文/王偉林 王迪

如何保證校園公共機房的網(wǎng)絡安全

文/王偉林 王迪

校園公共機房為師生提供了教學和應用平臺，是教師和學生集中學習和應用信息技術的關鍵場所，公共機房在提供上網(wǎng)的同時，也遇到網(wǎng)絡安全威脅。學生的公共機房應用分為三種類型：單機應用，即與其他電腦之間無數(shù)據(jù)傳輸；機房內(nèi)部電腦聯(lián)網(wǎng)應用，電腦之間可以相互傳輸數(shù)據(jù)；機房內(nèi)網(wǎng)與外部網(wǎng)絡相連并有數(shù)據(jù)傳輸。第一類應用不涉及網(wǎng)絡安全威脅，第二與第三類應用由于與其他電腦和網(wǎng)絡傳輸數(shù)據(jù)，在傳輸正常數(shù)據(jù)的同時，也存在病毒、木馬等程序代碼的傳播，甚至成為惡意攻擊、網(wǎng)絡竊聽行為的有效途徑，影響機房電腦的正常應用，構成校園公共機房安全威脅。

機房建設和維護者通常需要考慮比較多的是機房應用需求，而忽視了網(wǎng)絡安全，采取網(wǎng)絡硬件隔離、電腦安裝還原卡等單項措施，缺乏規(guī)范性、廣泛適用性的校園公共機房網(wǎng)絡安全體系。

網(wǎng)絡安全方案

南京信息職業(yè)技術學院軟件學院有公共機房16個，約900臺機器。其中201、202機房各105臺，其它每個機房約50臺機器。網(wǎng)絡拓撲結構如圖1所示。

位于軟件學院的銳捷三層交換機S6806E、校園網(wǎng)核心交換機S6810E、城市熱點認證計費系統(tǒng)、防火墻為骨干網(wǎng)絡；每個公共機房使用一臺H3C E328作為二層交換機，通過多模光纖與軟件學院三層交換機S6806E連接。機房內(nèi)部使用一臺E328交換機和一臺TPlink交換機連接電腦，E328交換機（24端口）與TPlink交換機之間使用雙絞線級聯(lián)。E328為可配置型交換機， TPlink為不可配置型交換機。

安全需求分析

網(wǎng)絡物理連接管理規(guī)范化

公共機房使用率高，交換機端口易老化；另外，人為意外造成電腦網(wǎng)線接口松動，經(jīng)常導致網(wǎng)絡物理連接故障。每個機房計算機不多，機房使用配線箱，不使用配線架，直接將連接電腦的網(wǎng)線連接交換機。由于沒有跳線表等規(guī)范文檔，一旦發(fā)生物理連接故障，機房維護人員往往需要花費較長時間用于物理線路排錯。

控制學生上網(wǎng)行為

目前，公共機房用于不同學科的教學工作。一般情況下，教師的課件、有關學習資料存放在軟件學院的服務器上，學生只需訪問軟件學院服務器即可，通常不需要訪問Internet，所以需要制定機房學生上網(wǎng)控制策略，控制學生的上網(wǎng)行為。

防病毒傳播

公共機房易染病毒，大量病毒通過機房在校園網(wǎng)迅速傳播，預防和清除計算機病毒使機房管理者費時耗力。目前公共機房病毒傳播主要通過文件拷貝、文件傳送、下載等方式進行，U盤和網(wǎng)絡傳播成為機房病毒擴散的主要途徑。需要控制病毒在公共機房內(nèi)部傳播，保障機房計算機穩(wěn)定運行。

會話與流量資源的控制

公共機房不僅承擔教學任務，還提供學生自主上網(wǎng)，查詢資料的服務。學生經(jīng)常利用BT、電驢、迅雷等P2P軟件下載文件，這些軟件在下載任務的同時也在上傳信息，而且是多任務、多線程。此外，計算機感染木馬及病毒，會向外網(wǎng)產(chǎn)生大量連接會話，消耗校園網(wǎng)出口帶寬和并發(fā)連接會話資源，造成網(wǎng)絡出口擁堵。需要研究并設計控制網(wǎng)絡流量和會話資源的方案，保障校園網(wǎng)出口數(shù)據(jù)傳輸暢通。

追蹤機房用戶上網(wǎng)行為

公共機房計算機用戶不固定，用戶上網(wǎng)操作信息難以跟蹤和定位。為追蹤機房用戶使用公共機房計算機在網(wǎng)上發(fā)表違法言論，需要制定追蹤用戶上網(wǎng)行為的安全策略。

機房網(wǎng)絡安全策略

將連接電腦與交換機的網(wǎng)線兩端做標記，使電腦與交換機端口對應，如圖2所示。一旦某臺電腦發(fā)生物理連接故障，根據(jù)對應表可以直接找到接入交換機的線纜及端口。經(jīng)此規(guī)范化管理，可以減少機房維護工作量，提高網(wǎng)絡連接故障維護工作效率。

機房用戶上網(wǎng)控制策略

遠程管理交換機

由于機房數(shù)目較多，為便于對各公共機房上網(wǎng)控制，需要確定管理員能遠程登錄機房二層交換機，對交換機配置管理。用Vlan 100作為交換機管理Vlan，為方便管理員記憶，使用與房間號對應的交換機管理地址，表1所示為部分示例。

表1 機房交換機管理IP地址分配

交換機可以通過Telnet、Web和SSH登陸方式進行遠程管理。

公共機房二層交換機E328啟用SSH遠程登陸方式的配置過程（以314機房的交換機為例）：

設置用戶登錄認證方式

管理員完成以上配置，就可以在與交換機連接的終端上，運行支持SSH2.0 的客戶端軟件（SecureCRT），以用戶名admin和設置的密碼登陸，遠程管理交換機。

管理機房上網(wǎng)行為

公共機房的IP地址段為：172.18.0.0/16。軟件學院的服務器IP地址屬于222.192.238.0/24地址段內(nèi)，用于師生上傳和下載學習資料。公共機房用戶上網(wǎng)策略為：默認機房用戶可以連接Internet，如果中斷連接Internet，則機房用戶只能訪問軟件學院服務器。

在二層交換機上，使用ACL訪問控制列表，對機房用戶上網(wǎng)控制。交換機配置如下：

如果機房用戶需要訪問Internet，不需要使用該ACL。如果只允許該機房用戶訪問軟件學院的服務器，禁止訪問其他網(wǎng)絡，在E328交換機級連光纖端口（GigabitEthernet1/1/1）上，應用定義的ACL訪問策略，方向為outbound。配置如下：

防病毒策略

劃分VLAN縮小病毒廣播域

計算機病毒一般會通過在內(nèi)網(wǎng)廣播的方式進行傳播。通過對軟件學院公共機房機器的IP地址段（172.18.0.0/16）做進一步的子網(wǎng)劃分，設計每個機房使用一個24位掩碼的地址段，如表2所示，為方便物理連接維護，記錄每個機房

表2 機房VLAN劃分示例

二層交換機所連接的科技樓三層交換機的光纖端口。這樣通過廣播方式傳播的病毒只會在Vlan內(nèi)部，即機房內(nèi)部傳播，大大降低了病毒感染其他機房機器的可能性。過濾病毒傳播使用的端口

通過在機房二層交換機E328上應用ACL，過濾病毒傳播所使用的端口，這些端口主要有：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后門端口（如 TCP 2745、3127、6129 端口），以及遠程服務訪問端口3389。

公共機房ARP病毒防范

在機房主機上安裝360安全衛(wèi)士，開啟360安全衛(wèi)士ARP防火墻功能，將網(wǎng)關的IP與MAC地址進行手動綁定，選擇“手動指定網(wǎng)關/DNS”，在“ARP主動防御”中選擇“始終啟用”。

防止用戶U盤病毒的傳播

關閉U盤（包括其他設備）自動播放的功能。電腦設置成自動播放功能，但是自動播放還是有缺點的，有些病毒藏在U盤里會通過自動播放運行使電腦中毒。關閉“自動播放”的方法：選擇“開始”—“運行”—輸入gpedit.msc，在“用戶配置”—“管理模板”—“系統(tǒng)”選擇“關閉自動播放”，然后選擇“已啟用”，點擊“確定”。

開啟360殺毒軟件自動掃描U盤功能。確保360安全衛(wèi)士“實時防護”—“U盤防火墻”功能處于“開啟”狀態(tài)。

使用系統(tǒng)還原卡保護主機系統(tǒng)

還原卡的基本工作原理：把硬盤（或網(wǎng)絡上另一部電腦）的其中一部分分割出來，用以備份硬盤的重要資料（例：操作系統(tǒng)、應用程序等），以便隨時可以還原。還原卡不會對硬盤資料進行備份，只是記錄硬盤的讀寫操作。當用戶設定還原點以后，不管在操作系統(tǒng)上安裝上新的程序還是刪除文件，都記錄在還原點之外，不會影響原有的硬盤資料，當需要還原時，還原卡根據(jù)記錄，把還原點內(nèi)的資料恢復，并刪除還原點以外的資料。

會話控制與帶寬管理策略

會話數(shù)控制

使用校園網(wǎng)出口防火墻，通過單用戶會話和流量控制功能進行相關管理。通過應用防火墻設置新建連接閥值，可以對網(wǎng)絡中每個用戶會話連接數(shù)進行控制，當閥值被觸動后，動態(tài)地將非法用戶添加到黑名單，直接將非法用戶連接阻斷，并且可以靈活的設置控制黑名單的有效時間。通過單用戶會話數(shù)限制，可以做到：當校園網(wǎng)內(nèi)機器病毒爆發(fā)時，阻止大量數(shù)據(jù)包對外建立連接，耗費網(wǎng)絡資源；阻止黑客對網(wǎng)絡的掃描；阻止黑客進行DDOS攻擊。

帶寬管理

目前很多學校都使用城市熱點認證計費管理系統(tǒng)，為減輕防火墻負擔，運用城市熱點認證計費系統(tǒng)的帶寬管理功能。在管理工具“計費策略”—“服務策略設置”定義科技樓公共機房單用戶下行帶寬與上行帶寬的數(shù)值。

上網(wǎng)行為記錄管理

通常，學校會使用城市熱點認證計費系統(tǒng)中的“專線”方式讓公共機房用戶不需要登錄即可免費上網(wǎng)，這樣雖然達到免費上網(wǎng)目的，但是在上網(wǎng)日志中只能根據(jù)IP地址記錄登錄和上網(wǎng)情況，由于IP地址可以更改，所以這種方法不能實現(xiàn)實名制上網(wǎng)需求。

為了使公共機房用戶也需要采用實名制上網(wǎng)，使用城市熱點認證計費系統(tǒng)對機房用戶不采取“專線”上網(wǎng)方式，仍然需要用戶進行上網(wǎng)認證。使用“源地址資源策略”對機房用戶免費，如圖3所示，在管理工具“計費策略”-“源地址資源策略”中，定義策略組“ruanjianxueyuan”，將軟件學院公共機房IP地址段（172.18.0.1—172.18.254.254）輸入到“源地址清單中，并將“時長折扣”設置為0%。這樣機房用戶雖然需要登錄，但認證計費系統(tǒng)在做計費的時候，上網(wǎng)時長始終為0，以達到免費上網(wǎng)目的。

自公共機房網(wǎng)絡安全方案在軟件學院實施以來，通過規(guī)范化的機房網(wǎng)絡運行管理，減少了軟件學院公共機房維護人員工作量，機房病毒、木馬爆發(fā)次數(shù)明顯減小，機房網(wǎng)絡運行穩(wěn)定，為公共機房的正常運轉(zhuǎn)提供了有力保障，將公共機房網(wǎng)絡安全威脅降低至較低水平。

在今后的工作中，還需要在以下兩方面繼續(xù)努力：首先，機房網(wǎng)絡安全策略進一步細化。隨著機房發(fā)展規(guī)模擴大，服務功能多樣化，網(wǎng)絡服務對象將更加豐富，需要定義更細致的安全策略。其次隨著網(wǎng)絡迅速發(fā)展，木馬和病毒種類將不斷增多，針對不斷遇到的安全新問題，及時更新網(wǎng)絡安全策略。

圖3 源地址資源策略定義

（作者單位為南京信息職業(yè)技術學院）

過濾病毒端口ACL定義

[H3C]acl number 3001

[H3C-acl]rule 0 permit tcp

[H3C-acl]rule 1 deny tcp destination-port eq 135

[H3C-acl]rule 2 deny tcp destination-port eq 139

[H3C-acl]rule 3 deny tcp destination-port eq 445

[H3C-acl]rule 4 deny tcp destination-port eq 593

[H3C-acl]rule 5 deny tcp destination-port eq 1025

[H3C-acl]rule 6 deny tcp destination-port eq 2745

[H3C-acl]rule 7 deny tcp destination-port eq 3127

[H3C-acl]rule 8 deny tcp destination-port eq 6129

[H3C-acl]rule 9 deny tcp destination-port eq 3389

[H3C-acl]rule 10 permit udp

[H3C-acl]rule 11 deny udp destination-port eq 135

[H3C-acl]rule 12 deny udp destination-port eq 137

[H3C-acl]rule 13 deny udp destination-port eq 138

[H3C-acl]rule 14 deny udp destination-port eq 445

應用ACL定義（應用方向為inbound）：

#進入交換機接口

[H3C]interface Ethernet1/0/20

[H3C-if]packet-filter inbound ip-group 3001 rule 0

[H3C-if]packet-filter inbound ip-group 3001 rule 1