摘 要:从网络安全、系统安全、应用安全三方面出发制定一整套城域网安全部署方案,为城域网级别的网络在部署过程中提供了可靠的技术参考。
关键词:城域网;网络应用;安全
中图分类号:TP399 文献标识码:A
一、引言
随着信息交互的范围逐渐扩大,网络应用的网络化特点也逐渐成为主要发展趋势。我市教育科研城域网是承载着机关政府信息、学校教育科研、大学生上网娱乐等多种网络业务的大型综合性城域网络。由于用户数量多、分部范围,网络应用所呈现出的网络化特点尤为突出,也面临更大的安全威胁。分析近年来发生的网络安全事件,可以发现网络攻击手段呈现出综合化、规模化和隐蔽化的趋势。综合化,以红色代码、Nimda、SQL Slammer和“冲击波”等蠕虫病毒的出现为标志,这些蠕虫结合了传统病毒和黑客网络攻击的特点,使得范围影响更大,传播速度更快,危害性更高;规模化,以分布式拒绝服务攻击手段的出现为标志,在这些攻击中,黑客利用所控制的大规模主机向目标主机发出攻击流量,使得防范十分困难;隐蔽化,指目前大量的攻击利用系统内核级后门、隐蔽通道、跳跃式攻击、多层编码等方式,使得攻击变得更加隐蔽和难以防范。于此同时,随着校园内计算机应用的大范围普及,各单位系统内部网络规模的不断扩大、应用日益增多,不同知识背景和能力的运行维护人员在对各系统进行操作、管理时,可能会给信息系统安全运行带来较大的潜在风险,主要表现在:一是粗放式权限管理,安全性难以保证;二是设备自身日志粒度粗,难以有效定位安全事件,这就随时有可能造成病毒传播泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果,甚至威胁到整个城域网。
因此,本文从实际出发,提出一套完善的城域网安全部署策略,在保证现有网络应用安全的同时,为其他城域网级别的网络应用在部署过程中提供了可靠的技术参考。
二、安全部署方案设计与实现
根据我市教育科研城域网实际存在的安全威胁,本文从网络安全、系统安全、应用安全三方面出发,制定了一整套在城域网环境中的安全部署策略,保证网络应用的信息安全。网络安全部署拓扑如下图所示:
(一)网络安全层面部署
在网络安全成面,通过部署防火墙以及入侵防护系统,避免非法访问、异常流量等攻击行为。
1.防火墙的部署
教育科研网信息中心接入设备和数据中心之间部署了一台防火墙。遵从“不被允许的服务就是被禁止”的原则,一是根据网络安全策略和安全目标,通过设置安全、严格的安全规则,实现正确审核包括协议、源地址、目的地址、流向、端口号等IP地址数据包内容,严格禁止来自外部网络对内部网络服务器不必要的、非法的访问。由于教育网IP可知,通过permit EDUIP IPmask host severIP 命令只允许教育网用户实现访问;二是只开放平台服务器提供服务所需要的端口号。通过permit severIP any tcp 80配置命令只允许80端口访问。配置实例如下:
2.入侵检测系统及流量清洗中心的部署
传统防火墙的部署,可以限制外部的非法访问,或内部用户的非法外联,但是这种部署模式有以下的不足:(1)作为访问控制设备,无法检测或拦截嵌入到普通流量中包括:漏洞攻击、蠕虫攻击、针对Web服务的注入攻击等恶意攻击代码。(2)吞吐能力有限,很可能不堪重负拖慢数据中心整体业务交付能力,甚至产生断网现象。(3)无法发现内部网络中针对内部应用服务器,包括Web服务器、邮件服务器等服务器的攻击行为。(4)不能对异常流量进行有效的检测和展示。(5)不能有效检测和阻断来自互联网出口与各高校的大流量的Flood攻击。因此通过分别部署入侵检测及流量清洗系统,当探测到有异常流量访问受保护服务器时,通知开启防御设备启动攻击防御并通知业务管理系统对攻击过程实时记录。与此同时将异常流量牵引至异常流量防御设备实现对异常流量的清洗,当流量清洗完成或攻击结束后将正常流量牵引至服务器。
(二)系统安全层面部署
从系统安全层面,分别部署漏洞扫描系统、配置核查系统、安全审计系统、堡垒主机系统进一步保证应用服务器的安全部署。
1.漏洞扫描系统
系统层面临的安全风险主要来自两个方面,一是系统本身的脆弱性,二是对系统的使用、配置和管理。这导致系统存在随时被黑客入侵或蠕虫爆发等安全威胁。在数据中心安全管理区部署漏洞扫描评估系统从漏洞预警、漏洞检测、风险管理、漏洞修复、漏洞审计等方面主动发现系统存在的漏洞信息,有效避免由于系统漏洞导致的网络安全问题。
2.配置核查系统
配置核查系统是为运行维护人员在配置不同业务系统服务器时,建立一个安全检测基准和提供极为有效的检测手段。面对网络中种类繁杂、数量众多的设备和软件,运行维护人员可通过配置核查系统,快速、有效的对服务器配置所存在的安全隐患进行自动化的安全检查,并可形成风险审核报告,最终识别那些与安全规范不符合的项目,因此,在数据中心安全管理区部署专业的安全配置核查系统,通过设定被防护设备IP地址来对所涉及的设备和系统的安全配置进行检查和规范。
3.安全审计系统
传统依靠防火墙和入侵检测系统对网络安全进行保护,可对网络异常行为进行检测和管理,但是针对正常网络访问行为和网络内容不能进行有效监控,因此对通过正常的访问行为所导致的信息泄密事件及网络资源滥用等问题难以得到解决,且当出现网络安全攻击事件时,无法对不良网络行为进行追查取证。综上所述,通过在数据资源中心核心交换机上旁路部署安全审计系统,将通过交换机的流量镜像到探测器上实现对上述问题进行有效监控和管理。
4.堡垒主机系统
网络内部风险主要来源于内部用户的主动或被动的行为,而随着各单位系统内部网络规模的不断扩大和应用增多,不同知识背景和能力的运行维护人员在对各系统进行操作、管理时,可能会给信息系统安全运行带来较大的潜在风险。堡垒主机系统原理是通过逻辑上将人与目标设备进行分离,建立“人到堡垒机用户账号到授权到目标设备账号再到目标设备”的管理模式,采取唯一身份标识的集中账号与访问控制策略,实现集中化的运行维护操作管控与审计,对权限管理和日志进行审计,降低人为安全风险。
(三)应用安全层面部署
从应用安全层面,通过部署Web应用防火墙以及网站安全监测系统,更全面的保证网络应用的整体运行。
1.Web应用防火墙
由于防火墙、IPS等产品的自身定位和防护深度,不能针对Web应用提供有效的防御能力。因此,针对Web应用攻击,在数据中心Web应用服务器前部署Web应用防火墙,一是通过检查HTTP请求的各个字段以便过滤攻击,防止数据泄漏;二是通过过滤DDoS攻击,与SQL注入防护等功能从网络层到应用层实现攻击过滤,保护Web服务可用性;三是依靠多种Web访问控制,实现HTTP的访问控制、非法文件上传和下载、阻止盗链和爬虫等。
2.网站安全监测系统
传统的网站安全监管方式通常是采用Web应用安全扫描工具周期性的对网站进行安全扫描与评估,例如,通常情况下一个网站一周甚至一个月做一次安全检查,缺少风险的持续监测性,不能应对对于网站挂马、网站篡改等突发性事件的风险预防,但是网站挂马事件、网站篡改事件一旦产生,将会给形象、信息网络甚至核心业务造成严重的破坏。而通过每周或者每月一次的安全检查并不能够第一时间发现这些已经产生的严重风险事件并做出相应的处理工作,因此,通过Web安全检测系统,通过设置扫描时间,可对网站的挂马、篡改、敏感内容等攻击行为进行实施检测,并进行报警,方便管理员第一时间内作出应急响应。
三、结语
城域网的安全问题是一个较为复杂的系统工程,从严格的意义上来讲,没有绝对安全的网络系统,提高网络的安全系数是要以降低网络效率和增加投入为代价的。网络的安全问题还要从多个方面进行防范,比如软件代码编写的安全性,密码加密以及日常工作中的网络管理制度和对相关的校园网管理人员进行培训等。
参考文献:
[1]敖卓缅.网络安全技术及策略在校园网中的应用研究[D].硕士,重庆:重庆大学,2007.
[2]刘忠明.防火墙在校园网中的应用[D].硕士,成都:电子科技大学,2013.
[3]吴庆毅.南昌地税网络安全边界防护设计与部署[D].硕士,厦门:厦门大学,2012.
