【文章內(nèi)容簡(jiǎn)介】 6) 傳統(tǒng)的邊界防火墻無(wú)法保護(hù)每一臺(tái)服務(wù)器不被攻擊。 建立校園網(wǎng)拓?fù)浣Y(jié)構(gòu)我校有師生一萬(wàn)多人，分南北兩個(gè)校區(qū)，校區(qū)之間距離500M，南區(qū)以網(wǎng)絡(luò)中心為中心的從60 米到500 米的地理范圍內(nèi)，包括信息學(xué)院、土木學(xué)院、機(jī)電學(xué)院、人文學(xué)院、外國(guó)語(yǔ)學(xué)院、機(jī)電學(xué)院、電氣學(xué)院、圖書(shū)館、辦公樓等單位，北區(qū)包括經(jīng)管學(xué)院、成教學(xué)院、軟件學(xué)院、理工學(xué)院、職業(yè)教育學(xué)院等單位。各單位內(nèi)部形成局域網(wǎng)并接入校園網(wǎng)骨干網(wǎng)絡(luò)，通過(guò)校園網(wǎng)接入教育網(wǎng)和Internet，滿(mǎn)足教學(xué)、資料檢索、辦公自動(dòng)化等要求。另外擬將學(xué)生宿舍組建成局域網(wǎng)，并通過(guò)鐵通寬帶網(wǎng)絡(luò)統(tǒng)一接入Internet，并建立學(xué)生網(wǎng)絡(luò)管理中心，對(duì)網(wǎng)絡(luò)進(jìn)行管理。通過(guò)對(duì)以上信息及學(xué)校規(guī)模人力等各方面因素的綜合分析，整個(gè)校園網(wǎng)采用層次化網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，校園網(wǎng)結(jié)構(gòu)在邏輯上可分為三層，即核心層、匯聚層和接入層。核心層核心層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸,骨干層設(shè)計(jì)任務(wù)的重點(diǎn)通常是冗余能力、可靠性和高速的傳輸。網(wǎng)絡(luò)的控制功能最好盡量少在骨干層上實(shí)施。兩臺(tái)核心路由交換機(jī)實(shí)現(xiàn)雙機(jī)熱備份，更好的保證了核心交換機(jī)系統(tǒng)的安全。為下兩層提供優(yōu)化的數(shù)據(jù)輸運(yùn)功能，它是一個(gè)高速的交換骨干。采用 L3層千兆以太網(wǎng)交換技術(shù)。骨干層由二個(gè)核心節(jié)點(diǎn)及其它骨干節(jié)點(diǎn)組成，在各骨干節(jié)點(diǎn)設(shè)置性能與之相適應(yīng)的L3層以太網(wǎng)交換機(jī)作為校園網(wǎng)的骨干交換機(jī)。各骨干層節(jié)點(diǎn)之間通過(guò)“多模光纖” 相連，相鄰兩點(diǎn)之間形成兩條全雙工千兆以太網(wǎng)鏈路。匯聚層 利用 L3層1000M快速以太網(wǎng)交換技術(shù)，在樓宇間通過(guò)“多模光纖”將網(wǎng)絡(luò)從各骨干層節(jié)點(diǎn)延伸至各教學(xué)樓、辦公樓、學(xué)生宿舍區(qū)和教工住宅區(qū)，或者在較大的樓宇 內(nèi)通過(guò)超5類(lèi)線(xiàn)纜將網(wǎng)絡(luò)從各骨干層節(jié)點(diǎn)延伸至同樓內(nèi)的各個(gè)部門(mén)，從而形成校園網(wǎng)絡(luò)的匯聚層。在匯聚層節(jié)點(diǎn)部署1000M或100M以太網(wǎng)交換機(jī)作為部門(mén)交換機(jī)。接入層接入層的主要功能是為最終用戶(hù)提供對(duì)園區(qū)網(wǎng)絡(luò)訪(fǎng)問(wèn)的途徑。本層也可以提供進(jìn)一步的調(diào)整，如訪(fǎng)問(wèn)列表過(guò)濾等。在園區(qū)網(wǎng)絡(luò)環(huán)境中，接入層主要提供如下功能：帶寬共享，交換帶寬，MAC層過(guò)濾，網(wǎng)段微分。通過(guò)在樓宇間使用“多模光纖”或者在樓宇內(nèi)使用超5類(lèi)線(xiàn)纜，將網(wǎng)絡(luò)從各分布層節(jié)點(diǎn)延伸至部署在樓宇、樓層或者單元的1000M或100M交換機(jī)，形成校園網(wǎng)絡(luò)的接入層。設(shè)計(jì)我校校園網(wǎng)拓?fù)鋱D如下：四 校園網(wǎng)防火墻的設(shè)計(jì) 防火墻的安全要求從網(wǎng)絡(luò)的安全角度看 ,防火墻必須滿(mǎn)足以下要求:1) 防火墻應(yīng)由多個(gè)構(gòu)件組成 ,形成一個(gè)有一定冗余度的安全系統(tǒng)。2) 防火墻應(yīng)能抵抗網(wǎng)絡(luò)黑客的攻擊 ,并可對(duì)網(wǎng)絡(luò)通信進(jìn)行監(jiān)控和審計(jì)。3) 防火墻一旦失效、重啟動(dòng)或崩潰,則應(yīng)完全阻斷內(nèi)外部網(wǎng)絡(luò)站點(diǎn)的連接,以免非法用戶(hù)闖入。4) 防火墻應(yīng)提供強(qiáng)認(rèn)證服務(wù) ,外部網(wǎng)絡(luò)站點(diǎn)對(duì)內(nèi)部網(wǎng)絡(luò)的訪(fǎng)問(wèn)應(yīng)經(jīng)過(guò)防火墻的檢查 ,包括對(duì)網(wǎng)絡(luò)用戶(hù)和數(shù)據(jù)源的認(rèn)證。5) 防火墻對(duì)內(nèi)部網(wǎng)絡(luò)應(yīng)起到屏蔽作用。即隱藏內(nèi)部網(wǎng)站的地址和網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。 防火墻拓?fù)湓O(shè)計(jì)的基本原則1) 決定防火墻的類(lèi)型和拓?fù)浣Y(jié)構(gòu)。針對(duì)防火墻所保護(hù)的系統(tǒng)的安全級(jí)別作出定性和定量的評(píng)估 ,從系統(tǒng)的成本、安全保護(hù)實(shí)現(xiàn)的難易程度來(lái)決定防火墻的類(lèi)型和拓?fù)浣Y(jié)構(gòu)。2) 制定安全策略。在實(shí)現(xiàn)過(guò)程中 ,網(wǎng)絡(luò)安全的第一條策略是拒絕一切未許可的服務(wù) ,防火墻封鎖所有的信息流 ,逐一完成每一項(xiàng)許可的服務(wù)。第二條策略是允許一切沒(méi)有被禁止的服務(wù) ,防火墻轉(zhuǎn)發(fā)所有的信息 ,逐項(xiàng)刪除被禁止的服務(wù)。在上述策略的指導(dǎo)下 ,再針對(duì)系統(tǒng)制定各項(xiàng)具體策略。3) 確定包過(guò)濾規(guī)則。一般以處理 IP 數(shù)據(jù)包包頭信息為基礎(chǔ) ,包括過(guò)濾規(guī)則序號(hào)、過(guò)濾方式、源和目的端口號(hào)及協(xié)議類(lèi)型等。它決定算法執(zhí)行時(shí)的順序 ,因此正確的排列至關(guān)重要。過(guò)濾方式包括允許和禁止。4) 設(shè)計(jì)代理服務(wù)。代理服務(wù)器接受外部網(wǎng)絡(luò)節(jié)點(diǎn)提出的服務(wù)請(qǐng)求 ,如果服務(wù)請(qǐng)求被接受 ,代理服務(wù)器再建立與實(shí)服務(wù)器的連接。由于它作用于應(yīng)用層 ,故可利用各種安全技術(shù) ,如身份驗(yàn)證、日志登錄、審計(jì)跟蹤、密碼技術(shù)等 ,用以加強(qiáng)網(wǎng)絡(luò)安全性 ,解決包過(guò)濾所不能解決的問(wèn)題。5) 嚴(yán)格定義功能模塊 ,分散實(shí)現(xiàn)。防火墻由各種功能模塊組成 ,如包過(guò)濾器、代理服務(wù)器、認(rèn)證服務(wù)器、域名服務(wù)器、通信監(jiān)控器等 ,這些功能模塊最好由路由器和單獨(dú)的主機(jī)實(shí)現(xiàn)。功能分散減少了實(shí)現(xiàn)的難度 ,增加了可靠程度。6) 防火墻維護(hù)和管理方案的考慮。防火墻日常維護(hù)是對(duì)訪(fǎng)問(wèn)記錄進(jìn)行審計(jì) ,發(fā)現(xiàn)入侵和非法訪(fǎng)問(wèn)情況。據(jù)此對(duì)防火墻的安全性進(jìn)行評(píng)價(jià)適當(dāng)時(shí)加以改進(jìn)。管理工作要根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的改變或安全策略的變化對(duì)防火墻進(jìn)行硬件和軟件的修改和升級(jí)。通過(guò)維護(hù)和管理進(jìn)一步優(yōu)化其性能 ,以保證網(wǎng)絡(luò)及其信息的安全性。防火墻技術(shù)是目前最為流行也是使用最為廣泛的一種網(wǎng)絡(luò)安全技術(shù)，在構(gòu)建安全網(wǎng)絡(luò)環(huán)境的過(guò)程中，防火墻作為第一道安全防線(xiàn)，正受到越來(lái)越多用戶(hù)的關(guān)注。校園網(wǎng)一般通過(guò)安裝防火墻來(lái)保護(hù)網(wǎng)絡(luò)安全，利用防火墻技術(shù)，經(jīng)過(guò)仔細(xì)、正確地配置通常能夠在校園內(nèi)、外部網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。傳統(tǒng)的防火墻設(shè)置在網(wǎng)絡(luò)邊界，在內(nèi)部校園網(wǎng)和外部互聯(lián)網(wǎng)之間構(gòu)成一個(gè)屏障，進(jìn)行網(wǎng)絡(luò)存取控制，稱(chēng)為邊界防火墻。邊界防火墻技術(shù)基于下述假設(shè)：（1）在防火墻內(nèi)部各個(gè)主機(jī)是受信賴(lài)的；（2）防火墻外部的訪(fǎng)問(wèn)是具有潛在性、攻擊性的訪(fǎng)問(wèn)。所以，邊界防火墻對(duì)于來(lái)自外部網(wǎng)絡(luò)的攻擊可以算得上是個(gè)稱(chēng)職的衛(wèi)士，在過(guò)去幾年的網(wǎng)絡(luò)安全防衛(wèi)中發(fā)揮了顯著的作用。但是據(jù)研究，約有80%的網(wǎng)絡(luò)攻擊行為發(fā)生在內(nèi)部網(wǎng)絡(luò)，邊界防火墻由于其本身存在的欠缺，導(dǎo)致對(duì)來(lái)自網(wǎng)絡(luò)內(nèi)部的威脅不具備防范作用；同時(shí)，由于邊界防火墻對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的依賴(lài)性，隨著不斷擴(kuò)大的網(wǎng)絡(luò)互連，邊界防火墻的其它缺陷也日益突出。為此網(wǎng)絡(luò)安全專(zhuān)家們提出了一種新興的防火墻技術(shù)———分布式防火墻，它不僅能夠保留邊界防火墻的所有優(yōu)點(diǎn)，而且又能克服前面所說(shuō)的那些缺點(diǎn)。針對(duì)傳統(tǒng)邊界防火墻的欠缺，專(zhuān)家提出了分布式防火墻的概念。分布式防火墻有狹義和廣義之分。狹義分布式防火墻是指駐留在網(wǎng)絡(luò)主機(jī)（如服務(wù)器或桌面機(jī)）并對(duì)主機(jī)系統(tǒng)提供安全防護(hù)的軟件產(chǎn)品。駐留主機(jī)是這類(lèi)防火墻的重要特征。這類(lèi)防火墻將該駐留主機(jī)以外的其它網(wǎng)絡(luò)都認(rèn)作是不可信任的，并對(duì)駐留主機(jī)運(yùn)行的應(yīng)用和對(duì)外提供的服務(wù)設(shè)定為針對(duì)性很強(qiáng)的安全策略。廣義分布式防火墻是一種全新的防火墻體系結(jié)構(gòu)，包括網(wǎng)絡(luò)防火墻、主機(jī)防火墻和中心管理三部分。網(wǎng)絡(luò)防火墻 防火墻、主機(jī)防火墻和中心管理三部分。網(wǎng)絡(luò)防火墻：它部署于內(nèi)部網(wǎng)與外部網(wǎng)之間以及內(nèi)網(wǎng)與子網(wǎng)之間。網(wǎng)絡(luò)防火墻區(qū)別于邊界防火墻的特征在于，網(wǎng)絡(luò)防火墻需要支持內(nèi)部網(wǎng)絡(luò)可能有的IP和非IP協(xié)議，而邊界防火墻并不需要。主機(jī)防火墻：它對(duì)網(wǎng)絡(luò)中的服務(wù)器和桌面系統(tǒng)進(jìn)行防護(hù)，主機(jī)的物理位置可能在校園網(wǎng)中，也可能在校園網(wǎng)外（如托管服務(wù)器或移動(dòng)辦公的便攜機(jī)）。中心管理：由于邊界防火墻只是網(wǎng)絡(luò)中的單一設(shè)備，對(duì)其進(jìn)行的管理也只能是局部管理。對(duì)于廣義分布式防火墻來(lái)說(shuō)，每個(gè)防火墻作為安全監(jiān)測(cè)機(jī)制的組成部分，必須根據(jù)不同的安全要求被布置在網(wǎng)絡(luò)中任何需要的位置上，對(duì)廣義分布式防火墻的管理必須是統(tǒng)一進(jìn)行的，中心管理是分布式防火墻系統(tǒng)的核心和重要特征之一。安全策略的分發(fā)及日志的匯總都是中心管理具備的功能。實(shí)際上，分布式防火墻仍然由中心定義策略，但由各個(gè)分布在網(wǎng)絡(luò)中的端點(diǎn)實(shí)施這些制定的策略。它依賴(lài)于三個(gè)主要的概念。（1）策略語(yǔ)言：策略語(yǔ)言有很多種，如Keynote就是一通用的策略語(yǔ)言。要選用的語(yǔ)言能夠方便地表達(dá)所需要的策略就可以了，關(guān)鍵的是如何標(biāo)志內(nèi)部主機(jī)，很顯然不應(yīng)采用傳統(tǒng)邊界防火墻所用的對(duì)物理上的端口進(jìn)行標(biāo)志的方法，以IP地址來(lái)標(biāo)志內(nèi)部主機(jī)是一種可供選擇的方法，但它安全性不高，所以更傾向于使用IP安全協(xié)議中的密碼憑證來(lái)標(biāo)志各臺(tái)主機(jī)，它為主機(jī)提供了可靠的、唯一的標(biāo)志，并且與網(wǎng)絡(luò)的柘撲結(jié)構(gòu)無(wú)關(guān)。（2）系統(tǒng)管理工具：用于將形成的策略文件分發(fā)給被防火墻保護(hù)的所有主機(jī)。（3）IP安全協(xié)議：一種對(duì)TCP/IP協(xié)議族的網(wǎng)絡(luò)層進(jìn)行加密的保護(hù)機(jī)制，包括AH、ESP。 和IKE等協(xié)議，分別對(duì)IP頭和整個(gè)IP包進(jìn)行認(rèn)證，并且實(shí)現(xiàn)密鑰交換等功能，可以防止各類(lèi)主動(dòng)攻擊，特別是來(lái)自因特網(wǎng)上的攻擊。分布式防火墻工作流程：首先由制定防火墻接入控制策略的中心通過(guò)編譯器將策略語(yǔ)言的描述轉(zhuǎn)換成內(nèi)部格式，形成策略文件；然后中心將采用系統(tǒng)管理工具把策略文件分發(fā)給各臺(tái)內(nèi)部主機(jī)；內(nèi)部主機(jī)將從兩方面來(lái)判定是否接受收到的包，一方面是根據(jù)IP安全協(xié)議，另一方面是根據(jù)策略文件。系統(tǒng)的安全性 由于分布式防火墻使用了 IP安全協(xié)議,各主機(jī)之間的通信得到了很好的保護(hù),因此分布式防火墻有能力防止各種類(lèi)型的被動(dòng)和主動(dòng)攻擊。特別是當(dāng)我們使用 IP安全協(xié)議中的密碼憑證標(biāo)志內(nèi)部主機(jī)時(shí),基于這些標(biāo)志的策略對(duì)主機(jī)來(lái)說(shuō)無(wú)疑更具可信性。對(duì)于傳統(tǒng)的邊界防火墻,所有內(nèi)部主機(jī)在某種意義上是平等的,也就是說(shuō)如果其中的一臺(tái)被侵入,攻擊者很容易地就能以此為基點(diǎn)發(fā)起對(duì)其它內(nèi)部主機(jī)的攻擊。而對(duì)分布式防火墻,這樣的攻擊是不成立的。圖5　分布式防火墻的工作原理和結(jié)構(gòu)示意圖另一方面?zhèn)鹘y(tǒng)的邊界防火墻大多缺乏對(duì)主機(jī)意圖的了解, 通常只能根據(jù)數(shù)據(jù)包的外在特性來(lái)進(jìn)行過(guò)濾控制。雖然代理型防火墻能夠解決該問(wèn)題, 但它需要對(duì)每一種協(xié)議單獨(dú)地編寫(xiě)代碼, 其局限性也是顯而易見(jiàn)的。在沒(méi)有上下文的情況下, 防火墻是很難將攻擊包從合法的數(shù)據(jù)包中區(qū)分出來(lái)的, 因而也就無(wú)法實(shí)施過(guò)濾。事實(shí)上, 攻擊者并不困難地就可以偽裝成合法包發(fā)動(dòng)攻擊, 攻擊包除了內(nèi)容以外的部分可以完全與合法包一樣。分布式防火墻由主機(jī)來(lái)實(shí)施策略控制,毫無(wú)疑問(wèn)主機(jī)對(duì)自己的意圖有足夠的了解, 所以分布式防火墻依賴(lài)主機(jī)做出合適的決定就能很自然地解決這一問(wèn)題。系統(tǒng)性能的保證 傳統(tǒng)的邊界防火墻由于擁有單一的接入控制點(diǎn),無(wú)論對(duì)網(wǎng)絡(luò)的性能還是對(duì)網(wǎng)絡(luò)的可靠性都有不利的影響。雖然目前也有這方面的研究并提出了一些相應(yīng)的解決方案,如自適應(yīng)防火墻技術(shù),但是從網(wǎng)絡(luò)性能角度來(lái)說(shuō),自適應(yīng)防火墻只不過(guò)是一種在網(wǎng)絡(luò)性