利用VLAN和ACL技術(shù)提高電子政務(wù)網(wǎng)互聯(lián)安全

摘 要 本文通過(guò)對(duì)網(wǎng)絡(luò)規(guī)劃管理方面安全性的VLAN技術(shù)以及通過(guò)控制數(shù)據(jù)流量降低受攻擊風(fēng)險(xiǎn)所采用的ACL技術(shù)分別進(jìn)行介紹，并結(jié)合實(shí)際情況，將兩種技術(shù)在某政府電子政務(wù)系統(tǒng)中的應(yīng)用，從而實(shí)現(xiàn)了提高電子政務(wù)網(wǎng)互聯(lián)的安全效果。

關(guān)鍵詞 VLAN；ACL；電子政務(wù)網(wǎng)安全

中圖分類號(hào) TP393 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1673-9671-(2012)052-0138-01

電子政務(wù)網(wǎng)絡(luò)多為復(fù)雜的辦公網(wǎng)絡(luò)系統(tǒng)，通常因部門或者業(yè)務(wù)功能的不同劃分了非常多的群組，若在網(wǎng)絡(luò)管理上混亂，則其安全性將受到極大的考驗(yàn)。除此，電子政務(wù)網(wǎng)絡(luò)中涉及的辦公或業(yè)務(wù)需求，常常要求在信息點(diǎn)間通信和內(nèi)外網(wǎng)絡(luò)通信，這也就給內(nèi)網(wǎng)使用帶來(lái)了可能受到病毒攻擊的隱患。出于以上兩種安全性的考慮，在網(wǎng)絡(luò)管理上采用了VLAN技術(shù)來(lái)提高管理動(dòng)態(tài)網(wǎng)絡(luò)能力和安全功能；而在針對(duì)內(nèi)網(wǎng)安全性，在過(guò)濾網(wǎng)絡(luò)流量方面采用了ACL技術(shù)。兩種技術(shù)在加強(qiáng)電子政務(wù)網(wǎng)互聯(lián)安全方面起到了相當(dāng)大的作用。

1 VLAN的介紹以及運(yùn)用

1.1 VLAN技術(shù)簡(jiǎn)介及分析

VLAN（Virtual Local Area Network）的中文名為“虛擬局域網(wǎng)”，是把同一物理局域網(wǎng)內(nèi)根據(jù)不同類別邏輯地劃分成不同的廣播域，從而實(shí)現(xiàn)虛擬工作組的數(shù)據(jù)交換技術(shù)。只有VLAN協(xié)議的第三層以上交換機(jī)才具有此功能。VLAN的出現(xiàn)，有助于有效的控制流量，簡(jiǎn)化網(wǎng)絡(luò)管理，減少設(shè)備的投資，以此提高網(wǎng)絡(luò)安全性。它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLAN ID將用戶群組劃分為更細(xì)小的工作組，不同工作組之間的用戶互訪被限制，每個(gè)工作組就構(gòu)成一個(gè)虛擬局域網(wǎng)。虛擬局域網(wǎng)形成虛擬工作組，能夠動(dòng)態(tài)的管理網(wǎng)絡(luò)，限制廣播范圍。且VLAN技術(shù)的使用提高了網(wǎng)絡(luò)整體的安全性，使網(wǎng)路管理簡(jiǎn)單，直觀。從技術(shù)角度講，VLAN的劃分可依據(jù)不同原則，目前的VLAN技術(shù)主要有以下三種劃分方法：基于端口的VLAN劃分、基于MAC地址的VLAN劃分和基于網(wǎng)絡(luò)層協(xié)議的VLAN劃分。相對(duì)于基于MAC地址和基于網(wǎng)絡(luò)層協(xié)議的VLAN劃分，基于端口的VLAN技術(shù)定義VLAN成員時(shí)非常簡(jiǎn)單，只要將所有的端口都定義為相應(yīng)的VLAN組即可。這種劃分方式相對(duì)安全，且對(duì)于網(wǎng)絡(luò)管理員來(lái)說(shuō)容易配置和維護(hù)，適合于電子政務(wù)網(wǎng)絡(luò)的使用。

1.2 VLAN技術(shù)在電子政務(wù)網(wǎng)上的運(yùn)用

以最常使用的基于端口的VLAN技術(shù)為例子，該劃分是把一個(gè)或多個(gè)交換機(jī)上的幾個(gè)端口劃分一個(gè)邏輯組，只需網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配而不用考慮該端口所連接的設(shè)備。分配到同一個(gè)VLAN的各個(gè)網(wǎng)段上的所有節(jié)點(diǎn)都在同一個(gè)廣播域中，可以直接通信。不同的VLAN間的端口不能直接相互通信，因此每個(gè)VLAN都有自己獨(dú)產(chǎn)的生成樹(shù)。此劃分解決了電子政務(wù)網(wǎng)絡(luò)中存在的按職能功能不同可以相互隔離獨(dú)立的問(wèn)題。若不同的VLAN節(jié)點(diǎn)間的通信則需要通過(guò)路由器或支持三層路由協(xié)議的交換機(jī)進(jìn)行。第二代端口VLAN技術(shù)允許跨越多個(gè)交換機(jī)的多個(gè)不同端口劃分VLAN，不同交換機(jī)上的若干個(gè)端口可以組成同一個(gè)虛擬網(wǎng)。這就完全解決了電子政務(wù)網(wǎng)中復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)出現(xiàn)位于不同物理位置和連接到不同交換機(jī)中的用戶如何使之處于同一VLAN的難題。如某電子政務(wù)網(wǎng)中有數(shù)百臺(tái)計(jì)算機(jī)，為了提高網(wǎng)絡(luò)傳輸速率，可以將所有用戶劃分為n個(gè)VLAN。雖然各單位各部門各科室在不同的樓層，連接到不同的交換機(jī)，但仍然能夠根據(jù)其連接的端口將其劃分到同一VLAN。

2 ACL技術(shù)介紹以及作用

2.1 ACL簡(jiǎn)介及執(zhí)行過(guò)程

ACL即Access Control List，中文名為訪問(wèn)控制列表。ACL適用于IP、IPX等所有的被路由協(xié)議，是用來(lái)控制端口進(jìn)出的數(shù)據(jù)包，交換機(jī)和路由器接口的指令列表。這張表中包含了條件、匹配關(guān)系和查詢語(yǔ)句，表只是一個(gè)框架結(jié)構(gòu)，其目的是為控制某種訪問(wèn)。目前，ACL的分類主要有標(biāo)準(zhǔn)ACL和擴(kuò)展ACL。

按照列表中條件語(yǔ)句的執(zhí)行順序，來(lái)判斷一個(gè)端口應(yīng)該執(zhí)行哪條ACL。一個(gè)數(shù)據(jù)包的報(bào)頭如果出現(xiàn)跟表中某個(gè)條件判斷語(yǔ)句相匹配，那么后面的語(yǔ)句就被省略掉，不再進(jìn)行檢查。一般交給ACL中的接下一個(gè)條件判斷語(yǔ)句進(jìn)行比較的情況，只有在數(shù)據(jù)包跟第一個(gè)判斷條件不匹配時(shí)才會(huì)出現(xiàn)。如果跟第一個(gè)判斷條件匹配，則所有數(shù)據(jù)都會(huì)馬上發(fā)送到目的接口。如果在全部ACL判斷語(yǔ)句均檢測(cè)完畢后，依舊沒(méi)有可匹配的語(yǔ)句出口，則該數(shù)據(jù)包將視為被拒絕而被丟棄。

2.2 ACL在電子政務(wù)網(wǎng)絡(luò)中的作用

1）ACL具有可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。

2）ACL提供對(duì)通信流量的控制手段。

3）ACL是提供網(wǎng)絡(luò)安全訪問(wèn)的基本手段。如ACL允許主機(jī)A訪問(wèn)人力資源網(wǎng)絡(luò)，而拒絕主機(jī)B訪問(wèn)。

4）ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。例如，為了某部門的保密性，不允許其訪問(wèn)外網(wǎng)，也不允許外網(wǎng)訪問(wèn)它，就可以通過(guò)ACL實(shí)現(xiàn)。

3 利用VLAN和ACL技術(shù)提高電子政務(wù)網(wǎng)互聯(lián)安全的實(shí)現(xiàn)

某政府機(jī)構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò)采用星型拓?fù)浣Y(jié)構(gòu)，經(jīng)防火墻，經(jīng)路由器后外聯(lián)。從整體拓?fù)浣Y(jié)構(gòu)看，本網(wǎng)絡(luò)分為核心層和接入層，接入層到核心層采用1 000 M光纖接入。連接入網(wǎng)絡(luò)的PC機(jī)有百多臺(tái)，而這百多臺(tái)PC機(jī)分別被不同的職能部門使用。如此繁復(fù)的網(wǎng)絡(luò)系統(tǒng)中，通過(guò)使用VLAN劃分管理技術(shù)和ACL控制數(shù)據(jù)流量技術(shù)來(lái)提高網(wǎng)絡(luò)互聯(lián)使用的安全性。

1）對(duì)該政府部門電子政務(wù)網(wǎng)進(jìn)行VLAN劃分實(shí)現(xiàn)網(wǎng)絡(luò)安全管理。該機(jī)構(gòu)的網(wǎng)絡(luò)由多個(gè)應(yīng)用功能不同的計(jì)算機(jī)群組組成。根據(jù)不同的工作部門或不同業(yè)務(wù)類型的工作群組將網(wǎng)絡(luò)劃分為各個(gè)不同的工作區(qū)，每個(gè)工作區(qū)相對(duì)的獨(dú)立又具備與服務(wù)器系統(tǒng)連接的特性，采用了基于交換機(jī)端口的VLAN技術(shù)來(lái)實(shí)現(xiàn)隔離。將不同的職能部門劃分為不同的VLAN，然后在交換機(jī)的某個(gè)端口上定義VLAN，所有連接到這個(gè)特定端口的終端都是虛擬網(wǎng)絡(luò)的一部分。不同部門之間獨(dú)立工作卻又共享同一個(gè)網(wǎng)絡(luò)資源，網(wǎng)絡(luò)管理簡(jiǎn)潔方便，安全性較高。

2）使用ACL技術(shù)減少受攻擊風(fēng)險(xiǎn)，提高網(wǎng)絡(luò)安全性。由于該電子政務(wù)網(wǎng)絡(luò)為半公開(kāi)式，常常招致非合法攻擊。此時(shí)在不同的VLAN中使用ACL技術(shù)，控制外部網(wǎng)絡(luò)數(shù)據(jù)流的進(jìn)入，而在內(nèi)部網(wǎng)絡(luò)中實(shí)現(xiàn)通過(guò)配置不同的訪問(wèn)規(guī)則，可以智能地控制數(shù)據(jù)流向，達(dá)到完善地控制各個(gè)VLAN間的連接和隔離。ACL可以限定或簡(jiǎn)化路由更新信息的長(zhǎng)度，從而限制通過(guò)路由器某一網(wǎng)段的通信流量。此技術(shù)方式可以對(duì)電子政務(wù)網(wǎng)中出現(xiàn)的個(gè)別因病毒造成的對(duì)服務(wù)器不斷發(fā)包攻擊的情況進(jìn)行限制，確保網(wǎng)絡(luò)的使用安全。

4 結(jié)束語(yǔ)

本文對(duì)基于VLAN和ACL，利用該兩項(xiàng)技術(shù)提高電子政務(wù)網(wǎng)互聯(lián)安全進(jìn)行了探討。將這兩項(xiàng)技術(shù)運(yùn)用在電子政務(wù)網(wǎng)絡(luò)中，既可以有效的提高網(wǎng)絡(luò)系統(tǒng)的規(guī)劃管理，摒除復(fù)雜性組網(wǎng)帶來(lái)的安全隱患；又在防病毒防攻擊方面提高了防范功能，保障了網(wǎng)絡(luò)的正常運(yùn)作。

參考文獻(xiàn)

[1]汪穎，吳俊.利用虛擬局域網(wǎng)(VLAN)技術(shù)優(yōu)化網(wǎng)站安全[J].中國(guó)高新技術(shù)企業(yè)，2008，14.

[2]郭自龍.訪問(wèn)控制列表在網(wǎng)絡(luò)管理中得應(yīng)用[M].清華大學(xué)出版社，2004.