文/王偉林 王迪

如何保證校園公共機(jī)房的網(wǎng)絡(luò)安全

文/王偉林 王迪

校園公共機(jī)房為師生提供了教學(xué)和應(yīng)用平臺(tái)，是教師和學(xué)生集中學(xué)習(xí)和應(yīng)用信息技術(shù)的關(guān)鍵場(chǎng)所，公共機(jī)房在提供上網(wǎng)的同時(shí)，也遇到網(wǎng)絡(luò)安全威脅。學(xué)生的公共機(jī)房應(yīng)用分為三種類型：單機(jī)應(yīng)用，即與其他電腦之間無數(shù)據(jù)傳輸；機(jī)房內(nèi)部電腦聯(lián)網(wǎng)應(yīng)用，電腦之間可以相互傳輸數(shù)據(jù)；機(jī)房內(nèi)網(wǎng)與外部網(wǎng)絡(luò)相連并有數(shù)據(jù)傳輸。第一類應(yīng)用不涉及網(wǎng)絡(luò)安全威脅，第二與第三類應(yīng)用由于與其他電腦和網(wǎng)絡(luò)傳輸數(shù)據(jù)，在傳輸正常數(shù)據(jù)的同時(shí)，也存在病毒、木馬等程序代碼的傳播，甚至成為惡意攻擊、網(wǎng)絡(luò)竊聽行為的有效途徑，影響機(jī)房電腦的正常應(yīng)用，構(gòu)成校園公共機(jī)房安全威脅。

機(jī)房建設(shè)和維護(hù)者通常需要考慮比較多的是機(jī)房應(yīng)用需求，而忽視了網(wǎng)絡(luò)安全，采取網(wǎng)絡(luò)硬件隔離、電腦安裝還原卡等單項(xiàng)措施，缺乏規(guī)范性、廣泛適用性的校園公共機(jī)房網(wǎng)絡(luò)安全體系。

網(wǎng)絡(luò)安全方案

南京信息職業(yè)技術(shù)學(xué)院軟件學(xué)院有公共機(jī)房16個(gè)，約900臺(tái)機(jī)器。其中201、202機(jī)房各105臺(tái)，其它每個(gè)機(jī)房約50臺(tái)機(jī)器。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

位于軟件學(xué)院的銳捷三層交換機(jī)S6806E、校園網(wǎng)核心交換機(jī)S6810E、城市熱點(diǎn)認(rèn)證計(jì)費(fèi)系統(tǒng)、防火墻為骨干網(wǎng)絡(luò)；每個(gè)公共機(jī)房使用一臺(tái)H3C E328作為二層交換機(jī)，通過多模光纖與軟件學(xué)院三層交換機(jī)S6806E連接。機(jī)房內(nèi)部使用一臺(tái)E328交換機(jī)和一臺(tái)TPlink交換機(jī)連接電腦，E328交換機(jī)（24端口）與TPlink交換機(jī)之間使用雙絞線級(jí)聯(lián)。E328為可配置型交換機(jī)， TPlink為不可配置型交換機(jī)。

安全需求分析

網(wǎng)絡(luò)物理連接管理規(guī)范化

公共機(jī)房使用率高，交換機(jī)端口易老化；另外，人為意外造成電腦網(wǎng)線接口松動(dòng)，經(jīng)常導(dǎo)致網(wǎng)絡(luò)物理連接故障。每個(gè)機(jī)房計(jì)算機(jī)不多，機(jī)房使用配線箱，不使用配線架，直接將連接電腦的網(wǎng)線連接交換機(jī)。由于沒有跳線表等規(guī)范文檔，一旦發(fā)生物理連接故障，機(jī)房維護(hù)人員往往需要花費(fèi)較長時(shí)間用于物理線路排錯(cuò)。

控制學(xué)生上網(wǎng)行為

目前，公共機(jī)房用于不同學(xué)科的教學(xué)工作。一般情況下，教師的課件、有關(guān)學(xué)習(xí)資料存放在軟件學(xué)院的服務(wù)器上，學(xué)生只需訪問軟件學(xué)院服務(wù)器即可，通常不需要訪問Internet，所以需要制定機(jī)房學(xué)生上網(wǎng)控制策略，控制學(xué)生的上網(wǎng)行為。

防病毒傳播

公共機(jī)房易染病毒，大量病毒通過機(jī)房在校園網(wǎng)迅速傳播，預(yù)防和清除計(jì)算機(jī)病毒使機(jī)房管理者費(fèi)時(shí)耗力。目前公共機(jī)房病毒傳播主要通過文件拷貝、文件傳送、下載等方式進(jìn)行，U盤和網(wǎng)絡(luò)傳播成為機(jī)房病毒擴(kuò)散的主要途徑。需要控制病毒在公共機(jī)房內(nèi)部傳播，保障機(jī)房計(jì)算機(jī)穩(wěn)定運(yùn)行。

會(huì)話與流量資源的控制

公共機(jī)房不僅承擔(dān)教學(xué)任務(wù)，還提供學(xué)生自主上網(wǎng)，查詢資料的服務(wù)。學(xué)生經(jīng)常利用BT、電驢、迅雷等P2P軟件下載文件，這些軟件在下載任務(wù)的同時(shí)也在上傳信息，而且是多任務(wù)、多線程。此外，計(jì)算機(jī)感染木馬及病毒，會(huì)向外網(wǎng)產(chǎn)生大量連接會(huì)話，消耗校園網(wǎng)出口帶寬和并發(fā)連接會(huì)話資源，造成網(wǎng)絡(luò)出口擁堵。需要研究并設(shè)計(jì)控制網(wǎng)絡(luò)流量和會(huì)話資源的方案，保障校園網(wǎng)出口數(shù)據(jù)傳輸暢通。

追蹤機(jī)房用戶上網(wǎng)行為

公共機(jī)房計(jì)算機(jī)用戶不固定，用戶上網(wǎng)操作信息難以跟蹤和定位。為追蹤機(jī)房用戶使用公共機(jī)房計(jì)算機(jī)在網(wǎng)上發(fā)表違法言論，需要制定追蹤用戶上網(wǎng)行為的安全策略。

機(jī)房網(wǎng)絡(luò)安全策略

將連接電腦與交換機(jī)的網(wǎng)線兩端做標(biāo)記，使電腦與交換機(jī)端口對(duì)應(yīng)，如圖2所示。一旦某臺(tái)電腦發(fā)生物理連接故障，根據(jù)對(duì)應(yīng)表可以直接找到接入交換機(jī)的線纜及端口。經(jīng)此規(guī)范化管理，可以減少機(jī)房維護(hù)工作量，提高網(wǎng)絡(luò)連接故障維護(hù)工作效率。

機(jī)房用戶上網(wǎng)控制策略

遠(yuǎn)程管理交換機(jī)

由于機(jī)房數(shù)目較多，為便于對(duì)各公共機(jī)房上網(wǎng)控制，需要確定管理員能遠(yuǎn)程登錄機(jī)房二層交換機(jī)，對(duì)交換機(jī)配置管理。用Vlan 100作為交換機(jī)管理Vlan，為方便管理員記憶，使用與房間號(hào)對(duì)應(yīng)的交換機(jī)管理地址，表1所示為部分示例。

表1 機(jī)房交換機(jī)管理IP地址分配

交換機(jī)可以通過Telnet、Web和SSH登陸方式進(jìn)行遠(yuǎn)程管理。

公共機(jī)房二層交換機(jī)E328啟用SSH遠(yuǎn)程登陸方式的配置過程（以314機(jī)房的交換機(jī)為例）：

設(shè)置用戶登錄認(rèn)證方式

管理員完成以上配置，就可以在與交換機(jī)連接的終端上，運(yùn)行支持SSH2.0 的客戶端軟件（SecureCRT），以用戶名admin和設(shè)置的密碼登陸，遠(yuǎn)程管理交換機(jī)。

管理機(jī)房上網(wǎng)行為

公共機(jī)房的IP地址段為：172.18.0.0/16。軟件學(xué)院的服務(wù)器IP地址屬于222.192.238.0/24地址段內(nèi)，用于師生上傳和下載學(xué)習(xí)資料。公共機(jī)房用戶上網(wǎng)策略為：默認(rèn)機(jī)房用戶可以連接Internet，如果中斷連接Internet，則機(jī)房用戶只能訪問軟件學(xué)院服務(wù)器。

在二層交換機(jī)上，使用ACL訪問控制列表，對(duì)機(jī)房用戶上網(wǎng)控制。交換機(jī)配置如下：

如果機(jī)房用戶需要訪問Internet，不需要使用該ACL。如果只允許該機(jī)房用戶訪問軟件學(xué)院的服務(wù)器，禁止訪問其他網(wǎng)絡(luò)，在E328交換機(jī)級(jí)連光纖端口（GigabitEthernet1/1/1）上，應(yīng)用定義的ACL訪問策略，方向?yàn)閛utbound。配置如下：

防病毒策略

劃分VLAN縮小病毒廣播域

計(jì)算機(jī)病毒一般會(huì)通過在內(nèi)網(wǎng)廣播的方式進(jìn)行傳播。通過對(duì)軟件學(xué)院公共機(jī)房機(jī)器的IP地址段（172.18.0.0/16）做進(jìn)一步的子網(wǎng)劃分，設(shè)計(jì)每個(gè)機(jī)房使用一個(gè)24位掩碼的地址段，如表2所示，為方便物理連接維護(hù)，記錄每個(gè)機(jī)房

表2 機(jī)房VLAN劃分示例

二層交換機(jī)所連接的科技樓三層交換機(jī)的光纖端口。這樣通過廣播方式傳播的病毒只會(huì)在Vlan內(nèi)部，即機(jī)房內(nèi)部傳播，大大降低了病毒感染其他機(jī)房機(jī)器的可能性。過濾病毒傳播使用的端口

通過在機(jī)房二層交換機(jī)E328上應(yīng)用ACL，過濾病毒傳播所使用的端口，這些端口主要有：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后門端口（如 TCP 2745、3127、6129 端口），以及遠(yuǎn)程服務(wù)訪問端口3389。

公共機(jī)房ARP病毒防范

在機(jī)房主機(jī)上安裝360安全衛(wèi)士，開啟360安全衛(wèi)士ARP防火墻功能，將網(wǎng)關(guān)的IP與MAC地址進(jìn)行手動(dòng)綁定，選擇“手動(dòng)指定網(wǎng)關(guān)/DNS”，在“ARP主動(dòng)防御”中選擇“始終啟用”。

防止用戶U盤病毒的傳播

關(guān)閉U盤（包括其他設(shè)備）自動(dòng)播放的功能。電腦設(shè)置成自動(dòng)播放功能，但是自動(dòng)播放還是有缺點(diǎn)的，有些病毒藏在U盤里會(huì)通過自動(dòng)播放運(yùn)行使電腦中毒。關(guān)閉“自動(dòng)播放”的方法：選擇“開始”—“運(yùn)行”—輸入gpedit.msc，在“用戶配置”—“管理模板”—“系統(tǒng)”選擇“關(guān)閉自動(dòng)播放”，然后選擇“已啟用”，點(diǎn)擊“確定”。

開啟360殺毒軟件自動(dòng)掃描U盤功能。確保360安全衛(wèi)士“實(shí)時(shí)防護(hù)”—“U盤防火墻”功能處于“開啟”狀態(tài)。

使用系統(tǒng)還原卡保護(hù)主機(jī)系統(tǒng)

還原卡的基本工作原理：把硬盤（或網(wǎng)絡(luò)上另一部電腦）的其中一部分分割出來，用以備份硬盤的重要資料（例：操作系統(tǒng)、應(yīng)用程序等），以便隨時(shí)可以還原。還原卡不會(huì)對(duì)硬盤資料進(jìn)行備份，只是記錄硬盤的讀寫操作。當(dāng)用戶設(shè)定還原點(diǎn)以后，不管在操作系統(tǒng)上安裝上新的程序還是刪除文件，都記錄在還原點(diǎn)之外，不會(huì)影響原有的硬盤資料，當(dāng)需要還原時(shí)，還原卡根據(jù)記錄，把還原點(diǎn)內(nèi)的資料恢復(fù)，并刪除還原點(diǎn)以外的資料。

會(huì)話控制與帶寬管理策略

會(huì)話數(shù)控制

使用校園網(wǎng)出口防火墻，通過單用戶會(huì)話和流量控制功能進(jìn)行相關(guān)管理。通過應(yīng)用防火墻設(shè)置新建連接閥值，可以對(duì)網(wǎng)絡(luò)中每個(gè)用戶會(huì)話連接數(shù)進(jìn)行控制，當(dāng)閥值被觸動(dòng)后，動(dòng)態(tài)地將非法用戶添加到黑名單，直接將非法用戶連接阻斷，并且可以靈活的設(shè)置控制黑名單的有效時(shí)間。通過單用戶會(huì)話數(shù)限制，可以做到：當(dāng)校園網(wǎng)內(nèi)機(jī)器病毒爆發(fā)時(shí)，阻止大量數(shù)據(jù)包對(duì)外建立連接，耗費(fèi)網(wǎng)絡(luò)資源；阻止黑客對(duì)網(wǎng)絡(luò)的掃描；阻止黑客進(jìn)行DDOS攻擊。

帶寬管理

目前很多學(xué)校都使用城市熱點(diǎn)認(rèn)證計(jì)費(fèi)管理系統(tǒng)，為減輕防火墻負(fù)擔(dān)，運(yùn)用城市熱點(diǎn)認(rèn)證計(jì)費(fèi)系統(tǒng)的帶寬管理功能。在管理工具“計(jì)費(fèi)策略”—“服務(wù)策略設(shè)置”定義科技樓公共機(jī)房單用戶下行帶寬與上行帶寬的數(shù)值。

上網(wǎng)行為記錄管理

通常，學(xué)校會(huì)使用城市熱點(diǎn)認(rèn)證計(jì)費(fèi)系統(tǒng)中的“專線”方式讓公共機(jī)房用戶不需要登錄即可免費(fèi)上網(wǎng)，這樣雖然達(dá)到免費(fèi)上網(wǎng)目的，但是在上網(wǎng)日志中只能根據(jù)IP地址記錄登錄和上網(wǎng)情況，由于IP地址可以更改，所以這種方法不能實(shí)現(xiàn)實(shí)名制上網(wǎng)需求。

為了使公共機(jī)房用戶也需要采用實(shí)名制上網(wǎng)，使用城市熱點(diǎn)認(rèn)證計(jì)費(fèi)系統(tǒng)對(duì)機(jī)房用戶不采取“專線”上網(wǎng)方式，仍然需要用戶進(jìn)行上網(wǎng)認(rèn)證。使用“源地址資源策略”對(duì)機(jī)房用戶免費(fèi)，如圖3所示，在管理工具“計(jì)費(fèi)策略”-“源地址資源策略”中，定義策略組“ruanjianxueyuan”，將軟件學(xué)院公共機(jī)房IP地址段（172.18.0.1—172.18.254.254）輸入到“源地址清單中，并將“時(shí)長折扣”設(shè)置為0%。這樣機(jī)房用戶雖然需要登錄，但認(rèn)證計(jì)費(fèi)系統(tǒng)在做計(jì)費(fèi)的時(shí)候，上網(wǎng)時(shí)長始終為0，以達(dá)到免費(fèi)上網(wǎng)目的。

自公共機(jī)房網(wǎng)絡(luò)安全方案在軟件學(xué)院實(shí)施以來，通過規(guī)范化的機(jī)房網(wǎng)絡(luò)運(yùn)行管理，減少了軟件學(xué)院公共機(jī)房維護(hù)人員工作量，機(jī)房病毒、木馬爆發(fā)次數(shù)明顯減小，機(jī)房網(wǎng)絡(luò)運(yùn)行穩(wěn)定，為公共機(jī)房的正常運(yùn)轉(zhuǎn)提供了有力保障，將公共機(jī)房網(wǎng)絡(luò)安全威脅降低至較低水平。

在今后的工作中，還需要在以下兩方面繼續(xù)努力：首先，機(jī)房網(wǎng)絡(luò)安全策略進(jìn)一步細(xì)化。隨著機(jī)房發(fā)展規(guī)模擴(kuò)大，服務(wù)功能多樣化，網(wǎng)絡(luò)服務(wù)對(duì)象將更加豐富，需要定義更細(xì)致的安全策略。其次隨著網(wǎng)絡(luò)迅速發(fā)展，木馬和病毒種類將不斷增多，針對(duì)不斷遇到的安全新問題，及時(shí)更新網(wǎng)絡(luò)安全策略。

圖3 源地址資源策略定義

（作者單位為南京信息職業(yè)技術(shù)學(xué)院）

過濾病毒端口ACL定義

[H3C]acl number 3001

[H3C-acl]rule 0 permit tcp

[H3C-acl]rule 1 deny tcp destination-port eq 135

[H3C-acl]rule 2 deny tcp destination-port eq 139

[H3C-acl]rule 3 deny tcp destination-port eq 445

[H3C-acl]rule 4 deny tcp destination-port eq 593

[H3C-acl]rule 5 deny tcp destination-port eq 1025

[H3C-acl]rule 6 deny tcp destination-port eq 2745

[H3C-acl]rule 7 deny tcp destination-port eq 3127

[H3C-acl]rule 8 deny tcp destination-port eq 6129

[H3C-acl]rule 9 deny tcp destination-port eq 3389

[H3C-acl]rule 10 permit udp

[H3C-acl]rule 11 deny udp destination-port eq 135

[H3C-acl]rule 12 deny udp destination-port eq 137

[H3C-acl]rule 13 deny udp destination-port eq 138

[H3C-acl]rule 14 deny udp destination-port eq 445

應(yīng)用ACL定義（應(yīng)用方向?yàn)閕nbound）：

#進(jìn)入交換機(jī)接口

[H3C]interface Ethernet1/0/20

[H3C-if]packet-filter inbound ip-group 3001 rule 0

[H3C-if]packet-filter inbound ip-group 3001 rule 1