校园网出口安全分析与设计研究

2022-09-10

1 校园网出口需要考虑的主要问题

当前, 校园网出口普遍存在以下几个需要考虑的主要问题。

1.1 网络地址转换 (NAT) 的问题

出口设备要具备的NAT功能是共识。一方面, 校内普遍存在使用私有地址的情况, 在访问Internet时需要进行NAT;另一方面, 即使校内使用真实的教育网I P, 那么通过电信或者网通的线路访问外部资源, 仍然需要进行N A T, 因为电信所分配的地址更有限。N A T等于给出口设备增加了一项很重要的任务, 但是从实际情况来看, N A T却成为了上网速度慢的一个重要原因, 究其根本设备的性能是一个很大的原因。

1.2 支持策略路由的问题

当前, 高校校园网大多采用多出口的架构, 这主要是因为:提高访问外网的速度需要多出口互联, C e r n e t与电信、网通等运营商的互联仅在上海、北京、广州三地有交互中心, 且互联带宽还不够高, 这就给教育网用户访问公众网资源和运营商用户访问教育网资源带来了问题;解决了链路备份的问题, 可以避免单出口的单点故障;解决了费用问题, 电信、网通等I S P的包月交费制提供了降低费用的好思路。

从上面采用多出口架构的原因分析可以看出, 有必要对不同用户规定不同的路径, 根据不同的访问制定相应的路径——也就是基于策略的路由 (P B R) 。

1.3 安全防护能力的问题

校园网出口的安全防护能力一直是重点关注的对象, 当前校园网出口面临的安全威胁有两个主要特点:第一, 快速增长的网络带宽为攻击提供了更多的空间。以前只有几兆的出口带宽, 而现在已经是千兆入户、百兆到桌面, 骨干网的带宽已经普及到万兆。第二, 越来越丰富的应用, 使得安全威胁的种类越来越多, 不仅有非法入侵、网络渗透, 还有网络欺骗、DoS攻击、各种恶意软件、垃圾邮件等。网络越发达, 安全威胁出现的次数就越多, 可能造成的损失也就越大。

1.4 日志记录的问题

2005年11月23日公安部部长办公会议上通过, 并自2006年3月1日起已经施行的《互联网安全保护技术措施规定》, 对用户上网记录、地址转换记录、设备状态记录等都有明确的要求。一旦被安全主管部门发现有不符合网络运营日志的情况极可能面临关闭网络或者整顿的危机。

1.5 流量控制的问题

校园网的规模不断扩大, 各种网络应用也更加丰富。但是, 某些用户或者应用 (如BT等P 2 P应用) 却占用了过多的网络资源, 造成网络速度的严重下降, 对网络的可用性造成威胁。因此, 有必要对某些用户或者某些特定应用进行控制。

1.6 高可用性的问题

以太网发明人Bob Metcalf曾说过, “网络的价值和其节点数的平方成正比”。但是, 价值体现的前提是网络的正常稳定运行。当前, 用户对网络的服务质量要求越来越高, 校园网内某一区域的不正常只会影响到一部分的用户, 而校园网出口的不可用将导致整个学校与外界的隔断, 校内与校外的任何互访与联系都将无法通过校园网来实现。

2 网络出口安全设计

基于上述分析, 结合校园网建设的目标, 新的校园网出口将改变原有单出口的情况, 采用普遍流行的双出口方案, 在原有电信出口的基础上, 增加一条到Cernet的链路。新的出口方案将两台核心路由交换机, 分别上连到两台防火墙冗余接入Cernet和Chinanet。两台FIREWALL1800防火墙通过V R R P实现相互备份, 在三层交换机S 6 8 1 0上通过策略路由或静态路由实现防火墙的负载均衡。

当校园网用户访问外网时, 由校园网的核心路由设备负责选路, 根据制定的策略路由或者静态路由, 把数据包转发到相应的Cernet或Chinanet出口防火墙。比如, 访问教育网的流量和E-M a i l流量走Cernet出口, 其它所有的流量走Chinanet出口。同时, 在出口防火墙上要启用N A T功能, 使有限的公用I P可以满足大量用户并发访问的需求, 也能相应的提高校园网的安全。

利用防火墙的负载均衡、M u l t i-l i n k Trunking (多链路聚合) 、集群 (Cluster) 技术, 该出口方案可以根据管理员事先的定义 (下一跳或者若干跳路由器是否工作正常) , 自动监测Cernet或者Chinanet的可用性, 如发现到C e r n e t的链路中断而Chinanet正常时, 能自动将原先直接转发到Cernet的数据包通过Chinanet间接转发到C e r n e t, 使得单个的防火墙集群可以连接到多个I S P (网络服务提供商) 上的路由器上, 在多个I S P之间提供负载均衡和链路冗余, 消除了因一个I S P不可用而导致的单点故障, 充分保证了用户端到端应用的可靠与透明。

在上网的最高峰, 按同时在线用户数为总人数的1/2, 按每个用户可接受 (入的方向) 的数据传输速率为512Kbps为基准, 则校园网出口的实际需求将达到5000Mbps, 当前学校仅有300Mbps电信出口, 已经严重制约了校园网的使用。随着用户的快速增加和新应用的不断扩展, 校园网用户的需求与有限的出口带宽之间的矛盾还将长期存在, 如果处理不当, 将会威胁到网络的可用性。可以采取“开源节流”的策略, 一方面积想法拓展外部带宽, 另外一方面在资源矛盾突出的Chinanet出口可以部署专门的流量管理设备, 做到带宽资源的精细化管理, 优先保证关键用户、关键应用的带宽需求, 实现差异化的服务管理。

内网的安全防护是出口设计要考虑的重点问题, 本方案将该问题主要交给了两台防火墙FIREWALL1800。安全防护的对象是校园网中的所有节点 (包括用户终端、服务器以及网络设备本身) , 防护的内容主要是阻塞网络的异常流量 (如T C P/U D P/ICMP flooding、Probing、Worm、Spam) 以及恶意软件 (如木马) 的攻击等, 是一种广谱型的防范, 因此防火墙要做内容检测, 对设备吞吐量的要求很高, 在具体选型和部署时要防止产生瓶颈。不但要考虑防火墙性能, 还要考虑它自身的安全性以及所具备的安全防护手段。另外, 人性化的安全审计日志也是要考虑的因素, 便于在出现安全问题后追查责任。

摘要：校园网出口是校园网 (内网) 与Internet (外网) 的接口, 调查中发现, 在以往的校园网设计中经常被忽视, 近年来由于校园网出口链路的增加、因特网安全环境的恶化、对外网资源需求的膨胀, 尤其是基于P2P的文件共享以及在线视频观看等, 导致出口设计的复杂度上升, 出口设计要使校园网能够安全、可靠和高速的访问外网。

关键词：校园网,出口,安全,设计