局域網組網拓撲及安全防御系統設計

◆袁 超

（泰安市氣象局 山東 271000）

局域網組網拓撲及安全防御系統設計

◆袁 超

（泰安市氣象局 山東 271000）

互聯網、云計算和大數據技術的快速普及和發展，促進了信息化技術在電子政務、金融證券、電力通信等領域的廣泛普及和使用，構建了功能完善、可擴展性強、安全性高的局域網，并且引入了云計算技術優化局域網拓撲結構，提高了路由轉發數據信息的速度和效率，同時引入了安全風險評估、入侵檢測、多層主動安全保護技術，進一步提升了局域網的安全防御性能。

局域網；拓撲結構；風險評估；入侵檢測

0 引言

互聯網、大數據、云計算、數據庫等技術的快速發展和改進大大提高了人類社會的信息化水平，實現了信息共享、協同辦公、智能控制等方面的功能，有效改進了人們工作、生活和學習的環境，具有重要的作用和意義。局域網承載著各類型的信息化系統，這些系統接入的用戶數以千萬計，因此為了提高信息化系統的防護能力，防止由于多用戶并發訪問系統而造成的系統崩潰、數據丟失，可以結合當前的云計算、大數據、智能存儲等技術優化網絡拓撲結構，提高網絡系統防御能力。

1 局域網組網拓撲架構設計

局域網承載的信息化系統較多，這些信息運行積累了海量的數據資源。構建一個強大的智能數據存儲系統，以提高系統并發訪問能力，利用先進的虛擬化、重定向、數據遷移實現網絡數據共享，具有重要的作用。

1.1 虛擬化技術

大數據時代，局域網建設最為關鍵的技術是虛擬化，虛擬化可以提高局域網硬件利用率，把應用程序及其運行所需的數據獨立出來，按照不同的分配策略賦予用戶邏輯存儲空間，這樣就可以均衡局域網負載，實時地監控數據資源的使用狀態，提高數據中心的利用率。

1.2 數據和程序隔離

局域網承載的應用程序和用戶較多，不同的用戶需要訪問關聯的數據，因此亟需采用先進的應用程序和數據隔離技術，以保證局域網用戶信息的完整性、邏輯獨立性，保證應用進程、動態鏈接庫、應用內容能夠獨立運行，不會影響其他服務器或應用程序的執行。

1.3 數據遷移技術

局域網存儲服務器空間被劃分為不同的訪問優先級，建設的成本也不同。一般來講，局域網服務器可以判斷用戶程序和數據的訪問頻次，根據訪問頻次實現動態遷移，將訪問頻次較高的數據放置在優先級較高的位置，同時也可以將訪問頻次較少的數據遷移到優先級較低的位置。

1.4 平臺支持技術

局域網建設過程中，為了提高數據傳輸、交換和共享能力，局域網采用ESB（企業數據交換總線）技術可以注冊多種業務，這些業務可以實現異構系統數據共享；利用Mapreduce技術實現數據的分片存儲，能夠提高系統的利用率，進一步改善局域網遷移能力。

因此，為了加強局域網服務器的應用功能，可以采用三層網絡架構，分別是數據核心交換層、單元交換子層和服務器層。系統組網采用層次化設計原則，將不同的功能和應用部署于不同的層面，便于管理和數據交流，易于對故障點做出準確判斷和解決故障。

（1）數據核心交換層。局域網的數據核心交換層可以管理網絡的核心資源，優化骨干網絡的數據傳輸，構建一個帶寬較高的通信網絡，提高網絡的可靠性。

（2）單元交換子層。局域網的單元交換子層可以按照不同的區域進行應用服務劃分，也可以根據不同的MAC地址、IP地址等劃分網絡傳輸單元，每一個單元都可以支持VLAN功能，保證網絡的靈活性和易管理性。

（3）服務器。局域網承載的業務較多，每一類業務都包括海量的數據資源和應用程序，組建局域網時已經購買了Web服務器、數據服務器，這些服務器構成了一個完善的簇群，能夠進行邏輯業務請求解析、數據加工處理，并且可以將相關的處理結果集成封裝在一起，反饋給用戶。

2 局域網安全防御系統設計

隨著局域網的普及和應用，安全威脅也在迅速地增大，給人們帶來了嚴重的危害，局域網安全威脅已經呈現出了攻擊渠道多樣化、攻擊隱藏長期化、威脅智能化等特點。局域網接入的設備類別越來越多，網絡類型也越來越多，比如傳感器網絡、光纖網絡、移動網絡等，這些網絡接入設備包括傳感器、臺式機、智能手機，數據傳輸設備包括兩層交換機、三層交換機和路由器等，設備開發技術和架構不同，因此集成入網絡時存在許多漏洞，無形中增加了攻擊渠道。局域網安全攻擊者為了達到破壞、篡改、竊取等目的，許多木馬和病毒的隱藏周期越來越長，比如金融銀行信息化系統在運行中遇到了APT攻擊，APT攻擊威脅具有高級、長期和威脅大等三個關鍵要素，其可以使用復雜的、精準度較高的惡意軟件攻擊金融系統遺留的漏洞，從場外持續監控系統目標，盜取金融機密數據。軟件開發技術快速提升，已經誕生了多種開發平臺，分別是VisualStudio、Eclipse等，黑客使用這些集成化平臺開發的病毒和木馬智能化程度更高，一旦某個應用軟件系統受到攻擊，病毒可以在很短的時間內傳播到其他子系統，破壞范圍更廣。

2.1 安全風險評估功能設計

局域網安全風險評估可以采用現代BP神經網絡、支持向量機、層次分析等方法構建一個強大的評估模型，詳細地分析局域網接入系統、設備和使用者的行為，以便識別局域網構成要素的重要程度，賦予其不同的權值信息，分析局域網受到的安全威脅程度，然后針對威脅程度較為嚴重的組成內容進行重點防御，提高風險承受能力[4]。

2.2 入侵檢測功能設計

入侵檢測是局域網安全防御系統不可或缺的組成部分，其可以部署在防火墻、訪問控制列表中，能夠實時地采集網絡中的流量數據，對其進行分析、識別和處理，及時發現不正常的數據包。目前常用的入侵檢測技術包括網絡流量抓包技術、網絡深度包過濾技術等，這些技術都可以利用軟件或硬件關聯規則分析技術進行挖掘，將挖掘的結果報告給下一層，由安全保護功能進行清除威脅。目前，局域網入侵檢測還引入了強大的系統漏洞掃描技術，能夠實時地掃描系統中存在的漏洞，及時打補丁，防止系統遭受非法入侵。

2.3 多層次安全保護技術

局域網安全保護技術較多，比如防火墻、360殺毒軟件、卡巴斯基木馬查殺軟件等，為了提高安全保護能力，應利用安全預警、安全保護技術構建一個多層次、主動式的防御系統。局域網安全預警技術主要包括漏洞預警、行為預警和攻擊趨勢預警功能。局域網集成了多種異構應用軟件，這些軟件采用不同的架構、開發語言和環境實現，集成過程中使用接口進行通信，容易產生各類型漏洞，給安全攻擊提供渠道。漏洞預警可以及時地為用戶提供打補丁的機會，抵御外來威脅；行為預警或攻擊趨勢預測可以通過觀察網絡不正常流量，使用數據挖掘算法來預測網絡中存在的攻擊行為，進一步提高預警能力，保證系統具備初步的安全性。局域網采用的安全措施較多，這些安全防御措施包括殺毒工具、防火墻防御系統、系統安全訪問控制列表、虛擬專用網絡等。這些防御工具或軟件采用單一部署、集成部署等模式，可以有效地保證網絡數據的完整性。局域網安全防御系統將多種網絡安全防御技術整合在一起，實現局域網病毒、木馬查殺，避免網絡木馬和病毒蔓延，防止局域網被攻擊和感染，擾亂局域網正常使用。

3 結束語

局域網承載了許多業務系統，作為連接用戶和互聯網的重要單元，其為用戶提供強大的互聯網信息服務。為了適應現代云計算、大數據、智能存儲需求，局域網拓撲采用三層架構，可以提高網絡的管理性能，并且引入了先進的安全風險評估、入侵檢測和多層安全保護技術，提高局域網防御病毒、木馬和黑客的能力。

[1]黃蔚民，屠一波，張維，等.淺談政府信息網絡系統的內網安全防御手段[J].信息安全與通信保密，2008.

[2]江兆堯.基于建筑業企業局域網組建的實例研究[J].網絡安全技術與應用，2014.

[3]王建.局域網網絡安全綜合防御體系構建與分析[J].電腦知識與技術，2010.

[4]剛建勛，張宇，王俊.局域網網絡安全綜合防御體系構建與分析[J].信息系統工程，2015.