系统安全改造

引言：为及时、全面、准确地宣传党的路线、方针、政策，为广大党员干部和群众，提供优质的、具有地方特色的教学资源，提供完善的党员干部教育服务，笔者所在的某地市级党员干部远程教育办公室，建立了覆盖全市的远程教育平台系统，每位党员干部在Internet网络的任何“角落”，都能顺利地进行在线学习。

远程教育平台系统，租用了电信的一条宽带线路，接入Internet网 络，出口带宽大小为4MB，光纤经过光电转换器转为RJ45接口后，连接到一台核心路由交换机上。核心交换机上除了连接两台主、备远程教育平台服务器外，还使用多模光纤线路，连接了远程教育大楼四个楼层交换机，图1所示界面是整个远程教育网的简单拓扑图。

存在问题

图1 远程教育网简单拓扑图

当初组网时，以为远程教育平台只是面对特定用户，而且需要授权才能访问，所以基本没有采取任何安全防护措施，远程教育平台服务器仅仅依靠安装在其中的杀毒软件和软式防火墙，来保护远程访问的安全。但这几年，随着访问人数的越来越多，远程教育平台遭遇非法攻击的次数逐渐增多，严重影响了党员干部的在线学习。某次，因为没有及时更新杀毒软件病毒库，造成远程教育系统感染了一种特殊病毒，这种病毒通过Windows系统平台自身存在的漏洞，对远程教育网进行了非法攻击，不但强行关闭杀毒软件或其他安全工具，而且还对网络445端口进行攻击，让整个网络传输通道堵塞不堪，影响了远程教育网络的数据传输，技术人员经过连夜加班后，才勉强将病毒危险降到最低限度。此外，远程教育平台访问还经常出现堵塞现象，网络出口带宽不大，在视频教学资源越来越多的情况下，出口带宽已经成为网络的传输瓶颈。远程教育大楼内部的布线方面，因为缺少专门的网络管理人员，网络私拉乱接现象十分严重，核心交换机和楼层交换机之间，还挂接有相当多的小交换机，甚至在网络中常常发生环路现象。网络线缆连接基本没有捆扎和标签说明，每次遇到故障时，给排查带来了极大麻烦。面对诸多问题，整个教育系统的改造已经刻不容缓。

安全分析

鉴于远程教育系统的安全现状，如果要保证该网络中的主、备平台服务器不被攻击，应该立即采取有效措施，全面超前地保护好它们，毕竟在实际工作中，无论怎么运行平台系统，它们都有可能存在各种非法攻击。考虑到远程教育系统的两台服务器中，存储有大量珍贵的视频教学资源，所以一定要通过严格的访问控制技术，来限制无关用户的登录访问。不过，对于来自间接物理访问引起的病毒入侵，往往很难预防，同时整个远程教育系统的自动化程度和工作效能无法得到保障。

防火墙在安全防护体系中，可以对网络访问行为进行有效控制，对确保网络访问行为的安全性起到了相当重要的作用。可以这样说，防火墙安全防护体系的建立与否，直接关系到远程教育系统能不能对恶意访问进行有效的预防。众所周知，善于使用硬件或软件防火墙，能预防各式各样的非法攻击，可以帮助定位攻击类型和攻击来源。能够避免恶意用户的非法扫描，通过定制安全规则将攻击行为扼杀于萌芽之中。可以抵制DoS/DDoS攻击和源路由攻击，借助检测、控制和报警措施，拦截DoS恶意用户攻击，通过配置合适的规则，拒绝TCP/IP数据包中的源路由选项，避免源路由攻击现象发生。此外，安全防护体系中的防火墙，还具有监控、审计和报警功能，利用这些功能可以加强对远程教育系统的实时监控，当遇到意外攻击时，网络管理员在第一时间会得到报警提示。

在上述安全分析基础之上，为了加强对远程教育系统主、备服务器的保护，决定对该系统的拓扑结构进行适当调整，在该系统中部署防火墙子系统，以便在逻辑上保护、隔离好主、备服务器，不让其中的重要数据受到安全威胁。增加一台核心路由交换机，与原来的核心路由交换机，通过生成树协议达到智能切换目的，提高整个远程教育网络与外网的连接安全性和稳定性。为了不让远程系统内部网络由于管理混乱，出现安全隐患，决心重新布置网络线缆，确保标签明确、走线美观、结构清晰。此外，为了提高远程教育平台的访问速度，决定扩充Internet出口带宽，从当地运营商那里重新申请一条10M光纤线路，来改善出口带宽大小。

改造过程

下面的任务主要是制定改造方案和设备选型。制定改造方案任务，主要包括改造费用测算、修改网络拓扑结构、明确改造步骤等。在进行设备选型时，决定新买的核心路由交换机也使用H3C品牌，因为已有的一台设备型号为H3C Quidway S8500系列，这样采用统一的品牌产品，可以有效预防设备不兼容之间的问题，同时也能给日后的管理维护带来方便，网管员只要使用以前掌握的命令就能配置维护设备了。硬件防火墙则选择天融信的NGFW4000-UF，该防火墙具有系统管理、身份认证、攻击防护、高可用、病毒防护、流量管理、行为管理及审计、PKI、IPSEC VPN、SSL VPN等功能，比较符合远程教育系统的安全改造要求；而且该设备还有4个10/100/1000BASE-T接口和4个SFP插槽，完全可以满足当前使用和日后用户接入的扩展。其他一些辅助设备的采购，尽量选用目前市场上的主流产品，包括网络线缆、屏蔽水晶头、机柜间互联用配线架以及整理线路的理线架等等。

考虑到新购买的核心路由器和防火墙设备配置，均由设备供应商负责完成，单位提出要求是通过VRRP协议让两台核心路由交换机实现数据转发设备冗余，保证主路由交换机遇到问题后，远程教育网络可以自动切换到备份路由实现网络的连接。为了防止在线学习中断，要求两台交换机在主、备切换时，不能等待太长的时间。两台防火墙设备必须连接在交换机之前，作为负载均衡使用，可以简单、灵活地控制远程教学平台服务器的授权访问，同时将以前主、备服务器连接的交换机，接入到防火墙的SSN区端口中，通过合理配置启用防火墙的透明工作模式，再定义好相关的安全防护策略，让防火墙仅允许访问限定的服务端口，并仅允许远程教育平台服务器响应必要的外界限定端口。远程教育平台的两台主、备服务器要求做Cluster，同时要求映射一个浮动的IP地址，这两台服务器能够相互热备份。在与产品供应商签订合同的时候，需要注意的是到达现场服务的时间和故障响应时间要能符合单位事先提出的要求。这次远程教育系统安全改造提出的组网拓扑图见如图2所示。

图2 改造后的组网拓扑图

在实际施工的时候，本着先易后难的原则，从楼层弱电间开始梳理线路，等远程教育中心机房相关设备替换成功后，终端计算机就能立即正常访问远程教育网络。梳理楼层弱电间时，首先将那些平时用不到的线缆全部移除，之后根据组网资料对每根正在使用的连接线缆，进行准确定位，同时贴上标签并进行捆带扎线，再将它们沿着墙角或不容易碰到的位置处走线。在对每个楼层弱电间处理后，开始对中心机房里的线缆进行整理，处理步骤同样是先将不用的或无效的线缆移除掉，之后借助音频信号查线仪等外力工具，来查找定位线缆同时贴上标签。这种查线操作其实很简单，可以先将线缆一头插入工具信号源接口，让音频信号发射出来，接着通过探测头，越靠近线缆的位置，探测到的声音会越清晰越大声，这样通过声音就能轻易查找到线缆的另一头。在查线过程中，将那些违规接入的中间小交换机全部清除掉，以防出现网络环路现象，同时也减轻网络维护难度。下面是厂商工程师进场配置参数，在正式配置之前，先了解已有设备的配置参数，同时熟悉单位新的组网拓扑结构，根据单位提出的改造要求，进行有针对性的配置和测试，各项操作都成功后再将防火墙、核心路由器等设备上架接入，同时将远程教育系统的主、备服务器接入到新的教育网络中。至此，就对整个远程教育系统完成了安全改造。

最后总结

这次升级改造主要有三个方面的亮点：一是双核心路由交换机的投入使用，实现了数据转发设备冗余，提高了远程教育网络的运行安全性和稳定性；二是由两台防火墙设备构成的防火墙子系统，重点加强了对远程教育平台两台服务器的核心保护，给其中的数据增加了一层强有力的防护；三是对出口带宽的升级，改善了远程教育系统的访问速度和使用效果。经过一段时间的运行实践，发现远程教育系统的运行安全性得到了极大提升，基本上就没有出现过平台服务器内容被非法修改或其他攻击行为，远程教育内网也很少出现网络故障了。