摘要:校园网已成为教学和科研的重要平台,但大量增长的网络用户也给网络的管理带来了一系列的问题,其中最突出的是网络安全和网络出口问题。本文简单介绍了东北财经大学校园网网络安全及出口优化的解决方案。
关键词:校园网,网络安全,网络出口
中图分类号:TP393.08文献标识码:B文章编号:1673-8454(2010)01-0023-02
一、东北财经大学校园网现状
东北财经大学已先后启动三期校园网建设工程,现已建成的万兆校园计算机网络系统已覆盖校内全部的办公楼、教学楼、学生宿舍,以及部分教工宿舍,入网计算机达15000余台(包括实验室)。
随着网络的广泛应用,校园网已经成为全校师生学习和科研的必要工具,校园网用户与日俱增。但在用户增长的同时,东北财经大学校园网的出口线路并没有变化,这就造成对校外站点的访问出现瓶颈。另外,大量增长的网络用户也给网络的安全管理带来了一系列的问题,例如:病毒与木马的监控防治,用户网络行为的监控与管理等。
二、现阶段校园网存在的主要问题
1.网络安全方面存在严重问题
问题1:无统一的网络防病毒系统
东北财经大学过去因无统一的网络防病毒系统,网络病毒的防治只能靠使用者的计算机操作水平和安全意识来保证。不少用户的计算机系统不安装杀毒软件,有的用户虽然安装了杀毒软件,但不及时更新病毒代码库或者不及时安装系统补丁,结果大量的计算机上网带毒运行,这不仅严重地影响了网络的运行效率,同时也会造成网络中病毒的快速传播和泛滥,导致网络瘫痪。另外,部分用户使用U盘前不做任何安全防护措施,将文件中的病毒通过网络感染给其他计算机,这也是病毒泛滥的一个重要的原因。
问题2:无入侵检测系统和防火墙
网络是一个开放的系统,只要连通互联网就会存在被不法分子攻击的危险。针对系统的安全漏洞进行扫描,发现防护存在漏洞的计算机后实施攻击是黑客常用的网络攻击手段。东北财经大学的校园网中,很多的办公计算机和学生用机都处于无安全保护的状态,经常被校外的黑客攻击,导致瘫痪或是变成攻击他人的工具。这些都造成网络出口被大量无用的数据占据,访问外网速度极慢。
问题3:无用户行为日志
对照中华人民共和国公安部令第82号文件《互联网安全保护技术措施规定》的第七条的第三款“记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施”,东北财经大学校园网现有的网络管理系统不能完全实现此项功能。
2.校园网出口线路问题
东北财经大学出口主要靠中国教育和科研计算机网(简称教育科研网)的线路,但由于东北地区教育科研网用户数量增长迅速,教育科研网沈阳至北京的线路已经满负荷,所以东北财经大学访问教育科研网外站点的速度呈现明显下降趋势。
同时,近几年P2P技术在网络视频与下载方面被广泛应用,迅雷、PPLive、BT等软件大量占用出口的带宽资源。但由于东北财经大学现有的设备不具有出口线路的流量控制与整形功能,所以在流量高峰期无法有效地过滤无效的应用。这也是造成校内访问教育网外站点的速度呈现明显下降趋势的另一个主要原因。
造成网速慢的原因分析:
(1)出口线路少,备用线路带宽低
现在东北财经大学的出口线路已经处于满负载的情况,经调查,目前很多高校都有两个以上的网络出口,其中不少高校第二出口宽带为100M以上。
在白天的时段内,大连至沈阳的教育网线路和沈阳至北京的教育网线路基本上处于满负载状态,通过教育网访问Internet速度会很慢,大连到北京的任何一个教育网节点出现故障都会影响网络访问的速度。
(2)占用出口带宽的数据70%以上为非办公、学习和科研性质的数据
为了更好地了解网络出口具体的使用情况,笔者借助专业的网络分析仪器对东北财经大学的出口进行了网络应用分析。从监控的情况可以很直观地看出,作为办公、学习和科研的两个主要应用“WWW浏览”和“电子邮件”只占不到25%,而以娱乐为主的视频、BT下载和病毒占用了绝大部分带宽。
(3)病毒泛滥
从监控的情况可以看出,病毒和攻击已经占到出口总带宽的20%左右。现在很多病毒是利用网络协议的缺陷发起网络攻击。只要网络中有一台计算机感染病毒,就会使相同IP段的网络瘫痪。对这种类型的病毒,只有找到中毒用户并立即停止该用户的网络连接,才能消除病毒的不良影响。
三、技术解决方案
针对网络中存在的问题,笔者进行了大量的调研工作,包括对其他高校网络安全系统的调研,对现有网络设备功能的评估和升级,对网络安全厂商进行技术调查,分析解决方案的可行性,并对关键设备进行实地测试,提出了完整的解决方案。改造优化后的出口部分和安全部分如图所示。
第一,增加电信的网络出口线路,扩大现有的网通网络出口线路,使东北财经大学的网络同时与国内的三大网络运营商都有直连的线路。这样就可以让访问网通和电信站点的用户直接访问,不必再经教育科研网绕行访问,提高网通和电信站点的访问速度。
第二,在总出口部署高性能防火墙,可以有效地阻止来自外网的攻击,保护校园网内所有计算机的安全。同时,还可以为特殊用户提供VPN接入的服务。
第三,部署高性能的线路负载均衡设备连接三条网络出口。线路负载均衡设备可以自动识别用户访问站点所在运营商的IP地址访问,自动选择最佳的出口,并在三条出口上做线路的负载均衡,提高线路使用效率。
第四,部署缓存服务器,所有已访问的站点在本地都会保留镜像,其他用户再次访问该网站时,可以直接在本地的缓存服务器读取数据,不必再到外网访问,不仅可以提高网站的访问速度,还可以有效地降低出口线路的带宽压力。
第五,部署流量控制设备,在出口上控制病毒、P2P等耗占带宽的非办公学习科研数据,合理分配有限的带宽资源,优先保证Web(网页浏览),Mail(电子邮件)等关键业务。
第六,部署日志服务器,通过流量控制设备提供的日志功能,将用户访问的网站信息保存在专用的日志服务器,记录所有用户的网络行为。公安部82号文件中明确提出了网络管理部门必须部署日志功能。
第七,在出口部署IDS(入侵检测系统),实时监控来自内网和外网的病毒、木马和其他的网络攻击行为,并及时把信息通知网络管理员和网络安全自动处理系统(GSN全局安全管理系统)。
第八,在校园网内全网部署网络安全自动处理系统(GSN全局安全管理系统),系统会根据IDS、接入层交换机和其他网络安全设备提供的异常数据,自动判断用户行为的危害程度,并按预先设定的策略,自动控制IDS、接入层交换机和SAM安全认证系统,对该用户进行隔离或阻断,并将处理信息通知网络管理员。
第九,在校园网内全网部署网络版防病毒系统,自动对已开机的用户进行定时的病毒代码更新,并配合GSN全局安全管理系统对用户系统进行病毒和木马的实时监控。及时查杀用户计算机上的病毒和木马,阻断病毒和木马的传播。
第十,部署数据集中备份系统,对校园网内重要的应用服务器数据实现网络自动备份。
四、系统运行效果
本项目顺利实施后,校园网的运行情况大为改善,基本上解决了已发现的问题,达到了系统设计的预期目标。由于篇幅限制,系统的具体运行情况就不作详细介绍了。本文来自《东北财经大学学报》杂志