分网段增强网段“壁垒”的思想较为简单,为了让大家更好理解,在此作简单的阐述。
1、把原来的按地理情况分网段改按功能分网段,在设备的支持下改以物理连接控制为逻辑连接控制。
2、利用设备所能提供的三层交换和VLAN功能加强防火墙实力。
3、改IDS为IPS从根本上可以预防攻击的来临,同时启用设备自带的安全功能加强安全防护。
寻求主动优势
以上就是分网段加强壁垒的思想。在人员得到锻炼从而增强自身技术实力和硬件设备得到加强的基础上,我们对学校校园网的安全做了更大胆的改进。我们变被动防守为主动防守,在相关法律的允许下学校做了大量尝试。
首先,学校建立了自由网络攻击区域对学生们开放,学生可以自由对此区域的机器发起攻击,使得学生们有了攻击的目标。既锻炼了学生们的攻防能力又减少了校园网的内部攻击,一举两得。
其次,学校建立了诱攻区,转移来自外网对学校主服务器的攻击方向。通过改变主服务器的配置,使得来自网外针对服务器的攻击转入诱攻区。而且学校在诱攻区内实施了网络陷阱等多种安全设置使得攻击者徒劳无功,保护了主服务器的安全。
再次,学校对相关服务器提供的服务都实施了虚拟化,使得即使虚拟机被攻陷,主要数据和服务仍然可以很快得以恢复。
同时,学校培养了攻击捕获手,针对攻击展开了针锋相对的网络捕获。这样学校对违法攻击就可以追查到具体的攻击IP,为学校从法律角度维护网络安全提供事实依据。
学校还建立了补丁服务器,对所有软件的补丁统一管理,对各区域的机器统一升级,使全校计算机针对各种漏洞的补丁达到了最快速度的处理。全范围的实现防止漏洞攻击,解决了补丁升级不一致导致的安全问题。
在经过以上3个阶段的网络安全策略实施之后,我们经过近一年的实践和数据统计发现整体网络安全有了本质的提高。大范围的网络安全事故基本没有出现,相关攻击大大减少。
期待更进一步
我们在实验过程中也发现了相关的问题:
1、由于防火墙的设置导致不同区域网络互访速度下降。
2、由于主防火墙和子防火墙在安全策略上的设置问题导致有些区域的有关网络功能实施困难。
3、由于负责安全的人员比较多,增加了网络安全的密码风险。
针对以上三个问题我们做了相应的改进。速度和安全很难兼顾,所以只有通过更新设备、增大容量来从本质上提高速度。针对主防火墙和子防火墙策略冲突问题,采取了由紧到松的逐步放开的策略,即先关闭相应功能,然后根据具体区域的网络需求经过配置实践后再逐一打开相关功能。这样教师微机网络的网络游戏问题也得到了一定控制。针对密码风险的问题,加强了人员思想培训和密码分发更新制度,基本解决了无意泄密的问题。