VLAN技術(shù)在企業(yè)網(wǎng)絡(luò)安全中的應(yīng)用

摘 要：為了解決企業(yè)中存在的一些網(wǎng)絡(luò)問題，可以通過VLAN技術(shù)來實(shí)現(xiàn)邏輯上對(duì)局域網(wǎng)實(shí)現(xiàn)分段，進(jìn)而解決企業(yè)面臨的很多的網(wǎng)絡(luò)隱患。本文重點(diǎn)討論了VLAN技術(shù)在企業(yè)內(nèi)的架設(shè)方案以及通過使用VLAN技術(shù)能夠?qū)崿F(xiàn)的網(wǎng)絡(luò)安全策略。

關(guān)鍵詞：虛擬交換；安全；策略

中圖分類號(hào)：TP393.18

計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，加快了企事業(yè)單位的信息化建設(shè)的步伐。信息技術(shù)和網(wǎng)絡(luò)技術(shù)在企事業(yè)單位的應(yīng)用，為企事業(yè)單位帶來了效益和便利。但是同時(shí)也為企業(yè)的信息安全帶來了隱患。所以，現(xiàn)在網(wǎng)絡(luò)安全問題成為各個(gè)企事業(yè)單位普遍關(guān)注的問題。不同類型的企事業(yè)單位所采用的網(wǎng)絡(luò)安全策略也應(yīng)該是不同的，針對(duì)某企業(yè)的特點(diǎn)，本文分析利用VLAN技術(shù)來進(jìn)行企業(yè)網(wǎng)絡(luò)安全的保障。

1 VLAN概述

VLAN全稱是Virtual Local Area Network，通常稱之為虛擬局域網(wǎng)。VLAN能夠通過邏輯上的劃分將一個(gè)物理上的局域網(wǎng)實(shí)現(xiàn)分段，并能在局域網(wǎng)內(nèi)實(shí)現(xiàn)虛擬的工作組的交換。在交換機(jī)和路由器中最常用的就是VLAN技術(shù)。

VLAN技術(shù)屬于交換技術(shù)的類型，通過使用VLAN可以有效解決網(wǎng)絡(luò)中的一些難題。例如：傳統(tǒng)的網(wǎng)絡(luò)技術(shù)對(duì)路由器的依賴嚴(yán)重，VLAN能減少這種依賴性，并同時(shí)能有效控制網(wǎng)絡(luò)內(nèi)廣播的流量。利用VLAN技術(shù)就不需要再額外增加網(wǎng)絡(luò)的站點(diǎn)，這樣就能降低網(wǎng)絡(luò)維護(hù)的復(fù)雜度和費(fèi)用。如果在網(wǎng)絡(luò)中能合理的利用VLAN技術(shù)，就能有效地提高網(wǎng)絡(luò)的靈活度，并能通過有效的網(wǎng)絡(luò)分段，提高網(wǎng)絡(luò)的安全性能。

2 企業(yè)存在的網(wǎng)絡(luò)安全隱患

大多數(shù)企業(yè)的內(nèi)部網(wǎng)結(jié)構(gòu)較為復(fù)雜，為了適用企業(yè)本身的特點(diǎn)，所以網(wǎng)絡(luò)設(shè)置的也較為靈活，這樣提升了網(wǎng)絡(luò)的可用性，但是同時(shí)也增加了網(wǎng)絡(luò)的安全隱患和安全漏洞。下面就分析一下大多數(shù)企業(yè)存在的網(wǎng)絡(luò)安全隱患。

2.1 網(wǎng)絡(luò)的非法接入隱患

對(duì)于企業(yè)來說，網(wǎng)絡(luò)中傳輸和共享的數(shù)據(jù)時(shí)非常珍貴的企業(yè)資料。這些資料中不乏秘密甚至機(jī)密的內(nèi)容，這些內(nèi)容當(dāng)然是不希望被網(wǎng)絡(luò)外部的非法人員訪問到得。但是現(xiàn)在對(duì)于網(wǎng)絡(luò)的非法訪問手段卻是從出不窮，給網(wǎng)絡(luò)的安全性帶來很大的威脅。

2.2 偽AP和偽網(wǎng)絡(luò)

非法攻擊者對(duì)于煤炭企業(yè)的網(wǎng)絡(luò)攻擊還可能是通過假的網(wǎng)絡(luò)接入設(shè)備偽造成真的，然后誘騙合法用戶使用。這樣，非法攻擊者就會(huì)通過這種手段來非法獲取合法用戶的用戶名和密碼。

2.3 網(wǎng)絡(luò)竊聽

雖然，對(duì)于有線網(wǎng)絡(luò)來說，它可以用物理隔離之類的手段來減少網(wǎng)絡(luò)竊聽的威脅，所以相對(duì)無線網(wǎng)絡(luò)來說，有限網(wǎng)絡(luò)被進(jìn)行竊聽的可能性要小一些。但是并不是完全沒有，而且，現(xiàn)在的竊聽手段有所提升，例如竊聽者可以在他們的計(jì)算機(jī)上安裝類似Sniffer、ethereal等竊聽軟件，可以輕易從企業(yè)的網(wǎng)絡(luò)中捕獲其在內(nèi)部網(wǎng)上傳輸?shù)臄?shù)據(jù)包。

2.4 數(shù)據(jù)篡改

對(duì)數(shù)據(jù)進(jìn)行篡改是另一種常見的非法攻擊形式。這也是對(duì)企業(yè)來非常嚴(yán)重的破壞方式。攻擊者會(huì)通過構(gòu)造虛假報(bào)文對(duì)煤炭企業(yè)的合法用戶進(jìn)行欺詐。一般來將，非法攻擊者會(huì)對(duì)企業(yè)的內(nèi)部網(wǎng)進(jìn)行三種形式的數(shù)據(jù)篡改。第一種是對(duì)企業(yè)的日常的業(yè)務(wù)數(shù)據(jù)進(jìn)行篡改，這樣就會(huì)給合法用戶展現(xiàn)一種錯(cuò)誤的業(yè)務(wù)數(shù)據(jù)，以來欺騙合法用戶；第二種是捏造假的用戶請(qǐng)求，非法接入網(wǎng)絡(luò)；最后一種是將網(wǎng)絡(luò)的管理報(bào)文進(jìn)行篡改，來影響企業(yè)的網(wǎng)絡(luò)設(shè)備的正常運(yùn)轉(zhuǎn)。

3 VLAN技術(shù)在企業(yè)網(wǎng)的實(shí)現(xiàn)

通過對(duì)某企業(yè)的企業(yè)內(nèi)部網(wǎng)絡(luò)的特點(diǎn)進(jìn)行分析，筆者為該企業(yè)設(shè)計(jì)了一個(gè)VLAN的網(wǎng)絡(luò)解決方案。該方案要求節(jié)省成本，又要規(guī)劃合理，同時(shí)還要能解決該企業(yè)的網(wǎng)絡(luò)問題。所以根據(jù)這些要求，筆者采用了基于端口的方法來對(duì)該企業(yè)進(jìn)行了網(wǎng)絡(luò)的VLAN邏輯劃分。

圖1 企業(yè)VLAN拓?fù)浣Y(jié)構(gòu)圖

筆者設(shè)計(jì)的某企業(yè)的結(jié)構(gòu)主要是行政區(qū)域、后勤服務(wù)、生產(chǎn)區(qū)域、公寓樓等，不同的職能區(qū)域都需要單獨(dú)設(shè)置VLAN架構(gòu)，但是每個(gè)職能區(qū)域設(shè)置VLAN的原理是幾乎相同的。所以在此，筆者就以行政區(qū)域?yàn)槔齺磉M(jìn)行VLAN拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)，具體如圖1所示。該行政樓有四個(gè)樓層，以每個(gè)樓層為一個(gè)VLAN，所以一共有四個(gè)VLAN，在圖1中可以看出VLAN的設(shè)置是基于端口的方式，交換機(jī)的配置可以通過超級(jí)終端等仿真程序?qū)崿F(xiàn)。對(duì)于VLAN的交換機(jī)有兩個(gè)要求：

（1）要求交換機(jī)在樓層間的傳輸速率要達(dá)到1000M/s；

（2）要求交換機(jī)能夠?qū)崿F(xiàn)在同一VLAN內(nèi)和不同VLAN內(nèi)的通信。所以，按照這個(gè)要求，可以選擇CS6509E三層交換機(jī)作為核心交換機(jī)，AS3750作為行政樓各樓層用的交換機(jī)。二級(jí)交換機(jī)和核心交換機(jī)的連接是通過二級(jí)交換機(jī)的千兆模塊和核心交換機(jī)的千兆端口相連來實(shí)現(xiàn)的，連接方式是TRUNK方式，也就是說是通過程序的編寫來將兩個(gè)或多個(gè)物理端口組合成一條邏輯路徑以此來增加在交換機(jī)和網(wǎng)絡(luò)節(jié)點(diǎn)間的寬帶。交換機(jī)之間支持80211Q，實(shí)現(xiàn)了樓層間以及職能部門間傳輸速率1000M。

4 VLAN技術(shù)實(shí)現(xiàn)的網(wǎng)絡(luò)安全策略

4.1 實(shí)現(xiàn)數(shù)據(jù)加密機(jī)制

通過在企業(yè)中實(shí)現(xiàn)VLAN技術(shù)可以增加網(wǎng)絡(luò)的數(shù)據(jù)加密型，主要體現(xiàn)在兩個(gè)方面：

一是加密信息源：通常情況下，企業(yè)的信息管理系統(tǒng)中的信息源主要以文字、聲音、圖像等形式出現(xiàn)，主要以文件或數(shù)據(jù)進(jìn)行存儲(chǔ)的，而通過在企業(yè)內(nèi)使用VLAN技術(shù)可以進(jìn)一步對(duì)文件進(jìn)行加密或?qū)PI進(jìn)行加密，從而提高信息存儲(chǔ)的機(jī)密性。

二是加密信息傳輸通道：通過VLAN技術(shù)建立在網(wǎng)絡(luò)基礎(chǔ)上的安全子系統(tǒng)在進(jìn)行信息傳輸時(shí)都能夠?qū)π畔⑦M(jìn)行加密，主要是來判斷信息是否要在傳輸中進(jìn)行加密或需要在哪一層進(jìn)行加密，而后再對(duì)傳輸信道進(jìn)行加密，也可以在應(yīng)用系統(tǒng)中直接調(diào)用經(jīng)過加密的API來加密傳輸通道。

通過VLAN可以實(shí)現(xiàn)加密體制包含了對(duì)稱密鑰的體制，也包含了基于公鑰的體制，這樣做的主要目的是為了在不同的系統(tǒng)應(yīng)用中來使用不同的手段來進(jìn)行加密，這樣以來，不僅能夠最大限度的保證系統(tǒng)的安全，也在很大程度上提高系統(tǒng)的效率。

4.2 實(shí)現(xiàn)系統(tǒng)授權(quán)和訪問機(jī)制

企業(yè)的信息管理系統(tǒng)采取集中式管理的，所以系統(tǒng)就相應(yīng)的需要采用集中的授權(quán)訪問控制模式。該模式下的授權(quán)訪問可以對(duì)用戶的屬性集中管理，然后通過屬性值為用戶發(fā)生授權(quán)證書。授權(quán)中心的業(yè)務(wù)管理人員具體管理用戶的授權(quán)屬性的信息，各個(gè)應(yīng)用系統(tǒng)同時(shí)對(duì)用戶的授權(quán)和身份證書同時(shí)進(jìn)行驗(yàn)證，這樣才能確定用戶具備什么權(quán)限，從而為具體的用戶進(jìn)行授權(quán)的訪問控制。授權(quán)證書中包括用戶的多種屬性信息，這些信息能確定用戶的權(quán)限。例如基于用戶角色、用戶標(biāo)識(shí)、用戶資源級(jí)別等訪問控制，而對(duì)訪問控制的粒度而言，也是可以靈活變化的，從基于IP的控制到對(duì)數(shù)據(jù)庫字段的控制，訪問控制粒度從粗到細(xì)，可以根據(jù)不同的應(yīng)用系統(tǒng)進(jìn)行靈活選擇。

4.3 實(shí)現(xiàn)全網(wǎng)統(tǒng)一的管理策略

企業(yè)通過VLAN能夠?qū)τ脩舻纳矸莺陀脩舻臋?quán)限都是通過密鑰和證書管理進(jìn)行集中管理的，從其安全管理策略來看，其核心的內(nèi)容是人和資源的對(duì)應(yīng)關(guān)系：

非法用戶缺少身份證書，將不能訪問任何資源。

具有身份證書的合法用戶，其具有的屬性決定了其能訪問哪些具體內(nèi)容，能夠具有哪些具體操作。

安全管理策略可以對(duì)用戶的屬性進(jìn)行調(diào)整，例如：用戶的訪問權(quán)限有時(shí)提高，有時(shí)降低，有時(shí)不具備任何權(quán)限，有的用戶已經(jīng)變?yōu)榉欠ㄓ脩舻鹊?，兩種證書能夠?qū)⒚恳粋€(gè)變化情況顯現(xiàn)出來。

5 小結(jié)

VLAN技術(shù)是今年來應(yīng)用非常廣發(fā)的企業(yè)網(wǎng)絡(luò)架構(gòu)技術(shù)，通過VLAN的設(shè)置可以解決現(xiàn)在大多數(shù)企業(yè)面臨的網(wǎng)絡(luò)安全隱患。通過在企業(yè)內(nèi)使用VLAN技術(shù)可以較為靈活的對(duì)企業(yè)的局域網(wǎng)進(jìn)行設(shè)置，并能同時(shí)解決很多網(wǎng)絡(luò)安全問題。雖然，現(xiàn)在VLAN技術(shù)中還存在一些技術(shù)和標(biāo)準(zhǔn)上的缺陷。但是，筆者相信，隨著VLAN技術(shù)的不斷完善，其必將在網(wǎng)絡(luò)的擴(kuò)展和網(wǎng)絡(luò)的安全方面體現(xiàn)中更多的優(yōu)勢(shì)，從而保障企業(yè)的健康穩(wěn)定的發(fā)展。

參考文獻(xiàn)：

[1]趙毅.高校校園計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)[C].重慶大學(xué)，2006，5.

[2]王湘渝，陳立.基于多層防護(hù)的校園網(wǎng)安全體系研究[J].計(jì)算機(jī)安全，2009，8.

[3]唐正軍，李建華.入侵檢測(cè)技術(shù)[M].北京：清華大學(xué)出版社，2010.

[4]李晉平.局域網(wǎng)組建和安全管理的實(shí)用技術(shù)[J].電腦開發(fā)與應(yīng)用，2011.

作者簡介：唐年慶（1974-），男，四川廣安人，副教授，碩士，主要研究方向：計(jì)算機(jī)應(yīng)用、信息安全。

作者單位：內(nèi)江師范學(xué)院計(jì)算機(jī)科學(xué)學(xué)院，四川內(nèi)江 641112