教育城域網(wǎng)建設(shè)安全經(jīng)驗(yàn)談

安全架構(gòu)教育之本

網(wǎng)絡(luò)安全包含兩部分內(nèi)容，一是構(gòu)成網(wǎng)絡(luò)物理體系的正常運(yùn)行，保證數(shù)據(jù)在網(wǎng)上高效傳送；二是保障基于網(wǎng)絡(luò)的數(shù)據(jù)在傳輸過程中、存取中不被竅取、篡改、遺失。網(wǎng)絡(luò)的安全架構(gòu)指為保證網(wǎng)絡(luò)安全從工作理念、網(wǎng)絡(luò)結(jié)構(gòu)、軟件及硬件設(shè)備、技術(shù)手段等方面共同構(gòu)成的一個完整體系。

互聯(lián)網(wǎng)在設(shè)計(jì)之初就是本著自由與開放的原則，缺乏對安全性的總體構(gòu)想和考慮，導(dǎo)致目前許多應(yīng)用系統(tǒng)處于不設(shè)防狀態(tài)。

廣泛存在的安全問題、侵權(quán)問題、誠信問題和精神污染等問題，已經(jīng)成為互聯(lián)網(wǎng)進(jìn)一步發(fā)展的最大障礙?；ヂ?lián)網(wǎng)存在的這些問題應(yīng)該作為教訓(xùn)來指導(dǎo)教育城域網(wǎng)建設(shè)，如果教育城域網(wǎng)沒有一個科學(xué)的安全架構(gòu)，很好解決網(wǎng)絡(luò)安全問題，那么它只能是一種互聯(lián)網(wǎng)的延伸，也就失去存在的意義。

但是，如何才能行之有效地建立起網(wǎng)絡(luò)安全架構(gòu)呢？

成本與安全

局域網(wǎng)普通交換機(jī)是一種二層網(wǎng)絡(luò)設(shè)備，它在操作過程中不斷收集并建立它本身的MAC地址表，而且定時刷新。它的引入使網(wǎng)絡(luò)站點(diǎn)間可獨(dú)享帶寬，消除了無謂的碰撞檢測和出錯重發(fā)，提高了傳輸效率。但二層交換也暴露出它的弱點(diǎn)：只有在相同的網(wǎng)段內(nèi)的計(jì)算機(jī)才能通信，不能有效解決廣播風(fēng)暴、異種網(wǎng)絡(luò)不能互連、處于一個大型的廣播域內(nèi)安全性控制性方面等問題不能解決。二層交換機(jī)虛擬網(wǎng)VLAN技術(shù)很好地解決了安全性和廣播風(fēng)暴的問題。但虛擬網(wǎng)之間通信是不允許的，“三層交換”技術(shù)的引入實(shí)現(xiàn)了不同虛擬網(wǎng)間的高速路由，才真正解決了既利用VLAN提高了網(wǎng)絡(luò)的安全性有效地扼制廣播風(fēng)暴，又解決了不同虛網(wǎng)之間的互通的難題。但三層交換機(jī)是普通交換機(jī)價格的4～5倍，作為教育城域網(wǎng)接入運(yùn)營商（無論是電信還是廣電）都會考慮一個運(yùn)行成本和效益的問題，所以他們往往會選用價格低廉二層交換機(jī)組建寬帶IP網(wǎng)作為我們教育城域網(wǎng)的接入，這就使教育城域網(wǎng)的安全運(yùn)行留下了很大的隱患。

本文開頭所述的紹興教育城域網(wǎng)所發(fā)生的故障，就是上述原因造成網(wǎng)絡(luò)經(jīng)常性出現(xiàn)大量的廣播包阻塞，同時又很難及時控制阻斷廣播源，嚴(yán)重影響了網(wǎng)絡(luò)的正常運(yùn)行?？茖W(xué)安全的解決方案是各校以不同的VLAN直接接入三層會聚交換機(jī)，并引入策略管理屬性，不僅使二層與三層相互關(guān)聯(lián)起來，而且還提供流量優(yōu)先化處理、安全訪問機(jī)制以及多種其它的靈活功能。為學(xué)校如財(cái)務(wù)數(shù)據(jù)等安全要求較高應(yīng)用提供安全的傳輸網(wǎng)絡(luò)。

規(guī)范接入和運(yùn)行監(jiān)控

紹興教育城域網(wǎng)的應(yīng)用實(shí)踐也告訴我們，學(xué)校網(wǎng)絡(luò)安全還必須與規(guī)范接入和運(yùn)行監(jiān)控相結(jié)合。

具體的措施可以參考以下辦法：學(xué)校設(shè)立一臺代理服務(wù)器（或防火墻設(shè)NAT），以一個終端的形式接入城域網(wǎng)，校園網(wǎng)內(nèi)的計(jì)算機(jī)訪問教育城域以代理服務(wù)器作為惟一出口。做到校園網(wǎng)地址和城域網(wǎng)地址隔離，避免校園網(wǎng)內(nèi)的大量計(jì)算機(jī)直接接入造成管理的困難，若一旦校園網(wǎng)產(chǎn)生廣播風(fēng)暴則首先會使代理服務(wù)器阻塞，避免擴(kuò)散到城域網(wǎng)；學(xué)校接入城域網(wǎng)的計(jì)算機(jī)必須按網(wǎng)絡(luò)中心分配的IP地址段設(shè)定，禁止盜用他人的IP和非法IP地址的接入；接入城域網(wǎng)的每一臺計(jì)算機(jī)均必須安裝殺毒軟件。

在網(wǎng)絡(luò)使用高峰時段，利用網(wǎng)管軟件查看路由器、交換機(jī)、服務(wù)器端口的數(shù)據(jù)流量，分析網(wǎng)絡(luò)中傳送的數(shù)據(jù)包的構(gòu)成，分析造成網(wǎng)絡(luò)異常的原因，診聽異常數(shù)據(jù)包來自哪條線路哪個學(xué)校，一時解決不了可以暫時屏蔽該校接入的VLAN避免影響到整個城域網(wǎng)的正常工作。 

實(shí)踐心得：

阻擊教育網(wǎng)內(nèi)“頭號殺手”

根據(jù)筆者在教育網(wǎng)內(nèi)實(shí)際應(yīng)用中大量的網(wǎng)絡(luò)監(jiān)測分析，造成教育網(wǎng)網(wǎng)絡(luò)故障的“頭號殺手”就是廣播風(fēng)暴。產(chǎn)生大規(guī)模廣播數(shù)據(jù)包的成因主要有這樣三類：

 （1）蠕蟲病毒對網(wǎng)絡(luò)速度的影響是頭號因素。

筆者采用sniffer捕獲大量發(fā)廣播包計(jì)算機(jī)的IP地址，通過這些地址尋找相應(yīng)的學(xué)校，然后打電話通知該校進(jìn)行殺毒處理，結(jié)果殺出大量蠕蟲病毒，殺毒處理后計(jì)算機(jī)恢復(fù)正常，廣播包也隨之消失，這類事件曾發(fā)生多起。I-Worm/Blaster沖擊波病毒、I-Worm/Chian(沖擊波殺手)病毒通過向網(wǎng)絡(luò)發(fā)送大量的數(shù)據(jù)包，使網(wǎng)絡(luò)流量劇增，最終導(dǎo)致許多網(wǎng)絡(luò)癱瘓的后果。蠕蟲病毒的傳播通常采用廣播包的形式及向外大量發(fā)郵件實(shí)現(xiàn)并對特定IP段進(jìn)行瘋狂掃描，這種病毒導(dǎo)致被感染的用戶只要一連上網(wǎng)就不停地往外發(fā)郵件，成百上千的這種垃圾郵件有的排著隊(duì)往外發(fā)送，有的又成批成批地被退回來堆在服務(wù)器上。造成個別骨干互聯(lián)網(wǎng)出現(xiàn)明顯擁塞，個別局域網(wǎng)近于癱瘓。因此，應(yīng)時常注意各種新病毒通告，了解各種病毒特征；及時升級所用殺毒軟件。計(jì)算機(jī)也要及時升級、安裝系統(tǒng)補(bǔ)丁程序；同時卸載不必要的服務(wù)，關(guān)閉不必要的端口，以提高系統(tǒng)的安全性和可靠性。

（2）網(wǎng)卡或網(wǎng)絡(luò)設(shè)備損壞造成向外發(fā)廣播包。

當(dāng)網(wǎng)卡或網(wǎng)絡(luò)設(shè)備損壞后，因?yàn)闊o法處理響應(yīng)包，主機(jī)會不停地發(fā)送廣播包，從而導(dǎo)致廣播風(fēng)暴，使網(wǎng)絡(luò)通信陷于癱瘓。因此，當(dāng)網(wǎng)絡(luò)設(shè)備硬件有故障時也會引起網(wǎng)速變慢。當(dāng)懷疑有此類故障時，首先可采用置換法替換集線器或交換機(jī)來排除設(shè)備故障。然后用ping命令對所涉及計(jì)算機(jī)逐一測試，找到有故障網(wǎng)卡的計(jì)算機(jī)，更換新的網(wǎng)卡可恢復(fù)網(wǎng)速正常。紹興教育網(wǎng)因接入城域網(wǎng)的學(xué)校用交換機(jī)損壞引起過二起這類事件。

（3）學(xué)校的視頻廣播服務(wù)器的工作形成廣播包。

有些學(xué)校設(shè)立視頻點(diǎn)播、視頻會議、視頻廣播服務(wù)，以實(shí)現(xiàn)在網(wǎng)絡(luò)上傳送視頻節(jié)目，這是應(yīng)用上的問題。我們允許存在但必須控制數(shù)量，并要求他們控制開啟的時間。