◆袁 超

（泰安市氣象局 山東 271000）

局域網(wǎng)組網(wǎng)拓撲及安全防御系統(tǒng)設(shè)計

◆袁 超

（泰安市氣象局 山東 271000）

互聯(lián)網(wǎng)、云計算和大數(shù)據(jù)技術(shù)的快速普及和發(fā)展，促進了信息化技術(shù)在電子政務(wù)、金融證券、電力通信等領(lǐng)域的廣泛普及和使用，構(gòu)建了功能完善、可擴展性強、安全性高的局域網(wǎng)，并且引入了云計算技術(shù)優(yōu)化局域網(wǎng)拓撲結(jié)構(gòu)，提高了路由轉(zhuǎn)發(fā)數(shù)據(jù)信息的速度和效率，同時引入了安全風險評估、入侵檢測、多層主動安全保護技術(shù)，進一步提升了局域網(wǎng)的安全防御性能。

局域網(wǎng)；拓撲結(jié)構(gòu)；風險評估；入侵檢測

0 引言

互聯(lián)網(wǎng)、大數(shù)據(jù)、云計算、數(shù)據(jù)庫等技術(shù)的快速發(fā)展和改進大大提高了人類社會的信息化水平，實現(xiàn)了信息共享、協(xié)同辦公、智能控制等方面的功能，有效改進了人們工作、生活和學習的環(huán)境，具有重要的作用和意義。局域網(wǎng)承載著各類型的信息化系統(tǒng)，這些系統(tǒng)接入的用戶數(shù)以千萬計，因此為了提高信息化系統(tǒng)的防護能力，防止由于多用戶并發(fā)訪問系統(tǒng)而造成的系統(tǒng)崩潰、數(shù)據(jù)丟失，可以結(jié)合當前的云計算、大數(shù)據(jù)、智能存儲等技術(shù)優(yōu)化網(wǎng)絡(luò)拓撲結(jié)構(gòu)，提高網(wǎng)絡(luò)系統(tǒng)防御能力。

1 局域網(wǎng)組網(wǎng)拓撲架構(gòu)設(shè)計

局域網(wǎng)承載的信息化系統(tǒng)較多，這些信息運行積累了海量的數(shù)據(jù)資源。構(gòu)建一個強大的智能數(shù)據(jù)存儲系統(tǒng)，以提高系統(tǒng)并發(fā)訪問能力，利用先進的虛擬化、重定向、數(shù)據(jù)遷移實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)共享，具有重要的作用。

1.1 虛擬化技術(shù)

大數(shù)據(jù)時代，局域網(wǎng)建設(shè)最為關(guān)鍵的技術(shù)是虛擬化，虛擬化可以提高局域網(wǎng)硬件利用率，把應(yīng)用程序及其運行所需的數(shù)據(jù)獨立出來，按照不同的分配策略賦予用戶邏輯存儲空間，這樣就可以均衡局域網(wǎng)負載，實時地監(jiān)控數(shù)據(jù)資源的使用狀態(tài)，提高數(shù)據(jù)中心的利用率。

1.2 數(shù)據(jù)和程序隔離

局域網(wǎng)承載的應(yīng)用程序和用戶較多，不同的用戶需要訪問關(guān)聯(lián)的數(shù)據(jù)，因此亟需采用先進的應(yīng)用程序和數(shù)據(jù)隔離技術(shù)，以保證局域網(wǎng)用戶信息的完整性、邏輯獨立性，保證應(yīng)用進程、動態(tài)鏈接庫、應(yīng)用內(nèi)容能夠獨立運行，不會影響其他服務(wù)器或應(yīng)用程序的執(zhí)行。

1.3 數(shù)據(jù)遷移技術(shù)

局域網(wǎng)存儲服務(wù)器空間被劃分為不同的訪問優(yōu)先級，建設(shè)的成本也不同。一般來講，局域網(wǎng)服務(wù)器可以判斷用戶程序和數(shù)據(jù)的訪問頻次，根據(jù)訪問頻次實現(xiàn)動態(tài)遷移，將訪問頻次較高的數(shù)據(jù)放置在優(yōu)先級較高的位置，同時也可以將訪問頻次較少的數(shù)據(jù)遷移到優(yōu)先級較低的位置。

1.4 平臺支持技術(shù)

局域網(wǎng)建設(shè)過程中，為了提高數(shù)據(jù)傳輸、交換和共享能力，局域網(wǎng)采用ESB（企業(yè)數(shù)據(jù)交換總線）技術(shù)可以注冊多種業(yè)務(wù)，這些業(yè)務(wù)可以實現(xiàn)異構(gòu)系統(tǒng)數(shù)據(jù)共享；利用Mapreduce技術(shù)實現(xiàn)數(shù)據(jù)的分片存儲，能夠提高系統(tǒng)的利用率，進一步改善局域網(wǎng)遷移能力。

因此，為了加強局域網(wǎng)服務(wù)器的應(yīng)用功能，可以采用三層網(wǎng)絡(luò)架構(gòu)，分別是數(shù)據(jù)核心交換層、單元交換子層和服務(wù)器層。系統(tǒng)組網(wǎng)采用層次化設(shè)計原則，將不同的功能和應(yīng)用部署于不同的層面，便于管理和數(shù)據(jù)交流，易于對故障點做出準確判斷和解決故障。

（1）數(shù)據(jù)核心交換層。局域網(wǎng)的數(shù)據(jù)核心交換層可以管理網(wǎng)絡(luò)的核心資源，優(yōu)化骨干網(wǎng)絡(luò)的數(shù)據(jù)傳輸，構(gòu)建一個帶寬較高的通信網(wǎng)絡(luò)，提高網(wǎng)絡(luò)的可靠性。

（2）單元交換子層。局域網(wǎng)的單元交換子層可以按照不同的區(qū)域進行應(yīng)用服務(wù)劃分，也可以根據(jù)不同的MAC地址、IP地址等劃分網(wǎng)絡(luò)傳輸單元，每一個單元都可以支持VLAN功能，保證網(wǎng)絡(luò)的靈活性和易管理性。

（3）服務(wù)器。局域網(wǎng)承載的業(yè)務(wù)較多，每一類業(yè)務(wù)都包括海量的數(shù)據(jù)資源和應(yīng)用程序，組建局域網(wǎng)時已經(jīng)購買了Web服務(wù)器、數(shù)據(jù)服務(wù)器，這些服務(wù)器構(gòu)成了一個完善的簇群，能夠進行邏輯業(yè)務(wù)請求解析、數(shù)據(jù)加工處理，并且可以將相關(guān)的處理結(jié)果集成封裝在一起，反饋給用戶。

2 局域網(wǎng)安全防御系統(tǒng)設(shè)計

隨著局域網(wǎng)的普及和應(yīng)用，安全威脅也在迅速地增大，給人們帶來了嚴重的危害，局域網(wǎng)安全威脅已經(jīng)呈現(xiàn)出了攻擊渠道多樣化、攻擊隱藏長期化、威脅智能化等特點。局域網(wǎng)接入的設(shè)備類別越來越多，網(wǎng)絡(luò)類型也越來越多，比如傳感器網(wǎng)絡(luò)、光纖網(wǎng)絡(luò)、移動網(wǎng)絡(luò)等，這些網(wǎng)絡(luò)接入設(shè)備包括傳感器、臺式機、智能手機，數(shù)據(jù)傳輸設(shè)備包括兩層交換機、三層交換機和路由器等，設(shè)備開發(fā)技術(shù)和架構(gòu)不同，因此集成入網(wǎng)絡(luò)時存在許多漏洞，無形中增加了攻擊渠道。局域網(wǎng)安全攻擊者為了達到破壞、篡改、竊取等目的，許多木馬和病毒的隱藏周期越來越長，比如金融銀行信息化系統(tǒng)在運行中遇到了APT攻擊，APT攻擊威脅具有高級、長期和威脅大等三個關(guān)鍵要素，其可以使用復雜的、精準度較高的惡意軟件攻擊金融系統(tǒng)遺留的漏洞，從場外持續(xù)監(jiān)控系統(tǒng)目標，盜取金融機密數(shù)據(jù)。軟件開發(fā)技術(shù)快速提升，已經(jīng)誕生了多種開發(fā)平臺，分別是VisualStudio、Eclipse等，黑客使用這些集成化平臺開發(fā)的病毒和木馬智能化程度更高，一旦某個應(yīng)用軟件系統(tǒng)受到攻擊，病毒可以在很短的時間內(nèi)傳播到其他子系統(tǒng)，破壞范圍更廣。

2.1 安全風險評估功能設(shè)計

局域網(wǎng)安全風險評估可以采用現(xiàn)代BP神經(jīng)網(wǎng)絡(luò)、支持向量機、層次分析等方法構(gòu)建一個強大的評估模型，詳細地分析局域網(wǎng)接入系統(tǒng)、設(shè)備和使用者的行為，以便識別局域網(wǎng)構(gòu)成要素的重要程度，賦予其不同的權(quán)值信息，分析局域網(wǎng)受到的安全威脅程度，然后針對威脅程度較為嚴重的組成內(nèi)容進行重點防御，提高風險承受能力[4]。

2.2 入侵檢測功能設(shè)計

入侵檢測是局域網(wǎng)安全防御系統(tǒng)不可或缺的組成部分，其可以部署在防火墻、訪問控制列表中，能夠?qū)崟r地采集網(wǎng)絡(luò)中的流量數(shù)據(jù)，對其進行分析、識別和處理，及時發(fā)現(xiàn)不正常的數(shù)據(jù)包。目前常用的入侵檢測技術(shù)包括網(wǎng)絡(luò)流量抓包技術(shù)、網(wǎng)絡(luò)深度包過濾技術(shù)等，這些技術(shù)都可以利用軟件或硬件關(guān)聯(lián)規(guī)則分析技術(shù)進行挖掘，將挖掘的結(jié)果報告給下一層，由安全保護功能進行清除威脅。目前，局域網(wǎng)入侵檢測還引入了強大的系統(tǒng)漏洞掃描技術(shù)，能夠?qū)崟r地掃描系統(tǒng)中存在的漏洞，及時打補丁，防止系統(tǒng)遭受非法入侵。

2.3 多層次安全保護技術(shù)

局域網(wǎng)安全保護技術(shù)較多，比如防火墻、360殺毒軟件、卡巴斯基木馬查殺軟件等，為了提高安全保護能力，應(yīng)利用安全預(yù)警、安全保護技術(shù)構(gòu)建一個多層次、主動式的防御系統(tǒng)。局域網(wǎng)安全預(yù)警技術(shù)主要包括漏洞預(yù)警、行為預(yù)警和攻擊趨勢預(yù)警功能。局域網(wǎng)集成了多種異構(gòu)應(yīng)用軟件，這些軟件采用不同的架構(gòu)、開發(fā)語言和環(huán)境實現(xiàn)，集成過程中使用接口進行通信，容易產(chǎn)生各類型漏洞，給安全攻擊提供渠道。漏洞預(yù)警可以及時地為用戶提供打補丁的機會，抵御外來威脅；行為預(yù)警或攻擊趨勢預(yù)測可以通過觀察網(wǎng)絡(luò)不正常流量，使用數(shù)據(jù)挖掘算法來預(yù)測網(wǎng)絡(luò)中存在的攻擊行為，進一步提高預(yù)警能力，保證系統(tǒng)具備初步的安全性。局域網(wǎng)采用的安全措施較多，這些安全防御措施包括殺毒工具、防火墻防御系統(tǒng)、系統(tǒng)安全訪問控制列表、虛擬專用網(wǎng)絡(luò)等。這些防御工具或軟件采用單一部署、集成部署等模式，可以有效地保證網(wǎng)絡(luò)數(shù)據(jù)的完整性。局域網(wǎng)安全防御系統(tǒng)將多種網(wǎng)絡(luò)安全防御技術(shù)整合在一起，實現(xiàn)局域網(wǎng)病毒、木馬查殺，避免網(wǎng)絡(luò)木馬和病毒蔓延，防止局域網(wǎng)被攻擊和感染，擾亂局域網(wǎng)正常使用。

3 結(jié)束語

局域網(wǎng)承載了許多業(yè)務(wù)系統(tǒng)，作為連接用戶和互聯(lián)網(wǎng)的重要單元，其為用戶提供強大的互聯(lián)網(wǎng)信息服務(wù)。為了適應(yīng)現(xiàn)代云計算、大數(shù)據(jù)、智能存儲需求，局域網(wǎng)拓撲采用三層架構(gòu)，可以提高網(wǎng)絡(luò)的管理性能，并且引入了先進的安全風險評估、入侵檢測和多層安全保護技術(shù)，提高局域網(wǎng)防御病毒、木馬和黑客的能力。

[1]黃蔚民，屠一波，張維，等.淺談?wù)畔⒕W(wǎng)絡(luò)系統(tǒng)的內(nèi)網(wǎng)安全防御手段[J].信息安全與通信保密，2008.

[2]江兆堯.基于建筑業(yè)企業(yè)局域網(wǎng)組建的實例研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014.

[3]王建.局域網(wǎng)網(wǎng)絡(luò)安全綜合防御體系構(gòu)建與分析[J].電腦知識與技術(shù)，2010.

[4]剛建勛，張宇，王俊.局域網(wǎng)網(wǎng)絡(luò)安全綜合防御體系構(gòu)建與分析[J].信息系統(tǒng)工程，2015.