教育城域網(wǎng)建設安全經(jīng)驗談

安全架構(gòu)教育之本

網(wǎng)絡安全包含兩部分內(nèi)容，一是構(gòu)成網(wǎng)絡物理體系的正常運行，保證數(shù)據(jù)在網(wǎng)上高效傳送；二是保障基于網(wǎng)絡的數(shù)據(jù)在傳輸過程中、存取中不被竅取、篡改、遺失。網(wǎng)絡的安全架構(gòu)指為保證網(wǎng)絡安全從工作理念、網(wǎng)絡結(jié)構(gòu)、軟件及硬件設備、技術(shù)手段等方面共同構(gòu)成的一個完整體系。

互聯(lián)網(wǎng)在設計之初就是本著自由與開放的原則，缺乏對安全性的總體構(gòu)想和考慮，導致目前許多應用系統(tǒng)處于不設防狀態(tài)。

廣泛存在的安全問題、侵權(quán)問題、誠信問題和精神污染等問題，已經(jīng)成為互聯(lián)網(wǎng)進一步發(fā)展的最大障礙。互聯(lián)網(wǎng)存在的這些問題應該作為教訓來指導教育城域網(wǎng)建設，如果教育城域網(wǎng)沒有一個科學的安全架構(gòu)，很好解決網(wǎng)絡安全問題，那么它只能是一種互聯(lián)網(wǎng)的延伸，也就失去存在的意義。

但是，如何才能行之有效地建立起網(wǎng)絡安全架構(gòu)呢？

成本與安全

局域網(wǎng)普通交換機是一種二層網(wǎng)絡設備，它在操作過程中不斷收集并建立它本身的MAC地址表，而且定時刷新。它的引入使網(wǎng)絡站點間可獨享帶寬，消除了無謂的碰撞檢測和出錯重發(fā)，提高了傳輸效率。但二層交換也暴露出它的弱點：只有在相同的網(wǎng)段內(nèi)的計算機才能通信，不能有效解決廣播風暴、異種網(wǎng)絡不能互連、處于一個大型的廣播域內(nèi)安全性控制性方面等問題不能解決。二層交換機虛擬網(wǎng)VLAN技術(shù)很好地解決了安全性和廣播風暴的問題。但虛擬網(wǎng)之間通信是不允許的，“三層交換”技術(shù)的引入實現(xiàn)了不同虛擬網(wǎng)間的高速路由，才真正解決了既利用VLAN提高了網(wǎng)絡的安全性有效地扼制廣播風暴，又解決了不同虛網(wǎng)之間的互通的難題。但三層交換機是普通交換機價格的4～5倍，作為教育城域網(wǎng)接入運營商（無論是電信還是廣電）都會考慮一個運行成本和效益的問題，所以他們往往會選用價格低廉二層交換機組建寬帶IP網(wǎng)作為我們教育城域網(wǎng)的接入，這就使教育城域網(wǎng)的安全運行留下了很大的隱患。

本文開頭所述的紹興教育城域網(wǎng)所發(fā)生的故障，就是上述原因造成網(wǎng)絡經(jīng)常性出現(xiàn)大量的廣播包阻塞，同時又很難及時控制阻斷廣播源，嚴重影響了網(wǎng)絡的正常運行?？茖W安全的解決方案是各校以不同的VLAN直接接入三層會聚交換機，并引入策略管理屬性，不僅使二層與三層相互關(guān)聯(lián)起來，而且還提供流量優(yōu)先化處理、安全訪問機制以及多種其它的靈活功能。為學校如財務數(shù)據(jù)等安全要求較高應用提供安全的傳輸網(wǎng)絡。

規(guī)范接入和運行監(jiān)控

紹興教育城域網(wǎng)的應用實踐也告訴我們，學校網(wǎng)絡安全還必須與規(guī)范接入和運行監(jiān)控相結(jié)合。

具體的措施可以參考以下辦法：學校設立一臺代理服務器（或防火墻設NAT），以一個終端的形式接入城域網(wǎng)，校園網(wǎng)內(nèi)的計算機訪問教育城域以代理服務器作為惟一出口。做到校園網(wǎng)地址和城域網(wǎng)地址隔離，避免校園網(wǎng)內(nèi)的大量計算機直接接入造成管理的困難，若一旦校園網(wǎng)產(chǎn)生廣播風暴則首先會使代理服務器阻塞，避免擴散到城域網(wǎng)；學校接入城域網(wǎng)的計算機必須按網(wǎng)絡中心分配的IP地址段設定，禁止盜用他人的IP和非法IP地址的接入；接入城域網(wǎng)的每一臺計算機均必須安裝殺毒軟件。

在網(wǎng)絡使用高峰時段，利用網(wǎng)管軟件查看路由器、交換機、服務器端口的數(shù)據(jù)流量，分析網(wǎng)絡中傳送的數(shù)據(jù)包的構(gòu)成，分析造成網(wǎng)絡異常的原因，診聽異常數(shù)據(jù)包來自哪條線路哪個學校，一時解決不了可以暫時屏蔽該校接入的VLAN避免影響到整個城域網(wǎng)的正常工作。 

實踐心得：

阻擊教育網(wǎng)內(nèi)“頭號殺手”

根據(jù)筆者在教育網(wǎng)內(nèi)實際應用中大量的網(wǎng)絡監(jiān)測分析，造成教育網(wǎng)網(wǎng)絡故障的“頭號殺手”就是廣播風暴。產(chǎn)生大規(guī)模廣播數(shù)據(jù)包的成因主要有這樣三類：

 （1）蠕蟲病毒對網(wǎng)絡速度的影響是頭號因素。

筆者采用sniffer捕獲大量發(fā)廣播包計算機的IP地址，通過這些地址尋找相應的學校，然后打電話通知該校進行殺毒處理，結(jié)果殺出大量蠕蟲病毒，殺毒處理后計算機恢復正常，廣播包也隨之消失，這類事件曾發(fā)生多起。I-Worm/Blaster沖擊波病毒、I-Worm/Chian(沖擊波殺手)病毒通過向網(wǎng)絡發(fā)送大量的數(shù)據(jù)包，使網(wǎng)絡流量劇增，最終導致許多網(wǎng)絡癱瘓的后果。蠕蟲病毒的傳播通常采用廣播包的形式及向外大量發(fā)郵件實現(xiàn)并對特定IP段進行瘋狂掃描，這種病毒導致被感染的用戶只要一連上網(wǎng)就不停地往外發(fā)郵件，成百上千的這種垃圾郵件有的排著隊往外發(fā)送，有的又成批成批地被退回來堆在服務器上。造成個別骨干互聯(lián)網(wǎng)出現(xiàn)明顯擁塞，個別局域網(wǎng)近于癱瘓。因此，應時常注意各種新病毒通告，了解各種病毒特征；及時升級所用殺毒軟件。計算機也要及時升級、安裝系統(tǒng)補丁程序；同時卸載不必要的服務，關(guān)閉不必要的端口，以提高系統(tǒng)的安全性和可靠性。

（2）網(wǎng)卡或網(wǎng)絡設備損壞造成向外發(fā)廣播包。

當網(wǎng)卡或網(wǎng)絡設備損壞后，因為無法處理響應包，主機會不停地發(fā)送廣播包，從而導致廣播風暴，使網(wǎng)絡通信陷于癱瘓。因此，當網(wǎng)絡設備硬件有故障時也會引起網(wǎng)速變慢。當懷疑有此類故障時，首先可采用置換法替換集線器或交換機來排除設備故障。然后用ping命令對所涉及計算機逐一測試，找到有故障網(wǎng)卡的計算機，更換新的網(wǎng)卡可恢復網(wǎng)速正常。紹興教育網(wǎng)因接入城域網(wǎng)的學校用交換機損壞引起過二起這類事件。

（3）學校的視頻廣播服務器的工作形成廣播包。

有些學校設立視頻點播、視頻會議、視頻廣播服務，以實現(xiàn)在網(wǎng)絡上傳送視頻節(jié)目，這是應用上的問題。我們允許存在但必須控制數(shù)量，并要求他們控制開啟的時間。