校园网安全运维问题
典型的校园网不仅包含了路由器、交换机、防火墙、流量控制、负载均衡等网络基础设备,各种服务器和虚拟化平台,还有大量的IT应用系统如邮件系统、OA系统、一卡通系统等。随着信息化的发展,校园网网络规模迅速扩大、应用系统激增,运维工作量和复杂程度越来越大,如何对网络设备和应用系统进行安全管理显得越来越重要。在校园网系统运维和安全管理方面,通常存在如下的问题:
账号管理
一些系统管理员账号唯一,导致多人共用一个账号;一些系统后台管理仅采用明文传输协议,账号密码容易被窃取;一些系统没有密码安全要求,经常被设置为默认密码或者弱密码。网络设备和应用系统的账号管理无序状态给校园网运维带来了潜在风险。
依靠单纯IP的安全策略
通常校园网系统在安全策略和审计方面只靠IP地址,难以将IP地址和操作人员的身份准确关联,采用公共管理员账号的系统显得尤为突出。
访问权限的控制
由于校园网多种网络设备和应用系统的存在,人工的权限分配和管理手段,无法监管和阻止部分运维人员,利用内部运维环境,对无权限的系统进行登录尝试和访问。
本文针对以上问题,提出了一种适用于校园网络环境的、具有账号管理、权限控制和日志审计的安全运维方案。
基于VPN的安全运维方案
虚拟专用网络VPN(Virtual PrivateNetwork)通过在公用网络上建立专用网络,进行加密通讯。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种应用场合,本文所指VPN属于远程接入VPN,即从客户端到网关,使用公网作为骨干网在设备之间传输VPN数据流量。VPN具有透明操作,易于使用的特点,同时可以采用通用服务器和成熟开源软件搭建,适合在校园网中使用。本文提出了一种基于VPN的安全运维方案,其核心步骤
如下所述:
1.定义一个园区网内的专用运维网段,网段的可用IP与运维人员规模相匹配;
2. 搭建VPN网关,将运维网段设为VPN网关的地址分配池;
3. 在VPN网关上为运维人员分配账号,并对账号可访问的目标地址和端口进行权限控制;
4. 对所有的安全敏感的网络设备和应用,仅允许运维网段的访问。VPN网关作为唯一中间跳板,运维人员仅能先登录VPN网关,才能再登录网络设备或服务器;
5. 搭建通用日志服务器,统一收集网络设备、服务器和VPN网关的相关日志,完成基本的审计功能。
图1为基于VPN的校园网安全运维方案的一个示意图。如图1所示,所有运维人员必须通过VPN网关才能访问网络设备和应用系统。下面将具体阐述本文方案的关键步骤。
运维网段
定义一段校园网内使用的私有网段为运维网段,在登录安全敏感的网络设备和服务器上,配置为当且仅当运维网段被允许登录设备的管理端口。具体操作如下:
1.路由器、交换机
对于常见的路由器、交换机、防火墙、流量控制等通用网络设备,可以通过配置ACL将设备的管理登录范围限制在运维网络。下面为CISCO交换机的一个配置示例:
ip access-list standard Management
permit 192.168.0.0 0.0.0.255
deny any
!
line vty 0 4
access-class Management in
login local
其中运维网段为192.168.0.0/24,其余通用网络设备类似。
2.Windows、Linux操作系统
对于Windows、Linux等常见操作系统的服务器,采用操作系统内置的应用将登录范围限制在运维网段,如Windows系统的防火墙入站出站规则,Linux系统的IPTABLES。下面为LinuxIPTABLES的一个配置示例:
[root@email~]# iptables -A INPUT -s 192.168.0.0/24 -p tcp--dport22-jACCEPT
3. 其他应用系统
校园网中包含各类不同的应用系统,如电子邮箱、OA、统一认证服务器等,这些应用系统的后台管理系统一般不直接支持限制IP登录,但通常这些系统集在的校园网内部数据中心,而数据中心网络入口一般配置防火墙。通过定义防火墙的过滤规则,将安全敏感的应用系统的后台登录权限限制在运维网段。以一个后台管理地址为192.168.10.1,访问协议和端口为TCP 12345的应用系统为例,在某防火墙上的配置示例如下:
application tcp12345{
protocol tcp;
destination-port 12345;
}
policy 100{
match {
source-address 192.168.0.0/24;
destination-address 192.168.10.1/32;
application tcp12345;
}
then{
permit;
}
}
policy 101{
match{
source-address any;
destination-address 192.168.10.1/32;
application tcp12345;
}
then {
deny;
}
}
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。