图书馆网络的安全问题是一个系统工程,从网络结构设计中图书馆的网络安全体系结构是一种多层次、多方面、立体的安全构架,采用TCP/IP协议进行网络通信的网络,在网络层对计算机通信进行安全保护是业界流行的安全解决办法。
根据图书馆网络的安全需求,我们在Internet接入路由器和核心交换机之间部署了2台千兆级防火墙,2台防火墙之间采用心跳模块通过心跳线互为备份,2台防火墙各以1条1000M光纤线路与Internet接入路由器联接,该联接端口我们设置为Outside,即不可信任区。2台防火墙各以2条1000M光纤线路与2台核心交换机联接,该联接端口我们设置为Inside,即可信任区。同时2台防火墙各以1条1000M光纤线路与负责接入WEB/MAIL/FTP服务器的交换机联接,该联接端口我们设置为DMZ,即非军事化管理区。
两台千兆防火墙通过心跳模块实现双机热备和负载均衡功能,通过配置Spanning-tree的参数,指定一条链路为主链路,另外一条链路将自动成为备份链路。这样,当主链路或主链路所连的核心交换机失败时,交换机将自动启用备份链路,通过另一台核心交换机访问。同时,通过配置高级网络技术,可以使这一恢复时间缩短到3秒内,用户根本感觉不到网络上的故障和灾难。
同时,防火墙还提供VPN和NAT功能,分馆用户或本馆工作人员身处外地时,可以通过VPN的方式访问中心馆资源,而所有在馆内的工作人员使用私有IP地址经过防火墙的地址转换后访问Internet。 在读者区信息点接入上,我们可以在汇聚层与核心交换机中间用防火墙进行数据安全过滤,以确保数据的全安性。
在图书馆网络中主要存在2处网络安全隐患最大的地方,1处是防火墙的DMZ区域,主要是来自于外部的攻击,另1处是核心交换区域,主要是来自于内部的攻击,因此我们在这2个地方都需要部署IDS入侵检测系统。
由于一些公共服务器放置在防火墙的DMZ区内,需要被外部Internet用户访问,所以对安全的要求很高,考虑到出口带宽目前的情况,因此我们在防火墙的DMZ区域接入一台百兆级IDS传感器,由于入侵检测系统需要与防火墙进行联动,因此将IDS的联动端口与核心交换机进行联接,就可以对防火墙进行联动配置。
为了防止来自内部的攻击,考虑到内部数据流的高带宽,因此我们在核心交换机区域部署一台千兆级IDS传感器。该传感器由于不需要与防火墙进行联动,所以只需要将侦听端口以千兆以太网线路与1台核心交换机联接,而联动端口也可以设置为备份的侦听端口与另1台核心交换机联接即可。与一台核心交换机出现故障时,按照网络设计的思路,整个网络会正常运转,这时备份的IDS侦听线路就可以继续捕抓、分析核心交换机区域内的数据包。部署在核心交换区域的IDS传感器负责对核心交换区域内的数据进行实时的捕抓和分析,并通过IDS控制台向网络管理人员报警。
通过IDS的控制链路,我们通过一台服务器对IDS传感器进行管理控制,该链路属于私有链路,且这一台服务器可以对2台IDS传感器同时进行管理。
