一種局域網(wǎng)安全架構(gòu)設(shè)計(jì)

黃麗民，曲文堯

( 山東商業(yè)職業(yè)技術(shù)學(xué)院，山東 濟(jì)南 250103 )

一種局域網(wǎng)安全架構(gòu)設(shè)計(jì)

黃麗民，曲文堯

( 山東商業(yè)職業(yè)技術(shù)學(xué)院，山東 濟(jì)南 250103 )

討論了一種局域網(wǎng)安全架構(gòu)設(shè)計(jì)，在分析一般局域網(wǎng)拓?fù)浣Y(jié)構(gòu)、設(shè)備配置、網(wǎng)絡(luò)數(shù)據(jù)流、用戶應(yīng)用等脆弱性的基礎(chǔ)上，針對(duì)局域網(wǎng)出現(xiàn)的安全問(wèn)題提出了一種局域網(wǎng)網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)，包括拓樸結(jié)構(gòu)的安全策略，局域網(wǎng)設(shè)備配置的安全策略及局域網(wǎng)數(shù)據(jù)流的安全策略的解決辦法。

安全策略；局域網(wǎng)安全架構(gòu)；數(shù)據(jù)流

引言

隨著信息技術(shù)的快速應(yīng)用和發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為人們工作、學(xué)習(xí)、娛樂(lè)、交流的最重要手段。計(jì)算機(jī)局域網(wǎng)是網(wǎng)絡(luò)中的一種重要形式，它的應(yīng)用也越來(lái)越普及。由于網(wǎng)絡(luò)環(huán)境的多變性和復(fù)雜性，信息系統(tǒng)的脆弱性，局域網(wǎng)在為人們的工作和生活帶來(lái)便利的同時(shí)，也帶來(lái)了較多的安全隱患，網(wǎng)絡(luò)黑客的攻擊、各種木馬、病毒等信息安全的產(chǎn)物正在嚴(yán)重地威脅著局域網(wǎng)的安全。利用局域網(wǎng)網(wǎng)絡(luò)漏洞出現(xiàn)的網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)犯罪正極速上升，嚴(yán)重地影響了網(wǎng)絡(luò)的秩序和正常的運(yùn)行。網(wǎng)絡(luò)安全問(wèn)題正日益受到人們的關(guān)注，因此研究局域網(wǎng)的網(wǎng)絡(luò)安全存在的問(wèn)題及應(yīng)對(duì)策略正成為計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域迫切需要解決的問(wèn)題。

1 影響局域網(wǎng)安全的幾種主要因素

1.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的脆弱性

目前大部分局域網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中缺少冗余設(shè)備和冗余鏈路，因此單點(diǎn)故障就能導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓；有的局域網(wǎng)中核心設(shè)備實(shí)施和帶寬分配控制的不合理，就容易造成業(yè)務(wù)的處理高延時(shí)甚至中斷；有的局域網(wǎng)中網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)不夠完善，不能夠發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，很難保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。

1.2 網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)設(shè)備配置的脆弱性

多數(shù)局域網(wǎng)的結(jié)構(gòu)相對(duì)簡(jiǎn)單，使用的網(wǎng)絡(luò)設(shè)備較少，因此采取的安全措施也較少，這就給病毒的傳播提供了便利的途徑，黑客經(jīng)常利用局域網(wǎng)上的網(wǎng)絡(luò)設(shè)備的安全缺陷進(jìn)行破壞與竊密活動(dòng)。如在局域網(wǎng)中用路由器做網(wǎng)關(guān)出口只能簡(jiǎn)單的做到包過(guò)濾，不具備完善的安全功能，因此路由器對(duì)待網(wǎng)絡(luò)上各種各樣的攻擊是脆弱的。在有的局域網(wǎng)中路由器，防火墻等中間設(shè)備上配置不縝密會(huì)對(duì)服務(wù)器和用戶造成威脅，例如目前很多局域網(wǎng)架構(gòu)僅將服務(wù)器放置在了接入層，沒(méi)有將服務(wù)器放置在防火墻的DMZ非軍事化區(qū)域，這就會(huì)導(dǎo)致如果接入層的任意一臺(tái)的電腦感染病毒，服務(wù)器就有可能被攻擊。有的局域網(wǎng)雖然將服務(wù)器放置在規(guī)劃了DMZ非軍事化區(qū)域，但服務(wù)器缺少入侵防御系統(tǒng)對(duì)重要數(shù)據(jù)的深度感知和內(nèi)容的檢測(cè)，導(dǎo)致不能做到對(duì)惡意報(bào)文及時(shí)的限制和丟棄也會(huì)引發(fā)網(wǎng)絡(luò)安全隱患。有的局域網(wǎng)從網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)來(lái)看，將整個(gè)服務(wù)器的IP靜態(tài)映射到公網(wǎng)，相當(dāng)于將服務(wù)器直接暴露在了Internet這個(gè)不安全的環(huán)境，很容易被黑客收集服務(wù)器信息，從而遭到黑客的攻擊。如果局域網(wǎng)缺少對(duì)授權(quán)和非授權(quán)用戶的訪問(wèn)限制，同樣會(huì)造成被攻擊的威脅。

1.3 局域網(wǎng)數(shù)據(jù)的脆弱性

目前很多局域網(wǎng)數(shù)據(jù)在傳輸過(guò)程中存在安全問(wèn)題，數(shù)據(jù)在傳輸過(guò)程中有時(shí)會(huì)被截取，在局域網(wǎng)內(nèi)捕獲到的數(shù)據(jù)主要是明文數(shù)據(jù)，究其原因是大部分web應(yīng)用程序還在用http協(xié)議進(jìn)行數(shù)據(jù)提交，文件傳輸還是廣泛使用FTP協(xié)議，遠(yuǎn)程虛擬終端還是使用telnet等，這些數(shù)據(jù)在協(xié)議封裝之后也沒(méi)有使用任何的加密封裝技術(shù)，數(shù)據(jù)隨時(shí)可被感興趣的人截獲，從而造成數(shù)據(jù)泄露。有的局域網(wǎng)在數(shù)據(jù)的存儲(chǔ)上也有很多安全隱患，因存儲(chǔ)隱患導(dǎo)致數(shù)據(jù)的丟失的后果將更為嚴(yán)重。局域網(wǎng)中造成數(shù)據(jù)丟失的主要原因如下，第一，由自然災(zāi)害引起的數(shù)據(jù)丟失，很難做到控制和預(yù)防，對(duì)數(shù)據(jù)信息的穩(wěn)定安全是一個(gè)很大的威脅。第二，硬件的老化導(dǎo)致傳輸速率的降低，會(huì)造成網(wǎng)絡(luò)瓶頸，從而導(dǎo)致數(shù)據(jù)包沖突，發(fā)生數(shù)據(jù)丟包。第三，由于局域網(wǎng)網(wǎng)絡(luò)管理員操作失誤，也有可能造成數(shù)據(jù)丟失。

1.4 局域網(wǎng)用戶應(yīng)用的脆弱性

網(wǎng)絡(luò)的作用是為了方便用戶的資源共享，共享就是數(shù)據(jù)互換的過(guò)程，互聯(lián)網(wǎng)的發(fā)展，衍生了各式各樣方便用戶的應(yīng)用，同時(shí)也產(chǎn)生了各式各樣毒害用戶的病毒和木馬。很多局域網(wǎng)網(wǎng)絡(luò)用戶欠缺對(duì)于病毒和木馬防護(hù)等方面的安全意識(shí)，對(duì)于一些不安全網(wǎng)站上的軟件缺乏分辨能力，導(dǎo)致用戶的機(jī)器或文件被病毒木馬感染，同時(shí)以用戶為病毒源再向身邊用戶散播，后果嚴(yán)重時(shí)會(huì)引起整個(gè)局域網(wǎng)癱瘓，導(dǎo)致系統(tǒng)無(wú)法正常運(yùn)行。

2 局域網(wǎng)網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)

2.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全策略

圖1 一種安全的局域網(wǎng)網(wǎng)絡(luò)拓樸結(jié)構(gòu)設(shè)計(jì)圖

針對(duì)局域網(wǎng)網(wǎng)絡(luò)安全拓樸結(jié)構(gòu)的脆弱性，提出了一種安全性加強(qiáng)的網(wǎng)絡(luò)拓樸結(jié)構(gòu)設(shè)計(jì)方案如圖1所示。在本方案中，為確保網(wǎng)絡(luò)的完善運(yùn)行，采用防火墻(FireWall)雙網(wǎng)關(guān)出口，提供了ISP冗余保障，這樣上行鏈路也能起到負(fù)載分擔(dān)作用；該網(wǎng)絡(luò)中核心交換設(shè)備采用三層冗余，保障匯聚數(shù)據(jù)的更快交換和低延時(shí)。服務(wù)器區(qū)域的入侵防御系統(tǒng)(IPS)保障了服務(wù)器的安全運(yùn)行，有效地阻止未授權(quán)用戶的訪問(wèn)，還可以攔截有不安全特征的數(shù)據(jù)，防火墻和入侵防御系統(tǒng)為服務(wù)器安全提供了雙重保障。針對(duì)易受病毒攻擊的WEB服務(wù)器，設(shè)計(jì)上特別采用WEB應(yīng)用網(wǎng)關(guān)(WAF)為WEB服務(wù)器保駕護(hù)航，防范各種WEB攻擊。相對(duì)于服務(wù)器而言，用戶方面的終端數(shù)量要大很多，方案中單獨(dú)使用一個(gè)流量控制系統(tǒng)(FS)來(lái)做對(duì)應(yīng)的流量策略和控制。用戶區(qū)域由于用戶數(shù)量大，檢測(cè)任務(wù)重，單獨(dú)使用一臺(tái)入侵檢測(cè)系統(tǒng)(IDS)來(lái)檢測(cè)用戶數(shù)據(jù)的安全情況，檢測(cè)到不安全因素再和防火墻聯(lián)動(dòng)一起對(duì)用戶區(qū)域的攻擊做防護(hù)。在核心交換上旁路日志系統(tǒng)，用來(lái)記錄和分析內(nèi)部用戶的異常行為，這樣可以將內(nèi)部可能有的不安全因素找出來(lái)。

外部數(shù)據(jù)進(jìn)入這種局域網(wǎng)內(nèi)先流經(jīng)防火墻，防火墻根據(jù)數(shù)據(jù)方向路由，同時(shí)防火墻將數(shù)據(jù)復(fù)制一份遞交給日志系統(tǒng)，做一份記錄。流向服務(wù)器區(qū)域的數(shù)據(jù)再次經(jīng)由入侵防御系統(tǒng)(IPS)檢驗(yàn)，確保數(shù)據(jù)沒(méi)有不安全因素后，最終傳遞給服務(wù)器；而從服務(wù)器流向用戶的數(shù)據(jù)再次經(jīng)過(guò)入侵檢測(cè)系統(tǒng)(IDS)的檢測(cè)，流控系統(tǒng)(FS)的抑制，最終遞交給用戶。

圖2 數(shù)據(jù)流分析圖

2.2 網(wǎng)絡(luò)設(shè)備的安全策略

2.2.1 防火墻替代出口路由器

本方案設(shè)計(jì)中我們用防火墻代替了路由器，路由器是典型的三層設(shè)備，是為了路由數(shù)據(jù)包而產(chǎn)生的，不具備完善的安全功能。從數(shù)據(jù)包過(guò)濾性能上，路由器只是簡(jiǎn)單的包過(guò)濾，而防火墻是基于狀態(tài)包的過(guò)濾，對(duì)于會(huì)話和劫持(TCP欺騙)，路由器不能檢測(cè)TCP的狀態(tài)，而防火墻能夠檢測(cè)TCP的狀態(tài)，防火墻還可以重新隨機(jī)生成TCP的序列號(hào)，這樣就能夠徹底解決TCP欺騙這樣的漏洞了。局域網(wǎng)中防火墻的作用類(lèi)似于守門(mén)人，對(duì)于來(lái)來(lái)往往的數(shù)據(jù)包做安檢。保護(hù)經(jīng)過(guò)授權(quán)的用戶和數(shù)據(jù)的安全，也防止未授權(quán)的用戶和通信的進(jìn)出。因此防火墻是局域網(wǎng)網(wǎng)絡(luò)建設(shè)中重要的一部分，防火墻是保護(hù)內(nèi)部網(wǎng)的第一道關(guān)口，也是最為嚴(yán)格的一道關(guān)口。

2.2.2 IDS入侵檢測(cè)系統(tǒng)準(zhǔn)確的分析流量

防火墻如果是一幢大樓的門(mén)衛(wèi)，那么該局域網(wǎng)中入侵防御系統(tǒng)(IDS)就是這幢大樓里的監(jiān)視系統(tǒng)。入侵檢測(cè)系統(tǒng)可以檢測(cè)到Internet中復(fù)雜多變的攻擊，來(lái)完善防范網(wǎng)絡(luò)攻擊的威脅。一旦壞人利用其他入口進(jìn)入大樓，或內(nèi)部人員有越界行為，防火墻這個(gè)門(mén)衛(wèi)在門(mén)口無(wú)法得知大樓內(nèi)部的動(dòng)態(tài)，只有入侵防御系統(tǒng)(IDS)系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。由于現(xiàn)代黑客工具，黑客教程的泛濫，不是黑客的用戶也可以拿傻瓜工具來(lái)進(jìn)行局域網(wǎng)的測(cè)試攻擊，因此對(duì)攻擊動(dòng)作的檢測(cè)行為尤其重要，入侵防御系統(tǒng)可以自動(dòng)統(tǒng)計(jì)和分析是否有入侵在發(fā)生，可以檢測(cè)到內(nèi)部用戶的惡意行為和由于用戶的疏忽而導(dǎo)致的安全隱患，然后聯(lián)合防火墻制止。

2.2.3 FS流量控制系統(tǒng)保障及控制流量

局域網(wǎng)內(nèi)部的用戶群比較大，對(duì)于帶寬的分配程度要求各式各樣。由于策略條目的瑣碎，單獨(dú)在防火墻或交換上做QOS會(huì)不易于管理；而流量控制系統(tǒng)可以精確到每一個(gè)用戶，或一部分用戶的會(huì)話數(shù)限制和流量速率控制。流量控制系統(tǒng)可以完善的調(diào)整流量的分配，充分的利用網(wǎng)絡(luò)空閑時(shí)的資源。

2.2.4 IPS入侵防御系統(tǒng)深度分析數(shù)據(jù)流

服務(wù)器是系統(tǒng)中的核心，服務(wù)器的安全要求比用戶的要精確很多，所以由入侵檢測(cè)系統(tǒng)需要聯(lián)動(dòng)防火墻來(lái)攔截攻擊行為，而無(wú)法實(shí)時(shí)的阻斷攻擊，而這個(gè)聯(lián)動(dòng)的時(shí)間對(duì)于服務(wù)器的數(shù)據(jù)來(lái)說(shuō)是不允許的。入侵防御系統(tǒng)(IPS)自身可以做到協(xié)議分析、流量異常監(jiān)視，模式匹配等綜合技術(shù)手段來(lái)判斷網(wǎng)絡(luò)入侵行為，可以準(zhǔn)確地發(fā)現(xiàn)并阻斷各種網(wǎng)絡(luò)攻擊。例如越來(lái)越頻發(fā)的“瞬間攻擊”(如SQL注入、溢出攻擊等)。同時(shí)IPS兼顧有流量控制的功能，識(shí)別包括傳統(tǒng)協(xié)議、P2P下載、股票交易、即時(shí)通訊、流媒體、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)視頻等網(wǎng)絡(luò)應(yīng)用，使得管理員很輕松判斷服務(wù)器中的各種帶寬濫用行為，繼而采取包括阻斷、限制連接數(shù)、限制流量等各種控制手段，確保服務(wù)器業(yè)務(wù)通暢。

2.2.5 NetLog日志系統(tǒng)詳細(xì)記錄網(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)

縱然安全設(shè)備布置的再精確，也會(huì)有疏忽，一些隱藏性的安全問(wèn)題也很難發(fā)現(xiàn)。網(wǎng)絡(luò)日志系統(tǒng)(NetLog)可以對(duì)所有的流量做收集和分析然后對(duì)比現(xiàn)有網(wǎng)絡(luò)的數(shù)據(jù)核實(shí)該數(shù)據(jù)的流量是否該有，是否該有這么多，例如對(duì)于一些常用的服務(wù)使用的時(shí)間段進(jìn)行分析，分析出對(duì)應(yīng)時(shí)間段哪個(gè)服務(wù)使用頻繁，從而可以合理分配帶寬，保證服務(wù)質(zhì)量；對(duì)于一些網(wǎng)絡(luò)活動(dòng)不頻繁的時(shí)間段，而TCP連接狀態(tài)卻是經(jīng)常保持連接(ESTABLISHED)的，查詢連接的目的地址，確定該連接的建立情況，分析是不是一種隱藏的木馬。經(jīng)過(guò)局域網(wǎng)日志系統(tǒng)(NetLog)的記錄分析可以更加準(zhǔn)確的確診隱藏的問(wèn)題，從而更加精確的設(shè)計(jì)策略來(lái)限制。

2.3 數(shù)據(jù)流的安全策略

2.3.1 通過(guò)數(shù)據(jù)加密保障數(shù)據(jù)的完整性

數(shù)據(jù)本身的安全策略主要是用密碼算法對(duì)數(shù)據(jù)進(jìn)行主動(dòng)保護(hù)，如數(shù)據(jù)加密、數(shù)據(jù)傳輸安全、雙向強(qiáng)身份認(rèn)證等。數(shù)據(jù)加密即按照確定的密碼算法把敏感的明文數(shù)據(jù)變換成難以識(shí)別的密文數(shù)據(jù)，來(lái)保證即使數(shù)據(jù)被竊取也不會(huì)泄露信息。主要方式有：對(duì)稱(chēng)加密(如RSA和DSA)和非對(duì)稱(chēng)加密(如DES、IDEA和AES)。數(shù)據(jù)傳輸安全中加密是通過(guò)數(shù)字簽名來(lái)保障數(shù)據(jù)包的完整性，確保數(shù)據(jù)包是沒(méi)有被調(diào)包沒(méi)有被更改過(guò)的數(shù)據(jù)包。只是對(duì)傳輸中的數(shù)據(jù)流加密而數(shù)據(jù)包中的數(shù)據(jù)還是明文，這樣來(lái)防止通信線路上的竊聽(tīng)、篡改和破壞。局域網(wǎng)中訪問(wèn)者的身份很容易被偽造，即未經(jīng)授權(quán)的人仿冒有權(quán)限人的身份進(jìn)入局域網(wǎng)，這樣任何安全防范體系就都形同虛設(shè)。身份認(rèn)證正是要求參與安全通信的雙方在進(jìn)行安全通信前，必須互相鑒別對(duì)方的身份。在實(shí)際應(yīng)用中，通常把公鑰密碼體系和數(shù)字簽名算法結(jié)合使用，在保證數(shù)據(jù)傳輸完整性的同時(shí)完成對(duì)用戶的身份認(rèn)證。

2.3.2數(shù)據(jù)備份與冗余保障提高數(shù)據(jù)的可靠性

數(shù)據(jù)的安全存儲(chǔ)在局域網(wǎng)安全流程中是非常重要的一個(gè)環(huán)節(jié)，為了防止數(shù)據(jù)的丟失，異地備份是保護(hù)數(shù)據(jù)的最安全的方式，自然災(zāi)害的發(fā)生，其他的保護(hù)手段基本起不上作用，而異地容災(zāi)的優(yōu)勢(shì)就體現(xiàn)出來(lái)了此外在數(shù)據(jù)保護(hù)中，快照技術(shù)(snapshot)是極為熱門(mén)的技術(shù)之一，快照可以恢復(fù)遭破壞的數(shù)據(jù)，減少宕機(jī)的損失，也可以針對(duì)管理人員操作失誤進(jìn)行數(shù)據(jù)的恢復(fù)。對(duì)于硬件的老化，需要管理員在日常工作檢查中及時(shí)發(fā)現(xiàn)流量的衰減，及時(shí)更換老化的硬件。

2.4 用戶方面的安全策略

即使網(wǎng)絡(luò)安全體系架構(gòu)的再完善，策略做的再完美，由于用戶自身的疏忽，也會(huì)導(dǎo)致整體體系的崩潰，所以需要加強(qiáng)用戶的安全防范意識(shí)。用戶方面一些主要的防護(hù)方法如下：防止信息的主動(dòng)和被動(dòng)收集；安裝殺毒軟件，打開(kāi)系統(tǒng)自身的防火墻或者第三方軟件的防火墻，關(guān)閉危險(xiǎn)的不用的服務(wù)端口，防止被黑客利用；杜絕弱口令的使用，將系統(tǒng)自帶的管理用戶改名，設(shè)置密碼的安全長(zhǎng)度和復(fù)雜性，及時(shí)更換密碼，防止黑客遠(yuǎn)程暴力猜解；加強(qiáng)對(duì)木馬惡意代碼等攻擊的防御意識(shí)，對(duì)一些網(wǎng)上流傳的工具或者軟件要經(jīng)過(guò)殺毒軟件掃描以后再使用，不要下載下來(lái)就急著打開(kāi)，對(duì)一些不是官方的網(wǎng)站或者聲望不高的網(wǎng)站，一定要謹(jǐn)慎，打開(kāi)殺毒軟件的WEB防護(hù)功能，并將瀏覽器禁用ACTIVE插件，禁止自動(dòng)執(zhí)行腳本；及時(shí)打補(bǔ)丁，防止溢出攻擊；降低系統(tǒng)目錄的用戶訪問(wèn)權(quán)限；開(kāi)啟系統(tǒng)自帶的日志記錄，養(yǎng)成看日志，分析日志的好習(xí)慣，關(guān)心和關(guān)注安全問(wèn)題，及時(shí)解決不良的隱患。

3 小結(jié)

局域網(wǎng)的網(wǎng)絡(luò)安全問(wèn)題是一個(gè)較為復(fù)雜的工程問(wèn)題，需要隨著網(wǎng)絡(luò)的發(fā)展不斷的研究和探索解決方案，需要一套完整的網(wǎng)絡(luò)安全策略方案來(lái)解決。除了安全架構(gòu)策略之外仍然需要提升用戶的安全意識(shí)，才能減少對(duì)系統(tǒng)的攻擊和破壞。

[1]唐成華，于順爭(zhēng). 基于異構(gòu)的網(wǎng)絡(luò)安全策略自適應(yīng)發(fā)布[J].計(jì)算機(jī)科學(xué), 2008，(9)：74-79.

[2]江衛(wèi)星. 基于VLAN的Intranet網(wǎng)絡(luò)安全策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2009,(11)：17-19.

[3]張沖杰. 計(jì)算機(jī)網(wǎng)絡(luò)安全策略及其技術(shù)防范措施[J]數(shù)字技術(shù)與應(yīng)用, 2010,(11)：71-72.

[4]敖卓緬. 網(wǎng)絡(luò)安全技術(shù)及策略在校園網(wǎng)中的應(yīng)用 [D].重慶大學(xué)，2007.

[5]曹旭. 計(jì)算機(jī)網(wǎng)絡(luò)安全策略探討 [J].硅谷, 2011,(21) ：8-9.

[6]尹敬齊. 煤碳企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全策略 [J].煤碳技術(shù), 2012,(9) ：212-214.

[7]高永強(qiáng)，郭世鐸等. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用大典 [M].北京：人民出版社，2003：20-50.

[8]茅杰，李娜. 網(wǎng)絡(luò)安全策略探析 [J].北京電力高等專(zhuān)科學(xué)校學(xué)報(bào), 2012,(4) ：221-223.

[9]李春榆，張學(xué)杰，李紅靈 淺析基于交換機(jī)技術(shù)的增強(qiáng)局域網(wǎng)網(wǎng)絡(luò)安全策略[J].電腦知識(shí)與技術(shù), 2012,(4) ：4344-4345.

[10]李秋雁，金志剛. 校園網(wǎng)絡(luò)安全策略[J].華北煤碳醫(yī)學(xué)院學(xué)報(bào)，2007,(1)：123-124.

(責(zé)任編輯：孫強(qiáng))

Design of Local Area Network Security Architecture

HUANG Li-Min，QU Wen-Yao

( Shandong Institute of Commerce and Technology, Jinan, Shandong 250103, China )

This paper discusses a design of local area network security architecture. On the basis of analyzing general network topology structure, configuration, network data flow of equipment, user applications vulnerability, this thesis puts forward a design of network security architecture, including a security policy topological structure, security policy of security strategy and the equipment configuration of LAN.

security policy; LAN security framework; data flow

2014-06-10

黃麗民(1970-)，女，山東陽(yáng)谷人，信息與電子學(xué)院副教授，碩士，研究方向?yàn)橛?jì)算機(jī)應(yīng)用，網(wǎng)絡(luò)安全。

TP393.08

A

1671-4385(2014)04-0108-04