張友俊

摘要:伴隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,大中型校園網(wǎng)絡(luò)已經(jīng)在各個學校普及,然而,網(wǎng)絡(luò)中的一些不安全因素隨之而來,網(wǎng)絡(luò)安全工作成為網(wǎng)絡(luò)技術(shù)中必不可少的關(guān)鍵技術(shù),防火墻

就是校園網(wǎng)絡(luò)安全中重要的一環(huán)。校園網(wǎng)是校園信息傳輸、網(wǎng)絡(luò)辦公、網(wǎng)絡(luò)教學平臺的重要手段,必須建立有效的、安全的、高效網(wǎng)絡(luò)安全防范體系以保護校園信息和關(guān)鍵應用的安

全。防火墻在校園網(wǎng)安全防范中起到了至關(guān)重要的作用。

關(guān)鍵詞:防火墻數(shù)據(jù)安全校園網(wǎng)網(wǎng)絡(luò)攻擊

一、我院的校園網(wǎng)絡(luò)情況

我院校園網(wǎng)由網(wǎng)絡(luò)中心、主干網(wǎng)和各教學樓、實驗樓等局域網(wǎng)組成。主干網(wǎng)以千兆以太網(wǎng)為主,光纖覆蓋整個校區(qū)。各樓局域網(wǎng)實現(xiàn)千兆到機房,百兆到桌面的布局,實現(xiàn)校園網(wǎng)的高效運行,校園網(wǎng)的主干網(wǎng)中采用Cisco的2821路由器作為外部路由器。由思科路由器直接連接思科防火墻Cisco5521,該防火墻是思科公司新一代的防火墻系統(tǒng),替代老型號的PIX防火墻的新型防火墻,各項性能十分出色,網(wǎng)絡(luò)信息經(jīng)過路由器后到達思科防火墻進行包過濾防火墻后連接校園網(wǎng)主交換機華為6506千兆以太網(wǎng)三層核心交換機,該三層交換機具有路由功能,可作為校園網(wǎng)的各內(nèi)部局域網(wǎng)網(wǎng)間的路由器)。

二、學院網(wǎng)絡(luò)中存在的不安全因素有:

現(xiàn)在我院校園網(wǎng)在網(wǎng)絡(luò)辦公和教學中發(fā)揮著巨大的作用,然而隨著對網(wǎng)絡(luò)服務要求的進一步提高,在經(jīng)過一段時間運行中發(fā)現(xiàn)一些問題并著手解決問題,更好的為網(wǎng)絡(luò)教學和辦公服務。

1. ARP病毒和IP地址沖突現(xiàn)象

我院校園網(wǎng)包括機房和各樓宇辦公電腦不下千余臺電腦,由于電腦太多,各個處室也都有很多辦公室,并混編在各個辦公樓和教學樓中,學院網(wǎng)絡(luò)中心決定使用靜態(tài)IP對每一臺電腦一一對應,但運行一段時間后發(fā)現(xiàn),有的辦公室在電腦系統(tǒng)損壞后,私自進行安裝系統(tǒng)并隨意設(shè)置IP地址,這樣導致局域網(wǎng)內(nèi)出現(xiàn)IP地址沖突現(xiàn)象時有發(fā)生,針對這一情況,網(wǎng)絡(luò)中心工作人員對每臺電腦的物理地址與IP地址進行綁定,并要求各辦公室每臺電腦負責人記錄IP地址,這樣隨意亂設(shè)置IP也不能連接網(wǎng)絡(luò),解決了IP沖突問題,同時也對ARP病毒進行了有效的防范,提高了網(wǎng)絡(luò)的利用效率。

2. 內(nèi)部網(wǎng)絡(luò)攻擊和病毒防范

防火墻對于網(wǎng)絡(luò)攻擊具有防范作用,但在實際運行時發(fā)現(xiàn),很多攻擊發(fā)自于內(nèi)部局域網(wǎng)防火墻對于內(nèi)部的防護則幾乎不起什么作用。所以如何減少校園內(nèi)部局域網(wǎng)攻擊和病毒是重要的問題。

3. 入侵、掃描和攻擊

校園網(wǎng)內(nèi)部的WEB服務器和網(wǎng)絡(luò)設(shè)備,有時會受到攻擊、掃描等、造成網(wǎng)絡(luò)負載過重,致使服務器拒絕提供服務,或造成校園網(wǎng)不能提供正常的服務。

4. 內(nèi)部局域網(wǎng)訪問WEB服務器和非法URL的訪問問題

學院在網(wǎng)絡(luò)中心設(shè)有幾臺WEB服務器,接入在防火墻的DMZ區(qū)域,如何實現(xiàn)內(nèi)部網(wǎng)各網(wǎng)段實現(xiàn)對服務器的訪問和外部對服務器的訪問,還有如何在校園機房上網(wǎng)時屏蔽一些反動的或不健康的網(wǎng)站。

5. 病毒防護

互聯(lián)網(wǎng)技術(shù)的成功,導致網(wǎng)絡(luò)病毒的迅速傳播,經(jīng)常導致系統(tǒng)崩潰,網(wǎng)絡(luò)癱瘓,對網(wǎng)絡(luò)服務構(gòu)成嚴重威脅。

三、防火墻和中心交換機的基本設(shè)置

1.為防止ARP病毒和廣播風暴的發(fā)生,我院在核心交換機上劃分VLAN,設(shè)置不同的VLAN來防范廣播風暴的產(chǎn)生,如學生機房用VLAN 5 ,其它處室分別分配在不同的VLAN中,這樣如果某一VLAN中的用戶中了ARP病毒,不會波及到整個校園網(wǎng)絡(luò)運行,縮小的中毒范圍和故障排除難找到中毒機的問題。由于教師機上有一些不該讓學生知道的如試卷等,但在本VLAN中還有可能進行共享,針對這種情況,在核心交換機中對學生機網(wǎng)段利用ACL訪問控制列表進行控制,禁止學生機訪問教學網(wǎng)段。其它網(wǎng)段可以互訪。

2.病毒和攻擊防護

為防止外網(wǎng)對校園網(wǎng)的攻擊,在防火墻上屏蔽了一些常被病毒利用的端口如4444、135等端口。

3.解決學生上課時間上網(wǎng)問題

正常情況下,學生在上課時是不允許上網(wǎng)的,為實現(xiàn)這個情況,在防火墻上設(shè)置了基于時間的訪問控制列表,對學生機房網(wǎng)段上課時間進行限制,對其它網(wǎng)段不作限制。

4.校園流媒體播放和內(nèi)網(wǎng)域名訪問

由于校園網(wǎng)的網(wǎng)站更新,加入了一些關(guān)于教學方面的視頻和課件,但這些視頻在內(nèi)網(wǎng)訪問沒有問題,在外網(wǎng)上就是無法訪問,還有就是如何時在內(nèi)網(wǎng)用域名訪問,本人經(jīng)過研究進行了如下設(shè)置,達到了就效果。

在防火墻中去掉RTSP協(xié)議檢查

asa5520(config)# policy-map global_policy

asa5520(config-pmap)# class inspection_default

asa5520(config-pmap-c)# no inspect rtsp

更改設(shè)置后,外網(wǎng)可以訪問內(nèi)網(wǎng)服務器上的流媒體文件。

內(nèi)網(wǎng)用域名訪問設(shè)置如下:

asa5520(config)# global (dmz1) 1 192.168.1.X

asa5520(config)# alias (inside) 61.158.X.X 192.168.1.100 255.255.255.255

設(shè)置完成后,在內(nèi)網(wǎng)用IP和域名都能訪問內(nèi)網(wǎng)的WEB服務器。

5.禁止學生或教師對校外非法網(wǎng)址的訪問

一般情況,一些傳播非法信息的站點主要在校外,而這些站點的域名可能是已知的。為防止 IP 地址欺騙和盜用需為對網(wǎng)絡(luò)內(nèi)部人員訪問 Internet 進行一定限制,在連接內(nèi)部網(wǎng)絡(luò)的端口接收數(shù)據(jù)時進行 IP 地址和以太網(wǎng)地址檢查,盜用 IP 地址的數(shù)據(jù)包將被丟棄,并記錄有關(guān)信息,然后過濾掉來自非法地址的所有 IP 包。

6.校園網(wǎng)殺毒軟件網(wǎng)絡(luò)版升級和漏洞掃描系統(tǒng)服務器

為解決病毒橫行問題,在學院網(wǎng)絡(luò)中心架設(shè)了瑞星的殺毒軟件網(wǎng)絡(luò)版,進行殺毒軟件升級和漏洞掃描服務,利用定時升級殺毒等操作,對各辦公室教師用電腦進行漏洞自動升級,減少內(nèi)網(wǎng)發(fā)生攻擊的可能性,提高校園網(wǎng)的運效率。

通過以上設(shè)置,加之防火墻內(nèi)的一些默認設(shè)置,基本上可以建立一套相對完整的網(wǎng)絡(luò)安全系統(tǒng)。不過,網(wǎng)絡(luò)安全是一個系統(tǒng)的工程,不能僅僅依靠防火墻等單個的系統(tǒng),而需要仔細考慮系統(tǒng)的安全需求,但是防火墻不能完全解決網(wǎng)絡(luò)安全的全部問題,如不能防范內(nèi)部攻擊等 ,因此還需要考慮其他技術(shù)的和非技術(shù)的因素 ,信息加密術(shù)、提高網(wǎng)絡(luò)管理人員的安全意識等 ?？傊?防火墻是網(wǎng)絡(luò)安全的第一道重要的安全屏障,如何提高防火墻的防護能力并保證系統(tǒng)的高速高效運行,不斷提高網(wǎng)絡(luò)安全水平。

參考文獻:

[1] 陳升《Cisco 安全PIX防火墻》人民郵電出版社 2002

[2]《思科網(wǎng)絡(luò)技術(shù)學院教程》(第三、四學期)(第二版)實驗手冊, 人民郵電出版社

[3] Wes Noonan Ido Dubrawsky《防火墻基礎(chǔ)》 人民郵電出版社