◆李向龍 楊貴福 葛永興

（東北師范大學(xué)信息化管理與規(guī)劃辦公室 吉林 130024）

0 引言

我校校園網(wǎng)絡(luò)從1995年建設(shè)，經(jīng)歷了基礎(chǔ)網(wǎng)絡(luò)建設(shè)、信息系統(tǒng)（網(wǎng)站）建設(shè)到數(shù)字化校園建設(shè)的三個階段。在信息系統(tǒng)（網(wǎng)站）建設(shè)階段，各單位自行購買服務(wù)器建立信息系統(tǒng)（網(wǎng)站），出于管理和維護的方便，服務(wù)器大多數(shù)都放置在本單位，由于缺少必要的安全防護設(shè)備和專業(yè)技術(shù)人員，大部分服務(wù)器都直接暴露在互聯(lián)網(wǎng)中，存在極大的安全隱患，而相當(dāng)一部分成為黑客掃描、攻擊和病毒傳播的溫床，充當(dāng)了網(wǎng)絡(luò)攻擊的肉雞。

隨著新的網(wǎng)絡(luò)應(yīng)用不斷出現(xiàn)，隨之而來的網(wǎng)絡(luò)危險也呈現(xiàn)多發(fā)趨勢，大量非法的、惡意的、帶有特定目的的應(yīng)用建立在HTTP等協(xié)議之上，通過隨機端口號、采用SSL加密等方式來隱藏真實內(nèi)容，導(dǎo)致用戶端無法正常識別和判斷，由此出現(xiàn)的安全事件層出不窮，給用戶造成一定的經(jīng)濟損失。

1 安全風(fēng)險分析

我校各單位自管自維服務(wù)器的網(wǎng)絡(luò)拓撲見圖1，互聯(lián)網(wǎng)用戶通過internet可以直接訪問這些服務(wù)器，中間沒有經(jīng)過任何的安全防護設(shè)備，安全問題主要表現(xiàn)為遭受惡意代碼攻擊、網(wǎng)站入侵篡改、被當(dāng)作網(wǎng)絡(luò)肉雞跳板等。

1.1 惡意代碼攻擊

惡意代碼攻擊，就是指網(wǎng)絡(luò)上不法分子自己建立釣魚網(wǎng)站，利用一些誘惑性信息引導(dǎo)用戶訪問，或者利用工具攻擊安全措施不到位的網(wǎng)站，上傳一些帶有病毒、木馬等內(nèi)容的文件，用戶通過瀏覽器訪問后就會將病毒或者木馬下載到本地，導(dǎo)致個人信息泄露或者機器中毒等。由于安全管理和技術(shù)人員水平等原因，此類問題在各單位的服務(wù)器上尤為突出。

1.2 網(wǎng)站入侵篡改

網(wǎng)站入侵篡改是較為常見的安全問題，由于多數(shù)單位的網(wǎng)站都是采用免費的CMS系統(tǒng)，其源代碼的開放性導(dǎo)致漏洞公開化，黑客不需要掌握較多技術(shù)，按照公布的漏洞即可實現(xiàn)入侵和篡改的目的，此種攻擊具有顯示度高，可即時看到效果的特點，受到各級別黑客的青睞。

1.3 網(wǎng)絡(luò)肉雞跳板

所謂網(wǎng)絡(luò)肉雞跳板，就是擁有管理權(quán)限的遠程電腦，一般都是開了3389端口的windows服務(wù)器容易受此攻擊。服務(wù)器管理員為了維護方便，通常打開3389端口，利用遠程桌面功能管理服務(wù)器，黑客恰好利用這個漏洞，在服務(wù)器上植入遠程控制軟件，當(dāng)作其發(fā)起DDos攻擊的馬前卒或者實施不法行為的跳板。此種攻擊具有一定的隱蔽性，帶來的問題是服務(wù)器響應(yīng)緩慢或者流量異常。

2 安全解決方案

為了提高校內(nèi)各單位自管自維服務(wù)器的安全，實施必要的訪問控制，有效降低安全風(fēng)險。決定在不改動服務(wù)器地理位置，不增加相應(yīng)單位工作負擔(dān)情況下，通過調(diào)整服務(wù)器網(wǎng)段的邏輯拓撲結(jié)構(gòu)，集中部署安全設(shè)備和防護措施，達到提高自管自維服務(wù)器安全防護能力和水平的目的。

圖1 調(diào)整前服務(wù)器網(wǎng)絡(luò)拓撲圖

整體解決方案分為以下三部分：

（1）增加三層交換機，防火墻和入侵檢測設(shè)備各一臺，承擔(dān)數(shù)據(jù)交換、限定開放端口、安全防護和異常通訊的攔截阻斷功能。

（2）調(diào)整服務(wù)器網(wǎng)段的邏輯拓撲結(jié)構(gòu)，見圖2（圖中白色虛框內(nèi)是本解決方案中增加的設(shè)備，用于各單位自管自維服務(wù)器的安全防范）。將服務(wù)器網(wǎng)段的網(wǎng)關(guān)遷移至新增加的三層交換機 C上，強制引導(dǎo)數(shù)據(jù)流經(jīng)過防火墻和入侵檢測設(shè)備。

圖2調(diào)整后服務(wù)器網(wǎng)段的邏輯拓撲圖

（3）配置防火墻防護策略，提高安全級別，阻止不必要的端口和服務(wù)與外部通訊。

通過以上調(diào)整，除服務(wù)器網(wǎng)段外，無論校內(nèi)校外用戶訪問服務(wù)器上的內(nèi)容，必須經(jīng)過防火墻和入侵檢測設(shè)備。通過開放特定的對外服務(wù)端口，阻斷了黑客從非服務(wù)端口進行攻擊的途徑，利用入侵防護設(shè)備，實時、主動的攔截各種常規(guī)惡意攻擊、蠕蟲病毒、后門木馬等異常通訊，有效降低了受訪者訪問被植入木馬、病毒等惡意代碼網(wǎng)站的危險。

3 技術(shù)實現(xiàn)方式

（1）在增加的三層交換機C上創(chuàng)建服務(wù)器網(wǎng)段VLAN，相應(yīng)的網(wǎng)關(guān)配置在VLAN接口下，見圖3。

圖3交換機C上的服務(wù)器網(wǎng)段配置

（2）設(shè)置交換機C與交換機A的互聯(lián)端口通訊模式為trunk，允許服務(wù)器網(wǎng)段VLAN10和VLAN20通過，見圖4。

圖4互聯(lián)端口的接口模式設(shè)置

（3）刪除原交換機A和B上服務(wù)器網(wǎng)段VLAN下的接口IP地址，僅保留VLAN設(shè)置，見圖5和圖6。

圖5交換機A上服務(wù)器網(wǎng)段VLAN配置

圖6交換機B上服務(wù)器網(wǎng)段VLAN配置

（4）在防火墻針對服務(wù)器的網(wǎng)段，建立單獨的安全策略，對外開放必要的服務(wù)端口，其余端口禁止訪問和通訊，從一定程度上降低了被攻擊和掛馬的風(fēng)險，有效提高了安全級別，基本實現(xiàn)了自管自維信息系統(tǒng)（網(wǎng)站）的集中安全訪問控制，見圖7。

圖7 打開和關(guān)閉相應(yīng)的端口

4 方案的優(yōu)點

解決方案在實施上具有操作簡單，投入少，實施快，無需各單位調(diào)整等優(yōu)點。

（1）網(wǎng)絡(luò)管理部門通過修改服務(wù)器網(wǎng)關(guān)的邏輯位置，實現(xiàn)自管自維服務(wù)器的安全防護統(tǒng)一部署；

（2）服務(wù)器共用安全策略，方便后期的維護和策略調(diào)整，確保不會出現(xiàn)木桶效應(yīng)；

（3）各單位技術(shù)人員不需對服務(wù)器做任何改動，全過程無感知，沒有增加維護難度和安全設(shè)備，用較小的投入解決較大的安全隱患；

（4）方便統(tǒng)計自管自維服務(wù)器的各種通信數(shù)據(jù)，對于后續(xù)的管理提供必要的數(shù)據(jù)支持。

5 總結(jié)

互聯(lián)網(wǎng)改變了人們的生產(chǎn)和生活方式，擴展了人們認識世界的方法。網(wǎng)絡(luò)為人們帶來便利的同時，也帶來了一系列的安全風(fēng)險，使用不當(dāng)會給用戶造成不可挽回的損失。本方案通過調(diào)整服務(wù)器的邏輯拓撲結(jié)構(gòu)，在網(wǎng)絡(luò)層和應(yīng)用層增加安全設(shè)備，有效提高了各單位自管自維服務(wù)器的安全防護能力。

[1]李愛峰，王秋平.四招掌握校園Web服務(wù)器安全主動權(quán)[J].網(wǎng)絡(luò)通訊與安全，2012.

[2]朱海濤.高校網(wǎng)絡(luò)服務(wù)器安全問題及對策研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014.

[3]周輝.淺談高校二級單位網(wǎng)站的安全管理[J].中國教育信息化，2011.