當(dāng)前位置:
首頁>
技術(shù)交流>圖書館網(wǎng)絡(luò)安全規(guī)劃設(shè)計(jì)
圖書館網(wǎng)絡(luò)安全規(guī)劃設(shè)計(jì)
圖書館網(wǎng)絡(luò)的安全問題是一個(gè)系統(tǒng)工程�,從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)中圖書館的網(wǎng)絡(luò)安全體系結(jié)構(gòu)是一種多層次��、多方面�����、立體的安全構(gòu)架,采用TCP/IP協(xié)議進(jìn)行網(wǎng)絡(luò)通信的網(wǎng)絡(luò)����,在網(wǎng)絡(luò)層對(duì)計(jì)算機(jī)通信進(jìn)行安全保護(hù)是業(yè)界流行的安全解決辦法��。
根據(jù)圖書館網(wǎng)絡(luò)的安全需求���,我們?cè)贗nternet接入路由器和核心交換機(jī)之間部署了2臺(tái)千兆級(jí)防火墻�,2臺(tái)防火墻之間采用心跳模塊通過心跳線互為備份,2臺(tái)防火墻各以1條1000M光纖線路與Internet接入路由器聯(lián)接����,該聯(lián)接端口我們?cè)O(shè)置為Outside����,即不可信任區(qū)�。2臺(tái)防火墻各以2條1000M光纖線路與2臺(tái)核心交換機(jī)聯(lián)接����,該聯(lián)接端口我們?cè)O(shè)置為Inside����,即可信任區(qū)����。同時(shí)2臺(tái)防火墻各以1條1000M光纖線路與負(fù)責(zé)接入WEB/MAIL/FTP服務(wù)器的交換機(jī)聯(lián)接���,該聯(lián)接端口我們?cè)O(shè)置為DMZ,即非軍事化管理區(qū)�����。
兩臺(tái)千兆防火墻通過心跳模塊實(shí)現(xiàn)雙機(jī)熱備和負(fù)載均衡功能,通過配置Spanning-tree的參數(shù)���,指定一條鏈路為主鏈路����,另外一條鏈路將自動(dòng)成為備份鏈路。這樣��,當(dāng)主鏈路或主鏈路所連的核心交換機(jī)失敗時(shí)���,交換機(jī)將自動(dòng)啟用備份鏈路���,通過另一臺(tái)核心交換機(jī)訪問。同時(shí),通過配置高級(jí)網(wǎng)絡(luò)技術(shù)��,可以使這一恢復(fù)時(shí)間縮短到3秒內(nèi)�����,用戶根本感覺不到網(wǎng)絡(luò)上的故障和災(zāi)難����。
同時(shí)��,防火墻還提供VPN和NAT功能���,分館用戶或本館工作人員身處外地時(shí),可以通過VPN的方式訪問中心館資源��,而所有在館內(nèi)的工作人員使用私有IP地址經(jīng)過防火墻的地址轉(zhuǎn)換后訪問Internet��。 在讀者區(qū)信息點(diǎn)接入上,我們可以在匯聚層與核心交換機(jī)中間用防火墻進(jìn)行數(shù)據(jù)安全過濾����,以確保數(shù)據(jù)的全安性��。
在圖書館網(wǎng)絡(luò)中主要存在2處網(wǎng)絡(luò)安全隱患最大的地方�,1處是防火墻的DMZ區(qū)域�,主要是來自于外部的攻擊����,另1處是核心交換區(qū)域,主要是來自于內(nèi)部的攻擊����,因此我們?cè)谶@2個(gè)地方都需要部署IDS入侵檢測系統(tǒng)��。
由于一些公共服務(wù)器放置在防火墻的DMZ區(qū)內(nèi),需要被外部Internet用戶訪問��,所以對(duì)安全的要求很高�����,考慮到出口帶寬目前的情況�����,因此我們?cè)诜阑饓Φ腄MZ區(qū)域接入一臺(tái)百兆級(jí)IDS傳感器�����,由于入侵檢測系統(tǒng)需要與防火墻進(jìn)行聯(lián)動(dòng),因此將IDS的聯(lián)動(dòng)端口與核心交換機(jī)進(jìn)行聯(lián)接���,就可以對(duì)防火墻進(jìn)行聯(lián)動(dòng)配置����。
為了防止來自內(nèi)部的攻擊,考慮到內(nèi)部數(shù)據(jù)流的高帶寬����,因此我們?cè)诤诵慕粨Q機(jī)區(qū)域部署一臺(tái)千兆級(jí)IDS傳感器���。該傳感器由于不需要與防火墻進(jìn)行聯(lián)動(dòng)�����,所以只需要將偵聽端口以千兆以太網(wǎng)線路與1臺(tái)核心交換機(jī)聯(lián)接����,而聯(lián)動(dòng)端口也可以設(shè)置為備份的偵聽端口與另1臺(tái)核心交換機(jī)聯(lián)接即可���。與一臺(tái)核心交換機(jī)出現(xiàn)故障時(shí)���,按照網(wǎng)絡(luò)設(shè)計(jì)的思路��,整個(gè)網(wǎng)絡(luò)會(huì)正常運(yùn)轉(zhuǎn),這時(shí)備份的IDS偵聽線路就可以繼續(xù)捕抓����、分析核心交換機(jī)區(qū)域內(nèi)的數(shù)據(jù)包�。部署在核心交換區(qū)域的IDS傳感器負(fù)責(zé)對(duì)核心交換區(qū)域內(nèi)的數(shù)據(jù)進(jìn)行實(shí)時(shí)的捕抓和分析�,并通過IDS控制臺(tái)向網(wǎng)絡(luò)管理人員報(bào)警���。
通過IDS的控制鏈路�,我們通過一臺(tái)服務(wù)器對(duì)IDS傳感器進(jìn)行管理控制�,該鏈路屬于私有鏈路�,且這一臺(tái)服務(wù)器可以對(duì)2臺(tái)IDS傳感器同時(shí)進(jìn)行管理。
