安全和可控信息網的研究

摘要：該文論述了在局域網建立安全信息體系的意義，對信息不可控給網絡造成的影響進行了概述。并以一個大學校園網，就建立可控網絡和信息過濾的方法及實現進行了探討，對網絡性能的影響進行了分析論述。

關鍵詞：網絡；隱患；信息；行為控制；過濾；安全；規則；配置

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)32-1093-03

Research of Communication Networks on Safety and Control

LIANG Bing1，LIAO Xiang-bai2

(1.Library of South China University， Hengyang 421001，China; 2.Electric Engineering Institute of South China University， Hengyang 421001，China)

Abstract: The significance of building a safety system at the LAN is described， and the effects are summarized for uncontrollable communication in this paper .To build up a university campus network's measure and practice that can control and filtrate communication is discussed，moreover performance effect analyse is discussed.

Key words: network; hidden trouble; information; action control; filtration; safety; rule; configuration

1 引言

目前許多學校網絡都接有多個運營網出口，上網電腦數量多，網絡結構復雜，流量大，穩定性要求高。而另一方面，由于網絡應用滯后、運營意識不足，普遍都存在“重擴網使用，輕安全管理”的傾向，常常都是在內部網與互聯網之間放一個防火墻就萬事大吉，有的甚至直接連到互聯網。這就為病毒、黑客提供了充分施展身手的空間。而病毒泛濫、黑客攻擊、信息丟失、服務被拒絕等安全隱患只要發生一次，對整個網絡都將是致命性的，所以網絡的安全已成為一個不可忽視的問題。

2 內網管理的失控現象

對于一個已建成的局域網，如果缺乏上網的有效監控和日志，沒有有效的安全預警手段和防范措施，上網用戶的身份不能被識別，網絡就會存在極大的安全隱患，造成網絡管理失控，具體表現在以下幾點：

2.1 不健康的信息缺乏過濾

各類反動、色情、暴力等有害信息可以通過電子郵件、論壇、留言板、聊天軟件、文件傳輸、網頁瀏覽等載體蔓延，對網絡上出現的有害信息缺乏收集機制及處置措施，往往到出事后才亡羊補牢，令學校管理者防不勝防。

2.2 病毒泛濫

一些計算機病毒和攻擊性程序可以在網頁上附加惡意腳本，當瀏覽該網頁時，腳本病毒感染計算機，進而感染全網絡，危害網絡安全。通過E-mail散發的蠕蟲病毒對網絡速度的影響越來越嚴重，危害極大。被病毒感染的用戶電腦會選擇個人電腦通訊簿中的隨機地址進行郵件發送。成百上千的垃圾郵件被群發，有的又會被成批地退回來堆在服務器上。造成個別骨干網擁塞，網速明顯變慢，局域網端口連接數急劇增加，設備處理不堪重負近于癱瘓。

2.3 無用信息耗盡網絡資源

校內應用服務不規范，大量的垃圾信息、有害信息利用資源共享等途徑進入到用戶終端和含有漏洞的各種應用服務器，致使硬件資源耗盡而死機。

2.4 不能及時反饋信息

網管人員對上網情況無從了解，缺乏必要有效的技術措施。面對網絡中的一些設備端口形成瓶頸導致網速變慢的情況，不能及時得到信息反饋和技術處置。

2.5 用戶隨意接入

用戶隨意拉扯網絡線路，常常無意間連接時被構成回路。致使計算機不斷發送路由信息和校驗數據，占用網絡資源，影響整體網速。

2.6 無法確認用戶身份

用戶上網行為不規范，盜用他人IP地址造成地址沖突。私建代理服務接入局域網造成上網用戶身份確認困難。無法控制不同部門、不同身份的人使用相關的網絡資源。

2.7 不能及時排除硬件故障

作為發現未知設備的主要手段，廣播包在網絡中起著非常重要的作用。然而，如果缺少技術手段，不能及時發現網絡設備硬件故障，隨著網絡中計算機數量的增多，廣播包的數量會急劇增加 。當廣播包的數量達到30%時，網絡的傳輸效率將會明顯下降。計算機網卡或網絡設備損壞后，會不停地發送廣播包，從而導致廣播風暴。因此，當網絡設備硬件有故障時也會引起網速變慢，不及時排除會使網絡通信陷于癱瘓。

3 安全網絡基本要求

安全的網絡環境體現在：

3.1 信息完整防止篡改

為保證信息正確、完整，在被傳的信息中應加入一定的冗余信息，當發現數據單元被修改或數據次序被修改時，可進行恢復。

3.2 數據安全防止泄密

加密分為文件加密和傳輸加密，傳輸加密主要有鏈路加密、節點加密和端到端加密。鏈路加密是鏈路上數據都以密文形式出現。節點加密對源節點到目的節點間的傳輸鏈路提供保護。端到端加密對源端用戶到終端用戶的數據提供保護。

3.3 身份確認防止偽冒

身份鑒別包括通信雙方是否合法，一般通過交換信息方式來確認。數字證書和數字簽名是網絡系統確認用戶身份證明的主要手段。數字證書是一種用戶被授權購買的可驗證用戶身份的電子文件，數字簽名是采用一種算法對通過網絡傳送的信息實現簽名。

3.4 狀態監控防止非法

通過截取網絡中的數據，解包分析，以實現信息監控，它可以根據IP地址或MAC地址和端口號進行監控，還可用自己定義的安全規則進行驗證，判斷連接狀態的合法性。

3.5 訪問行為可以控制

用事先制定好的規則確定主體對客體的訪問是否合法，防止非授權的訪問。

4 安全可控網的實現方式

要實現可以控制從外部網絡訪問內部網絡、或從內部網絡訪問外部網絡的方式。可以采用邊緣路由器，也可以是專用硬件防火墻。通常位于內部網與Internet網的連接處，充當網絡訪問的唯一切入點，期望隔斷外來攻擊。值得注意的是，在校園網內有相當數量的學生計算機相關技術比較高，好奇、侵入探測欲望非常重。相比來自外部的攻擊，來自內網的攻擊往往更為可怕，威脅更大。

依照OSI的七層模型，網絡安全也貫穿在不同層次上，安全規則分為鏈路層安全、網絡層安全、傳輸層安全、應用層安全的不同策略。為此，可針對不同上網群體和特點，在內網拓撲的不同層面設備上實施用戶行為控制和信息過濾的安全措施。

4.1 關健設備IP地址與MAC地址綁定

校園網過去曾發生過因網絡用戶盜用服務器IP地址而造成服務中斷，因盜用交換機的網關地址而造成整個網段癱瘓的安全事件。為防止該類事件發生，可以將一些關健的應用服務器IP地址與MAC地址綁定，將一些VLAN網關的IP地址與網關接口的MAC地址綁定。MAC地址是我們通常所說的物理地址、硬件地址、適配器地址或網卡地址。由于MAC地址具有基于網絡設備ID的唯一特征，因此通過地址綁定，可以有效地杜絕了上述現象。并且不會對網絡性能造成影響，網絡配置相對簡單。另一方面，因為要求網絡管理員必須明確網絡中每個網絡設備的MAC地址，并要根據要求進行配置，且當某個網絡設備的網卡發生變化，或是物理位置變化時要對系統進行重新配置，所以采用MAC地址綁定僅適合用于少數關健設備。對于網管員來說，伴隨著網絡設備數量的不斷擴大，維護工作量也在不斷增加。

4.2 VLAN劃分的隔離

虛擬局域網(VLAN)劃分是為了避免當內網的設備數量增加到一定程度后，眾多的網絡廣播報文消耗大量的網絡帶寬，使得真正的數據傳遞受到大的影響。避免給園區核心設備造成爭奪資源壓力。同時，通過用支持VLAN的交換機阻隔不同組內網絡設備間的數據交換來達到網絡安全的目的。是確保安全性高的部門其敏感數據不被隨意訪問而采用一種相互隔離子網的方法。通過VALN技術，可以把一個網絡系統中的眾多網絡設備分成若干個虛擬的“工作組”，組和組之間的網絡設備在二層上互相隔離 ，該方式允許同一VLAN上的用戶互相通信，而處于不同VLAN的用戶之間在鏈路層上是斷開的，只能通過三層路由器才能訪問。

由于VALN技術是基于二層和三層之間的隔離技術，可被用于網絡安全，可以針對不同的用戶群體和不同的網絡資源進行分組。 例如：學校有行政辦公的OA和教學教務、電子圖書資料等網絡資源，其中行政辦公的OA主要是教職工使用，與學生無關。而教學教務、電子圖書資料等面向全體校內師生。為此，在交換機上劃分了學生群的VLAN和行政人員的VLAN，并給不同的網絡資源權限，確保OA資源只能由本組用戶訪問。

4.3 訪問控制進行信息過濾

訪問控制列表（ACL）是一種基于包過濾的流向控制技術。標準訪問控制列表通過把源地址、目的地址以及端口號作為數據包檢查的基本元素，過濾規則以表格的形式表示，其中包括以某種次序排列的條件和動作序列。收到的數據包將按照從前至后的順序與表格中每行的條件比較，直到滿足某一行的條件，然后執行相應的動作(轉發或舍棄)。訪問控制列表過去通常應用在局域網絡的出口控制，企業通過實施訪問控制可以有效地控制哪些員工可以訪問Internet，員工可以訪問哪些Internet站點，員工可以在什么時候訪問Internet，員工可以利用Internet得到什么服務而不從事其它活動等。訪問控制列表執行時與次序有關，建立時應該要仔細考慮。

例如：某公司有一個B 類地址 120.8.0.0，它不希望Internet 上的外部用戶對它進行訪問。但是，該公司網中有一個子網120.8.8.0 正用于和某大學合作開發項目，該大學有一個B 類地址130.6.0.0 ，并希望大學的各個子網都能訪問120.8.8.0 子網。

同時又由于130.6.6.0 子網中存在著不安全因素，因此，它除了能訪問120.8.8.0 子網之外，不能訪問公司網中的其它子網。為了簡單起見，假定只考慮從大學到公司的數據包所需規則集情況：

規則源地址目的地址 動作

A 130.6.0.0 120.8.8.0 permit

B 130.6.6.0 120.8.0.0deny

C 0.0.0.00.0.0.0 deny

其中0.0.0.0 代表任何地址，規則C 是缺省規則，若沒有其它的規則可滿足，則應用此規則。如果還考慮從公司到大學的數據包，相對稱的規則應加入到此表格中，即源地址與目的地址對調，再定義相應的動作。

現在，我們若以ABC 的順序來應用規則的Router 能達到預想的結果，而以BAC 的順序來應用規則，則不能達到預計的目的。因為根據規則B，從130.6.6.0 子網到公司網的數據包都被拒絕，原希望從130.6.6.0 子網到120.8.8.0 子網的數據能被轉發，而無法做到。實際上，在建立上面規則時存在著一個小錯誤，正是由于這個錯誤，導致了以ABC 的順序和以BAC 的順序來應用規則會出現了不同的結果。規則B 似乎用于拒絕130.6.6.0 子網訪問公司網，但實際上這是多余的。規則C 能完成上述功能。

訪問控制列表不僅可控制地址間的訪問，還可用作對信息資源過濾，進而保障局域網的安全性。例如內網有許多用戶被感染病毒，同時又有許多用戶在使用QQ和代理服務器，致使內網病毒泛濫占用網絡資源網速極慢。經分析是因為QQ登錄使用了TCP/UDP8080兩個端口，還有可能使用到udp/4000進行通訊。而且軟件支持代理服務。目前的代理服務器主要布署在TCP 8080、TCP 3128（HTTP代理）和TCP1080(socks)這三個端口上，病毒泛濫主要是利用了444、134、135、138、9999等TPC/UDP協議端口，通過建立ACL可以對信息資源過濾。

access-list 101 deny tcp 210.43.112.0 0.0.240.255anyeq 8080

access-list 101 deny udp 210.43.112.0 0.0.240.255anyeq 8080

access-list 101 deny udp 210.43.112.0 0.0.240.255anyeq 4000

access-list 101 deny tcp 210.43.112.0 0.0.240.255anyeq 1080

access-list 101 deny tcp 210.43.112.0 0.0.240.255anyeq 3128

access-list 101 deny udp 210.43.112.0 0.0.240.255anyeq 445

access-list 101 deny tcp 210.43.112.0 0.0.240.255anyeq 1433

access-list 101 deny tcp 210.43.112.0 0.0.240.255anyeq 138

access-list 101 deny udp 210.43.112.0 0.0.240.255anyeq 1433

access-list 101 deny tcp 210.43.112.0 0.0.240.255anyeq 9999

…………

然后，在問題嚴重的虛網上應用以上規則：

int vlan 22

ip access-group 101 out

…………

int vlan 101

ip access-group 101 out

……

有效的解決了上述問題。

需要注意的是擴展ACL不僅讀取IP包頭的源地址/目的地址，還要讀取包頭中的源端口和目的端口，在沒有硬件ACL加速情況下，會消耗大量的CPU資源。另外，維護訪問控制列表不僅耗時，而且由于訪問控制列表的策略性也非常強，與網絡的整體規劃有很大的關系。因此，是否采用訪問控制列表以及在多大程度上利用它，只能是管理效益與網絡安全之間的一個權衡。同時還要分析符合條件的數據流的路徑，尋找一個最適合進行控制的位置。

4.4 加強身份認證，進行用戶行為控制

ACL是使用包過濾技術來實現的，過濾的依據又僅僅只是第三層和第四層包頭中的部分信息，這種技術具有一些固有的局限性，如無法識別到具體的人，無法識別到應用內部的權限級別等。因此，要達到用戶行為控制目的，還需要和系統級及應用級的訪問權限控制結合使用。一些上網認證軟件、郵件過濾網關、網管系統軟件、防火墻及其它安全產品都有不同的可對用戶身份審核和控制強制斷網的功能。特別是PKI和PMI技術的出現和不斷成熟，使得上網用戶的身份確認以及要按不同用戶授予不同應用權限的行為管理已經變為現實，采用不同的策略管理，給予不同的資源訪問權限是實現電子商務、電子政務應用的主要技術手段。

5 結束語

隨著園區網絡建設的不斷擴大和網絡應用的深入，安全問題已成為不可忽視的問題，通過以上防范措施，在局域網不僅可阻止來自外網的威協，又防范了來自內網的攻擊。能夠滿足辦公、教學以及學生上網的多種正常需求，網管人員可保證對網絡信息的監控和管理，對上網人員的行為監督控制。

參考文獻：

[1] 楊家海，任憲坤，王沛瑜.網絡管理原理與實現技術[M].北京:清華大學出版社，2000.

[2] 芩賢道，安常青.網絡管理協議及應用開發[M].北京:清華大學出版社，1998.

[3] 張德慶.Internet網絡安全管理研究[M].計算機應用，2001，21(8):43-45.