從OSI、TCP/IP探討網(wǎng)絡(luò)安全

王安娜

摘 要 影響網(wǎng)絡(luò)安全的事件很多，文章從網(wǎng)絡(luò)的基本模型OSI和TCP/IP開(kāi)始分析，討論每一層可能出現(xiàn)的問(wèn)題并給出相應(yīng)的防范建議。

關(guān)鍵詞 網(wǎng)絡(luò)安全；TCP/IP；OSI

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-7597（2014）07-0183-01

從2013年斯諾登事件爆發(fā)以來(lái)，世界各國(guó)都開(kāi)始重新審視互聯(lián)網(wǎng)絡(luò)安全。我國(guó)也于2014年2月27號(hào)，從國(guó)家層面上，宣布成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，國(guó)家主席習(xí)近平任領(lǐng)導(dǎo)小組組長(zhǎng)。今年兩會(huì)，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組一次會(huì)議，習(xí)近平首次提出建設(shè)“網(wǎng)絡(luò)強(qiáng)國(guó)”的戰(zhàn)略要求。

對(duì)網(wǎng)絡(luò)安全的討論不能浮于網(wǎng)絡(luò)安全事件本身，應(yīng)該從網(wǎng)絡(luò)通信協(xié)議OSI七層模型和TCP/IP的四層網(wǎng)絡(luò)模型談起。

1 OSI七層和TCP/IP四層概述

OSI（Open System Interconnection），即開(kāi)放互聯(lián)模型。它是互聯(lián)網(wǎng)通信的基礎(chǔ)模型，邏輯上將網(wǎng)絡(luò)協(xié)議劃分為七層。模型的設(shè)計(jì)嚴(yán)格遵守著各層之間邊界清晰，每層實(shí)現(xiàn)協(xié)議傳輸?shù)奶囟üδ艿脑O(shè)計(jì)原則。

OSI七層模型分別為：Physical Layer物理層；Data Link Layer數(shù)據(jù)鏈路層；Network Layer網(wǎng)絡(luò)層；Transport Layer傳輸層；Session Layer會(huì)話(huà)層；Presentation Layer表示層和Application Layer應(yīng)用層。

TCP/IP模型晚于OSI模型，它是隨著TCP（Transmission Control Protocol 傳輸控制協(xié)議）和IP（Internet Protocol網(wǎng)際協(xié)議）產(chǎn)生之后繼而發(fā)展來(lái)的模型，現(xiàn)在已然成為現(xiàn)今互聯(lián)網(wǎng)通信所必須遵守的協(xié)議組。

TCP/IP模型分別Data Link Layer數(shù)據(jù)鏈路層；Network Layer網(wǎng)絡(luò)層；Transport Layer傳輸層和Application Layer應(yīng)用層。TCP/IP模型的特點(diǎn)是：將OSI復(fù)雜的七層結(jié)構(gòu)簡(jiǎn)化成了四層，每一層所包括的協(xié)議，實(shí)現(xiàn)的功能更多，在實(shí)際的網(wǎng)絡(luò)應(yīng)用更加的簡(jiǎn)單，但是結(jié)構(gòu)上不夠清晰。

可以簡(jiǎn)單的將TCP/IP的數(shù)據(jù)鏈路層理解為OSI的物理層與數(shù)據(jù)鏈路層；而TCP/IP的應(yīng)用層包括OSI的上三層（會(huì)話(huà)層、表示層、應(yīng)用層）。

2 模型隱藏的網(wǎng)絡(luò)安全問(wèn)題

1）物理層安全問(wèn)題。物理層是為信息傳輸所涉及的傳輸介質(zhì)，包括網(wǎng)線、光纖等。它是計(jì)算機(jī)與計(jì)算機(jī)之間，網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的實(shí)體接口。物理層的網(wǎng)絡(luò)安全是基礎(chǔ)性的安全，一個(gè)網(wǎng)絡(luò)應(yīng)用的再好，上層的協(xié)議、措施再得當(dāng)，一旦最底層的物理安全出現(xiàn)了問(wèn)題，“上層建筑”遲早是會(huì)傾倒的。物理層的不安全主要表現(xiàn)在不同網(wǎng)絡(luò)之間傳輸時(shí)，物理線路的隔離問(wèn)題。

2）鏈路層安全問(wèn)題。鏈路層網(wǎng)絡(luò)安全，也常被叫做二層網(wǎng)絡(luò)安全。在鏈路層上常出現(xiàn)ARP攻擊、DHCP攻擊、VLAN攻擊等。它們都是利用了二層網(wǎng)絡(luò)協(xié)議的特點(diǎn)進(jìn)行的非法攻擊，一旦攻擊成功，網(wǎng)絡(luò)將會(huì)出現(xiàn)大面積的斷網(wǎng)或反應(yīng)出網(wǎng)速慢，時(shí)斷時(shí)續(xù)。

3）網(wǎng)絡(luò)層安全問(wèn)題。網(wǎng)絡(luò)層的功能是實(shí)現(xiàn)路由的選擇、流量控制和擁擠控制等。從功能上分析，網(wǎng)絡(luò)的路由選擇將是該層可能出現(xiàn)的最大的安全隱患，另外大流量的應(yīng)用，也可能造成網(wǎng)絡(luò)的堵塞，出現(xiàn)網(wǎng)絡(luò)癱瘓的現(xiàn)象。

4）傳輸層安全問(wèn)題。傳輸層實(shí)現(xiàn)了主機(jī)端到端的連接，其中連接方式有兩種TCP（面向連接）和UDP（無(wú)連接的）。大部分hacker都是通過(guò)掃描網(wǎng)絡(luò)中開(kāi)放的端口來(lái)獲取網(wǎng)絡(luò)的訪問(wèn)權(quán)限，進(jìn)而發(fā)動(dòng)網(wǎng)絡(luò)攻擊。

5）會(huì)話(huà)、表示、應(yīng)用層安全問(wèn)題。上三層（會(huì)話(huà)、表示、應(yīng)用層）的網(wǎng)絡(luò)安全可謂是無(wú)孔不入，惡意軟件傳播、僵尸病毒、惡意URL、釣魚(yú)網(wǎng)站、垃圾郵件等等都無(wú)時(shí)無(wú)刻不在侵襲著網(wǎng)絡(luò)應(yīng)用的安全。

3 網(wǎng)絡(luò)安全的防范手段

1）物理層網(wǎng)絡(luò)防范。對(duì)于物理層網(wǎng)絡(luò)安全，最好的防范措施是針對(duì)不同性質(zhì)的網(wǎng)絡(luò)規(guī)劃時(shí)使用獨(dú)立的光纖線路，做到物理的隔離。公共互聯(lián)網(wǎng)絡(luò)是一張大網(wǎng)，供人們?cè)谏厦嫘蓍e娛樂(lè)、學(xué)習(xí)、生活等，而例如政策的辦公網(wǎng)，公安、法院、檢察院的司法網(wǎng)，國(guó)稅、地稅的公務(wù)網(wǎng)，銀行的金融網(wǎng)，軍隊(duì)的軍訓(xùn)網(wǎng)都應(yīng)該獨(dú)立運(yùn)行，從物理線路上進(jìn)行絕對(duì)的隔離。

2）鏈路層安全防范。針對(duì)鏈路層的網(wǎng)絡(luò)安全，我們要分門(mén)別類(lèi)的進(jìn)行防范。

ARP攻擊的防范主要通過(guò)三個(gè)途徑：一是主機(jī)本身，在主機(jī)上利用Miscosoft操作系統(tǒng)的ARP工具進(jìn)行靜態(tài)綁定，將計(jì)算機(jī)的下一跳網(wǎng)關(guān)等重要的設(shè)備進(jìn)行綁定；二是通過(guò)交換機(jī)的端口進(jìn)行IP地址、MAC地址、交換機(jī)端口的綁定，實(shí)現(xiàn)端口的安全；三是在交換機(jī)上啟動(dòng)dot1x協(xié)議，實(shí)現(xiàn)計(jì)算機(jī)的準(zhǔn)入

認(rèn)證。

通過(guò)Windows 2003或2008操作系統(tǒng)建立DHCP服務(wù)器，Snooping過(guò)濾來(lái)自網(wǎng)絡(luò)中非法DHCP服務(wù)器或其他設(shè)備的非信任DHCP響應(yīng)報(bào)文，實(shí)現(xiàn)用戶(hù)主機(jī)的IP安全分配。

防范VLAN洪攻擊（VTP）最有效的方式是關(guān)閉二層交換機(jī)的DTP功能，將交換機(jī)互聯(lián)端口設(shè)置為T(mén)runk。可以通過(guò)設(shè)置VTP密碼和VTP密碼的管理來(lái)防范VTP攻擊。

3）網(wǎng)絡(luò)層安全防范。從路由的選擇入手，為每個(gè)三層設(shè)備（如三層交換機(jī)、路由器、具有路由功能的防火墻、入侵防御系統(tǒng)等）設(shè)置正確的route list，并檢測(cè)是否有環(huán)路的產(chǎn)生。可用windows自帶的tracert命令，跟蹤路由，查看是否有兩個(gè)地址之間，不斷反復(fù)的成為對(duì)方下一跳。

例如：

3 3 ms 40 ms 16 ms 172.20.1.217

4 3 ms 2 ms 2 ms 172.20.2.108

5 3 ms 40 ms 16 ms 172.20.1.217

6 3 ms 2 ms 2 ms 172.20.2.108

....... ....... .......

這就可以判斷出172.20.1.217和172.20.2.108中的路由表產(chǎn)生了環(huán)路。

此外，可通過(guò)網(wǎng)絡(luò)層的ACL來(lái)嚴(yán)格定義，數(shù)據(jù)的訪問(wèn)控制和數(shù)據(jù)流向，做到高安全級(jí)別的管控，實(shí)現(xiàn)不同安全域之間的數(shù)據(jù)訪問(wèn)。

4）傳輸層安全防范。進(jìn)行傳輸層的網(wǎng)絡(luò)防范有效的方法是，在網(wǎng)絡(luò)的邊界出口設(shè)置硬件防火墻和用戶(hù)主機(jī)上安裝軟件防火墻，防火墻采用白名單機(jī)制，僅開(kāi)放必要的端口及服務(wù)。

5）會(huì)話(huà)、表示、應(yīng)用層安全防范。網(wǎng)絡(luò)的防范手段是采用IPS或IDS與防火墻聯(lián)動(dòng)，實(shí)現(xiàn)4-7層的應(yīng)用告警及阻斷，在單位的網(wǎng)頁(yè)服務(wù)器前部署Web應(yīng)用服務(wù)系統(tǒng)，防網(wǎng)頁(yè)篡改、SQL注入、DDOS攻擊等。

另外，計(jì)算機(jī)用戶(hù)要保持良好的上網(wǎng)習(xí)慣，非法網(wǎng)站、陌生郵件不要打開(kāi)，軟件需從正規(guī)的官方網(wǎng)站下載。

參考文獻(xiàn)

[1]許鵬，張繼棟.通俗講解OSI七層協(xié)議參考模型[J].華章，2009（18）.

[2]王群.鏈路層安全隱患及防范技術(shù)[J].電子技術(shù)應(yīng)用，2011，37（4）.endprint