论文部分内容阅读
摘要:该文以湖南交通职业学院的校园网为背景,从校园网内网安全威胁的特点和攻击原理入手,解析了如何利用VLAN技术保障校园网内网安全。
关键词:VLAN技术;校园网;内网安全
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)23-913-02
How to Support Campus Net the Net Security Use VLAN Technical
WANG Fang
(Hunan Traffic Professional Technical Institute,Changsha 410004,China)
Abstract: Take the Hunan transportation professional institute's campus net as a background, from the campus net the net safe threat characteristic and attack principle obtaining, how analyzed has used in the VLAN technical support campus net the net security.
Key words: VLAN technology; Campus network; In net security
随着IT业的飞速发展,人类社会步入了信息化社会,迅捷的信息流已成为人们生活、工作不可或缺的元素。互联网络作为信息化社会的一个重要组成部分,从1983年诞生的整合TCP/IP协议的BSD UNIX到今天的CIEA,它进步的速度更是让其他任何事物都不可逾越。对于学校而言,以往价格高昂的Internet接入和组网在今天都不再是奢侈的要求。但是随着校园网建设的快速发展和校园网应用的不断深入,人们逐渐开始关注一个曾经被忽视的问题,也就是校园网的内网安全问题。如何才能提升校园网内网安全级别?在这里我将结合工作中的一点实际经验介绍一下VLAN技术在内网安全中起到的重要作用。
1 什么是内网安全
一提到网络安全,人们往往会想到在网关或者网络边界等方面的防御,其实不然,来自网络内部的计算机客户端的安全威胁更众多管理人员所头疼的问题。那什么是内网呢?内网即Intranet,是相对于外网Extranet而言的。广义而言,所有党政机关、企事业单位的内部网络都称为内网。另外光纤到楼、小区宽带、教育网、有线电视Cable Modem上网虽然地域范围比较大但本质上还是基于以太网技术,所以仍然属于内网。在这里我们只讨论前者。内网安全主要是指源于内部网络的攻击,或者外网终端控制局域网络内部某台Server,然后以此为基地,对内网或Internet上的其他主机发起恶性攻击。
2 影响校园网内网安全的几大因素
由于校园网络大、用户群密集、应用覆盖很广泛, 一旦网络中出现安全问题,起初会很难发现,在计算机的相互影响下,故障会迅速蔓延,由点故障转变为面故障,并且故障定位会非常麻烦。往往处理不及时,会造成大面积瘫痪、业务停滞,给学校的教学工作和正常上网带来巨大的影响。形成校园网内网安全威胁的源头来自于以下几个方面:
2.1 人为恶意攻击
校园网的大部分用户是学生,这个庞大群体精力旺盛,好奇心强,具有一定的专业知识。为体现自我价值,他们在网上学习各种黑客技术,入侵内网服务器,篡改其数据、访问非法资源、破坏系统,影响正常教学;利用木马控制其他主机,窃取他人隐私、盗取游戏帐号。然则,已经那些已经被入侵控制的计算机,由于已经被注入木马,有可能再次被外网的专业黑客所利用,来对校内服务器,甚至外网的一些商业服务器,谋取非法利益。由此可见,内网的人为恶意攻击带来的威胁是巨大的,他的破坏力远远超乎想象。
2.2 病毒肆意泛滥
2001年作为新世纪的第一年,注定是不平凡的一年——当个人计算机迎来它的20岁生日的同时,恶毒的“CAM先生”病毒和“红色代码”病毒通过网络袭击了全球的计算机系统,给人类带来巨大损失。
经过7年的磨练,安全软件不断进步,网络病毒种类亦愈来愈多。大体传播途径分为两种,一种是病毒本身不具备复制功能,他们通过广播散播到网段内每个主机,当这个主机存在系统漏洞时,病毒马上侵占该主机,并在局域网内以广播方式继续传播,这类病毒的特点的是:传播速度快、影响范围广、主要破坏网络的互联互通;另一种是通过隐藏在正常的软件中,通过用户下载安装,同时植入系统,再在用户不知情的情况下,自动从网络上下载其他恶性病毒并植入系统,这类病毒的特点是:主机上往往有数百种病毒,破坏力极强。
2.3 系统漏洞百出
目前校园网内的绝大部分终端都是用的Microsoft的操作系统,在Windows 9X之后的版本,微软公司大大加强了操作系统的网络功能,这也给操作系统带来了更多的隐患。据统计,微软的Windows操作系统平均每天有7个漏洞被发现,而各种各样的病毒和黑客软件也就是从这些漏洞入手。如:“冲击波病毒”利用微软的RPC漏洞发起攻击,黑客利用最多的是IE浏览器安全漏洞。所以,在你愉快的工作或娱乐的时候,操作系统可能就已经背叛你,成为它们的帮凶。现在,黑客和病毒仍然在发掘其他的途径入侵主机,有迹象表明,它们越来越热衷于利用时下最为流行的应用软件漏洞进行挂马,例如一些播放器软件漏洞、聊天工具漏洞、网络电视软件漏洞。
2.4 管理控制松懈
校园网是为提高学校教学和科研质量、加快信息化建设、开展多媒体教学与研究、改善教学和科研条件应运而生的。为了满足这些要求,校园网必然是一个应用高度密集的区域。
由于需求不同,每个应用系统可能都是由不同的公司或个人开发,对应用中的一些涉密信息无法形成统一的管理。而内部员工作为这些应用的使用者,拥有不同等级的权限,在管理机制不健全的情况下,随意把系统口令泄露给他人、涉密信息随意存放、系统口令设置过于简单、没有指定专门管理系统的计算机,都有可能会导致系统涉密数据被非法篡改、删除和复制。总之,管理上的漏洞带来的威胁,由于可以逃避网络边界的安全设备监控,并且表面上看来是合法的,其危害远大于来自外网的攻击。
3 利用VLAN技术建立内网安全防护屏障
我院校园网拥有一条电信100M出口,一条教育网10M出口,核心交换机使用华为S8505,主干采用千兆以太网技术,光纤以星形方式敷设到每一栋楼宇。目前校园网覆盖包括:办公楼、图书馆、教师宿舍、学生宿舍、教学楼等24栋楼宇。
3.1 合理的VLAN划分
为保证校园网的24小时不间断运行,降低网络故障影响范围,减少由广播引起的网络瓶颈,在VLAN设计时,我们要求每个VLAN不超过64台主机,并根据校园网用户上网场所,将他们粗略划分为中心机房、学生宿舍、教工宿舍、办公大楼、多媒体教室、教学机房六大类。具体VLAN划分如下:
1)中心机房:学院的中心机房放置的是非常重要的应用服务器,根据他们业务的不同,将他们划分为六个VLAN:WEB服务器,防病毒、自动更新服务器、计费系统、OA办公、视频服务、其他各种管理系统一个VLAN。
2)学生宿舍:由于用户密集度高,上网场所相对固定,学生上网行为很难受控,病毒大面积爆发机率较大,所以我们按照每层楼一个VLAN进行划分。
3)教工宿舍:教工用户密度相对较低,每栋楼不会超过48个用户,我们将每栋楼划分为一个VLAN。
4)办公大楼:由于办公用户部门与部门之间有不同的需求,访问的资源也不同,并考虑到日常办公中有很多的移动终端,上网场所不固定。我们结合基于端口的VLAN和基于MAC的VLAN,将他们按照职能部门的不同进行VLAN划分。
5)多媒体教室:我院多媒体教室相对集中,数量在50间以内,本可以划分在一个VLAN里面,但我们考虑到多媒体教室的终端使用者不固定,USB存储设备使用较多,无法控制学生完全不接触终端,并且终端是否正常运行直接影响到日常教学。我们将多媒体教室的计算机每台划分一个VLAN。
6)教学机房:我们将不同部门的教学机房划分一个VLAN,并由网络中心分配一个或多个IP地址给不同教学机房,每个教学机房再通过ISA做代理或NAT接入校园网,较大的教学机房内部再通过ISA按教室划分VLAN。
3.2 华为EAD结合Guset-Vlan降低内网风险
我院除教学用计算机以外的所有计算机都必须通过802.1X认证才能接入校园网。假设有一台PC-A是在VLAN 10,防病毒、自动更新服务器等在VLAN 100,将VLAN 100设置为Guest-Vlan。首先,PC-A进性802.1X认证准备接入校园网,这时EAD会对其进行身份验证,当发现是非法用户,会将其强制下线。通过身份验证之后并不会马上接入校园网,会进一步进行安全认证。EAD通过用户安全客户端、网络设备、第三方软件联动,根据网络管理定制的安全策略,对PC-A的杀毒软件安装运行情况、病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的检查。当其安全认证失败时,EAD会将PC-A强制隔离到Guest-Vlan中,此时PC-A只能访问Guest-Vlan中的资源,在Guest-Vlan中通过第三方服务器进行自身安全修复,直到完全达到EAD所要求的安全级别,PC-A准入校园网。整个接入过程如3.3 配置基于VLAN的访问控制列表
合理配置基于VLAN的访问控制列表,有效阻断不需要互访的VLAN之间的联系。我院所有上网用户除了可以访问校园网服务器所在的VLAN与Internet以外,各个VLAN在逻辑上是断开的,不同VLAN 之间的用户无法互访,杜绝有意或无意的相互攻击。
在办公网,财务处作为一个重要机构,数据安全要求极高,在校领导有访问财务数据的需求下,可以通过VPN拨号接入财务内部网访问财务数据,大大提高安全性。服务器所在的VLAN,配置只允许访问应用服务器所必须开放的几个端口,把可攻击服务器的途径缩减到最少。
4 结束语
目前各种各样号称功能巨大的内网安全设备充斥着市场,其价格之不菲暂且不说,可能用的时候还达不到预期效果。与其这样,我们还不如利用廉价而成熟的VLAN技术从问题的根源入手,将病毒攻击、黑客攻击扼杀在摇篮中,尽量减少内网安全威胁。
参考文献:
[1] 马颖.VLAN技术及其在校园网内的应用[J].郑州铁路职业技术学院学报,2004,(03):28.
[2] 彭伟.Guest Vlan在校园网络中的应用[J].计算机应用与软件,2007,24(03):117-118.
[3] 彭涛.浅谈校园网络的安全设计与管理[J].重庆教育学院学报,2007,20(3):67-70.
[4] 张裔智.Vlan技术在校园网中的应用及研究[J].电脑知识与技术(学术交流),2007,(11):1233-1235.
关键词:VLAN技术;校园网;内网安全
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)23-913-02
How to Support Campus Net the Net Security Use VLAN Technical
WANG Fang
(Hunan Traffic Professional Technical Institute,Changsha 410004,China)
Abstract: Take the Hunan transportation professional institute's campus net as a background, from the campus net the net safe threat characteristic and attack principle obtaining, how analyzed has used in the VLAN technical support campus net the net security.
Key words: VLAN technology; Campus network; In net security
随着IT业的飞速发展,人类社会步入了信息化社会,迅捷的信息流已成为人们生活、工作不可或缺的元素。互联网络作为信息化社会的一个重要组成部分,从1983年诞生的整合TCP/IP协议的BSD UNIX到今天的CIEA,它进步的速度更是让其他任何事物都不可逾越。对于学校而言,以往价格高昂的Internet接入和组网在今天都不再是奢侈的要求。但是随着校园网建设的快速发展和校园网应用的不断深入,人们逐渐开始关注一个曾经被忽视的问题,也就是校园网的内网安全问题。如何才能提升校园网内网安全级别?在这里我将结合工作中的一点实际经验介绍一下VLAN技术在内网安全中起到的重要作用。
1 什么是内网安全
一提到网络安全,人们往往会想到在网关或者网络边界等方面的防御,其实不然,来自网络内部的计算机客户端的安全威胁更众多管理人员所头疼的问题。那什么是内网呢?内网即Intranet,是相对于外网Extranet而言的。广义而言,所有党政机关、企事业单位的内部网络都称为内网。另外光纤到楼、小区宽带、教育网、有线电视Cable Modem上网虽然地域范围比较大但本质上还是基于以太网技术,所以仍然属于内网。在这里我们只讨论前者。内网安全主要是指源于内部网络的攻击,或者外网终端控制局域网络内部某台Server,然后以此为基地,对内网或Internet上的其他主机发起恶性攻击。
2 影响校园网内网安全的几大因素
由于校园网络大、用户群密集、应用覆盖很广泛, 一旦网络中出现安全问题,起初会很难发现,在计算机的相互影响下,故障会迅速蔓延,由点故障转变为面故障,并且故障定位会非常麻烦。往往处理不及时,会造成大面积瘫痪、业务停滞,给学校的教学工作和正常上网带来巨大的影响。形成校园网内网安全威胁的源头来自于以下几个方面:
2.1 人为恶意攻击
校园网的大部分用户是学生,这个庞大群体精力旺盛,好奇心强,具有一定的专业知识。为体现自我价值,他们在网上学习各种黑客技术,入侵内网服务器,篡改其数据、访问非法资源、破坏系统,影响正常教学;利用木马控制其他主机,窃取他人隐私、盗取游戏帐号。然则,已经那些已经被入侵控制的计算机,由于已经被注入木马,有可能再次被外网的专业黑客所利用,来对校内服务器,甚至外网的一些商业服务器,谋取非法利益。由此可见,内网的人为恶意攻击带来的威胁是巨大的,他的破坏力远远超乎想象。
2.2 病毒肆意泛滥
2001年作为新世纪的第一年,注定是不平凡的一年——当个人计算机迎来它的20岁生日的同时,恶毒的“CAM先生”病毒和“红色代码”病毒通过网络袭击了全球的计算机系统,给人类带来巨大损失。
经过7年的磨练,安全软件不断进步,网络病毒种类亦愈来愈多。大体传播途径分为两种,一种是病毒本身不具备复制功能,他们通过广播散播到网段内每个主机,当这个主机存在系统漏洞时,病毒马上侵占该主机,并在局域网内以广播方式继续传播,这类病毒的特点的是:传播速度快、影响范围广、主要破坏网络的互联互通;另一种是通过隐藏在正常的软件中,通过用户下载安装,同时植入系统,再在用户不知情的情况下,自动从网络上下载其他恶性病毒并植入系统,这类病毒的特点是:主机上往往有数百种病毒,破坏力极强。
2.3 系统漏洞百出
目前校园网内的绝大部分终端都是用的Microsoft的操作系统,在Windows 9X之后的版本,微软公司大大加强了操作系统的网络功能,这也给操作系统带来了更多的隐患。据统计,微软的Windows操作系统平均每天有7个漏洞被发现,而各种各样的病毒和黑客软件也就是从这些漏洞入手。如:“冲击波病毒”利用微软的RPC漏洞发起攻击,黑客利用最多的是IE浏览器安全漏洞。所以,在你愉快的工作或娱乐的时候,操作系统可能就已经背叛你,成为它们的帮凶。现在,黑客和病毒仍然在发掘其他的途径入侵主机,有迹象表明,它们越来越热衷于利用时下最为流行的应用软件漏洞进行挂马,例如一些播放器软件漏洞、聊天工具漏洞、网络电视软件漏洞。
2.4 管理控制松懈
校园网是为提高学校教学和科研质量、加快信息化建设、开展多媒体教学与研究、改善教学和科研条件应运而生的。为了满足这些要求,校园网必然是一个应用高度密集的区域。
由于需求不同,每个应用系统可能都是由不同的公司或个人开发,对应用中的一些涉密信息无法形成统一的管理。而内部员工作为这些应用的使用者,拥有不同等级的权限,在管理机制不健全的情况下,随意把系统口令泄露给他人、涉密信息随意存放、系统口令设置过于简单、没有指定专门管理系统的计算机,都有可能会导致系统涉密数据被非法篡改、删除和复制。总之,管理上的漏洞带来的威胁,由于可以逃避网络边界的安全设备监控,并且表面上看来是合法的,其危害远大于来自外网的攻击。
3 利用VLAN技术建立内网安全防护屏障
我院校园网拥有一条电信100M出口,一条教育网10M出口,核心交换机使用华为S8505,主干采用千兆以太网技术,光纤以星形方式敷设到每一栋楼宇。目前校园网覆盖包括:办公楼、图书馆、教师宿舍、学生宿舍、教学楼等24栋楼宇。
3.1 合理的VLAN划分
为保证校园网的24小时不间断运行,降低网络故障影响范围,减少由广播引起的网络瓶颈,在VLAN设计时,我们要求每个VLAN不超过64台主机,并根据校园网用户上网场所,将他们粗略划分为中心机房、学生宿舍、教工宿舍、办公大楼、多媒体教室、教学机房六大类。具体VLAN划分如下:
1)中心机房:学院的中心机房放置的是非常重要的应用服务器,根据他们业务的不同,将他们划分为六个VLAN:WEB服务器,防病毒、自动更新服务器、计费系统、OA办公、视频服务、其他各种管理系统一个VLAN。
2)学生宿舍:由于用户密集度高,上网场所相对固定,学生上网行为很难受控,病毒大面积爆发机率较大,所以我们按照每层楼一个VLAN进行划分。
3)教工宿舍:教工用户密度相对较低,每栋楼不会超过48个用户,我们将每栋楼划分为一个VLAN。
4)办公大楼:由于办公用户部门与部门之间有不同的需求,访问的资源也不同,并考虑到日常办公中有很多的移动终端,上网场所不固定。我们结合基于端口的VLAN和基于MAC的VLAN,将他们按照职能部门的不同进行VLAN划分。
5)多媒体教室:我院多媒体教室相对集中,数量在50间以内,本可以划分在一个VLAN里面,但我们考虑到多媒体教室的终端使用者不固定,USB存储设备使用较多,无法控制学生完全不接触终端,并且终端是否正常运行直接影响到日常教学。我们将多媒体教室的计算机每台划分一个VLAN。
6)教学机房:我们将不同部门的教学机房划分一个VLAN,并由网络中心分配一个或多个IP地址给不同教学机房,每个教学机房再通过ISA做代理或NAT接入校园网,较大的教学机房内部再通过ISA按教室划分VLAN。
3.2 华为EAD结合Guset-Vlan降低内网风险
我院除教学用计算机以外的所有计算机都必须通过802.1X认证才能接入校园网。假设有一台PC-A是在VLAN 10,防病毒、自动更新服务器等在VLAN 100,将VLAN 100设置为Guest-Vlan。首先,PC-A进性802.1X认证准备接入校园网,这时EAD会对其进行身份验证,当发现是非法用户,会将其强制下线。通过身份验证之后并不会马上接入校园网,会进一步进行安全认证。EAD通过用户安全客户端、网络设备、第三方软件联动,根据网络管理定制的安全策略,对PC-A的杀毒软件安装运行情况、病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的检查。当其安全认证失败时,EAD会将PC-A强制隔离到Guest-Vlan中,此时PC-A只能访问Guest-Vlan中的资源,在Guest-Vlan中通过第三方服务器进行自身安全修复,直到完全达到EAD所要求的安全级别,PC-A准入校园网。整个接入过程如3.3 配置基于VLAN的访问控制列表
合理配置基于VLAN的访问控制列表,有效阻断不需要互访的VLAN之间的联系。我院所有上网用户除了可以访问校园网服务器所在的VLAN与Internet以外,各个VLAN在逻辑上是断开的,不同VLAN 之间的用户无法互访,杜绝有意或无意的相互攻击。
在办公网,财务处作为一个重要机构,数据安全要求极高,在校领导有访问财务数据的需求下,可以通过VPN拨号接入财务内部网访问财务数据,大大提高安全性。服务器所在的VLAN,配置只允许访问应用服务器所必须开放的几个端口,把可攻击服务器的途径缩减到最少。
4 结束语
目前各种各样号称功能巨大的内网安全设备充斥着市场,其价格之不菲暂且不说,可能用的时候还达不到预期效果。与其这样,我们还不如利用廉价而成熟的VLAN技术从问题的根源入手,将病毒攻击、黑客攻击扼杀在摇篮中,尽量减少内网安全威胁。
参考文献:
[1] 马颖.VLAN技术及其在校园网内的应用[J].郑州铁路职业技术学院学报,2004,(03):28.
[2] 彭伟.Guest Vlan在校园网络中的应用[J].计算机应用与软件,2007,24(03):117-118.
[3] 彭涛.浅谈校园网络的安全设计与管理[J].重庆教育学院学报,2007,20(3):67-70.
[4] 张裔智.Vlan技术在校园网中的应用及研究[J].电脑知识与技术(学术交流),2007,(11):1233-1235.