企業網絡設計與安全管理

王文兵

【摘要】為了應付當前出現的各種網絡安全問題，網絡安全技術及軟硬件設備層出不窮。安全技術覆蓋了計算機網絡的方方面面。安全技術變得紛繁復雜起來，這對網絡安全技術的應用來說帶來了挑戰。對于網絡安全我們所看重的往往是單個應用點，這就容易忽略某些層次的安全問題。本文主要探討企業網絡設計與安全管理。

【關鍵詞】網絡設計安全管理計算機

計算機網絡物理介質的不安全因素主要有電磁泄漏及干擾，網絡介質在接口、某些特定線纜都有可能出現因屏蔽不嚴而導致的信號泄漏。目前大多數計算機網絡系統的屏蔽措施都不是很健全，這對網絡安全構成了一定威脅。系統軟件及應用程序的安全問題主要是因為網絡軟件的安全功能不完善，或系統中存在各種惡意代碼，如后門程序、病毒程序等。這樣會導致信息泄漏、資源非法使用或數據損毀等后果。操作系統和應用程序在功能上變得越來越豐富，在用戶使用網絡更加方便的同時，也存在很多容易受到攻擊的地方。人員安全問題主要是由于工作人員的保密觀念不強導致。其中操作失誤導致的信息泄漏或損毀也是導致安全問題的一個重要因素。工作人員利用自己對系統的熟悉了解，為達非法目的對系統數據進行篡改、破壞也會對網絡系統造成嚴重后果。環境安全問題主要是由于地震、火災、雷電等自然災害或掉電、溫度濕度、空氣潔凈度等環境因素所導致的安全問題。

一、企業內網通信模型

當前絕大多數企業內網的接入層網絡訪問是基于以太網協議規范的，常見的有10/100BaseT、100BaseFx、1000BaseT等規范。在帶寬方面支持從10Mbps到1000Mbps速率集，從線纜材質上又分為雙絞線和光纜。企業內網接入層的通信模式主要有三種：VLAN內部通信、VLAN間通信、外網通信。

VLAN內部通信方式主要是存在于某個VLAN中的主機與本VLAN中的其他主機進行通信的過程。這個通信過程只需要通過第二層交換即可完成。該通信過程經過如下幾個步驟完成：（1）通信發起方在已知接收方IP地址的情況下，對接收方IP地址及自己的子網掩碼進行邏輯與運算，以檢查接收方IP地址是否與自己處于同一網段。（2）因為需要對數據報文在第二層數據鏈路層進行封裝，發送方接下來會發送ARP廣播來查詢接收方的MAC地址。當發送方發出ARP查詢報文后，由于是廣播報文，于是交換機會將該報文向除了接受該報文的接口之外的其他所有接口發出。（3）報文到達數據接受方之后，接收方會以自己的MAC地址作為回應發送給發送方。這樣以來，發送方在本地ARP緩存表中就有了接收方的IP與MAC地址的對應關系。

緩存表中包含了接收方的IP地址和MAC地址，發送方主機可以利用這些地址對應關系進行二層和三層封裝。PDU封裝完成后，隨即被發送給交換設備。本地交換設備通過查詢自身的MAC地址表，然后將數據幀從正確的端口上轉發出去。最終接收方收到了數據，并依據現有信息對數據作出回應。

二、企業內網安全防護體系的設計

企業內網接入層安全防護系統需要滿足如下功能需求：（1）能夠及時得知接入交換機的運行狀態，并根據運行狀態分析網絡運行是否存在ARP欺騙攻擊、DHCP欺騙攻擊、廣播風暴攻擊行為。對攻擊信息的分析要做到全面準確。對于交換機的運行狀態獲取，需要覆蓋多個接入層樓宇，并且對交換機的日志能夠持久存儲以備查閱。（2）能夠確定攻擊源在接入交換機中的位置，并進行隔離使其無法影響其他上網主機，對于已處理的主機可以進行解除隔離。隔離操作的執行需要做到直接簡便高效。攻擊主機的位置確定對用戶需要做到透明。（3）設備的控制需要對網絡管理員透明化，提供對多廠商交換設備的支持，控制功能需要使用公共標準協議，能夠監控接入設備的服務狀態和IP可達狀態。并將這些狀態呈獻給網絡管理員。對于網絡管理員作出的針對攻擊主機的操作，能夠將其轉化為交換設備可以識別的指令。（4）提供安全的用戶登錄驗證功能，能夠讓用戶使用除靜態用戶名密碼之外的第三種認證方式，保障用戶登錄信息達到不可猜測、無法破解、登錄參數無法重復使用，有效防范帳戶密碼盜取。（5）能夠提供基本的用戶權限功能，管理員、維護員和普通用戶三層管理權限，分別對應全部操作權限、后期維護權限、日志查看權限。對網絡管理員需要提供對接入網絡設備日志信息和攻擊主機信息的查詢，對管理員權限的用戶除提供查詢功能之外，還要提供對攻擊主機進行隔離和解除隔離的操作功能。對于維護員來說，除了提供查詢功能外，只允許其具備對已隔離攻擊主機的解除隔離操作。上網用戶不具備系統的操作權限，只具備攻擊主機信息的查詢功能。

三、安全管理

在用戶登錄驗證方面，本系統使用了基于雙因素用戶驗證的登錄功能。用戶驗證使用雙因素驗證，用戶除了使用用戶名與密碼之外，還需要使用一個同步碼。同步碼是由令牌生成，與服務器上產生的同步碼一致。用戶登錄驗證時，需要在特定時間段內輸入同步碼，所以即便是用戶的密碼被盜了，也不會導致系統被攻擊，大大增強了系統的安全性。

網絡設備日志分析方面，主要研究通過SYSLOG服務，將接入層交換機的日志信息捕獲，以便于對接入交換機的運行狀況進行動態分析。通過分析對接入層的三大攻擊行為進行定位，為下一步操作做鋪墊。日志信息同步數據量極大，但對細節數據的準確性要求不高，主要以大量數據宏觀分析得出結果。所以，日志信息同步功能的可靠性要比數據準確性更加重要。它要能夠持續的接收分析大量數據。

接入網絡設備控制功能是系統同接入層網絡設備進行交互的窗口，對攻擊主機進行隔離等操作需要通過它來完成，所以它需要具備對接入層設備進行控制操作的能力。這種能力是通過TELNET和SNMP協議完成的。本文著重研究了TELNET與SNMP的開發接口以及對設備控制功能的實現。總而言之，系統對日志分析功能得出的結果，最后進行隔離操作是通過本功能直接完成的。

日志記錄與存儲方面，用戶對攻擊目標的操作和系統對攻擊目標的隔離的記錄都通過本功能完成。這個功能在實際使用過程中，主要用于攻擊目標的事后處理。數據存儲功能則是將日志分析結果數據、隔離操作記錄等數據存入數據庫，由于系統的數據量較大，沒有使用復雜的數據持久化組件，而是單獨實現數據庫連接池的功能，輕量簡便。日志分析功能包含了SYSLOG套接字的創建，數據讀取分析兩大主要功能。其中SYSLOG套接字的創建主要目的是為了接收交換機發至UDP514端口的日志信息。數據分析的主要目的有兩個，一是判斷當前網絡運行是否正常，二是如果不正常，需要確定攻擊源的信息。SYSLOG套接字用于將接入交換機發來的日志信息進行讀取，然后交與日志處理邏輯對日志進行分割。日志處理邏輯使用正則表達式對日志分割完成后，數據分兩部分流向，日志信息本身交由數據庫存儲邏輯處理，另一向交由攻擊主機判定邏輯分析攻擊主機信息。對于設備控制模塊交互邏輯，當自動隔離攻擊主機開關打開時，向設備控制模塊發送控制指令。

參考文獻

[1]盧開瑞.隨機故障下計算機網絡中的病毒傳播研究.科技信息，2012（03）

[2]蔣敘，倪崢.計算機病毒的網絡傳播及自動化防御.重慶文理學院學報（自然科學版），2012（02）

[3]吳凌云.民航一體化網絡的計算機病毒查殺方法.信息與電腦（理論版），2012（01）

[4]丁媛媛.計算機網絡病毒防治技術及如何防范黑客攻擊探討.赤峰學院學報（自然科學版），2012（08）