局域網(wǎng)終端監(jiān)控管理系統(tǒng)設(shè)計(jì)與開發(fā)研究

馮喬春 云南電網(wǎng)有限責(zé)任公司曲靖供電局

1 前言

目前隨著網(wǎng)絡(luò)迅速的發(fā)展，網(wǎng)絡(luò)黑客給局域網(wǎng)系統(tǒng)造成了相當(dāng)大的安全威脅，一旦局域網(wǎng)內(nèi)部終端系統(tǒng)遭到網(wǎng)絡(luò)攻擊，可能會(huì)使得政府單位以及企業(yè)各種較為敏感的數(shù)據(jù)資料或者是機(jī)密信息被盜取，從而產(chǎn)生巨大的經(jīng)濟(jì)損失。為了有效強(qiáng)化局域網(wǎng)終端的安全管理能力，必須要憑借局域網(wǎng)安全監(jiān)控系統(tǒng)來(lái)查看網(wǎng)絡(luò)傳輸數(shù)據(jù)中是否有惡意的程序，通過(guò)局域網(wǎng)安全系統(tǒng)的協(xié)助，能夠率先發(fā)現(xiàn)病毒性質(zhì)的數(shù)據(jù)，并且向管理者發(fā)出預(yù)警，也可以使用局域網(wǎng)終端監(jiān)控系統(tǒng)誘捕侵犯的攻擊，并且對(duì)攻擊行為進(jìn)行分析，增強(qiáng)局域網(wǎng)安全監(jiān)控系統(tǒng)的防范能力，加強(qiáng)對(duì)各種惡意程序的入侵檢測(cè)能力。

2 局域網(wǎng)終端系統(tǒng)進(jìn)行安全監(jiān)控原理

在局域網(wǎng)系統(tǒng)中主要使用兩道防火墻，外部的防火墻主要與互聯(lián)網(wǎng)絡(luò)相互連接，設(shè)定的形式是正向標(biāo)準(zhǔn)，符合防火墻條件的數(shù)據(jù)都能夠通過(guò)，但是其余數(shù)據(jù)會(huì)被丟棄，這是局域網(wǎng)終端監(jiān)控系統(tǒng)的第一道防線。在第一道防線中架設(shè)監(jiān)控系統(tǒng)，可以檢測(cè)是否有惡意的數(shù)據(jù)，一旦發(fā)現(xiàn)可以立即發(fā)出警告，并且可以通過(guò)局域網(wǎng)監(jiān)控系統(tǒng)聯(lián)動(dòng)機(jī)制修改防火墻規(guī)則，對(duì)惡意數(shù)據(jù)的IP 連接直接切斷，這是防火墻的二道防線。

將系統(tǒng)設(shè)置在外部防火墻有一個(gè)優(yōu)勢(shì)，就是利用外部防火墻能夠阻擋掉不符合規(guī)則的數(shù)據(jù)包，監(jiān)控系統(tǒng)只針對(duì)進(jìn)入流量進(jìn)行檢查，可以有效提升網(wǎng)絡(luò)檢測(cè)的效率。在外部防火墻與內(nèi)部防火墻之間可以架設(shè)對(duì)入侵系統(tǒng)攻擊者的誘捕網(wǎng)絡(luò)。主要是因?yàn)槎鄶?shù)局域網(wǎng)終端監(jiān)控系統(tǒng)使用誤用檢測(cè)技術(shù)，如果數(shù)據(jù)包沒有惡意特征，那就無(wú)法進(jìn)行警示，就會(huì)導(dǎo)致漏報(bào)的行為。因此可以使用誘捕系統(tǒng)，主要的目的是捕獲惡意的數(shù)據(jù)資料，與安全監(jiān)控系統(tǒng)進(jìn)行聯(lián)動(dòng)，使得系統(tǒng)自動(dòng)為安全監(jiān)控體系產(chǎn)生特征，降低漏報(bào)的概率，這是第三道防線。

當(dāng)誘捕入侵系統(tǒng)被網(wǎng)絡(luò)黑客攻擊之后，攻擊者認(rèn)為以他為跳板來(lái)攻擊其他終端，惡意數(shù)據(jù)包進(jìn)入防火墻主機(jī)之后，可以采用正向列表的方式設(shè)置，在內(nèi)部只允許符合規(guī)則的數(shù)據(jù)包，不符合的將直接丟棄。通過(guò)的數(shù)據(jù)在與入侵檢測(cè)規(guī)則相匹配，一旦發(fā)現(xiàn)有符合入入侵者規(guī)則的數(shù)據(jù)，那么立即發(fā)出警告，并且修改規(guī)則，封鎖相應(yīng)的Ip，并能夠?qū)崟r(shí)阻止攻擊。

3 主機(jī)安全機(jī)制

3.1 身份認(rèn)證機(jī)制

采用身份證認(rèn)證能夠有效減少非法用戶登錄對(duì)終端系統(tǒng)所造成的惡意攻擊。在用戶對(duì)服務(wù)器進(jìn)行訪問(wèn)需要提供正確的用戶賬號(hào)，密碼等，還需要身份驗(yàn)證，可以設(shè)置網(wǎng)站目錄或者是文件等設(shè)置身份驗(yàn)證，同時(shí)也可以利用互聯(lián)網(wǎng)信息服務(wù)，對(duì)FTP 站點(diǎn)和網(wǎng)絡(luò)進(jìn)行控制。

3.2 訪問(wèn)控制機(jī)制

訪問(wèn)控制機(jī)制主要是指控制信息訪問(wèn)的權(quán)限，對(duì)于一些非法用戶或者是沒有經(jīng)過(guò)授權(quán)的用戶，如果對(duì)信息進(jìn)行控制，減少可能發(fā)生的數(shù)據(jù)修改或者是破壞。對(duì)于網(wǎng)頁(yè)信息以及站點(diǎn)信息內(nèi)容進(jìn)行訪問(wèn)控制，是服務(wù)器最終安全運(yùn)行的關(guān)鍵所在，可以使用微軟相關(guān)的安全系統(tǒng)，對(duì)用戶訪問(wèn)網(wǎng)頁(yè)和站點(diǎn)內(nèi)容進(jìn)行控制。用戶權(quán)限設(shè)置在特定計(jì)算機(jī)上執(zhí)行操作的能力權(quán)限是與被控制對(duì)象相關(guān)聯(lián)的規(guī)則，它主要是規(guī)定哪些用戶能夠獲得訪問(wèn)網(wǎng)頁(yè)的權(quán)利。

3.3 安全審計(jì)的機(jī)制

定制安全策略以及對(duì)進(jìn)行授權(quán)驗(yàn)證是這部分機(jī)制的重點(diǎn)內(nèi)容，終端維護(hù)管理人員可以使用安全審核技術(shù)對(duì)客戶端用戶的活動(dòng)進(jìn)行跟蹤檢測(cè)，同時(shí)對(duì)文件目錄或者是產(chǎn)生未經(jīng)授權(quán)的訪問(wèn)，也可以及時(shí)進(jìn)行跟蹤，可供審核的活動(dòng)包括用戶成功或者是失敗的訪問(wèn)記錄，用戶嘗試連接受訪問(wèn)權(quán)限限制的賬戶，或者是嘗試執(zhí)行受到限制的命令等等。

3.4 防火墻機(jī)制

防火墻機(jī)制主要包括三種，第一種是過(guò)濾防火墻，第二種是應(yīng)用網(wǎng)關(guān)，第三種是代理服務(wù)，防火墻的體系在網(wǎng)絡(luò)設(shè)置中使用較為廣泛，比如說(shuō)屏蔽直網(wǎng)型的防火墻，主要由主機(jī)和過(guò)濾路由器兩個(gè)部分組成，把服務(wù)器以及主機(jī)放置在內(nèi)網(wǎng)與外網(wǎng)相互連接的小型網(wǎng)絡(luò)中，過(guò)濾路由器主要是用來(lái)連接外網(wǎng)，防止外網(wǎng)惡意數(shù)據(jù)的攻擊，同時(shí)它還能管理外網(wǎng)對(duì)于安全區(qū)域的訪問(wèn)，第二個(gè)過(guò)濾路由器是用來(lái)接收主機(jī)數(shù)據(jù)的分組，它主要是用來(lái)管理內(nèi)網(wǎng)與安全區(qū)之間的訪問(wèn)。利用這種連接方式，外網(wǎng)是無(wú)法接觸到內(nèi)部網(wǎng)絡(luò)的，那么對(duì)于內(nèi)部網(wǎng)絡(luò)來(lái)說(shuō)也無(wú)法接觸到外網(wǎng)，內(nèi)部局域網(wǎng)只有通過(guò)代理服務(wù)的形式才能夠?qū)ν獠炕ヂ?lián)網(wǎng)絡(luò)進(jìn)行訪問(wèn)，這樣就能夠有效提升系統(tǒng)的整體安全防護(hù)等級(jí)，對(duì)于網(wǎng)絡(luò)入侵者來(lái)說(shuō)，它只有通過(guò)外部主機(jī)路由器，在經(jīng)過(guò)內(nèi)部路由器之后才能夠嵌入到內(nèi)部局域網(wǎng)中，因此從這個(gè)角度上來(lái)看，目前三層防火墻機(jī)制是比較安全的信息防護(hù)的手段機(jī)制。

3.5 網(wǎng)絡(luò)轉(zhuǎn)換的機(jī)制

網(wǎng)絡(luò)地址轉(zhuǎn)換機(jī)制應(yīng)用非常廣泛，它主要是應(yīng)用各種網(wǎng)絡(luò)的互聯(lián)網(wǎng)接入方式中，因?yàn)榈刂忿D(zhuǎn)換機(jī)制不僅能夠有效解決Ip 地址數(shù)量不足的問(wèn)題，同時(shí)還能夠有效避免外部惡意程序或者是病毒的攻擊，從而能夠有效隱藏內(nèi)部的計(jì)算機(jī)免受外部的侵?jǐn)_，網(wǎng)絡(luò)地址轉(zhuǎn)換機(jī)制部署有兩種形式，一種是根據(jù)已經(jīng)存在的代理服務(wù)器來(lái)實(shí)現(xiàn)功能，但是這種部署形式成本比較高，同時(shí)網(wǎng)絡(luò)聯(lián)通的性能比較差，因此可以在路由器上來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)地址的轉(zhuǎn)換。由于與互聯(lián)網(wǎng)相互連接的終端數(shù)量不斷增長(zhǎng)，目前網(wǎng)絡(luò)Ip 地址空間資源越來(lái)越稀少，網(wǎng)絡(luò)地址轉(zhuǎn)換機(jī)制的實(shí)現(xiàn)有三種形式，第一種是靜態(tài)轉(zhuǎn)換方式，第二種是動(dòng)態(tài)轉(zhuǎn)換方式，第三種是端口多路復(fù)用的方式。

3.6 Vpn 技術(shù)

Vpn 技術(shù)中加密技術(shù)是一項(xiàng)基本的技術(shù)，它可以使用各種加密算法實(shí)現(xiàn)數(shù)據(jù)通信內(nèi)容的安全性，保障局域網(wǎng)內(nèi)部數(shù)據(jù)信息不被非法的第三方獲得，能夠有效保證數(shù)據(jù)傳輸?shù)陌踩?。在公開渠道上傳輸流量需要進(jìn)行加密，沒有經(jīng)過(guò)授權(quán)的網(wǎng)絡(luò)用戶無(wú)法讀取內(nèi)部的信息。信息發(fā)送者在發(fā)送數(shù)據(jù)時(shí)，需要對(duì)數(shù)據(jù)進(jìn)行加密，數(shù)據(jù)到達(dá)接觸者之后，接觸者在對(duì)于數(shù)據(jù)進(jìn)行解密。從加密形式來(lái)看，VPn 的密碼系統(tǒng)可以分為兩種，一種是對(duì)稱性的密碼系統(tǒng)，一種是非對(duì)稱的密碼系統(tǒng)。關(guān)于對(duì)稱性的密碼系統(tǒng)來(lái)說(shuō)，它的整體結(jié)構(gòu)較為簡(jiǎn)單，缺點(diǎn)是對(duì)于密匙的管理比較困難。比較常用的對(duì)稱加密算法，包括des，3des 等等。對(duì)于非對(duì)稱性的加密技術(shù)，它的安全性能更高，它可以對(duì)加密密匙進(jìn)行公開的加密，同時(shí)還有一些顯著的缺點(diǎn)，比如說(shuō)是加密和解密的效率比較低，很難通過(guò)硬件來(lái)實(shí)現(xiàn)加密。目前常用的非對(duì)稱加密算法有rsa 算法，dh 算法等等，目前普遍利用非對(duì)稱的加密技術(shù)進(jìn)行身份驗(yàn)證以及密匙的相互交換，加密技術(shù)主要用數(shù)據(jù)加密和解密。

4 結(jié)束語(yǔ)

本文對(duì)于局域網(wǎng)終端監(jiān)控管理系統(tǒng)設(shè)計(jì)與開發(fā)研究主要的技術(shù)原理進(jìn)行分析，探討了主機(jī)控制技術(shù)、防火墻技術(shù)以及VPn 技術(shù)等在系統(tǒng)設(shè)計(jì)中應(yīng)用的技術(shù)，希望能夠提升局域網(wǎng)終端監(jiān)控管理系統(tǒng)設(shè)計(jì)的質(zhì)量，給關(guān)技術(shù)人員以借鑒和參考。