23精准养分管理-信息农业中的网络安全.docVIP

精准养分管理 信息农业中的网络安全 梁鸣早1，张磊2，高云鹏2，谢铭2 （1中国农业科学院土壤肥料研究所，北京　100081；2客座人员） 　　1 背　景　　中国农业科学院土壤肥料研究所在网络建设上一直走在同类研究所的前头， 1995年3月我所就有14台计算机以专线方式与科学院连接，1997年11月我所改用3兆微波,同时上网用户发展为40台，2000年11月我们的网络再一次升级，以100兆光纤接入中国科技网（CSTNet）的，当时网上计算机已经发展到100多台，在土肥所办公楼内各楼层间用100兆交换机连接，真正作到100兆速度到桌面。目前已有可以独立运行的网络环境，在网络上运行和将要运行各种档次的服务器有：Compaq Alpha Server DS20E小型机SUN Enterprise 250、HP4服务器等，我们拥有一个255个的C类IP地址段，多个网站如 和两个邮件服务器。我们的大型数据库SQL Server 和很快就要投入运行的Oracle将在网上为科研人员和广大用户提供服务，由于我所建网较早（图1），与此同时经常举办与网络、计算机、数据库技术有关的培训，科研人员对网络已有了很长时间的思考，计算机技术和用网水平普遍较高。上述网络设施和计算机数据库系统，及我所的整体计算机水平，为我们参与国家知识基础设施建设，开展网上交流与服务的目标打下基础。　　但近年来，随着Internet的迅猛发展，Internet的安全问题也越来越成为人们关注的焦点。最初的Internet和它的通信协议群是为一个良好的环境而设计的，即一个君子的环境。用户和主机之间相互信任，旨在进行自由开放的信息交换。随着时间的推移，越来越多的用户加入Internet的行列，而在这个环境中君子的风度和信任感已经所剩无几。Internet的开放性成为一把双刃剑，在提供方便的信息交换的同时也使它成为众矢之的。每一秒钟都有成千上万的攻击事件发生，可以说如今Internet上的每一个人都是不安全的，Internet需要更好的安全机制。　　 (图：图1 中国农业科学院土壤肥料研究所改造前的网络结构图) 　　中国农业科学院土壤肥料研究所的网络也不例外，随着网络速度的提升，网络上陆续出现了一些问题：黑客利用邮件服务器转发大量的垃圾邮件，还利用FTP和Web端口（80口）传输大量的与我所无关的数据，同时也有借用农业信息研究室重新安装的代理服务器下载数据。上述现象我们统统叫黑客攻击，黑客攻击造成我们的网络速度大大减慢，同时也花了许多冤枉钱。另外，我们所网络内部还常常出现IP冲突，域用户的账户管理列表也常出现混乱。因此，提高网络的安全性，增设防火墙、建立防范机制已经是必须作的一件事。　　设立防火墙目的在于：①防止黑客恶意攻击,②控制内部网络和外部Internet之间的连接,③隐藏内部网络的拓扑结构,④在应用层进行适当控制,⑤内部账户实现统一的管理。 　　2 选择软件防火墙的原理与具体方案　　实施时间为2001年7月26~8月1日。主要实施过程有：①提出并讨论防火墙设计总体方案；②安装和调试防火墙硬件设备；③建立已经运行的网络拓扑结构图；④设计增设防火墙后的网络拓扑结构图；⑤设计服务器端口开禁策略；⑥搜集土肥所网络用户的网卡物理地址；⑦在DHCP服务器上建立Mac地址与内部网络地址的对应关系；⑧对cisco2924c交换机进行划分虚网段；⑨按新的拓扑关系重新连接所有设备和⑩对网上所有服务器和个人计算机的IP设置等。　　2.1防火墙基本准则　　防火墙的主要目标是控制内部网络和外部网络的Internet之间的连接，有限制的允许内部网络中的计算机访问Internet上的服务，限制外部的网络访问内部计算机。防火墙的基本准则如下：　　① 一切未被允许的就是禁止的。基于这个准则，防火墙应封锁所有信息流，然后对希望提供的服务逐项开放。这是一种非常有效实用的方法，可以造成一种十分安全的环境，因为只有经过仔细挑选的服务才能允许使用。它的不足是安全性高于用户使用的方便性，用户所能使用的服务范围受到限制。　　② 一切未被禁止的就是允许的。基于这个准则，防火墙应转发所有信息流，然后逐项屏蔽可能有害的服务。这种方法构成了一种更为灵活的应用环境，可为用户提供更多的服务。它的不足是在日益增多的网络服务面前，网络管理员疲于奔命，特别是受保护的网络范围增大时，很难提供可靠的安全防护。　　2.2 防火墙类型的选定　　2.2.1包过滤型　　包过滤通常安装在路由器上，并且大多数商用路由器都提供了包过滤功能，另外计算机上同样可以安装包过滤软件。包过滤规则以IP（Internet Protocol）包信息为基础，对IP源地址、IP目标地址、封装协议端口号等进行筛