石曉東

SHI Xiao-dong

（平頂山學(xué)院 圖書(shū)館，平頂山 467000）

基于ROS的高校圖書(shū)館服務(wù)器網(wǎng)絡(luò)安全策略研究

Security policy researches of the university library’s network based by ROS

石曉東

SHI Xiao-dong

（平頂山學(xué)院 圖書(shū)館，平頂山 467000）

本文以平頂山學(xué)院圖書(shū)館為例，研究了如何利用基于Router OS的端口映射和防火墻策略以保障圖書(shū)館服務(wù)器的網(wǎng)絡(luò)安全。實(shí)踐表明，該策略不但可以節(jié)約安全成本，而且可以有效的屏蔽對(duì)服務(wù)器的惡意攻擊，保障服務(wù)器數(shù)據(jù)的安全，彌補(bǔ)了VPN技術(shù)的不足。

Router OS; 網(wǎng)絡(luò)安全; 端口映射; 防火墻

0 引言

網(wǎng)絡(luò)安全問(wèn)題素來(lái)是高校圖書(shū)館的重中之重，為了解決這一問(wèn)題，一些有實(shí)力的高校圖書(shū)館不得不投入大量的資金，購(gòu)置了昂貴的硬件防火墻以及熱備份系統(tǒng)等，以保證系統(tǒng)在遭到網(wǎng)絡(luò)攻擊后能最大限度的保證數(shù)據(jù)的安全并及時(shí)恢復(fù)正常工作。但是對(duì)于許多的普通的本專(zhuān)科院校而言，并沒(méi)有如此充足的財(cái)力購(gòu)買(mǎi)這些設(shè)備，如何花最少的錢(qián)，最大限度的保證圖書(shū)館服務(wù)器的安全呢？本文以平頂山學(xué)院圖書(shū)館為例，研究了如何利用ROS的端口映射和防火墻策略來(lái)保護(hù)圖書(shū)館的網(wǎng)絡(luò)安全。

1 Router OS系統(tǒng)簡(jiǎn)介

1.1 什么是RouterOS

RouterOS全稱(chēng)為MikroTik RouterOS，是一種軟路由系統(tǒng)，并通過(guò)該軟件將標(biāo)準(zhǔn)的PC電腦變成專(zhuān)用的路由器，特別在無(wú)線、認(rèn)證、策略路由、帶寬控制和防火墻過(guò)濾等功能上有著非常突出的功能[1]。與其他體積龐大的路由系統(tǒng)來(lái)說(shuō)，RouterOS不但在功能上毫不遜色，而且還具有體積小巧（整個(gè)系統(tǒng)不過(guò)20兆），資源占用率極低，即使在奔騰III的計(jì)算機(jī)上也可以游刃有余的順利運(yùn)行。同硬路由系統(tǒng)相比，RouterOS具有運(yùn)行配置需求低、投資低廉、擴(kuò)展靈活等優(yōu)點(diǎn)。

1.2 Router OS的優(yōu)點(diǎn)

1）基于linux微內(nèi)核，具有較高的安全性；

2）體積小巧，安裝后只有20多兆；

3）占用資源率低，即使586級(jí)別的普通主機(jī)，也可以快速運(yùn)行；

4）功能豐富，支持多網(wǎng)卡橋接，軟件路由以及強(qiáng)大的防火墻策略等多項(xiàng)功能；

2 平頂山學(xué)院圖書(shū)館網(wǎng)絡(luò)安全策略簡(jiǎn)介

在網(wǎng)絡(luò)安全上，平頂山學(xué)院圖書(shū)館最初采用的是基于VPN的安全策略：這個(gè)策略需要開(kāi)啟Router OS的PPTP服務(wù)、配置VPN服務(wù)器并為每臺(tái)桌面客戶(hù)端設(shè)置VPN登陸密碼，在使用過(guò)程中，該方案較好的保證了圖書(shū)館數(shù)據(jù)庫(kù)服務(wù)器的安全，但是也發(fā)現(xiàn)了一些不足之處。

2.1 維護(hù)不便

首先，客戶(hù)端維護(hù)不方便。為了允許圖書(shū)館的幾十臺(tái)工作機(jī)訪問(wèn)服務(wù)器，需要為每一臺(tái)機(jī)器配置VPN的登錄賬戶(hù)和密碼，而且考慮到安全因素，這些賬戶(hù)和密碼都要不定期的修改，無(wú)疑增加了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)。

其次，服務(wù)器數(shù)據(jù)備份不便，在實(shí)踐中，筆者發(fā)現(xiàn)VPN方式，無(wú)法實(shí)現(xiàn)遠(yuǎn)程鏡像備份機(jī)正常執(zhí)行備份任務(wù)。

2.2 多臺(tái)服務(wù)器的配置策略復(fù)雜，且不便于訪問(wèn)

平頂山學(xué)院圖書(shū)館有兩臺(tái)服務(wù)器，一臺(tái)是辦公自動(dòng)化系統(tǒng)的數(shù)據(jù)庫(kù)服務(wù)器，一臺(tái)為圖書(shū)館的WEB服務(wù)器。WEB服務(wù)器不但擔(dān)負(fù)著圖書(shū)館網(wǎng)絡(luò)服務(wù)窗口的任務(wù)，還運(yùn)行著圖書(shū)館的WEB Office軟件，同時(shí)還是數(shù)據(jù)庫(kù)服務(wù)器的備份服務(wù)器。如何使WEB Office服務(wù)和數(shù)據(jù)備份任務(wù)只對(duì)圖書(shū)館的員工開(kāi)放，如何使數(shù)據(jù)備份任務(wù)只對(duì)備份服務(wù)器開(kāi)放，如何防止外網(wǎng)IP訪問(wèn)內(nèi)部服務(wù)，配置起來(lái)是很棘手的問(wèn)題，而且，每增加一臺(tái)服務(wù)器，都要修改相關(guān)的很多配置項(xiàng)目，管理起來(lái)十分麻煩。

2.3 安全性存在瑕疵

再?gòu)?fù)雜的服務(wù)器設(shè)置，有時(shí)候也會(huì)有疏漏。尤其是在網(wǎng)絡(luò)環(huán)境下，工作機(jī)眾多，任何一臺(tái)工作機(jī)如果在安全上存在問(wèn)題，都會(huì)成為木桶效應(yīng)中的那塊短板。在圖書(shū)館，很多員工的計(jì)算機(jī)安全意識(shí)薄弱，因此客戶(hù)端計(jì)算機(jī)被注入木馬病毒的情況并不鮮見(jiàn)。此時(shí)，VPN登錄的密碼就會(huì)變得形同虛設(shè)，木馬病毒不但可以獲悉VPN密碼，而且還可以利用VPN網(wǎng)絡(luò)連接，直接非法訪問(wèn)圖書(shū)館的服務(wù)器資源，其嚴(yán)重性可想而知。

3 基于ROS的網(wǎng)絡(luò)安全策略的配置

3.1 平頂山學(xué)院圖書(shū)館的網(wǎng)絡(luò)拓?fù)?/h3>

平頂山學(xué)院分為東西兩個(gè)校區(qū)，因此圖書(shū)館也被分割為東西兩個(gè)分部，中心機(jī)房設(shè)備位于東校區(qū)圖書(shū)館，西校區(qū)的工作站通過(guò)校園網(wǎng)連接圖書(shū)館的中心交換機(jī)，進(jìn)而實(shí)現(xiàn)與圖書(shū)館局域網(wǎng)的互聯(lián)互通。具體網(wǎng)絡(luò)拓?fù)鋱D見(jiàn)圖1.

雖然客戶(hù)端和服務(wù)器在物理上存在著實(shí)連接，但是客戶(hù)端并不能直接訪問(wèn)圖書(shū)館的數(shù)據(jù)庫(kù)服務(wù)器和WEB服務(wù)器，客戶(hù)端只允許訪問(wèn)圖書(shū)館的網(wǎng)關(guān)服務(wù)器，然后數(shù)據(jù)的雙向傳輸有網(wǎng)關(guān)服務(wù)器完成，具體而言，就是用到了端口映射技術(shù)。

圖1 平頂山學(xué)院圖書(shū)館網(wǎng)絡(luò)拓?fù)鋱D

3.2 端口映射技術(shù)簡(jiǎn)介

端口映射是將一臺(tái)主機(jī)IP地址的某個(gè)端口映射到另外一個(gè)IP地址的某個(gè)端口上，當(dāng)用戶(hù)訪問(wèn)提供映射端口的主機(jī)的該端口時(shí)，服務(wù)器自動(dòng)將請(qǐng)求轉(zhuǎn)到提供這種特定服務(wù)的主機(jī)。端口映射可以讓內(nèi)部網(wǎng)絡(luò)中某臺(tái)機(jī)器對(duì)外部提供服務(wù)，而不是將真實(shí)IP地址直接轉(zhuǎn)到內(nèi)部提供服務(wù)的主機(jī)。將真實(shí)IP地址直接轉(zhuǎn)到內(nèi)部提供服務(wù)的主機(jī)有兩個(gè)弊端：一是外部網(wǎng)絡(luò)可以通過(guò)地址轉(zhuǎn)換功能訪問(wèn)到這臺(tái)機(jī)器，內(nèi)部機(jī)器不安全；二是當(dāng)有多臺(tái)機(jī)器需要提供這種服務(wù)時(shí)，必須有同樣多的IP地址進(jìn)行轉(zhuǎn)換，達(dá)不到節(jié)省IP地址的目的[2]。

利用端口映射功能還可以將一臺(tái)真IP地址機(jī)器的多個(gè)端口映射成內(nèi)部不同機(jī)器上的不同端口.端口映射功能還可以完成一些特定代理功能，如代理POP，SMTP，TELNET等協(xié)議。

3.3 給予端口映射和防火墻的安全配置示例

3.3.1 端口映射的配置

采用端口映射的目的就是為了在能正常提供網(wǎng)絡(luò)服務(wù)的情況下隱藏內(nèi)部的網(wǎng)絡(luò)服務(wù)器，從而達(dá)到一定的網(wǎng)絡(luò)安全效果。因此，對(duì)端口映射的配置其實(shí)就是對(duì)圖1中網(wǎng)關(guān)服務(wù)器的配置。

如拓?fù)鋱D1所示，網(wǎng)關(guān)服務(wù)器是一個(gè)具備雙網(wǎng)卡和雙獨(dú)立IP的普通PC機(jī)（RouterOS具有低配置要求的優(yōu)點(diǎn)），內(nèi)網(wǎng)接口IP連接到圖書(shū)館局域網(wǎng)交換機(jī)上，負(fù)責(zé)和局域網(wǎng)的服務(wù)器通信。外網(wǎng)接口IP則負(fù)責(zé)接收各個(gè)工作站或客戶(hù)端對(duì)主機(jī)的訪問(wèn)請(qǐng)求，并把數(shù)據(jù)轉(zhuǎn)發(fā)給內(nèi)網(wǎng)的相應(yīng)服務(wù)器主機(jī)。為了實(shí)現(xiàn)這個(gè)功能，我們首先要設(shè)置路由,將針對(duì)內(nèi)網(wǎng)的數(shù)據(jù)訪問(wèn)包轉(zhuǎn)發(fā)給內(nèi)網(wǎng)的IP接口。（以我館的服務(wù)器內(nèi)網(wǎng)IP為10.10.0.1，外網(wǎng)IP為211.69.*.*，要映射的服務(wù)為10.10.0.3服務(wù)器的WEB服務(wù)為例）。方法如下：

登錄ROS（RouterOS）客戶(hù)端工具Winbox，選擇IP->Routers，在出現(xiàn)的路由表中點(diǎn)選+號(hào)增加一條路由，設(shè)置Destination為內(nèi)網(wǎng)的網(wǎng)絡(luò)段，Pref.Source為服務(wù)器的內(nèi)網(wǎng)IP，接口為內(nèi)網(wǎng)網(wǎng)卡名即可，如圖2所示。

然后增加一條端口映射，打開(kāi)Winbox的終端窗口，輸入端口映射命令：

add chain=dstnat dst-address=211.69.*.* protocol=tcp dst-port=80 action=dst-nat to-addresses=10.10.0.3 toports=80comment=”” disabled=no

完成后，對(duì)211.69.*.*主機(jī)80端口的訪問(wèn)，就會(huì)被主機(jī)映射為對(duì)10.10.0.2主機(jī)80端口的訪問(wèn)。以上映射也可以在Windox中以窗口交互的方式添加，方法為：點(diǎn)選IP->Firewall->添加NAT，Chain設(shè)置為dstnat，Dst.Address設(shè)置為211.69.*.*；protocol設(shè)置為6(tcp),Dst.Port設(shè)置為80，Action選項(xiàng)卡的Action設(shè)置為Dstnat，To Address設(shè)置為10.10.0.3，to ports設(shè)置為80。到此配置完成[3]。

圖2 內(nèi)網(wǎng)路由設(shè)置

其他服務(wù)器服務(wù)端口的映射方法相同，本文略。

3.3.2 防火墻的配置

防火墻的配置較為復(fù)雜，盡管Router具備強(qiáng)大的防火墻功能，但是鑒于筆者對(duì)軟件的運(yùn)用水平等因素，筆者只采用了以下策略：

1）IP過(guò)濾策略

本策略主要限制非法IP對(duì)指定端口的訪問(wèn)，比如非圖書(shū)館工作站IP不得訪問(wèn)網(wǎng)關(guān)服務(wù)器的1433端口（此端口通常為SQL server數(shù)據(jù)庫(kù)服務(wù)器的服務(wù)端口）。這條規(guī)則的設(shè)置并不難，只需要管理員掌握本單位的IP分布段即可。

2）ARP綁定策略

設(shè)置這條規(guī)則的目的是為了防范內(nèi)部網(wǎng)絡(luò)的ARP攻擊，以免內(nèi)部網(wǎng)絡(luò)某臺(tái)計(jì)算機(jī)在受到ARP病毒感染后冒充網(wǎng)關(guān)服務(wù)器，引起網(wǎng)絡(luò)故障。關(guān)于ARP綁定的設(shè)置，限于篇幅和本文的討論重點(diǎn)，此處不予討論，讀者可以參考網(wǎng)上的相關(guān)資料。

4 結(jié)論

實(shí)踐中，筆者發(fā)現(xiàn)機(jī)遇端口映射和防火墻機(jī)制的網(wǎng)絡(luò)，除具有較高的安全性外，在維護(hù)上也方便不少。以上為平頂山學(xué)院圖書(shū)館的網(wǎng)絡(luò)安全策略，限于筆者個(gè)人水平，其中難免有不足之處，在此拋磚引玉，希望得到各位專(zhuān)家斧正。

[1] MikroTik RouterOS介紹[EB/OL]. (2007-09-04)[2009-07-15]. http： //www.mikrotik. com. cn/.

[2] 傅豐,徐洪章.端口映射的分析與應(yīng)用.2006.

[3] winbox端口映射[EB/OL].(2008-06-10)[2009-08-21].http：//hi.baidu.com/bluefire_h/blog/item/710fcb19544305bc4ae dbc3e.html.

TP393

B

1009-0134(2010)09-0212-03

10.3969/j.issn.1009-0134.2010.09.65

2010-05-15

石曉東（1971 -），女，河南平頂山人，中級(jí)館員，本科，研究方向?yàn)閿?shù)字圖書(shū)館。