第五章 某校园网安全方案的部署与仿真测试
5.1 整体拓扑设计
以设计原则为指导,根据需求分析与风险分析的结果,按照给出的安全策略的部署,并结合该高校的实际情况,现给出以 APPDRR 模型为基础,完善后的拓扑设计方案,方案中为了保证该校园网络的安全性及稳定性,并且能对原有的网络性能有所提升,所以设计了立体化多层次的保护方案,来缓解网络威胁。如图 5-1.
5.2 部署安全策略
校园网网络安全建设方案设计,解决网络中将会遇到的安全问题,在校园网的各个环节中采取必要的网络安全防范措施,采用综合运用多种安全技术和措施的方法,保证校园网络的可靠、安全的运作。
边界路由器采用 NAT 转换,从而隐藏内部 IP 地址;防火墙设置 DMZ 区域用来控制进出内网和 DMZ 区域的流量;核心、汇聚层交换机配置 ACL 控制各个内网的流量和权限;接入交换机配置安全端口,对接入终端进行 IP/MAC 绑定;IPS 的作用是过滤网络入侵,可以将其部署在该校园网络的网路出口处;对于针对网络服务器攻击的监测,可以部署 IDS,部署位置为服务器组群的上行链路-uplink 端口,由于部署 IDS,可以将防火墙模块部署集成到核心交换机上,用以实现 IDS 与虚拟防火墙的联动;对于网络中的防毒软件和防火墙进行补充,也可部署 IPS,以增加网络的安全性。
5.2.1 核心汇聚层安全模块部署
核心汇聚层模块具有可靠性和传输高效性,是校园网中的核心设备,核心层的功能提供校园网的高速与稳定的传输,设计重点是要保证校园网的骨干网络之间的传输的高速与稳定。利用核心设备本身防护能力,在不影响系统的性能上启用安全策略;汇聚层根据网络的特点是具有高性能、可靠性与冗余性,所以考虑的设计的时候汇聚层应在一定程度上减少接入层的不必要连接,这样的好处是可以有效的缓解核心层的压力,实现二级网络安全、稳定的校园网接入校园骨干网当中,在汇聚层上进行端口汇聚(trunk)、双机备份的冗余设计,实现核心汇聚层模块的稳定,保证校园网的运行。此外终端准入控制解决方案(EAD)的部署,会通过核心汇聚层模块来实现。
核心汇聚层模块应部署 VLAN 与访问控制,以限制病毒在内网的传播。
在 VLAN 的划分方案中应以减少广播域,防止并阻止病毒及木马基于广播域在校园网中进行传播和扩散为目的,同时也根据学校的实际地理情况,各部门专业职能的情况,方便加强管理为目的,来进行方案的设计与部署。
VLAN 划分的方案,说明如下:
(1)由于高校校园网具有的交互性,在校的学生每日通过校园网络交换的信息量特别大,所以根据高校学生专业的分布特点,以专业进行 VLAN 的划分,将同一专业的学生划分为一个 VLAN ,再以班级进行小 VLAN 的划分;(2)以数据安全为目的,可将每个教师的教研室及寝室单独划为一个 VLAN,并且学生宿舍和教师教研室不能互相访问。这是要保证教师终端的科研资料及试题资料的安全性;(3)以方便教学实验为目的,可将教学楼的所有教室划为一个 VLAN;将科研楼中的每个实验室及多媒体教师划为一个小 VLAN;(4)以方便网络管理为目的,将每栋建筑划分为一个大的 VLAN,其中办公楼的特殊地位,将每个部门根据的不同性质划为一个小 VLAN.
由于高校存在着如新生的入学,毕业生离校等情况,使得人员变动频繁,流动性大,VLAN 的划分较为困难,针对上述情况可以采用基于端口的划分方法。这样即使高校学生发生人数和班级的变动,只需要管理员将端口配置的 VLAN 重新分配,就可以容易设置和监控。
在划分 VLAN 同时部署访问控制,限制 VLAN 间的数据通信,如禁止对财务处进行访问,禁止业务不同的 VLAN 间进行通信。并部署 ACL 对阻止通过特定端口传播的病毒扩散。
核心汇聚层模块可以有效的缓解未授权访问、IP 欺骗、分组嗅探等网络威胁。
5.2.2 网络边界安全模块部署
网络边界模块的位于校园内部网络与外部网络交界处,目标是汇聚来自边界的不同构件的连接,提供接入教育网与电信网的功能,并连接内部网,实现内网共享,提供远程访问,提供 WWW 服务等。由于校园网网速较快,连接方便,也给网络入侵提供了通道,这就要求网络边界安全模块应在保证连接高风险的外部网络的同时也要保证校园网络内部网络的安全。
所以对网络边界模块要做以下部署:
l 部署接入路由,使用 NAT 技术隐藏校园网内部网络的 IP 地址。
l 部署防火墙,保护内部网络,抵御外部网络对内网重要信息的破坏。
l 启用访问控制 ACL,阻止外网的非法访问,禁止内部网络的非法外链。
l 提供安全可靠的远程访问服务。
l 应用 VPN 技术,采用 IPsec VPN 技术结合 iNode,用户只有通过了认证才可以授权使用,保证了内部网络的安全。
l 部署反向代理,在服务器与防火墙之间部署一台反向代理服务器,缓解外网访问速度缓慢的问题,并为服务器提供保护。
l 部署 IPS,与防火墙联动,起到对防毒软件和防火墙的有力补充。
l 部署 AC 上网流量控制,实现了行为审计、流量分析等业务的管理功能,其中在校园网中 P2P 软件的滥用导致校园安全问题,可控软件技术可以对校园网内的软件进行可控管理。如图 5-4网络边界安全模块的部署可以有效的缓解未授权访问、IP 欺骗、网络嗅探、分组嗅探、DDos 攻击等网络威胁。
5.2.3 服务区安全管理模块部署
服务器安全模块的目标是为终端用户和设备提供应用程序服务的,部署 EAD(终端准入控制解决方案)服务器。该校校园网服务区管理模块分为两个区域,两个区域分别为外部服务器区和内部服务器区,其中外部服务器区的职能是对外部用户访问校园网时提供服务,由于面向外部,虽然与校园网内部通信有一定的限制,但外部服务器区仍是具有高风险的区域;内部服务器区主要是面向内部用户的,由于本区域的应用系统较多,提供的服务也较多,安全级别也就不同。内部服务器之间要做好隔离,防止一台服务在遭受入侵后,被充当为攻击下一台内部服务器的跳板。所以该模块中分别设置了管理中心(内部)、隔离区(内部)以及 DMZ.
(1) DMZ 部署
使用一个有三个接口的防火墙去部署 DMZ,防火墙的每个接口连接一个要隔离的区域,三个接口分别连接外部网络、内部网络与 DMZ.防火墙提供每个隔离区之间的隔离。DMZ 中部署 WWW 服务器为外部网络用户提供校园网站访问服务,校园网站也会成为攻击者目标,可以在 DMZ 与防火墙之间的旁路上部署 IDS 或者 Web 应用防火墙,用以收集攻击者信息,网络管理员根据收集的信息,分析后重新制定防护策略,从而保证整个网络的安全性。其中 Web 应用防火墙可以对来自网络中各种指向本网络中的Web 服务器的攻击,如“篡改”行为等,做出主动防御,阻止攻击,并且是在攻击到达服务器之前。从而保证了 Web 服务器的安全,缓解威胁。
(2)内部网络管理中心与隔离区的部署
由于管理中心与内部隔离区的安全等级的不同,对于要求较高的管理中心部署IPS,增强主动防御;隔离区只需部署 IDS,进行入侵检测收集攻击信息即可。
(3)网络管理的解决方案
将 H3C iMC(开放智能管理中枢)部署到校园网的管理模块中,部署 iMC 后,通过该校园网网络拓扑,可以对网络的用户进行管理,对网络上网行为异常的用户,管理员可以同过 iMC 平台界面直观的查看到该用户的信息,锁定该用户,判断其是否在执行非法操作,最终将违规用户强制下线。便于校园网管理人员对网络终端的管理及维护工作。
服务器安全模块为校园网中部署技术提供支持与管理。该模块中会架设网络病毒服务器,并在终端准入控制模块部署中起着重要的作用。
5.2.4 接入层安全模块部署
接入层模块在 SAFE 中被定义为网络的扩展部分,它主要的目标是面向终端用户为其提供服务的。接入层设备是直接面向终端的,与终端的计算机相连,由于校园网的特点:人员复杂,人数众多,位置分散,接入点多等。网络的有些攻击如 ARP 地址欺骗(中间人攻击)攻击等,就是攻击者利用二层协议的漏洞,对网络有实施威胁与攻击的。所以该模块需要部署防 ARP 攻击与端口环路检测等技术,除了部署上述技术外,还可以部署虚拟防火墙以增强安全性。
接入层模块的部署可以有效的缓解 ARP 攻击、分组嗅探等网络威胁。
5.2.5 终端准入控制模块部署
对与外部网络的防御,设备采用防火墙、IDS/IPS 等,部署的技术 NAT、ACL、VPN等。对于内网可以采用的 VLAN 技术增加安全性,但校园网内部往往是由于终端问题,用户为了终端使用性能,而不安装安全软件,致使终端病毒泛滥,系统漏洞百出,无节制的使用 P2P 软件经行下载,为访问非法网站而使用代理服务器等,当这些终端接入网络,防火墙,IDS/IPS 等安全设备对其没有作用,这就会给内部的校园网络带来巨大威胁。因此增强校园网用户终端的安全性尤为重要。针对这样的问题,对于该高校的网络安全终端问题,采用终端准入控制解决方案(EAD),部署 iNode 智能客户端,从而控制校园用户终端可以安全接入网络。这样的部署可以起到控制网络中的用户终端行为控制,管理员可以高效、快捷、安全的管理该校园网络中的用户,加之iNode 客户端与安全策略服务器的联动,确保了该校网络终端接入的安全性。
该高校与大部分高校的校园特点一样,学生用户众多,每到新的学年就会要对新生接入用户部署 iNode 智能客户端,这对于学校的网络管理人员工作量极大,为了解决此种问题,EAD 中集成了智能客户端部署技术,即当没有安装 iNode 智能客户端,只能访问网络中心管理员设置好的 URL 页面,一般为 iNode 智能客户端的下载页面,强制并提示用户下载。只有下载 iNode 智能客户端,成功安装,并成功认证身份后,才可以正常的通过校园网访问因特网,获得正常的访问权限,反之,用户只能连接到管理员预设好的页面,上述过程如图 5-7 所示。
