通信公司局域網絡安全的優化

房永興

（遼河油田通信公司網絡管理維護中心，遼寧 盤錦 124010）

隨著網絡使用日趨普及,企業為了控制和集成化管理企業生產經營活動時的所有信息,增強企業核心競爭力,不斷提高企業信息化程度。企業數據量的加大給網絡帶寬帶來的巨大壓力,各種惡意軟件對企業網絡安全不斷的挑戰,都成了企業網絡正在面臨的棘手問題。通信公司隨著通信技術的發展不斷壯大,為提高渠道覆蓋范圍大量增加網點個數,使企業局域網絡負載量加大,同時信息的安全問題也變得日趨嚴重。因此,通信公司希望企業局域網絡提供更高的可用性和可靠性,也就是要求局域網絡進行相應網絡的優化。

1 通信公司局域網絡的現狀況

隨著數據業務的高速發展和城市信息化的推進,除了承載傳統的電信業務之外,還應能提供其它業務,滿足多樣化傳輸需求,并能針對不同用戶的實際需求,提供差別化服務。根據技術發展趨勢和市場需求,構建一個大容量、多業務、可擴展和開放式的高可靠性網絡傳輸統一平臺,將成為網絡發展的方向和演進的最終目標。如何打造一個能夠適應技術發展趨勢、大容量、多業務、可擴展、開放式、高可用性的網絡平臺一直是通信從業人員的工作目標。通信公司為用戶提供多種業務和技術服務,勢必建設多套業務系統,各業務網絡單獨組網復雜且低效,造成網絡資源嚴重浪費、設備和運營成本相對較高,以及業務提供緩慢等問題,無法滿足用戶的靈活性、高帶寬等需求。

2 通信公司局域網絡存在的問題

2.1 運維方式較簡單

主要在用戶反映網絡出現問題時候才通過TELNET到設備上查看相關信息。對網絡設備和網絡帶寬利用率無法實現實時檢測,缺少有效的網絡管理工具。

2.2 網絡結構過于復雜

在日常運行維護的過程中,不能簡單地進行救火式維護。為了保證各系統和網絡設備全天不間斷運行,網絡系統管理員除了定期對設備進行巡視檢查外,還按照前期制定的《作業維護計劃》進行日常例行的網絡配置、運行性能、日志等信息進行檢查,確保設備能夠正常為用戶提供網絡服務。因為采用雙機冗余、互為熱備份模式,這樣就可以最大程度將影響降至最低。盡管系統管理員每天都主動維護設備,但是設備、系統或網絡還是會經常會發生一些故障或障礙。每次發生的故障或障礙可能都不相同,這就需要系統或網絡管理員要有深層次的判斷排查能力,還要借助于一些專業工具。但有時故障的現象實在讓人無法判斷,因為各種排查手段都使用過后,發現結果卻是自相矛盾,無法解釋和無法定位的問題。

3 通信公司域網絡優化的原則

3.1 穩定性

隨著網絡用戶的不斷增加,用戶之間的互訪量較大,網絡中的廣播風暴占據較大的流量,通過對相對訪問量較高的群組進行VLAN的劃分設置,提高帶寬利用率,控制廣播風暴。并且通過ACL訪問控制列表,拒絕部分數據包,達到屏蔽部分流量的目的。

3.2 安全性

隨著計算機系統功能的日益完善和速度的不斷提高，系統組成越來越復雜，系統規模越來越大，特別是Internet的迅速發展，存取控制、邏輯連接數量不斷增加，軟件規模空前膨脹，任何隱含的缺陷、失誤都能造成巨大損失。又因為局域網用戶眾多，隨意篡改IP地址、惡意訪問等情況時有發生，存在較多的安全隱患和威脅。因此，要特別重視網絡的安全性。通過對服務器、路由器、防火墻的設置和優化，可以有效的提高網絡的安全性。

4 通信公司局域網絡優化的方法

4.1 穩定性優化

4.1.1 訪問控制列表(ACL)

訪問控制列表是使用在路由器接口的指令列表。這些指令列表可以告訴路由器對哪些數據包要收、對哪些數據包要拒絕。至于數據包是被接收還是拒絕,可由源地址、目的地址、端口號等的特定條件來決定。ACL可以過濾網絡中的流量,它是控制訪問的一種技術手段。主要任務是保證網絡資源不被非法的使用和訪問。在這里我們使用的是擴展IP訪問控制列表。擴展IP訪問控制列表比標準IP訪問控制列表具有更多的匹配項,包括協議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優先級等。

4.1.2 VLAN技術

VLAN中文名稱為“虛擬局域網”。虛擬局域網邏輯上把網絡資源和網絡用戶按照一定的原則進行劃分，把一個物理上實際的網絡劃分成多個小的邏輯的網絡。這些小的邏輯的網絡形成各自的廣播域，也就是虛擬局域網VLAN。這一技術主要使用于交換機和路由器中,但主流應用還是在交換機上。VLAN能更好地滿足企業發展的需要，可突破物理網段的限制來建立部門網絡，對網絡通信進行隔離，由于VLAN的特點,一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN內,從而可以控制流量、提高網絡帶寬的利用率、減少設備投資、簡化網絡管理、提高網絡的安全性。

4.2 安全性優化

防火墻是一個或一組系統,防火墻系統能由路由器,也能由個人主機、主系統或者一批主系統構成,它的作用是把網絡或子網同可能被網絡以外的一些系統濫用的服務和協議分隔區分開。它能提高機構內部網絡的安全性,能加強網絡之間相互訪問的控制,能防止和避免外部用戶非法使用內部網絡的資源,能保護內部網絡的設備不被惡意破壞,能防止內部網絡的重要數據信息不被竊取。防火墻是在兩個網絡通訊時執行的一種訪問控制技術,它能允許授權的人和數據進入你的網絡,同時將你拒絕的人和數據隔離在門外,最大限度地阻止網絡中的黑客來訪問你的網絡,防止他們更改、拷貝、毀壞內網的重要信息。防火墻作為內部網與外部網之間相互聯接的訪問控制設備,一般是被安裝在內部網絡和外部網絡連接的點上。防火墻系統也可以位于等級較低的網關,以便為某些數量較少的主系統或子網提供保護。

5 網絡安全配置

5.1 修改系統缺省服務和端口

按照最小特權原則,關閉不必要的服務和端口,以提高設備和網絡的安全性。

5.2 加密設置

對網絡設備進行密碼設置,配置為強加密和啟用密碼加密；Service password_encryption//啟用加密服務；No enable password//禁用弱加密的特權密碼。

5.3 企業局域網內IP地址與物理地址綁定

出于方便管理及網絡安全的考慮,為防止未通過授權的IP地址訪問網絡。將局域網內IP地址與網卡MAC物理地址進行綁定,是很有效的方法。同時也是防范ARP攻擊的有效手段。

5.4 限制企業局域網內互聯網權限的開通

限制網絡訪問權限也是保護網絡使用安全的重要措施。通過訪問控制列表可以實現為使用外網權限的人的IP地址開放互聯網權限。其他人只開放內網訪問權限。最大限度的保護網絡。

6 結語

綜上所述，對于通信公司局域網絡安全存在的問題,結合具體網絡優化技術，以分析總結的方式給出與通信公司網絡相適應的優化分析方法。局域網絡安全優化是一個長期的過程,它貫穿于網絡發展的全過程。只有保障了局域網絡的穩定和安全,才能更好的發揮局域網絡的潛力、提高工作的效率，達到最佳的運行效果。

[1]張國鳴，唐樹才.網絡實用技術.北京：清華大學出版社，2002

[2]Daniel Nssar.網絡運營保障技術.北京：電子工業出版社，2001

[3]Douglas E.Comer.omputer Networks and Internets.Prentice Hall，2009

[4]張國鳴，嚴體華.網絡管理員教程.北京：清華大學出版社，2006

[5]譚浩強.計算機網絡教程.北京：電子工業出版社，2003