利用NAT技術(shù)構(gòu)筑校園網(wǎng)服務(wù)器的安全防線

1、利用NAT技術(shù)構(gòu)筑校園網(wǎng)服務(wù)器的安全防線目前，各級各類學(xué)校都在校園網(wǎng)中部署了一定數(shù)量的服務(wù)器。如：教育資源庫、視頻點播系統(tǒng)、學(xué)校網(wǎng)絡(luò)辦公系統(tǒng)、學(xué)籍管理系統(tǒng)、班級管理系統(tǒng)、校產(chǎn)管理系統(tǒng)和教學(xué)管理系統(tǒng)等等，實現(xiàn)了教育、教學(xué)、管理的現(xiàn)代化和無紙化，實現(xiàn)了資源的高度共享。如何保障這些服務(wù)器的安全，從而為信息技術(shù)支持下的教學(xué)和管理提供保障，成為值得研究的一個重要課題。我校的校園網(wǎng)內(nèi)部署了6臺服務(wù)器。起初沒有經(jīng)過科學(xué)規(guī)劃，只是簡單地將服務(wù)器直接連接到網(wǎng)關(guān)，造成服務(wù)器頻繁遭受黑客、病毒、木馬的攻擊。為此，我利用NAT技術(shù)重新規(guī)劃服務(wù)器的部署?，F(xiàn)將規(guī)劃思路和設(shè)計方法介紹給大家。一、NAT技術(shù)NAT(Netwo

2、rkAddressTranslation)是一個IETF標準，它允許一個整體機構(gòu)以一個公用IP地址出現(xiàn)在Internet上。顧名思義，它是一種把內(nèi)部私有網(wǎng)絡(luò)IP地址翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。NATW三種類型：靜態(tài)NAT動態(tài)地址NAT網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT其中，靜態(tài)NA硒設(shè)置最為簡單，也最容易實現(xiàn)，內(nèi)部網(wǎng)絡(luò)中的每臺主機都被永久地映射成外部網(wǎng)絡(luò)中的某個合法地址。動態(tài)地址NAT則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。NAP頂U是把內(nèi)部地址映射到外部網(wǎng)絡(luò)同一個IP地址的不同端口上。我校所用的技術(shù)即為NAPT。NAPTt遍應(yīng)用于接入設(shè)備中，它可以將中小型網(wǎng)絡(luò)隱藏在

3、一個合法的IP地址后面。其工作原理是，將內(nèi)部IP地址映射到外部網(wǎng)絡(luò)中的一個單獨的IP地址上，同時加上一個由NAT設(shè)備選定的TC嘲口號（如表1）這樣，如果要訪問這臺服務(wù)器的Web服務(wù)，只有通過202.108.9.X:9080才可以訪問，從而有效地將服務(wù)器保護起來。二、校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)分析高效、規(guī)范的網(wǎng)絡(luò)部署應(yīng)該建立在科學(xué)的網(wǎng)絡(luò)結(jié)構(gòu)分析基礎(chǔ)之上。筆者所管理的校園網(wǎng)通過網(wǎng)關(guān)接入教育城域網(wǎng)。校園網(wǎng)中部署了Web務(wù)器、資源服務(wù)器、辦公自動化（OQ服務(wù)器、FTP服務(wù)器、VOD視頻點播服務(wù)器。校內(nèi)所有用戶通過網(wǎng)關(guān)共享訪問Internet。所有服務(wù)器均采用城域網(wǎng)分配的IP地址，通過網(wǎng)關(guān)直接

4、接入城域網(wǎng)（如圖1）。網(wǎng)關(guān)不支持NAPT只支持簡單靜態(tài)NAT網(wǎng)絡(luò)部署的第一種方案是采購支持NAT防火墻網(wǎng)絡(luò)設(shè)備，替換現(xiàn)有網(wǎng)關(guān)。第二種方案是用普通PC構(gòu)建NAT換平臺。由于硬件防火墻的設(shè)備動輒幾萬到幾十萬，對于一所普通公辦學(xué)校來說，是一筆不小的開支，同時原有的網(wǎng)關(guān)仍有其用武之地，于是我們選擇了第二種方案。三、構(gòu)建NA璐專換平臺目前構(gòu)建NATW換平臺的軟件大致可分為Win-dows、LinuxWin-dows平臺下有WinRoute、MicrosoftISAServer。Linux平臺下有CoyoteLinux、SmoothWall。專業(yè)路由器軟件有MikrotkRouterOS、IPcop。下面

5、，以Windows+WinRoute6.0為例，（其他軟件的構(gòu)建方法類似），介紹其構(gòu)建過程。1. 前期準備準備一臺普通PC,其配置很簡單：Pentiumm以上的CPU256MB以上的內(nèi)存；20G以上硬盤（主要用于存放日志文件）；兩塊100M網(wǎng)卡；Windows2003Server操作系統(tǒng)。2. 軟件介紹WinRoute6.0通過NATffi代理服務(wù)器實現(xiàn)網(wǎng)絡(luò)共享。該軟件除了具有NAT功能外，還具有超強的病毒防護功能。WinRoute6.0的安裝比較簡單，安裝過程中遇到問題的讀者可以參考相關(guān)的安裝資料。3. 制定轉(zhuǎn)換方案在開始進行NAT$換配置前，要仔細考慮和規(guī)劃轉(zhuǎn)換方案。與原先的網(wǎng)絡(luò)結(jié)構(gòu)相比，規(guī)劃方案（如圖2）增加了一臺裝有WinRoute的普通PC作為NAT轉(zhuǎn)換平臺，并調(diào)整服務(wù)器群的IP地址（具體映射關(guān)系如表2所示）。4. NATW換配置登錄WinRoute管理控制臺，并進入訪問策略設(shè)置頁面（如圖3）。依據(jù)表2建立相應(yīng)的訪問策略即可。經(jīng)過以上調(diào)整，校園網(wǎng)中的服務(wù)器群很好地隱藏了起來。當黑客依據(jù)IP地址