城域网条件下网络信息安全策略探讨
广东省电白县教育局仪器站    杨生华
摘要:随着单位局域网及更大规模的城域网的大量建设,网络信息安全问题的重点、区域及防范方式都发生了很大的变化。信息安全问题不再仅仅是防备来至公网的危险,我们必须构建一整套立体的网络安全防护体系来应对来自各方面的挑战。本文以一个地区教育城域网作为网络模型,试着从网络结构、安全区域划分、安全网关防火墙、中心交换机、服务器群、内网用户信息安全等方面提出一套解决城域网信息安全的保障机制。
关键词城域网 信息安全 网络稳定 VLAN 防火墙
在人们对网络依赖性越来越强的今天,网络安全形势也日益严重。据美国FBI统计,美国每年因网络安全问题所造成的经济损失高达75亿美元。在我国,每年因黑客入侵、计算机病毒的破坏给企业造成的损失令人触目惊心。近年来,针对网络安全的理论研究如火如荼,网络安全设备也层出不穷,一大批网络安全设备厂家迅速掘起,全球范围内网络厂商和病毒厂商广泛合作,人们希望能全面彻底地解决网络安全问题。但是,网络的构成除了网络设备、电脑终端还有用户,而用户是一个个活生生的人。网络安全实际上是人与人之间的对抗和斗争,永远不会因为某种技术的出现而结束,网络安全问题会一直存在,并随着网络技术的不断发展而变化。如何在无穷的非法网络行为和病毒滋扰的网络环境中,保证整个网络的稳定运行,使这些危害所造成的损失尽可能控制在最小的范围内,而我们付出的代价又能够在我们的承受能力之内,这是网络规划设计及管理的人员必须认真考虑的问题。
目前,很多地方都建起了教育城域网,由于教育系统的特殊性以及资金投入、网络结构等方面的原因,在教育城域网中引发的网络信息×××问题、网络稳定问题层出不穷。下面以我县的教育城域网结构为模型,结合我在网络管理方面的经验教训,试着探讨一套切实可行的长效的网络信息安全管理方案。
一、网络结构模型介绍:某县教育城域网的网络拓朴结构如下图:
全县所有学校共享一个信息中心,中心租用电信100M光纤出口,下属各单位租用电信光纤与信息中心相连,构建成一个覆盖全县的大的教育网络。所有用户都通过信息中心访问互连网,全网所有控制数据及对内对外提供服务的服务器全部存放在信息中心。
二、城域网网络信息安全策略的整体规划。对于这样一个结构复杂、规模比较大的网络,要保证它正常稳定运行、网络信息安全,必须有明确的信息安全目标和一整套切实可行的安全策略。整个网络的信息安全目标主要有这样几点:硬件设备的物理安全、网络的稳定畅通、病毒的有效防护控制、服务器系统的健壮性,数据的完整可恢复、防止内外网的非法攻击访问、内网用户上网信息的可控及可追踪等。对这些安全问题,我们都要制定相应的安全策略,任何一个环节出现问题,都有相应的预案措施来处理。有效的安全策略必须建立在必须的网络安全设备和健全的网络管理体制上,但重在管理。所谓“三分设备,七分管理”,制度健全并能落到实处,才能充分发挥现有设备的功能。

三、网络信息安全区域划分。对于这种规模比较大的网络,既要整体规划、统筹兼顾,制定一套全局性的安全策略,又要把这套安全策略分解,布置到网络的每一个环节上。为了方便分解细化策略,我们把整个网络结构进行安全区域划分(如下图),有的放矢制定各环节的信息安全方案,确保整个网络稳定运行及网络信息的安全。一般我们可以把整个网络从结构上划分为四个安全区域,分别是:公网与防火墙区、中心交换机区、服务器区、内网用户区。下面依次就各个安全区域来阐述相应的安全策略。
(一)、外网和防火墙区域的安全。在城域网结构中,外网与内网的连接点都布置有防火墙或更高级的综合网络安全设备。传统的网络信息安全主要是指防范外网用户的非法访问及侵入,这也是传统防火墙的主要功能。防火墙作为内部网与外部网之间的一种访问控制设备,是由软件与硬件设备组合而成的,通常处于企业的内部局域网与Internet之间,限制Internet用户对内部网络的访问以及管理内部用户访问外界的权限。随着网络规模的不断扩大,网络结构的不断复杂,网络安全要求的不断提高,Internet防火墙逐步与其它专用网络安全设备整合,功能多样化、综合化,演变成一套网络安全综合系统(安全网关)。城域网由于网络规模大,用户众多,信息量大,所以一般采用多功能的硬件网关型防火墙。本模型采用深信服的AC5800,它不但具有传统防火墙的隔离、路由、控制等功能,还兼具其它安全防范功能。它的网络安全功能主要有以下几个方面。
1. NAT地址转换功能。
通过NAT功能可以隐藏内网的主机IP地址,使外网用户很难确认内网用户的参数,从而使内网用户得到很好的保护。由于目前互联网采用的IPV4系统,地址有限,一个城域网一般只能分配几个至多几十个公网IP,内网用户采用保留的内部IP地址。外网用户要防问内部主机,或内网用户访问公网主机,都必须通过防火墙的NAT地址转换(映射或重定向)。这样不但解决了IP地址短缺的问题,更重要的是隐藏了内部用户的真正主机信息,使外网用户很难非法侵入内网主机。
2. 控制内网主机提供的服务或限制对外网网站站点的访问。
网关防火墙可以通过设置防问策略,控制内外网用户使用的网络服务端口和限制可访问的网站站点。比如可能针对某个内网用户,封锁它能访问的站点;关闭或开放内网主机的端口,控制外网用户对它的访问服务。利用它的功能控制模块,我们可以很方便地控制用户的网络行为,比如设定BT、讯雷等P2P软件的使用时间、流量等。
3. 配置全局性的网络功能管理策略。
在城域网中,有一些事关全局的网络功能控制可以交由安全网关防火墙来处理。比如全网的公网IP地址分配使用、网络用户的安全账号认证管理、VPN账号配置与管理、用户主机IP与MAC绑定等功能都可在安全网关内设置。
.强大的网络日志记录功能和信息统计功能。
网关防火墙的日志功能非常强大,它可以记录网络以及每个用户的几乎所有网上行为,并可把记录的日志保存到相应的服务器中长期保存以供查证。当网上出现非法行为、或网络遭到非法攻击等,它详实的日志都可能帮你找到原因所在。网络各种信息的统计分析对网管员来说,也是非常重要的,网关防火墙可以针对各种网络行为进行统计,为管理员提供直观的网络参数,让我们知道网络管理策略是否得当,要不要进行相关的调整。
5.功能强大的网关查杀毒功能。安全网关内置有可及时升级的病毒查杀模块,可以对通过它的所有信息进行病毒查杀,防止外来病毒从公网入侵。
(二)、中心交换机的安全配置。
在城域网中,中心交换机是全网的核心设备,整个网络的控制数据大部分在它上面进行配置,它决定着整个网络的整体结构和运行效率。中心交换机要求是高性能的三层路由交换机,最好采用模块化交换机,可以根据需要灵活配置。本模型采用华为的S6506,在它上进行的安全配置主要有以下几个方面:
1VLAN的划分与控制。在网络架构中,最重要的就是对VLAN的划分与控制。VLAN是虚拟局域网(virtual local area network)的简称,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLAN id把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的划分可以限制广播范围,并能够形成虚拟工作组,动态管理网络,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。在本教育城域网中,一般我们按用户群进行vlan划分,每个下属学校不少于三个VLAN:学生VLAN、办公VLAN、教师VLAN,这样整个网内就有几十到上百个VLAN。逻辑VLAN的使用不但减少了广播类不良信息的影响(网络风暴、病毒),还有利于在网关中对不同VLAN用户进行相应访问控制。
2DHCP服务的配置。城域网由于用户量大,如果采用固定IP,容易引起混乱,本网采用DHCP服务器动态分配IP。而DHCP服务器的控制数据就在中心三层路由交换机上。中心交换机为每个VLAN开启链接端口,配置相应的IP段,并启用DHCP delay 服务,控制DHCP服务器为不同VLAN用户分配动态IP地址。
3、网络风暴及蠕虫病毒的抑制。城域网结构复杂、用户众多,难免会出现这样那样的问题,其中最常见的就是由于各种原因导致的网络阻塞,用户经常反映上网慢、掉线甚至不通,这很多时候是因为网络阻塞了。很好地配置中心交换机,能够最大限度地减少此类现象发生。比如科学配置STD(生成树)功能,可以有效防止由于网络环路导致的网络阻塞;通过ACL规则配置,可以有效控制用户访问对象、端口,限制流量,防止DDos攻击等。下面就是华为6506中防病毒的几条ACL规则,它们通过封相应的病毒端口,阴止它在网络中蔓延,对蠕虫类病毒非常有效。
acl number 3000
 rule 1 deny tcp destination-port eq 445
 rule 2 deny tcp destination-port eq 5554
acl number 3080
 rule 8 deny tcp source-port eq 4444
rule 13 deny udp source-port eq 445 
。。。。。。。   
(三)、服务器安全区域防护。服务器是整个网络的中枢神经系统,保证网络畅通的控制数据、城域网提供的功能服务以及其它一系列应用系统都在这一区域。所以保证服务器的安全至关重要。服务器的安全防护主要从下面几方面入手:
1、科学配置网络,把服务器置于网关防火墙的安全区域。在本城域网中,我们把服务器放在网关防火墙的安全区(DMZ区)内,通过设置WAN-DMZ、DMZ-LAN访问策略,防火墙可以有效地防止内外网用户对安全区内的服务器的非法入侵。
2、制定完善的机房管理制度。细化信息中心安全措施,在操作系统、防病毒、帐号认证、备份、防物理破坏方面制定出一套方案。并能做到职责到人、分工明确。
3、增强服务器的健壮性。主要措施有:设置高保密性密码、关闭不必要的用户及端口、及时打补丁升级系统、设置防火墙、安装正版杀毒软件并自动升级。
4、做好系统的备份。备份是最有效的安全防范措施,重要的服务器要定时做增量备份,并把备份存放到异地保存。
(四)、内网用户区域信息安全防护措施。
个人用户信息安全分为两部分:个人主机安全、上网信息安全。个人主机安全主要由上网用户自行负责,做好备份、杀毒等工作,也可以在网内部署网络版杀毒软件服务器和补丁升级服务器,强制要求用户升级以后才能上网。上网信息安全主要是指用户上网信息可控可追踪。城域网用户众多,难免出现这样那样的问题。有的个人主机问题影响同网段用户上网,比如ARP欺骗、网络风暴等;有的上不良信息网站,网上发布非法信息;甚至有人利用网络进行违法乱纪活动等。因为整个网络属于内部网,对外是透明不可见的,公网上的公安监控系统只能监控到不良信息是从属于这个网络的公网IP出去的,但无法知道内网真实的用户,以致上网信息无法控制追踪。这是不符合国家互联网管理规定的,特别是出了违法乱纪的事情,责任重大。所以解决这个问题是城域网管理员必须要面对的一项重要工作。
内网用户区信息安全保障关键是要做到四点:知道什么人在上网,知道上网主机在什么地方,上网行为可以控制,上网信息有记录、可追踪。这样不管出现什么问题,都能找到源头,及时处理。要达到上述要求,主要从下面几个方面入手:
  1、组建一支战斗力强的网管员队伍。这是网络得以正常运行的基础。城域网覆盖面大,用户众多,必须要有一支强有力的管理团队,才能应付不断出现的问题。
2、制定上网信息管理追究责任制度,加大文明上网宣传力度。要求接入网络的单位与教育局之间,上网用户与各单位之间都要签订文明上网协议书。
3、建立完善的用户信息登记表。每一个内网用户必须如实填报上网主机与个人信息登记表,详实记录上网主机相关信息(主机名、MAC地址、IP地址、公网出口IP及个人×××、电话等相关信息)。
4、在网关防火墙中建立上网用户账号,分配给每一个上网用户,用户在上网时必须输入自己的账号才能正常使用网络。
5、在安全网关及中心交换机中对不同VLAN用户上网权限进行设置,过渡国家规定的不良信息,屏蔽不良网站。
6、完整保存用户所有的上网信息日志3个月,以供相关部门追踪查询。
城域网网络信息安全工作是一项复杂的系统工程,管理员只要坚持“三分设备、七分管理”的原则,根据实际情况整体规划、策略优先、到位管理,绝大部分网络安全问题是可以避免的。
参考文献:
1、叶忠杰 计算机网络安全技术 科学出版社 2003
2、钟嘉鸣 内网安全及防护探讨 网络安全技术应用 2004.8
3、张晓兵 加强校园网网络信息安全保障 信息网络安全 2006.12