| 出版日期:2005-01-24 总期号:646 本年期号:04 |
|
 |
可靠网络的惬意体验
燕行 序幕: 病毒爆发,轻松面对 2004年5月的一天,华南各校园网中突然病毒泛滥,“震荡波”病毒造成了大量高校校园网的瘫痪。这个由德国18岁高中生的制造的小程序,让汇聚了众多知名高等院校的大学城的网络管理人员们心惊胆颤。由于网络在高校里应用的普及,以及上网人数众多,使高校的校园网成为病毒侵袭的重灾区。 校园网的瘫痪不但影响了教学与研究,更影响了整个校园的生活秩序,学生们议论纷纷。而各高校的网管老师和网络厂商的工程师全负荷地忙碌着,渡过了几个不眠的夜晚。 然而,在这场网络灾难中,中山大学的网络成为其中的幸存者。中山大学北校区网络中心技术主管赖炜,此时比任何一个高校的网络技术主管都轻松惬意,因为刚建设完的北校区校园网成功地抵挡了网络病毒的滋扰。与其他几个高校网管老师相比,他们并没有因为此次病毒的大范围爆发而打乱正常的工作和教学。他们成功的原因就在于未雨绸缪,在北校区的网络建设中纳入了安全管理机制。 第一幕: 网络安全,未雨绸缪 中山大学是孙中山先生亲手创建的一所高等学府,并亲笔题写了“博学、审问、慎思、明辨、笃行”的校训。2004年该校迎来了其80岁的华诞,这所历史悠久的学堂,曾经培养出众多的文人政客和科学家。可以说,中山大学是中国一颗人才培养的南方明珠。 中山大学北校区的前身是中山医科大学,学校的领导们始终对校园的信息化建设给予高度重视,其园区内的主干网络就始建于1997年。自2002年6月起南北校区实现了光缆直通,两校区间网络数据交换开始急剧上升,网络流量的增加与交换机交换能力不足的矛盾开始表现出来。 在另一方面,为满足学生和教职员工的上网需求,北校区网络节点的规模不断扩大,上网的人数日益增加,网络的安全隐患日益突出。 如果网络出现问题,势必会给学校日常的教研和办公带来严重的影响。因此,对北校区园区网的改造任务迫在眉睫。 交换能力不足的问题可以通过更新设备,增加容量的办法来处理,相对来说不是一个非常困难的事情,但是管理问题就比较复杂了。 传统的访问控制方法有二种。 第一种是网关型代理认证,即使用代理服务,控制网络出口的访问权限,用户在上网时必须要先得到身份验证,才能通过代理服务器访问Internet。这种方式基本实现了对校园网使用者的账号管理。 第二种是IP-MAC地址绑定。由于校园网延伸到教工和学生宿舍,网络的使用人数急剧增加,网络的使用行为也复杂了,出现了越来越多的盗用网络资源而引起资源冲突的情况。为了尽量减少盗用网络地址的可能,需要采用IP-MAC地址绑定的方法,或者进行IP/MAC地址过滤。这种方法在校园网的三层汇聚交换机上实现了访问控制,用户只有设置正确合法的IP和MAC地址,才能访问校园网。 代理认证和IP-MAC地址绑定的应用,虽然收到一定的效果,但随着校园里多种应用的发展,这些方法并不尽如人意。就代理服务而言,在校园网用户数达到5000个以上后,身份认证的处理成为代理服务器的性能瓶颈。 IP-MAC地址绑定虽然在一定程度上缓解了代理服务器的认证压力,但其缺点也是明显的。 由于IP-MAC地址绑定在三层汇聚交换机上实施,交换机必须在配置文件和内存中保存几千条IP-MAC地址绑定条目,并对每个数据包进行过滤,对交换性能的影响是不言而喻的。 同时,这种绑定的维护工作量比较大,即在每天的空闲时间里,交换机要做几千条指令的更新,这对于交换机具有很大的操作安全性问题。 因此,中山大学开始向厂商公开招标,需要寻找新的有效的解决方案。 第二幕:寻找解决之道 经过比较和测试,中山大学最终选择了神州数码网络公司的D2SMP解决方案。 D2SMP是英文(Distributed Domain of Security Management Policy)的缩写,中文意思是“分布式安全域管理策略”。它是在神州数码网络长期倡导的“构建智能、安全企业级骨干网”的概念上发展起来的一套新的技术理念。整套的方案基于神州数码网络的安全认证服务器、安全特性交换机、IPS/IDS系统、客户端软件等一系列安全产品。D2SMP的出现为困扰中山大学的网络管理难题找到了解决方法。 通过不断的交流,赖炜了解到D2SMP能对校园网的运行中两种不同类型的对象进行管理,一个是网“路”的管理。即针对交换机、路由器等网络设备进行管理。D2SMP解决方案中的LinkManager网络管理软件,能够对网络中的设备和网络的运行情况进行全面的管理。实际操作中体现为: ◆ 系统的管理。随时掌握网络内任何设备的变动,当网络结构改变或故障发生时,管理人员可以重新设置网络设备的参数,维持网络的正常运行。 ◆ 网络故障的管理。其监测系统能及时察觉网络故障的发生,记录每个故障的产生及相关信息,最后确定并排除故障。 ◆ 性能的管理。LinkManager系统可以评估网络系统的运作效率,在使用最少的网络资源和具有最小通信费用的前提下,使网络提供持续、可靠的通信能力。 另一个是对网络行为的管理。即针对用户的使用网络的规则进行管理。实际操作中体现为: ◆ 认证的管理。当计算机网络系统中的信息资源是有偿使用的情况下,需要记录和统计用户占用通信线路的时间、传输了的信息量,以及其上网行为等,屏蔽任何非法的网络行为。 ◆ 安全的管理。目前IPv4的特点决定了网络本身存在固有的安全问题,因此,需要防范网络资源被非法使用,以及蓄意破坏网络安全的行为,保证网络管理信息的机密性和完整性。 第三幕:畅谈应用体验 当方案与需求像齿轮一样吻合时,一切都水到渠成。中山大学决定选用神州数码网络提供的全线网络硬件设备及D2SMP方案,经过短短的一个多月的建设,就实现了网络的开通。在2004年5月震惊全球的震荡波事件中,当其它兄弟学校连遭攻击,网络陷入瘫痪的情况下,中山大学北校区的网络在灾难中依然健康地运行着。 在谈及用后的感受时,中山大学信息与网络中心副主任曾海标表示,整个系统总体运行稳定可靠,神州数码网络的支持服务也很及时,达到了他们对产品技术、供货和售后服务等方面的预期要求。令人高兴的是基于该网络软、硬件平台的各种应用也全部开始起用。 而赖炜在谈到使用后的感觉时,更多地从专业的角度去做了评说。他指出,D2SMP体现了现代网络管理模式中分布式控制和集中式管理的思想。 首先,D2SMP在访问控制的定位上非常靠近用户端,所有控制在接入层实现,有利于更准确、有效地实施控制策略,避免在类似代理认证的方式中,出现无法对内网接入进行控制的情况,这是分布式控制的最大优势。 其次,D2SMP的控制策略十分灵活。随着中山大学校园网的用户类型出现多样化,针对不同类型的用户,他们可以采用不同的计费和控制策略。 采用D2SMP集中式的管理系统,用户信息的保存、身份认证以及计费策略的实施均由其中心管理系统完成,在安全容错性能和认证处理能力方面表现良好,而且还提供了完善的日志管理、人性化的操作界面和流程。 记者点评 在万兆网络出现后,网络的带宽已经不成问题,面对飞速增长的网络规模,如何实现高效安全的管理已经成为网络的管理者共同关注的问题,中山大学的成功经验也许值得借鉴。 |
||||||||||||||||||||||
