0 前言

隨著高校數(shù)字化圖書館建設的不斷推進，圖書館各種應用系統(tǒng)越來越多。除傳統(tǒng)的文獻資源管理系統(tǒng)之外，還包括各種鏡像電子資源數(shù)據(jù)庫、導讀系統(tǒng)、閱報系統(tǒng)、圖書推薦系統(tǒng)、館際互借系統(tǒng)、學位論文系統(tǒng)，參考咨詢與學科導航系統(tǒng)、特色數(shù)據(jù)庫系統(tǒng)、OPAC系統(tǒng)、整合鏈接系統(tǒng)等等，并且這些系統(tǒng)都是每周7×24小時服務。因此如何保證它們安全有效地運行，一直是圖書館現(xiàn)代化的一項重要工作。當前許多圖書館都從網(wǎng)絡建設方面入手，希望通過部署防火墻系統(tǒng)，來保護圖書館整個內(nèi)部網(wǎng)絡不受外界入侵，避免信息泄漏、數(shù)據(jù)非法刪除等安全隱患，已確保各種應用系統(tǒng)的安全運行。本文不是從理論上探討防火墻產(chǎn)品的優(yōu)劣，而是具體論述幾類防火墻產(chǎn)品在實際部署時的具體實踐，希望對圖書館在建立自身網(wǎng)絡防護體系方面，具有實際的指導意義。

1 網(wǎng)絡環(huán)境

大家知道，就高校圖書館網(wǎng)絡而言，其防火墻的部署一般如圖1所示。

圖1 設置1

為了安全起見，應用于圖書采訪、編目、流通等業(yè)務環(huán)節(jié)的文獻管理系統(tǒng)（當前絕大部分是采用Client/Server結構）的主服務器都會放在防火墻后面的圖書館內(nèi)部網(wǎng)絡。OPAC服務器因防火墻產(chǎn)品的不同，有的放置在防火墻內(nèi)部，有的放置在防火墻外部。其它應用系統(tǒng)和鏡像電子資源數(shù)據(jù)庫等，可根據(jù)安全程度的不同要求，放在內(nèi)部區(qū)、DMZ區(qū)或防火墻外。

2 ISA軟件防火墻的應用

ISA SERVER是由微軟公司開發(fā)的集成化安全軟件。將它裝在服務器（服務器通常配三塊網(wǎng)卡。一塊接外部網(wǎng)絡，一塊接內(nèi)部網(wǎng)絡，一塊接DMZ區(qū)）上，就形成了一個網(wǎng)絡防火墻。就ISA而言，我們在部署OPAC服務器時，應將它放在圖書館內(nèi)網(wǎng)上，如圖1中的OPAC服務器1，同時要在連接外部網(wǎng)絡的一塊網(wǎng)卡上設置兩個IP地址（這兩個IP地址是互聯(lián)網(wǎng)認可的真實IP地址）。一個用于圖書館文獻信息管理系統(tǒng)的數(shù)據(jù)庫應用服務器發(fā)布（假設圖書館文獻信息管理系統(tǒng)主服務器使用的數(shù)據(jù)庫是Oracle，后面所說發(fā)布簡稱為 Oracle應用服務器發(fā)布）。另一個用于OPAC服務器（也就是Web服務器）發(fā)布。

2.1 Oracle應用服務器發(fā)布

要將 Oracle應用服務器作發(fā)布，是因為分校區(qū)圖書館的采購、編目、流通等計算機客戶端在工作時，必須透過ISA防火墻去訪問主服務器上基于Oracle數(shù)據(jù)庫的文獻管理系統(tǒng)。如果沒有分校區(qū)圖書館，Oracle應用服務器不需要進行發(fā)布。

首先在ISA上，先對分校區(qū)圖書館文獻管理系統(tǒng)客戶機的IP地址范圍作一個定義，以便在后面制定防火墻策略時，只允許這個范圍的IP地址計算機訪問Oracle主服務器。打開ISA，在網(wǎng)絡對象的地址范圍中進行設置，如圖2所示。

圖2 設置2

其次，在ISA上自定義Oracle通訊協(xié)議。打開ISA，從“工具箱” —〉協(xié)議—〉用戶定義，新建一個Oracle網(wǎng)絡通訊協(xié)議。所起協(xié)議名稱：Oracle，協(xié)議類型：TCP，端口1521（通常Oracle通訊端口為1521）。

最后作Oracle應用服務器發(fā)布。打開ISA，右擊防火墻策略，到“新建”處看到有“服務器發(fā)布規(guī)則”。如圖3所示

圖3 設置3

在Oracle應用服務器發(fā)布向?qū)У倪^程中，由于是發(fā)布，所以“方向”的選擇是“入站”方向?！巴ㄓ崱边x擇前面定義的Oracle通訊協(xié)議，“從”選擇前面定義的分校區(qū)圖書館，到那個網(wǎng)絡，注意選擇的是“外部”，而不是“內(nèi)部”。勾選“外部”，然后點擊下面的“地址”按鈕，選擇“在此網(wǎng)絡上的IP地址”，就會在“可用的IP地址”欄，顯示出外網(wǎng)卡的兩個IP，如圖4所示。

圖4 設置4

比如把圖中的121.248.104.194作為Oracle應用服務器的發(fā)布地址。至此在ISA防火墻上就設定出了只有分館的圖書館文獻管理系統(tǒng)客戶機，可以以TCP協(xié)議的1521端口去訪問防火墻內(nèi)的文獻管理系統(tǒng)主服務器，其它IP地址的計算機或者想以TCP協(xié)議1521以外的端口去訪問防火墻內(nèi)的文獻管理系統(tǒng)主服務器都會被阻止，從而確保防火墻內(nèi)主服務器的安全。

2.2 OPAC服務器發(fā)布（也就是Web服務器發(fā)布）

打開ISA，右擊防火墻策略—〉“新建” —〉“Web服務器發(fā)布規(guī)則”，見圖3。在Web服務器發(fā)布規(guī)則向?qū)У倪^程中，確認的主要參數(shù)有：①偵聽器；②公共名稱；③從（哪里）；④到（哪里）；⑤橋接。如將OPAC服務器發(fā)布在8080端口，則在偵聽器端口鍵入8080。協(xié)議選擇HTTP?！皬摹边x擇任何地點，表示外網(wǎng)上的所有計算機都能訪問OPAC服務器?！暗健边x擇內(nèi)網(wǎng)上OPAC服務器的 IP地址，比如內(nèi)網(wǎng)中的 OPAC服務器 IP地址是192.168.101.89。對外發(fā)布的 IP地址選擇外網(wǎng)卡上的121.248.104.210。因此只要搞清各個參數(shù)的關系，通過Web服務器發(fā)布規(guī)則向?qū)?，很快就能完成OPAC服務器發(fā)布。

目前ISA已經(jīng)升級到Forefront Threat Management Gateway。它是 64位內(nèi)存尋址，性能上又有了很大提升。如：具備雙 ISP線路支持。增強的NAT地址轉(zhuǎn)換，可以支持多個外網(wǎng)址轉(zhuǎn)換。支持Web 非法軟件掃描與過濾，郵件過濾等。

3 Fortigate硬件防火墻的應用

與ISA防火墻不同，對于Fortigate硬件防火墻來講，會把OPAC服務器放在外網(wǎng)上，如圖 1中所示的 OPAC服務器 2。Fortigate硬件防火墻采取地址映射的辦法，把內(nèi)網(wǎng)Oracle應用服務器的IP地址映射到防火墻外網(wǎng)口上的一個IP地址。

圖5 設置5

在制定Fortigate硬件防火墻策略之前，同樣先要定義分館中允許訪問內(nèi)網(wǎng)Oracle應用服務器的IP地址范圍，定義用于訪問Oracle數(shù)據(jù)庫的通訊協(xié)議（TCP，端口號1521），并且作IP地址映射，將內(nèi)網(wǎng)Oracle應用服務器IP地址映射到防火墻外網(wǎng)口的IP地址。如圖5所示。

內(nèi)網(wǎng)中Oracle應用服務器IP地址192.168.101.89，被映射到Fortigate防火墻外網(wǎng)口上的IP地址121.248.104.195。由于OPAC服務器是在外網(wǎng)上，所以OPAC服務器不需要發(fā)布。

最后制定防火墻策略，即允許OPAC服務器訪問內(nèi)網(wǎng)Oracle應用服務器，允許分館處理圖書館業(yè)務的IP地址訪問內(nèi)網(wǎng)Oracle應用服務器，至此完成防火墻內(nèi)的Oracle應用服務器的部署。當然還可以進行內(nèi)網(wǎng)訪問外網(wǎng)的控制，包括流量控制。比如讓圖書館內(nèi)網(wǎng)中的采編部門計算機可以訪問外網(wǎng)，以獲取外網(wǎng)上的采訪數(shù)據(jù)與編目數(shù)據(jù)，不允許借還文獻的計算機訪問外網(wǎng)等等。

4 SINFOR-AC行為管理設備的應用

SINFOR-AC設備是深信服科技公司的行為管理產(chǎn)品。將行為管理設備作為防火墻，其OPAC服務器與Oracle應用服務器部署與Fortigate硬件防火墻一致。也是把OPAC服務器放在外網(wǎng)上，采取地址映射的方法，把內(nèi)網(wǎng)Oracle應用服務器的IP地址映射到行為管理設備外網(wǎng)口上的一個IP地址，然后做防火墻策略。

SINFOR-AC行為管理設備除了具備傳統(tǒng)防火墻、防ARP攻擊、防DoS攻擊、網(wǎng)關殺毒等安全功能之外，還具備“訪問控制、流量控制”等上網(wǎng)行為管理和監(jiān)控功能?？苫谟脩?用戶組、應用、時間等條件的上網(wǎng)授權策略，精細管控所有與工作無關的網(wǎng)絡行為。如圖6所示。

圖6 設置6

圖中表明允許內(nèi)網(wǎng)默認組訪問外網(wǎng)全部。在上網(wǎng)行為上作限制，不許上網(wǎng)炒股，不許上網(wǎng)玩游戲，不許P2P流媒體，不許到木馬網(wǎng)站。當然還可以做其它限制。

設備還會詳盡記錄用戶的上網(wǎng)軌跡，做到網(wǎng)絡行為有據(jù)可查，滿足組織對網(wǎng)絡行為記錄的相關要求、規(guī)避可能的法規(guī)風險。如圖7所示。

圖7 設置7

能夠查詢哪天，什么時間，用戶訪問了哪些網(wǎng)站。

另外設備也可以對用戶的訪問頻率進行統(tǒng)計，如圖8所示。

圖8 訪問頻率統(tǒng)計圖

這個用戶網(wǎng)絡活動排行榜，清楚地表明哪幾臺計算機活動頻繁，主要做了什么事情。需要的話，可以對這幾臺計算機進行限制。

5 結語

綜上所述，三類產(chǎn)品具有不同的技術特點。就防火墻實施的基本方法而言，任何防火墻系統(tǒng)都要先作接口IP設置（內(nèi)網(wǎng)口、外網(wǎng)口、DMZ接口）、網(wǎng)關設置、DNS設置等，然后對需要限制訪問的 IP地址做一個網(wǎng)絡劃分，選擇或定義數(shù)據(jù)庫通訊協(xié)議，最后制定出相應的防火墻策略。從性能來看，硬件防火墻采用專有芯片作為專門的安全引擎，因此它能以非常高的速率處理數(shù)據(jù)，而且有些新的產(chǎn)品還集成有防病毒網(wǎng)關、VPN、IDS、內(nèi)容過濾和流量控制等多項功能，但價格相對較高。由于不同的圖書館，其網(wǎng)絡規(guī)模、網(wǎng)絡帶寬、網(wǎng)絡安全要求程度等不盡相同，且各個館的設備經(jīng)費、人員技術水平也不一樣，有的可能需要幾種產(chǎn)品的不同組合，有的單一產(chǎn)品就能滿足。因此實際部署防火墻系統(tǒng)時，更強調(diào)選擇適合自己的網(wǎng)絡安全產(chǎn)品，而不能一味追求高性能、多功能的高檔防火墻產(chǎn)品。