楊朋 殷旻昊

摘要：隨著信息科技的飛速發(fā)展，校園網(wǎng)的應(yīng)用建設(shè)和規(guī)模也越來(lái)越大，而與此同時(shí)，飛速發(fā)展的互聯(lián)網(wǎng)應(yīng)用技術(shù)也給校園網(wǎng)的網(wǎng)絡(luò)安全提出了越來(lái)越嚴(yán)峻的考驗(yàn)，互聯(lián)網(wǎng)對(duì)校園網(wǎng)的攻擊策略和手段也層出不窮，但歸根結(jié)底，其流量和手段都需要從校園網(wǎng)與互聯(lián)網(wǎng)的邊界進(jìn)行流入流出。所以如何部署穩(wěn)固校園網(wǎng)的邊界網(wǎng)絡(luò)安全設(shè)備，打造邊界網(wǎng)絡(luò)安全體系，從而為校園網(wǎng)提供一個(gè)安全可靠的上網(wǎng)環(huán)境是該文研究的重點(diǎn)。

關(guān)鍵詞：邊界網(wǎng)絡(luò);校園網(wǎng);安全

中圖分類(lèi)號(hào)：TP393.1 ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）25-0075-02

Abstract：With the rapid developing of information technology， the constructions and the scale of campus network applications are becoming larger. At the same time， the rapid development of Internet application technology also poses more severe challenges to the network security of campus network. The attack strategies and methods of the campus network are also endless， but in the final analysis， but in the final analysis， most of the traffic and methods need to flow in and out from the border between the campus network and the Internet. Therefore， how to deploy the border network security equipment to stabilize the campus network and create a border network security system to provide a safe and reliable online environment for the campus network is the focus of this paper.

Key words： border network; campus network; security

1 前言

校園網(wǎng)絡(luò)是打造高?！皵?shù)字校園”“智慧校園”的載體，而校園網(wǎng)絡(luò)的安全則是所有校園網(wǎng)絡(luò)和應(yīng)用系統(tǒng)建設(shè)的前提條件[1]。當(dāng)前，大多數(shù)學(xué)校對(duì)于投入了大量資金用于網(wǎng)絡(luò)環(huán)境的建設(shè)，已經(jīng)形成了良好的網(wǎng)絡(luò)環(huán)境和應(yīng)用體系，校園網(wǎng)的數(shù)字化應(yīng)用已經(jīng)遍及師生日常生活的各個(gè)方面。但隨著云服務(wù)技術(shù)和大數(shù)據(jù)技術(shù)的不斷發(fā)展，校園網(wǎng)的信息安全問(wèn)題也日益突出，尤其是在校園網(wǎng)邊界附近，交換機(jī)、路由器、防火墻等設(shè)備所面臨的考驗(yàn)形勢(shì)變得非常嚴(yán)峻，網(wǎng)絡(luò)安全威脅日益復(fù)雜，攻擊來(lái)源層出不窮、攻擊手段種類(lèi)繁多、攻擊目標(biāo)多種多樣、攻擊危害也愈加嚴(yán)重[2]。這就要求學(xué)校對(duì)校園網(wǎng)的安全防護(hù)工作不僅僅要求能夠防御網(wǎng)絡(luò)攻擊，更要求預(yù)先防患未然，將網(wǎng)絡(luò)安全隱患排斥于校園網(wǎng)之外[3]。本文是通過(guò)論述學(xué)校的邊界網(wǎng)絡(luò)安全體系，邊界網(wǎng)絡(luò)安全設(shè)備的部署情況，通過(guò)各個(gè)安全設(shè)備的聯(lián)動(dòng)運(yùn)行可以有效防御當(dāng)前問(wèn)題較為突出的Web漏洞及網(wǎng)絡(luò)攻擊威脅，實(shí)現(xiàn)學(xué)校各個(gè)應(yīng)用系統(tǒng)的安全、可靠和可控，從而建立比較安全的網(wǎng)絡(luò)環(huán)境來(lái)保障教學(xué)服務(wù)質(zhì)量和師生上網(wǎng)安全[4-5]。

2 研究背景

當(dāng)前，大多數(shù)學(xué)校均部署了較為完善的邊界網(wǎng)絡(luò)安全設(shè)備來(lái)保障校內(nèi)網(wǎng)絡(luò)安全，當(dāng)用戶(hù)通過(guò)在校園內(nèi)部網(wǎng)絡(luò)進(jìn)行訪(fǎng)問(wèn)互聯(lián)網(wǎng)的時(shí)候，其數(shù)據(jù)包經(jīng)過(guò)邊界網(wǎng)絡(luò)安全設(shè)備時(shí)經(jīng)過(guò)層層審計(jì)來(lái)保障數(shù)據(jù)安全，同時(shí)也將互聯(lián)網(wǎng)進(jìn)行廣泛傳播的網(wǎng)絡(luò)風(fēng)暴、病毒等隔離出校園網(wǎng)之外，使校園內(nèi)網(wǎng)形成了一個(gè)相對(duì)封閉安全的上網(wǎng)環(huán)境[6]。本文所指邊界網(wǎng)絡(luò)安全設(shè)備主要是指學(xué)校的校園網(wǎng)出口至核心交換機(jī)到的網(wǎng)絡(luò)設(shè)備，主要有網(wǎng)絡(luò)出口防火墻設(shè)備、入侵防御系統(tǒng)設(shè)備、多業(yè)務(wù)控制網(wǎng)關(guān)、負(fù)載均衡設(shè)備等設(shè)備共同保障網(wǎng)絡(luò)的安全運(yùn)行。這些網(wǎng)絡(luò)安全設(shè)備的聯(lián)動(dòng)使用一方面可以抵御網(wǎng)絡(luò)病毒、DDos攻擊，端口攻擊、拒絕服務(wù)攻擊、提權(quán)攻擊等的網(wǎng)絡(luò)攻擊手段，另一方面還可以主動(dòng)監(jiān)測(cè)學(xué)校內(nèi)部系統(tǒng)的安全漏洞和學(xué)校外部網(wǎng)絡(luò)的網(wǎng)絡(luò)隱患，達(dá)到預(yù)先防范的效果。從而更好地保障校園網(wǎng)的網(wǎng)絡(luò)安全。

3 系統(tǒng)設(shè)計(jì)方案

3.1 系統(tǒng)總體設(shè)計(jì)框架

校園網(wǎng)邊界網(wǎng)絡(luò)安全顧名思義把有著不同安全級(jí)別的校園網(wǎng)和外界互聯(lián)網(wǎng)相連接，并通過(guò)在校園網(wǎng)網(wǎng)絡(luò)邊界處部署相應(yīng)的軟硬件設(shè)備來(lái)設(shè)置的安全防御措施，一方面保障校園內(nèi)部合法用戶(hù)合法的訪(fǎng)問(wèn)外界互聯(lián)網(wǎng)，另一方面過(guò)濾掉非法訪(fǎng)問(wèn)和惡性攻擊行為，從而建立起比較穩(wěn)定、可靠的安全防御體系。目前天津師范大學(xué)核心交換機(jī)由兩臺(tái)萬(wàn)兆交換機(jī)虛擬化為一個(gè)核心進(jìn)行負(fù)責(zé)，在核心交換機(jī)和互聯(lián)網(wǎng)串聯(lián)部署出口網(wǎng)關(guān)、出口防火墻、負(fù)載均衡設(shè)備、抗DDoS系統(tǒng)、IPS等安全設(shè)備，同時(shí)在學(xué)校的核心交換機(jī)旁單臂部署了BRAS設(shè)備、VPN網(wǎng)關(guān)系統(tǒng)、上網(wǎng)行為管理系統(tǒng)、日志審計(jì)系統(tǒng)、DNS系統(tǒng)、網(wǎng)絡(luò)緩存系統(tǒng)、流量清洗系統(tǒng)等。通過(guò)這些系統(tǒng)的部署，可以有效地實(shí)現(xiàn)抵御外來(lái)網(wǎng)絡(luò)攻擊，審視用戶(hù)上網(wǎng)行為，檢測(cè)校園內(nèi)部系統(tǒng)的網(wǎng)絡(luò)漏洞等功能。其主要設(shè)備的部署拓?fù)鋱D如圖1所示。該部署方式既能減少了學(xué)校主干網(wǎng)絡(luò)上的安全設(shè)備，同時(shí)也為邊界網(wǎng)絡(luò)安全體系的進(jìn)一步的健壯提供了較好的兼容性和可擴(kuò)展性。

3.2 串聯(lián)網(wǎng)絡(luò)安全設(shè)備

串聯(lián)的網(wǎng)絡(luò)安全設(shè)備必須實(shí)現(xiàn)高轉(zhuǎn)發(fā)速度、高穩(wěn)定性、高安全性、高兼容性以及高智能性，同時(shí)也需要實(shí)時(shí)地對(duì)病毒數(shù)據(jù)庫(kù)進(jìn)行更新。串聯(lián)的網(wǎng)絡(luò)安全設(shè)備對(duì)校園網(wǎng)提供了環(huán)境感知功能，實(shí)現(xiàn)對(duì)安全策略的制定，病毒入侵的主動(dòng)防御，病毒風(fēng)險(xiǎn)的隔絕，異常流量的監(jiān)控，惡意文件的監(jiān)測(cè)，IP地址的隔離，數(shù)據(jù)庫(kù)升級(jí)等功能。

出口防火墻（Firewall）無(wú)疑是最重要的邊界網(wǎng)絡(luò)安全設(shè)備，也是校園網(wǎng)安全體系的第一道防線(xiàn)。出口防火墻是通過(guò)分析ARP數(shù)據(jù)包并配置相應(yīng)的NAT訪(fǎng)問(wèn)策略來(lái)保護(hù)校內(nèi)的端口、服務(wù)、程序、系統(tǒng)、以及應(yīng)用數(shù)據(jù)庫(kù)，可以及時(shí)發(fā)現(xiàn)并處理內(nèi)外網(wǎng)絡(luò)的可能存在或者已經(jīng)存在的系統(tǒng)隱患和網(wǎng)絡(luò)攻擊。防火墻可以實(shí)現(xiàn)集中地安全管理、制定執(zhí)行策略、設(shè)立訪(fǎng)問(wèn)控制列表、訪(fǎng)問(wèn)轉(zhuǎn)發(fā)、端口映射等功能，其工作方式主要包括包過(guò)濾、狀態(tài)檢測(cè)、應(yīng)用代理三種方式。包過(guò)濾通過(guò)檢測(cè)防火墻的運(yùn)行狀態(tài)來(lái)預(yù)先編輯其運(yùn)行的訪(fǎng)問(wèn)策略;狀態(tài)檢測(cè)是通過(guò)讀取并分析ARP數(shù)據(jù)包來(lái)分析訪(fǎng)問(wèn)狀態(tài)來(lái)確定該系統(tǒng)應(yīng)用程序是否允許連接;應(yīng)用代理是使用的代理程序來(lái)分析基于的特定類(lèi)型協(xié)議的流量來(lái)實(shí)現(xiàn)對(duì)應(yīng)用層的管理和監(jiān)控。

入侵防御系統(tǒng)（IPS）是對(duì)出口防火墻安全防護(hù)的一種補(bǔ)充，是實(shí)現(xiàn)校園網(wǎng)安全訪(fǎng)問(wèn)的“雙保險(xiǎn)”。IPS是通過(guò)流檢技術(shù)來(lái)收集和監(jiān)聽(tīng)系統(tǒng)的運(yùn)行情況和數(shù)據(jù)的傳輸情況，預(yù)先主動(dòng)地對(duì)數(shù)據(jù)源進(jìn)行檢測(cè)并阻斷那些具非法或異常的數(shù)據(jù)傳輸。IPS主要防護(hù)針對(duì)防火墻相對(duì)防護(hù)較弱的應(yīng)用層面的網(wǎng)絡(luò)攻擊和風(fēng)險(xiǎn)漏洞，具有對(duì)校園網(wǎng)的網(wǎng)絡(luò)環(huán)境、應(yīng)用系統(tǒng)、程序內(nèi)容的深度感知能力，以及對(duì)未知風(fēng)險(xiǎn)的防患能力，通過(guò)IPS探針的方式對(duì)數(shù)據(jù)包進(jìn)行異常協(xié)議識(shí)別、病毒庫(kù)特征匹配、異常流量檢測(cè)，將用戶(hù)登錄信息、應(yīng)用系統(tǒng)信息、應(yīng)用部署位置和應(yīng)用地址、應(yīng)用或站點(diǎn)訪(fǎng)問(wèn)頻率等多種信息進(jìn)行關(guān)聯(lián)，使用白名單訪(fǎng)問(wèn)策略，建立校園網(wǎng)訪(fǎng)問(wèn)的白環(huán)境，從而實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)的端口、狀態(tài)和行為的精細(xì)化管理，并準(zhǔn)確識(shí)別用戶(hù)異常行為。

負(fù)載均衡設(shè)備（SLB）主要是針對(duì)不同服務(wù)器的性能和配置的差異進(jìn)行合理有效地分配帶寬、任務(wù)和資源，從而保障各個(gè)服務(wù)器高效穩(wěn)定的運(yùn)行。原則上來(lái)說(shuō)SLB并不屬于安全設(shè)備，但其也可以針對(duì)服務(wù)器進(jìn)行定向的過(guò)濾數(shù)據(jù)包和應(yīng)用攻擊，隔離協(xié)議和網(wǎng)絡(luò)攻擊，從而實(shí)現(xiàn)故障處理，流量分析的功能。SLB可以針對(duì)DNS、代理服務(wù)器、地址轉(zhuǎn)換網(wǎng)關(guān)、網(wǎng)絡(luò)地址轉(zhuǎn)換進(jìn)行優(yōu)化和調(diào)度。SLB實(shí)現(xiàn)的機(jī)制主要包括數(shù)據(jù)收集、閾值設(shè)定和服務(wù)器遷移三個(gè)方面，即SLB動(dòng)態(tài)的確定進(jìn)行負(fù)載均衡的閥值，當(dāng)負(fù)載信息進(jìn)行采集并分析后如果觸發(fā)閥值機(jī)制后便將資源遷移到其他服務(wù)器。伴隨著云平臺(tái)技術(shù)的發(fā)展和虛擬機(jī)的廣泛應(yīng)用，SLB在校園網(wǎng)環(huán)境中發(fā)揮了不可替代的作用。

3.3 旁?huà)炀W(wǎng)絡(luò)安全設(shè)備

旁?huà)斓木W(wǎng)絡(luò)安全設(shè)備相對(duì)而言在邊界安全功能上大多是起著檢測(cè)和輔助作用，但也發(fā)揮著至關(guān)重要的作用，一方面可以減輕主干網(wǎng)絡(luò)安全設(shè)備和帶寬帶來(lái)的壓力，另一方面提高校園網(wǎng)系統(tǒng)和應(yīng)用運(yùn)行效率，為校園網(wǎng)提供了更加實(shí)時(shí)全面的安全防護(hù)。旁?huà)斓木W(wǎng)絡(luò)安全設(shè)備主要實(shí)現(xiàn)異常流量進(jìn)行檢測(cè)、網(wǎng)絡(luò)數(shù)據(jù)的緩存、日志的審計(jì)和存儲(chǔ)、上網(wǎng)行為的監(jiān)管和控制等功能，從而實(shí)現(xiàn)“檢測(cè)與控制相分離，引擎特征相統(tǒng)一”的理念。

BRAS（多業(yè)務(wù)控制網(wǎng)關(guān)）為校園網(wǎng)提供互聯(lián)網(wǎng)和教育網(wǎng)的寬帶接入服務(wù)和多業(yè)務(wù)運(yùn)行方案。BRAS匯總整個(gè)校園網(wǎng)的用戶(hù)流量，通過(guò)兼容多種協(xié)議和方式來(lái)接入各個(gè)系統(tǒng)的管理網(wǎng)關(guān)、控制網(wǎng)關(guān)和認(rèn)證網(wǎng)關(guān)，滿(mǎn)足不同用戶(hù)和應(yīng)用系統(tǒng)對(duì)傳輸容量和帶寬利的精細(xì)化要求和顆粒度管理。

VPN網(wǎng)關(guān)系統(tǒng)為互聯(lián)網(wǎng)接入到校園網(wǎng)提供了一條隱私、安全的數(shù)據(jù)加密隧道來(lái)實(shí)現(xiàn)校外用戶(hù)訪(fǎng)問(wèn)校內(nèi)網(wǎng)資源的功能。VPN系統(tǒng)通過(guò)SSL協(xié)議對(duì)數(shù)據(jù)行為加密，并使用LDAP協(xié)議進(jìn)行認(rèn)證，使不同用戶(hù)通過(guò)VPN訪(fǎng)問(wèn)只能獲得訪(fǎng)問(wèn)相應(yīng)的地址的權(quán)限，從而保障校園網(wǎng)安全。

上網(wǎng)行為管理系統(tǒng)針對(duì)所有訪(fǎng)問(wèn)校內(nèi)網(wǎng)用戶(hù)的行為提供智能精準(zhǔn)的行為分析、數(shù)據(jù)審計(jì)、網(wǎng)站訪(fǎng)問(wèn)過(guò)濾、應(yīng)用程序控制以及流量資源管理等功能，可視可控的展現(xiàn)訪(fǎng)問(wèn)人員的身份、終端、內(nèi)容、應(yīng)用程序等內(nèi)容，規(guī)范用戶(hù)的入網(wǎng)行為，提高網(wǎng)絡(luò)安全防護(hù)，信息安全管理和風(fēng)險(xiǎn)防范的能力。

日志審計(jì)系統(tǒng)可以實(shí)時(shí)的采集各個(gè)邊界網(wǎng)絡(luò)安全系統(tǒng)以及其他應(yīng)用程序產(chǎn)生的流量和數(shù)據(jù)，對(duì)此進(jìn)行統(tǒng)一規(guī)范化的記錄、存儲(chǔ)和備份，并提供靈活方便的日志查詢(xún)機(jī)制。日志審計(jì)系統(tǒng)還可以配合其他安全設(shè)備對(duì)數(shù)據(jù)進(jìn)行分析，設(shè)立訪(fǎng)問(wèn)策略，對(duì)異常行為建立報(bào)警機(jī)制。

異常流量檢測(cè)系統(tǒng)在核心交換機(jī)上配置鏡像的方式來(lái)獲取數(shù)據(jù)，通過(guò)探針式流量檢測(cè)技術(shù)實(shí)現(xiàn)基于數(shù)據(jù)流特征的攻擊類(lèi)型檢測(cè)，通過(guò)對(duì)IP地址、端口號(hào)、協(xié)議號(hào)等產(chǎn)生的分流信數(shù)據(jù)的監(jiān)測(cè)和分析，提供異常流量發(fā)現(xiàn)、異常行為監(jiān)測(cè)、設(shè)備性能告警監(jiān)測(cè)和網(wǎng)絡(luò)攻擊報(bào)警等功能。

4 結(jié)束語(yǔ)

打造邊界網(wǎng)絡(luò)安全體系可以有效地抵御校內(nèi)外針對(duì)校園網(wǎng)基于出口的網(wǎng)絡(luò)攻擊，解決當(dāng)前來(lái)自網(wǎng)絡(luò)內(nèi)外部對(duì)安全帶來(lái)的各種威脅，實(shí)現(xiàn)多層次、多應(yīng)用的防護(hù)功能。當(dāng)然，任何一種設(shè)備和體系都無(wú)法保障網(wǎng)絡(luò)安全的萬(wàn)無(wú)一失，我們要做的是進(jìn)一步優(yōu)化網(wǎng)絡(luò)布局，提升安全設(shè)備性能，規(guī)范內(nèi)部上網(wǎng)行為，從而實(shí)時(shí)為數(shù)字化校園提供了更加全面細(xì)致的安全防護(hù)，為打造“數(shù)字校園”、“智慧校園”提供強(qiáng)力保障。

參考文獻(xiàn)：

[1] 黃存東.關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)信息安全問(wèn)題的技術(shù)研究[J].軟件，2013，34（1）：140-141

[2] 王世偉.論信息安全、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間安全[J].中國(guó)圖書(shū)館學(xué)報(bào)， 2015，41 （2）：72-84.

[3] 張煥國(guó)，韓文報(bào)，來(lái)學(xué)嘉，等.網(wǎng)絡(luò)空間安全綜述[J].中國(guó)科學(xué)：信息科學(xué)，2016，46（2）：125-164.

[4] 趙穎，樊曉平，周芳芳，等.網(wǎng)絡(luò)安全數(shù)據(jù)可視化綜述[J].計(jì)算機(jī)輔助設(shè)計(jì)與圖形學(xué)學(xué)報(bào)，2014，26（5）：687-697.

[5] 劉志杰.淺談大數(shù)據(jù)時(shí)代下計(jì)算機(jī)網(wǎng)絡(luò)信息安全現(xiàn)狀及對(duì)策[J].電腦知識(shí)與技術(shù)，2017，13（21）：10-11.

[6] 張康榮.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及其防護(hù)對(duì)策分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（2）：92，94.

【通聯(lián)編輯：代影】