◆阙 非

（南京理工大学 江苏 210094）

基于网络拓扑建设高校网络安全

◆阙 非

（南京理工大学 江苏 210094）

探究当下高校的网络安全环境，研究网络安全建设的现实意义。搜集了网络安全相关系统设备的资料，并进行了分析与比较。将校园网络环境分为边界、核心、数据、用户四个区域，针对不同区域考量各类安全系统与设备。根据各个网络区域的实际与特点，部署相适应的安全防护系统。并逐步优化区域内系统之间的级联关系，从而高效率解决常见的安全问题，提升高校的网络安全级别。

网络安全；拓扑区域；设备系统；架构建设

0 引言

目前，绝大多数高校在校园网络建设方面已有所成就，并构建出一套适合本校网络环境与特色的网络拓扑，但在网络安全层面仍存在短板与不足。在校园网环境下，无论网络拓扑多么庞大，也必定存在边界出口、网络核心、数据中心等功能结构，将整个拓扑分割为四个区域：边界区域、核心区域、DMZ区域与用户区域。每个区域承载的功能不同，网络安全的需求也大相径庭。

1 高校网络边界区域安全建设

边界区域，主要负责运营商ISP的接入，出口地址NAT映射，IP域名的准入准出等重要功能；核心区域，主要承载了网络核心交换、路由地址转发、下层汇聚网络等功能；DMZ区域，包括服务器、存储设备，形式上可以是实体机也可以是虚拟化设备，甚至采用服务器集群或是小型机来提供高性能的运算资源；用户区域，由底层汇聚交换、楼宇交换以及用户使用的终端组成，也是高校网络拓扑的最后一公里。

高校边界区域位于整个网络拓扑结构的最外端，负责连接校内与校外的网络资源。出口防火墙用于校内资源的访问控制与黑白名单设置。目前高性能的防火墙具备诸多安全防护功能：访问控制，用于针对源头地址与目标地址的隔离；会话数限制，主要用于针对校内服务器IP，进行并发数控制以此防护恶意的流量攻击；黑名单功能，用于对校外攻击源IP或URL进行封停处理。

除了出口防火墙，需要其他系统来加固边界区域的网络安全等级。高校比较常见的是防洪流 ADS设备，针对流量性质的恶意攻击进行事前预警，并联动出口防火墙进行应急控制。洪流攻击能够轻易造成网站服务器拥堵，影响核心网络层的设备导致网络瘫痪、停滞。常见的洪流攻击种类包括：服务拒绝攻击 DDoS与代理服务攻击 CC。由于攻击者多采用多台终端或者控制他人终端进行集中式攻击，导致攻击源头存在数量多、变化快的特征，难以定位并加以遏制。防洪流 ADS设备为旁路部署、级联反馈的方式，通过一系列的模拟算法与异常检测机制，预警出将要发生的攻击行为，并依据算法模拟结果，联动出口防火墙持续性对抗攻击源，动态禁止浮动IP。

另一类高校常见的边界区域安全系统为入侵防御系统 IPS。IPS系统部署于出口防火墙与网络核心之间，同样采用级联部署方式。与出口防火墙的拦截手段不同的是，IPS系统并非针对IP或是 URL进行限制防护，而是依靠对数据包的检测进行防御。入侵防御系统实时检查流向网络核心区域的数据包，在确定数据包的目的与用途之后，决定是否允许其进入高校内网环境。IPS系统实现了边界区域的网络监控与传输行为的准入准出，自主并实时隔离异常的数据流量，并中断影响危害校园内网的资源传输行为。

2 高校网络核心区域安全架构

关于高校网络核心区域的安全架构，与电商、ICP公司不同的是，在高校环境下网络核心区域的中心是核心交换而不是核心路由，这是由于高校网络的服务目标是网络数据转发而不是内网资源对外发布。围绕网络核心的部署原则：旁路部署、镜像引流。这里需要解释下此部署原则的原因：由于网络核心区域的主要功能是处理大量的数据转发工作，所以其负载较重且稳定性要求较高。安全架构对于核心区域只能采用并联的方式，不能串联部署影响网络运行。同理，为了不增加核心交换机的运载负荷，这里的安全系统通常只进行分析评估而不采取封停限制等控制措施。

在高校网络环境下，盲目地部署检测系统是低效且冗余的，信息化工作人员需要根据攻击类型进行针对性检测与防护。针对资源窃取、信息泄露、数据篡改，需要部署高级持续性威胁检测系统APT；针对洪流攻击、网页篡改、跨站脚本，则需要部署入侵检测系统IDS；而针对恶意访问、定向攻击、伪装数据则需要部署蜜罐网络系统HPS。APT系统通过沙盒测试的方式，在测试环境内分析评估异常数据，从而发现正在进行中的数据窃取类行为。IDS系统采用流量分析直接依据攻击模式的pattern特征识别攻击行为。HPS则是设置虚假的蜜罐陷阱，让黑客锁定在一个无效的测试环境之下。以上三类安全防护系统不同的是各自的分析方法与检测模式，如何选择三类网络核心区域的防护系统需要因地制宜，根据高校的实际情况与遭受的安全风险类型而选择部署。

3 高校网络DMZ区域安全部署

关于高校DMZ区域的安全部署问题，各大高校往往缺乏针对性的防护体系。很多高校虽然在边界出口部署了安全系统，但在服务器、存储设备所处的环境方面却忽视了部署安全系统的重要性。由于边界的防护不是绝对命中生效的，这会导致部分木马病毒潜入高校内部，从而发起一系列的攻击行为。不仅如此很多黑客行为也是在高校内部服务器被劫持的情况下从内而外产生的，需要内部安全防护体系的处理。

与边界区类似，DMZ区域也需要部署一台专属的防火墙设备。DMZ防火墙的作用与边界防火墙的作用不同，DMZ防火墙承担的是隔离不同安全域，保证内对内的网络攻击与病毒传播能够得到封锁。通过在汇聚交换机之前部署防火墙，能够有效防御来自高校内部的攻击，如被劫持的僵尸主机等威胁。此外，高校数据中心通常部署了不同功能的服务器集群，为了有效隔离各个安全域我们通常部署多台DMZ防火墙，从而实现一对多的定点防护与不同DMZ之间消除恶性干扰。

高校运行的信息系统多数是基于WEB界面的B/S架构应用，而防火墙无法针对服务器运载的系统进行逐项监测，因此在DMZ区域需要部署应用系统防护设备WAF。WAF能够依据不断更新优化的规则库，识别出针对WEB应用的恶意攻击。无论是遍历扫描、数据篡改、还是跨站攻击，WAF设备均可以定位到攻击行为的源头IP与目标URL，并及时采取拦截或是隔离等操作。相比较于DMZ防火墙，WAF设备能够更加专业的防护服务器运行的应用与网站，并智能化地进行抗攻击处理。

DMZ区域通常需要部署漏扫设备，用于检查全校网站及应用系统的安全漏洞问题。安全漏洞包括：主机漏洞与WEB漏洞。主机漏洞为服务器部署的操作系统所存在的系统漏洞。而 WEB漏洞多数存在于WEB应用程序本身，系开发过程中未曾规避的代码漏洞，包括：SQL注入、跨站脚本、外链嵌入等。漏扫系统能够集中扫描高校运行的各类网站与系统，为网站及系统的安全加固提供技术指导与处理方案。

4 高校网络用户区域安全建设

高校的网络用户是全校学生与老师，而用户使用的终端种类繁杂且基数庞大，导致用户个体的管理变得十分困难，因此，对用户区域进行统一的管理与安全建设是非常必要的。所以采用安装于终端的软件防火墙来防御黑客攻击，或针对办公区域安装终端管理系统进行直接监控。如果木马病毒已经渗透至用户区域，则需要请安全公司进行渗透测试并完成后续应急处理。

5 结论

本文阐述了高校网络环境下，不同区域内实用且精炼的安全架构与防护系统。然而高校安全建设也并非是系统平台越多越好，与之相反，在有限的经费支持下，我们更应该追求安全架构的性价比与实用性。仅靠建设安全系统是远远不够的，我们还需要完备的安全管理制度、可操作的安全事件流程以及训练有素的工作人员，校外安全服务公司的技术支持与应急响应同样至关重要。建设并完善一套高效网络安全架构，能够让信息安全管理者事半功倍，更有助于创建良好的校园网络环境。

[1]杨学富.构建高校网络安全系统[J].华东交通大学学报，2004.

[2]厉晓华.高校网络安全管理模式的探索与实践[J].科技创新导报，2009.

[3]诸晔.用 ACL实现系统的安全访问控制[J].计算机应用与软件，2005.

[4]V.Ahuja.Network and Internet Security[M].Chestnut Hill:Academic Press，1996.[5]Shirey R.Internet Security Glossary[M]. RFC Editor，2000.