APP下载

如何保证校园公共机房的网络安全

2011-11-09王伟林王迪

中国教育网络 2011年5期
关键词:交换机端口机房

文/王伟林 王迪

如何保证校园公共机房的网络安全

文/王伟林 王迪

校园公共机房为师生提供了教学和应用平台,是教师和学生集中学习和应用信息技术的关键场所,公共机房在提供上网的同时,也遇到网络安全威胁。学生的公共机房应用分为三种类型:单机应用,即与其他电脑之间无数据传输;机房内部电脑联网应用,电脑之间可以相互传输数据;机房内网与外部网络相连并有数据传输。第一类应用不涉及网络安全威胁,第二与第三类应用由于与其他电脑和网络传输数据,在传输正常数据的同时,也存在病毒、木马等程序代码的传播,甚至成为恶意攻击、网络窃听行为的有效途径,影响机房电脑的正常应用,构成校园公共机房安全威胁。

机房建设和维护者通常需要考虑比较多的是机房应用需求,而忽视了网络安全,采取网络硬件隔离、电脑安装还原卡等单项措施,缺乏规范性、广泛适用性的校园公共机房网络安全体系。

网络安全方案

南京信息职业技术学院软件学院有公共机房16个,约900台机器。其中201、202机房各105台,其它每个机房约50台机器。网络拓扑结构如图1所示。

位于软件学院的锐捷三层交换机S6806E、校园网核心交换机S6810E、城市热点认证计费系统、防火墙为骨干网络;每个公共机房使用一台H3C E328作为二层交换机,通过多模光纤与软件学院三层交换机S6806E连接。机房内部使用一台E328交换机和一台TPlink交换机连接电脑,E328交换机(24端口)与TPlink交换机之间使用双绞线级联。E328为可配置型交换机, TPlink为不可配置型交换机。

安全需求分析

网络物理连接管理规范化

公共机房使用率高,交换机端口易老化;另外,人为意外造成电脑网线接口松动,经常导致网络物理连接故障。每个机房计算机不多,机房使用配线箱,不使用配线架,直接将连接电脑的网线连接交换机。由于没有跳线表等规范文档,一旦发生物理连接故障,机房维护人员往往需要花费较长时间用于物理线路排错。

控制学生上网行为

目前,公共机房用于不同学科的教学工作。一般情况下,教师的课件、有关学习资料存放在软件学院的服务器上,学生只需访问软件学院服务器即可,通常不需要访问Internet,所以需要制定机房学生上网控制策略,控制学生的上网行为。

防病毒传播

公共机房易染病毒,大量病毒通过机房在校园网迅速传播,预防和清除计算机病毒使机房管理者费时耗力。目前公共机房病毒传播主要通过文件拷贝、文件传送、下载等方式进行,U盘和网络传播成为机房病毒扩散的主要途径。需要控制病毒在公共机房内部传播,保障机房计算机稳定运行。

会话与流量资源的控制

公共机房不仅承担教学任务,还提供学生自主上网,查询资料的服务。学生经常利用BT、电驴、迅雷等P2P软件下载文件,这些软件在下载任务的同时也在上传信息,而且是多任务、多线程。此外,计算机感染木马及病毒,会向外网产生大量连接会话,消耗校园网出口带宽和并发连接会话资源,造成网络出口拥堵。需要研究并设计控制网络流量和会话资源的方案,保障校园网出口数据传输畅通。

追踪机房用户上网行为

公共机房计算机用户不固定,用户上网操作信息难以跟踪和定位。为追踪机房用户使用公共机房计算机在网上发表违法言论,需要制定追踪用户上网行为的安全策略。

机房网络安全策略

将连接电脑与交换机的网线两端做标记,使电脑与交换机端口对应,如图2所示。一旦某台电脑发生物理连接故障,根据对应表可以直接找到接入交换机的线缆及端口。经此规范化管理,可以减少机房维护工作量,提高网络连接故障维护工作效率。

机房用户上网控制策略

远程管理交换机

由于机房数目较多,为便于对各公共机房上网控制,需要确定管理员能远程登录机房二层交换机,对交换机配置管理。用Vlan 100作为交换机管理Vlan,为方便管理员记忆,使用与房间号对应的交换机管理地址,表1所示为部分示例。

表1 机房交换机管理IP地址分配

交换机可以通过Telnet、Web和SSH登陆方式进行远程管理。

公共机房二层交换机E328启用SSH远程登陆方式的配置过程(以314机房的交换机为例):

设置用户登录认证方式

管理员完成以上配置,就可以在与交换机连接的终端上,运行支持SSH2.0 的客户端软件(SecureCRT),以用户名admin和设置的密码登陆,远程管理交换机。

管理机房上网行为

公共机房的IP地址段为:172.18.0.0/16。软件学院的服务器IP地址属于222.192.238.0/24地址段内,用于师生上传和下载学习资料。公共机房用户上网策略为:默认机房用户可以连接Internet,如果中断连接Internet,则机房用户只能访问软件学院服务器。

在二层交换机上,使用ACL访问控制列表,对机房用户上网控制。交换机配置如下:

如果机房用户需要访问Internet,不需要使用该ACL。如果只允许该机房用户访问软件学院的服务器,禁止访问其他网络,在E328交换机级连光纤端口(GigabitEthernet1/1/1)上,应用定义的ACL访问策略,方向为outbound。配置如下:

防病毒策略

划分VLAN缩小病毒广播域

计算机病毒一般会通过在内网广播的方式进行传播。通过对软件学院公共机房机器的IP地址段(172.18.0.0/16)做进一步的子网划分,设计每个机房使用一个24位掩码的地址段,如表2所示,为方便物理连接维护,记录每个机房

表2 机房VLAN划分示例

二层交换机所连接的科技楼三层交换机的光纤端口。这样通过广播方式传播的病毒只会在Vlan内部,即机房内部传播,大大降低了病毒感染其他机房机器的可能性。过滤病毒传播使用的端口

通过在机房二层交换机E328上应用ACL,过滤病毒传播所使用的端口,这些端口主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口),以及远程服务访问端口3389。

公共机房ARP病毒防范

在机房主机上安装360安全卫士,开启360安全卫士ARP防火墙功能,将网关的IP与MAC地址进行手动绑定,选择“手动指定网关/DNS”,在“ARP主动防御”中选择“始终启用”。

防止用户U盘病毒的传播

关闭U盘(包括其他设备)自动播放的功能。电脑设置成自动播放功能,但是自动播放还是有缺点的,有些病毒藏在U盘里会通过自动播放运行使电脑中毒。关闭“自动播放”的方法:选择“开始”—“运行”—输入gpedit.msc,在“用户配置”—“管理模板”—“系统”选择“关闭自动播放”,然后选择“已启用”,点击“确定”。

开启360杀毒软件自动扫描U盘功能。确保360安全卫士“实时防护”—“U盘防火墙”功能处于“开启”状态。

使用系统还原卡保护主机系统

还原卡的基本工作原理:把硬盘(或网络上另一部电脑)的其中一部分分割出来,用以备份硬盘的重要资料(例:操作系统、应用程序等),以便随时可以还原。还原卡不会对硬盘资料进行备份,只是记录硬盘的读写操作。当用户设定还原点以后,不管在操作系统上安装上新的程序还是删除文件,都记录在还原点之外,不会影响原有的硬盘资料,当需要还原时,还原卡根据记录,把还原点内的资料恢复,并删除还原点以外的资料。

会话控制与带宽管理策略

会话数控制

使用校园网出口防火墙,通过单用户会话和流量控制功能进行相关管理。通过应用防火墙设置新建连接阀值,可以对网络中每个用户会话连接数进行控制,当阀值被触动后,动态地将非法用户添加到黑名单,直接将非法用户连接阻断,并且可以灵活的设置控制黑名单的有效时间。通过单用户会话数限制,可以做到:当校园网内机器病毒爆发时,阻止大量数据包对外建立连接,耗费网络资源;阻止黑客对网络的扫描;阻止黑客进行DDOS攻击。

带宽管理

目前很多学校都使用城市热点认证计费管理系统,为减轻防火墙负担,运用城市热点认证计费系统的带宽管理功能。在管理工具“计费策略”—“服务策略设置”定义科技楼公共机房单用户下行带宽与上行带宽的数值。

上网行为记录管理

通常,学校会使用城市热点认证计费系统中的“专线”方式让公共机房用户不需要登录即可免费上网,这样虽然达到免费上网目的,但是在上网日志中只能根据IP地址记录登录和上网情况,由于IP地址可以更改,所以这种方法不能实现实名制上网需求。

为了使公共机房用户也需要采用实名制上网,使用城市热点认证计费系统对机房用户不采取“专线”上网方式,仍然需要用户进行上网认证。使用“源地址资源策略”对机房用户免费,如图3所示,在管理工具“计费策略”-“源地址资源策略”中,定义策略组“ruanjianxueyuan”,将软件学院公共机房IP地址段(172.18.0.1—172.18.254.254)输入到“源地址清单中,并将“时长折扣”设置为0%。这样机房用户虽然需要登录,但认证计费系统在做计费的时候,上网时长始终为0,以达到免费上网目的。

自公共机房网络安全方案在软件学院实施以来,通过规范化的机房网络运行管理,减少了软件学院公共机房维护人员工作量,机房病毒、木马爆发次数明显减小,机房网络运行稳定,为公共机房的正常运转提供了有力保障,将公共机房网络安全威胁降低至较低水平。

在今后的工作中,还需要在以下两方面继续努力:首先,机房网络安全策略进一步细化。随着机房发展规模扩大,服务功能多样化,网络服务对象将更加丰富,需要定义更细致的安全策略。其次随着网络迅速发展,木马和病毒种类将不断增多,针对不断遇到的安全新问题,及时更新网络安全策略。

图3 源地址资源策略定义

(作者单位为南京信息职业技术学院)

过滤病毒端口ACL定义

[H3C]acl number 3001

[H3C-acl]rule 0 permit tcp

[H3C-acl]rule 1 deny tcp destination-port eq 135

[H3C-acl]rule 2 deny tcp destination-port eq 139

[H3C-acl]rule 3 deny tcp destination-port eq 445

[H3C-acl]rule 4 deny tcp destination-port eq 593

[H3C-acl]rule 5 deny tcp destination-port eq 1025

[H3C-acl]rule 6 deny tcp destination-port eq 2745

[H3C-acl]rule 7 deny tcp destination-port eq 3127

[H3C-acl]rule 8 deny tcp destination-port eq 6129

[H3C-acl]rule 9 deny tcp destination-port eq 3389

[H3C-acl]rule 10 permit udp

[H3C-acl]rule 11 deny udp destination-port eq 135

[H3C-acl]rule 12 deny udp destination-port eq 137

[H3C-acl]rule 13 deny udp destination-port eq 138

[H3C-acl]rule 14 deny udp destination-port eq 445

应用ACL定义(应用方向为inbound):

#进入交换机接口

[H3C]interface Ethernet1/0/20

[H3C-if]packet-filter inbound ip-group 3001 rule 0

[H3C-if]packet-filter inbound ip-group 3001 rule 1

猜你喜欢

交换机端口机房
平疫结合的CT机房建设实践
一种有源二端口网络参数计算方法
一种端口故障的解决方案
多按键情况下,单片机端口不足的解决方法
更换汇聚交换机遇到的问题
基于地铁交换机电源设计思考
数据中心机房气流组织研究在某机房的应用
浅谈一体化机房系统
缔造工业级的强悍——评测三旺通信IPS7110-2GC-8PoE工业交换机
N通信公司机房节能技改实践