網(wǎng)絡(luò)安全系統(tǒng)的保證

文｜西安旭龍電子技術(shù)有限責(zé)任公司 武永斌

近年來(lái)，信息技術(shù)發(fā)展迅猛，成果矚目，“信息化”這幾個(gè)字被稱作發(fā)展的翅膀、高科技的象征，隨處可見(jiàn)。全社會(huì)都在響應(yīng)政府號(hào)召，齊力建設(shè)信息化的載體和標(biāo)志——網(wǎng)絡(luò)。那么如何針對(duì)不同的應(yīng)用和環(huán)境建設(shè)符合自身?xiàng)l件的定制網(wǎng)絡(luò)呢？筆者通過(guò)在陜西省圖書(shū)館網(wǎng)絡(luò)的建設(shè)中，對(duì)實(shí)現(xiàn)網(wǎng)絡(luò)的安全、可靠和可管理性，保障網(wǎng)絡(luò)的正常運(yùn)行方面頗有心得，整理此文與大家分享。

陜西省圖書(shū)館新館建筑面積4.7萬(wàn)平方米，藏書(shū)500余萬(wàn)冊(cè)，其建設(shè)規(guī)模在全國(guó)省級(jí)公共圖書(shū)館名列前茅。配套的陜西省圖書(shū)館管理信息系統(tǒng)除了實(shí)現(xiàn)圖書(shū)館五大基本業(yè)務(wù)模塊的全部自動(dòng)化外，還具有數(shù)字化信息的采集、存儲(chǔ)及加工處理的功能，這些數(shù)字化的信息存儲(chǔ)在書(shū)目數(shù)據(jù)庫(kù)、特色文獻(xiàn)數(shù)據(jù)庫(kù)及讀者數(shù)據(jù)庫(kù)等專(zhuān)業(yè)數(shù)據(jù)庫(kù)中，通過(guò)Web網(wǎng)站24小時(shí)為全世界的讀者提供服務(wù)。該網(wǎng)絡(luò)投資規(guī)模大，設(shè)備檔次高，有一定的代表性。在此，就系統(tǒng)的冗余和內(nèi)網(wǎng)安全特性方面加以分析。

1 冗余特性

為了保證整個(gè)系統(tǒng)的可靠性，最大限度地縮短宕機(jī)時(shí)間，我們?cè)谠O(shè)計(jì)和實(shí)施中突出了冗余性和模塊化兩個(gè)特點(diǎn)。為了實(shí)現(xiàn)網(wǎng)絡(luò)的冗余性，我們選用兩臺(tái)配置相同的Cisco Catalyst 6509做中心交換機(jī)，各配備雙引擎，兩臺(tái)交換機(jī)通過(guò)兩條千兆光纖互連同時(shí)運(yùn)行，四塊引擎分擔(dān)交換和VLAN路由工作。當(dāng)某臺(tái)交換機(jī)宕機(jī)時(shí)，另一臺(tái)立即接管它的全部作業(yè)，而接管的過(guò)程對(duì)用戶是透明的。二級(jí)交換機(jī)選用Cisco Catalyst 3512，分別用千兆光纖連接兩臺(tái)中心交換機(jī)，這樣即使某臺(tái)6509或某根光纖中斷，網(wǎng)絡(luò)還能保證暢通。由于采用冗余鏈路設(shè)計(jì)，網(wǎng)絡(luò)主干存在環(huán)路，為了在鏈路層解決環(huán)路問(wèn)題，在所有主干交換機(jī)上運(yùn)行生成樹(shù)協(xié)議，保證在任意時(shí)刻，在某兩臺(tái)交換機(jī)的同一VLAN之間只有一條激活的鏈路，從而防止環(huán)路出現(xiàn)。

網(wǎng)絡(luò)的冗余實(shí)現(xiàn)了，作為應(yīng)用核心的服務(wù)器又是怎么實(shí)現(xiàn)冗余的？本項(xiàng)目共配備五臺(tái)IBM RS/6000系列企業(yè)服務(wù)器，分別為H80兩臺(tái)、B80一臺(tái)、B50兩臺(tái)。為了保證24小時(shí)在線，所有服務(wù)器都配置雙網(wǎng)卡，分別連接兩臺(tái)中心交換機(jī)，形成冗余連接，連接方法如圖1所示。其中兩臺(tái)H80做雙應(yīng)用互備雙機(jī)系統(tǒng)，保證主要應(yīng)用軟件的不間斷服務(wù)。

2 內(nèi)網(wǎng)安全

圖1 主機(jī)連接圖

大家都在強(qiáng)調(diào)安全，都在注視著尼姆達(dá)、木馬及黑客的遠(yuǎn)程攻擊，卻往往忽視了最安全的也是最危險(xiǎn)的地方——內(nèi)網(wǎng)。如何保證內(nèi)網(wǎng)的安全和秩序？我們采用了防火墻和VLAN相結(jié)合的解決方案。利用VLAN技術(shù)，可以邏輯劃分廣播域，有效地控制廣播風(fēng)暴，提升網(wǎng)絡(luò)整體性能，還可將不同權(quán)限的用戶群有效地隔離開(kāi)來(lái)，防止內(nèi)部無(wú)關(guān)人員非法訪問(wèn)受保護(hù)的信息。實(shí)施時(shí)，首先建立多個(gè)VLAN，每個(gè)VLAN對(duì)應(yīng)一組安全級(jí)別相同的用戶，然后為每個(gè)VLAN分配一個(gè)獨(dú)立的IP網(wǎng)段，最重要的是一定要將用戶接入的交換機(jī)端口劃分到相應(yīng)的VLAN中，這樣做的優(yōu)點(diǎn)是可以防止用戶私自改換IP地址到別的IP網(wǎng)段，盜用IP地址。在中心交換機(jī)的第三層路由模塊上設(shè)置不同VLAN之間的訪問(wèn)策略，從而使各VLAN之間的訪問(wèn)完全在管理員的控制之下。

建立了VLAN后，如何將分散在各個(gè)交換機(jī)上的VLAN和屬于同一VLAN而分散在多個(gè)交換機(jī)上的用戶邏輯的組合起來(lái)，實(shí)現(xiàn)統(tǒng)一管理？在本系統(tǒng)中，我們采用Cisco提出的VTP解決方案，將中心交換機(jī)設(shè)置為VTP Server，建立VTP域“Shengtu”，將所有二級(jí)交換機(jī)設(shè)置為VTP Client，加入VTP域，將連接中心交換機(jī)和二級(jí)交換機(jī)的鏈路設(shè)置為802.1Q Trunk，這樣VTP的環(huán)境就搭建起來(lái)了。實(shí)施中先統(tǒng)一在VTP Server即中心交換機(jī)上建立VLAN，然后通過(guò)Trunk將VLAN更新信息傳遞到VTP Client即二級(jí)交換機(jī)上，接著就可以將交換機(jī)的端口根據(jù)需要?jiǎng)澐值较鄳?yīng)的VLAN，最后只要VTP Server和VTP Client間定期的傳遞更新，這樣就實(shí)現(xiàn)了全圖書(shū)館所有VLAN的統(tǒng)一管理。

上面描述的主要是針對(duì)內(nèi)網(wǎng)用戶間的安全措施，另外我們還使用了硬件防火墻來(lái)實(shí)現(xiàn)針對(duì)外網(wǎng)的保護(hù)措施。在防火墻上共安裝四塊網(wǎng)卡，分別連接外網(wǎng)、內(nèi)網(wǎng)、撥號(hào)接入用戶和對(duì)外服務(wù)的Web、E-Mail等服務(wù)器。在防火墻上通過(guò)配置實(shí)現(xiàn)四個(gè)接口間的訪問(wèn)策略，可以有效的保護(hù)來(lái)自外網(wǎng)和內(nèi)網(wǎng)等對(duì)服務(wù)器的安全威脅。

因?yàn)閮?nèi)網(wǎng)和服務(wù)器首先連接6509，然后再上聯(lián)防火墻。如何在6509上將這兩個(gè)區(qū)域完全隔離，使它們之間只能通過(guò)防火墻進(jìn)行訪問(wèn)，且不會(huì)出現(xiàn)重復(fù)的路由？我們特意在6509上將服務(wù)器連接接口全部劃分到一個(gè)VLAN中，然后在6509的第三層路由模塊上，不為該VLAN建立虛擬子接口，使其與其余VLAN之間不可能通過(guò)第三層路由模塊通信，只能通過(guò)網(wǎng)關(guān)即防火墻。經(jīng)過(guò)測(cè)試，這種方法完全可行，內(nèi)網(wǎng)用戶必須通過(guò)防火墻才能訪問(wèn)服務(wù)器，實(shí)現(xiàn)隔離。

3 結(jié)束語(yǔ)

網(wǎng)絡(luò)的建設(shè)工作不應(yīng)該僅僅是網(wǎng)絡(luò)設(shè)備的簡(jiǎn)單互連和即插即用，除了可以互相ping通和可以訪問(wèn)Internet外，還應(yīng)該對(duì)安全、性能和可管理性等方面加以設(shè)計(jì)，使網(wǎng)絡(luò)不僅僅是設(shè)備的互連，更應(yīng)該是建設(shè)者們思想的體現(xiàn)、辛勤的勞作和智慧的結(jié)晶。

每天，大大小小類(lèi)似陜西省圖書(shū)館的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)都在繁忙地為信息的傳遞而運(yùn)行著、服務(wù)著。在黑客攻擊之前都是安全的，沒(méi)有發(fā)生類(lèi)似丟失數(shù)據(jù)或用戶之間無(wú)法訪問(wèn)的事件。雖然我們不能保證這樣的事情絕對(duì)不會(huì)發(fā)生，但至少我們看到了危險(xiǎn)的存在，并為阻止這種事情的發(fā)生而努力著。

網(wǎng)絡(luò)作為信息的載體，是快捷的、便利的，但同時(shí)也是開(kāi)放的、脆弱的。它需要我們?nèi)ソㄔO(shè)，更需要我們?nèi)ケＷo(hù)。