)絡(luò)病毒發(fā)作時(shí)，所產(chǎn)生的破壞力將比一般網(wǎng)絡(luò)更大。一旦如“沖擊波”、“震蕩波”等病毒發(fā)作，可能會(huì)造成整個(gè)中心網(wǎng)絡(luò)速度變慢，阻塞，甚至癱瘓。近段時(shí)期的\"arp欺騙”病毒就曾給該中心網(wǎng)絡(luò)的正常運(yùn)作造成很大麻煩。

非法訪問(wèn) 非法訪問(wèn)是指對(duì)網(wǎng)絡(luò)設(shè)備及信息資源進(jìn)行非正常使用和越權(quán)使用，或者是利用假冒和欺騙的手段非法獲得用戶(hù)的使用權(quán)限。非法訪問(wèn)可能破壞服務(wù)器數(shù)據(jù)的完整性。計(jì)算機(jī)中心的機(jī)房管理系統(tǒng)服務(wù)器數(shù)據(jù)庫(kù)及上網(wǎng)認(rèn)證服務(wù)器中均存有整個(gè)學(xué)校上機(jī)學(xué)生的賬號(hào)、密碼、金額等重要信息，若有人以非法手段竊得對(duì)數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，會(huì)嚴(yán)重干擾用戶(hù)的正常使用。

人為的惡意破壞 人為的惡意破壞包括對(duì)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)系統(tǒng)兩個(gè)方面的破壞。網(wǎng)絡(luò)設(shè)備包括服務(wù)器、路由器、交換機(jī)、集線器、工作站、電源等。計(jì)算機(jī)中心的網(wǎng)絡(luò)設(shè)備除工作站(學(xué)生機(jī))外都統(tǒng)一放置在每個(gè)樓層的專(zhuān)用設(shè)備問(wèn)，不存在惡意破壞的問(wèn)題(除了中心工作人員誤操作)。這里所指的惡意破壞是對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊，主要是利用黑客技術(shù)對(duì)計(jì)算機(jī)中心網(wǎng)絡(luò)造成破壞，干擾網(wǎng)絡(luò)正常運(yùn)作?，F(xiàn)在，很多大學(xué)生的計(jì)算機(jī)技術(shù)已經(jīng)達(dá)到一定水平，他們具有強(qiáng)烈的好奇心和實(shí)踐欲望，在計(jì)算機(jī)中心上機(jī)時(shí)經(jīng)常會(huì)做出惡意攻擊行為，具體表現(xiàn)為向中心機(jī)房管理系統(tǒng)服務(wù)器發(fā)送大量垃圾包使網(wǎng)絡(luò)陷入癱瘓，或嘗試遠(yuǎn)程登錄交換機(jī)、服務(wù)器。一旦他們利用某些黑客工具登錄成功，修改或損壞網(wǎng)絡(luò)設(shè)備的配置文件后，將造成不可預(yù)計(jì)的損失。

操作系統(tǒng)受到的安全威脅計(jì)算機(jī)中心安裝的操作系統(tǒng)是win2000 advanced server，工作站(學(xué)生機(jī))上安裝的是winxpprofessional和win2000 sp4，各系統(tǒng)或多或少地存在著“后門(mén)”和漏洞，安裝系統(tǒng)時(shí)候的缺省配置、弱口令或空口令，以及開(kāi)啟的不必要的服務(wù)、不完全的安全補(bǔ)丁等情況，都給服務(wù)器和工作站的安全構(gòu)成了重大的隱患。計(jì)算機(jī)中心網(wǎng)絡(luò)中的部分服務(wù)器配備了雙網(wǎng)卡，一端連接內(nèi)部公共VLAN，另一端接入外網(wǎng)，中間沒(méi)有可靠的防火墻的阻隔，這使內(nèi)部網(wǎng)絡(luò)的安全系數(shù)大大降低。

2 針對(duì)安全威脅所采取的防范措施

(1)嚴(yán)格的管理

計(jì)算機(jī)中心應(yīng)加強(qiáng)內(nèi)部管理，建立事件的審計(jì)和跟蹤體系，提高整體信息安全意識(shí)。應(yīng)由專(zhuān)人負(fù)責(zé)管理服務(wù)器或網(wǎng)絡(luò)設(shè)備，其他工作人員未經(jīng)允許不得隨意更改配置；對(duì)服務(wù)器或網(wǎng)絡(luò)設(shè)備的操作應(yīng)建立詳細(xì)的日志，減少內(nèi)部工作人員的誤操作而引起的故障。對(duì)于學(xué)生，應(yīng)加強(qiáng)網(wǎng)絡(luò)方面法律、法規(guī)的教育，提高學(xué)生的法律意識(shí)，防止出現(xiàn)破壞網(wǎng)絡(luò)安全的違法行為。

(2)防火墻技術(shù)

圖2 DMZ區(qū)結(jié)構(gòu)圖

計(jì)算機(jī)中心有多臺(tái)服務(wù)器配有雙網(wǎng)卡，分連內(nèi)、外網(wǎng)，這些服務(wù)器直接暴露在互聯(lián)網(wǎng)上，具有很大的風(fēng)險(xiǎn)。為解決此問(wèn)題，可以利用防火墻技術(shù)來(lái)構(gòu)建一個(gè)DMZ區(qū)域，DMZ是英文“demilitarized zone”的縮寫(xiě)，中文名稱(chēng)為“隔離區(qū)”，也稱(chēng)“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)服務(wù)器的問(wèn)題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)。DMZ通常是一個(gè)過(guò)濾的子網(wǎng)，采用DMZ技術(shù)，可以在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間構(gòu)造一個(gè)安全地帶。把那些內(nèi)、外網(wǎng)絡(luò)都需要訪問(wèn)的服務(wù)器放置在DMZ區(qū)域內(nèi)，既保證了服務(wù)器能正常地為內(nèi)、外網(wǎng)用戶(hù)服務(wù)，又有效地避免了由于服務(wù)器雙網(wǎng)卡配置給內(nèi)部網(wǎng)絡(luò)安全帶來(lái)的重大風(fēng)險(xiǎn)，使得服務(wù)器免受非授權(quán)用戶(hù)訪問(wèn)、攻擊，并達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的目的。具體的網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示。

(3)利用訪問(wèn)控制列表(ACCESS-LIST)g(高網(wǎng)絡(luò)安全性

CISC03550-24EMI三層交換機(jī)提供了訪問(wèn)控制列表(access—list)功能。訪問(wèn)控制列表是思科的IOS提供的一種控制網(wǎng)絡(luò)訪問(wèn)的工具，利用訪問(wèn)控制列表可以在三層交換機(jī)的接口上靈活地控制過(guò)濾數(shù)據(jù)包，從而可以決定在三層交換機(jī)的接口上允許或者禁止放行需要控制的數(shù)據(jù)包(如禁止學(xué)生TELNET交換機(jī)、封ICMP包)。由于網(wǎng)絡(luò)病毒(特別是系統(tǒng)漏洞病毒)都是利用相應(yīng)端口進(jìn)行傳播與攻擊的，所以可以考慮通過(guò)在CISCO 3550-24EMI交換機(jī)上設(shè)置相應(yīng)的ACL來(lái)封禁這些網(wǎng)絡(luò)病毒傳播所用端口，從根本上阻斷病毒的傳播。以防御“沖擊波”病毒為例，可以在CISCO 3550-24EMI交換機(jī)配置一個(gè)訪問(wèn)控制列表，具體配置如下：

access-list 120 deny tcp any any eQ echo

access-list 120 deny tcp any any ea chargen

access-list 120 deny tcp any any ea 135

access-list 120 deny tcp any any ea 136

……

access-list 120 deny udp any any ea 139

access-list 120 deny udp any any ea snmp

access-list 120 deny udp any any ea 389

access-list 120 deny udp any any eq 445

access-list 120 deny udp any any ea 1434

access-list 120 deny udp any any ea 1433

access-list 120 permit ip any any

(4)通過(guò)VLAN提高網(wǎng)絡(luò)安全性

VLAN(Virtual Local Area Network)又稱(chēng)虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè)VLAN組成一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶(hù)加入到一個(gè)邏輯子網(wǎng)中。計(jì)算機(jī)中心將每個(gè)樓層200多臺(tái)計(jì)算機(jī)各劃分在一個(gè)VLAN中，具有同一個(gè)VLAN中機(jī)器的數(shù)量過(guò)多的缺點(diǎn)，通過(guò)多劃分幾個(gè)基于端口的VLAN，縮小廣播范圍，有效控制廣播風(fēng)暴的產(chǎn)生，從而提高整個(gè)網(wǎng)絡(luò)的整體性能。增加VLAN的數(shù)量，在抵御網(wǎng)絡(luò)病毒傳播上也有很大作用，通過(guò)在各個(gè)VLAN之間設(shè)置訪問(wèn)控制列表來(lái)實(shí)現(xiàn)包的過(guò)濾，當(dāng)某一VLAN中有主機(jī)出現(xiàn)網(wǎng)絡(luò)病毒傳播時(shí)，也只能影響到其所在的VLAN，對(duì)整個(gè)網(wǎng)絡(luò)不會(huì)有太大的影響，大大提高了網(wǎng)絡(luò)的安全性。

(5)安裝殺毒軟件，及時(shí)安裝系統(tǒng)補(bǔ)丁，備份系統(tǒng)

在工作站、服務(wù)器上安裝相應(yīng)的防病毒軟件，由中央控制臺(tái)統(tǒng)一控制和管理，實(shí)現(xiàn)全網(wǎng)統(tǒng)一防病毒。定期對(duì)各個(gè)系統(tǒng)進(jìn)行端口、漏洞掃描，時(shí)刻關(guān)注補(bǔ)丁信息，及時(shí)進(jìn)行補(bǔ)丁更新。對(duì)網(wǎng)絡(luò)中的服務(wù)器、交換機(jī)等設(shè)備進(jìn)行系統(tǒng)備份，使網(wǎng)絡(luò)管理者能夠在故障發(fā)生后很快重新組織被破壞了的文件或應(yīng)用，使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)，最大限度地減少損失。

(6)用管理軟件進(jìn)行安全控制

計(jì)算機(jī)中心的學(xué)生機(jī)都安裝了《聯(lián)創(chuàng)機(jī)房管理系統(tǒng)客戶(hù)端》程序，通過(guò)服務(wù)器端軟件的控制，可以實(shí)現(xiàn)對(duì)學(xué)生上機(jī)登錄過(guò)程的認(rèn)證，確保用戶(hù)的合法性，并嚴(yán)格限制登錄者的操作權(quán)限，將其可完成的操作限制在最小的范圍內(nèi)；其次可以配合國(guó)家的關(guān)于網(wǎng)絡(luò)安全方面的法律法規(guī)，實(shí)現(xiàn)對(duì)學(xué)生的上網(wǎng)過(guò)程進(jìn)行全程監(jiān)控，做到上網(wǎng)日志可查詢(xún)，發(fā)現(xiàn)問(wèn)題能夠及時(shí)進(jìn)行審計(jì)、跟蹤，確定到個(gè)人。

3 結(jié)束語(yǔ)

實(shí)際應(yīng)用中，以上采取的防范措施在計(jì)算機(jī)中心網(wǎng)絡(luò)安全保障工作方面產(chǎn)生了很好的效果。網(wǎng)絡(luò)安全是一項(xiàng)復(fù)雜的系統(tǒng)工程，不能只依靠一種措施來(lái)保證安全，必須把各種安全措施有機(jī)地結(jié)合起來(lái)，合理地運(yùn)用，才能達(dá)到保障網(wǎng)絡(luò)安全的目的。在采取安全防范措施的同時(shí)，還必須制訂完善的安全管理規(guī)章制度，只有做到了管理與技術(shù)協(xié)調(diào)運(yùn)作，才能有效地保障計(jì)算機(jī)中心網(wǎng)絡(luò)安全、可靠、穩(wěn)定的運(yùn)行。

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文。