基于ROS的高校图书馆服务器网络安全策略研究

石晓东

SHI Xiao-dong

（平顶山学院 图书馆，平顶山 467000）

基于ROS的高校图书馆服务器网络安全策略研究

Security policy researches of the university library’s network based by ROS

石晓东

SHI Xiao-dong

（平顶山学院 图书馆，平顶山 467000）

本文以平顶山学院图书馆为例，研究了如何利用基于Router OS的端口映射和防火墙策略以保障图书馆服务器的网络安全。实践表明，该策略不但可以节约安全成本，而且可以有效的屏蔽对服务器的恶意攻击，保障服务器数据的安全，弥补了VPN技术的不足。

Router OS; 网络安全; 端口映射; 防火墙

0 引言

网络安全问题素来是高校图书馆的重中之重，为了解决这一问题，一些有实力的高校图书馆不得不投入大量的资金，购置了昂贵的硬件防火墙以及热备份系统等，以保证系统在遭到网络攻击后能最大限度的保证数据的安全并及时恢复正常工作。但是对于许多的普通的本专科院校而言，并没有如此充足的财力购买这些设备，如何花最少的钱，最大限度的保证图书馆服务器的安全呢？本文以平顶山学院图书馆为例，研究了如何利用ROS的端口映射和防火墙策略来保护图书馆的网络安全。

1 Router OS系统简介

1.1 什么是RouterOS

RouterOS全称为MikroTik RouterOS，是一种软路由系统，并通过该软件将标准的PC电脑变成专用的路由器，特别在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能[1]。与其他体积庞大的路由系统来说，RouterOS不但在功能上毫不逊色，而且还具有体积小巧（整个系统不过20兆），资源占用率极低，即使在奔腾III的计算机上也可以游刃有余的顺利运行。同硬路由系统相比，RouterOS具有运行配置需求低、投资低廉、扩展灵活等优点。

1.2 Router OS的优点

1）基于linux微内核，具有较高的安全性；

2）体积小巧，安装后只有20多兆；

3）占用资源率低，即使586级别的普通主机，也可以快速运行；

4）功能丰富，支持多网卡桥接，软件路由以及强大的防火墙策略等多项功能；

2 平顶山学院图书馆网络安全策略简介

在网络安全上，平顶山学院图书馆最初采用的是基于VPN的安全策略：这个策略需要开启Router OS的PPTP服务、配置VPN服务器并为每台桌面客户端设置VPN登陆密码，在使用过程中，该方案较好的保证了图书馆数据库服务器的安全，但是也发现了一些不足之处。

2.1 维护不便

首先，客户端维护不方便。为了允许图书馆的几十台工作机访问服务器，需要为每一台机器配置VPN的登录账户和密码，而且考虑到安全因素，这些账户和密码都要不定期的修改，无疑增加了网络管理人员的工作负担。

其次，服务器数据备份不便，在实践中，笔者发现VPN方式，无法实现远程镜像备份机正常执行备份任务。

2.2 多台服务器的配置策略复杂，且不便于访问

平顶山学院图书馆有两台服务器，一台是办公自动化系统的数据库服务器，一台为图书馆的WEB服务器。WEB服务器不但担负着图书馆网络服务窗口的任务，还运行着图书馆的WEB Office软件，同时还是数据库服务器的备份服务器。如何使WEB Office服务和数据备份任务只对图书馆的员工开放，如何使数据备份任务只对备份服务器开放，如何防止外网IP访问内部服务，配置起来是很棘手的问题，而且，每增加一台服务器，都要修改相关的很多配置项目，管理起来十分麻烦。

2.3 安全性存在瑕疵

再复杂的服务器设置，有时候也会有疏漏。尤其是在网络环境下，工作机众多，任何一台工作机如果在安全上存在问题，都会成为木桶效应中的那块短板。在图书馆，很多员工的计算机安全意识薄弱，因此客户端计算机被注入木马病毒的情况并不鲜见。此时，VPN登录的密码就会变得形同虚设，木马病毒不但可以获悉VPN密码，而且还可以利用VPN网络连接，直接非法访问图书馆的服务器资源，其严重性可想而知。

3 基于ROS的网络安全策略的配置

3.1 平顶山学院图书馆的网络拓扑

平顶山学院分为东西两个校区，因此图书馆也被分割为东西两个分部，中心机房设备位于东校区图书馆，西校区的工作站通过校园网连接图书馆的中心交换机，进而实现与图书馆局域网的互联互通。具体网络拓扑图见图1.

虽然客户端和服务器在物理上存在着实连接，但是客户端并不能直接访问图书馆的数据库服务器和WEB服务器，客户端只允许访问图书馆的网关服务器，然后数据的双向传输有网关服务器完成，具体而言，就是用到了端口映射技术。

图1 平顶山学院图书馆网络拓扑图

3.2 端口映射技术简介

端口映射是将一台主机IP地址的某个端口映射到另外一个IP地址的某个端口上，当用户访问提供映射端口的主机的该端口时，服务器自动将请求转到提供这种特定服务的主机。端口映射可以让内部网络中某台机器对外部提供服务，而不是将真实IP地址直接转到内部提供服务的主机。将真实IP地址直接转到内部提供服务的主机有两个弊端：一是外部网络可以通过地址转换功能访问到这台机器，内部机器不安全；二是当有多台机器需要提供这种服务时，必须有同样多的IP地址进行转换，达不到节省IP地址的目的[2]。

利用端口映射功能还可以将一台真IP地址机器的多个端口映射成内部不同机器上的不同端口.端口映射功能还可以完成一些特定代理功能，如代理POP，SMTP，TELNET等协议。

3.3 给予端口映射和防火墙的安全配置示例

3.3.1 端口映射的配置

采用端口映射的目的就是为了在能正常提供网络服务的情况下隐藏内部的网络服务器，从而达到一定的网络安全效果。因此，对端口映射的配置其实就是对图1中网关服务器的配置。

如拓扑图1所示，网关服务器是一个具备双网卡和双独立IP的普通PC机（RouterOS具有低配置要求的优点），内网接口IP连接到图书馆局域网交换机上，负责和局域网的服务器通信。外网接口IP则负责接收各个工作站或客户端对主机的访问请求，并把数据转发给内网的相应服务器主机。为了实现这个功能，我们首先要设置路由,将针对内网的数据访问包转发给内网的IP接口。（以我馆的服务器内网IP为10.10.0.1，外网IP为211.69.*.*，要映射的服务为10.10.0.3服务器的WEB服务为例）。方法如下：

登录ROS（RouterOS）客户端工具Winbox，选择IP->Routers，在出现的路由表中点选+号增加一条路由，设置Destination为内网的网络段，Pref.Source为服务器的内网IP，接口为内网网卡名即可，如图2所示。

然后增加一条端口映射，打开Winbox的终端窗口，输入端口映射命令：

add chain=dstnat dst-address=211.69.*.* protocol=tcp dst-port=80 action=dst-nat to-addresses=10.10.0.3 toports=80comment=”” disabled=no

完成后，对211.69.*.*主机80端口的访问，就会被主机映射为对10.10.0.2主机80端口的访问。以上映射也可以在Windox中以窗口交互的方式添加，方法为：点选IP->Firewall->添加NAT，Chain设置为dstnat，Dst.Address设置为211.69.*.*；protocol设置为6(tcp),Dst.Port设置为80，Action选项卡的Action设置为Dstnat，To Address设置为10.10.0.3，to ports设置为80。到此配置完成[3]。

图2 内网路由设置

其他服务器服务端口的映射方法相同，本文略。

3.3.2 防火墙的配置

防火墙的配置较为复杂，尽管Router具备强大的防火墙功能，但是鉴于笔者对软件的运用水平等因素，笔者只采用了以下策略：

1）IP过滤策略

本策略主要限制非法IP对指定端口的访问，比如非图书馆工作站IP不得访问网关服务器的1433端口（此端口通常为SQL server数据库服务器的服务端口）。这条规则的设置并不难，只需要管理员掌握本单位的IP分布段即可。

2）ARP绑定策略

设置这条规则的目的是为了防范内部网络的ARP攻击，以免内部网络某台计算机在受到ARP病毒感染后冒充网关服务器，引起网络故障。关于ARP绑定的设置，限于篇幅和本文的讨论重点，此处不予讨论，读者可以参考网上的相关资料。

4 结论

实践中，笔者发现机遇端口映射和防火墙机制的网络，除具有较高的安全性外，在维护上也方便不少。以上为平顶山学院图书馆的网络安全策略，限于笔者个人水平，其中难免有不足之处，在此抛砖引玉，希望得到各位专家斧正。

[1] MikroTik RouterOS介绍[EB/OL]. (2007-09-04)[2009-07-15]. http： //www.mikrotik. com. cn/.

[2] 傅丰,徐洪章.端口映射的分析与应用.2006.

[3] winbox端口映射[EB/OL].(2008-06-10)[2009-08-21].http：//hi.baidu.com/bluefire_h/blog/item/710fcb19544305bc4ae dbc3e.html.

TP393

B

1009-0134(2010)09-0212-03

10.3969/j.issn.1009-0134.2010.09.65

2010-05-15

石晓东（1971 -），女，河南平顶山人，中级馆员，本科，研究方向为数字图书馆。