從OSI、TCP/IP探討網(wǎng)絡(luò)安全

王安娜

摘 要 影響網(wǎng)絡(luò)安全的事件很多，文章從網(wǎng)絡(luò)的基本模型OSI和TCP/IP開始分析，討論每一層可能出現(xiàn)的問題并給出相應(yīng)的防范建議。

關(guān)鍵詞 網(wǎng)絡(luò)安全；TCP/IP；OSI

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1671-7597（2014）07-0183-01

從2013年斯諾登事件爆發(fā)以來，世界各國都開始重新審視互聯(lián)網(wǎng)絡(luò)安全。我國也于2014年2月27號，從國家層面上，宣布成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，國家主席習(xí)近平任領(lǐng)導(dǎo)小組組長。今年兩會，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組一次會議，習(xí)近平首次提出建設(shè)“網(wǎng)絡(luò)強國”的戰(zhàn)略要求。

對網(wǎng)絡(luò)安全的討論不能浮于網(wǎng)絡(luò)安全事件本身，應(yīng)該從網(wǎng)絡(luò)通信協(xié)議OSI七層模型和TCP/IP的四層網(wǎng)絡(luò)模型談起。

1 OSI七層和TCP/IP四層概述

OSI（Open System Interconnection），即開放互聯(lián)模型。它是互聯(lián)網(wǎng)通信的基礎(chǔ)模型，邏輯上將網(wǎng)絡(luò)協(xié)議劃分為七層。模型的設(shè)計嚴(yán)格遵守著各層之間邊界清晰，每層實現(xiàn)協(xié)議傳輸?shù)奶囟üδ艿脑O(shè)計原則。

OSI七層模型分別為：Physical Layer物理層；Data Link Layer數(shù)據(jù)鏈路層；Network Layer網(wǎng)絡(luò)層；Transport Layer傳輸層；Session Layer會話層；Presentation Layer表示層和Application Layer應(yīng)用層。

TCP/IP模型晚于OSI模型，它是隨著TCP（Transmission Control Protocol 傳輸控制協(xié)議）和IP（Internet Protocol網(wǎng)際協(xié)議）產(chǎn)生之后繼而發(fā)展來的模型，現(xiàn)在已然成為現(xiàn)今互聯(lián)網(wǎng)通信所必須遵守的協(xié)議組。

TCP/IP模型分別Data Link Layer數(shù)據(jù)鏈路層；Network Layer網(wǎng)絡(luò)層；Transport Layer傳輸層和Application Layer應(yīng)用層。TCP/IP模型的特點是：將OSI復(fù)雜的七層結(jié)構(gòu)簡化成了四層，每一層所包括的協(xié)議，實現(xiàn)的功能更多，在實際的網(wǎng)絡(luò)應(yīng)用更加的簡單，但是結(jié)構(gòu)上不夠清晰。

可以簡單的將TCP/IP的數(shù)據(jù)鏈路層理解為OSI的物理層與數(shù)據(jù)鏈路層；而TCP/IP的應(yīng)用層包括OSI的上三層（會話層、表示層、應(yīng)用層）。

2 模型隱藏的網(wǎng)絡(luò)安全問題

1）物理層安全問題。物理層是為信息傳輸所涉及的傳輸介質(zhì)，包括網(wǎng)線、光纖等。它是計算機與計算機之間，網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的實體接口。物理層的網(wǎng)絡(luò)安全是基礎(chǔ)性的安全，一個網(wǎng)絡(luò)應(yīng)用的再好，上層的協(xié)議、措施再得當(dāng)，一旦最底層的物理安全出現(xiàn)了問題，“上層建筑”遲早是會傾倒的。物理層的不安全主要表現(xiàn)在不同網(wǎng)絡(luò)之間傳輸時，物理線路的隔離問題。

2）鏈路層安全問題。鏈路層網(wǎng)絡(luò)安全，也常被叫做二層網(wǎng)絡(luò)安全。在鏈路層上常出現(xiàn)ARP攻擊、DHCP攻擊、VLAN攻擊等。它們都是利用了二層網(wǎng)絡(luò)協(xié)議的特點進行的非法攻擊，一旦攻擊成功，網(wǎng)絡(luò)將會出現(xiàn)大面積的斷網(wǎng)或反應(yīng)出網(wǎng)速慢，時斷時續(xù)。

3）網(wǎng)絡(luò)層安全問題。網(wǎng)絡(luò)層的功能是實現(xiàn)路由的選擇、流量控制和擁擠控制等。從功能上分析，網(wǎng)絡(luò)的路由選擇將是該層可能出現(xiàn)的最大的安全隱患，另外大流量的應(yīng)用，也可能造成網(wǎng)絡(luò)的堵塞，出現(xiàn)網(wǎng)絡(luò)癱瘓的現(xiàn)象。

4）傳輸層安全問題。傳輸層實現(xiàn)了主機端到端的連接，其中連接方式有兩種TCP（面向連接）和UDP（無連接的）。大部分hacker都是通過掃描網(wǎng)絡(luò)中開放的端口來獲取網(wǎng)絡(luò)的訪問權(quán)限，進而發(fā)動網(wǎng)絡(luò)攻擊。

5）會話、表示、應(yīng)用層安全問題。上三層（會話、表示、應(yīng)用層）的網(wǎng)絡(luò)安全可謂是無孔不入，惡意軟件傳播、僵尸病毒、惡意URL、釣魚網(wǎng)站、垃圾郵件等等都無時無刻不在侵襲著網(wǎng)絡(luò)應(yīng)用的安全。

3 網(wǎng)絡(luò)安全的防范手段

1）物理層網(wǎng)絡(luò)防范。對于物理層網(wǎng)絡(luò)安全，最好的防范措施是針對不同性質(zhì)的網(wǎng)絡(luò)規(guī)劃時使用獨立的光纖線路，做到物理的隔離。公共互聯(lián)網(wǎng)絡(luò)是一張大網(wǎng)，供人們在上面休閑娛樂、學(xué)習(xí)、生活等，而例如政策的辦公網(wǎng)，公安、法院、檢察院的司法網(wǎng)，國稅、地稅的公務(wù)網(wǎng)，銀行的金融網(wǎng)，軍隊的軍訓(xùn)網(wǎng)都應(yīng)該獨立運行，從物理線路上進行絕對的隔離。

2）鏈路層安全防范。針對鏈路層的網(wǎng)絡(luò)安全，我們要分門別類的進行防范。

ARP攻擊的防范主要通過三個途徑：一是主機本身，在主機上利用Miscosoft操作系統(tǒng)的ARP工具進行靜態(tài)綁定，將計算機的下一跳網(wǎng)關(guān)等重要的設(shè)備進行綁定；二是通過交換機的端口進行IP地址、MAC地址、交換機端口的綁定，實現(xiàn)端口的安全；三是在交換機上啟動dot1x協(xié)議，實現(xiàn)計算機的準(zhǔn)入

認(rèn)證。

通過Windows 2003或2008操作系統(tǒng)建立DHCP服務(wù)器，Snooping過濾來自網(wǎng)絡(luò)中非法DHCP服務(wù)器或其他設(shè)備的非信任DHCP響應(yīng)報文，實現(xiàn)用戶主機的IP安全分配。

防范VLAN洪攻擊（VTP）最有效的方式是關(guān)閉二層交換機的DTP功能，將交換機互聯(lián)端口設(shè)置為Trunk。可以通過設(shè)置VTP密碼和VTP密碼的管理來防范VTP攻擊。

3）網(wǎng)絡(luò)層安全防范。從路由的選擇入手，為每個三層設(shè)備（如三層交換機、路由器、具有路由功能的防火墻、入侵防御系統(tǒng)等）設(shè)置正確的route list，并檢測是否有環(huán)路的產(chǎn)生。可用windows自帶的tracert命令，跟蹤路由，查看是否有兩個地址之間，不斷反復(fù)的成為對方下一跳。

例如：

3 3 ms 40 ms 16 ms 172.20.1.217

4 3 ms 2 ms 2 ms 172.20.2.108

5 3 ms 40 ms 16 ms 172.20.1.217

6 3 ms 2 ms 2 ms 172.20.2.108

....... ....... .......

這就可以判斷出172.20.1.217和172.20.2.108中的路由表產(chǎn)生了環(huán)路。

此外，可通過網(wǎng)絡(luò)層的ACL來嚴(yán)格定義，數(shù)據(jù)的訪問控制和數(shù)據(jù)流向，做到高安全級別的管控，實現(xiàn)不同安全域之間的數(shù)據(jù)訪問。

4）傳輸層安全防范。進行傳輸層的網(wǎng)絡(luò)防范有效的方法是，在網(wǎng)絡(luò)的邊界出口設(shè)置硬件防火墻和用戶主機上安裝軟件防火墻，防火墻采用白名單機制，僅開放必要的端口及服務(wù)。

5）會話、表示、應(yīng)用層安全防范。網(wǎng)絡(luò)的防范手段是采用IPS或IDS與防火墻聯(lián)動，實現(xiàn)4-7層的應(yīng)用告警及阻斷，在單位的網(wǎng)頁服務(wù)器前部署Web應(yīng)用服務(wù)系統(tǒng)，防網(wǎng)頁篡改、SQL注入、DDOS攻擊等。

另外，計算機用戶要保持良好的上網(wǎng)習(xí)慣，非法網(wǎng)站、陌生郵件不要打開，軟件需從正規(guī)的官方網(wǎng)站下載。

參考文獻

[1]許鵬，張繼棟.通俗講解OSI七層協(xié)議參考模型[J].華章，2009（18）.

[2]王群.鏈路層安全隱患及防范技術(shù)[J].電子技術(shù)應(yīng)用，2011，37（4）.endprint