企業(yè)網(wǎng)絡(luò)設(shè)計與安全管理

王文兵

【摘要】為了應付當前出現(xiàn)的各種網(wǎng)絡(luò)安全問題，網(wǎng)絡(luò)安全技術(shù)及軟硬件設(shè)備層出不窮。安全技術(shù)覆蓋了計算機網(wǎng)絡(luò)的方方面面。安全技術(shù)變得紛繁復雜起來，這對網(wǎng)絡(luò)安全技術(shù)的應用來說帶來了挑戰(zhàn)。對于網(wǎng)絡(luò)安全我們所看重的往往是單個應用點，這就容易忽略某些層次的安全問題。本文主要探討企業(yè)網(wǎng)絡(luò)設(shè)計與安全管理。

【關(guān)鍵詞】網(wǎng)絡(luò)設(shè)計安全管理計算機

計算機網(wǎng)絡(luò)物理介質(zhì)的不安全因素主要有電磁泄漏及干擾，網(wǎng)絡(luò)介質(zhì)在接口、某些特定線纜都有可能出現(xiàn)因屏蔽不嚴而導致的信號泄漏。目前大多數(shù)計算機網(wǎng)絡(luò)系統(tǒng)的屏蔽措施都不是很健全，這對網(wǎng)絡(luò)安全構(gòu)成了一定威脅。系統(tǒng)軟件及應用程序的安全問題主要是因為網(wǎng)絡(luò)軟件的安全功能不完善，或系統(tǒng)中存在各種惡意代碼，如后門程序、病毒程序等。這樣會導致信息泄漏、資源非法使用或數(shù)據(jù)損毀等后果。操作系統(tǒng)和應用程序在功能上變得越來越豐富，在用戶使用網(wǎng)絡(luò)更加方便的同時，也存在很多容易受到攻擊的地方。人員安全問題主要是由于工作人員的保密觀念不強導致。其中操作失誤導致的信息泄漏或損毀也是導致安全問題的一個重要因素。工作人員利用自己對系統(tǒng)的熟悉了解，為達非法目的對系統(tǒng)數(shù)據(jù)進行篡改、破壞也會對網(wǎng)絡(luò)系統(tǒng)造成嚴重后果。環(huán)境安全問題主要是由于地震、火災、雷電等自然災害或掉電、溫度濕度、空氣潔凈度等環(huán)境因素所導致的安全問題。

一、企業(yè)內(nèi)網(wǎng)通信模型

當前絕大多數(shù)企業(yè)內(nèi)網(wǎng)的接入層網(wǎng)絡(luò)訪問是基于以太網(wǎng)協(xié)議規(guī)范的，常見的有10/100BaseT、100BaseFx、1000BaseT等規(guī)范。在帶寬方面支持從10Mbps到1000Mbps速率集，從線纜材質(zhì)上又分為雙絞線和光纜。企業(yè)內(nèi)網(wǎng)接入層的通信模式主要有三種：VLAN內(nèi)部通信、VLAN間通信、外網(wǎng)通信。

VLAN內(nèi)部通信方式主要是存在于某個VLAN中的主機與本VLAN中的其他主機進行通信的過程。這個通信過程只需要通過第二層交換即可完成。該通信過程經(jīng)過如下幾個步驟完成：（1）通信發(fā)起方在已知接收方IP地址的情況下，對接收方IP地址及自己的子網(wǎng)掩碼進行邏輯與運算，以檢查接收方IP地址是否與自己處于同一網(wǎng)段。（2）因為需要對數(shù)據(jù)報文在第二層數(shù)據(jù)鏈路層進行封裝，發(fā)送方接下來會發(fā)送ARP廣播來查詢接收方的MAC地址。當發(fā)送方發(fā)出ARP查詢報文后，由于是廣播報文，于是交換機會將該報文向除了接受該報文的接口之外的其他所有接口發(fā)出。（3）報文到達數(shù)據(jù)接受方之后，接收方會以自己的MAC地址作為回應發(fā)送給發(fā)送方。這樣以來，發(fā)送方在本地ARP緩存表中就有了接收方的IP與MAC地址的對應關(guān)系。

緩存表中包含了接收方的IP地址和MAC地址，發(fā)送方主機可以利用這些地址對應關(guān)系進行二層和三層封裝。PDU封裝完成后，隨即被發(fā)送給交換設(shè)備。本地交換設(shè)備通過查詢自身的MAC地址表，然后將數(shù)據(jù)幀從正確的端口上轉(zhuǎn)發(fā)出去。最終接收方收到了數(shù)據(jù)，并依據(jù)現(xiàn)有信息對數(shù)據(jù)作出回應。

二、企業(yè)內(nèi)網(wǎng)安全防護體系的設(shè)計

企業(yè)內(nèi)網(wǎng)接入層安全防護系統(tǒng)需要滿足如下功能需求：（1）能夠及時得知接入交換機的運行狀態(tài)，并根據(jù)運行狀態(tài)分析網(wǎng)絡(luò)運行是否存在ARP欺騙攻擊、DHCP欺騙攻擊、廣播風暴攻擊行為。對攻擊信息的分析要做到全面準確。對于交換機的運行狀態(tài)獲取，需要覆蓋多個接入層樓宇，并且對交換機的日志能夠持久存儲以備查閱。（2）能夠確定攻擊源在接入交換機中的位置，并進行隔離使其無法影響其他上網(wǎng)主機，對于已處理的主機可以進行解除隔離。隔離操作的執(zhí)行需要做到直接簡便高效。攻擊主機的位置確定對用戶需要做到透明。（3）設(shè)備的控制需要對網(wǎng)絡(luò)管理員透明化，提供對多廠商交換設(shè)備的支持，控制功能需要使用公共標準協(xié)議，能夠監(jiān)控接入設(shè)備的服務(wù)狀態(tài)和IP可達狀態(tài)。并將這些狀態(tài)呈獻給網(wǎng)絡(luò)管理員。對于網(wǎng)絡(luò)管理員作出的針對攻擊主機的操作，能夠?qū)⑵滢D(zhuǎn)化為交換設(shè)備可以識別的指令。（4）提供安全的用戶登錄驗證功能，能夠讓用戶使用除靜態(tài)用戶名密碼之外的第三種認證方式，保障用戶登錄信息達到不可猜測、無法破解、登錄參數(shù)無法重復使用，有效防范帳戶密碼盜取。（5）能夠提供基本的用戶權(quán)限功能，管理員、維護員和普通用戶三層管理權(quán)限，分別對應全部操作權(quán)限、后期維護權(quán)限、日志查看權(quán)限。對網(wǎng)絡(luò)管理員需要提供對接入網(wǎng)絡(luò)設(shè)備日志信息和攻擊主機信息的查詢，對管理員權(quán)限的用戶除提供查詢功能之外，還要提供對攻擊主機進行隔離和解除隔離的操作功能。對于維護員來說，除了提供查詢功能外，只允許其具備對已隔離攻擊主機的解除隔離操作。上網(wǎng)用戶不具備系統(tǒng)的操作權(quán)限，只具備攻擊主機信息的查詢功能。

三、安全管理

在用戶登錄驗證方面，本系統(tǒng)使用了基于雙因素用戶驗證的登錄功能。用戶驗證使用雙因素驗證，用戶除了使用用戶名與密碼之外，還需要使用一個同步碼。同步碼是由令牌生成，與服務(wù)器上產(chǎn)生的同步碼一致。用戶登錄驗證時，需要在特定時間段內(nèi)輸入同步碼，所以即便是用戶的密碼被盜了，也不會導致系統(tǒng)被攻擊，大大增強了系統(tǒng)的安全性。

網(wǎng)絡(luò)設(shè)備日志分析方面，主要研究通過SYSLOG服務(wù)，將接入層交換機的日志信息捕獲，以便于對接入交換機的運行狀況進行動態(tài)分析。通過分析對接入層的三大攻擊行為進行定位，為下一步操作做鋪墊。日志信息同步數(shù)據(jù)量極大，但對細節(jié)數(shù)據(jù)的準確性要求不高，主要以大量數(shù)據(jù)宏觀分析得出結(jié)果。所以，日志信息同步功能的可靠性要比數(shù)據(jù)準確性更加重要。它要能夠持續(xù)的接收分析大量數(shù)據(jù)。

接入網(wǎng)絡(luò)設(shè)備控制功能是系統(tǒng)同接入層網(wǎng)絡(luò)設(shè)備進行交互的窗口，對攻擊主機進行隔離等操作需要通過它來完成，所以它需要具備對接入層設(shè)備進行控制操作的能力。這種能力是通過TELNET和SNMP協(xié)議完成的。本文著重研究了TELNET與SNMP的開發(fā)接口以及對設(shè)備控制功能的實現(xiàn)。總而言之，系統(tǒng)對日志分析功能得出的結(jié)果，最后進行隔離操作是通過本功能直接完成的。

日志記錄與存儲方面，用戶對攻擊目標的操作和系統(tǒng)對攻擊目標的隔離的記錄都通過本功能完成。這個功能在實際使用過程中，主要用于攻擊目標的事后處理。數(shù)據(jù)存儲功能則是將日志分析結(jié)果數(shù)據(jù)、隔離操作記錄等數(shù)據(jù)存入數(shù)據(jù)庫，由于系統(tǒng)的數(shù)據(jù)量較大，沒有使用復雜的數(shù)據(jù)持久化組件，而是單獨實現(xiàn)數(shù)據(jù)庫連接池的功能，輕量簡便。日志分析功能包含了SYSLOG套接字的創(chuàng)建，數(shù)據(jù)讀取分析兩大主要功能。其中SYSLOG套接字的創(chuàng)建主要目的是為了接收交換機發(fā)至UDP514端口的日志信息。數(shù)據(jù)分析的主要目的有兩個，一是判斷當前網(wǎng)絡(luò)運行是否正常，二是如果不正常，需要確定攻擊源的信息。SYSLOG套接字用于將接入交換機發(fā)來的日志信息進行讀取，然后交與日志處理邏輯對日志進行分割。日志處理邏輯使用正則表達式對日志分割完成后，數(shù)據(jù)分兩部分流向，日志信息本身交由數(shù)據(jù)庫存儲邏輯處理，另一向交由攻擊主機判定邏輯分析攻擊主機信息。對于設(shè)備控制模塊交互邏輯，當自動隔離攻擊主機開關(guān)打開時，向設(shè)備控制模塊發(fā)送控制指令。

參考文獻

[1]盧開瑞.隨機故障下計算機網(wǎng)絡(luò)中的病毒傳播研究.科技信息，2012（03）

[2]蔣敘，倪崢.計算機病毒的網(wǎng)絡(luò)傳播及自動化防御.重慶文理學院學報（自然科學版），2012（02）

[3]吳凌云.民航一體化網(wǎng)絡(luò)的計算機病毒查殺方法.信息與電腦（理論版），2012（01）

[4]丁媛媛.計算機網(wǎng)絡(luò)病毒防治技術(shù)及如何防范黑客攻擊探討.赤峰學院學報（自然科學版），2012（08）