基于分布式防火墻和IPSec VPN的多校區(qū)校園網(wǎng)部署的研究與探討

【摘 要】隨著高校辦學(xué)規(guī)模的逐步擴(kuò)大，多校區(qū)辦學(xué)成為一種趨勢(shì)，如何在一校多區(qū)的辦學(xué)格局下加強(qiáng)網(wǎng)絡(luò)安全管理是校園網(wǎng)建設(shè)面臨的挑戰(zhàn)。筆者結(jié)合實(shí)際工作經(jīng)驗(yàn)，針對(duì)高校多校區(qū)網(wǎng)絡(luò)安全面臨的問(wèn)題，探討分布式防火墻和IPSec VPN兩種技術(shù)協(xié)同工作保護(hù)整個(gè)校園網(wǎng)絡(luò)的數(shù)據(jù)安全的管理思路。

【關(guān)鍵詞】分布式防火墻 IPSec VPN 多校區(qū) 網(wǎng)絡(luò)安全 校園網(wǎng)

【Abstract】With the gradual expansion of the scale of colleges and universities， The multi campus universities become a trend， strengthen the network security management in multi campus school running pattern is facing the challenge of campus network construction. Based on the actual work experience， facing the multi campus network security problems， discusses two kinds of technologies work together to protect the campus network data security management of distributed firewall and IPSec VPN.

【Keywords】The distributed firewall； Internet Protocol Security； Virtual Private Network；Multi Campus； Network Security；Campus Network

一、前言

隨著網(wǎng)絡(luò)技術(shù)不斷發(fā)展，很多高校開(kāi)始建設(shè)數(shù)字化校園，推行信息化管理，探討如何用信息化技術(shù)手段統(tǒng)一管理分散的多校區(qū)網(wǎng)絡(luò)，保障網(wǎng)絡(luò)安全成為多校區(qū)高校急于解決的難題。作為校園內(nèi)外網(wǎng)的基本屏障，防火墻技術(shù)具有不可替代的作用。本文將從多校區(qū)面臨的網(wǎng)絡(luò)安全問(wèn)題，分布式防火墻和IPSec VPN在多校區(qū)網(wǎng)絡(luò)實(shí)際應(yīng)用方面進(jìn)行探討。

二、多校區(qū)的網(wǎng)絡(luò)安全問(wèn)題

隨著高校辦學(xué)規(guī)模的逐步擴(kuò)大，很多高校合并或建立新校區(qū)，一校多區(qū)的辦學(xué)格局為校園安全管理提出了新問(wèn)題和新挑戰(zhàn)。

（一）各個(gè)分校區(qū)內(nèi)的網(wǎng)絡(luò)通常按照傳統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)獨(dú)立建設(shè)，特別是合并院校各自為政，網(wǎng)絡(luò)安全統(tǒng)一管理的難度加大。

（二）多校區(qū)院校很多設(shè)置多個(gè)網(wǎng)絡(luò)出口，來(lái)自外部攻擊危險(xiǎn)增多。

（三）校區(qū)分散，使得網(wǎng)絡(luò)設(shè)備之間協(xié)調(diào)困難，容易受到內(nèi)部攻擊，且不易查找攻擊來(lái)源。

（四）由于網(wǎng)絡(luò)中病毒的復(fù)制能力極強(qiáng)、傳播速度極快、破壞力很強(qiáng)，而多校區(qū)的校園網(wǎng)用戶的防御水平不同，導(dǎo)致計(jì)算機(jī)病毒大規(guī)模爆發(fā)感染時(shí)無(wú)法及時(shí)有效清除病毒，使學(xué)校的財(cái)務(wù)信息、教務(wù)信息、內(nèi)網(wǎng)信息等重要數(shù)據(jù)面臨嚴(yán)重威脅。

三、分布式防火墻和IPSec VPN

（一）邊界防火墻和分布式防火墻

邊界防火墻一般部署在內(nèi)網(wǎng)和外網(wǎng)之間，負(fù)責(zé)對(duì)內(nèi)外網(wǎng)之間的訪問(wèn)進(jìn)行控制。隨著網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展，邊界防火墻受網(wǎng)絡(luò)結(jié)構(gòu)限制，故障頻繁且效率較低，更易受到來(lái)自內(nèi)網(wǎng)的攻擊，很難滿足大容量、高效率、交互性強(qiáng)和可擴(kuò)展的需求。

隨著網(wǎng)絡(luò)的升級(jí)和擴(kuò)容，分布式防火墻在校園網(wǎng)中得到廣泛應(yīng)用，它由安全策略管理服務(wù)器以及客戶端防火墻組成。安全策略管理服務(wù)器是安全策略控制中心，負(fù)責(zé)制定和分發(fā)安全策略、用戶管理、日志管理和審計(jì)管理等，用戶端不必考慮這些安全策略，減少用戶負(fù)擔(dān)；客戶端防火墻一般安裝在從服務(wù)器和用戶終端上，根據(jù)安全策略文件的內(nèi)容，依靠包過(guò)濾、特洛伊木馬過(guò)濾和腳本過(guò)濾的三層過(guò)濾檢查，避免計(jì)算機(jī)在網(wǎng)絡(luò)中使用時(shí)受到惡意攻擊，提高了網(wǎng)絡(luò)的安全性。

（二）分布式防火墻的分類

分布式防火墻能夠很容易的堵住內(nèi)網(wǎng)漏洞，它分為廣義分布式防火墻和狹義分布式防火墻。

廣義分布式防火墻：廣義分布式防火墻是一種全新的防火墻體系結(jié)構(gòu)，包括網(wǎng)絡(luò)防火墻、主機(jī)防火墻和中心管理三部分。網(wǎng)絡(luò)防火墻部署于內(nèi)外網(wǎng)之間以及內(nèi)網(wǎng)子網(wǎng)之間，需支持內(nèi)網(wǎng)可能有的IP和非IP協(xié)議，而邊界防火墻卻不需要；主機(jī)防火墻對(duì)網(wǎng)絡(luò)中的服務(wù)器和桌面系統(tǒng)進(jìn)行防護(hù)，主機(jī)既可在內(nèi)網(wǎng)也可在外網(wǎng)；廣義防火墻的管理必須是統(tǒng)一進(jìn)行的，中心管理是其重要特征，具有安全策略的分發(fā)和日志的匯總的功能，每個(gè)防火墻作為安全監(jiān)測(cè)機(jī)制的組成部分，必須根據(jù)不同的安全需求部署在相應(yīng)的網(wǎng)絡(luò)位置上。

狹義分布式防火墻：狹義分布式防火墻是指駐留在網(wǎng)絡(luò)主機(jī)并對(duì)主機(jī)系統(tǒng)提供安全防護(hù)的軟件產(chǎn)品，駐留主機(jī)是這類防火墻的重要特征。這類防火墻將該駐留主機(jī)以外的其他網(wǎng)絡(luò)都認(rèn)作是不可信任的，并對(duì)駐留主機(jī)運(yùn)行的應(yīng)用和對(duì)外提供的服務(wù)設(shè)定針對(duì)性很強(qiáng)的安全策略，狹義防火墻采用的是嵌入式操作系統(tǒng)內(nèi)核，操作系統(tǒng)自身存在許多安全漏洞，使運(yùn)行其上的應(yīng)用軟件受到威脅，防火墻軟件也不能幸免，為徹底堵住操作系統(tǒng)漏洞，狹義防火墻的安全監(jiān)測(cè)核心引擎必須嵌入操作系統(tǒng)內(nèi)核，直接接管網(wǎng)卡，對(duì)所有數(shù)據(jù)包進(jìn)行檢查后再提交給操作系統(tǒng)。

（三）IPSec VPN

IPSec基于一組開(kāi)放的網(wǎng)絡(luò)安全協(xié)議，業(yè)務(wù)數(shù)據(jù)流通過(guò)IPSec加密，IPSsec能夠提供服務(wù)器及客戶端的雙向身份認(rèn)證，并且為IP及其上層業(yè)務(wù)數(shù)據(jù)提供安全加密保護(hù)，能夠支持?jǐn)?shù)據(jù)加密，數(shù)據(jù)完整性驗(yàn)證，數(shù)據(jù)身份驗(yàn)證，以及防重放等功能，充分保證業(yè)務(wù)數(shù)據(jù)的安全性。

VPN（Virtual Private Network，虛擬專用網(wǎng)絡(luò)）是指公用網(wǎng)絡(luò)上建立私有專用網(wǎng)絡(luò)的技術(shù)。VPN網(wǎng)絡(luò)中任意兩個(gè)節(jié)點(diǎn)之間沒(méi)有端到端的物理鏈路，而是采用隧道技術(shù)、加密技術(shù)、迷藥管理技術(shù)和設(shè)備認(rèn)證技術(shù)等技術(shù)在公用網(wǎng)絡(luò)服務(wù)商提供的網(wǎng)絡(luò)平臺(tái)上建立起的邏輯網(wǎng)絡(luò)，用戶網(wǎng)絡(luò)在邏輯鏈路中傳輸。利用VPN可以實(shí)現(xiàn)網(wǎng)絡(luò)移動(dòng)辦公，實(shí)現(xiàn)端到端的數(shù)據(jù)通信，節(jié)省了網(wǎng)絡(luò)建設(shè)費(fèi)用和遠(yuǎn)程訪問(wèn)費(fèi)用，提高網(wǎng)絡(luò)訪問(wèn)的安全性。

IPSec VPN即指采用IPSec協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù)，用以提供公用和專用網(wǎng)絡(luò)的端對(duì)端加密和驗(yàn)證服務(wù)。IPSec VPN利用Internet構(gòu)建三層隧道VPN的方式，把各種網(wǎng)絡(luò)協(xié)議直接裝入VPN隧道協(xié)議，允許用戶以任意方式接入VPN， 并且不受地理因素的限制，無(wú)論用戶出差還是在家里，只要能夠上網(wǎng)，就能夠通過(guò)當(dāng)?shù)豂nternet接入VPN，實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)。

（四）分布式防火墻和IPSec VPN的應(yīng)用部署

針對(duì)高校多校區(qū)面臨種種問(wèn)題，分布式防火墻和IPSec VPN兩種技術(shù)協(xié)同工作是保護(hù)整個(gè)校園網(wǎng)絡(luò)的數(shù)據(jù)安全的解決方案。分布式防火墻增加了針對(duì)主機(jī)的入侵檢測(cè)和防護(hù)功能，不但防御外部攻擊，還加強(qiáng)了對(duì)來(lái)自內(nèi)部攻擊防范，可以制定全方位的安全防護(hù)策略，實(shí)施全方位的安全控制，實(shí)施內(nèi)部主機(jī)和動(dòng)態(tài)可擴(kuò)展防護(hù)體系相結(jié)合的部署方案；多校區(qū)高校在網(wǎng)絡(luò)安全管理方面配置IPSec VPN，節(jié)省資源，統(tǒng)一管理基于Internet實(shí)現(xiàn)專用網(wǎng)安全連接，IPSec VPN是比較理想的方案。IPSec工作于網(wǎng)絡(luò)層，可以對(duì)傳輸于各個(gè)終端站點(diǎn)之間的數(shù)據(jù)進(jìn)行保護(hù)，將遠(yuǎn)程客戶端“置于”內(nèi)網(wǎng)，使遠(yuǎn)程客戶端擁有內(nèi)網(wǎng)用戶一樣的權(quán)限和操作功能。

分布式防火墻主要是用來(lái)保護(hù)內(nèi)網(wǎng)的， IPSec主要是用來(lái)保護(hù)數(shù)據(jù)在網(wǎng)絡(luò)上傳輸時(shí)的安全， 如果將這兩種技術(shù)簡(jiǎn)單地組合在一起，會(huì)引起一些問(wèn)題： IPSec需要將整個(gè)IP報(bào)文或整個(gè)網(wǎng)絡(luò)層數(shù)據(jù)作為整體進(jìn)行加密或驗(yàn)證處理；而防火墻則需要訪問(wèn)IP報(bào)文中傳輸層的協(xié)議頭信息進(jìn)行訪問(wèn)控制處理。這種根本性的沖突使得在一個(gè)分布式的環(huán)境下如何讓IPSec和防火墻協(xié)同工作成為一個(gè)難題。

IPSEC會(huì)將整個(gè)IP報(bào)文作為整體進(jìn)行驗(yàn)證或加密，而防火墻則會(huì)對(duì)IP報(bào)文參與修改，為了減少防火墻的工作容量，IPSEC對(duì)IP進(jìn)行分層處理，由于IP報(bào)文是由傳輸層協(xié)議頭與IP頭組成，因而可以對(duì)二者進(jìn)行分別處理，防火墻只處理其中的協(xié)議頭部分。報(bào)文數(shù)據(jù)在發(fā)送端和接收端都進(jìn)行安全加密處理，其級(jí)別和類型相似，即對(duì)等式的安全處理策略，但其過(guò)程是相互獨(dú)立的，分別保證某一端的安全性。IPSEC與防火墻的協(xié)同工作結(jié)構(gòu)圖如圖1所示。

在各連接節(jié)點(diǎn)上，都有處理模塊，包括主機(jī)節(jié)點(diǎn)、防火墻節(jié)點(diǎn)等，其中防火墻節(jié)點(diǎn)中的IPSEC模塊會(huì)對(duì)IP報(bào)文進(jìn)行安全輸入，報(bào)文的數(shù)據(jù)要保證防火墻可以識(shí)別，即相互之間的協(xié)議框架保持一致；主機(jī)IPSEC處理模塊對(duì)協(xié)議頭進(jìn)行處理，為防火墻的安全處理做好準(zhǔn)備，這樣IPSEC與防火墻的協(xié)同工作機(jī)制就建立起來(lái)了。 其中IPSEC與防火墻之間有幾種工作原則：其一，SA的協(xié)商，可以通過(guò)人工指定的方式保證對(duì)應(yīng)的SA的安全性，確保通信主機(jī)的安全處理要求；其二，報(bào)文格式，IP報(bào)文的協(xié)議頭和數(shù)據(jù)部分分開(kāi)處理和封裝，并且相互獨(dú)立，在處理中對(duì)各自的SA進(jìn)行驗(yàn)證；其三，安全處理范圍，IPSEC不需要規(guī)定范圍，可以對(duì)整個(gè)報(bào)文進(jìn)行處理，但防火墻為了減輕負(fù)擔(dān)，一般對(duì)報(bào)文的協(xié)議頭進(jìn)行驗(yàn)證處理。

（五）分布式防火墻和IPSec VPN的應(yīng)用效果

通過(guò)分布式防火墻和IPSec VPN的在多校區(qū)高校的部署，為校園網(wǎng)信息化管理水平的全面提升起到了積極的作用。

1.多校區(qū)高校在網(wǎng)絡(luò)安全管理方面配置IPSec VPN，管理基于Internet實(shí)現(xiàn)多個(gè)專用網(wǎng)安全連接，節(jié)省了資源，方便了多校區(qū)校園網(wǎng)的統(tǒng)一管理。2.來(lái)自校園網(wǎng)的內(nèi)部攻擊一直是網(wǎng)絡(luò)管理人員棘手的問(wèn)題，分布式防火墻保護(hù)網(wǎng)絡(luò)避免內(nèi)部攻擊，容易分辨攻擊來(lái)源，為網(wǎng)絡(luò)管理人員加強(qiáng)數(shù)據(jù)安全，快速查找校園網(wǎng)漏洞提供了依據(jù)。3.IPSec可以對(duì)高校多校區(qū)之間在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)進(jìn)行保護(hù)，確保信息傳輸?shù)陌踩院捅Ｃ苄浴?.針對(duì)學(xué)校關(guān)鍵部門(mén)專網(wǎng)專用，通過(guò)部署IPSec VPN 對(duì)信息數(shù)據(jù)起到了很好的保護(hù)作用。部署IPsec VPN的同時(shí)，要求在學(xué)校各個(gè)校區(qū)的遠(yuǎn)程接入客戶端安裝和配置IPsec客戶端和相關(guān)的接入設(shè)備，通過(guò)Internet連接VPN訪問(wèn)時(shí)收到特定接入設(shè)備、用戶認(rèn)證機(jī)制、用戶軟件客戶端和安全策略及規(guī)則的限制，對(duì)整個(gè)VPN各個(gè)終端站點(diǎn)之間各種應(yīng)用傳輸?shù)臄?shù)據(jù)進(jìn)行實(shí)時(shí)保護(hù)，全面保證高校多校區(qū)之間信息交互的安全性和保密性。

四、結(jié)束語(yǔ)

維護(hù)校園網(wǎng)網(wǎng)絡(luò)安全的手段多種多樣，防火墻作為最基本也是應(yīng)用最廣泛的安全策略，探索先進(jìn)的安全技術(shù)一直是校園網(wǎng)安全管理的目標(biāo)，探討分布式防火墻和IPSec VPN在多校區(qū)網(wǎng)絡(luò)實(shí)際應(yīng)用，為解決多校區(qū)大學(xué)網(wǎng)絡(luò)安全管理的難題提供思路。

參考文獻(xiàn)：

[1]姚少華.高校多校區(qū)網(wǎng)絡(luò)安全問(wèn)題分析[J].科協(xié)論壇：下半月，2010.9

[2]王春海. 微軟防火墻Forefront TMG配置管理與企業(yè)應(yīng)用[M].北京：清華大學(xué)出版社.2013.01

[3]李子明.針對(duì)WEB服務(wù)器的入侵檢測(cè)研究[J].上海交通大學(xué)學(xué)報(bào)，2011.6

[4] 司鳳山， 王晶. 一種運(yùn)用入侵檢測(cè)的分布式防火墻系統(tǒng)研究[J]. 赤峰學(xué)院學(xué)報(bào)，2011.1

[5] 郭麗春. 分布式防火墻在網(wǎng)絡(luò)安全中的技術(shù)應(yīng)用[J].沈陽(yáng)航空工業(yè)學(xué)院學(xué)報(bào)，2006.6

[6] 張雪. 分布式防火墻策略分發(fā)技術(shù)的研究[D].南京理工大學(xué)，2007.6.

作者簡(jiǎn)介：

劉志龍（1984-），男，河南安陽(yáng)人，河南牧業(yè)經(jīng)濟(jì)學(xué)院數(shù)字化管理中心助教，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)。