局域網(wǎng)環(huán)境下的網(wǎng)絡(luò)安全技術(shù)研究

薛勁松 馮仁君

（國(guó)網(wǎng)蘇州供電公司，江蘇 蘇州 215004）

1 引言

在社會(huì)經(jīng)濟(jì)快速發(fā)展下，計(jì)算機(jī)已經(jīng)走入千家萬(wàn)戶，成為我們?nèi)粘Ｉ詈凸ぷ髦胁豢苫蛉钡囊徊糠?。而網(wǎng)絡(luò)具備共享性、復(fù)雜性、開放性等特征，這致使在局域網(wǎng)與廣域網(wǎng)環(huán)境下，計(jì)算機(jī)網(wǎng)絡(luò)安全難以得到有效保障，進(jìn)而衍生出很多網(wǎng)絡(luò)安全問題。本文分析了當(dāng)前局域網(wǎng)環(huán)境下的計(jì)算機(jī)網(wǎng)絡(luò)安全威脅，并制定相應(yīng)的安全措施，進(jìn)而確保計(jì)算機(jī)網(wǎng)絡(luò)信息的保密性、安全性與完整性。

2 局域網(wǎng)環(huán)境下的計(jì)算機(jī)網(wǎng)絡(luò)安全問題

2.1 計(jì)算機(jī)病毒的威脅

在網(wǎng)絡(luò)技術(shù)快速發(fā)展下，出現(xiàn)了多種計(jì)算機(jī)病毒，這些病毒破壞性強(qiáng)，傳染性強(qiáng)。計(jì)算機(jī)病毒不但會(huì)對(duì)計(jì)算機(jī)內(nèi)部數(shù)據(jù)處理系統(tǒng)進(jìn)行侵?jǐn)_，而且對(duì)計(jì)算機(jī)指令造成破壞。一旦有網(wǎng)絡(luò)病毒入侵到局域網(wǎng)，當(dāng)一臺(tái)計(jì)算機(jī)感染病毒，與其進(jìn)行信息交互的服務(wù)器也會(huì)被感染，進(jìn)而病毒會(huì)迅速擴(kuò)散到局域網(wǎng)內(nèi)與該服務(wù)器相連的其他計(jì)算機(jī)，局域網(wǎng)數(shù)據(jù)交互的高速性也加快了病毒的傳播速度，因此，服務(wù)器區(qū)域的獨(dú)立防護(hù)是非常有必要的。

2.2 計(jì)算機(jī)操作人員缺乏安全意識(shí)

計(jì)算機(jī)操作人員安全意識(shí)缺乏，是當(dāng)前局域網(wǎng)安全問題的主要構(gòu)成因素之一。在通訊技術(shù)快速發(fā)展下，應(yīng)用計(jì)算機(jī)網(wǎng)絡(luò)人群越發(fā)增多，但實(shí)際上，人們普遍缺少網(wǎng)絡(luò)安全意識(shí)。很多用戶在計(jì)算機(jī)網(wǎng)絡(luò)使用中不加密，內(nèi)網(wǎng)與外網(wǎng)頻繁切換，沒有對(duì)計(jì)算機(jī)系統(tǒng)及時(shí)殺毒，訪問不安全網(wǎng)站等等，這些操作往往給計(jì)算機(jī)病毒創(chuàng)造了侵入的條件，進(jìn)而造成數(shù)據(jù)泄密的情況發(fā)生。

2.3 局域網(wǎng)管理制度不完善

目前廣域網(wǎng)已經(jīng)有相對(duì)完善安全防護(hù)體系，如防火墻、入侵檢測(cè)、包過濾路由等網(wǎng)絡(luò)邊界防護(hù)，阻擋來自外網(wǎng)的安全威脅。但是，局域網(wǎng)建設(shè)還有很多不足，缺乏完善的網(wǎng)絡(luò)管理制度和規(guī)范，局域網(wǎng)接入管理不嚴(yán)、服務(wù)器端口管理不到位、IP地址規(guī)劃不合理，致使安全威脅較大，加之網(wǎng)絡(luò)在使用和管理過程中的疏漏也增加了局域網(wǎng)安全的威脅。

3 局域網(wǎng)網(wǎng)絡(luò)安全技術(shù)應(yīng)用

3.1 防火墻技術(shù)在局域網(wǎng)網(wǎng)絡(luò)安全中的應(yīng)用

在局域網(wǎng)中，防火墻技術(shù)的應(yīng)用可在內(nèi)網(wǎng)與外網(wǎng)之間形成一道防護(hù)屏障。通過防火墻設(shè)置，監(jiān)測(cè)過濾內(nèi)外網(wǎng)之間的信息交換，記錄通信相關(guān)日志，將不安全數(shù)據(jù)以及信息及時(shí)隔離，并對(duì)重點(diǎn)網(wǎng)段進(jìn)行有效隔離，保護(hù)內(nèi)網(wǎng)數(shù)據(jù)不被竊取與破壞。同時(shí)，還能夠?qū)Ψ?wù)器區(qū)域進(jìn)行獨(dú)立防護(hù)，通過設(shè)置雙重防火墻劃分出兩個(gè)服務(wù)器隔離區(qū)域，區(qū)域1可以放置只允許內(nèi)網(wǎng)訪問的一類服務(wù)器，區(qū)域2放置允許內(nèi)外網(wǎng)訪問的一類服務(wù)器，實(shí)現(xiàn)了內(nèi)網(wǎng)，服務(wù)器區(qū)域1，服務(wù)器區(qū)域2和外網(wǎng)之間的訪問控制，既在網(wǎng)絡(luò)出口處阻斷了外網(wǎng)攻擊，又在網(wǎng)絡(luò)入口處抵擋了內(nèi)網(wǎng)攻擊。

3.2 入侵檢測(cè)技術(shù)在局域網(wǎng)網(wǎng)絡(luò)安全中的應(yīng)用

入侵檢測(cè)技術(shù)是繼防火墻之后的第二道網(wǎng)絡(luò)防御系統(tǒng)。通過對(duì)網(wǎng)絡(luò)中關(guān)鍵點(diǎn)的信息收集和分析，檢測(cè)包括安全日志、用戶行為、審計(jì)信息等內(nèi)容，發(fā)現(xiàn)是否有被攻擊的跡象，并適時(shí)作出響應(yīng)。入侵檢測(cè)技術(shù)的應(yīng)用有助于管理人員對(duì)網(wǎng)絡(luò)系統(tǒng)中的變化情況及時(shí)了解，擴(kuò)展了系統(tǒng)管理員對(duì)安全審計(jì)、監(jiān)視、攻擊識(shí)別和響應(yīng)方面的安全管理能力，提高了網(wǎng)絡(luò)安全架構(gòu)的完整性。

3.3 網(wǎng)絡(luò)分段技術(shù)在局域網(wǎng)網(wǎng)絡(luò)安全中的應(yīng)用

網(wǎng)絡(luò)分段是一種確保系統(tǒng)安全的關(guān)鍵措施，也是一項(xiàng)基本手段，其功能是隔離網(wǎng)絡(luò)資源與非法用戶，進(jìn)而達(dá)到對(duì)用戶非法訪問進(jìn)行限制。網(wǎng)絡(luò)分段有兩種方式，即：邏輯分段、物理分段。在具體應(yīng)用中，一般采用邏輯與物理分段相互融合的方式來實(shí)現(xiàn)控制網(wǎng)絡(luò)系統(tǒng)的可靠性與安全性。當(dāng)前，我國(guó)局域網(wǎng)的網(wǎng)絡(luò)格局主要是以交換機(jī)為中心，邊界是以路由器為主，應(yīng)對(duì)中心交換機(jī)的訪問控制功能進(jìn)行優(yōu)化，并對(duì)物理與邏輯分段綜合運(yùn)用，進(jìn)而更好地控制局域網(wǎng)的安全。

3.4 交換式集線器在局域網(wǎng)網(wǎng)絡(luò)安全中的應(yīng)用

在對(duì)局域網(wǎng)中心交換機(jī)進(jìn)行網(wǎng)絡(luò)分段之后，雖然可以在一定程度上提升網(wǎng)絡(luò)安全，但依然存在以太網(wǎng)被偵聽的風(fēng)險(xiǎn)。導(dǎo)致其安全隱患的主要原因是，終端使用者在接入局域網(wǎng)時(shí)經(jīng)常使用分支集線器進(jìn)行接入。當(dāng)前較主流的分支集線器，多數(shù)產(chǎn)品都是采用共享的方式。從而，當(dāng)用戶之間進(jìn)行數(shù)據(jù)包交換時(shí)，處于同一個(gè)局域網(wǎng)中的其他用戶則能夠?qū)ζ鋽?shù)據(jù)進(jìn)行偵聽。所以，要從根本上解決網(wǎng)絡(luò)安全問題，需要將共享式集線器替換為交換式集線器進(jìn)行使用，確保在進(jìn)行單播包數(shù)據(jù)傳送過程中，保持在兩個(gè)節(jié)點(diǎn)中進(jìn)行數(shù)據(jù)傳送。

3.5 虛擬網(wǎng)技術(shù)在局域網(wǎng)網(wǎng)絡(luò)安全中的應(yīng)用

隨著局域網(wǎng)交換技術(shù)的不斷發(fā)展，基于廣播局域網(wǎng)的傳統(tǒng)技術(shù)已經(jīng)開始向面向連接的技術(shù)發(fā)展。局域網(wǎng)維護(hù)管理人員可以通過局域網(wǎng)的廣播機(jī)制進(jìn)行切入，使用交換器和VLAN技術(shù)來實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)通訊。通過虛擬網(wǎng)技術(shù)在局域網(wǎng)網(wǎng)絡(luò)安全中的應(yīng)用，針對(duì)相關(guān)訪問控制進(jìn)行設(shè)置，讓處于虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點(diǎn)無法對(duì)其網(wǎng)內(nèi)節(jié)點(diǎn)進(jìn)行直接訪問，有效提高了局域網(wǎng)網(wǎng)絡(luò)安全。

3.6 IKE--Internet密鑰交換協(xié)議在局域網(wǎng)網(wǎng)絡(luò)安全中的應(yīng)用

IKE屬于一種混合型協(xié)議，由Internet安全關(guān)聯(lián)和密鑰管理協(xié)議（ISAKMP）及兩種密鑰交換協(xié)議OAKLEY與SKEME組成。在進(jìn)行IKE創(chuàng)建時(shí)，需要基于ISAKM框架來進(jìn)行定義，沿用了OAKLEY的密鑰交換模式以及SKEME的共享和密鑰更新技術(shù)，還定義了它自己的兩種密鑰交換方式：主要模式和積極模式。

IKE使用了兩個(gè)階段的ISAKMP：第一階段通過協(xié)商方式來創(chuàng)建IKE的安全關(guān)聯(lián)，其能夠?qū)λ鶆?chuàng)建的通信信道進(jìn)行認(rèn)證，從而可以讓通信雙方的IKE通信更加保密，通信信息更加完整。第二階段在所創(chuàng)建的IKE安全關(guān)聯(lián)的基礎(chǔ)上，為IPsec協(xié)商具體的安全關(guān)聯(lián)。對(duì)于配置的兩個(gè)階段而言，一階段中可以采用主模式和野蠻模式來進(jìn)行工作，二階段中的工作模式只是單純的快速模式。其中，主模式是為整個(gè)信息交換提供相對(duì)應(yīng)的身份保護(hù)，需要通過6個(gè)消息交換完成IKE SA的建立。在進(jìn)行預(yù)共享密鑰主模式認(rèn)證過程中，雙方的身份信息只能以IP地址標(biāo)識(shí)。如果是采用數(shù)字證書驗(yàn)證的主模式，可以從所提供的證書中提取相應(yīng)的公開密鑰。在進(jìn)行野蠻模式工作時(shí)，該模式會(huì)通過信息交換的方式創(chuàng)建一個(gè)新的驗(yàn)證密碼，然后使用IKE進(jìn)行安全協(xié)議創(chuàng)建安全關(guān)聯(lián)，其工作模式只需通過3條信息的交換，較主模式能夠更快建立IKE SA。因此，對(duì)于野蠻工作模式而言，其更加適用于遠(yuǎn)程訪問。兩者在進(jìn)行信息交換時(shí)，同時(shí)使用共享密碼驗(yàn)證模式來創(chuàng)建IKE安全聯(lián)盟。如果發(fā)起者非常熟悉響應(yīng)者的安全策略，則可以通過快速創(chuàng)建IKE SA方式來進(jìn)行訪問。對(duì)于快速模式而言，主要是在創(chuàng)建安全關(guān)聯(lián)的基礎(chǔ)上，通過快速模式來與其他IPSEC協(xié)議進(jìn)行交換，并讓兩者的SA提供IKE安全關(guān)聯(lián)加密，整個(gè)加密過程可以對(duì)所交換的信息進(jìn)行驗(yàn)證。

IKE的安全機(jī)制主要是以身份驗(yàn)證為主，可以通過對(duì)通信雙方身份進(jìn)行驗(yàn)證，系統(tǒng)會(huì)自動(dòng)對(duì)其身份進(jìn)行識(shí)別。此外，以DH算法交換與密鑰分發(fā)安全機(jī)制為輔，這種安全機(jī)制主要是在進(jìn)行數(shù)據(jù)交換過程中，通信對(duì)等體并不會(huì)進(jìn)行密鑰傳送，而且通過計(jì)算的方式來獲取共享密鑰。通過這樣的安全機(jī)制，一旦某一個(gè)密鑰出現(xiàn)被破解的問題，其他密鑰也不會(huì)受到影響。因?yàn)樵谄浒踩w系中，不同密鑰間不存在派生關(guān)系，可以最大限度地增強(qiáng)局域網(wǎng)網(wǎng)絡(luò)安全性。

3.7 加強(qiáng)局域網(wǎng)管理

制定完善的網(wǎng)絡(luò)管理和監(jiān)督辦法，加強(qiáng)局域網(wǎng)接入管理、服務(wù)器端口管理、IP地址分配管理等制度，是確保局域網(wǎng)安全穩(wěn)定運(yùn)行的保障。強(qiáng)化信息保密約束、使用者行為約束、管理者行為約束，減少因網(wǎng)絡(luò)使用者和管理者的各種不當(dāng)行為造成的網(wǎng)絡(luò)安全威脅。

4 結(jié)語(yǔ)

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展，在為用戶的工作和生活帶來許多便利的同時(shí)，網(wǎng)絡(luò)安全問題的出現(xiàn)對(duì)用戶的影響也是巨大的。人們應(yīng)樹立安全風(fēng)險(xiǎn)意識(shí)，做好網(wǎng)絡(luò)安全防范管理工作，完善計(jì)算機(jī)的安全使用性，健全有關(guān)計(jì)算機(jī)操作管理制度，切實(shí)做好維護(hù)和管理局域網(wǎng)網(wǎng)絡(luò)運(yùn)行工作。

[1]韓銳．計(jì)算機(jī)網(wǎng)絡(luò)安全的主要隱患及管理措施分析[J]．信息通信，2014(01)：152-153．

[2]王濤．淺析計(jì)算機(jī)網(wǎng)絡(luò)安全問題及其防范措施[J]．科技創(chuàng)新與應(yīng)用，2013(02)：45-45．

[3]楊曉紅．局域網(wǎng)環(huán)境背景下的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)應(yīng)用研究[J].電腦知識(shí)與技術(shù)，2013(4 X)：2572-2574．

[4]楊麗．對(duì)局域網(wǎng)環(huán)境背景下的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)應(yīng)用分析[J].數(shù)字技術(shù)與應(yīng)用，2016(4)：213-213．