呂宏強(qiáng)

中共寶雞市委黨校 陜西 721001

0 前言

現(xiàn)有的校園網(wǎng)是在前幾年ADSL上網(wǎng)的基礎(chǔ)上擴(kuò)充為光纖而來(lái)的，用的網(wǎng)絡(luò)設(shè)備都是不可網(wǎng)管的，性能較差，安全性較低。一般都是用寬帶路由作為網(wǎng)絡(luò)的網(wǎng)關(guān)、DHCP服務(wù)器和 DNS服務(wù)器。內(nèi)網(wǎng)服務(wù)器通過(guò)交換機(jī)與客戶(hù)機(jī)相連，處于一個(gè)網(wǎng)段，為了方便管理在內(nèi)網(wǎng)不配置 DNS服務(wù)器，訪問(wèn)內(nèi)網(wǎng)WEB服務(wù)器是通過(guò)IP地址來(lái)完成，也很少搭建FTP服務(wù)。

1 改進(jìn)思路一：配置單獨(dú)的DHCP和DNS服務(wù)器減輕路由的負(fù)擔(dān)

方法相對(duì)很簡(jiǎn)單，需要指定相應(yīng)的網(wǎng)段、IP地址池、網(wǎng)關(guān)、DNS，或者為特殊主機(jī)保留的IP地址。以圖1為例，網(wǎng)段為192.168.1.0，網(wǎng)關(guān)為192.168.1.254，首選DNS為192.168.1.252，IP地址池以網(wǎng)絡(luò)中的主機(jī)數(shù)為依據(jù)，比所有的主機(jī)總數(shù)多就行，如最多100臺(tái)主機(jī)時(shí)可以指定為192.168.1.1至192.168.1.100。

圖1 改進(jìn)思路一網(wǎng)絡(luò)拓?fù)鋱D

由于傳統(tǒng)方案中路由承擔(dān)的服務(wù)角色太多影響網(wǎng)絡(luò)的效率和安全性，為此，可以將路由所承擔(dān)的 DHCP和 DNS服務(wù)分離出來(lái)，由專(zhuān)門(mén)的服務(wù)器來(lái)完成，這一方面可以減輕路由的承擔(dān)；另一方面也便于對(duì)服務(wù)器的集中管理，便于以后網(wǎng)絡(luò)的升級(jí)。

1.1 網(wǎng)絡(luò)拓?fù)鋱D

將寬帶路由的DHCP和DNS服務(wù)分離出來(lái)，用一個(gè)服務(wù)器來(lái)承擔(dān)，以減輕其通信負(fù)擔(dān)。配置的DHCP服務(wù)可以實(shí)現(xiàn)內(nèi)網(wǎng)的IP地址自動(dòng)獲取，配置的DNS服務(wù)可以實(shí)現(xiàn)內(nèi)網(wǎng)HTTP服務(wù)的域名訪問(wèn)和內(nèi)網(wǎng)訪問(wèn)外網(wǎng) WEB站點(diǎn)。配置的FTP服務(wù)可以實(shí)現(xiàn)內(nèi)網(wǎng)的各種教學(xué)資源的共享使用(如圖1)。

1.2 服務(wù)配置

DHCP配置：用中檔客戶(hù)機(jī)就可以實(shí)現(xiàn)DHCP服務(wù)的需求，操作系統(tǒng)最好是 Windows Server 2003。DHCP的配置

DNS配置：DNS服務(wù)對(duì)硬件的要求不是很高，可以和DHCP服務(wù)配置在一臺(tái)服務(wù)器機(jī)上。對(duì)于DNS的配置可以創(chuàng)建WEB服務(wù)器(WWW.AAA.COM=192.168.1.253)和 FTP服務(wù)器(FTP.AAA.COM=192.168.1.253)的正向作用域和反向作用域，配置DNS的轉(zhuǎn)發(fā)器，指向ISP提供的DNS服務(wù)器(如陜西電信可指定 61.134.1.4)。這樣當(dāng)內(nèi)網(wǎng)用戶(hù)訪問(wèn)時(shí)，通過(guò)DNS解析后，如果是內(nèi)網(wǎng)就會(huì)通過(guò)IP地址直接訪問(wèn)，如果是外網(wǎng)就會(huì)通過(guò)網(wǎng)關(guān)去訪問(wèn)外網(wǎng)。同時(shí) DNS配置后就啟動(dòng)了DNS緩存服務(wù)功能，在工作過(guò)程中能夠大減少內(nèi)網(wǎng)對(duì)外網(wǎng)的訪問(wèn)(主要是DNS解析的訪問(wèn))，從而提高通信效率。

WEB/FTP服務(wù)配置：首先，在DNS服務(wù)器上創(chuàng)建WEB和FTP所對(duì)應(yīng)的正向作用域(由域名到IP的解析)和反向作用域(由 IP到域名的解析)；其次，在服務(wù)器上安裝 Windows Server 2003操作系統(tǒng)，并安裝IIS服務(wù)。創(chuàng)建基于主機(jī)頭的虛擬WEB站點(diǎn)和FTP站點(diǎn)，指定相應(yīng)的訪問(wèn)目錄和訪問(wèn)權(quán)限。完成后就能夠在內(nèi)網(wǎng)上通過(guò)域名訪問(wèn) WEB(URL=HTTP://WWW.AAA.COM)和FTP(URL=FTP://FTP. AAA.COM)服務(wù)。

安全防護(hù)措施配置：在DHCP/DNS服務(wù)器和WEB/FTP服務(wù)器上安裝桌面防火墻和殺毒軟件，以提高服務(wù)器的安全防護(hù)能力。

1.3 優(yōu)點(diǎn)

內(nèi)網(wǎng)的DHCP和DNS不再由路由來(lái)承擔(dān)，而是由專(zhuān)門(mén)的服務(wù)器來(lái)承擔(dān)，這樣有利于減輕路由的負(fù)擔(dān)，同時(shí)內(nèi)網(wǎng)的WEB和FTP兩種服務(wù)均可以采用域名來(lái)訪問(wèn)，方便了用戶(hù)對(duì)內(nèi)網(wǎng)的訪問(wèn)。

1.4 缺點(diǎn)

安全性不高，內(nèi)網(wǎng)服務(wù)器和客戶(hù)機(jī)還是在同一網(wǎng)段，安全性方面和傳統(tǒng)的方案沒(méi)有多大提高。同時(shí)桌面防病毒軟件防護(hù)能力有限，不能起到有效的防護(hù)，特別是對(duì)于基于局域網(wǎng)傳播的病毒(如ARP)防護(hù)力度很差。

2 改進(jìn)思路二：采用代理服務(wù)器，增加內(nèi)網(wǎng)的安全

改進(jìn)思路一雖然將路由的部分服務(wù)角色分離出來(lái)，但是對(duì)于網(wǎng)絡(luò)的安全防護(hù)沒(méi)有改進(jìn)多少，不便于安裝基于網(wǎng)絡(luò)訪問(wèn)的防火墻，內(nèi)網(wǎng)服務(wù)器也無(wú)法對(duì)外發(fā)布。改進(jìn)思路二在思路一的基礎(chǔ)上增加了堡壘主機(jī)，起到內(nèi)外網(wǎng)絡(luò)隔離的作用，對(duì)網(wǎng)絡(luò)的安全具有一定的作用。下面對(duì)改進(jìn)思路二作簡(jiǎn)單的說(shuō)明。

2.1 網(wǎng)絡(luò)拓?fù)鋱D

代理服務(wù)器采用雙網(wǎng)卡的堡壘主機(jī)來(lái)增加網(wǎng)絡(luò)的安全性。堡壘主機(jī)的作用主要有：Internet防火墻、Web緩存服務(wù)器以及內(nèi)網(wǎng)服務(wù)器發(fā)布等。雙網(wǎng)卡的堡壘主機(jī)一個(gè)網(wǎng)卡與路由相連，IP地址與路由的LAN口IP在同一網(wǎng)段，如圖可設(shè)為192.168.1.253；另一網(wǎng)卡與內(nèi)網(wǎng)交換機(jī)相連，IP地址與內(nèi)網(wǎng)IP在同一網(wǎng)段，如圖可設(shè)為192.168.2.254，此IP也是內(nèi)網(wǎng)用戶(hù)的網(wǎng)關(guān)IP。此思路內(nèi)外網(wǎng)通過(guò)堡壘主機(jī)進(jìn)行了隔離，同時(shí) DHCP/DNS由內(nèi)網(wǎng)的專(zhuān)門(mén)服務(wù)器承擔(dān)也減輕了路由的負(fù)擔(dān)，這樣不僅提高了網(wǎng)絡(luò)的效率和安全性，也便于維護(hù)管理(如圖 2)。

圖2 改進(jìn)思路二網(wǎng)絡(luò)拓?fù)鋱D

2.2 服務(wù)配置

DHCP/DNS配置：同思路一，網(wǎng)段為192.168.2.0，網(wǎng)關(guān)為192.168.2.254，DNS為192.168.2.252。

WEB/FTP配置：同思路一，WEB服務(wù)器(WWW.AAA.COM=192.168.2.253)和FTP服務(wù)器(FTP.AAA.COM=192.168.2.253)。

防火墻配置：在堡壘主機(jī)上安裝防火墻軟件ISA2004，并設(shè)置相應(yīng)的網(wǎng)絡(luò)規(guī)則和防火墻策略，以達(dá)到對(duì)內(nèi)網(wǎng)的訪問(wèn)控制和安全防護(hù)作用。

2.3 優(yōu)點(diǎn)

①安全性較高：通過(guò)堡壘主機(jī)使得內(nèi)網(wǎng)和外網(wǎng)得到有效的隔離，保障了內(nèi)網(wǎng)的安全，也可以避免內(nèi)網(wǎng)中的客戶(hù)機(jī)受到外網(wǎng)的攻擊。

②網(wǎng)絡(luò)效率較高：堡壘主機(jī)具有 Web緩存服務(wù)器的作用，可以大大提高內(nèi)網(wǎng)訪問(wèn)外網(wǎng)的效率。

2.4 缺點(diǎn)

①改進(jìn)成本較大和管理難度較高：此思路要增添堡壘主機(jī)和ISA2004軟件，同時(shí)對(duì)網(wǎng)絡(luò)管需要較專(zhuān)業(yè)的網(wǎng)管員來(lái)完成。

②安全性不高：內(nèi)網(wǎng)服務(wù)器和內(nèi)網(wǎng)用戶(hù)同處于一個(gè)網(wǎng)段，服務(wù)器的安全不能得到很好的保障，安全性不高。

3 改進(jìn)思路三：構(gòu)建DMZ區(qū)，增加內(nèi)網(wǎng)的安全性

改進(jìn)思路二采用雙網(wǎng)卡的堡壘主機(jī)作為代理服務(wù)器，這有利于網(wǎng)絡(luò)安全的提高，但是對(duì)于內(nèi)網(wǎng)的WEB/FTP服務(wù)器與用戶(hù)在同一網(wǎng)段，不便于服務(wù)的安全管理，為此思路三在雙網(wǎng)卡的基礎(chǔ)上采用三網(wǎng)卡的堡壘主機(jī)，將內(nèi)網(wǎng)的WEB/FTP服務(wù)器規(guī)劃在DMZ區(qū)，將內(nèi)網(wǎng)、外網(wǎng)和服務(wù)器網(wǎng)段分離開(kāi)來(lái)，達(dá)到很好的防護(hù)效果。下面對(duì)改進(jìn)思路三作簡(jiǎn)單的說(shuō)明。

3.1 網(wǎng)絡(luò)拓?fù)鋱D

采用三網(wǎng)卡的堡壘主機(jī)來(lái)增加網(wǎng)絡(luò)的安全性。堡壘主機(jī)的連接情況如圖3所示：一個(gè)網(wǎng)卡連接路由，IP地址可設(shè)為192.168.1.253；另一網(wǎng)卡與內(nèi)網(wǎng)交換機(jī)相連，IP地址可設(shè)為192.168.2.254，此IP也是內(nèi)網(wǎng)用戶(hù)的網(wǎng)關(guān)IP；第三個(gè)網(wǎng)卡與DMZ區(qū)相連，IP地址可設(shè)為192.168.3.254，此IP是DMZ區(qū)服務(wù)器的外網(wǎng)網(wǎng)關(guān)IP。在堡壘主機(jī)上安裝ISA2004網(wǎng)關(guān)防火墻。對(duì)于網(wǎng)絡(luò)設(shè)備交換機(jī)和路由器，可采用專(zhuān)業(yè)的產(chǎn)品(如思科、華為)，這更能增加網(wǎng)絡(luò)的安全性和可管理性。

圖3 改進(jìn)思路三網(wǎng)絡(luò)拓?fù)鋱D

3.2 服務(wù)配置

DHCP/DNS配置：DHCP/DNS服務(wù)器部署在內(nèi)網(wǎng)，配置方法同思路二。網(wǎng)段為192.168.2.0，內(nèi)網(wǎng)網(wǎng)關(guān)為192.168.2.254，DNS為192.168.2.253。

WEB/FTP配置：WEB/FTP服務(wù)器部署在DMZ區(qū)，配置方法類(lèi)同思路二。WEB服務(wù)器(WWW.AAA.COM=192.168.3.252)和FTP服、務(wù)器(FTP.AAA.COM=192.168.3.253)。

防火墻配置：在堡壘主機(jī)上安裝防火墻軟件 ISA2004，并設(shè)置相應(yīng)的網(wǎng)絡(luò)訪問(wèn)規(guī)則，使得內(nèi)網(wǎng)用戶(hù)可以訪問(wèn)外網(wǎng)和DMZ區(qū)；外網(wǎng)和DMZ不能訪問(wèn)內(nèi)網(wǎng)，但可以互相訪問(wèn)，并設(shè)置相應(yīng)的防火墻策略，以達(dá)到對(duì)內(nèi)網(wǎng)的訪問(wèn)控制和安全防護(hù)作用。同時(shí)還可以將DMZ區(qū)的服務(wù)器向外網(wǎng)發(fā)布，以便外網(wǎng)客戶(hù)的訪問(wèn)。

3.3 優(yōu)點(diǎn)

①安全性高：通過(guò)DMZ使得內(nèi)網(wǎng)服務(wù)器和客戶(hù)機(jī)在不同的網(wǎng)段，增強(qiáng)了服務(wù)器的安全性。同時(shí)通過(guò)ISA2004使得內(nèi)網(wǎng)的訪問(wèn)得到很好的控制，也保證了客戶(hù)機(jī)的安全。這樣可以有效防護(hù)內(nèi)網(wǎng)客戶(hù)機(jī)的安全，同時(shí)DMZ區(qū)的服務(wù)器的安全性也受到堡壘主機(jī)的防護(hù)。

②拓展性強(qiáng)：構(gòu)建DMZ不僅可以提高網(wǎng)絡(luò)安全性，還有利于網(wǎng)絡(luò)的拓展升級(jí)，如用DMZ區(qū)的服務(wù)器承擔(dān)學(xué)校外網(wǎng)網(wǎng)站服務(wù)，可以減少網(wǎng)站服務(wù)器托管費(fèi)用。

③管理性強(qiáng)：網(wǎng)絡(luò)設(shè)備采用專(zhuān)業(yè)的可網(wǎng)管的產(chǎn)品，可以進(jìn)行更加細(xì)致和專(zhuān)業(yè)的管理，如可以對(duì)內(nèi)網(wǎng)劃分VLAN以減小網(wǎng)絡(luò)廣播的影響，同時(shí)可以有效防止類(lèi)似ARP病毒對(duì)局域網(wǎng)大范圍的傳播和攻擊。專(zhuān)業(yè)的網(wǎng)絡(luò)設(shè)備還可以通過(guò)網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程管理和維護(hù)。

3.4 缺點(diǎn)

①改進(jìn)成本較大：此思路要增添堡壘主機(jī)和ISA2004軟件，還要增加相應(yīng)的專(zhuān)業(yè)網(wǎng)絡(luò)設(shè)，改進(jìn)成本較大。

②管理難度較高：網(wǎng)絡(luò)管理需要懂ISA2004和專(zhuān)業(yè)網(wǎng)絡(luò)設(shè)備維護(hù)管理的專(zhuān)業(yè)網(wǎng)管員來(lái)完成。

4 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全的防護(hù)與網(wǎng)絡(luò)的結(jié)構(gòu)緊密相關(guān)，不同的結(jié)構(gòu)具有不同的安全防護(hù)作用。對(duì)于不同需求的學(xué)校可以將以上幾種思路作為改進(jìn)網(wǎng)絡(luò)時(shí)的一個(gè)參考，本著提高網(wǎng)絡(luò)效率，增加網(wǎng)絡(luò)安全性的原則去進(jìn)行改進(jìn)。

[1] 蔡磊.小型局域網(wǎng)級(jí)網(wǎng)實(shí)戰(zhàn).電子工業(yè)出版社.2001.

[2] 劉曉輝.圖解局域網(wǎng)構(gòu)建與實(shí)戰(zhàn).北京科海電子出版社.2006.

[3] 美Jeffey R.Shapiro.Windows Server 2003寶典.電子工業(yè)出版社.2004.

[4] 王達(dá).網(wǎng)管員必讀——網(wǎng)絡(luò)應(yīng)用.電子工業(yè)出版社.2006.