黃麗民，曲文堯

( 山東商業(yè)職業(yè)技術(shù)學(xué)院，山東 濟南 250103 )

一種局域網(wǎng)安全架構(gòu)設(shè)計

黃麗民，曲文堯

( 山東商業(yè)職業(yè)技術(shù)學(xué)院，山東 濟南 250103 )

討論了一種局域網(wǎng)安全架構(gòu)設(shè)計，在分析一般局域網(wǎng)拓?fù)浣Y(jié)構(gòu)、設(shè)備配置、網(wǎng)絡(luò)數(shù)據(jù)流、用戶應(yīng)用等脆弱性的基礎(chǔ)上，針對局域網(wǎng)出現(xiàn)的安全問題提出了一種局域網(wǎng)網(wǎng)絡(luò)安全架構(gòu)設(shè)計，包括拓樸結(jié)構(gòu)的安全策略，局域網(wǎng)設(shè)備配置的安全策略及局域網(wǎng)數(shù)據(jù)流的安全策略的解決辦法。

安全策略；局域網(wǎng)安全架構(gòu)；數(shù)據(jù)流

引言

隨著信息技術(shù)的快速應(yīng)用和發(fā)展，計算機網(wǎng)絡(luò)已經(jīng)成為人們工作、學(xué)習(xí)、娛樂、交流的最重要手段。計算機局域網(wǎng)是網(wǎng)絡(luò)中的一種重要形式，它的應(yīng)用也越來越普及。由于網(wǎng)絡(luò)環(huán)境的多變性和復(fù)雜性，信息系統(tǒng)的脆弱性，局域網(wǎng)在為人們的工作和生活帶來便利的同時，也帶來了較多的安全隱患，網(wǎng)絡(luò)黑客的攻擊、各種木馬、病毒等信息安全的產(chǎn)物正在嚴(yán)重地威脅著局域網(wǎng)的安全。利用局域網(wǎng)網(wǎng)絡(luò)漏洞出現(xiàn)的網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)犯罪正極速上升，嚴(yán)重地影響了網(wǎng)絡(luò)的秩序和正常的運行。網(wǎng)絡(luò)安全問題正日益受到人們的關(guān)注，因此研究局域網(wǎng)的網(wǎng)絡(luò)安全存在的問題及應(yīng)對策略正成為計算機網(wǎng)絡(luò)領(lǐng)域迫切需要解決的問題。

1 影響局域網(wǎng)安全的幾種主要因素

1.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的脆弱性

目前大部分局域網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中缺少冗余設(shè)備和冗余鏈路，因此單點故障就能導(dǎo)致整個網(wǎng)絡(luò)癱瘓；有的局域網(wǎng)中核心設(shè)備實施和帶寬分配控制的不合理，就容易造成業(yè)務(wù)的處理高延時甚至中斷；有的局域網(wǎng)中網(wǎng)絡(luò)入侵檢測系統(tǒng)不夠完善，不能夠發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，很難保證網(wǎng)絡(luò)系統(tǒng)資源的機密性、完整性和可用性。

1.2 網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)設(shè)備配置的脆弱性

多數(shù)局域網(wǎng)的結(jié)構(gòu)相對簡單，使用的網(wǎng)絡(luò)設(shè)備較少，因此采取的安全措施也較少，這就給病毒的傳播提供了便利的途徑，黑客經(jīng)常利用局域網(wǎng)上的網(wǎng)絡(luò)設(shè)備的安全缺陷進(jìn)行破壞與竊密活動。如在局域網(wǎng)中用路由器做網(wǎng)關(guān)出口只能簡單的做到包過濾，不具備完善的安全功能，因此路由器對待網(wǎng)絡(luò)上各種各樣的攻擊是脆弱的。在有的局域網(wǎng)中路由器，防火墻等中間設(shè)備上配置不縝密會對服務(wù)器和用戶造成威脅，例如目前很多局域網(wǎng)架構(gòu)僅將服務(wù)器放置在了接入層，沒有將服務(wù)器放置在防火墻的DMZ非軍事化區(qū)域，這就會導(dǎo)致如果接入層的任意一臺的電腦感染病毒，服務(wù)器就有可能被攻擊。有的局域網(wǎng)雖然將服務(wù)器放置在規(guī)劃了DMZ非軍事化區(qū)域，但服務(wù)器缺少入侵防御系統(tǒng)對重要數(shù)據(jù)的深度感知和內(nèi)容的檢測，導(dǎo)致不能做到對惡意報文及時的限制和丟棄也會引發(fā)網(wǎng)絡(luò)安全隱患。有的局域網(wǎng)從網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)來看，將整個服務(wù)器的IP靜態(tài)映射到公網(wǎng)，相當(dāng)于將服務(wù)器直接暴露在了Internet這個不安全的環(huán)境，很容易被黑客收集服務(wù)器信息，從而遭到黑客的攻擊。如果局域網(wǎng)缺少對授權(quán)和非授權(quán)用戶的訪問限制，同樣會造成被攻擊的威脅。

1.3 局域網(wǎng)數(shù)據(jù)的脆弱性

目前很多局域網(wǎng)數(shù)據(jù)在傳輸過程中存在安全問題，數(shù)據(jù)在傳輸過程中有時會被截取，在局域網(wǎng)內(nèi)捕獲到的數(shù)據(jù)主要是明文數(shù)據(jù)，究其原因是大部分web應(yīng)用程序還在用http協(xié)議進(jìn)行數(shù)據(jù)提交，文件傳輸還是廣泛使用FTP協(xié)議，遠(yuǎn)程虛擬終端還是使用telnet等，這些數(shù)據(jù)在協(xié)議封裝之后也沒有使用任何的加密封裝技術(shù)，數(shù)據(jù)隨時可被感興趣的人截獲，從而造成數(shù)據(jù)泄露。有的局域網(wǎng)在數(shù)據(jù)的存儲上也有很多安全隱患，因存儲隱患導(dǎo)致數(shù)據(jù)的丟失的后果將更為嚴(yán)重。局域網(wǎng)中造成數(shù)據(jù)丟失的主要原因如下，第一，由自然災(zāi)害引起的數(shù)據(jù)丟失，很難做到控制和預(yù)防，對數(shù)據(jù)信息的穩(wěn)定安全是一個很大的威脅。第二，硬件的老化導(dǎo)致傳輸速率的降低，會造成網(wǎng)絡(luò)瓶頸，從而導(dǎo)致數(shù)據(jù)包沖突，發(fā)生數(shù)據(jù)丟包。第三，由于局域網(wǎng)網(wǎng)絡(luò)管理員操作失誤，也有可能造成數(shù)據(jù)丟失。

1.4 局域網(wǎng)用戶應(yīng)用的脆弱性

網(wǎng)絡(luò)的作用是為了方便用戶的資源共享，共享就是數(shù)據(jù)互換的過程，互聯(lián)網(wǎng)的發(fā)展，衍生了各式各樣方便用戶的應(yīng)用，同時也產(chǎn)生了各式各樣毒害用戶的病毒和木馬。很多局域網(wǎng)網(wǎng)絡(luò)用戶欠缺對于病毒和木馬防護等方面的安全意識，對于一些不安全網(wǎng)站上的軟件缺乏分辨能力，導(dǎo)致用戶的機器或文件被病毒木馬感染，同時以用戶為病毒源再向身邊用戶散播，后果嚴(yán)重時會引起整個局域網(wǎng)癱瘓，導(dǎo)致系統(tǒng)無法正常運行。

2 局域網(wǎng)網(wǎng)絡(luò)安全架構(gòu)設(shè)計

2.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全策略

圖1 一種安全的局域網(wǎng)網(wǎng)絡(luò)拓樸結(jié)構(gòu)設(shè)計圖

針對局域網(wǎng)網(wǎng)絡(luò)安全拓樸結(jié)構(gòu)的脆弱性，提出了一種安全性加強的網(wǎng)絡(luò)拓樸結(jié)構(gòu)設(shè)計方案如圖1所示。在本方案中，為確保網(wǎng)絡(luò)的完善運行，采用防火墻(FireWall)雙網(wǎng)關(guān)出口，提供了ISP冗余保障，這樣上行鏈路也能起到負(fù)載分擔(dān)作用；該網(wǎng)絡(luò)中核心交換設(shè)備采用三層冗余，保障匯聚數(shù)據(jù)的更快交換和低延時。服務(wù)器區(qū)域的入侵防御系統(tǒng)(IPS)保障了服務(wù)器的安全運行，有效地阻止未授權(quán)用戶的訪問，還可以攔截有不安全特征的數(shù)據(jù)，防火墻和入侵防御系統(tǒng)為服務(wù)器安全提供了雙重保障。針對易受病毒攻擊的WEB服務(wù)器，設(shè)計上特別采用WEB應(yīng)用網(wǎng)關(guān)(WAF)為WEB服務(wù)器保駕護航，防范各種WEB攻擊。相對于服務(wù)器而言，用戶方面的終端數(shù)量要大很多，方案中單獨使用一個流量控制系統(tǒng)(FS)來做對應(yīng)的流量策略和控制。用戶區(qū)域由于用戶數(shù)量大，檢測任務(wù)重，單獨使用一臺入侵檢測系統(tǒng)(IDS)來檢測用戶數(shù)據(jù)的安全情況，檢測到不安全因素再和防火墻聯(lián)動一起對用戶區(qū)域的攻擊做防護。在核心交換上旁路日志系統(tǒng)，用來記錄和分析內(nèi)部用戶的異常行為，這樣可以將內(nèi)部可能有的不安全因素找出來。

外部數(shù)據(jù)進(jìn)入這種局域網(wǎng)內(nèi)先流經(jīng)防火墻，防火墻根據(jù)數(shù)據(jù)方向路由，同時防火墻將數(shù)據(jù)復(fù)制一份遞交給日志系統(tǒng)，做一份記錄。流向服務(wù)器區(qū)域的數(shù)據(jù)再次經(jīng)由入侵防御系統(tǒng)(IPS)檢驗，確保數(shù)據(jù)沒有不安全因素后，最終傳遞給服務(wù)器；而從服務(wù)器流向用戶的數(shù)據(jù)再次經(jīng)過入侵檢測系統(tǒng)(IDS)的檢測，流控系統(tǒng)(FS)的抑制，最終遞交給用戶。

圖2 數(shù)據(jù)流分析圖

2.2 網(wǎng)絡(luò)設(shè)備的安全策略

2.2.1 防火墻替代出口路由器

本方案設(shè)計中我們用防火墻代替了路由器，路由器是典型的三層設(shè)備，是為了路由數(shù)據(jù)包而產(chǎn)生的，不具備完善的安全功能。從數(shù)據(jù)包過濾性能上，路由器只是簡單的包過濾，而防火墻是基于狀態(tài)包的過濾，對于會話和劫持(TCP欺騙)，路由器不能檢測TCP的狀態(tài)，而防火墻能夠檢測TCP的狀態(tài)，防火墻還可以重新隨機生成TCP的序列號，這樣就能夠徹底解決TCP欺騙這樣的漏洞了。局域網(wǎng)中防火墻的作用類似于守門人，對于來來往往的數(shù)據(jù)包做安檢。保護經(jīng)過授權(quán)的用戶和數(shù)據(jù)的安全，也防止未授權(quán)的用戶和通信的進(jìn)出。因此防火墻是局域網(wǎng)網(wǎng)絡(luò)建設(shè)中重要的一部分，防火墻是保護內(nèi)部網(wǎng)的第一道關(guān)口，也是最為嚴(yán)格的一道關(guān)口。

2.2.2 IDS入侵檢測系統(tǒng)準(zhǔn)確的分析流量

防火墻如果是一幢大樓的門衛(wèi)，那么該局域網(wǎng)中入侵防御系統(tǒng)(IDS)就是這幢大樓里的監(jiān)視系統(tǒng)。入侵檢測系統(tǒng)可以檢測到Internet中復(fù)雜多變的攻擊，來完善防范網(wǎng)絡(luò)攻擊的威脅。一旦壞人利用其他入口進(jìn)入大樓，或內(nèi)部人員有越界行為，防火墻這個門衛(wèi)在門口無法得知大樓內(nèi)部的動態(tài)，只有入侵防御系統(tǒng)(IDS)系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。由于現(xiàn)代黑客工具，黑客教程的泛濫，不是黑客的用戶也可以拿傻瓜工具來進(jìn)行局域網(wǎng)的測試攻擊，因此對攻擊動作的檢測行為尤其重要，入侵防御系統(tǒng)可以自動統(tǒng)計和分析是否有入侵在發(fā)生，可以檢測到內(nèi)部用戶的惡意行為和由于用戶的疏忽而導(dǎo)致的安全隱患，然后聯(lián)合防火墻制止。

2.2.3 FS流量控制系統(tǒng)保障及控制流量

局域網(wǎng)內(nèi)部的用戶群比較大，對于帶寬的分配程度要求各式各樣。由于策略條目的瑣碎，單獨在防火墻或交換上做QOS會不易于管理；而流量控制系統(tǒng)可以精確到每一個用戶，或一部分用戶的會話數(shù)限制和流量速率控制。流量控制系統(tǒng)可以完善的調(diào)整流量的分配，充分的利用網(wǎng)絡(luò)空閑時的資源。

2.2.4 IPS入侵防御系統(tǒng)深度分析數(shù)據(jù)流

服務(wù)器是系統(tǒng)中的核心，服務(wù)器的安全要求比用戶的要精確很多，所以由入侵檢測系統(tǒng)需要聯(lián)動防火墻來攔截攻擊行為，而無法實時的阻斷攻擊，而這個聯(lián)動的時間對于服務(wù)器的數(shù)據(jù)來說是不允許的。入侵防御系統(tǒng)(IPS)自身可以做到協(xié)議分析、流量異常監(jiān)視，模式匹配等綜合技術(shù)手段來判斷網(wǎng)絡(luò)入侵行為，可以準(zhǔn)確地發(fā)現(xiàn)并阻斷各種網(wǎng)絡(luò)攻擊。例如越來越頻發(fā)的“瞬間攻擊”(如SQL注入、溢出攻擊等)。同時IPS兼顧有流量控制的功能，識別包括傳統(tǒng)協(xié)議、P2P下載、股票交易、即時通訊、流媒體、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)視頻等網(wǎng)絡(luò)應(yīng)用，使得管理員很輕松判斷服務(wù)器中的各種帶寬濫用行為，繼而采取包括阻斷、限制連接數(shù)、限制流量等各種控制手段，確保服務(wù)器業(yè)務(wù)通暢。

2.2.5 NetLog日志系統(tǒng)詳細(xì)記錄網(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)

縱然安全設(shè)備布置的再精確，也會有疏忽，一些隱藏性的安全問題也很難發(fā)現(xiàn)。網(wǎng)絡(luò)日志系統(tǒng)(NetLog)可以對所有的流量做收集和分析然后對比現(xiàn)有網(wǎng)絡(luò)的數(shù)據(jù)核實該數(shù)據(jù)的流量是否該有，是否該有這么多，例如對于一些常用的服務(wù)使用的時間段進(jìn)行分析，分析出對應(yīng)時間段哪個服務(wù)使用頻繁，從而可以合理分配帶寬，保證服務(wù)質(zhì)量；對于一些網(wǎng)絡(luò)活動不頻繁的時間段，而TCP連接狀態(tài)卻是經(jīng)常保持連接(ESTABLISHED)的，查詢連接的目的地址，確定該連接的建立情況，分析是不是一種隱藏的木馬。經(jīng)過局域網(wǎng)日志系統(tǒng)(NetLog)的記錄分析可以更加準(zhǔn)確的確診隱藏的問題，從而更加精確的設(shè)計策略來限制。

2.3 數(shù)據(jù)流的安全策略

2.3.1 通過數(shù)據(jù)加密保障數(shù)據(jù)的完整性

數(shù)據(jù)本身的安全策略主要是用密碼算法對數(shù)據(jù)進(jìn)行主動保護，如數(shù)據(jù)加密、數(shù)據(jù)傳輸安全、雙向強身份認(rèn)證等。數(shù)據(jù)加密即按照確定的密碼算法把敏感的明文數(shù)據(jù)變換成難以識別的密文數(shù)據(jù)，來保證即使數(shù)據(jù)被竊取也不會泄露信息。主要方式有：對稱加密(如RSA和DSA)和非對稱加密(如DES、IDEA和AES)。數(shù)據(jù)傳輸安全中加密是通過數(shù)字簽名來保障數(shù)據(jù)包的完整性，確保數(shù)據(jù)包是沒有被調(diào)包沒有被更改過的數(shù)據(jù)包。只是對傳輸中的數(shù)據(jù)流加密而數(shù)據(jù)包中的數(shù)據(jù)還是明文，這樣來防止通信線路上的竊聽、篡改和破壞。局域網(wǎng)中訪問者的身份很容易被偽造，即未經(jīng)授權(quán)的人仿冒有權(quán)限人的身份進(jìn)入局域網(wǎng)，這樣任何安全防范體系就都形同虛設(shè)。身份認(rèn)證正是要求參與安全通信的雙方在進(jìn)行安全通信前，必須互相鑒別對方的身份。在實際應(yīng)用中，通常把公鑰密碼體系和數(shù)字簽名算法結(jié)合使用，在保證數(shù)據(jù)傳輸完整性的同時完成對用戶的身份認(rèn)證。

2.3.2數(shù)據(jù)備份與冗余保障提高數(shù)據(jù)的可靠性

數(shù)據(jù)的安全存儲在局域網(wǎng)安全流程中是非常重要的一個環(huán)節(jié)，為了防止數(shù)據(jù)的丟失，異地備份是保護數(shù)據(jù)的最安全的方式，自然災(zāi)害的發(fā)生，其他的保護手段基本起不上作用，而異地容災(zāi)的優(yōu)勢就體現(xiàn)出來了此外在數(shù)據(jù)保護中，快照技術(shù)(snapshot)是極為熱門的技術(shù)之一，快照可以恢復(fù)遭破壞的數(shù)據(jù)，減少宕機的損失，也可以針對管理人員操作失誤進(jìn)行數(shù)據(jù)的恢復(fù)。對于硬件的老化，需要管理員在日常工作檢查中及時發(fā)現(xiàn)流量的衰減，及時更換老化的硬件。

2.4 用戶方面的安全策略

即使網(wǎng)絡(luò)安全體系架構(gòu)的再完善，策略做的再完美，由于用戶自身的疏忽，也會導(dǎo)致整體體系的崩潰，所以需要加強用戶的安全防范意識。用戶方面一些主要的防護方法如下：防止信息的主動和被動收集；安裝殺毒軟件，打開系統(tǒng)自身的防火墻或者第三方軟件的防火墻，關(guān)閉危險的不用的服務(wù)端口，防止被黑客利用；杜絕弱口令的使用，將系統(tǒng)自帶的管理用戶改名，設(shè)置密碼的安全長度和復(fù)雜性，及時更換密碼，防止黑客遠(yuǎn)程暴力猜解；加強對木馬惡意代碼等攻擊的防御意識，對一些網(wǎng)上流傳的工具或者軟件要經(jīng)過殺毒軟件掃描以后再使用，不要下載下來就急著打開，對一些不是官方的網(wǎng)站或者聲望不高的網(wǎng)站，一定要謹(jǐn)慎，打開殺毒軟件的WEB防護功能，并將瀏覽器禁用ACTIVE插件，禁止自動執(zhí)行腳本；及時打補丁，防止溢出攻擊；降低系統(tǒng)目錄的用戶訪問權(quán)限；開啟系統(tǒng)自帶的日志記錄，養(yǎng)成看日志，分析日志的好習(xí)慣，關(guān)心和關(guān)注安全問題，及時解決不良的隱患。

3 小結(jié)

局域網(wǎng)的網(wǎng)絡(luò)安全問題是一個較為復(fù)雜的工程問題，需要隨著網(wǎng)絡(luò)的發(fā)展不斷的研究和探索解決方案，需要一套完整的網(wǎng)絡(luò)安全策略方案來解決。除了安全架構(gòu)策略之外仍然需要提升用戶的安全意識，才能減少對系統(tǒng)的攻擊和破壞。

[1]唐成華，于順爭. 基于異構(gòu)的網(wǎng)絡(luò)安全策略自適應(yīng)發(fā)布[J].計算機科學(xué), 2008，(9)：74-79.

[2]江衛(wèi)星. 基于VLAN的Intranet網(wǎng)絡(luò)安全策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2009,(11)：17-19.

[3]張沖杰. 計算機網(wǎng)絡(luò)安全策略及其技術(shù)防范措施[J]數(shù)字技術(shù)與應(yīng)用, 2010,(11)：71-72.

[4]敖卓緬. 網(wǎng)絡(luò)安全技術(shù)及策略在校園網(wǎng)中的應(yīng)用 [D].重慶大學(xué)，2007.

[5]曹旭. 計算機網(wǎng)絡(luò)安全策略探討 [J].硅谷, 2011,(21) ：8-9.

[6]尹敬齊. 煤碳企業(yè)計算機網(wǎng)絡(luò)安全策略 [J].煤碳技術(shù), 2012,(9) ：212-214.

[7]高永強，郭世鐸等. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用大典 [M].北京：人民出版社，2003：20-50.

[8]茅杰，李娜. 網(wǎng)絡(luò)安全策略探析 [J].北京電力高等?？茖W(xué)校學(xué)報, 2012,(4) ：221-223.

[9]李春榆，張學(xué)杰，李紅靈 淺析基于交換機技術(shù)的增強局域網(wǎng)網(wǎng)絡(luò)安全策略[J].電腦知識與技術(shù), 2012,(4) ：4344-4345.

[10]李秋雁，金志剛. 校園網(wǎng)絡(luò)安全策略[J].華北煤碳醫(yī)學(xué)院學(xué)報，2007,(1)：123-124.

(責(zé)任編輯：孫強)

Design of Local Area Network Security Architecture

HUANG Li-Min，QU Wen-Yao

( Shandong Institute of Commerce and Technology, Jinan, Shandong 250103, China )

This paper discusses a design of local area network security architecture. On the basis of analyzing general network topology structure, configuration, network data flow of equipment, user applications vulnerability, this thesis puts forward a design of network security architecture, including a security policy topological structure, security policy of security strategy and the equipment configuration of LAN.

security policy; LAN security framework; data flow

2014-06-10

黃麗民(1970-)，女，山東陽谷人，信息與電子學(xué)院副教授，碩士，研究方向為計算機應(yīng)用，網(wǎng)絡(luò)安全。

TP393.08

A

1671-4385(2014)04-0108-04