李永娜

摘要：隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛進(jìn)發(fā)展，越來越多的公司會選擇組建自己的局網(wǎng)絡(luò)，已實(shí)現(xiàn)辦公無紙化，提高辦公效率。局域網(wǎng)的內(nèi)網(wǎng)安全性就成為影響公司正常運(yùn)營的一個(gè)關(guān)鍵因素。該文從計(jì)算機(jī)網(wǎng)絡(luò)安全出發(fā)，介紹如何利用網(wǎng)絡(luò)安全枝術(shù)解決公司內(nèi)網(wǎng)安全問題的方法。

關(guān)鍵詞：內(nèi)部網(wǎng)絡(luò)；ARP攻擊；訪問控制

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2015）03-0032-02

1 概述

對中小企業(yè)而言，通常會組建內(nèi)部網(wǎng)絡(luò)以實(shí)現(xiàn)OA辦公自動化、對外宣傳的網(wǎng)站服務(wù)、倉儲管理、人事管理和客戶關(guān)系管理等方面的信息化管理，這些信息化管理系統(tǒng)都是基于WEB的應(yīng)用系統(tǒng)，所有數(shù)據(jù)都存儲在數(shù)據(jù)庫系統(tǒng)服務(wù)器中。而大型企業(yè)一般已經(jīng)邁過基礎(chǔ)設(shè)施建設(shè)階段，進(jìn)入深化應(yīng)用的新時(shí)期。無論是中小企業(yè)還是大型企業(yè)對IT應(yīng)用服務(wù)的需求會逐步細(xì)化與提升，信息安全和風(fēng)險(xiǎn)管理與控制將成為當(dāng)前企業(yè)信息化應(yīng)用中所面臨的首要挑戰(zhàn)。內(nèi)網(wǎng)的安全風(fēng)險(xiǎn)將直接引發(fā)企業(yè)核心系統(tǒng)的癱瘓、重要信息外泄等重大安全事故。比如，大部分公司內(nèi)網(wǎng)用戶具有多樣性，由于用戶計(jì)算機(jī)安全意識的參差不齊，內(nèi)部網(wǎng)絡(luò)很容易被病毒或入侵者侵襲；內(nèi)部工作人員從網(wǎng)絡(luò)和計(jì)算機(jī)查詢有關(guān)信息資料（如個(gè)人資料檔案、涉密信息等）導(dǎo)致泄密現(xiàn)象發(fā)生；部分涉密部門業(yè)務(wù)數(shù)據(jù)會被不該訪問的人訪問到；由于公司有無線網(wǎng)絡(luò)和很多移動設(shè)備，存在外來人員亂接入公司網(wǎng)絡(luò)的風(fēng)險(xiǎn)，等等。以上情況的發(fā)生，不可避免會對公司的正常運(yùn)營產(chǎn)生影響甚至嚴(yán)重危害，因此，保證公司內(nèi)網(wǎng)安全至關(guān)重要。

2 內(nèi)網(wǎng)安全問題的實(shí)例解決方案

2.1 內(nèi)網(wǎng)安全技術(shù)簡述

為了進(jìn)一步提高公司內(nèi)網(wǎng)的安全性，可以采用多種網(wǎng)絡(luò)安全技術(shù)和協(xié)議，如防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、數(shù)字證書、數(shù)字簽名等。這些技術(shù)和協(xié)議各自有一定的使用范圍，結(jié)合使用可以給公司內(nèi)網(wǎng)提供不同程度的安全保障。例如，防火墻技術(shù)是一種被動的防衛(wèi)技術(shù)，加密技術(shù)則屬于一種主動安全措施，二者結(jié)合可以為內(nèi)網(wǎng)提供更好的保護(hù)。數(shù)字證書又稱數(shù)字標(biāo)識，是互聯(lián)網(wǎng)通訊中標(biāo)志通訊各方身份信息的一系列數(shù)據(jù)，提供了一種在Internet上驗(yàn)證個(gè)人身份的方式，是一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個(gè)公開密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。而數(shù)字簽名是一種類似于傳統(tǒng)的手寫簽名或印章的電子標(biāo)記，隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，電子商務(wù)、電子政務(wù)、電子金融等系統(tǒng)得到廣泛應(yīng)用。使用數(shù)字簽名能夠解決通信雙方由于否認(rèn)、偽造、冒充和篡改等引起的爭端。圖1給出了數(shù)字簽名工作過程。

圖1 數(shù)字簽名工作過程圖

2.2 如何防范ARP攻擊

ARP，全稱Address Resolution Protocol，中文名為地址解析協(xié)議，它工作在數(shù)據(jù)鏈路層，在本層和硬件接口聯(lián)系，同時(shí)對上層提供服務(wù)。ARP病毒造成網(wǎng)絡(luò)癱瘓的原因可以分為對路由器ARP表的欺騙，和對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙兩種。第一種必須先截獲網(wǎng)關(guān)數(shù)據(jù)。它使路由器就收到一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷更新學(xué)習(xí)進(jìn)行，使真實(shí)的地址信息無法通過更新保存在路由器中，造成的PC主機(jī)無法正常收到回應(yīng)信息。第二種是通過交換機(jī)的MAC地址學(xué)習(xí)機(jī)制，當(dāng)局域網(wǎng)內(nèi)某臺主機(jī)已經(jīng)感染ARP欺騙的木馬程序，就會欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器，讓所有上網(wǎng)的流量都必須經(jīng)過病毒主機(jī)。

目前對于ARP攻擊防護(hù)問題出現(xiàn)最多是綁定IP和MAC和使用ARP防護(hù)軟件，也出現(xiàn)了具有ARP防護(hù)功能的交換路由設(shè)備，可以使用具有ARP防護(hù)功能的交換路由設(shè)備做ARP防護(hù)。解決方案如下：

步驟一：為交換機(jī)配置IP地址

為實(shí)現(xiàn)與匯聚層和核心層之家的路由以及遠(yuǎn)程管理的需要，對接入層交換路由器配置ip地址，根據(jù)ip地址的規(guī)劃，配置相應(yīng)的ip地址：172.17.1.1/24。配置命令如下：

Switch（config）#interface vlan 1

Switch（Config-if-Vlan1）#ip address 172.17.1.1 255. 255.255.0

Switch（Config-if-Vlan1）#exit

相同的命令，根據(jù)IP地址規(guī)劃，為其他接入層交換設(shè)備配置管理IP。

步驟二： 實(shí)現(xiàn)遠(yuǎn)程管理安全

為實(shí)現(xiàn)遠(yuǎn)程管理，可以啟用telnet服務(wù)、也可以啟用http服務(wù)、也可以啟用ssh服務(wù)，出于安全考慮，telnet服務(wù)使用明文傳輸，http服務(wù)容易受攻擊，安全性都不高，shh服務(wù)采用加密的方式實(shí)現(xiàn)安全連接，因此采用shh來遠(yuǎn)程管理接入層。配置命令如下：

Switch（config）#ssh-server enable

Switch（config）#ssh-user admin password 0 12345678@qq.com

在這里舉例配置ssh用戶和密碼，為安全起見，ssh用戶和密碼可根據(jù)需要做修改，同樣操作對其他接入層交換路由器啟動ssh服務(wù)。

步驟三：為端口劃分VLAN

為實(shí)現(xiàn)不同部門之間不相互影響，減少設(shè)計(jì)范圍，將網(wǎng)絡(luò)分成多個(gè)VLAN，，為實(shí)現(xiàn)與匯聚交換路由器的連接，需要在接入層交換路由器上配置TRUNK接口，根據(jù)VLAN規(guī)劃，劃分VLAN和配置TRUNK接口，同時(shí)關(guān)閉沒有使用的接口。

步驟四：實(shí)現(xiàn)vlan1的路由

為實(shí)現(xiàn)與匯聚層設(shè)備和核心層設(shè)備之間的通信，需要對接入層交換路由設(shè)備做默認(rèn)路由配置，假設(shè)接入層交換路由設(shè)備的默認(rèn)網(wǎng)關(guān)與硬件防護(hù)墻的內(nèi)部接口地址為172.17.1.254/24，配置命令如下：

Switch #config

Switch （config）# ip default-gateway 172.17.1.254

Switch （config）#exit

步驟五：啟用端口防ARP欺騙

接入層交換路由器是網(wǎng)絡(luò)接入第一線，容易受ARP病毒的影響，導(dǎo)致整個(gè)接入層網(wǎng)絡(luò)癱瘓，為使網(wǎng)絡(luò)不受ARP病毒影響而整個(gè)網(wǎng)絡(luò)癱瘓，需要在接入層交換路由器上每個(gè)端口啟用防ARP欺騙，配置命令如下：

SwitchA（config）#anti-arpscan enable

SwitchA（config）#anti-arpscan recovery time 3600

SwitchA（config）#anti-arpscan trust ip 172.17.1.254 255.255.255.0

SwitchA（config）#interface ethernet0/1/1

SwitchA （Config-If-Ethernet0/1/1）#anti-arpscan trust supertrust-port

Switch A（Config-If-Ethernet0/1/1）#exit

匯聚層交換路由器

SwitchB（config）#anti-arpscan enable

SwitchB（config）#interface ethernet0/0/1

SwitchB（Config-If-Ethernet0/0/1）#anti-arpscan trust port

SwitchB（Config-If-Ethernet0/0/1）exit

2.3 如何防范內(nèi)網(wǎng)內(nèi)部攻擊

對于開通內(nèi)網(wǎng)的公司而言，有些部門需要保密，比如財(cái)務(wù)部門、總裁辦、銷售部門等。這些部門的機(jī)密信息一旦泄露，可能會對公司產(chǎn)生巨大的影響。而現(xiàn)在的商業(yè)競爭無孔不入，不排除有競爭對手從公司內(nèi)部瓦解盜取商業(yè)秘密的可能。對于部分網(wǎng)絡(luò)設(shè)備需要控制訪問的請求，可以用三層設(shè)備的ACL來實(shí)現(xiàn)。

訪問控制列表IP ACL技術(shù)是Access Control List的簡寫，簡單說便是數(shù)據(jù)包過濾。配置在網(wǎng)絡(luò)設(shè)備中的訪問控制列表實(shí)際上是一張規(guī)則檢查表，這些表中包含很多指令規(guī)則，告訴交換機(jī)或者路由器設(shè)備，哪些數(shù)據(jù)包可以接收，哪些數(shù)據(jù)包需要拒絕，實(shí)施對網(wǎng)絡(luò)中通過的數(shù)據(jù)包過濾，從而實(shí)現(xiàn)對網(wǎng)絡(luò)資源進(jìn)行訪問輸入和輸出的訪問控制。

基于IP ACL規(guī)則實(shí)現(xiàn)匯聚層設(shè)備接入安全實(shí)例：

步驟一至步驟四：參考防范ARP攻擊設(shè)置。

步驟五：配置mac地址綁定

匯聚層交換機(jī)連接接入層交換設(shè)備，提供一定的鏈路連接，只允許教職工的電腦可以接入我們的內(nèi)部網(wǎng)絡(luò)，不允許其他人使用內(nèi)部網(wǎng)絡(luò)，網(wǎng)絡(luò)的可控性就顯得更為重要，為限制某些無權(quán)使用內(nèi)部網(wǎng)絡(luò)連接企業(yè)內(nèi)網(wǎng)，我們可以在校園網(wǎng)絡(luò)已經(jīng)架設(shè)好一段時(shí)間后，進(jìn)行mac地址綁定，將端口的自動學(xué)習(xí)mac地址功能關(guān)閉，這樣就可以限制其他計(jì)算機(jī)或設(shè)備非法使用我們的內(nèi)部網(wǎng)絡(luò)，配置命令如下：

1） 啟用端口mac地址綁定功能

Switch（Config）#interface Ethernet 0/0/1-12

Switch（Config-port-range）#switchport port-security

2） 將端口學(xué)習(xí)到的動態(tài)MAC地址轉(zhuǎn)化為靜態(tài)安全MAC地址

Switch（Config）#interface Ethernet 0/0/1-12

Switch（Config-port-range）#switchport port-security convert

3） 關(guān)閉端口mac地址自動學(xué)習(xí)功能

Switch（Config）#interface Ethernet 0/0/1-12

Switch（Config-port-range）#switchport port-security lock

4） 如果以后有個(gè)別需要，需要添加個(gè)別計(jì)算機(jī)連接校園網(wǎng)絡(luò)，可以使用手動添加mac地址來達(dá)到使用內(nèi)部網(wǎng)絡(luò)的目的。例如添加mac地址00-03-0f-fe-2e-d3。

Switch（Config）#interface Ethernet 0/0/1

Switch（Config-Ethernet0/0/1）#switchport port-security mac-address 00-03-0F-FE-2E-D3

步驟六：使用acl限制常見病毒端口的訪問

為了降低網(wǎng)絡(luò)病毒與bt下載對網(wǎng)絡(luò)性能的影響，我們可以通過acl阻止一些比較常見的病毒使用的端口和bt下載使用的端口，控制使用病毒端口和bt端口的數(shù)據(jù)不允許通過，這樣就可以更有利于網(wǎng)絡(luò)的穩(wěn)定性，配置命令如下：

1） 啟用交換機(jī)的防火墻功能

Switch（Config）# firewall enable

2） 配置acl默認(rèn)動作為允許

Switch（Config）# firewall default permit

3）創(chuàng)建訪問控制列表virus

Switch（Config）#ip access-list extended virus

4）配置訪問控制列表virus，這里列舉一些比較常見的病毒很bt端口，如果有新病毒或bt端口更改的，我們的訪問控制列表也要相應(yīng)做修改。比如：

Switch（Config）#ip access-list extended virus

Switch（Config-IP-Ext-Nacl-virus）#deny udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 69

5）permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255

在端口上應(yīng)用訪問控制列表

Switch（Config）#internet Ethernet 0/0/1-12

Switch （Config-Port-Range）#ip access-group virus in

3 小結(jié)

隨著內(nèi)部網(wǎng)絡(luò)的逐漸普及應(yīng)用，其安全要求越來越高，不但要求防治病毒，還要提高系統(tǒng)反抗外部或內(nèi)部攻擊的能力，以及對遠(yuǎn)程數(shù)據(jù)傳輸?shù)谋Ｃ苄?，避免在傳輸途中遭受非法竊取等。當(dāng)然，任何一個(gè)安全技術(shù)都不會提供永遠(yuǎn)和絕對的安全，因?yàn)榫W(wǎng)絡(luò)在變化.應(yīng)用在變化，入侵和破壞的手段也在變化，只有技術(shù)的不斷進(jìn)步才是真正的安全保障。

參考文獻(xiàn)：

[1] 段鋼.加密與解密[M].3版.北京：電子工業(yè)出版社，2008.

[2] 萬立夫.木馬攻防全攻略深入剖析[M].北京：電子音像出版社，2009.

[3] 祝陳，沈松，孫高海.淺析網(wǎng)絡(luò)入侵檢測系統(tǒng)[J].民營科技，2009（6）.