劉璀

（中央財(cái)經(jīng)大學(xué)網(wǎng)絡(luò)信息中心，北京 100081）

1 引言

我國《網(wǎng)絡(luò)安全法》于2017年6月1日正式施行，這是我國第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問題的基礎(chǔ)性法律，是我國網(wǎng)絡(luò)空間法治建設(shè)的重要里程碑?！毒W(wǎng)絡(luò)安全法》的發(fā)布也同時(shí)標(biāo)志著網(wǎng)絡(luò)安全等級(jí)保護(hù)工作正式進(jìn)入2.0時(shí)代。《網(wǎng)絡(luò)安全法》第二十一條對網(wǎng)絡(luò)運(yùn)營者的安全義務(wù)作出了說明：網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

等保2.0為了和《網(wǎng)絡(luò)安全法》相對應(yīng)，將原來的標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》改為《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，對于網(wǎng)絡(luò)運(yùn)營者必須履行的安全義務(wù)做了進(jìn)一步解讀。

高校校園網(wǎng)管理者在滿足校內(nèi)外用戶網(wǎng)絡(luò)訪問需求的同時(shí)，應(yīng)該把履行網(wǎng)絡(luò)安全義務(wù)放在運(yùn)營工作的首位。

2 等保2.0網(wǎng)絡(luò)出口安全管理要求

在等保2.0中，保護(hù)的對象從信息系統(tǒng)上升到了網(wǎng)絡(luò)空間安全，對象也從信息系統(tǒng)擴(kuò)展到涵蓋網(wǎng)絡(luò)基礎(chǔ)設(shè)施、云、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、大數(shù)據(jù)等。網(wǎng)絡(luò)安全這一控制項(xiàng)上除原有的控制點(diǎn)“訪問控制外”，還新增了“網(wǎng)絡(luò)架構(gòu)”和“邊界防護(hù)”等。

其中，對局域網(wǎng)出口的具體要求包括：

（1）應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；

（2）應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；

（3）應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域，重要網(wǎng)絡(luò)區(qū)域不能部署在網(wǎng)絡(luò)邊界處，且局域網(wǎng)邊界應(yīng)該具有防護(hù)措施；

（4）應(yīng)能夠?qū)ν饩W(wǎng)設(shè)備未經(jīng)授權(quán)連接到內(nèi)部網(wǎng)絡(luò)設(shè)備的行為進(jìn)行檢查，定位和阻斷；

（5）應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查；

（6）應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，并要求控制到端口；

（7）應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)隊(duì)用戶行為進(jìn)行安全審計(jì)，審計(jì)日志要留存6個(gè)月以上。

校園網(wǎng)管理者應(yīng)針對這些要求，做好校園網(wǎng)出口的管理和配置工作。

3 高校校園網(wǎng)出口存在的問題

隨著高校的發(fā)展，網(wǎng)絡(luò)規(guī)模和用戶人數(shù)不斷增加，用戶訪問需求、網(wǎng)絡(luò)應(yīng)用以及網(wǎng)絡(luò)資源種類日益多樣。為滿足師生需求，校園網(wǎng)出口除了接入中國教育科研網(wǎng)之外，還會(huì)接入其他基礎(chǔ)運(yùn)營商鏈路，如電信、移動(dòng)、聯(lián)通等，以解決出口帶寬問題。多鏈路帶寬接入能夠很好地解決網(wǎng)速和資源的問題，但這種多ISP(Internet Service Provider)互聯(lián)網(wǎng)服務(wù)提供商的接入方式在提高網(wǎng)絡(luò)訪問速度的同時(shí)，也增加了網(wǎng)絡(luò)的復(fù)雜性，為管理帶來了一定難度。

當(dāng)前，校園網(wǎng)出口設(shè)備不僅要做好多條鏈路的負(fù)載均衡和效率，滿足業(yè)務(wù)高峰需要，還要做好訪問控制、邊界防護(hù)以及日志審計(jì)等安全管理工作，以滿足等保要求。在出口設(shè)備上，多鏈路出口訪問技術(shù)的部署可以解決絕大部分以上提出的問題。

4 多鏈路出口訪問技術(shù)

4.1 鏈路負(fù)載均衡技術(shù)

負(fù)載均衡(Load Balance，簡稱LB)是一種基于服務(wù)器資源或網(wǎng)絡(luò)資源的集群技術(shù)和調(diào)度分配算法，根據(jù)業(yè)務(wù)流量傳輸方向可以分為Outbound和Inbound兩種。內(nèi)網(wǎng)和外網(wǎng)之間存在多條鏈路時(shí)，通過Outbound鏈路負(fù)載均衡可以實(shí)現(xiàn)在多條鏈路上分擔(dān)內(nèi)網(wǎng)用戶訪問外網(wǎng)服務(wù)器的流量。負(fù)載均衡設(shè)備在收到內(nèi)網(wǎng)用戶請求時(shí)，依次根據(jù)策略和調(diào)度算法選擇最佳的鏈路，并將流量分發(fā)到該鏈路，如圖1所示。

內(nèi)網(wǎng)和外網(wǎng)之間存在多條鏈路時(shí)，通過Inbound鏈路負(fù)載均衡可以實(shí)現(xiàn)在多條鏈路上分擔(dān)外網(wǎng)用戶訪問內(nèi)網(wǎng)服務(wù)器的流量，如圖2所示。

圖1 Outbound鏈路負(fù)載均衡

4.2 NAT地址轉(zhuǎn)換技術(shù)

NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）位于網(wǎng)絡(luò)邊界，將內(nèi)網(wǎng)IP地址與公網(wǎng)IP地址之間進(jìn)行轉(zhuǎn)換。一般用于解決局域網(wǎng)公網(wǎng)IP不足的情況，由于安全性良好，目前用于大部分校園網(wǎng)出口配置。

NAT的實(shí)現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換一對一NAT、目的NAT以及動(dòng)態(tài)轉(zhuǎn)換源NAT。

一對一NAT是指將內(nèi)網(wǎng)的私有IP地址轉(zhuǎn)換為公網(wǎng)IP地址時(shí)，上下行用到的IP地址是一對一不變的，用于實(shí)現(xiàn)外網(wǎng)對校內(nèi)服務(wù)器的一對一訪問，一般用于與上級(jí)單位有業(yè)務(wù)往來的校內(nèi)視頻和公文服務(wù)器。

目的NAT是指外網(wǎng)訪問校內(nèi)服務(wù)器時(shí)，服務(wù)器公網(wǎng)IP地址轉(zhuǎn)換為內(nèi)網(wǎng)的私有IP地址是固定的，而校內(nèi)服務(wù)器或電腦訪問外網(wǎng)時(shí)，轉(zhuǎn)換的公網(wǎng)地址并不固定，校內(nèi)大部分Web服務(wù)器和信息系統(tǒng)均采用這種技術(shù)。

源NAT是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí)，IP地址是不固定的，是隨機(jī)從地址池中分配的。當(dāng)帶寬服務(wù)商提供的公網(wǎng)IP較少時(shí)，采用這種方式，使得所有被授權(quán)內(nèi)網(wǎng)IP地址可隨機(jī)轉(zhuǎn)換為公網(wǎng)IP地址，進(jìn)行互聯(lián)網(wǎng)訪問。目前校內(nèi)用戶訪問互聯(lián)網(wǎng)，大部分采用這種技術(shù)。

圖2 Inbound鏈路負(fù)載均衡

4.3 訪問控制技術(shù)

訪問控制技術(shù)，指防止對任何資源進(jìn)行未授權(quán)的訪問，從而使計(jì)算機(jī)系統(tǒng)在合法的范圍內(nèi)使用。訪問控制保證合法用戶訪問受權(quán)保護(hù)的網(wǎng)絡(luò)資源，防止非法的主體進(jìn)入受保護(hù)的網(wǎng)絡(luò)資源，或防止合法用戶對受保護(hù)的網(wǎng)絡(luò)資源進(jìn)行非授權(quán)的訪問。為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源，從而達(dá)到對訪問進(jìn)行控制的目的。訪問控制列表（Access Control List，ACL）可以用來控制進(jìn)出的IPv4或者IPv6 數(shù)據(jù)包，從而過濾網(wǎng)絡(luò)中的非授權(quán)訪問，是目前比較常用的控制訪問技術(shù)手段。

4.4 用戶行為審計(jì)分析技術(shù)

用戶行為審計(jì)分析技術(shù)通過日志采集和日志審計(jì)功能，收集用戶上網(wǎng)數(shù)據(jù)，分析用戶上網(wǎng)行為，掌握網(wǎng)絡(luò)運(yùn)行的狀態(tài)，為網(wǎng)絡(luò)管理人員追查相關(guān)行為的責(zé)任人提供依據(jù)。目前針對不同的日志類型，管理員可以獲得如源IP地址、源端口、目的IP地址、目的端口、開始/結(jié)束時(shí)間、協(xié)議類型、協(xié)議摘要（目前支持HTTP、SMTP、FTP協(xié)議）等信息。通過對這些信息的審計(jì)分析，可以實(shí)現(xiàn)統(tǒng)計(jì)網(wǎng)絡(luò)應(yīng)用；對非法訪問進(jìn)行識(shí)別和攔截；防范敏感信息外泄；防范拒絕服務(wù)攻擊，病毒攻擊、ARP欺騙, 保護(hù)內(nèi)網(wǎng)安全。

5 高校多鏈路出口訪問安全管理

針對校園網(wǎng)出口存在的問題，在進(jìn)行了大量的調(diào)研分析和設(shè)備測試實(shí)踐基礎(chǔ)上，最終對中央財(cái)經(jīng)大學(xué)校園網(wǎng)出口進(jìn)行了全面改造。改造后的出口部分網(wǎng)絡(luò)拓?fù)淙鐖D3所示。

圖3 校園網(wǎng)出口拓?fù)鋱D

通過出口改造，從幾個(gè)方面對校園網(wǎng)安全進(jìn)行了管理和控制，確保校園網(wǎng)出口滿足等級(jí)保護(hù)2.0對網(wǎng)絡(luò)架構(gòu)、邊界防護(hù)以及訪問控制的要求。

（1）增加多條運(yùn)營商鏈路，增加校園網(wǎng)出口帶寬，極大提高校內(nèi)用戶訪問互聯(lián)網(wǎng)的速度。在校內(nèi)大力推廣IPv6的應(yīng)用，鼓勵(lì)師生使用IPv6資源。

（2）啟用高性能鏈路負(fù)載均衡設(shè)備，根據(jù)帶寬、所屬運(yùn)營商、鏈路狀態(tài)和質(zhì)量（丟包和延時(shí)等）等幾個(gè)屬性，通過全局調(diào)度算法選擇合適的站點(diǎn)，從而提高用戶的網(wǎng)絡(luò)應(yīng)用體驗(yàn)。

（3）啟用鏈路調(diào)度策略控制流量走向，使得鏈路合理利用率最大化。設(shè)備還應(yīng)該支持通過運(yùn)營商、鏈路過載保護(hù)、指定源地址、指定入接口和指定應(yīng)用類型等多種方式控制流量走向，使得各種類型的鏈路能夠得到充分利用，優(yōu)化整體流量質(zhì)量。優(yōu)化DNS配置，根據(jù)流量分析結(jié)果，將校內(nèi)訪問流量大的應(yīng)用，分布到不同鏈路的站點(diǎn)上。

（4）啟用鏈路健康檢查功，通過指定鏈路對遠(yuǎn)端設(shè)備或者服務(wù)器進(jìn)行探測。依據(jù)不同的探測方法（TCP、ICMP等）判斷當(dāng)前鏈路是否可用，如果當(dāng)前鏈路出現(xiàn)故障，則會(huì)將流量切換到其它正常的鏈路上。

（5）通過出口高性能防火墻設(shè)備，將校園網(wǎng)以及外網(wǎng)區(qū)分為 Trust區(qū)和Untrust 區(qū)，啟用安全隔離以及訪問控制，保護(hù)校內(nèi)用戶計(jì)算機(jī)安全。在防火墻上對IP報(bào)文包進(jìn)行過濾，對不合法的訪問采用丟包操作。

（6）在出口防火墻上啟用地址轉(zhuǎn)換技術(shù)，對校內(nèi)服務(wù)器使用目的NAT及一對一NAT技術(shù)，校內(nèi)用戶使用源NAT技術(shù)訪問互聯(lián)網(wǎng)資源，在每條出口鏈路上設(shè)置NAT地址池，用戶通過不同鏈路訪問互聯(lián)網(wǎng)時(shí)，從對應(yīng)的地址池中取得公網(wǎng)地址。以中央財(cái)經(jīng)大學(xué)使用的迪普DPX8000設(shè)備為例，校園網(wǎng)出口部署多鏈路啟用ADX板卡的 NAT 功能實(shí)現(xiàn)內(nèi)部私網(wǎng)訪問Internet 資源與外網(wǎng)訪問內(nèi)網(wǎng)主機(jī)的服務(wù)

（7）部署出口日志服務(wù)器, 記錄保存用戶的網(wǎng)絡(luò)行為，日志保存最少6個(gè)月以上。

（8）啟用流量控制設(shè)備，合理利用網(wǎng)絡(luò)帶寬、提升網(wǎng)絡(luò)使用效率。

（9）啟用上網(wǎng)行為審計(jì)功能，全面管控和過濾校內(nèi)用戶上網(wǎng)行為，如網(wǎng)絡(luò)連接、Web訪問、FTP、收發(fā)電子郵件、文件共享、BBS論壇訪問/留言等,并能妥善有效記錄和審計(jì)各類行為日志，以供校園網(wǎng)管理人員按需查看。還可通過專業(yè)病毒特征庫向用戶提供防病毒服務(wù)，能夠檢測通過 HTTP、FTP、SMTP、POP3、IMAP、SMB、TFTP 等協(xié)議傳輸?shù)牟《?。防病毒模塊通過采用實(shí)時(shí)分析的方式，自動(dòng)檢測、阻斷、隔離或重定向攜帶病毒的流量。中央財(cái)經(jīng)大學(xué)上網(wǎng)行為審計(jì)統(tǒng)計(jì)數(shù)據(jù)截圖如圖4所示。

圖4 統(tǒng)計(jì)數(shù)據(jù)圖

6 網(wǎng)絡(luò)安全演練

根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》以及網(wǎng)信辦《網(wǎng)絡(luò)安全事件應(yīng)急演練指南》要求，為健全完善高校網(wǎng)絡(luò)安全事件應(yīng)急工作機(jī)制，規(guī)范網(wǎng)絡(luò)安全事件工作流程，加強(qiáng)網(wǎng)站網(wǎng)絡(luò)信息安全保障工作，形成科學(xué)、有效、反應(yīng)迅速的應(yīng)急工作機(jī)制，確保重要計(jì)算機(jī)信息系統(tǒng)的實(shí)體安全、運(yùn)行安全和數(shù)據(jù)安全，預(yù)防和減少網(wǎng)絡(luò)安全事件造成的損失和危害，維護(hù)正常校內(nèi)秩序，還應(yīng)該根據(jù)內(nèi)網(wǎng)實(shí)際情況，制定網(wǎng)絡(luò)安全演練方案。通過對出口設(shè)備NAT規(guī)則以及訪問控制策略的操作，可以實(shí)現(xiàn)一鍵斷網(wǎng)等安全演練，特殊時(shí)期對校內(nèi)關(guān)鍵信息設(shè)施采取保護(hù)措施。

7 結(jié)束語

《網(wǎng)絡(luò)安全法》的施行，特別是量刑的設(shè)立使高校校園網(wǎng)管理者承擔(dān)的責(zé)任更重了，高校網(wǎng)絡(luò)安全管理工作上升到了新的高度。在校園網(wǎng)安全管理工作中，不僅要加強(qiáng)安全理論學(xué)習(xí)，合理規(guī)劃建設(shè)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，還要注重提高應(yīng)急處置預(yù)案的能力和關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)，按照“預(yù)防為主，積極防護(hù)”的原則，進(jìn)一步完善應(yīng)急處置機(jī)制，提升校園網(wǎng)抵抗網(wǎng)絡(luò)風(fēng)險(xiǎn)的能力。