監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購(gòu)買(mǎi)價(jià)格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

教育城域網(wǎng)建設(shè)安全經(jīng)驗(yàn)談

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

文章來(lái)源:泛普軟件

教育城域網(wǎng)面臨著網(wǎng)絡(luò)病毒泛濫、DoS攻擊、廣播包等大量的安全問(wèn)題。從網(wǎng)絡(luò)的安全架構(gòu)入手探索解決方案是一條值得借鑒的思路。

 紹興市教育城域網(wǎng)2001年建成,運(yùn)行一直正常,在2003年八月開(kāi)始不定時(shí)地出現(xiàn)網(wǎng)速變慢傳輸效率降低直至主交換機(jī)癱瘓,然后只要重啟一個(gè)交換機(jī)或撥一下城域網(wǎng)接入端口網(wǎng)絡(luò)即時(shí)恢復(fù)正常,但一段時(shí)間后又重復(fù)出現(xiàn)故障。

 類(lèi)似的事故在其他教育城域網(wǎng)也經(jīng)常出現(xiàn),安全已經(jīng)成為困擾教育網(wǎng)進(jìn)一步發(fā)展的關(guān)鍵問(wèn)題。要想建立一個(gè)安全健康的教育網(wǎng)絡(luò),從安全架構(gòu)入手是一個(gè)關(guān)鍵環(huán)節(jié)。

安全架構(gòu)教育之本

網(wǎng)絡(luò)安全包含兩部分內(nèi)容,一是構(gòu)成網(wǎng)絡(luò)物理體系的正常運(yùn)行,保證數(shù)據(jù)在網(wǎng)上高效傳送;二是保障基于網(wǎng)絡(luò)的數(shù)據(jù)在傳輸過(guò)程中、存取中不被竅取、篡改、遺失。網(wǎng)絡(luò)的安全架構(gòu)指為保證網(wǎng)絡(luò)安全從工作理念、網(wǎng)絡(luò)結(jié)構(gòu)、軟件及硬件設(shè)備、技術(shù)手段等方面共同構(gòu)成的一個(gè)完整體系。

互聯(lián)網(wǎng)在設(shè)計(jì)之初就是本著自由與開(kāi)放的原則,缺乏對(duì)安全性的總體構(gòu)想和考慮,導(dǎo)致目前許多應(yīng)用系統(tǒng)處于不設(shè)防狀態(tài)。

廣泛存在的安全問(wèn)題、侵權(quán)問(wèn)題、誠(chéng)信問(wèn)題和精神污染等問(wèn)題,已經(jīng)成為互聯(lián)網(wǎng)進(jìn)一步發(fā)展的最大障礙?;ヂ?lián)網(wǎng)存在的這些問(wèn)題應(yīng)該作為教訓(xùn)來(lái)指導(dǎo)教育城域網(wǎng)建設(shè),如果教育城域網(wǎng)沒(méi)有一個(gè)科學(xué)的安全架構(gòu),很好解決網(wǎng)絡(luò)安全問(wèn)題,那么它只能是一種互聯(lián)網(wǎng)的延伸,也就失去存在的意義。

但是,如何才能行之有效地建立起網(wǎng)絡(luò)安全架構(gòu)呢?

成本與安全

局域網(wǎng)普通交換機(jī)是一種二層網(wǎng)絡(luò)設(shè)備,它在操作過(guò)程中不斷收集并建立它本身的MAC地址表,而且定時(shí)刷新。它的引入使網(wǎng)絡(luò)站點(diǎn)間可獨(dú)享帶寬,消除了無(wú)謂的碰撞檢測(cè)和出錯(cuò)重發(fā),提高了傳輸效率。但二層交換也暴露出它的弱點(diǎn):只有在相同的網(wǎng)段內(nèi)的計(jì)算機(jī)才能通信,不能有效解決廣播風(fēng)暴、異種網(wǎng)絡(luò)不能互連、處于一個(gè)大型的廣播域內(nèi)安全性控制性方面等問(wèn)題不能解決。二層交換機(jī)虛擬網(wǎng)VLAN技術(shù)很好地解決了安全性和廣播風(fēng)暴的問(wèn)題。但虛擬網(wǎng)之間通信是不允許的,“三層交換”技術(shù)的引入實(shí)現(xiàn)了不同虛擬網(wǎng)間的高速路由,才真正解決了既利用VLAN提高了網(wǎng)絡(luò)的安全性有效地扼制廣播風(fēng)暴,又解決了不同虛網(wǎng)之間的互通的難題。但三層交換機(jī)是普通交換機(jī)價(jià)格的4~5倍,作為教育城域網(wǎng)接入運(yùn)營(yíng)商(無(wú)論是電信還是廣電)都會(huì)考慮一個(gè)運(yùn)行成本和效益的問(wèn)題,所以他們往往會(huì)選用價(jià)格低廉二層交換機(jī)組建寬帶IP網(wǎng)作為我們教育城域網(wǎng)的接入,這就使教育城域網(wǎng)的安全運(yùn)行留下了很大的隱患。

本文開(kāi)頭所述的紹興教育城域網(wǎng)所發(fā)生的故障,就是上述原因造成網(wǎng)絡(luò)經(jīng)常性出現(xiàn)大量的廣播包阻塞,同時(shí)又很難及時(shí)控制阻斷廣播源,嚴(yán)重影響了網(wǎng)絡(luò)的正常運(yùn)行??茖W(xué)安全的解決方案是各校以不同的VLAN直接接入三層會(huì)聚交換機(jī),并引入策略管理屬性,不僅使二層與三層相互關(guān)聯(lián)起來(lái),而且還提供流量?jī)?yōu)先化處理、安全訪問(wèn)機(jī)制以及多種其它的靈活功能。為學(xué)校如財(cái)務(wù)數(shù)據(jù)等安全要求較高應(yīng)用提供安全的傳輸網(wǎng)絡(luò)。

規(guī)范接入和運(yùn)行監(jiān)控

紹興教育城域網(wǎng)的應(yīng)用實(shí)踐也告訴我們,學(xué)校網(wǎng)絡(luò)安全還必須與規(guī)范接入和運(yùn)行監(jiān)控相結(jié)合。

具體的措施可以參考以下辦法:學(xué)校設(shè)立一臺(tái)代理服務(wù)器(或防火墻設(shè)NAT),以一個(gè)終端的形式接入城域網(wǎng),校園網(wǎng)內(nèi)的計(jì)算機(jī)訪問(wèn)教育城域以代理服務(wù)器作為惟一出口。做到校園網(wǎng)地址和城域網(wǎng)地址隔離,避免校園網(wǎng)內(nèi)的大量計(jì)算機(jī)直接接入造成管理的困難,若一旦校園網(wǎng)產(chǎn)生廣播風(fēng)暴則首先會(huì)使代理服務(wù)器阻塞,避免擴(kuò)散到城域網(wǎng);學(xué)校接入城域網(wǎng)的計(jì)算機(jī)必須按網(wǎng)絡(luò)中心分配的IP地址段設(shè)定,禁止盜用他人的IP和非法IP地址的接入;接入城域網(wǎng)的每一臺(tái)計(jì)算機(jī)均必須安裝殺毒軟件。

在網(wǎng)絡(luò)使用高峰時(shí)段,利用網(wǎng)管軟件查看路由器、交換機(jī)、服務(wù)器端口的數(shù)據(jù)流量,分析網(wǎng)絡(luò)中傳送的數(shù)據(jù)包的構(gòu)成,分析造成網(wǎng)絡(luò)異常的原因,診聽(tīng)異常數(shù)據(jù)包來(lái)自哪條線路哪個(gè)學(xué)校,一時(shí)解決不了可以暫時(shí)屏蔽該校接入的VLAN避免影響到整個(gè)城域網(wǎng)的正常工作。 

實(shí)踐心得:

阻擊教育網(wǎng)內(nèi)“頭號(hào)殺手”

根據(jù)筆者在教育網(wǎng)內(nèi)實(shí)際應(yīng)用中大量的網(wǎng)絡(luò)監(jiān)測(cè)分析,造成教育網(wǎng)網(wǎng)絡(luò)故障的“頭號(hào)殺手”就是廣播風(fēng)暴。產(chǎn)生大規(guī)模廣播數(shù)據(jù)包的成因主要有這樣三類(lèi):

 (1)蠕蟲(chóng)病毒對(duì)網(wǎng)絡(luò)速度的影響是頭號(hào)因素。

筆者采用sniffer捕獲大量發(fā)廣播包計(jì)算機(jī)的IP地址,通過(guò)這些地址尋找相應(yīng)的學(xué)校,然后打電話通知該校進(jìn)行殺毒處理,結(jié)果殺出大量蠕蟲(chóng)病毒,殺毒處理后計(jì)算機(jī)恢復(fù)正常,廣播包也隨之消失,這類(lèi)事件曾發(fā)生多起。I-Worm/Blaster沖擊波病毒、I-Worm/Chian(沖擊波殺手)病毒通過(guò)向網(wǎng)絡(luò)發(fā)送大量的數(shù)據(jù)包,使網(wǎng)絡(luò)流量劇增,最終導(dǎo)致許多網(wǎng)絡(luò)癱瘓的后果。蠕蟲(chóng)病毒的傳播通常采用廣播包的形式及向外大量發(fā)郵件實(shí)現(xiàn)并對(duì)特定IP段進(jìn)行瘋狂掃描,這種病毒導(dǎo)致被感染的用戶只要一連上網(wǎng)就不停地往外發(fā)郵件,成百上千的這種垃圾郵件有的排著隊(duì)往外發(fā)送,有的又成批成批地被退回來(lái)堆在服務(wù)器上。造成個(gè)別骨干互聯(lián)網(wǎng)出現(xiàn)明顯擁塞,個(gè)別局域網(wǎng)近于癱瘓。因此,應(yīng)時(shí)常注意各種新病毒通告,了解各種病毒特征;及時(shí)升級(jí)所用殺毒軟件。計(jì)算機(jī)也要及時(shí)升級(jí)、安裝系統(tǒng)補(bǔ)丁程序;同時(shí)卸載不必要的服務(wù),關(guān)閉不必要的端口,以提高系統(tǒng)的安全性和可靠性。

(2)網(wǎng)卡或網(wǎng)絡(luò)設(shè)備損壞造成向外發(fā)廣播包。

當(dāng)網(wǎng)卡或網(wǎng)絡(luò)設(shè)備損壞后,因?yàn)闊o(wú)法處理響應(yīng)包,主機(jī)會(huì)不停地發(fā)送廣播包,從而導(dǎo)致廣播風(fēng)暴,使網(wǎng)絡(luò)通信陷于癱瘓。因此,當(dāng)網(wǎng)絡(luò)設(shè)備硬件有故障時(shí)也會(huì)引起網(wǎng)速變慢。當(dāng)懷疑有此類(lèi)故障時(shí),首先可采用置換法替換集線器或交換機(jī)來(lái)排除設(shè)備故障。然后用ping命令對(duì)所涉及計(jì)算機(jī)逐一測(cè)試,找到有故障網(wǎng)卡的計(jì)算機(jī),更換新的網(wǎng)卡可恢復(fù)網(wǎng)速正常。紹興教育網(wǎng)因接入城域網(wǎng)的學(xué)校用交換機(jī)損壞引起過(guò)二起這類(lèi)事件。

(3)學(xué)校的視頻廣播服務(wù)器的工作形成廣播包。

有些學(xué)校設(shè)立視頻點(diǎn)播、視頻會(huì)議、視頻廣播服務(wù),以實(shí)現(xiàn)在網(wǎng)絡(luò)上傳送視頻節(jié)目,這是應(yīng)用上的問(wèn)題。我們?cè)试S存在但必須控制數(shù)量,并要求他們控制開(kāi)啟的時(shí)間。

來(lái)源:CCW

發(fā)布:2007-04-22 10:12    編輯:泛普軟件 · xiaona    [打印此頁(yè)]    [關(guān)閉]
相關(guān)文章:

泛普沈陽(yáng)OA快博其他應(yīng)用

沈陽(yáng)OA軟件 沈陽(yáng)OA新聞動(dòng)態(tài) 沈陽(yáng)OA信息化 沈陽(yáng)OA快博 沈陽(yáng)OA行業(yè)資訊 沈陽(yáng)軟件開(kāi)發(fā)公司 沈陽(yáng)門(mén)禁系統(tǒng) 沈陽(yáng)物業(yè)管理軟件 沈陽(yáng)倉(cāng)庫(kù)管理軟件 沈陽(yáng)餐飲管理軟件 沈陽(yáng)網(wǎng)站建設(shè)公司