利用NAT技術(shù)構(gòu)筑校園網(wǎng)服務(wù)器的安全防線

1、利用NAT技術(shù)構(gòu)筑校園網(wǎng)服務(wù)器的安全防線目前，各級(jí)各類學(xué)校都在校園網(wǎng)中部署了一定數(shù)量的服務(wù)器。如：教育資源庫、視頻點(diǎn)播系統(tǒng)、學(xué)校網(wǎng)絡(luò)辦公系統(tǒng)、學(xué)籍管理系統(tǒng)、班級(jí)管理系統(tǒng)、校產(chǎn)管理系統(tǒng)和教學(xué)管理系統(tǒng)等等，實(shí)現(xiàn)了教育、教學(xué)、管理的現(xiàn)代化和無紙化，實(shí)現(xiàn)了資源的高度共享。如何保障這些服務(wù)器的安全，從而為信息技術(shù)支持下的教學(xué)和管理提供保障，成為值得研究的一個(gè)重要課題。我校的校園網(wǎng)內(nèi)部署了6臺(tái)服務(wù)器。起初沒有經(jīng)過科學(xué)規(guī)劃，只是簡單地將服務(wù)器直接連接到網(wǎng)關(guān)，造成服務(wù)器頻繁遭受黑客、病毒、木馬的攻擊。為此，我利用NAT技術(shù)重新規(guī)劃服務(wù)器的部署?，F(xiàn)將規(guī)劃思路和設(shè)計(jì)方法介紹給大家。一、NAT技術(shù)NAT(Netwo

2、rkAddressTranslation)是一個(gè)IETF標(biāo)準(zhǔn)，它允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用IP地址出現(xiàn)在Internet上。顧名思義，它是一種把內(nèi)部私有網(wǎng)絡(luò)IP地址翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。NATW三種類型：靜態(tài)NAT動(dòng)態(tài)地址NAT網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT其中，靜態(tài)NA硒設(shè)置最為簡單，也最容易實(shí)現(xiàn)，內(nèi)部網(wǎng)絡(luò)中的每臺(tái)主機(jī)都被永久地映射成外部網(wǎng)絡(luò)中的某個(gè)合法地址。動(dòng)態(tài)地址NAT則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。NAP頂U(kuò)是把內(nèi)部地址映射到外部網(wǎng)絡(luò)同一個(gè)IP地址的不同端口上。我校所用的技術(shù)即為NAPT。NAPTt遍應(yīng)用于接入設(shè)備中，它可以將中小型網(wǎng)絡(luò)隱藏在

3、一個(gè)合法的IP地址后面。其工作原理是，將內(nèi)部IP地址映射到外部網(wǎng)絡(luò)中的一個(gè)單獨(dú)的IP地址上，同時(shí)加上一個(gè)由NAT設(shè)備選定的TC嘲口號(hào)（如表1）這樣，如果要訪問這臺(tái)服務(wù)器的Web服務(wù)，只有通過202.108.9.X:9080才可以訪問，從而有效地將服務(wù)器保護(hù)起來。二、校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)分析高效、規(guī)范的網(wǎng)絡(luò)部署應(yīng)該建立在科學(xué)的網(wǎng)絡(luò)結(jié)構(gòu)分析基礎(chǔ)之上。筆者所管理的校園網(wǎng)通過網(wǎng)關(guān)接入教育城域網(wǎng)。校園網(wǎng)中部署了Web務(wù)器、資源服務(wù)器、辦公自動(dòng)化（OQ服務(wù)器、FTP服務(wù)器、VOD視頻點(diǎn)播服務(wù)器。校內(nèi)所有用戶通過網(wǎng)關(guān)共享訪問Internet。所有服務(wù)器均采用城域網(wǎng)分配的IP地址，通過網(wǎng)關(guān)直接

4、接入城域網(wǎng)（如圖1）。網(wǎng)關(guān)不支持NAPT只支持簡單靜態(tài)NAT網(wǎng)絡(luò)部署的第一種方案是采購支持NAT防火墻網(wǎng)絡(luò)設(shè)備，替換現(xiàn)有網(wǎng)關(guān)。第二種方案是用普通PC構(gòu)建NAT換平臺(tái)。由于硬件防火墻的設(shè)備動(dòng)輒幾萬到幾十萬，對(duì)于一所普通公辦學(xué)校來說，是一筆不小的開支，同時(shí)原有的網(wǎng)關(guān)仍有其用武之地，于是我們選擇了第二種方案。三、構(gòu)建NA璐專換平臺(tái)目前構(gòu)建NATW換平臺(tái)的軟件大致可分為Win-dows、LinuxWin-dows平臺(tái)下有WinRoute、MicrosoftISAServer。Linux平臺(tái)下有CoyoteLinux、SmoothWall。專業(yè)路由器軟件有MikrotkRouterOS、IPcop。下面

5、，以Windows+WinRoute6.0為例，（其他軟件的構(gòu)建方法類似），介紹其構(gòu)建過程。1. 前期準(zhǔn)備準(zhǔn)備一臺(tái)普通PC,其配置很簡單：Pentiumm以上的CPU256MB以上的內(nèi)存；20G以上硬盤（主要用于存放日志文件）；兩塊100M網(wǎng)卡；Windows2003Server操作系統(tǒng)。2. 軟件介紹WinRoute6.0通過NATffi代理服務(wù)器實(shí)現(xiàn)網(wǎng)絡(luò)共享。該軟件除了具有NAT功能外，還具有超強(qiáng)的病毒防護(hù)功能。WinRoute6.0的安裝比較簡單，安裝過程中遇到問題的讀者可以參考相關(guān)的安裝資料。3. 制定轉(zhuǎn)換方案在開始進(jìn)行NAT$換配置前，要仔細(xì)考慮和規(guī)劃轉(zhuǎn)換方案。與原先的網(wǎng)絡(luò)結(jié)構(gòu)相比，規(guī)劃方案（如圖2）增加了一臺(tái)裝有WinRoute的普通PC作為NAT轉(zhuǎn)換平臺(tái)，并調(diào)整服務(wù)器群的IP地址（具體映射關(guān)系如表2所示）。4. NATW換配置登錄WinRoute管理控制臺(tái)，并進(jìn)入訪問策略設(shè)置頁面（如圖3）。依據(jù)表2建立相應(yīng)的訪問策略即可。經(jīng)過以上調(diào)整，校園網(wǎng)中的服務(wù)器群很好地隱藏了起來。當(dāng)黑客依據(jù)IP地址