论文部分内容阅读
摘 要: 探讨校园网络的服务架构、安全防护,以及采用虚拟技术实施相关方案的实现技术,并在实践中验证通过。
关键词: 虚拟机;网络安全;VMware;域模式
中图分类号:TP306 文献标识码:A 文章编号:1671-7597(2012)0310126-02
校园网络包含了校园网服务器和师生工作站。校园网服务器主要有Web服务器、邮件服务器、FTP服务器等,若这些服务器受到攻击,可能会造成用户无法正常访问、用户信息丢失、垃圾邮件泛滥等情况。师生工作站是师生日常教学、实验、工作、休闲的基本设施,若师生网络安全意识不强,可能会面临摄像头自动打开,被网络另一端的黑客所窥探;隐私泄露;QQ密码、银行帐号密码证书被盗;计算机运行变慢;文件被删;无法上网等危险。
若对校园网络进行了网络服务及安全方案的重新规划,在实施前需做一定的测试,为不影响校园网络的正常运行,方案可先由虚拟机进行模拟,等稳定后再在真实系统中进行迁移实施。虚拟机拥有自己的虚拟硬件,在此基础上可自由的安装所有能在真机使用的软件,如操作系统、数据库、应用程序等。在同一台真机上,可运行多个虚拟机,这些虚拟机之间、虚拟机与真机之间,可以通过虚拟网络进行互联。常见的虚拟机软件有Virtual PC、VMware workstation、QEMU等。
本文以VMware为例,利用它模拟实现校园网络的服务架构及安全防护。VMware具有很多优点:它允许在同一台真机上虚拟出多台计算机或服务器,这些虚拟机之间可互联;虚拟机与真机间既可互联,又可完全隔绝。在面临病毒、木马等可能对真机造成危害的等研究时,虚拟机与真机可设置为完全隔绝,保护真机系统不受破坏。VMware的快照功能可保存多个研究场景,并随时调出。不同场景间可快速切换,从而避免了用真机系统进行研究时因失误而需耗时重新搭建场景等情况,加快科研进展。另外,VMware的链接克隆功能,可迅速生成一个同类的虚拟机,不但克隆速度快,而且还能节省70%左右的存储空间。
1 整体规划
随着校园网络计算机和用户的增多,为了实现高效管理和提高安全性,决定将由原来的工作组模式升级为域模式。域模式相对于工作组有很多优势,它采用了活动目录集中组织管理用户账户、组、共享文件夹、打印机等网络资源,活动目录允许用户一次登录就可以访问网络中的所有该用户有权限访问的资源;域环境下,管理员可方便设置整个域的组策略及其继承性,对不同部门创建OU并采取不同的策略,设置用户可访问的资源、可执行的操作;管理员还可建立委派账号减少域管理员账户的使用,增强了安全性。
1.1 规划校园网络的服务
除了各系部客户机外,从服务的角度看,校园内网应提供域控、额外域控制器、DHCP服务器、Web及FTP服务器、临时域控制器等。
1.2 校园网络的安全防护
1)除了安装杀毒软件,及时升级病毒库外,还要解决校园网内部经常会受到不明身份用户连接等问题。采用ISA服务器作为边缘防火墙连接企业内部和外部网络,通过设置防火墙策略,可拒绝外部用户访问内部网络,可允许使内部用户访问外网Web站点,还可使用身份验证、IP地址限制等来禁止某些内部用户访问外网。
2)内部用户通过代理上网,可设置缓存加快对企业外网的访问。
3)通过发布服务器,让外网用户能浏览校园网网站。
4)校园网还会遭受来自内部的攻击或外部绕过防火墙的攻击,可利用Snort构建校园入侵检测系统系统。
2 具体实施
2.1 服务器部署与实施
1)在两台真机上准备10台虚拟机,充分利用硬件资源。
10台虚拟机分别模拟:域控制器DC1、额外域控制器DC2、DHCP服务器、Web及FTP服务器、校企合作临时域控制器XiaoDC、入侵检测系统Snort(以上设为内网1网段)、各系部客户机(用某系一台作代表,设为内网2网段)、ISA防火墙(用一台安装双网卡的虚拟机模拟,一块网卡连接内网3网段,另一块网卡连接外网)、路由器(用一台安装三块网卡的虚拟机模拟,并在路由器相应接口上配置DHCP中继代理)、外网Web服务器(连接防火墙的外网网卡)。10台虚拟机平均分配到两台真机,每台真机搭建5台虚拟机。为实现互联,路由器、2网段客户机、ISA防火墙、外网Web服务器必须在同一台真机上架设,再外加一台1网段入侵检测系统Snort;其余五台1 网段虚拟机架设在另一台真机上,1网段的网卡分列于两台真机间,因此需要将它们设置为连接到VMnet0;2网段客户机及相连路由器的网卡设为连接到VMnet2;3网段客户机及相连路由器的网卡设为连接到VMnet3。
2)为一台虚拟机安装三块网卡,将其设置为路由器。
网卡分别连接1、2、3网段,设置为连接到vmnet0、vmnet2、vmnet3,IP设为:192.168.1.1、192.168.2.1、192.168.3.1,并在路由器相应接口上配置DHCP中继代理。
3)安装第一台域控制器DC1和额外域控制器DC2,连接到VMnet0。
① DC1兼做DNS服务器,域名为:lcvc.cn,IP设为192.168.1.2,DC2 IP设为192.168.1.3。
② 按部门划分OU:信息工程系、科研处、学工处、人事处、图书馆等,在各部门的OU中分别为该部门员工创建用户账户,为每个部门创建全局组。
4)搭建新林中的域xiaoqi.cn,域控制器XiaoDC兼DNS服务器,连接到VMnet0。IP设为192.168.1.11。
建立域xiaoqi.cn与域lcvc.cn信任关系。使用AGDLP规则,使信息工程系的员工账户能访问域xiaoqi.cn中的共享文件夹和共享打印机。
5)安装IIS成员服务器(含Web服务和FTP服务),连接到VMnet0。IP设为:192.168.1.4。
① Web站点www.lcvc.cn,站点根目录为c:web lcvcwww。
② FTP服务器要求使用隔离用户方式,FTP根目录为d:web,匿名用户可访问目录d:weblocaluserpublic,域用户www可以上传网页到d:web lcvcwww,给网站分配的空间为200G。
6)安装DHCP服务器,连接到VMnet0。
IP设为192.168.1.5。将DHCP服务器添加为lcvc域的成员服务器,使用活动目录服务授权DHCP服务器,建立作用域并激活。
7)用虚拟机创建2网段客户机,连接到VMnet2。设置客户机自动获取IP地址。将其加入域lcvc.cn。用信息工程系员工帐户在客户机上登录。实现
① 通过网络方式访问共享文件夹和共享打印机。
② 使用IE浏览器,访问http://www.lcvc.cn。
③ 使用IE浏览器,用信息工程系员工帐户登录访问ftp://ftp.lcvc.cn。
2.2 校园网络安全防护的部署与实施
1)为各服务器及客户机安装杀毒软件,并自动更新病毒库。
2)安装防火墙。
① 创建双网卡虚拟机。内网网卡IP设为192.168.3.2、连接到VMnet3,外网网卡IP设为202.103.225.1,连接到VMnet4。
② 创建外网Web服务器,IP设为202.103.225.2,连接到VMnet4。
③ 在双网卡虚拟机上同时安装ISA服务器服务和配置存储服务器。安装完成后,根据防火墙的默认配置。防火墙能ping通内外网计算机,但内外网计算机都不能Ping通防火墙。
3)通过设置防火墙策略,允许内网用户访问外网Web站点。
在ISA防火墙上,打开“ISA Server服务器管理”,单击“阵列”/“防火墙策略”,“新建”/“访问规则”,允许“本地主机”和“内部”网络访问“外部”网络。此时,通过设置内网计算机IE浏览器的“Internet选项”,启用代理服务器指向防火墙后,在IE浏览器输入http://防火墙的IP地址,能访问到外网的Web站点。
4)通过设置防火墙策略,还可使用身份验证、IP地址限制来禁止某些内部用户访问外网。
5)通过缓存加快对企业外网的访问。
6)通过发布服务器,让外网用户能浏览www.lcvc.cn校园网网站。
7)利用入侵检测系统Snort构建企业IDS系统。
由于防火墙只能象门卫一样,流经它的流量它才会检查,若是来自内部的攻击,它就无能为力了。另外,正如小偷可避开大门,从漏洞潜入一样,黑客也可能会绕开防火墙,对内部发出攻击。因此,人们在建筑物死角等关键的地方,会装上摄像头,对这些地方进行实时监控,网络安全中的摄像头,就是入侵检测系统。
入侵检测系统通过对网络中的关键点进行信息的收集和分析,查找网络中是否有违反安全策略的行为、判断是否存在被攻击的迹象。Snort是一个轻量的网络入侵检测系统。我们将Snort布署在防火墙的内侧,分别对各网段进行入侵检测,这里以布署在服务器所在1网段为例,安装Snort虚拟机,IP地址设为:192.168.1.6,域名设为:winids,连接到1网段的镜像端口上。整个入侵检测系统的安装主要涉及WinPcap的安装、Snort的安装、将Snort配置为系统服务、安装Apache Web Server、安装并配置PHP、安装和配置MySQL、生成Snort数据库、生成Snort数据库表、生成数据库访问和授权用户、安装ADODB、安装和配置WinIDS BASE安全控制台。安装完成后,可以在内网的任一台计算机上输入http://winids/base,输入用户名:base,以及所设密码,可以访问到Snort的BASE安全控制台,对系统进行监控管理。
虚拟技术的应用使得科研的门槛得以降低,使原来因设备不足、真实网络不能中断等客观条件的限制得以缓解,设备得以充分的利用。校园网络的服务架构及安全防护既是一个系统工程,也是一个不断发展变化的过程。将虚拟技术与校园网络服务与安全的研究与实施结合起来,将会有效推动校园网络不断的完善与发展。
基金项目:本文系2011年度广西教育厅科研项目立项项目《基于虚拟化技术的校园网络安全研究》的研究成果之一,课题编号:201106LX821。
参考文献:
[1]徐祇祥,windows网络服务,科学技术文献出版社,2007.
[2]信息网络安全知识,http://gdy.gdmc.edu.cn/wlzx/wanglanq/.
[3]Snort(入侵检测系统)中文手册,http://www.enet.com.cn/.
作者简介:
秦燊(1972-),男,广西省灵川人,硕士,讲师,柳州城市职业学院信息工程系,研究方向:网络安全、计算机教育;劳翠金(1972-),女,广西省南宁人,硕士,讲师,柳州城市职业学院信息工程系,研究方向:网络安全、计算机教育。
关键词: 虚拟机;网络安全;VMware;域模式
中图分类号:TP306 文献标识码:A 文章编号:1671-7597(2012)0310126-02
校园网络包含了校园网服务器和师生工作站。校园网服务器主要有Web服务器、邮件服务器、FTP服务器等,若这些服务器受到攻击,可能会造成用户无法正常访问、用户信息丢失、垃圾邮件泛滥等情况。师生工作站是师生日常教学、实验、工作、休闲的基本设施,若师生网络安全意识不强,可能会面临摄像头自动打开,被网络另一端的黑客所窥探;隐私泄露;QQ密码、银行帐号密码证书被盗;计算机运行变慢;文件被删;无法上网等危险。
若对校园网络进行了网络服务及安全方案的重新规划,在实施前需做一定的测试,为不影响校园网络的正常运行,方案可先由虚拟机进行模拟,等稳定后再在真实系统中进行迁移实施。虚拟机拥有自己的虚拟硬件,在此基础上可自由的安装所有能在真机使用的软件,如操作系统、数据库、应用程序等。在同一台真机上,可运行多个虚拟机,这些虚拟机之间、虚拟机与真机之间,可以通过虚拟网络进行互联。常见的虚拟机软件有Virtual PC、VMware workstation、QEMU等。
本文以VMware为例,利用它模拟实现校园网络的服务架构及安全防护。VMware具有很多优点:它允许在同一台真机上虚拟出多台计算机或服务器,这些虚拟机之间可互联;虚拟机与真机间既可互联,又可完全隔绝。在面临病毒、木马等可能对真机造成危害的等研究时,虚拟机与真机可设置为完全隔绝,保护真机系统不受破坏。VMware的快照功能可保存多个研究场景,并随时调出。不同场景间可快速切换,从而避免了用真机系统进行研究时因失误而需耗时重新搭建场景等情况,加快科研进展。另外,VMware的链接克隆功能,可迅速生成一个同类的虚拟机,不但克隆速度快,而且还能节省70%左右的存储空间。
1 整体规划
随着校园网络计算机和用户的增多,为了实现高效管理和提高安全性,决定将由原来的工作组模式升级为域模式。域模式相对于工作组有很多优势,它采用了活动目录集中组织管理用户账户、组、共享文件夹、打印机等网络资源,活动目录允许用户一次登录就可以访问网络中的所有该用户有权限访问的资源;域环境下,管理员可方便设置整个域的组策略及其继承性,对不同部门创建OU并采取不同的策略,设置用户可访问的资源、可执行的操作;管理员还可建立委派账号减少域管理员账户的使用,增强了安全性。
1.1 规划校园网络的服务
除了各系部客户机外,从服务的角度看,校园内网应提供域控、额外域控制器、DHCP服务器、Web及FTP服务器、临时域控制器等。
1.2 校园网络的安全防护
1)除了安装杀毒软件,及时升级病毒库外,还要解决校园网内部经常会受到不明身份用户连接等问题。采用ISA服务器作为边缘防火墙连接企业内部和外部网络,通过设置防火墙策略,可拒绝外部用户访问内部网络,可允许使内部用户访问外网Web站点,还可使用身份验证、IP地址限制等来禁止某些内部用户访问外网。
2)内部用户通过代理上网,可设置缓存加快对企业外网的访问。
3)通过发布服务器,让外网用户能浏览校园网网站。
4)校园网还会遭受来自内部的攻击或外部绕过防火墙的攻击,可利用Snort构建校园入侵检测系统系统。
2 具体实施
2.1 服务器部署与实施
1)在两台真机上准备10台虚拟机,充分利用硬件资源。
10台虚拟机分别模拟:域控制器DC1、额外域控制器DC2、DHCP服务器、Web及FTP服务器、校企合作临时域控制器XiaoDC、入侵检测系统Snort(以上设为内网1网段)、各系部客户机(用某系一台作代表,设为内网2网段)、ISA防火墙(用一台安装双网卡的虚拟机模拟,一块网卡连接内网3网段,另一块网卡连接外网)、路由器(用一台安装三块网卡的虚拟机模拟,并在路由器相应接口上配置DHCP中继代理)、外网Web服务器(连接防火墙的外网网卡)。10台虚拟机平均分配到两台真机,每台真机搭建5台虚拟机。为实现互联,路由器、2网段客户机、ISA防火墙、外网Web服务器必须在同一台真机上架设,再外加一台1网段入侵检测系统Snort;其余五台1 网段虚拟机架设在另一台真机上,1网段的网卡分列于两台真机间,因此需要将它们设置为连接到VMnet0;2网段客户机及相连路由器的网卡设为连接到VMnet2;3网段客户机及相连路由器的网卡设为连接到VMnet3。
2)为一台虚拟机安装三块网卡,将其设置为路由器。
网卡分别连接1、2、3网段,设置为连接到vmnet0、vmnet2、vmnet3,IP设为:192.168.1.1、192.168.2.1、192.168.3.1,并在路由器相应接口上配置DHCP中继代理。
3)安装第一台域控制器DC1和额外域控制器DC2,连接到VMnet0。
① DC1兼做DNS服务器,域名为:lcvc.cn,IP设为192.168.1.2,DC2 IP设为192.168.1.3。
② 按部门划分OU:信息工程系、科研处、学工处、人事处、图书馆等,在各部门的OU中分别为该部门员工创建用户账户,为每个部门创建全局组。
4)搭建新林中的域xiaoqi.cn,域控制器XiaoDC兼DNS服务器,连接到VMnet0。IP设为192.168.1.11。
建立域xiaoqi.cn与域lcvc.cn信任关系。使用AGDLP规则,使信息工程系的员工账户能访问域xiaoqi.cn中的共享文件夹和共享打印机。
5)安装IIS成员服务器(含Web服务和FTP服务),连接到VMnet0。IP设为:192.168.1.4。
① Web站点www.lcvc.cn,站点根目录为c:web lcvcwww。
② FTP服务器要求使用隔离用户方式,FTP根目录为d:web,匿名用户可访问目录d:weblocaluserpublic,域用户www可以上传网页到d:web lcvcwww,给网站分配的空间为200G。
6)安装DHCP服务器,连接到VMnet0。
IP设为192.168.1.5。将DHCP服务器添加为lcvc域的成员服务器,使用活动目录服务授权DHCP服务器,建立作用域并激活。
7)用虚拟机创建2网段客户机,连接到VMnet2。设置客户机自动获取IP地址。将其加入域lcvc.cn。用信息工程系员工帐户在客户机上登录。实现
① 通过网络方式访问共享文件夹和共享打印机。
② 使用IE浏览器,访问http://www.lcvc.cn。
③ 使用IE浏览器,用信息工程系员工帐户登录访问ftp://ftp.lcvc.cn。
2.2 校园网络安全防护的部署与实施
1)为各服务器及客户机安装杀毒软件,并自动更新病毒库。
2)安装防火墙。
① 创建双网卡虚拟机。内网网卡IP设为192.168.3.2、连接到VMnet3,外网网卡IP设为202.103.225.1,连接到VMnet4。
② 创建外网Web服务器,IP设为202.103.225.2,连接到VMnet4。
③ 在双网卡虚拟机上同时安装ISA服务器服务和配置存储服务器。安装完成后,根据防火墙的默认配置。防火墙能ping通内外网计算机,但内外网计算机都不能Ping通防火墙。
3)通过设置防火墙策略,允许内网用户访问外网Web站点。
在ISA防火墙上,打开“ISA Server服务器管理”,单击“阵列”/“防火墙策略”,“新建”/“访问规则”,允许“本地主机”和“内部”网络访问“外部”网络。此时,通过设置内网计算机IE浏览器的“Internet选项”,启用代理服务器指向防火墙后,在IE浏览器输入http://防火墙的IP地址,能访问到外网的Web站点。
4)通过设置防火墙策略,还可使用身份验证、IP地址限制来禁止某些内部用户访问外网。
5)通过缓存加快对企业外网的访问。
6)通过发布服务器,让外网用户能浏览www.lcvc.cn校园网网站。
7)利用入侵检测系统Snort构建企业IDS系统。
由于防火墙只能象门卫一样,流经它的流量它才会检查,若是来自内部的攻击,它就无能为力了。另外,正如小偷可避开大门,从漏洞潜入一样,黑客也可能会绕开防火墙,对内部发出攻击。因此,人们在建筑物死角等关键的地方,会装上摄像头,对这些地方进行实时监控,网络安全中的摄像头,就是入侵检测系统。
入侵检测系统通过对网络中的关键点进行信息的收集和分析,查找网络中是否有违反安全策略的行为、判断是否存在被攻击的迹象。Snort是一个轻量的网络入侵检测系统。我们将Snort布署在防火墙的内侧,分别对各网段进行入侵检测,这里以布署在服务器所在1网段为例,安装Snort虚拟机,IP地址设为:192.168.1.6,域名设为:winids,连接到1网段的镜像端口上。整个入侵检测系统的安装主要涉及WinPcap的安装、Snort的安装、将Snort配置为系统服务、安装Apache Web Server、安装并配置PHP、安装和配置MySQL、生成Snort数据库、生成Snort数据库表、生成数据库访问和授权用户、安装ADODB、安装和配置WinIDS BASE安全控制台。安装完成后,可以在内网的任一台计算机上输入http://winids/base,输入用户名:base,以及所设密码,可以访问到Snort的BASE安全控制台,对系统进行监控管理。
虚拟技术的应用使得科研的门槛得以降低,使原来因设备不足、真实网络不能中断等客观条件的限制得以缓解,设备得以充分的利用。校园网络的服务架构及安全防护既是一个系统工程,也是一个不断发展变化的过程。将虚拟技术与校园网络服务与安全的研究与实施结合起来,将会有效推动校园网络不断的完善与发展。
基金项目:本文系2011年度广西教育厅科研项目立项项目《基于虚拟化技术的校园网络安全研究》的研究成果之一,课题编号:201106LX821。
参考文献:
[1]徐祇祥,windows网络服务,科学技术文献出版社,2007.
[2]信息网络安全知识,http://gdy.gdmc.edu.cn/wlzx/wanglanq/.
[3]Snort(入侵检测系统)中文手册,http://www.enet.com.cn/.
作者简介:
秦燊(1972-),男,广西省灵川人,硕士,讲师,柳州城市职业学院信息工程系,研究方向:网络安全、计算机教育;劳翠金(1972-),女,广西省南宁人,硕士,讲师,柳州城市职业学院信息工程系,研究方向:网络安全、计算机教育。