校园网一体化安全防护研究
彭 伟 任友群
摘要:安全问题是校园网络建设和使用中面临的重大课题,本论文从网络安全产品的部署角度出发,阐述了校园网一体化安全防护技术的思路,并对其具体内容做了较为详细的论述。
关键词:校园网 一体化 安全防护 统一威胁管理
中图分类号:TP393.08 文献标识码:B 文章编号:1673-8454(2009)21-0020-03
一、问题的提出
互联网自身的安全缺陷是导致互联网脆弱性的根本原因。互联网的脆弱性体现在设计、实现、维护的各个环节。设计阶段,互联网的设计之初没有充分考虑安全威胁,因为最初的互联网只是用于少数可信的用户群体。许多网络协议和应用没有提供必要的安全服务,比如电子邮件使用的SMTP协议没有提供认证机制,曾经是导致垃圾邮件泛滥的重要原因,远程登录使用的Telnet协议明文传输用户名和口令等,而且IP网络也不提供任何服务质量控制机制,导致目前在大规模拒绝服务攻击面前几乎无能为力。[1] 作为学校重要基础设施的校园网担负着教学、科研、管理和对外交流的重任,它的安全状况直接影响到教学、科研、管理和对外交流的顺利进行。目前,随着网络应用的进一步深入,网络上所面临的攻击也越来越频繁。同时,随着学校网络规模的不断扩大,用户对网络性能要求的不断提高,校园网安全问题越来越被广泛关注。[2]
二、校园网常见的安全威胁及应对措施
校园网既是大量网络攻击的发源地,也是网络攻击者最容易攻破的目标。当前,校园网常见的安全威胁有如下几种。
1.蠕虫病毒泛滥
网络上蠕虫病毒的危害越来越严重,发作越来越频繁。而且,蠕虫病毒往往与黑客技术相结合,计算机中毒发作后,导致拒绝服务攻击,严重的甚至造成全网服务中断。有些病毒还具有黑客程序的功能,一旦侵入我们的计算机系统,病毒控制者就可以非常容易地从入侵的系统中窃取信息,并远程控制这些系统。
需要建立一套完善的防毒网关,加强多级进入点的安全保护,并对网络安全管理进行规范,才能对病毒进行有效的防护。
2.校内用户在校外不安全访问学校内网
校园网用户在校外要能安全地访问到校园网,获取其数据,如工资报表、科研成果、研究资料和论文等。这些数据的安全性要求比较高,要充分考虑远程登录校园网的安全问题。
需要建立VPN网关,通过隧道技术、加密协议和安全密钥来实现校内用户在校外对学校内网的安全访问。
3.Web攻击
随着Web 2.0交互应用程序的出现,Web得到了迅速发展,但通过Web发起的攻击也越来越多。Web上大量的恶意软件和犯罪软件嵌入到无辜的第三方站点中。网络欺诈也继续发展,其攻击行为更复杂。
需要建立上网行为管理,对流氓软件、恶意软件和数据泄露等Web安全进行有效的防范。
4.外网对内网的不安全访问
在校园网中,来自校园网外部的攻击越来越频繁。如何在校园网内部和校园网外部之间建立一道安全的保护屏障,以保护校园网内部网络免受外部非法用户的入侵是我们一直在努力做的工作。
防火墙是校园网络安全的第一道屏障,一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。
5.黑客攻击
随着互联网黑客技术的飞速发展,网络世界的安全性不断受到挑战。对于黑客自身来说,要闯入校园网络实在是太容易了。
为此,应部署入侵检测(防御)系统,它依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现(防御)各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
以上介绍的五种威胁,如果都要解决,现在常用的做法是购买相应的安全产品,分别加以部署,如图1所示。
随着网络中的应用越来越复杂,安全问题以出人意料的速度增长,并且在攻击方式、攻击目标上亦呈多样化发展趋势。基于这个特点,原先各自为战的安全产品总是处于疲于应付的状态,无法很好地实现对校园网络的安全保护。为了校园网络的安全,学校通常被迫部署多台、多种安全设备。并且随着新安全威胁的出现,还需要再部署更多的安全设备。新增加安全域时有时需要重新建设安全系统。这样一种部署方式,将带来如下的问题:
安全系统由此变得异常复杂;
复杂的安全系统将使整个信息系统的稳定性降低;
多台设备的加入,也就加入了多个可能的故障点;
新增的安全域通常需要独立、重复建设安全系统;
管理成本高,管理难度大,维护困难。
三、校园网一体化安全防护
按照上面的部署方法,我们部署了那么多的安全产品,还是有很多用户在抱怨。事实证明:拥有了网络安全产品不等于就拥有了安全,真正的安全还需要好的安全管理。现在,越来越多的网络安全解决方案也体现了安全管理更重要这一理念。
随着学校对校园网络安全的重视,防火墙、防毒网关以及上网行为管理等一系列网络安全产品也在不断进驻学校,由此给学校带来了越来越复杂的校园网安全管理体制。如果学校负责网络安全的管理人员对部署的安全架构没有一个较为完整的认识,网络管理人员要进行安全管理肯定就比较困难。让防火墙、防毒网关以及上网行为管理之类的网络安全产品彼此独立运行,应该问题不大。但是,如何让这些网络安全产品协调一致以保护学校的校园网络,如何让网络管理人员对它们的性能进行监控,如何构建一体化的安全防护体系等问题是那些已经配备了网络安全产品或正在实施网络安全产品的学校所考虑的问题。
是否有一种方案,能对校园网进行一体化的安全防护?早在2002年,就有公司提出了统一威胁管理(UTM)技术。当时,因为混合威胁的出现,为了满足用户对防火墙、IDS、VPN、反病毒等的集中管理需求,提出了将这些技术整合进一个盒子里,进行统一威胁的管理。
校园网一体化安全防护应该是通过完整的安全策略,利用多个安全产品有效互动实施全方位保护,而不是单纯安全产品的堆砌。一体化安全防护能在一个硬件平台上整合各种安全功能,如防火墙、VPN网关、上网行为管理、入侵检测(防御)和防毒网关等,希望通过在校园网出口处部属一个硬件设备,一揽子解决几乎所有的安全问题,如图2所示。在该体系结构中,各模块的功能是分离的,每种模块负责其各自的功能。
校园网一体化安全防护首先提供高度智能化的数据流交换处理,提供深度包检测的功能。根据进入数据流的应用类型,可灵活地对数据流进行调度;根据管理员的配置及应用特性,可对数据流进行分类,并将分类的数据流发送到相应的安全应用模块进行处理。
也就是说,可以根据实际安全的需求来实现对数据流的调度。网络安全管理员可以根据用户的需求来决定某类型的数据流需要穿过哪些或哪个安全应用模块的检查,也可以控制数据流穿过各个安全应用模块的顺序。另外,数据流发送的方式可以是串行发送,也可以是并行发送。可以根据用户的实际需求,对进出系统的数据流进行不同的检查,不同的用户或IP地址也可以有不同的安全应用模块组合顺序。这样,就可以根据用户的实际安全需求以任意顺序组合各种安全应用模块。[4]
安全应用模块可独立处理各种安全应用,包括防火墙、VPN网关、上网行为管理、IDS/IPS、防病毒网关等。
安全应用模块以负载均衡的方式工作,满足超高性能的需求;在可靠性方面,可实现“N+1”备份技术。负载均衡和“N+1”备份等技术的应用,大大提高了校园网一体化安全防护系统的安全性。
校园网一体化安全防护具有如下优点:[5]
提供了高性能的综合安全防护,各安全应用独享资源,相互之间不竞争资源,可同时打开所有安全功能。
是一个可平滑“长大”的安全系统。系统具有高可扩展性、高可伸缩性。当需求增加时,可灵活地扩展原有系统。如果采用分类设备一台台搭建安全系统,增加了系统的复杂度、降低了系统的稳定性、扩展升级困难以及维护成本高。
这些设备通常都是即插即用的,只需要很少的安装配置,减少了维护量,降低了复杂性。
当一台设备出现故障之后,即使是一个非专业人员也可以很容易地用另外一台设备替换它,使网络尽快恢复正常,使排错更容易。
校园网一体化安全防护提供多项安全功能,可以将用户需求的多种安全特性集中到一个硬件设备里,构成一个标准的统一网络管理平台,这是今后网络安全发展的方向。然而,测试结果表明:在校园网一体化安全防护中,如果将全部的安全功能打开,这个系统的性能将大大降低。其中,校园网一体化安全防护中的防毒网关、p2p和及时消息检测功能对速度的影响最大。
由于校园网一体化安全防护系统中,一旦开通所有的安全应用模块,消耗的资源相当大,所以仅使用通用服务器和网络系统技术,要实现对应用层的高速处理,性能上肯定达不到要求。为此,需要有强劲的处理能力来支持。在校园网一体化安全防护中,只有解决了功能与性能的矛盾,一体化安全防护才能既实现像防火墙这种常规的网络级安全,又能处理像病毒与蠕虫扫描这种需要高速处理的应用级安全。只有解决了功能和性能的矛盾,校园网一体化安全防护才能得到长足的发展。[6]
四、结束语
校园网的一体化安全防护是指在建校园网的时候就考虑好安全因素,并且让网络的各个组成部分都具有安全功能。而且,在实施一体化的安全网络时,可以分模块、分层次有序进行。用户可以根据自身的网络特点和安全要素,来制定网络安全的建设顺序。
校园网一体化安全防护不仅大大降低管理上的复杂度,充分发挥应有的管理效益,而且缩短部署时间,减少部署成本,使排错更容易,具有高扩展性、高伸缩性和高安全性。一旦解决了功能和性能的矛盾,校园网一体化安全防护将是今后校园网安全解决方案的首选方向。
参考文献:
[1]http://www.snjyxxw.com/smqqjxx/bsje/yjs/200711/4907.html
[2]http://emic.moe.edu.cn/
[3]http://www.websense.com/
[4]http://sec.chinabyte.com/455/8764955.shtml
[5]梁明君. UTM技术研究[J].信息安全与通信保密,2008(9).
[6]沈晴霓.中国UTM一体化安全管理技术的发展创新[J].现代电信科技,2007(7).
(编辑:于黎明)
摘要:安全问题是校园网络建设和使用中面临的重大课题,本论文从网络安全产品的部署角度出发,阐述了校园网一体化安全防护技术的思路,并对其具体内容做了较为详细的论述。
关键词:校园网 一体化 安全防护 统一威胁管理
中图分类号:TP393.08 文献标识码:B 文章编号:1673-8454(2009)21-0020-03
一、问题的提出
互联网自身的安全缺陷是导致互联网脆弱性的根本原因。互联网的脆弱性体现在设计、实现、维护的各个环节。设计阶段,互联网的设计之初没有充分考虑安全威胁,因为最初的互联网只是用于少数可信的用户群体。许多网络协议和应用没有提供必要的安全服务,比如电子邮件使用的SMTP协议没有提供认证机制,曾经是导致垃圾邮件泛滥的重要原因,远程登录使用的Telnet协议明文传输用户名和口令等,而且IP网络也不提供任何服务质量控制机制,导致目前在大规模拒绝服务攻击面前几乎无能为力。[1] 作为学校重要基础设施的校园网担负着教学、科研、管理和对外交流的重任,它的安全状况直接影响到教学、科研、管理和对外交流的顺利进行。目前,随着网络应用的进一步深入,网络上所面临的攻击也越来越频繁。同时,随着学校网络规模的不断扩大,用户对网络性能要求的不断提高,校园网安全问题越来越被广泛关注。[2]
二、校园网常见的安全威胁及应对措施
校园网既是大量网络攻击的发源地,也是网络攻击者最容易攻破的目标。当前,校园网常见的安全威胁有如下几种。
1.蠕虫病毒泛滥
网络上蠕虫病毒的危害越来越严重,发作越来越频繁。而且,蠕虫病毒往往与黑客技术相结合,计算机中毒发作后,导致拒绝服务攻击,严重的甚至造成全网服务中断。有些病毒还具有黑客程序的功能,一旦侵入我们的计算机系统,病毒控制者就可以非常容易地从入侵的系统中窃取信息,并远程控制这些系统。
需要建立一套完善的防毒网关,加强多级进入点的安全保护,并对网络安全管理进行规范,才能对病毒进行有效的防护。
2.校内用户在校外不安全访问学校内网
校园网用户在校外要能安全地访问到校园网,获取其数据,如工资报表、科研成果、研究资料和论文等。这些数据的安全性要求比较高,要充分考虑远程登录校园网的安全问题。
需要建立VPN网关,通过隧道技术、加密协议和安全密钥来实现校内用户在校外对学校内网的安全访问。
3.Web攻击
随着Web 2.0交互应用程序的出现,Web得到了迅速发展,但通过Web发起的攻击也越来越多。Web上大量的恶意软件和犯罪软件嵌入到无辜的第三方站点中。网络欺诈也继续发展,其攻击行为更复杂。
需要建立上网行为管理,对流氓软件、恶意软件和数据泄露等Web安全进行有效的防范。
4.外网对内网的不安全访问
在校园网中,来自校园网外部的攻击越来越频繁。如何在校园网内部和校园网外部之间建立一道安全的保护屏障,以保护校园网内部网络免受外部非法用户的入侵是我们一直在努力做的工作。
防火墙是校园网络安全的第一道屏障,一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。
5.黑客攻击
随着互联网黑客技术的飞速发展,网络世界的安全性不断受到挑战。对于黑客自身来说,要闯入校园网络实在是太容易了。
为此,应部署入侵检测(防御)系统,它依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现(防御)各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
以上介绍的五种威胁,如果都要解决,现在常用的做法是购买相应的安全产品,分别加以部署,如图1所示。
随着网络中的应用越来越复杂,安全问题以出人意料的速度增长,并且在攻击方式、攻击目标上亦呈多样化发展趋势。基于这个特点,原先各自为战的安全产品总是处于疲于应付的状态,无法很好地实现对校园网络的安全保护。为了校园网络的安全,学校通常被迫部署多台、多种安全设备。并且随着新安全威胁的出现,还需要再部署更多的安全设备。新增加安全域时有时需要重新建设安全系统。这样一种部署方式,将带来如下的问题:
安全系统由此变得异常复杂;
复杂的安全系统将使整个信息系统的稳定性降低;
多台设备的加入,也就加入了多个可能的故障点;
新增的安全域通常需要独立、重复建设安全系统;
管理成本高,管理难度大,维护困难。
三、校园网一体化安全防护
按照上面的部署方法,我们部署了那么多的安全产品,还是有很多用户在抱怨。事实证明:拥有了网络安全产品不等于就拥有了安全,真正的安全还需要好的安全管理。现在,越来越多的网络安全解决方案也体现了安全管理更重要这一理念。
随着学校对校园网络安全的重视,防火墙、防毒网关以及上网行为管理等一系列网络安全产品也在不断进驻学校,由此给学校带来了越来越复杂的校园网安全管理体制。如果学校负责网络安全的管理人员对部署的安全架构没有一个较为完整的认识,网络管理人员要进行安全管理肯定就比较困难。让防火墙、防毒网关以及上网行为管理之类的网络安全产品彼此独立运行,应该问题不大。但是,如何让这些网络安全产品协调一致以保护学校的校园网络,如何让网络管理人员对它们的性能进行监控,如何构建一体化的安全防护体系等问题是那些已经配备了网络安全产品或正在实施网络安全产品的学校所考虑的问题。
是否有一种方案,能对校园网进行一体化的安全防护?早在2002年,就有公司提出了统一威胁管理(UTM)技术。当时,因为混合威胁的出现,为了满足用户对防火墙、IDS、VPN、反病毒等的集中管理需求,提出了将这些技术整合进一个盒子里,进行统一威胁的管理。
校园网一体化安全防护应该是通过完整的安全策略,利用多个安全产品有效互动实施全方位保护,而不是单纯安全产品的堆砌。一体化安全防护能在一个硬件平台上整合各种安全功能,如防火墙、VPN网关、上网行为管理、入侵检测(防御)和防毒网关等,希望通过在校园网出口处部属一个硬件设备,一揽子解决几乎所有的安全问题,如图2所示。在该体系结构中,各模块的功能是分离的,每种模块负责其各自的功能。
校园网一体化安全防护首先提供高度智能化的数据流交换处理,提供深度包检测的功能。根据进入数据流的应用类型,可灵活地对数据流进行调度;根据管理员的配置及应用特性,可对数据流进行分类,并将分类的数据流发送到相应的安全应用模块进行处理。
也就是说,可以根据实际安全的需求来实现对数据流的调度。网络安全管理员可以根据用户的需求来决定某类型的数据流需要穿过哪些或哪个安全应用模块的检查,也可以控制数据流穿过各个安全应用模块的顺序。另外,数据流发送的方式可以是串行发送,也可以是并行发送。可以根据用户的实际需求,对进出系统的数据流进行不同的检查,不同的用户或IP地址也可以有不同的安全应用模块组合顺序。这样,就可以根据用户的实际安全需求以任意顺序组合各种安全应用模块。[4]
安全应用模块可独立处理各种安全应用,包括防火墙、VPN网关、上网行为管理、IDS/IPS、防病毒网关等。
安全应用模块以负载均衡的方式工作,满足超高性能的需求;在可靠性方面,可实现“N+1”备份技术。负载均衡和“N+1”备份等技术的应用,大大提高了校园网一体化安全防护系统的安全性。
校园网一体化安全防护具有如下优点:[5]
提供了高性能的综合安全防护,各安全应用独享资源,相互之间不竞争资源,可同时打开所有安全功能。
是一个可平滑“长大”的安全系统。系统具有高可扩展性、高可伸缩性。当需求增加时,可灵活地扩展原有系统。如果采用分类设备一台台搭建安全系统,增加了系统的复杂度、降低了系统的稳定性、扩展升级困难以及维护成本高。
这些设备通常都是即插即用的,只需要很少的安装配置,减少了维护量,降低了复杂性。
当一台设备出现故障之后,即使是一个非专业人员也可以很容易地用另外一台设备替换它,使网络尽快恢复正常,使排错更容易。
校园网一体化安全防护提供多项安全功能,可以将用户需求的多种安全特性集中到一个硬件设备里,构成一个标准的统一网络管理平台,这是今后网络安全发展的方向。然而,测试结果表明:在校园网一体化安全防护中,如果将全部的安全功能打开,这个系统的性能将大大降低。其中,校园网一体化安全防护中的防毒网关、p2p和及时消息检测功能对速度的影响最大。
由于校园网一体化安全防护系统中,一旦开通所有的安全应用模块,消耗的资源相当大,所以仅使用通用服务器和网络系统技术,要实现对应用层的高速处理,性能上肯定达不到要求。为此,需要有强劲的处理能力来支持。在校园网一体化安全防护中,只有解决了功能与性能的矛盾,一体化安全防护才能既实现像防火墙这种常规的网络级安全,又能处理像病毒与蠕虫扫描这种需要高速处理的应用级安全。只有解决了功能和性能的矛盾,校园网一体化安全防护才能得到长足的发展。[6]
四、结束语
校园网的一体化安全防护是指在建校园网的时候就考虑好安全因素,并且让网络的各个组成部分都具有安全功能。而且,在实施一体化的安全网络时,可以分模块、分层次有序进行。用户可以根据自身的网络特点和安全要素,来制定网络安全的建设顺序。
校园网一体化安全防护不仅大大降低管理上的复杂度,充分发挥应有的管理效益,而且缩短部署时间,减少部署成本,使排错更容易,具有高扩展性、高伸缩性和高安全性。一旦解决了功能和性能的矛盾,校园网一体化安全防护将是今后校园网安全解决方案的首选方向。
参考文献:
[1]http://www.snjyxxw.com/smqqjxx/bsje/yjs/200711/4907.html
[2]http://emic.moe.edu.cn/
[3]http://www.websense.com/
[4]http://sec.chinabyte.com/455/8764955.shtml
[5]梁明君. UTM技术研究[J].信息安全与通信保密,2008(9).
[6]沈晴霓.中国UTM一体化安全管理技术的发展创新[J].现代电信科技,2007(7).
(编辑:于黎明)