园区网络的构建及安全管理

计算机网络是计算机技术和通信技术的结合产生的结果, 计算机网络已得到越来越广泛的应用。文章结合十余年的网络建设和管理, 就园区计算机网络的建设和安全管理的若干问题进行讨论。

1 网络的构建

园区的网络建设, 是一个逐步完善的过程, 本单位的网络经过三期的建设, 从开始的二十个接入点发展到现在近二千个接入点, 网络已形成骨干千兆、桌面百兆连接办公区、宿舍区, 并通过微波与几公里外的白豚馆连接, 在办公区内的部分区域有无线覆盖, 接入的计算机现有六百余台, 技术先进的网络平台。目前应用主要有Internet接入服务、网站服务、邮件服务、科学院资源计划管理系统 (arp) 、数据库服务、图书馆服务系统和科学计算等。经过十余年的发展, 已经成为功能较为完善的园区网络, 网络的主干部分示意图如图所示。

路由器、硬件防火墙、核心交换机、三层交换机与级连交换机均为思科系列产品, 用管理服务器可以通过WEB或命令方式管理到每个交换机的各个端口 (这在网络管理时是很有用的) ;在防火墙和中心交换机之间加入了上网行为管理网关硬件设备, 并配备入侵检测系统系统, 连网介质主要有光纤和双绞线, 交换机之间均用光纤连接 (1000M) 或交换机堆叠, 每个网络接入点用超5类双绞线与交换机端口连接 (100M) , 距离均不超过100米, 整个网络为星型拓扑结构, 此园区网络基本具备了可靠性、可扩展性、灵活性和安全性的特性。

2 安全管理

网络管理就是通过规划、配置、监视、分析、扩充和控制计算机网络来保证网络服务的有效实现。面对开放互联、结构复杂和日益庞大的网络, 网络失效、性能欠缺、配置不当、安全性差等问题随之出现, 安全管理, 即限制访问网络资源的权限, 监视网络信息传输的安全, 包括授权机制、存取控制、加密及密钥管理, 以及有关安全访问日志的维护, 作为网络管理的五个基本任务之一显得尤为重要。保证网络系统的安全运行是一项系统工程, 在网络设计、硬件和软件的配置时就必须高度重视的同时, 还应该建立完善的网络管理制度极其科学有效的管理方法, 将网络潜在的危险降到最低程度, 以保证网络安全、可靠、高效地运行, 从而合理分配网络资源、动态配置网络负载, 优化网络性能、减少网络维护费用。

2.1 防火墙

作为网络的第一道防线的硬件防火墙, 它是目前一种重要的网络防护设备, 提供信息安全服务, 实现网络和信息安全的基础设施。防火墙是位于内部局域网 (LAN) 网络与Internet之间, 实施网络之间访问控制的一组组件集合, 通过互相隔离、限制网络互访用来保护内部网络。准确地说它是不同网络或网络安全域之间信息的唯一出入口, 能根据安全政策控制 (允许、拒绝、监测) 出入网络的信息流。在逻辑上, 防火墙是一个分离器, 一个限制器, 同时也是一个分析器, 有效地监控了内部网和Internet之间的任何活动, 保证了内部网络的安全。防火墙作用在网络层和传输层, 它根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过来进行分组过滤。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端, 其余数据包则被从数据流中丢弃。利用防火墙进行包过滤、包的透明转发来阻挡外部攻击, 并记录攻击行为。根据防火墙通过对访问记录进行审计, 发现入侵和非法访问情况, 对其的安全性进行评价, 需要时进行适当改进, 并根据网络拓扑结构的改变或安全策略的变化, 对防火墙进行硬件和软件的修改和升级, 通过维护和管理进一步优化其性能, 以保证网络及其信息的安全性。在使用放火墙的同时也要知道它力所不能及的地方。首先, 防火墙可以阻断攻击, 但不能消灭攻击源, 并且不能抵抗最新的未设置策略的攻击漏洞;其次, 防火墙对服务器合法开放的端口的攻击和内部主动发起连接的攻击一般无法阻止;再者, 防火墙不处理病毒, 并且由于自身的Bug也会出现问题和受到攻击。

2.2 入侵检测系统 (IDS)

针对硬件防火墙的不足, 我们加装了一台入侵检测系统 (IDS) 。入侵是指试图破坏计算机保密性、完整性、可用性或可控性的一系列活动, 网络入侵检测系统基于状态的协议分析技术、根据动态的策略设置, 对网络、系统的运行状况进行监视, 识别来自网络外部或内部的多种攻击行为, 实时报警和记录入侵信息, 给出网络综合入侵分析报告, 对入侵行为的检测, 主要是对计算机网络和计算机系统的关键节点的信息进行收集与分析, 检测其中是否有违反安全策略的攻击迹象和攻击事件的发生, 并通知系统管理员。IDS入侵检测作为一种积极主动的安全防护技术, 从网络安全的立体纵深、多层次防御角度出发, 通过监视受保护系统的状态和活动, 提出了对内部攻击、外部攻击和误操作的实时保护。其主要功能有:监测并分析用户和系统的活动;核查系统配置和漏洞评估系统关键资源和数据文件的完整性;识别已知的攻击行为;统计分析异常行为;操作系统日志管理, 并识别违反安全策略的用户活动。可以与漏洞扫描、防火墙、交换机紧密联动, 形成以主动检测为核心的动态防御体系, 以保证网络系统资源的机密性、完整性和可用性。

2.3 内部防范

在解决外部问题的同时, 对于网络内部的配置和管理同样有重要的意义, 中心交换机是整个局域网的核心节点, 是数据交换的中心枢纽, 我们采用的基于第三层交换机所支持的划分虚拟网段的V L A N技术, 实现全交换的网络结构。V L A N是把物理上通过同等方式的连接虚拟成为多个不同的子网。V L A N最大的功能就是防止广播风暴。一般来说, 如果一个网络的广播包占到所有的通讯包的35%以上, 网络性能就显著下降。通过配置V L A N, 把互访频率比较高的电脑设置在同一个VLAN中, 把无关性大的电脑隔开, 性能的提高将是明显的。我们单位的IP地址有一个C段 (每个用户一个固定IP是不可能的) , 根据用户的性质和需求, 我们划分了若干个虚拟网段, 用户除了重要的服务器外, 都划归到各自的虚拟网段, 这样即解决了IP地址不足的问题又减少了广播域, 减少不同V L A N之间的数据交换, 改善了网络性能。在对网络管理时, 利用V L A N划分网段使得网络上不同地理位置的接入点, 可以处在一个VLAN之内, 像同在一个子网一样, 打破传统的分布路由结构的网络中相同类型的用户需要在同一地理位置的界限, 例如, 我们单位用于安防的监视器和门禁系统。根据用户的性质, 对各个VLAN的参数配置进行设置, 使网络管理更具灵活性。

网络的性能是网络运行的核心, 其管理尤为重要, 在进行网关级别 (防火墙等) 、网络边界 (漏洞扫描、安全审计、防病毒、IDS) 等方面的防御是网络入口处解决“外患”, 在这些设备的严密监控下, 来自网络外部的安全威胁大大减小。但是在实际情况下, 网络的“内忧”即来自网络内部的安全威胁, 才是多数网络管理人员真正需要面对的问题。网络作为信息时代的现代化工具, 同样面临着适当监控、合理使用的问题。尤其值得注意的是, 互联网滥用, 比如过度使用IM、玩游戏、P2P软件或流动媒体, 会给网络的正常运行造成较大的影响, 尤其是网络出口的带宽有限的情况下更是如此。因此, 如何有效地解决这些问题, 以便提高工作效率, 降低安全风险, 已经成为迫在眉睫的紧要任务。当前内网安全管理也随之提升到一个新的高度, 从内到外诸如访问控制、监控、审计、访问跟踪、流量限制等问题也日益凸现。必须对内网进行统一管理以调整网络资源的合理利用。针对内网安全上的这些问题, 我们使用上网行为管理设备, 在内部安全的上网行为管理 (网络安全审计) 上, 通过合理设置访问权限, 能够杜绝对不良网站和危险资源的访问, 防止P2P等软件对网络带来的安全风险。通过带宽管理和访问跟踪技术, 能有效防止对Internet资源的滥用, 使用其中敏感内容拦截和安全审计功能, 可防止保密信息泄漏。通过收集和统计数据, 来评价网络资源的运行状况和通信效率等系统性能, 平衡开放系统之间的负荷。将性能管理与流量管理和路由管理相结合, 使得网络流量分配合理, 网络有效吞吐最高, 避免网络超载和死锁的发生等。

2.4 防范病毒

网络环境下, 病毒除了具有传播性、破坏性、潜伏性、可触发性等共性外, 还具有一些新的特点:感染速度快。而在网络中则可以通过网络进行迅速扩散;扩散面广;传播的形式复杂多样;难于彻底清除;破坏性大。要使计算机免受计算机病毒的侵扰, 最根本的解决办法就是提高计算机自身的安全措施, 所有的服务器一律使用正版的操作系统 (含各种系统) 和正版的防病毒软件, 并及时做更新操作;要求网络用户也尽量能如此, 近几年在这方面已有很大的进步, 但现阶段还不能达到全部入网计算机都达到这个标准。电子邮件已成为病毒传播的主要途径和载体之一, 对邮件服务器则采用专门的保护措施, 用另一服务器作邮件网关, 并在上整合防病毒引擎, 作为防止病毒利用电子邮件传播的有效环节, 能够在病毒被下载并导致危害之前起到隔离、清除作用, 对E-mail用户角度来说, 最有效的防御措施就是尽量不使用客户端工具, 如o u t l o o k、foxmail等接收邮件, 而是直接利用Web方式登录邮件服务器。其次, 利用入侵检测系统和上网行为管理设备中整合杀毒引擎, 对内网用户接收的邮件和下载的文件进行病毒过滤, 降低了内网用户感染病毒的风险, 有效识别和抵御多种攻击, 保护了网络连接到Internet的安全。再者, 就是通过监控路由器、防火墙和中心交换机的运行参数, 结合上网行为管理设备所提供的数据, 及时发现运行异常的计算机, 将其所连接的交换机端口shutdown, 及时隔离其与网络的连接, 保证整个网络的安全。

通过以上措施基本上能保证网络的正常运行, 没有发生由于病毒使网络整体被锁死的现象, 有时会发生个别V L A N局部运行受阻的现象。例如最近网络比较多的ARP欺骗病毒就会造成中毒计算机所在的V L A N局部锁死的现象, 由于我们的主干设备处于单独的V L A N, 一般用户是无法访问的, 主干没有问题, 我们可以很快地确定中毒计算机所处的位置, 迅速隔离后, 网络恢复正常。

总之, 没有绝对安全的网络系统, 网络结构的优化和各种硬件设备的运用是网络安全的重要一环, 但不一定能确保网络的安全。真正的安全是一种意识, 而非技术!在制定严格的管理制度并切实履行的基础上, 要加强日常管理工作, 主动检查网络运行状态和服务器系统安全, 关注网络上最新的病毒和黑客攻击, 通过积累经验, 总结出一套适合本单位网络系统处理故障的方法, 才能保证网络高效、安全地远行。

摘要：计算机网络的建设与安全在园区网络的构建过程中是相互紧密联系的两个方面, 如何处理这两方面的关系, 对网络的安全运行起着至关重要的作用。

关键词：网络构建,安全管理