浅探机房网络安全管理新模式.doc

浅探机房网络安全管理新模式学校的信息化设备建了又建，有的学校的校园网已经多次扩容，面对急剧扩大的校园网规模，对其进行管理与维护的困难也显著增加，对于校园网的管理者来说，如何对校园网内用户的网络行为进行集中监控，及时发现排除故障；如何保障校园网稳定、可靠的运行，是一个急需有效解决的工作难点。事实上很多学校校园网的质量并不高，不仅网速慢、更有甚者还频频发生断网的现象，严重影响了师生的日常应用。在校园网建设的初期，多数学校都购置了较为有效的校园网管理防护设备，如防火墙、防病毒软件等，但效果仍然不佳，那么是不是购置的管理防护设备不好呢？其实不然，从应用管理层面看，网内病毒泛滥、用户随意的占用带宽、流量得不到有效的控制是产生这种状况的主要原因。所以作为一个校园网管理者，我们的管理思路有必要从原先注重防治“外火”，转变为注重防治“内火”。对于学校局域网管理工作而言有两个层面的工作要做：一、是内网与外网的衔接部分（边界）的安全防护与管理；二、是内部网络的安全防护和管理。现在大家主要关注的是第一部分安全防护和管理问题，实际上网络管理已经远远不只是对边界的防御和行为管理，网络内部同样需要这种防护和管理措施，而且这种要求越来越强烈，有数据显示20%的安全管理问题来自外部，80%的安全管理问题来自内部，这就是值得我们关注的“外火”和“内火”，这种说法已经流行了很长一段时间，但并没有引起人们的重视，其原因是大家主要担心的还是来自外部的破坏行为，对内部的担心较少，另外，没有受到人们重视的主要原因也可能是没有适合的解决方案或解决此类问题需要付出更大的代价。随着防范外部破坏行为的能力增强，内部安全和管理的问题就越来越突出。由于内部网络的规模越来越大，应用越来越多，业务对网络的依赖性越来越大，因此，解决内网的安全和管理问题，是整个网络安全下一步工作的主要内容。从应用角度讲，“外火”和“内火”的防治也不一样。防治“外火”是防御外部的攻击和入侵，例如校园网配置的防火墙一般就可以完成这样一个边界防护的要求，而防治“内火”则是防御内部攻击的泛滥；“外火”防治采取的是简单的隔离（外网、内网）和严格的防护措施，而“内火”防治采取的则是复杂的隔离（按网络、链路、业务、用户等）和较严格的防护措施。外部访问行为管理只管理经由边界的使用行为，而内网访问行为管理是管理所有网络内部的使用行为；外部访问行为管理是通过过滤数据内容，进行访问业务的管理和访问目的的管理，而内网访问行为的管理是通过网络接入认证和授权,以及访问控制、网络资源管理和监控等综合手段进行的。通常情况下，就学校而言，网络计算机教室因其应用的特殊性决定了这里是“内火”发生的重灾区。首先，学生是一批活跃的用户群体，对网络技术充满好奇，勇于尝试，使用的计算机容易出现问题；其次，机房计算机的绝对数量比较大，且使用的时间相对集中，容易对校园网产生一定的冲击；再次，因为大部分机房的学生用机没有安装有效的防杀病毒软件和流量管理设备，所以冲击波、ARP病毒、P2P软件等“内火”，很容易对校园网产生严重的危害。要解决计算机教室所造成的“内火”，首先要从机房认识接入校园网的方式入手。现在市内的学校大部分采用以下三种接入方式，一、直接接入校园网；二、通过划分VLAN接入校园网；三、通过代理服务器接入校园网。这三种接入方式都分别存在一些缺陷，而这些缺陷就是“内火”得以蔓延的主要原因。一、直接接入校园网，常见于一些规模较小的学校，机房计算机是学校计算机的主体，由于所有的计算机全部连接在一起，只见没有任何的划分和隔离，如果有一台计算机发生了问题，那将很快蔓延开来，最终导致全网的堵塞瘫痪，例如冲击波病毒。另外，当网内计算机不断增加时，广播数据包的数量也会急剧增加，当广播数据包的数量占到通讯总量30%的时候，就产生了网络风暴，将大大降低网络的传输效率。二、通过划分VLAN接入校园网，一般情况下当校园网内的计算机超过200台左右的时候，一些学校就会将计算机按照功能划分为若干个虚拟子网（VLAN），通过划分为VLAN，不仅能对网内的计算机进行有效的隔离避免网络风暴的产生，还可以防止一些非授权用户访问校内的某些敏感数据，大大提高了网内数据的安全性。但是，划分VLAN不能对用户的网络流量进行限制，如果有用户采用P2P软件，很容易将全校的出口带宽占为己有，这种肆意占用带宽的行为同样会影响到网内其他用户的正常使用。直接接入校园网通过划分VLAN接入校园网三、通过代理服务器接入校园网，还有一些学校在机房里配备了一台服务器，通过服务器提供NAT服务，代理学生机上网，这种接入方式的可以有效解决网络风暴和校园网出口带宽被肆意占用的问题，但服务器的WINDOWS操作系统容易受到病毒感染而导致机房所有计算机无法上网，而且代理上网仍然无法对学生的一些个人行为（QQ、P2P、访问不良网站）进行限制，机房出口带宽仍然有被肆意占用而导致大部分学生机无法上网的隐患。通过代理服务器接入校园网防治“内火”需要一种复杂的隔离（按网络、链路、业务、用户等）和严格的防护措施。通过对机房接入校园网方式的分析，不难看出我们需要对计算机内用户的网络行为进行有效的管理才能达到防治“内火”的目的，理想状态下的管理应该具备以下功能：一、 入侵检测模块：从应用层针对用户进行保护。防御黑客基于操作系统和应用程序漏洞的攻击，预防恶意的网络流量到达服务器。二、 内容过滤模块：预防流入的病毒和间谍木马程序，提高计算机桌面安全，预防内部计算机遭到来自机房以外的病毒感染和木马的破坏。三、 内容过滤模块：对用户访问的内容过滤提供基于一定策略的控制能力，预防学生浏览带有色情、反动等不健康信息的网页，或直接禁止学生浏览设定的网页。四、 应用控制模块：提供了高级的、能进行深入分析的应用程序数据控制能力。可以识别即时消息工具和P2P应用程序，并控制学生对一些无益的应用程序的使用。要实现以上这些管理功能，可以通过软件实现管理或者应用一些网络安全产品。软件管理，管理界面复杂、技术要求高、工作量较大，例如：ISA；安全产品，界面化管理、配置完成后上手比较简单、工作量不大，例如安全网关。常见的安全网关产品突破传统防火墙、路由、网关防病毒等设备的局限，用户通过这一台设备可以替代以前多台安全设备，使得用户在一次投入购买单一设备的情况下，完成了众多安全产品才能达到的防护作用。而且减少了以前多台设备串连到网络中而引起的“一台设备有问题，网络就中断”的隐患。同时更加便于管理、配置。多数安全网关采用全中文、图形化的管理界面对局域网进行全面管理。在专业技术人员比较紧张的情况下可以大大地减轻机房管理教师和课任教师的工作负担。所以对于学校而言在专职人员有限的情况下建议采用安全网关来实现必要的管理。采用安全网关产品替代代理服务器对计算机教室的接入方式进行改造，不仅可以实现NAT服务，还可以利用安全网关的一些管理特性实现对计算机教室内用户网络行为的管理。通过安全网关接入校园网一、网络行为管理：1. 带宽管理：可以控制每台学生机的外网流量，防止机房流量过大对校园网带来压力。2. 流量管理：可以监控每台学生机的网络流量，BT等P2P软件下载。根据学生机的网络流量判断学生机上网的健康情况，同时可以对每台学生机的下载量进行限制，超过规定的下载量学生机将不能继续从网上下载内容。3. 上网权限管理：可以个性化的对每个学生机的上网情况进行管理，教师可以根据教学情况限定部分学生上网并控制上网内容及指定可以查看的网站，不在设定内容中的网站将不能打开。4. 非法IP地址管理：可以阻止外部非法IP地址的进入，防止校园网网络中有病毒的计算机对该网络内计算机的木马病毒攻击和恶意入侵。5. IP/MAC地址绑定：可以把机房内的学生机的MAC地址与IP地址进行绑定，防止目前流行的ARP攻击及网络地址欺骗。二、内容过滤：通过域名、关键字节对一些不良网站进行过滤。使机房形成一个绿色上网环境，教师可以设定特定网站上学生机访问，保证教学的有效性。 三、入侵检测：可以对外来的木马病毒及恶意软件进行检测，防止木马程序及恶意软件对机房内部的攻击。 四、保证网络稳定性：保证网络稳定性：通过安全网关可以使机房形成一个绿色的、安全的、易管理的、稳定的网络环境，避免机房流量过大对校园网的不良影响。从我校实际应用结果来看，采用安全网关对机房进行改造与代理服务器相比具备非常明显的优势。首先、安全网关来代替服务器在低成本的情况下可以实现更有效的管理，安全网关成本大约是服务器成本的一半，但安全网关的功能却是机房服务器代理功能的几倍；其次、安全网关可以对学生机上网的流量和行为进行管理，允许对学生机上网进行个性化管理，方便教师实施分层次教学；第三、安全网关一般不采用windows操作系统，受病毒感染影响网络的几率远远低于采用win2000的代理服务器，从而降低了一台机器中招，整个机房瘫痪的可能性；第四、安全网关能配合校园网路由器对整个校园网网络故障进行有效的诊断，当学校校园网产生故障时安全网关能快速的判断故障是否产生在机房内部，甚至是哪台学生机造成的，迅速结局因机房产生的“内火”；最后、安全网关能控制所有学生机的流量，行为（包括QQ、MSN、P2P及一些不良网站和），同时还能有效防止木马及恶意软件的攻击，从一定程度上也降低了“内火”产生的可能性。网络行为日益复杂，管理难度也随之不断增大，学校计算机教室管理者需要的是一种安装便捷、管理有效、操