楊朋 殷旻昊

摘要：隨著信息科技的飛速發(fā)展，校園網的應用建設和規(guī)模也越來越大，而與此同時，飛速發(fā)展的互聯(lián)網應用技術也給校園網的網絡安全提出了越來越嚴峻的考驗，互聯(lián)網對校園網的攻擊策略和手段也層出不窮，但歸根結底，其流量和手段都需要從校園網與互聯(lián)網的邊界進行流入流出。所以如何部署穩(wěn)固校園網的邊界網絡安全設備，打造邊界網絡安全體系，從而為校園網提供一個安全可靠的上網環(huán)境是該文研究的重點。

關鍵詞：邊界網絡;校園網;安全

中圖分類號：TP393.1 ? ? ? ?文獻標識碼：A

文章編號：1009-3044（2020）25-0075-02

Abstract：With the rapid developing of information technology， the constructions and the scale of campus network applications are becoming larger. At the same time， the rapid development of Internet application technology also poses more severe challenges to the network security of campus network. The attack strategies and methods of the campus network are also endless， but in the final analysis， but in the final analysis， most of the traffic and methods need to flow in and out from the border between the campus network and the Internet. Therefore， how to deploy the border network security equipment to stabilize the campus network and create a border network security system to provide a safe and reliable online environment for the campus network is the focus of this paper.

Key words： border network; campus network; security

1 前言

校園網絡是打造高校“數(shù)字校園”“智慧校園”的載體，而校園網絡的安全則是所有校園網絡和應用系統(tǒng)建設的前提條件[1]。當前，大多數(shù)學校對于投入了大量資金用于網絡環(huán)境的建設，已經形成了良好的網絡環(huán)境和應用體系，校園網的數(shù)字化應用已經遍及師生日常生活的各個方面。但隨著云服務技術和大數(shù)據技術的不斷發(fā)展，校園網的信息安全問題也日益突出，尤其是在校園網邊界附近，交換機、路由器、防火墻等設備所面臨的考驗形勢變得非常嚴峻，網絡安全威脅日益復雜，攻擊來源層出不窮、攻擊手段種類繁多、攻擊目標多種多樣、攻擊危害也愈加嚴重[2]。這就要求學校對校園網的安全防護工作不僅僅要求能夠防御網絡攻擊，更要求預先防患未然，將網絡安全隱患排斥于校園網之外[3]。本文是通過論述學校的邊界網絡安全體系，邊界網絡安全設備的部署情況，通過各個安全設備的聯(lián)動運行可以有效防御當前問題較為突出的Web漏洞及網絡攻擊威脅，實現(xiàn)學校各個應用系統(tǒng)的安全、可靠和可控，從而建立比較安全的網絡環(huán)境來保障教學服務質量和師生上網安全[4-5]。

2 研究背景

當前，大多數(shù)學校均部署了較為完善的邊界網絡安全設備來保障校內網絡安全，當用戶通過在校園內部網絡進行訪問互聯(lián)網的時候，其數(shù)據包經過邊界網絡安全設備時經過層層審計來保障數(shù)據安全，同時也將互聯(lián)網進行廣泛傳播的網絡風暴、病毒等隔離出校園網之外，使校園內網形成了一個相對封閉安全的上網環(huán)境[6]。本文所指邊界網絡安全設備主要是指學校的校園網出口至核心交換機到的網絡設備，主要有網絡出口防火墻設備、入侵防御系統(tǒng)設備、多業(yè)務控制網關、負載均衡設備等設備共同保障網絡的安全運行。這些網絡安全設備的聯(lián)動使用一方面可以抵御網絡病毒、DDos攻擊，端口攻擊、拒絕服務攻擊、提權攻擊等的網絡攻擊手段，另一方面還可以主動監(jiān)測學校內部系統(tǒng)的安全漏洞和學校外部網絡的網絡隱患，達到預先防范的效果。從而更好地保障校園網的網絡安全。

3 系統(tǒng)設計方案

3.1 系統(tǒng)總體設計框架

校園網邊界網絡安全顧名思義把有著不同安全級別的校園網和外界互聯(lián)網相連接，并通過在校園網網絡邊界處部署相應的軟硬件設備來設置的安全防御措施，一方面保障校園內部合法用戶合法的訪問外界互聯(lián)網，另一方面過濾掉非法訪問和惡性攻擊行為，從而建立起比較穩(wěn)定、可靠的安全防御體系。目前天津師范大學核心交換機由兩臺萬兆交換機虛擬化為一個核心進行負責，在核心交換機和互聯(lián)網串聯(lián)部署出口網關、出口防火墻、負載均衡設備、抗DDoS系統(tǒng)、IPS等安全設備，同時在學校的核心交換機旁單臂部署了BRAS設備、VPN網關系統(tǒng)、上網行為管理系統(tǒng)、日志審計系統(tǒng)、DNS系統(tǒng)、網絡緩存系統(tǒng)、流量清洗系統(tǒng)等。通過這些系統(tǒng)的部署，可以有效地實現(xiàn)抵御外來網絡攻擊，審視用戶上網行為，檢測校園內部系統(tǒng)的網絡漏洞等功能。其主要設備的部署拓撲圖如圖1所示。該部署方式既能減少了學校主干網絡上的安全設備，同時也為邊界網絡安全體系的進一步的健壯提供了較好的兼容性和可擴展性。

3.2 串聯(lián)網絡安全設備

串聯(lián)的網絡安全設備必須實現(xiàn)高轉發(fā)速度、高穩(wěn)定性、高安全性、高兼容性以及高智能性，同時也需要實時地對病毒數(shù)據庫進行更新。串聯(lián)的網絡安全設備對校園網提供了環(huán)境感知功能，實現(xiàn)對安全策略的制定，病毒入侵的主動防御，病毒風險的隔絕，異常流量的監(jiān)控，惡意文件的監(jiān)測，IP地址的隔離，數(shù)據庫升級等功能。

出口防火墻（Firewall）無疑是最重要的邊界網絡安全設備，也是校園網安全體系的第一道防線。出口防火墻是通過分析ARP數(shù)據包并配置相應的NAT訪問策略來保護校內的端口、服務、程序、系統(tǒng)、以及應用數(shù)據庫，可以及時發(fā)現(xiàn)并處理內外網絡的可能存在或者已經存在的系統(tǒng)隱患和網絡攻擊。防火墻可以實現(xiàn)集中地安全管理、制定執(zhí)行策略、設立訪問控制列表、訪問轉發(fā)、端口映射等功能，其工作方式主要包括包過濾、狀態(tài)檢測、應用代理三種方式。包過濾通過檢測防火墻的運行狀態(tài)來預先編輯其運行的訪問策略;狀態(tài)檢測是通過讀取并分析ARP數(shù)據包來分析訪問狀態(tài)來確定該系統(tǒng)應用程序是否允許連接;應用代理是使用的代理程序來分析基于的特定類型協(xié)議的流量來實現(xiàn)對應用層的管理和監(jiān)控。

入侵防御系統(tǒng)（IPS）是對出口防火墻安全防護的一種補充，是實現(xiàn)校園網安全訪問的“雙保險”。IPS是通過流檢技術來收集和監(jiān)聽系統(tǒng)的運行情況和數(shù)據的傳輸情況，預先主動地對數(shù)據源進行檢測并阻斷那些具非法或異常的數(shù)據傳輸。IPS主要防護針對防火墻相對防護較弱的應用層面的網絡攻擊和風險漏洞，具有對校園網的網絡環(huán)境、應用系統(tǒng)、程序內容的深度感知能力，以及對未知風險的防患能力，通過IPS探針的方式對數(shù)據包進行異常協(xié)議識別、病毒庫特征匹配、異常流量檢測，將用戶登錄信息、應用系統(tǒng)信息、應用部署位置和應用地址、應用或站點訪問頻率等多種信息進行關聯(lián)，使用白名單訪問策略，建立校園網訪問的白環(huán)境，從而實現(xiàn)對應用系統(tǒng)的端口、狀態(tài)和行為的精細化管理，并準確識別用戶異常行為。

負載均衡設備（SLB）主要是針對不同服務器的性能和配置的差異進行合理有效地分配帶寬、任務和資源，從而保障各個服務器高效穩(wěn)定的運行。原則上來說SLB并不屬于安全設備，但其也可以針對服務器進行定向的過濾數(shù)據包和應用攻擊，隔離協(xié)議和網絡攻擊，從而實現(xiàn)故障處理，流量分析的功能。SLB可以針對DNS、代理服務器、地址轉換網關、網絡地址轉換進行優(yōu)化和調度。SLB實現(xiàn)的機制主要包括數(shù)據收集、閾值設定和服務器遷移三個方面，即SLB動態(tài)的確定進行負載均衡的閥值，當負載信息進行采集并分析后如果觸發(fā)閥值機制后便將資源遷移到其他服務器。伴隨著云平臺技術的發(fā)展和虛擬機的廣泛應用，SLB在校園網環(huán)境中發(fā)揮了不可替代的作用。

3.3 旁掛網絡安全設備

旁掛的網絡安全設備相對而言在邊界安全功能上大多是起著檢測和輔助作用，但也發(fā)揮著至關重要的作用，一方面可以減輕主干網絡安全設備和帶寬帶來的壓力，另一方面提高校園網系統(tǒng)和應用運行效率，為校園網提供了更加實時全面的安全防護。旁掛的網絡安全設備主要實現(xiàn)異常流量進行檢測、網絡數(shù)據的緩存、日志的審計和存儲、上網行為的監(jiān)管和控制等功能，從而實現(xiàn)“檢測與控制相分離，引擎特征相統(tǒng)一”的理念。

BRAS（多業(yè)務控制網關）為校園網提供互聯(lián)網和教育網的寬帶接入服務和多業(yè)務運行方案。BRAS匯總整個校園網的用戶流量，通過兼容多種協(xié)議和方式來接入各個系統(tǒng)的管理網關、控制網關和認證網關，滿足不同用戶和應用系統(tǒng)對傳輸容量和帶寬利的精細化要求和顆粒度管理。

VPN網關系統(tǒng)為互聯(lián)網接入到校園網提供了一條隱私、安全的數(shù)據加密隧道來實現(xiàn)校外用戶訪問校內網資源的功能。VPN系統(tǒng)通過SSL協(xié)議對數(shù)據行為加密，并使用LDAP協(xié)議進行認證，使不同用戶通過VPN訪問只能獲得訪問相應的地址的權限，從而保障校園網安全。

上網行為管理系統(tǒng)針對所有訪問校內網用戶的行為提供智能精準的行為分析、數(shù)據審計、網站訪問過濾、應用程序控制以及流量資源管理等功能，可視可控的展現(xiàn)訪問人員的身份、終端、內容、應用程序等內容，規(guī)范用戶的入網行為，提高網絡安全防護，信息安全管理和風險防范的能力。

日志審計系統(tǒng)可以實時的采集各個邊界網絡安全系統(tǒng)以及其他應用程序產生的流量和數(shù)據，對此進行統(tǒng)一規(guī)范化的記錄、存儲和備份，并提供靈活方便的日志查詢機制。日志審計系統(tǒng)還可以配合其他安全設備對數(shù)據進行分析，設立訪問策略，對異常行為建立報警機制。

異常流量檢測系統(tǒng)在核心交換機上配置鏡像的方式來獲取數(shù)據，通過探針式流量檢測技術實現(xiàn)基于數(shù)據流特征的攻擊類型檢測，通過對IP地址、端口號、協(xié)議號等產生的分流信數(shù)據的監(jiān)測和分析，提供異常流量發(fā)現(xiàn)、異常行為監(jiān)測、設備性能告警監(jiān)測和網絡攻擊報警等功能。

4 結束語

打造邊界網絡安全體系可以有效地抵御校內外針對校園網基于出口的網絡攻擊，解決當前來自網絡內外部對安全帶來的各種威脅，實現(xiàn)多層次、多應用的防護功能。當然，任何一種設備和體系都無法保障網絡安全的萬無一失，我們要做的是進一步優(yōu)化網絡布局，提升安全設備性能，規(guī)范內部上網行為，從而實時為數(shù)字化校園提供了更加全面細致的安全防護，為打造“數(shù)字校園”、“智慧校園”提供強力保障。

參考文獻：

[1] 黃存東.關于計算機網絡信息安全問題的技術研究[J].軟件，2013，34（1）：140-141

[2] 王世偉.論信息安全、網絡安全、網絡空間安全[J].中國圖書館學報， 2015，41 （2）：72-84.

[3] 張煥國，韓文報，來學嘉，等.網絡空間安全綜述[J].中國科學：信息科學，2016，46（2）：125-164.

[4] 趙穎，樊曉平，周芳芳，等.網絡安全數(shù)據可視化綜述[J].計算機輔助設計與圖形學學報，2014，26（5）：687-697.

[5] 劉志杰.淺談大數(shù)據時代下計算機網絡信息安全現(xiàn)狀及對策[J].電腦知識與技術，2017，13（21）：10-11.

[6] 張康榮.計算機網絡信息安全及其防護對策分析[J].網絡安全技術與應用，2015（2）：92，94.

【通聯(lián)編輯：代影】