亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于多鏈路出口訪問技術(shù)的高校網(wǎng)絡(luò)安全管理研究

        2018-12-28 05:19:38劉璀
        網(wǎng)絡(luò)空間安全 2018年8期
        關(guān)鍵詞:公網(wǎng)訪問控制IP地址

        劉璀

        (中央財(cái)經(jīng)大學(xué)網(wǎng)絡(luò)信息中心,北京 100081)

        1 引言

        我國《網(wǎng)絡(luò)安全法》于2017年6月1日正式施行,這是我國第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問題的基礎(chǔ)性法律,是我國網(wǎng)絡(luò)空間法治建設(shè)的重要里程碑?!毒W(wǎng)絡(luò)安全法》的發(fā)布也同時(shí)標(biāo)志著網(wǎng)絡(luò)安全等級(jí)保護(hù)工作正式進(jìn)入2.0時(shí)代。《網(wǎng)絡(luò)安全法》第二十一條對網(wǎng)絡(luò)運(yùn)營者的安全義務(wù)作出了說明:網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行下列安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

        等保2.0為了和《網(wǎng)絡(luò)安全法》相對應(yīng),將原來的標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》改為《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》,對于網(wǎng)絡(luò)運(yùn)營者必須履行的安全義務(wù)做了進(jìn)一步解讀。

        高校校園網(wǎng)管理者在滿足校內(nèi)外用戶網(wǎng)絡(luò)訪問需求的同時(shí),應(yīng)該把履行網(wǎng)絡(luò)安全義務(wù)放在運(yùn)營工作的首位。

        2 等保2.0網(wǎng)絡(luò)出口安全管理要求

        在等保2.0中,保護(hù)的對象從信息系統(tǒng)上升到了網(wǎng)絡(luò)空間安全,對象也從信息系統(tǒng)擴(kuò)展到涵蓋網(wǎng)絡(luò)基礎(chǔ)設(shè)施、云、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、大數(shù)據(jù)等。網(wǎng)絡(luò)安全這一控制項(xiàng)上除原有的控制點(diǎn)“訪問控制外”,還新增了“網(wǎng)絡(luò)架構(gòu)”和“邊界防護(hù)”等。

        其中,對局域網(wǎng)出口的具體要求包括:

        (1)應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間,滿足業(yè)務(wù)高峰期需要;

        (2)應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要;

        (3)應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域,重要網(wǎng)絡(luò)區(qū)域不能部署在網(wǎng)絡(luò)邊界處,且局域網(wǎng)邊界應(yīng)該具有防護(hù)措施;

        (4)應(yīng)能夠?qū)ν饩W(wǎng)設(shè)備未經(jīng)授權(quán)連接到內(nèi)部網(wǎng)絡(luò)設(shè)備的行為進(jìn)行檢查,定位和阻斷;

        (5)應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查;

        (6)應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,并要求控制到端口;

        (7)應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)隊(duì)用戶行為進(jìn)行安全審計(jì),審計(jì)日志要留存6個(gè)月以上。

        校園網(wǎng)管理者應(yīng)針對這些要求,做好校園網(wǎng)出口的管理和配置工作。

        3 高校校園網(wǎng)出口存在的問題

        隨著高校的發(fā)展,網(wǎng)絡(luò)規(guī)模和用戶人數(shù)不斷增加,用戶訪問需求、網(wǎng)絡(luò)應(yīng)用以及網(wǎng)絡(luò)資源種類日益多樣。為滿足師生需求,校園網(wǎng)出口除了接入中國教育科研網(wǎng)之外,還會(huì)接入其他基礎(chǔ)運(yùn)營商鏈路,如電信、移動(dòng)、聯(lián)通等,以解決出口帶寬問題。多鏈路帶寬接入能夠很好地解決網(wǎng)速和資源的問題,但這種多ISP(Internet Service Provider)互聯(lián)網(wǎng)服務(wù)提供商的接入方式在提高網(wǎng)絡(luò)訪問速度的同時(shí),也增加了網(wǎng)絡(luò)的復(fù)雜性,為管理帶來了一定難度。

        當(dāng)前,校園網(wǎng)出口設(shè)備不僅要做好多條鏈路的負(fù)載均衡和效率,滿足業(yè)務(wù)高峰需要,還要做好訪問控制、邊界防護(hù)以及日志審計(jì)等安全管理工作,以滿足等保要求。在出口設(shè)備上,多鏈路出口訪問技術(shù)的部署可以解決絕大部分以上提出的問題。

        4 多鏈路出口訪問技術(shù)

        4.1 鏈路負(fù)載均衡技術(shù)

        負(fù)載均衡(Load Balance,簡稱LB)是一種基于服務(wù)器資源或網(wǎng)絡(luò)資源的集群技術(shù)和調(diào)度分配算法,根據(jù)業(yè)務(wù)流量傳輸方向可以分為Outbound和Inbound兩種。內(nèi)網(wǎng)和外網(wǎng)之間存在多條鏈路時(shí),通過Outbound鏈路負(fù)載均衡可以實(shí)現(xiàn)在多條鏈路上分擔(dān)內(nèi)網(wǎng)用戶訪問外網(wǎng)服務(wù)器的流量。負(fù)載均衡設(shè)備在收到內(nèi)網(wǎng)用戶請求時(shí),依次根據(jù)策略和調(diào)度算法選擇最佳的鏈路,并將流量分發(fā)到該鏈路,如圖1所示。

        內(nèi)網(wǎng)和外網(wǎng)之間存在多條鏈路時(shí),通過Inbound鏈路負(fù)載均衡可以實(shí)現(xiàn)在多條鏈路上分擔(dān)外網(wǎng)用戶訪問內(nèi)網(wǎng)服務(wù)器的流量,如圖2所示。

        圖1 Outbound鏈路負(fù)載均衡

        4.2 NAT地址轉(zhuǎn)換技術(shù)

        NAT(Network Address Translation,網(wǎng)絡(luò)地址轉(zhuǎn)換)位于網(wǎng)絡(luò)邊界,將內(nèi)網(wǎng)IP地址與公網(wǎng)IP地址之間進(jìn)行轉(zhuǎn)換。一般用于解決局域網(wǎng)公網(wǎng)IP不足的情況,由于安全性良好,目前用于大部分校園網(wǎng)出口配置。

        NAT的實(shí)現(xiàn)方式有三種,即靜態(tài)轉(zhuǎn)換一對一NAT、目的NAT以及動(dòng)態(tài)轉(zhuǎn)換源NAT。

        一對一NAT是指將內(nèi)網(wǎng)的私有IP地址轉(zhuǎn)換為公網(wǎng)IP地址時(shí),上下行用到的IP地址是一對一不變的,用于實(shí)現(xiàn)外網(wǎng)對校內(nèi)服務(wù)器的一對一訪問,一般用于與上級(jí)單位有業(yè)務(wù)往來的校內(nèi)視頻和公文服務(wù)器。

        目的NAT是指外網(wǎng)訪問校內(nèi)服務(wù)器時(shí),服務(wù)器公網(wǎng)IP地址轉(zhuǎn)換為內(nèi)網(wǎng)的私有IP地址是固定的,而校內(nèi)服務(wù)器或電腦訪問外網(wǎng)時(shí),轉(zhuǎn)換的公網(wǎng)地址并不固定,校內(nèi)大部分Web服務(wù)器和信息系統(tǒng)均采用這種技術(shù)。

        源NAT是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí),IP地址是不固定的,是隨機(jī)從地址池中分配的。當(dāng)帶寬服務(wù)商提供的公網(wǎng)IP較少時(shí),采用這種方式,使得所有被授權(quán)內(nèi)網(wǎng)IP地址可隨機(jī)轉(zhuǎn)換為公網(wǎng)IP地址,進(jìn)行互聯(lián)網(wǎng)訪問。目前校內(nèi)用戶訪問互聯(lián)網(wǎng),大部分采用這種技術(shù)。

        圖2 Inbound鏈路負(fù)載均衡

        4.3 訪問控制技術(shù)

        訪問控制技術(shù),指防止對任何資源進(jìn)行未授權(quán)的訪問,從而使計(jì)算機(jī)系統(tǒng)在合法的范圍內(nèi)使用。訪問控制保證合法用戶訪問受權(quán)保護(hù)的網(wǎng)絡(luò)資源,防止非法的主體進(jìn)入受保護(hù)的網(wǎng)絡(luò)資源,或防止合法用戶對受保護(hù)的網(wǎng)絡(luò)資源進(jìn)行非授權(quán)的訪問。為了保證內(nèi)網(wǎng)的安全性,需要通過安全策略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源,從而達(dá)到對訪問進(jìn)行控制的目的。訪問控制列表(Access Control List,ACL)可以用來控制進(jìn)出的IPv4或者IPv6 數(shù)據(jù)包,從而過濾網(wǎng)絡(luò)中的非授權(quán)訪問,是目前比較常用的控制訪問技術(shù)手段。

        4.4 用戶行為審計(jì)分析技術(shù)

        用戶行為審計(jì)分析技術(shù)通過日志采集和日志審計(jì)功能,收集用戶上網(wǎng)數(shù)據(jù),分析用戶上網(wǎng)行為,掌握網(wǎng)絡(luò)運(yùn)行的狀態(tài),為網(wǎng)絡(luò)管理人員追查相關(guān)行為的責(zé)任人提供依據(jù)。目前針對不同的日志類型,管理員可以獲得如源IP地址、源端口、目的IP地址、目的端口、開始/結(jié)束時(shí)間、協(xié)議類型、協(xié)議摘要(目前支持HTTP、SMTP、FTP協(xié)議)等信息。通過對這些信息的審計(jì)分析,可以實(shí)現(xiàn)統(tǒng)計(jì)網(wǎng)絡(luò)應(yīng)用;對非法訪問進(jìn)行識(shí)別和攔截;防范敏感信息外泄;防范拒絕服務(wù)攻擊,病毒攻擊、ARP欺騙, 保護(hù)內(nèi)網(wǎng)安全。

        5 高校多鏈路出口訪問安全管理

        針對校園網(wǎng)出口存在的問題,在進(jìn)行了大量的調(diào)研分析和設(shè)備測試實(shí)踐基礎(chǔ)上,最終對中央財(cái)經(jīng)大學(xué)校園網(wǎng)出口進(jìn)行了全面改造。改造后的出口部分網(wǎng)絡(luò)拓?fù)淙鐖D3所示。

        圖3 校園網(wǎng)出口拓?fù)鋱D

        通過出口改造,從幾個(gè)方面對校園網(wǎng)安全進(jìn)行了管理和控制,確保校園網(wǎng)出口滿足等級(jí)保護(hù)2.0對網(wǎng)絡(luò)架構(gòu)、邊界防護(hù)以及訪問控制的要求。

        (1)增加多條運(yùn)營商鏈路,增加校園網(wǎng)出口帶寬,極大提高校內(nèi)用戶訪問互聯(lián)網(wǎng)的速度。在校內(nèi)大力推廣IPv6的應(yīng)用,鼓勵(lì)師生使用IPv6資源。

        (2)啟用高性能鏈路負(fù)載均衡設(shè)備,根據(jù)帶寬、所屬運(yùn)營商、鏈路狀態(tài)和質(zhì)量(丟包和延時(shí)等)等幾個(gè)屬性,通過全局調(diào)度算法選擇合適的站點(diǎn),從而提高用戶的網(wǎng)絡(luò)應(yīng)用體驗(yàn)。

        (3)啟用鏈路調(diào)度策略控制流量走向,使得鏈路合理利用率最大化。設(shè)備還應(yīng)該支持通過運(yùn)營商、鏈路過載保護(hù)、指定源地址、指定入接口和指定應(yīng)用類型等多種方式控制流量走向,使得各種類型的鏈路能夠得到充分利用,優(yōu)化整體流量質(zhì)量。優(yōu)化DNS配置,根據(jù)流量分析結(jié)果,將校內(nèi)訪問流量大的應(yīng)用,分布到不同鏈路的站點(diǎn)上。

        (4)啟用鏈路健康檢查功,通過指定鏈路對遠(yuǎn)端設(shè)備或者服務(wù)器進(jìn)行探測。依據(jù)不同的探測方法(TCP、ICMP等)判斷當(dāng)前鏈路是否可用,如果當(dāng)前鏈路出現(xiàn)故障,則會(huì)將流量切換到其它正常的鏈路上。

        (5)通過出口高性能防火墻設(shè)備,將校園網(wǎng)以及外網(wǎng)區(qū)分為 Trust區(qū)和Untrust 區(qū),啟用安全隔離以及訪問控制,保護(hù)校內(nèi)用戶計(jì)算機(jī)安全。在防火墻上對IP報(bào)文包進(jìn)行過濾,對不合法的訪問采用丟包操作。

        (6)在出口防火墻上啟用地址轉(zhuǎn)換技術(shù),對校內(nèi)服務(wù)器使用目的NAT及一對一NAT技術(shù),校內(nèi)用戶使用源NAT技術(shù)訪問互聯(lián)網(wǎng)資源,在每條出口鏈路上設(shè)置NAT地址池,用戶通過不同鏈路訪問互聯(lián)網(wǎng)時(shí),從對應(yīng)的地址池中取得公網(wǎng)地址。以中央財(cái)經(jīng)大學(xué)使用的迪普DPX8000設(shè)備為例,校園網(wǎng)出口部署多鏈路啟用ADX板卡的 NAT 功能實(shí)現(xiàn)內(nèi)部私網(wǎng)訪問Internet 資源與外網(wǎng)訪問內(nèi)網(wǎng)主機(jī)的服務(wù)

        (7)部署出口日志服務(wù)器, 記錄保存用戶的網(wǎng)絡(luò)行為,日志保存最少6個(gè)月以上。

        (8)啟用流量控制設(shè)備,合理利用網(wǎng)絡(luò)帶寬、提升網(wǎng)絡(luò)使用效率。

        (9)啟用上網(wǎng)行為審計(jì)功能,全面管控和過濾校內(nèi)用戶上網(wǎng)行為,如網(wǎng)絡(luò)連接、Web訪問、FTP、收發(fā)電子郵件、文件共享、BBS論壇訪問/留言等,并能妥善有效記錄和審計(jì)各類行為日志,以供校園網(wǎng)管理人員按需查看。還可通過專業(yè)病毒特征庫向用戶提供防病毒服務(wù),能夠檢測通過 HTTP、FTP、SMTP、POP3、IMAP、SMB、TFTP 等協(xié)議傳輸?shù)牟《?。防病毒模塊通過采用實(shí)時(shí)分析的方式,自動(dòng)檢測、阻斷、隔離或重定向攜帶病毒的流量。中央財(cái)經(jīng)大學(xué)上網(wǎng)行為審計(jì)統(tǒng)計(jì)數(shù)據(jù)截圖如圖4所示。

        圖4 統(tǒng)計(jì)數(shù)據(jù)圖

        6 網(wǎng)絡(luò)安全演練

        根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》以及網(wǎng)信辦《網(wǎng)絡(luò)安全事件應(yīng)急演練指南》要求,為健全完善高校網(wǎng)絡(luò)安全事件應(yīng)急工作機(jī)制,規(guī)范網(wǎng)絡(luò)安全事件工作流程,加強(qiáng)網(wǎng)站網(wǎng)絡(luò)信息安全保障工作,形成科學(xué)、有效、反應(yīng)迅速的應(yīng)急工作機(jī)制,確保重要計(jì)算機(jī)信息系統(tǒng)的實(shí)體安全、運(yùn)行安全和數(shù)據(jù)安全,預(yù)防和減少網(wǎng)絡(luò)安全事件造成的損失和危害,維護(hù)正常校內(nèi)秩序,還應(yīng)該根據(jù)內(nèi)網(wǎng)實(shí)際情況,制定網(wǎng)絡(luò)安全演練方案。通過對出口設(shè)備NAT規(guī)則以及訪問控制策略的操作,可以實(shí)現(xiàn)一鍵斷網(wǎng)等安全演練,特殊時(shí)期對校內(nèi)關(guān)鍵信息設(shè)施采取保護(hù)措施。

        7 結(jié)束語

        《網(wǎng)絡(luò)安全法》的施行,特別是量刑的設(shè)立使高校校園網(wǎng)管理者承擔(dān)的責(zé)任更重了,高校網(wǎng)絡(luò)安全管理工作上升到了新的高度。在校園網(wǎng)安全管理工作中,不僅要加強(qiáng)安全理論學(xué)習(xí),合理規(guī)劃建設(shè)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施,還要注重提高應(yīng)急處置預(yù)案的能力和關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù),按照“預(yù)防為主,積極防護(hù)”的原則,進(jìn)一步完善應(yīng)急處置機(jī)制,提升校園網(wǎng)抵抗網(wǎng)絡(luò)風(fēng)險(xiǎn)的能力。

        猜你喜歡
        公網(wǎng)訪問控制IP地址
        淺析大臨鐵路公網(wǎng)覆蓋方案
        中國新通信(2022年4期)2022-04-23 23:04:20
        鐵路遠(yuǎn)動(dòng)系統(tǒng)幾種組網(wǎng)方式IP地址的申請和設(shè)置
        公網(wǎng)鐵路應(yīng)急通信質(zhì)量提升的技術(shù)應(yīng)用
        基于SNMP的IP地址管理系統(tǒng)開發(fā)與應(yīng)用
        黑龍江電力(2017年1期)2017-05-17 04:25:16
        ONVIF的全新主張:一致性及最訪問控制的Profile A
        動(dòng)態(tài)自適應(yīng)訪問控制模型
        基于公網(wǎng)短信的河北省高速公路數(shù)據(jù)傳輸應(yīng)用
        淺析云計(jì)算環(huán)境下等級(jí)保護(hù)訪問控制測評(píng)技術(shù)
        大數(shù)據(jù)平臺(tái)訪問控制方法的設(shè)計(jì)與實(shí)現(xiàn)
        我國警用通信專網(wǎng)與公網(wǎng)比較研究
        99re6久精品国产首页| 国产激情一区二区三区| 一级黄色一区二区三区| 十八禁视频网站在线观看| 大肉大捧一进一出好爽视频mba| 亚洲 另类 日韩 制服 无码| 亚洲国产精品va在线播放| 国产精品无码一区二区在线国| 国产极品美女到高潮视频 | aa日韩免费精品视频一| 人妻在线有码中文字幕| 色狠狠色狠狠综合天天| 国产精品高潮呻吟av久久4虎| 老熟女熟妇嗷嗷叫91| 丝袜美腿爆炒国产在线观看| 99久久精品一区二区国产| 少妇扒开毛茸茸的b自慰| 国语对白做受xxxxx在线中国| 亚洲国产成人AV人片久久网站| 亚洲精品一区二区三区av| 日产精品高潮一区二区三区5月| 一本色道无码道在线观看| 水蜜桃亚洲一二三四在线| 精品国产三级a| 国产黄片一区二区三区| 国产办公室秘书无码精品99| 久久精品国内一区二区三区| 国产成人久久精品区一区二区 | 色婷婷在线一区二区三区| 男女猛烈拍拍拍无挡视频| 天天影视色香欲综合久久| 国产三级黄色的在线观看 | 成人女同av免费观看| 爆操丝袜美女在线观看| 亚洲一区二区三区无码国产| 在线观看精品国产福利片100| 男人的天堂av你懂得| 亚洲av一二三四区四色婷婷| 在线a免费观看| 亚洲成人免费久久av| 少妇性l交大片7724com|