網絡安全模型的改進設計及實現

◆張佼龍

(身份證號:410105200008220017)

網絡安全模型的改進設計及實現

◆張佼龍

(身份證號:410105200008220017)

保障網絡的安全運行是當前信息技術的研究熱點，對網絡不安全性因素的行為深入分析，可以發揮網絡安全模型在網絡安全運行中的重要作用。計算機的網絡安全防范不僅需要理論的支撐，更需要借助實驗對理論知識進行實踐驗證。計算機一旦受到任何攻擊，都會對人們的生活工作帶來極大的損失。基于此本文通過對計算機網絡等信息技術安全特性進行分析，從而探析基于防火墻的網絡安全模型的設計。

網絡安全模型；設計改進；模型優化

0 引言

當前計算機網絡的使用規模日趨增大，網絡的安全特性也逐漸受到社會各界人士的廣泛關注。網絡安全是在計算機使用過程中的一個潛在的重要因素，要保證計算機的正常使用，必須要保證計算機不會受到病毒以及各種黑客的入侵[1]，防止其對網絡系統的安全特性造成影響。因此在當前計算機網絡廣泛應用的背景之下，需要不斷地優化改進網絡安全模型，從而有效提升網絡安全模型的可行性，保證計算機使用過程中的安全，以便給人們營造一種安全健康的網絡環境。

1 傳統網絡模型分析

社會科技不斷發展進步，更多的信息化技術被廣泛地應用于當前人們的生活、工作中，計算機網絡安全問題也逐漸受到人們的廣泛關注。網絡安全是對計算機網絡系統造成威脅的一大風險因素，其威脅來自網絡內部以及網絡外部的多方面攻擊。而傳統的網絡安全模型，對于網絡系統性的管理仍然存在一定的拓展延寬性[2]。計算機網絡管理中涵蓋了多種安全技術，比如防火墻技術、入侵信息檢測技術、防護技術、身份驗證技術等。其中防火墻技術是網絡安全系統中最為常用的基本技術，受到了廣泛使用。本文通過對計算機網絡管理系統的仿真平臺進行防火墻實驗，對計算機網絡管理中的防火墻技術進行驗證，發現兩者之間并無明顯差距，可見，仿真平臺可以提供良好的防火墻技術實驗條件。

2 基于防火墻的網絡安全模型設計

在對計算機網絡管理中的仿真平臺設置中采用的主要設備由GNS3、VMware以及SNMPc三者組成。在這其中，GNS3代表的就是仿真平臺的網絡系統進行連接的主要設備。由于在此設備中所進行數據信息加載的是真實的基礎設施，因此仿真的效果與真實的效果是幾乎等同的。此設備中不僅能夠對系統中的路由器設備以及交換機設備進行效仿，并且還能夠滿足計算機網絡管理系統中的入侵檢測功能以及防御功能，從而滿足了該實驗的仿真要求。而VMware則是主要對計算機的各種操作系統進行模仿，其中也包括了網絡管理系統的具體操作功能。SNMPc設備的主要功能則是主要用于網絡管理系統的顯示功能，從而對整個網絡系統進行管理。

計算機網絡管理的仿真實驗平臺就是基于校園網，從而對計算機終端的設備進行接入，經過匯聚層以及核心層的全過程。而VMware以及 GNS3中的具體系統設備連接網絡之后，都能夠經由 SNMPc進行整個系統的網絡可視化管理，從而滿足整個網絡系統的管理功能。

3 網絡安全模型設計

網絡安全系統的組成主要包含了硬件以及軟件，防火墻主要位于計算機網絡管理系統中的外部網絡以及內部網絡之中，主要的操作過程就是通過對網絡管理系統進行管理操作的人員，將該系統的網絡訪問實施管理，對訪問的具體信息數據進行功能性過濾，從而對網絡系統的內部平臺起到一定的保護功能，避免系統遭受惡意數據的非法入侵。防火墻的組成部件包含了數據信息訪問的服務管理規則、驗證功能、過濾性能以及數據的應用網關四個部分。

防火墻絕大多數情況下都位于計算機網絡管理系統中的內部網絡以及外部網絡之中，從而使得兩個網絡系統之間能夠通過防火墻，從而連接成為一個安全的應用網關。通過對網絡管理系統中的區域進行劃分，隨后根據區域的不同，對系統區域訪問的數據信息控制的標準也各不相同。通常將外部網絡系統分為不可信任的網絡區域，將內部網絡系統分為可信任的網絡區域，而網絡系統的服務器則劃分為非軍事化區域。

4 網絡安全系統的防火墻配置過程

4.1 使得校園網內部網絡互通

校園網要想達到網絡互通的整體效果，就要借助于網絡系統的具體配置以及防火墻技術的終端。首先配置防火墻，進行網絡設備的接入，將VLAN與網絡系統的終端接入口模式進行設置。將任何網絡接入口設備都能劃分為兩個VLAN，然后將每個不同的接入設備連接不同的VLAN，將所有設備的匯聚口與終端設備相連接，設置為“Trunk”。該配置的主要接入口的IP地址作為系統的終端接入地址，借助匯聚層的接入口對不同接入段的VLAN網段問題進行解決。除此之外，防火墻的整體配置匯聚口還應該接入不同的IP核心地址以及設備的接入口IP地址。

在完成防火墻的基本配置之后，就需要啟動路由的整體動態協議，把整體的網絡進行相連接。動態路由協議又被命名為RIP協議。防火墻的整體配置也應該與網絡系統的內部網絡 IP地址相連接，從而對RIP協議的整體動態進行配合，使得計算機的內部網絡系統能夠正常地與接口相連接。

4.2 使得校園網外部網絡互通

首先對路由器接口 IP地址進行設置，從而對防火墻的整體系統與外部網絡系統的接口地址相連接，以及防火墻的整體配置與服務器系統的 IP地址相連接。并且在設置完成之后，將外部網絡與防火墻的整體設置進行連接測試，通過外部網絡的服務器防火墻與外部網絡的端口接入進行連接。除此之外，還要對DMZ區域進行配置設置，將非軍事化區域的網絡進行互通。

4.3 外網能夠訪問DMZ服務器

要想使得防火墻的配置中外部網絡系統能夠對DMZ服務器進行訪問，而又因為DMZ區域的服務器所設置的IP地址只限于私有的 IP地址，那么外部的計算機就不可能直接與其連接，因此就需要將內部網絡的計算機服務IP地址設置成一個公共的IP地址，從而便于防火墻的外部便于連接計算機的DMZ服務器。具體的設置程序如下所示：

5 結語

網絡安全在我國的發展進程中占據了重要的地位，在計算機網絡管理的過程中學生要不斷學習理論知識，借助實踐驗證理論，達到實驗理論的高度整合。計算機網絡安全系統中的防火墻實驗設計就滿足了當前網絡管理系統的內容需求。而實驗的結果也表明了網絡系統防火墻實驗設計所達到的效果與真實的設備效果等同。

[1]馬彥武，董淑福，韓仲祥.一種網絡安全聯動防御模型的設計與實現[J].火力與指揮控制，2011.

[2]許曉燕.基于改進博弈模型的網絡安全態勢評估平臺設計[J].現代電子技術，2016.