Internet的區域服務安全防御系統的研究與應用

肖 犁

（東莞市經濟貿易學校，廣東東莞523106）

21世紀，隨著Internet技術的發展，網絡開始成為人們生活中不可或缺的一部分。從單機的數學運算、文件處理，到基于簡單連接的內部網絡之間的業務處理、辦公自動化等的發展，再到基于復雜的內部網、企業外部網、全球互聯網的企業級計算機處理系統和世界范圍內的信息共享和業務處理，在這些領域中，程序、文檔、信息等各種資源都可以被共享；甚至如打印機、傳真機等硬件也可通過網絡共享。網絡使人們的生活變得經濟便捷且豐富多彩，作為基礎設施的局域網絡部署也變得越來越廣泛。

與此同時，計算機安全問題日益突出，在信息社會、網絡社會的背景下，信息的私密程度和安全程度也亮起了紅燈。由于網絡的信息共享及其特有的開放性，在局域網絡發展的同時，伴之而來的信息安全威脅也在不斷增加。信息安全開始變得普遍化，從原來的專業應用開始進入人們的日常生活。建立一套完備的網絡安全系統，對于區域化管理就變得十分必要。在局域網內進行數據傳輸和信息發布的過程中，為了確保其安全性，最好采用多種安全策略和技術，并不斷改變其機制。

然而，安全與反安全始終是共同發展的，隨著計算機技術的提升，兩者之間的矛盾也在不斷攀升，網絡安全必將隨著技術的發展而不斷更新。它將成為區域乃至國家信息安全保障系統的一個重要方面，對我國未來信息化、電子化的發展也起著重要的作用。

1 網絡安全

1.1 網絡安全概述

網絡安全是指通過采用各種技術和管理措施，使網絡系統正常運行，保護網絡系統中的硬件、軟件及其中的數據，確保網絡的連續性、可用性、完整性和保密性，不受偶然的或者惡意的破壞、更改、泄露。網絡安全的具體含義與對象有關：① 從用戶（個人、企業等）的角度來講，他們希望涉及個人隱私或商業利益的信息在網絡上傳輸時受到機密性、完整性和真實性的保護；②從網絡運行和管理者角度來講，他們希望對本地網絡信息的訪問、讀寫等操作受到保護和控制，避免出現“陷門”、病毒、非法存取、拒絕服務和網絡資源非法占用和非法控制等威脅，制止和防御網絡黑客的攻擊；③ 對安全保密部門來講，他們希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵，避免機要信息泄露，避免對社會產生危害，對國家造成巨大損失；④ 從社會教育和意識形態角度來講，網絡上不健康的內容，會對社會的穩定和人類的發展造成阻礙，必須對其進行控制。

1.2 網絡安全的特點

（1）保密性：信息不泄露給非授權用戶、實體或過程，或供其利用的特性。

（2）完整性：數據未經授權不能進行改變的特性，即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。

（3）可用性：可被授權實體訪問，并按需求使用的特性，即當需要時能否存取所需的信息。例如，網絡環境下拒絕服務、破壞網絡和有關系統的正常運行等都屬于對可用性的攻擊。

（4）可控性：對信息的傳播及內容具有控制能力。

（5）可審查性：出現安全問題時提供依據與解決的手段[1]。

1.3 網絡安全的特點

（1）物理因素的影響

網絡的物理安全是整個網絡系統安全的前提。在設計區域網絡以及施工中，應該盡可能地避免外界意外事故、環境因素干擾、人為失誤等物理風險所造成的影響。

（2）網絡結構的影響

網絡拓撲結構設計也直接影響到網絡系統的安全性。在區域網絡的設計過程中，應盡可能地避免網絡結構信息的外泄，并對外網的信息請求加以區分，將可疑信息在其達到主機之前排除。

（3）操作系統的影響

系統的安全直接關系到網絡操作系統和網絡硬件平臺的可信度。在選擇可靠操作系統的過程中，應盡可能對其進行詳盡分析和安全配置，以彌補目前操作系統的漏洞。

（4）應用系統的影響

應用系統的安全涉及很多具體應用，并直接涉及到信息數據的安全性。應盡可能地建立安全的系統平臺，采用多層次的訪問控制與權限控制手段和加密技術，對漏洞及時發現、修補，從而適應應用系統安全的動態變化。

（5）管理的影響

管理是網絡安全中最重要的部分。應完善安全管理制度，并對網絡進行實時檢測監控、報告與預警，增強網絡的可控性和可追查性，及時發現并避免非法入侵行為。

總之，對于區域網絡安全的控制，必須將網絡安全機制的建立與健全的安全管理制度相結合，以免在網絡安全出現問題時，對整個網絡造成無法彌補的損失。特別是對于區域網絡的維護，網絡安全更成為發展的重要一環。

1.4 網絡安全的主要防范措施

（1）對區域網內的關鍵設備進行全面的安全保密檢查。

（2）對訪問區域網的用戶資格進行嚴格的認證和控制。

（3）安裝區域網絡防病毒系統。

（4）對區域網內傳輸的重要信息數據進行加密。

（5）采用隔離卡或網閘對區域網絡進行隔離。

（6）制定網絡安全的管理措施。

此外，還有信息過濾、容錯、數據鏡像、數據備份和審計等其他措施。

2 Internet網絡安全技術研究

2.1 局域網

2.1.1 局域網概述

局域網（Local Area Network，LAN）是在一個較小的地理范圍（一個學校、工廠或公司）內，通過電纜將服務器、外部設備和數據庫等連接起來的數據網絡。它通常封閉于一個比較集中的地域內，通過專用的數據網絡，與其他局域網、數據庫或處理中心相連接，從而構成一個更大的數據網絡處理體系[2]。可在2臺或多臺局域網的計算機內實現文件共享、軟件共享、服務共享甚至外部設備共享等。其網絡拓撲結構共有3種，如圖1所示。

圖1 LAN的網絡拓撲結構

2.1.2 LAN安全技術

目前，局域網基本上都采用以太網，很容易被黑客介入，竊取信息。對此解決辦法主要有以下幾種。

（1）對網絡進行分段，將非法用戶與區域網絡資源相互隔離，可防止非法偵聽。網絡分段可分為物理分段和邏輯分段兩種方式，經常被綜合運用。如在海關系統中普遍使用的DEC MultiSwitch 900的入侵檢測功能。

（2）用交換式集線器代替共享式集線器，使2臺機器之間的數據包僅在2個節點之間傳輸，從而防止非法偵聽。

（3）運用虛擬局域網技術，將以太網通信變為點到點通信，不但可以防止大部分的網絡偵聽，還可以改進管理效率。保護網絡不受由廣播流量所造成的影響，靈活控制廣播域。

2.1.3 無線局域網

無線局域網（Wireless Local Area Network，WLAN）是利用電磁波發送和接收數據，不需要線纜介質，是在有線互聯網的基礎上發展起來的一種網絡。它的可移動性可以快速方便地解決有線網絡所不能解決的問題。目前，WLAN的數據傳輸速率已經最高能達到450 Mbps，傳輸距離可遠至20 km以上。

相對有線網絡，無線局域網只需要一個或多個接入點設備就可建立覆蓋整個區域的網絡，安裝更加便捷。網絡設備的安放位置不再受網絡信息點位置的限制，使用更加靈活。不需要進行網絡改造，更加經濟實惠。WLAN有多種配置方式，可以根據實際需要靈活選擇，更易擴展。綜上所述，無線局域網的應用越廣泛，無線局域網的安全問題也愈重要。無線局域網示意圖如圖2所示。

圖2 無線局域網示意圖

2.1.4 WLAN安全技術

WLAN技術最早出現在第二次世界大戰期間的軍事應用。目前，WLAN產品主要采用的是美國電氣和電子工程師協會（Institute of Electrical and Electronics Engineers，IEEE）802.11b國際標準和直接序列擴頻（Direct Sequence Spread Spectrum，DSSS）通信技術[3]。

802.11 標準是一種增強性的網絡安全解決方案。主要包括3項安全技術來保障無線局域網數據傳輸。

第1項為服務集標識（Service Set Identifier，SSID）技術。將一個網絡劃分為多個子網絡，登錄每個子網絡時都需要獨立的身份認證，以防止未授權用戶進入。

第2項為介質訪問控制（Media Access Control，MAC）技術。在無線局域網的每一個接入點下設置一個授權用戶的MAC地址清單，拒絕MAC地址不在清單中的用戶。

第3項為有線等效加密（Wired Equivalent Privacy，WEP）加密技術。來源于RC4的RSA數據加密技術，防止電波傳輸數據過程中數據被偵聽，或即使數據被截取也無法被破譯。

DSSS通過利用高速率的擴頻序列在發射端擴展信號的頻譜，而在接收端用相同的擴頻碼序列進行解擴，把展開的擴頻信號還原成原來的信號。

DSSS由于采用全頻帶傳送資料，速度較快，而且適用于固定環境或對傳輸質量要求較高的場合。如無線廠房、無線醫院、網絡社區和分校聯網等大部分都采用DSSS無線技術。

2.2 廣域網

2.2.1 廣域網概述

廣域網（Wide Area Network，WAN）也稱遠程網，是在電信網絡的基礎上發展起來的覆蓋較大地理位置的局域網之間鏈接的集合。它將分布在不同地區的局域網或計算機系統聯系起來，實現資源共享。WAN更能滿足大容量、突發性通信和綜合服務的業務需求，并且具備更規范的協議。廣域網的拓撲結構是點到點連接構成的網狀結構，如圖3所示。

圖3 廣域網的拓撲結構

2.2.2 廣域網接入技術

（1）數 字 數 據 網 （Digital Data Network，DDN），它是利用數字信道傳輸數據信號的數字網絡，可向用戶提供半永久性連接電路，不但用于計算機之間的通信，也可用于點對點的專線、一點對多點的連接、同點對多點的圖像通信和數字化信號等之間的通信。

（2）綜合業務數字網絡（Integrated Services Digital Network，ISDN）是一種可以在電話線路上同時提供音頻、視頻和數據服務的數字網絡，能夠通過一根普通的電話線進行多種業務通信、雙向進行數據傳輸等，幾乎綜合了目前各單項業務網絡的功能，又被稱為“一線通”。

（3）非對稱數字用戶環路（Asymmetric Digital Subscriber Line，ADSL）是我國目前應用最廣的寬帶接入技術。它由用戶端設備和局端設備組成，提供速率不一的上行和下行通道，不但簡化了設備設計，而且使數據和語音同時傳輸互不干擾。

（4）幀中繼是另一種廣域網窄帶接入技術，它提供了高速、高效率、低時延的服務，并利用永久性虛電路建立可靠的端到端回路，比較適合局域網之間連接或者業務量突然增大的狀況[4]。

2.3 局域網安全技術策略

為了保證局域網安全，目前主要采用掃描器設備來對網絡進行掃描，發現主機的缺陷和弱點，從而加強系統的安全性。除此之外，還需要強化網絡安全意識，建立完備的網絡安全體系。

2.3.1 采用防火墻技術

（1）防火墻的概念

防火墻是網絡安全的有機組成部分，可以區分可信與不可信網絡，它通過控制和監測網絡來判斷來往于網絡之間的信息是否安全。防火墻本身必須建立在安全的操作系統基礎上，將硬件和軟件有機結合。

（2）防火墻的主要功能

防火墻主要用于過濾進、出網絡的數據，管理進、出網絡的訪問行為，封堵某些禁止的業務，記錄通過防火墻的信息內容、活動以及對網絡攻擊進行檢測和報警等。如對內部工作子網與外網的訪問控制、隔離區（Demilitarized Zone，DMZ）區域與外網的訪問控制、內部子網與DMZ區的訪問控制、撥號用戶對內部網的訪問控制、下屬機構對總部的訪問控制、基于時間的訪問控制、用戶級權限控制、高層協議控制、網絡之間互連的協議與MAC綁定、流量控制以及端口映射等[5]。

（3）防火墻類型

① 包過濾防火墻。過濾器可以檢測通信數據，觀察其源地址和目標地址，從而禁止特定的地址或地址范圍傳出或進入，也可以禁止令人懷疑的地址模式。包過濾路由器示意圖如圖4所示。

圖4 包過濾路由器示意圖

包過濾防火墻樂意在網絡層上進行監測，簡單透明、使用效率高，但是由于不能引入認證機制，一般不能防御使用UDP協議的攻擊，對于低層攻擊無能為力。

② 應用層網關又被稱為代理服務器，在應用層上實現，可以監視內容并提供日志功能，但是新的服務在代理過程中存在延遲性和專業性，且代理服務受到協議本身缺陷的限制。

③ 電路層網關，如圖5所示。

圖5 電路層網關示意圖

2.3.2 限制虛擬專用網訪問

虛擬專用網（Virtual Private Network，VPN）：通過國際互聯網建立虛擬專用網，它可以接收被保護的主機信息，對此加密，然后通過路由器發送至互聯網，再通過另一個局域網中的VPN設備解密。包括撥號VPN與專線VPN。

VPN用戶有訪問內網的權限，對內網的安全造成了巨大的威脅；因此，需要利用登錄權限控制列表來限制每一位VPN用戶訪問內網的全部權限，僅僅賦予他們所需的訪問權限即可。

2.3.3 采用入侵檢測系統

入侵檢測系統（Intrusion Detection System，IDS）通過對網絡上的所有報文進行分析處理，報告異常，使網絡安全管理員及時采取行動阻止可能的破壞。IDS可以實時地監視、分析網絡中所有的數據報文，對系統記錄的網絡事件進行統計分析，主動切斷連接或與防火墻聯動。

2.3.4 建立完善的網絡安全決策

除了手動安全策略，還可以采用自動執行實時跟蹤的安全策略，實時跟蹤網絡事件并記錄數據文件。同時，培訓區域網用戶自動響應網絡安全策略，建立完善的網絡管理機構，制定嚴格的設備管理制度和軟件數據管理制度等。

對于網絡安全所面臨的問題以及日益更新的病毒和入侵方式，應該快速發展多層次、全方位、跨平臺的技術及具有強大功能的防護系統，實現自動化服務以及安全設計的合理規劃。同時，還應使網絡安裝進一步簡易化，保證對區域網絡用戶的服務。

3 區域網絡安全技術的應用

3.1 企業內部局域網安全技術的應用

企業內部網絡使用的特點：① 運行穩定；② 高負荷網絡運行；③ 保證私密性和安全性；④ 保證網絡速度；⑤ 管理簡單；⑥ 較大的擴展性；⑦ 支持多種外部設備使用。

企業內部網絡安全設計示意圖如圖6所示。

圖6 企業內部網絡安全設計示意圖

3.2 高校內部局域網安全技術的應用

高校內部網絡使用的特點：① 網絡管理的先進性；② 網絡使用的可靠性；③ 增強網絡之間互連協議可控性；④ 針對不同辦公區特點設定相應的安全訪問控制策略[6]。

高校內部網絡安全設計示意圖如圖7所示。

圖7 高校內部網絡安全設計示意圖

4 結 語

Internet是一個開放的、控制力度較小的機構，其中的計算機系統經常會被侵入，機密數據被竊取、權限被盜用、數據被破壞，甚至嚴重至系統癱瘓，給人們的日常生活帶來無法彌補的損失；因此，網絡安全技術的普及和發展變得非常重要，而建立一個完備的區域網絡安全體系也成了能維護網絡安全的一個重要方面。

[1] 石志國.計算機網絡安全教程[M].北京：清華大學出版社，2008.

[2] 王 群，李馥娟.局域網一點通——辦公室、家庭、網吧、宿舍組網實務[M].3版.北京：人民郵電出版社，2004.

[3] 馬鳳國，孫耀輝，郭 鐘.中興無線局域網產品及其應用解決方案[J].中興通訊，2003，9（4）：56－57.

[4] 馮登國.網絡安全原理與技術[M].北京：科學出版社，2010.

[5] 張宏武.防火墻在圖書館局域網的應用[J].現代情報，2004（10）：142－145.

[6] 蔣 威，劉 磊.校園網絡的安全分析及解決方案[J].吉林師范大學學報：自然科學版，2006（2）：45－46.