校內(nèi)各單位自管自維服務器的安全防護解決方案

◆李向龍 楊貴福 葛永興

（東北師范大學信息化管理與規(guī)劃辦公室 吉林 130024）

0 引言

我校校園網(wǎng)絡從1995年建設，經(jīng)歷了基礎網(wǎng)絡建設、信息系統(tǒng)（網(wǎng)站）建設到數(shù)字化校園建設的三個階段。在信息系統(tǒng)（網(wǎng)站）建設階段，各單位自行購買服務器建立信息系統(tǒng)（網(wǎng)站），出于管理和維護的方便，服務器大多數(shù)都放置在本單位，由于缺少必要的安全防護設備和專業(yè)技術(shù)人員，大部分服務器都直接暴露在互聯(lián)網(wǎng)中，存在極大的安全隱患，而相當一部分成為黑客掃描、攻擊和病毒傳播的溫床，充當了網(wǎng)絡攻擊的肉雞。

隨著新的網(wǎng)絡應用不斷出現(xiàn)，隨之而來的網(wǎng)絡危險也呈現(xiàn)多發(fā)趨勢，大量非法的、惡意的、帶有特定目的的應用建立在HTTP等協(xié)議之上，通過隨機端口號、采用SSL加密等方式來隱藏真實內(nèi)容，導致用戶端無法正常識別和判斷，由此出現(xiàn)的安全事件層出不窮，給用戶造成一定的經(jīng)濟損失。

1 安全風險分析

我校各單位自管自維服務器的網(wǎng)絡拓撲見圖1，互聯(lián)網(wǎng)用戶通過internet可以直接訪問這些服務器，中間沒有經(jīng)過任何的安全防護設備，安全問題主要表現(xiàn)為遭受惡意代碼攻擊、網(wǎng)站入侵篡改、被當作網(wǎng)絡肉雞跳板等。

1.1 惡意代碼攻擊

惡意代碼攻擊，就是指網(wǎng)絡上不法分子自己建立釣魚網(wǎng)站，利用一些誘惑性信息引導用戶訪問，或者利用工具攻擊安全措施不到位的網(wǎng)站，上傳一些帶有病毒、木馬等內(nèi)容的文件，用戶通過瀏覽器訪問后就會將病毒或者木馬下載到本地，導致個人信息泄露或者機器中毒等。由于安全管理和技術(shù)人員水平等原因，此類問題在各單位的服務器上尤為突出。

1.2 網(wǎng)站入侵篡改

網(wǎng)站入侵篡改是較為常見的安全問題，由于多數(shù)單位的網(wǎng)站都是采用免費的CMS系統(tǒng)，其源代碼的開放性導致漏洞公開化，黑客不需要掌握較多技術(shù)，按照公布的漏洞即可實現(xiàn)入侵和篡改的目的，此種攻擊具有顯示度高，可即時看到效果的特點，受到各級別黑客的青睞。

1.3 網(wǎng)絡肉雞跳板

所謂網(wǎng)絡肉雞跳板，就是擁有管理權(quán)限的遠程電腦，一般都是開了3389端口的windows服務器容易受此攻擊。服務器管理員為了維護方便，通常打開3389端口，利用遠程桌面功能管理服務器，黑客恰好利用這個漏洞，在服務器上植入遠程控制軟件，當作其發(fā)起DDos攻擊的馬前卒或者實施不法行為的跳板。此種攻擊具有一定的隱蔽性，帶來的問題是服務器響應緩慢或者流量異常。

2 安全解決方案

為了提高校內(nèi)各單位自管自維服務器的安全，實施必要的訪問控制，有效降低安全風險。決定在不改動服務器地理位置，不增加相應單位工作負擔情況下，通過調(diào)整服務器網(wǎng)段的邏輯拓撲結(jié)構(gòu)，集中部署安全設備和防護措施，達到提高自管自維服務器安全防護能力和水平的目的。

圖1 調(diào)整前服務器網(wǎng)絡拓撲圖

整體解決方案分為以下三部分：

（1）增加三層交換機，防火墻和入侵檢測設備各一臺，承擔數(shù)據(jù)交換、限定開放端口、安全防護和異常通訊的攔截阻斷功能。

（2）調(diào)整服務器網(wǎng)段的邏輯拓撲結(jié)構(gòu)，見圖2（圖中白色虛框內(nèi)是本解決方案中增加的設備，用于各單位自管自維服務器的安全防范）。將服務器網(wǎng)段的網(wǎng)關(guān)遷移至新增加的三層交換機 C上，強制引導數(shù)據(jù)流經(jīng)過防火墻和入侵檢測設備。

圖2調(diào)整后服務器網(wǎng)段的邏輯拓撲圖

（3）配置防火墻防護策略，提高安全級別，阻止不必要的端口和服務與外部通訊。

通過以上調(diào)整，除服務器網(wǎng)段外，無論校內(nèi)校外用戶訪問服務器上的內(nèi)容，必須經(jīng)過防火墻和入侵檢測設備。通過開放特定的對外服務端口，阻斷了黑客從非服務端口進行攻擊的途徑，利用入侵防護設備，實時、主動的攔截各種常規(guī)惡意攻擊、蠕蟲病毒、后門木馬等異常通訊，有效降低了受訪者訪問被植入木馬、病毒等惡意代碼網(wǎng)站的危險。

3 技術(shù)實現(xiàn)方式

（1）在增加的三層交換機C上創(chuàng)建服務器網(wǎng)段VLAN，相應的網(wǎng)關(guān)配置在VLAN接口下，見圖3。

圖3交換機C上的服務器網(wǎng)段配置

（2）設置交換機C與交換機A的互聯(lián)端口通訊模式為trunk，允許服務器網(wǎng)段VLAN10和VLAN20通過，見圖4。

圖4互聯(lián)端口的接口模式設置

（3）刪除原交換機A和B上服務器網(wǎng)段VLAN下的接口IP地址，僅保留VLAN設置，見圖5和圖6。

圖5交換機A上服務器網(wǎng)段VLAN配置

圖6交換機B上服務器網(wǎng)段VLAN配置

（4）在防火墻針對服務器的網(wǎng)段，建立單獨的安全策略，對外開放必要的服務端口，其余端口禁止訪問和通訊，從一定程度上降低了被攻擊和掛馬的風險，有效提高了安全級別，基本實現(xiàn)了自管自維信息系統(tǒng)（網(wǎng)站）的集中安全訪問控制，見圖7。

圖7 打開和關(guān)閉相應的端口

4 方案的優(yōu)點

解決方案在實施上具有操作簡單，投入少，實施快，無需各單位調(diào)整等優(yōu)點。

（1）網(wǎng)絡管理部門通過修改服務器網(wǎng)關(guān)的邏輯位置，實現(xiàn)自管自維服務器的安全防護統(tǒng)一部署；

（2）服務器共用安全策略，方便后期的維護和策略調(diào)整，確保不會出現(xiàn)木桶效應；

（3）各單位技術(shù)人員不需對服務器做任何改動，全過程無感知，沒有增加維護難度和安全設備，用較小的投入解決較大的安全隱患；

（4）方便統(tǒng)計自管自維服務器的各種通信數(shù)據(jù)，對于后續(xù)的管理提供必要的數(shù)據(jù)支持。

5 總結(jié)

互聯(lián)網(wǎng)改變了人們的生產(chǎn)和生活方式，擴展了人們認識世界的方法。網(wǎng)絡為人們帶來便利的同時，也帶來了一系列的安全風險，使用不當會給用戶造成不可挽回的損失。本方案通過調(diào)整服務器的邏輯拓撲結(jié)構(gòu)，在網(wǎng)絡層和應用層增加安全設備，有效提高了各單位自管自維服務器的安全防護能力。

[1]李愛峰，王秋平.四招掌握校園Web服務器安全主動權(quán)[J].網(wǎng)絡通訊與安全，2012.

[2]朱海濤.高校網(wǎng)絡服務器安全問題及對策研究[J].網(wǎng)絡安全技術(shù)與應用，2014.

[3]周輝.淺談高校二級單位網(wǎng)站的安全管理[J].中國教育信息化，2011.