当前位置:论文网 > 论文宝库 > 信息科技类 > 网络安全论文 > 正文

基于校园网边界网络安全的研究与实现

来源:UC论文网2020-11-04 09:43

摘要:

  摘要:随着信息科技的飞速发展,校园网的应用建设和规模也越来越大,而与此同时,飞速发展的互联网应用技术也给校园网的网络安全提出了越来越严峻的考验,互联网对校园网的攻击策略和手段也层出不穷,但归根结底,其流量和手段都需要从校园网与互联网的边界进行流入流出。所以如何部署稳固校园网的边界网络安全设备,打造边界网络安全体系,从而为校园网提供一个安全可靠的上网环境是该文研究的重点。  关键词:边界网络;校...

  摘要:随着信息科技的飞速发展,校园网的应用建设和规模也越来越大,而与此同时,飞速发展的互联网应用技术也给校园网的网络安全提出了越来越严峻的考验,互联网对校园网的攻击策略和手段也层出不穷,但归根结底,其流量和手段都需要从校园网与互联网的边界进行流入流出。所以如何部署稳固校园网的边界网络安全设备,打造边界网络安全体系,从而为校园网提供一个安全可靠的上网环境是该文研究的重点。


  关键词:边界网络;校园网;安全


  中图分类号:TP393.1文献标识码:A


  文章编号:1009-3044(2020)25-0075-02


  1前言


  校园网络是打造高校“数字校园”“智慧校园”的载体,而校园网络的安全则是所有校园网络和应用系统建设的前提条件[1]。当前,大多数学校对于投入了大量资金用于网络环境的建设,已经形成了良好的网络环境和应用体系,校园网的数字化应用已经遍及师生日常生活的各个方面。但随着云服务技术和大数据技术的不断发展,校园网的信息安全问题也日益突出,尤其是在校园网边界附近,交换机、路由器、防火墙等设备所面临的考验形势变得非常严峻,网络安全威胁日益复杂,攻击来源层出不穷、攻击手段种类繁多、攻击目标多种多样、攻击危害也愈加严重[2]。这就要求学校对校园网的安全防护工作不仅仅要求能够防御网络攻击,更要求预先防患未然,将网络安全隐患排斥于校园网之外[3]。本文是通过论述学校的边界网络安全体系,边界网络安全设备的部署情况,通过各个安全设备的联动运行可以有效防御当前问题较为突出的Web漏洞及网络攻击威胁,实现学校各个应用系统的安全、可靠和可控,从而建立比较安全的网络环境来保障教学服务质量和师生上网安全[4-5]。


  2研究背景


  当前,大多数学校均部署了较为完善的边界网络安全设备来保障校内网络安全,当用户通过在校园内部网络进行访问互联网的时候,其数据包经过边界网络安全设备时经过层层审计来保障数据安全,同时也将互联网进行广泛传播的网络风暴、病毒等隔离出校园网之外,使校园内网形成了一个相对封闭安全的上网环境[6]。本文所指边界网络安全设备主要是指学校的校园网出口至核心交换机到的网络设备,主要有网络出口防火墙设备、入侵防御系统设备、多业务控制网关、负载均衡设备等设备共同保障网络的安全运行。这些网络安全设备的联动使用一方面可以抵御网络病毒、DDos攻击,端口攻击、拒绝服务攻击、提权攻击等的网络攻击手段,另一方面还可以主动监测学校内部系统的安全漏洞和学校外部网络的网络隐患,达到预先防范的效果。从而更好地保障校园网的网络安全。


  3系统设计方案


  3.1系统总体设计框架


  校園网边界网络安全顾名思义把有着不同安全级别的校园网和外界互联网相连接,并通过在校园网网络边界处部署相应的软硬件设备来设置的安全防御措施,一方面保障校园内部合法用户合法的访问外界互联网,另一方面过滤掉非法访问和恶性攻击行为,从而建立起比较稳定、可靠的安全防御体系。目前天津师范大学核心交换机由两台万兆交换机虚拟化为一个核心进行负责,在核心交换机和互联网串联部署出口网关、出口防火墙、负载均衡设备、抗DDoS系统、IPS等安全设备,同时在学校的核心交换机旁单臂部署了BRAS设备、VPN网关系统、上网行为管理系统、日志审计系统、DNS系统、网络缓存系统、流量清洗系统等。通过这些系统的部署,可以有效地实现抵御外来网络攻击,审视用户上网行为,检测校园内部系统的网络漏洞等功能。其主要设备的部署拓扑图如图1所示。该部署方式既能减少了学校主干网络上的安全设备,同时也为边界网络安全体系的进一步的健壮提供了较好的兼容性和可扩展性。


  3.2串联网络安全设备


  串联的网络安全设备必须实现高转发速度、高稳定性、高安全性、高兼容性以及高智能性,同时也需要实时地对病毒数据库进行更新。串联的网络安全设备对校园网提供了环境感知功能,实现对安全策略的制定,病毒入侵的主动防御,病毒风险的隔绝,异常流量的监控,恶意文件的监测,IP地址的隔离,数据库升级等功能。


  出口防火墙(Firewall)无疑是最重要的边界网络安全设备,也是校园网安全体系的第一道防线。出口防火墙是通过分析ARP数据包并配置相应的NAT访问策略来保护校内的端口、服务、程序、系统、以及应用数据库,可以及时发现并处理内外网络的可能存在或者已经存在的系统隐患和网络攻击。防火墙可以实现集中地安全管理、制定执行策略、设立访问控制列表、访问转发、端口映射等功能,其工作方式主要包括包过滤、状态检测、应用代理三种方式。包过滤通过检测防火墙的运行状态来预先编辑其运行的访问策略;状态检测是通过读取并分析ARP数据包来分析访问状态来确定该系统应用程序是否允许连接;应用代理是使用的代理程序来分析基于的特定类型协议的流量来实现对应用层的管理和监控。


  入侵防御系统(IPS)是对出口防火墙安全防护的一种补充,是实现校园网安全访问的“双保险”。IPS是通过流检技术来收集和监听系统的运行情况和数据的传输情况,预先主动地对数据源进行检测并阻断那些具非法或异常的数据传输。IPS主要防护针对防火墙相对防护较弱的应用层面的网络攻击和风险漏洞,具有对校园网的网络环境、应用系统、程序内容的深度感知能力,以及对未知风险的防患能力,通过IPS探针的方式对数据包进行异常协议识别、病毒库特征匹配、异常流量检测,将用户登录信息、应用系统信息、应用部署位置和应用地址、应用或站点访问频率等多种信息进行关联,使用白名单访问策略,建立校园网访问的白环境,从而实现对应用系统的端口、状态和行为的精细化管理,并准确识别用户异常行为。


  负载均衡设备(SLB)主要是针对不同服务器的性能和配置的差异进行合理有效地分配带宽、任务和资源,从而保障各个服务器高效稳定的运行。原则上来说SLB并不属于安全设备,但其也可以针对服务器进行定向的过滤数据包和应用攻击,隔离协议和网络攻击,从而实现故障处理,流量分析的功能。SLB可以针对DNS、代理服务器、地址转换网关、网络地址转换进行优化和调度。SLB实现的机制主要包括数据收集、阈值设定和服务器迁移三个方面,即SLB动态的确定进行负载均衡的阀值,当负载信息进行采集并分析后如果触发阀值机制后便将资源迁移到其他服务器。伴随着云平台技术的发展和虚拟机的广泛应用,SLB在校园网环境中发挥了不可替代的作用。


  3.3旁挂网络安全设备


  旁挂的网络安全设备相对而言在边界安全功能上大多是起着检测和辅助作用,但也发挥着至关重要的作用,一方面可以减轻主干网络安全设备和带宽带来的压力,另一方面提高校园网系统和应用运行效率,为校园网提供了更加实时全面的安全防护。旁挂的网络安全设备主要实现异常流量进行检测、网络数据的缓存、日志的审计和存储、上网行为的监管和控制等功能,从而实现“检测与控制相分离,引擎特征相统一”的理念。


  BRAS(多业务控制网关)为校园网提供互联网和教育网的宽带接入服务和多业务运行方案。BRAS汇总整个校园网的用户流量,通过兼容多种协议和方式来接入各个系统的管理网关、控制网关和认证网关,满足不同用户和应用系统对传输容量和带宽利的精细化要求和颗粒度管理。


  VPN网关系统为互联网接入到校园网提供了一条隐私、安全的数据加密隧道来实现校外用户访问校内网资源的功能。VPN系统通过SSL协议对数据行为加密,并使用LDAP协议进行认证,使不同用户通过VPN访问只能获得访问相应的地址的权限,从而保障校园网安全。


  上网行为管理系统针对所有访问校内网用户的行为提供智能精准的行为分析、数据审计、网站访问过滤、应用程序控制以及流量资源管理等功能,可视可控的展现访问人员的身份、终端、内容、应用程序等内容,规范用户的入网行为,提高网络安全防护,信息安全管理和风险防范的能力。


  日志审计系统可以实时的采集各个边界网络安全系统以及其他应用程序产生的流量和数据,对此进行统一规范化的记录、存储和备份,并提供灵活方便的日志查询机制。日志审计系统还可以配合其他安全设备对数据进行分析,设立访问策略,对异常行为建立报警机制。


  异常流量检测系统在核心交换机上配置镜像的方式来获取数据,通过探针式流量检测技术实现基于数据流特征的攻击类型检测,通过对IP地址、端口号、协议号等产生的分流信数据的监测和分析,提供异常流量发现、异常行为监测、设备性能告警监测和网络攻击报警等功能。


  4结束语


  打造边界网络安全体系可以有效地抵御校内外针对校园网基于出口的网络攻击,解决当前来自网络内外部对安全带来的各种威胁,实现多层次、多應用的防护功能。当然,任何一种设备和体系都无法保障网络安全的万无一失,我们要做的是进一步优化网络布局,提升安全设备性能,规范内部上网行为,从而实时为数字化校园提供了更加全面细致的安全防护,为打造“数字校园”、“智慧校园”提供强力保障。

核心期刊推荐