[摘要] 貴州省地稅廣域網(wǎng)是金稅工程三期網(wǎng)絡(luò)建設(shè)的一個(gè)重要組成部分，是根據(jù)國家稅務(wù)總局金稅工程三期及貴州省地稅省級(jí)大集中業(yè)務(wù)相關(guān)要求，建設(shè)的廣域網(wǎng)。網(wǎng)絡(luò)設(shè)備在運(yùn)行過程中可能會(huì)出現(xiàn)各種各樣的異常狀態(tài)，這些異常狀態(tài)往往會(huì)帶來安全威脅，對(duì)廣域網(wǎng)內(nèi)的數(shù)據(jù)造成破壞，所以目前對(duì)廣域網(wǎng)的管理，要重視對(duì)網(wǎng)絡(luò)設(shè)備安全的管理，目的是構(gòu)建高效、安全、可靠的網(wǎng)絡(luò)運(yùn)行環(huán)境。

[關(guān)鍵詞]貴州省地稅 廣域網(wǎng) 網(wǎng)絡(luò)設(shè)備安全 防范技術(shù)

一、概述

貴州省地稅廣域網(wǎng)是參照國家金稅工程三期網(wǎng)絡(luò)建設(shè)的要求進(jìn)行技術(shù)設(shè)計(jì)部署，目的是為貴州省地稅大集中工程構(gòu)建高效、安全、可靠的網(wǎng)絡(luò)運(yùn)行環(huán)境。

貴州省地稅廣域網(wǎng)采用星樹型、分層結(jié)構(gòu)設(shè)計(jì)，網(wǎng)絡(luò)層次清晰，達(dá)到骨干與接入分離、廣域與局域分離的建設(shè)效果，利于全省大集中的建設(shè)，網(wǎng)絡(luò)擴(kuò)展能力、靈活性強(qiáng)。

貴州省地稅局省局中心節(jié)點(diǎn)部署兩臺(tái)SR8805核心路由器通過千兆互連2臺(tái)高端交換機(jī)S7510E作為局域網(wǎng)核心交換。每臺(tái)核心路由器上提供1個(gè)155M CPOS接口提供對(duì)9個(gè)地市局節(jié)點(diǎn)的4M SDH接入，提供2個(gè)1000M電接口連接2臺(tái)局域網(wǎng)核心交換機(jī)，提供1個(gè)1000M電接口連接到國家總局的接入路由器。

全省9個(gè)地市局節(jié)點(diǎn)各部署1臺(tái)地市匯聚路由器SR6608，1臺(tái)局域網(wǎng)核心交換機(jī)S7503以及1臺(tái)SECPATH F100-E防火墻。路由器上配置1個(gè)155M CPOS接口用于與省局主路由器連接，同時(shí)，作為地市到區(qū)縣的廣域網(wǎng)鏈路接口，另外配置1個(gè)8端口E1接口業(yè)務(wù)板，與省備份路由器的4MSDH鏈路連接。

98個(gè)縣(區(qū))節(jié)點(diǎn)各部署1臺(tái)縣級(jí)路由器MSR50-40/MSR30-40，1臺(tái)S3600交換機(jī)及1臺(tái)SECPATH F100-M防火墻。每臺(tái)路由器上配置1個(gè)2E1接口模塊，用于連接地市的SDH 2M鏈路。

貴州省廣域網(wǎng)絡(luò)相對(duì)獨(dú)立，與國家稅務(wù)總局和貴州省國稅局在省骨干節(jié)點(diǎn)設(shè)備背靠背連接接入。工程設(shè)備網(wǎng)管采用iMC智能網(wǎng)管中心，選用集中網(wǎng)管的方式，建設(shè)有1個(gè)全網(wǎng)網(wǎng)管中心。

二、網(wǎng)絡(luò)的安全分析

1.物理安全風(fēng)險(xiǎn)，網(wǎng)絡(luò)內(nèi)物理安全存在地震、水災(zāi)、電磁干擾、電磁泄密。

2.系統(tǒng)安全風(fēng)險(xiǎn)，網(wǎng)絡(luò)內(nèi)網(wǎng)絡(luò)邊界的安全、應(yīng)用系統(tǒng)的安全、U盤的安全等。

3.數(shù)據(jù)安全風(fēng)險(xiǎn)。

三、網(wǎng)絡(luò)的安全設(shè)計(jì)及防范措施

1.各級(jí)單位訪問控制設(shè)計(jì)

(1) 上級(jí)單位允許訪問下級(jí)單位，即省局允許訪問所有單位，地市局允許訪問下屬的所有區(qū)縣局，但禁止訪問其它地市局及其下屬的區(qū)縣局;

(2) 下級(jí)單位允許訪問直管的上級(jí)單位，即區(qū)縣局允許訪問省局及直管的地市局，但禁止訪問其它地市局;

(3) 平級(jí)單位之間禁止互訪，即不同的地市局之間禁止互訪，不同的區(qū)縣局之間禁止互訪。

2.網(wǎng)絡(luò)設(shè)備安全部署

網(wǎng)絡(luò)中部署有2臺(tái)高性能交換機(jī)組成雙核心、雙歸屬的健壯核心架構(gòu)。采用高端路由交換機(jī)作為核心交換機(jī)，以確保核心網(wǎng)絡(luò)的高可靠性、維護(hù)簡(jiǎn)易性等。同時(shí)在局域網(wǎng)部署VRRP、MSTP等技術(shù)，提高局域網(wǎng)用戶的可靠性，并在核心交換機(jī)上配置SecBlade防火墻插卡，通過SecBlade防火墻模塊對(duì)內(nèi)網(wǎng)各個(gè)VLAN之間的訪問進(jìn)行精細(xì)化的控制。同時(shí)配合交換機(jī)的端口隔離特性，實(shí)現(xiàn)對(duì)同一VLAN內(nèi)終端之間的訪問限制。

SecBlade防火墻模塊是將交換機(jī)的轉(zhuǎn)發(fā)和業(yè)務(wù)的處理有機(jī)融合在一起，使得交換機(jī)在高性能數(shù)據(jù)轉(zhuǎn)發(fā)的同時(shí)，能夠根據(jù)組網(wǎng)的特點(diǎn)處理安全業(yè)務(wù)。

SecBlade 防火墻模塊可以對(duì)需要保護(hù)的區(qū)域進(jìn)行策略定制，可以支持所有報(bào)文的安全檢測(cè)，同時(shí)SecBlade 防火墻模塊支持多安全區(qū)域的設(shè)置，支持Secure VLAN，對(duì)于需要防火墻隔離或保護(hù)的VLAN區(qū)域，用戶可以將Secure VLAN綁縛到其中的一個(gè)SecBlade 防火墻插卡上，這樣可以通過設(shè)置Secure VLAN來對(duì)交換機(jī)內(nèi)網(wǎng)之間(不同VLAN之間)的訪問策略進(jìn)行定制。

在服務(wù)器群前端增加兩臺(tái)高端的IPS主動(dòng)防御系統(tǒng)，串聯(lián)在線部署，主動(dòng)防御，實(shí)時(shí)阻斷攻擊實(shí)現(xiàn)內(nèi)容和應(yīng)用層的攔截;并在關(guān)鍵服務(wù)器前端增加負(fù)載均衡器，保障各種應(yīng)用的負(fù)載分擔(dān)。

網(wǎng)絡(luò)內(nèi)定期進(jìn)行漏洞掃描，限制一般User，不可在內(nèi)部網(wǎng)絡(luò)上進(jìn)行漏洞掃描，使用防火墻，防止外部對(duì)內(nèi)部的掃描，進(jìn)行網(wǎng)絡(luò)內(nèi)流量監(jiān)控，進(jìn)行網(wǎng)絡(luò)內(nèi)連接監(jiān)控，使用IDS，防止來自內(nèi)部的攻擊，定期檢查系統(tǒng)Log。

3.網(wǎng)絡(luò)設(shè)備分級(jí)管理

(1) 省局技術(shù)員對(duì)各地網(wǎng)絡(luò)設(shè)備具有配置管理權(quán)限，地市局技術(shù)員對(duì)本局網(wǎng)絡(luò)設(shè)備及下屬區(qū)縣網(wǎng)絡(luò)設(shè)備具有配置管理權(quán)限，區(qū)縣局技術(shù)員對(duì)本局網(wǎng)絡(luò)設(shè)備只具有查看設(shè)備運(yùn)行信息的權(quán)限。

(2) 通過控制端口“Console”登錄設(shè)備，設(shè)置登錄口令。也可采用“AUX”端口進(jìn)行遠(yuǎn)程配置，為提高安全可將AUX端口關(guān)閉。

(3) 對(duì)通過TELNET遠(yuǎn)程登錄設(shè)備，設(shè)置登錄用戶及口令，并分級(jí)進(jìn)行權(quán)限管理。TELNET登錄后，只具有查看權(quán)限(1級(jí)權(quán)限)，要取得配置管理權(quán)限，需進(jìn)一步輸入super命令，并進(jìn)行密碼驗(yàn)證。

(4)口令長(zhǎng)度至少為6位，且為字母、數(shù)字及特殊字符的組合。

4.SNMP訪問控制

(1) 對(duì)于網(wǎng)絡(luò)設(shè)備的管理，為保證其安全性，貴州省中心的網(wǎng)管服務(wù)囂可以管理全網(wǎng)的網(wǎng)絡(luò)設(shè)備，而地州內(nèi)的網(wǎng)管服務(wù)器只能管理本地州內(nèi)的網(wǎng)絡(luò)設(shè)備，不能管理其它地州的網(wǎng)絡(luò)設(shè)備，通過在網(wǎng)絡(luò)設(shè)備上配置相應(yīng)的ACL規(guī)則來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的管理。

(2) 分別配置讀團(tuán)體字及讀寫團(tuán)體字，并刪除缺省的團(tuán)體字，限制對(duì)設(shè)備的SNMP訪問。

(3) SNMP采用團(tuán)體字認(rèn)證，與設(shè)備認(rèn)可的團(tuán)體字不符的SNMP報(bào)文將被丟棄。SNMP團(tuán)體(Community)由一字符串來命名，稱為團(tuán)體字(Community Name)。不同的團(tuán)體可具有只讀(read-only)或讀寫(read-write)訪問模式。具有只讀權(quán)限的團(tuán)體只能對(duì)設(shè)備信息進(jìn)行查詢，而具有讀寫權(quán)限的團(tuán)體才可以對(duì)設(shè)備進(jìn)行配置。團(tuán)體字符串有“public”對(duì)路由器資源只讀權(quán)限，團(tuán)體字符串“private”對(duì)路由器資源可讀寫權(quán)限。

(4)參考配置

snmp-agent //開啟SNMP功能

snmp-agent community read gzds-public acl 2000//配置讀團(tuán)體字符，同時(shí)引用2000的ACL

snmp-agent community write gzds-private acl 2000 //配置寫團(tuán)體字符，同時(shí)引用2000的ACL

snmp-agent sys-info version all//配置支持所有的SNMP版本

acl number 2000//創(chuàng)建編號(hào)為2000的訪問控制列表(用于能進(jìn)行SNMP網(wǎng)管的網(wǎng)段)

rule 0 permit source 153.16.0.0 0.0.255.255//允許省局的網(wǎng)段通過，即省局的網(wǎng)段能對(duì)本設(shè)備進(jìn)行SNMP網(wǎng)管

rule 1 permit source 153.28.0.0 0.0.15.255 //允許市局的網(wǎng)段通過，即市局網(wǎng)段能對(duì)本設(shè)備進(jìn)行SNMP網(wǎng)管

rule 2 deny//除省局和市局網(wǎng)段外其他網(wǎng)段禁止通過

5.網(wǎng)絡(luò)病毒防范技術(shù)

(1)路由器和三層交換機(jī)的功能是保持網(wǎng)絡(luò)的連通性，盡自己最大能力轉(zhuǎn)發(fā)數(shù)據(jù)包。網(wǎng)絡(luò)病毒發(fā)送的大量垃圾報(bào)文，路由器是并不能識(shí)別的。需要我們手工配置ACL，比如最近流行的沖擊波病毒，通過配置，路由器和交換機(jī)可以部分阻止這些垃圾報(bào)文。以上只是輔助措施，根本解決辦法是查殺PC的病毒，盡快安裝微軟操作系統(tǒng)的補(bǔ)丁，升級(jí)殺毒工具的病毒庫，提高安全意識(shí)。

(2)為了設(shè)備安全，設(shè)備統(tǒng)一采用QUIDVIEW管理，關(guān)閉設(shè)備WEB管理。

(3)常見防病毒ACL，包含常見的病毒端口，新發(fā)現(xiàn)的病毒，還需要手工添加對(duì)應(yīng)的端口號(hào)，如:3127、1025、5554、9996、1068、135、137、138、139、593、4444、5800、5900、8998、445、1434等。配置好以后在相關(guān)的端口下發(fā)即可。

(4)網(wǎng)絡(luò)內(nèi)病毒、黑客攻擊等難以防范和管理的問題采用網(wǎng)絡(luò)管理功能的網(wǎng)絡(luò)版殺毒軟件。使用集中式管理、分布式殺毒:集中式管理可以策略為中心，以邏輯上的策略進(jìn)行殺毒策略的部署，這種方式可以脫離網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，部署較靈活;也可以服務(wù)器為中心，進(jìn)行網(wǎng)絡(luò)殺毒管理，這種方式與網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)融合，管理最方便。選擇的網(wǎng)絡(luò)版殺毒軟件要注意與防火墻、入侵檢測(cè)、安全掃描、SNMP網(wǎng)絡(luò)管理相融合。

6.網(wǎng)絡(luò)主機(jī)防范措施

(1) 定期進(jìn)行漏洞掃描，提高警惕，避免End-User端的攻擊。

(2) Integrity Check (ex. Tripwire、MD5Sum)，密碼不要太簡(jiǎn)單，關(guān)閉文件共享，不要使用系統(tǒng)默認(rèn)值。

(3) 確認(rèn)每一個(gè)在執(zhí)行的Service用途，確認(rèn)每一個(gè)在執(zhí)行的Process用途，確認(rèn)每一個(gè)監(jiān)聽端口的用途，以及建立連接程序的用途。(netstat、fport、TCPView)

(3) 操作系統(tǒng)勤打補(bǔ)丁，確認(rèn)安裝最新的Service Pack及補(bǔ)丁程序?，F(xiàn)在許多病毒、木馬就是利用了Windows操作系統(tǒng)的漏洞進(jìn)行傳播了，而微軟也會(huì)不定期發(fā)布相應(yīng)的補(bǔ)丁程序要進(jìn)行補(bǔ)救，要做到勤打補(bǔ)丁，就不會(huì)造成病毒形成蔓延之勢(shì)。

(5) 下載軟件及驅(qū)動(dòng)程序應(yīng)該到官方網(wǎng)站或是知名大網(wǎng)站下載，不到一些陌生或是不知名的網(wǎng)站下載，并且最好下載官方版本，不隨意使用第三方修改過的版本。

(6)安裝軟件之前最好先進(jìn)行病毒掃描，另外在安裝過程中將每一個(gè)步驟都看仔細(xì)，不能隨意地一路“Enter”下去。定期更新防病毒軟件規(guī)則。

四、小結(jié)

貴州省地稅廣域網(wǎng)的安全因受到各種因素的影響，安全事件的出現(xiàn)是非常頻繁的，通過上面的介紹是希望在現(xiàn)階段構(gòu)建一個(gè)相對(duì)安全的網(wǎng)絡(luò)環(huán)境，做到百分之百的安全是很困難的，提高整個(gè)廣域網(wǎng)的安全防范總是增加了系統(tǒng)管理的復(fù)雜性和成本，所以只有提高安全意識(shí)、規(guī)范管理制度才能做到真正的安全。

參考文獻(xiàn):

[1]顧巧論，高鐵杠，賈春福等:《計(jì)算機(jī)網(wǎng)絡(luò)安全》，北京:清華大學(xué)出版社，2006. 1

[2]肖遙:《網(wǎng)絡(luò)滲透攻擊與安防修煉》，北京:電子工業(yè)出版社，2009. 4