現(xiàn)代企業(yè)局域網(wǎng)安全管理

方學孟

摘 要：計算機網(wǎng)絡(luò)安全是促進網(wǎng)絡(luò)事業(yè)健康發(fā)展的前提，在分析網(wǎng)絡(luò)安全產(chǎn)生的原因及目前網(wǎng)絡(luò)所面臨威脅的基礎(chǔ)上，以安全防御作為出發(fā)點，從技術(shù)及管理兩大方面，提出了防護計算機網(wǎng)絡(luò)安全的具體措施與有效方案。技術(shù)上介紹了防火墻（firwell）、訪問控制結(jié)束（ACL）、網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)、虛擬專用網(wǎng)（VPN）技術(shù)、云安全等新型技術(shù)的原理，實施手段及應(yīng)用領(lǐng)域等方面做了論述。

關(guān)鍵詞：計算機網(wǎng)絡(luò)安全、網(wǎng)絡(luò)安全威脅、網(wǎng)絡(luò)安全防范措施

隨著計算機網(wǎng)絡(luò)的普及和發(fā)展，網(wǎng)絡(luò)的運用已經(jīng)滲透到各個領(lǐng)域。信息社會，人們對網(wǎng)絡(luò)的依賴程度也日益加深，但隨著網(wǎng)絡(luò)迅速發(fā)展，網(wǎng)絡(luò)安全儼然已經(jīng)成為一個潛在的巨大問題。在網(wǎng)絡(luò)的大好前景下，網(wǎng)絡(luò)信息安全為其籠罩了一片烏云，雖然我國計算機制造業(yè)有了很大進步，但是其核心部件的制造技術(shù)仍然是很薄弱的。因此網(wǎng)絡(luò)安全管理就顯·得尤為重要了。

網(wǎng)絡(luò)安全管理包括對安全服務(wù)、機制和安全相關(guān)信息的管理以及管理自身的安全性兩個方面，其過程通常由管理、操作和評估3個階段組成[“。管理階段是由用戶驅(qū)動的安全服務(wù)的初始配置和日常更新；操作階段是由事件驅(qū)動的安全服務(wù)狀態(tài)的實時檢測和響應(yīng)；評估階段則用于衡量安全目標是否達到，以及系統(tǒng)當前的改變會產(chǎn)生何種影響。

1 網(wǎng)絡(luò)安全的防御措施

網(wǎng)絡(luò)安全是一項復雜的工程，它涉及了技術(shù)、設(shè)備、管理使用及立法制度等各個方面的因素。想要很好地實現(xiàn)信息安全，就必須形成一套完備的網(wǎng)絡(luò)信息安全體系，使得技術(shù)、設(shè)備、管理使用及立法制度等方面因素協(xié)同發(fā)展，缺一不可。

2訪問控制列表結(jié)束（ACL）

某公司有兩個部門：市場部、產(chǎn)品部。該公司在網(wǎng)絡(luò)中構(gòu)建了一臺文件服務(wù)器、一臺www服務(wù)器，要求市場部能夠訪問ftp服務(wù)器，不能夠訪問www服務(wù)器，產(chǎn)品部能夠訪問www服務(wù)器，不能訪問ftp服務(wù)器，并要求兩個部門之間能相互通信。請你規(guī)劃并實施網(wǎng)絡(luò)。

2.1案例分析

隨著網(wǎng)絡(luò)規(guī)模和網(wǎng)絡(luò)中的流量不斷擴大，網(wǎng)絡(luò)管理員面臨一個問題：如何在保證合法訪問的同時，拒絕非法訪問。這就需要對路由器轉(zhuǎn)發(fā)的數(shù)據(jù)包作出區(qū)分，哪些是合法的流量，哪些是非法的流量，通過這種區(qū)分來對數(shù)據(jù)包進行過濾并達到有效控制的目的。這種包過濾技術(shù)是在路由器上實現(xiàn)防火墻的一種主要方式，而實現(xiàn)包過濾技術(shù)最核心內(nèi)容就是使用訪問控制列表。

標準ACL只針對數(shù)據(jù)包的源地址信息作為過濾的標準而不能基于協(xié)議或應(yīng)用來進行過濾。即只能根據(jù)數(shù)據(jù)包是從那里來的來進行控制，而不能基于數(shù)據(jù)包的協(xié)議類型及應(yīng)用來對其進行控制。只能粗略的限制某一類協(xié)議，如IP協(xié)議。

高級ACL 可以針對數(shù)據(jù)包的源地址、目的地址、協(xié)議類型及應(yīng)用類型（端口號）等信息作為過濾的標準。即可以根據(jù)數(shù)據(jù)包是從那里來、到那里去、何種協(xié)議、什么樣的應(yīng)用等特征的來進行精確地控制。ACL可被應(yīng)用在數(shù)據(jù)包進入路由器的接口方向，也可被應(yīng)用在數(shù)據(jù)包從路由器外出的接口方向。并且一臺路由器上可以設(shè)置多個ACL。但對于一臺路由器的某個特定接口的特定方向上，針對某一個協(xié)議，如IP協(xié)議，只能同時應(yīng)用一個ACL。

2.1.1實施方法

SW1的主要配置

（1）vlan配置：system-view

[H3C]sysname sw1

[sw1]vlan 10

[sw1-vlan10]port Ethernet 1/0/1 to Ethernet 1/0/5

[sw1-vlan10]vlan 20

[sw1-vlan20]port Ethernet 1/0/6 to Ethernet 1/0/10

（2）上聯(lián)端口為trunk

[sw1-vlan20]quit

[sw1]interface Ethernet 1/0/24

[sw1-Ethernet1/0/24]port link-type trunk

[sw1-Ethernet1/0/24]port trunk permit vlan all

R1的主要配置

（1）配置單臂路由system-view

[H3C]sysname r1

[r1]interface Ethernet 0/0.1

[r1-Ethernet0/0.1]ip address 192.168.10.254 24

[r1-Ethernet0/0.1]vlan-type dot1q vid 10

[r1-Ethernet0/0.1]quit

[r1]interface Ethernet 0/0.2

[r1-Ethernet0/0.2]ip address 192.168.20.254 24

[r1-Ethernet0/0.2]vlan-type dot1q vid 20

（2）配置接口IP參數(shù)

[r1]interface Ethernet 0/1

[r1-Ethernet0/1]ip address 192.168.30.254 24

（3）高級訪問控制列表配置

[r1]firewall enable

[r1]acl number 3000

[r1-acl-adv-3000]rule 0 deny tcp destination 192.168.30.2 0.0.0.0 destination-port eq www source 192.168.10.0 0.0.0.255

[r1-acl-adv-3000]rule 1 deny tcp destination 192.168.30.2 0.0.0.0 destination-port eq ftp source 192.168.20.0 0.0.0.255

（4）將ACL應(yīng)用到具體的接口上

[r1-acl-adv-3000]quit

[r1]interface Ethernet 0/0.1

[r1-Ethernet0/0.1]firewall packet-filter 3000 inbound

[r1-Ethernet0/0.1]quit

[r1]interface Ethernet 0/0.2

[r1-Ethernet0/0.2]firewall packet-filter 3000 inbound

2.2 802.1X技術(shù)

公司內(nèi)部有很多員工，每個員工都有一臺電腦，通過該交換機相連，公司的網(wǎng)絡(luò)維護人員為了提高公司內(nèi)部的網(wǎng)絡(luò)安全性，和公司員工連接網(wǎng)絡(luò)的效率，需要通過驗證進行通信，請你規(guī)劃并實施網(wǎng)絡(luò)。

2.2.1案例分析

802.1x協(xié)議起源于802.11協(xié)議，后者是IEEE的無線局域網(wǎng)協(xié)議， 制訂802.1x協(xié)議的初衷是為了解決無線局域網(wǎng)用戶的接入認證問題。IEEE802LAN協(xié)議定義的局域網(wǎng)并不提供接入認證，只要用戶能接入局域網(wǎng)控制 設(shè)備 （如LANS witch）就可以訪問局域網(wǎng)中的設(shè)備或資源。這在早期企業(yè)網(wǎng)有線LAN應(yīng)用環(huán)境下并不存在明顯的安全隱患。但是隨著移動辦公及駐地網(wǎng)運營等應(yīng)用的大規(guī)模發(fā)展，服務(wù)提供者需要對用戶的接入進行控制和配置。

2.2.2實施方法

一、sw1的主要配置

1、sw1初始化配置system-view

[H3C]sysname sw1

2、802.1x配置

（1）全局開啟802.1x 功能

[sw1]dot1x

（2）開啟端口802.1x功能

[sw1]dot1x interface Ethernet 1/0/3 to Ethernet 1/0/10

（3）配置802.1x賬戶

[sw1]local-user zhangsan

[sw1-luser-zhangsan]password cipher 123

[sw1-luser-zhangsan]service-type lan-access /*將本地賬戶“zhangsan”改為802.1x賬戶

2.3 VRRP技術(shù)+STP技術(shù)

公司近兩年擴建了大量的網(wǎng)絡(luò)結(jié)構(gòu)，數(shù)據(jù)量也越來越大了，公司的網(wǎng)絡(luò)維護人員為了提高公司內(nèi)部的網(wǎng)絡(luò)安全性和網(wǎng)絡(luò)質(zhì)量，和公司員工連接網(wǎng)絡(luò)的效率，決定采用兩臺核心交換機做主備模式使用，如果主核心交換機宕機了，備用設(shè)備立即使用，請你規(guī)劃并實施網(wǎng)絡(luò)。

2.3.1案例分析

VRRP是一種選擇協(xié)議，它可以把一個虛擬路由器的責任動態(tài)分配到局域網(wǎng)上的 VRRP 路由器中的一臺。控制虛擬路由器 IP 地址的 VRRP 路由器稱為主路由器，它負責轉(zhuǎn)發(fā)數(shù)據(jù)包到這些虛擬 IP 地址。 一旦主路由器不可用，這種選擇過程就提供了動態(tài)的故障轉(zhuǎn)移機制，這就允許虛擬路由器的 IP 地址可以作為終端主機的默認第一跳路由器。是一種LAN接入設(shè)備備份協(xié)議。一個局域網(wǎng)絡(luò)內(nèi)的所有主機都設(shè)置缺省網(wǎng)關(guān)，這樣主機發(fā)出的目的地址不在本網(wǎng)段的報文將被通過缺省網(wǎng)關(guān)發(fā)往三層交換機，從而實現(xiàn)了主機和外部網(wǎng)絡(luò)的通信。

2.3.2 實施方法

一、主核心交換機（MASTER配置）

（一）、sw1的主要配置

1、sw1初始化配置system-view

[H3C]sysname master

2、創(chuàng)建VLAN及VRRP主配置

[master]interface Vlan-interface6

[master]ip address 192.168.6.1 255.255.255.0

[master]vrrp vrid 6 virtual-ip 192.168.6.254

[master]vrrp vrid 6 priority 120

[master]vrrp vrid 6 track 1 priority reduced 30

3、STP功能配置

[master]stp region-configuration

[master]region-name vrrp

[master]active region-configuration

二、備用核心交換機（Backup）

（一）、sw1的主要配置

1、sw1初始化配置system-view

[H3C]sysname backup

2、創(chuàng)建VLAN及VRRP配置

[backup]interface Vlan-interface6

[backup]ip address 192.168.6.2 255.255.255.0

[backup]ospf cost 5

[backup] vrrp vrid 6 virtual-ip 192.168.6.254

3、STP功能配置

[backup]stp region-configuration

[backup]region-name vrrp

[backup]active region-configuration

3 結(jié)論

隨著經(jīng)濟的發(fā)展，人們對于計算機網(wǎng)絡(luò)的使用越來越廣泛，而且如今很多領(lǐng)域都離不開計算機網(wǎng)絡(luò)的操作，因此有效地防止計算機網(wǎng)絡(luò)安全出現(xiàn)問題對于現(xiàn)代社會來說是很有必要的。而且很多的國家機密和軍事安全等也與計算機網(wǎng)絡(luò)安全有著直接的聯(lián)系，計算機電腦用戶應(yīng)該增強自己的安全意識，有關(guān)部門應(yīng)該做好計算機網(wǎng)絡(luò)信息安全的有效措施，保證國家的安全穩(wěn)健發(fā)展。

漏洞是計算機網(wǎng)絡(luò)安全的重大隱患，在如今的社會黑客的技術(shù)越來越高端，利用電腦的漏洞攻擊用戶防火墻，盜取重要的文件。當計算機的系統(tǒng)出現(xiàn)漏洞以后會給計算機網(wǎng)絡(luò)信息帶來很大的威脅。作為計算機網(wǎng)絡(luò)的用戶我們應(yīng)該在電腦中安裝補丁程序，排查漏洞，有效地解決計算機網(wǎng)絡(luò)中存在的問題，如：360安全衛(wèi)士、電腦管家和其他的一些補丁軟件可以有效地阻止計算機網(wǎng)絡(luò)信息受損，保護自己的隱私。

參考文獻

[1]羅寶慶，張俊.淺談計算機病毒的危害及防范[J].經(jīng)濟技術(shù)協(xié)作信息，2010（20）：103901042.

[2]趙糧，裘曉峰.云計算環(huán)境的安全威脅和保護[J].中國計算機通訊學會，2010，6（5）：47—50.

[3]張云勇，陳清金，潘松柏.云計算安全關(guān)鍵技術(shù)[J].電信科學，2010（8）：1l-15.