Internet的区域服务安全防御系统的研究与应用

肖 犁

（东莞市经济贸易学校，广东东莞523106）

21世纪，随着Internet技术的发展，网络开始成为人们生活中不可或缺的一部分。从单机的数学运算、文件处理，到基于简单连接的内部网络之间的业务处理、办公自动化等的发展，再到基于复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理，在这些领域中，程序、文档、信息等各种资源都可以被共享；甚至如打印机、传真机等硬件也可通过网络共享。网络使人们的生活变得经济便捷且丰富多彩，作为基础设施的局域网络部署也变得越来越广泛。

与此同时，计算机安全问题日益突出，在信息社会、网络社会的背景下，信息的私密程度和安全程度也亮起了红灯。由于网络的信息共享及其特有的开放性，在局域网络发展的同时，伴之而来的信息安全威胁也在不断增加。信息安全开始变得普遍化，从原来的专业应用开始进入人们的日常生活。建立一套完备的网络安全系统，对于区域化管理就变得十分必要。在局域网内进行数据传输和信息发布的过程中，为了确保其安全性，最好采用多种安全策略和技术，并不断改变其机制。

然而，安全与反安全始终是共同发展的，随着计算机技术的提升，两者之间的矛盾也在不断攀升，网络安全必将随着技术的发展而不断更新。它将成为区域乃至国家信息安全保障系统的一个重要方面，对我国未来信息化、电子化的发展也起着重要的作用。

1 网络安全

1.1 网络安全概述

网络安全是指通过采用各种技术和管理措施，使网络系统正常运行，保护网络系统中的硬件、软件及其中的数据，确保网络的连续性、可用性、完整性和保密性，不受偶然的或者恶意的破坏、更改、泄露。网络安全的具体含义与对象有关：① 从用户（个人、企业等）的角度来讲，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护；②从网络运行和管理者角度来讲，他们希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁，制止和防御网络黑客的攻击；③ 对安全保密部门来讲，他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵，避免机要信息泄露，避免对社会产生危害，对国家造成巨大损失；④ 从社会教育和意识形态角度来讲，网络上不健康的内容，会对社会的稳定和人类的发展造成阻碍，必须对其进行控制。

1.2 网络安全的特点

（1）保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。

（2）完整性：数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。

（3）可用性：可被授权实体访问，并按需求使用的特性，即当需要时能否存取所需的信息。例如，网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。

（4）可控性：对信息的传播及内容具有控制能力。

（5）可审查性：出现安全问题时提供依据与解决的手段[1]。

1.3 网络安全的特点

（1）物理因素的影响

网络的物理安全是整个网络系统安全的前提。在设计区域网络以及施工中，应该尽可能地避免外界意外事故、环境因素干扰、人为失误等物理风险所造成的影响。

（2）网络结构的影响

网络拓扑结构设计也直接影响到网络系统的安全性。在区域网络的设计过程中，应尽可能地避免网络结构信息的外泄，并对外网的信息请求加以区分，将可疑信息在其达到主机之前排除。

（3）操作系统的影响

系统的安全直接关系到网络操作系统和网络硬件平台的可信度。在选择可靠操作系统的过程中，应尽可能对其进行详尽分析和安全配置，以弥补目前操作系统的漏洞。

（4）应用系统的影响

应用系统的安全涉及很多具体应用，并直接涉及到信息数据的安全性。应尽可能地建立安全的系统平台，采用多层次的访问控制与权限控制手段和加密技术，对漏洞及时发现、修补，从而适应应用系统安全的动态变化。

（5）管理的影响

管理是网络安全中最重要的部分。应完善安全管理制度，并对网络进行实时检测监控、报告与预警，增强网络的可控性和可追查性，及时发现并避免非法入侵行为。

总之，对于区域网络安全的控制，必须将网络安全机制的建立与健全的安全管理制度相结合，以免在网络安全出现问题时，对整个网络造成无法弥补的损失。特别是对于区域网络的维护，网络安全更成为发展的重要一环。

1.4 网络安全的主要防范措施

（1）对区域网内的关键设备进行全面的安全保密检查。

（2）对访问区域网的用户资格进行严格的认证和控制。

（3）安装区域网络防病毒系统。

（4）对区域网内传输的重要信息数据进行加密。

（5）采用隔离卡或网闸对区域网络进行隔离。

（6）制定网络安全的管理措施。

此外，还有信息过滤、容错、数据镜像、数据备份和审计等其他措施。

2 Internet网络安全技术研究

2.1 局域网

2.1.1 局域网概述

局域网（Local Area Network，LAN）是在一个较小的地理范围（一个学校、工厂或公司）内，通过电缆将服务器、外部设备和数据库等连接起来的数据网络。它通常封闭于一个比较集中的地域内，通过专用的数据网络，与其他局域网、数据库或处理中心相连接，从而构成一个更大的数据网络处理体系[2]。可在2台或多台局域网的计算机内实现文件共享、软件共享、服务共享甚至外部设备共享等。其网络拓扑结构共有3种，如图1所示。

图1 LAN的网络拓扑结构

2.1.2 LAN安全技术

目前，局域网基本上都采用以太网，很容易被黑客介入，窃取信息。对此解决办法主要有以下几种。

（1）对网络进行分段，将非法用户与区域网络资源相互隔离，可防止非法侦听。网络分段可分为物理分段和逻辑分段两种方式，经常被综合运用。如在海关系统中普遍使用的DEC MultiSwitch 900的入侵检测功能。

（2）用交换式集线器代替共享式集线器，使2台机器之间的数据包仅在2个节点之间传输，从而防止非法侦听。

（3）运用虚拟局域网技术，将以太网通信变为点到点通信，不但可以防止大部分的网络侦听，还可以改进管理效率。保护网络不受由广播流量所造成的影响，灵活控制广播域。

2.1.3 无线局域网

无线局域网（Wireless Local Area Network，WLAN）是利用电磁波发送和接收数据，不需要线缆介质，是在有线互联网的基础上发展起来的一种网络。它的可移动性可以快速方便地解决有线网络所不能解决的问题。目前，WLAN的数据传输速率已经最高能达到450 Mbps，传输距离可远至20 km以上。

相对有线网络，无线局域网只需要一个或多个接入点设备就可建立覆盖整个区域的网络，安装更加便捷。网络设备的安放位置不再受网络信息点位置的限制，使用更加灵活。不需要进行网络改造，更加经济实惠。WLAN有多种配置方式，可以根据实际需要灵活选择，更易扩展。综上所述，无线局域网的应用越广泛，无线局域网的安全问题也愈重要。无线局域网示意图如图2所示。

图2 无线局域网示意图

2.1.4 WLAN安全技术

WLAN技术最早出现在第二次世界大战期间的军事应用。目前，WLAN产品主要采用的是美国电气和电子工程师协会（Institute of Electrical and Electronics Engineers，IEEE）802.11b国际标准和直接序列扩频（Direct Sequence Spread Spectrum，DSSS）通信技术[3]。

802.11 标准是一种增强性的网络安全解决方案。主要包括3项安全技术来保障无线局域网数据传输。

第1项为服务集标识（Service Set Identifier，SSID）技术。将一个网络划分为多个子网络，登录每个子网络时都需要独立的身份认证，以防止未授权用户进入。

第2项为介质访问控制（Media Access Control，MAC）技术。在无线局域网的每一个接入点下设置一个授权用户的MAC地址清单，拒绝MAC地址不在清单中的用户。

第3项为有线等效加密（Wired Equivalent Privacy，WEP）加密技术。来源于RC4的RSA数据加密技术，防止电波传输数据过程中数据被侦听，或即使数据被截取也无法被破译。

DSSS通过利用高速率的扩频序列在发射端扩展信号的频谱，而在接收端用相同的扩频码序列进行解扩，把展开的扩频信号还原成原来的信号。

DSSS由于采用全频带传送资料，速度较快，而且适用于固定环境或对传输质量要求较高的场合。如无线厂房、无线医院、网络社区和分校联网等大部分都采用DSSS无线技术。

2.2 广域网

2.2.1 广域网概述

广域网（Wide Area Network，WAN）也称远程网，是在电信网络的基础上发展起来的覆盖较大地理位置的局域网之间链接的集合。它将分布在不同地区的局域网或计算机系统联系起来，实现资源共享。WAN更能满足大容量、突发性通信和综合服务的业务需求，并且具备更规范的协议。广域网的拓扑结构是点到点连接构成的网状结构，如图3所示。

图3 广域网的拓扑结构

2.2.2 广域网接入技术

（1）数 字 数 据 网 （Digital Data Network，DDN），它是利用数字信道传输数据信号的数字网络，可向用户提供半永久性连接电路，不但用于计算机之间的通信，也可用于点对点的专线、一点对多点的连接、同点对多点的图像通信和数字化信号等之间的通信。

（2）综合业务数字网络（Integrated Services Digital Network，ISDN）是一种可以在电话线路上同时提供音频、视频和数据服务的数字网络，能够通过一根普通的电话线进行多种业务通信、双向进行数据传输等，几乎综合了目前各单项业务网络的功能，又被称为“一线通”。

（3）非对称数字用户环路（Asymmetric Digital Subscriber Line，ADSL）是我国目前应用最广的宽带接入技术。它由用户端设备和局端设备组成，提供速率不一的上行和下行通道，不但简化了设备设计，而且使数据和语音同时传输互不干扰。

（4）帧中继是另一种广域网窄带接入技术，它提供了高速、高效率、低时延的服务，并利用永久性虚电路建立可靠的端到端回路，比较适合局域网之间连接或者业务量突然增大的状况[4]。

2.3 局域网安全技术策略

为了保证局域网安全，目前主要采用扫描器设备来对网络进行扫描，发现主机的缺陷和弱点，从而加强系统的安全性。除此之外，还需要强化网络安全意识，建立完备的网络安全体系。

2.3.1 采用防火墙技术

（1）防火墙的概念

防火墙是网络安全的有机组成部分，可以区分可信与不可信网络，它通过控制和监测网络来判断来往于网络之间的信息是否安全。防火墙本身必须建立在安全的操作系统基础上，将硬件和软件有机结合。

（2）防火墙的主要功能

防火墙主要用于过滤进、出网络的数据，管理进、出网络的访问行为，封堵某些禁止的业务，记录通过防火墙的信息内容、活动以及对网络攻击进行检测和报警等。如对内部工作子网与外网的访问控制、隔离区（Demilitarized Zone，DMZ）区域与外网的访问控制、内部子网与DMZ区的访问控制、拨号用户对内部网的访问控制、下属机构对总部的访问控制、基于时间的访问控制、用户级权限控制、高层协议控制、网络之间互连的协议与MAC绑定、流量控制以及端口映射等[5]。

（3）防火墙类型

① 包过滤防火墙。过滤器可以检测通信数据，观察其源地址和目标地址，从而禁止特定的地址或地址范围传出或进入，也可以禁止令人怀疑的地址模式。包过滤路由器示意图如图4所示。

图4 包过滤路由器示意图

包过滤防火墙乐意在网络层上进行监测，简单透明、使用效率高，但是由于不能引入认证机制，一般不能防御使用UDP协议的攻击，对于低层攻击无能为力。

② 应用层网关又被称为代理服务器，在应用层上实现，可以监视内容并提供日志功能，但是新的服务在代理过程中存在延迟性和专业性，且代理服务受到协议本身缺陷的限制。

③ 电路层网关，如图5所示。

图5 电路层网关示意图

2.3.2 限制虚拟专用网访问

虚拟专用网（Virtual Private Network，VPN）：通过国际互联网建立虚拟专用网，它可以接收被保护的主机信息，对此加密，然后通过路由器发送至互联网，再通过另一个局域网中的VPN设备解密。包括拨号VPN与专线VPN。

VPN用户有访问内网的权限，对内网的安全造成了巨大的威胁；因此，需要利用登录权限控制列表来限制每一位VPN用户访问内网的全部权限，仅仅赋予他们所需的访问权限即可。

2.3.3 采用入侵检测系统

入侵检测系统（Intrusion Detection System，IDS）通过对网络上的所有报文进行分析处理，报告异常，使网络安全管理员及时采取行动阻止可能的破坏。IDS可以实时地监视、分析网络中所有的数据报文，对系统记录的网络事件进行统计分析，主动切断连接或与防火墙联动。

2.3.4 建立完善的网络安全决策

除了手动安全策略，还可以采用自动执行实时跟踪的安全策略，实时跟踪网络事件并记录数据文件。同时，培训区域网用户自动响应网络安全策略，建立完善的网络管理机构，制定严格的设备管理制度和软件数据管理制度等。

对于网络安全所面临的问题以及日益更新的病毒和入侵方式，应该快速发展多层次、全方位、跨平台的技术及具有强大功能的防护系统，实现自动化服务以及安全设计的合理规划。同时，还应使网络安装进一步简易化，保证对区域网络用户的服务。

3 区域网络安全技术的应用

3.1 企业内部局域网安全技术的应用

企业内部网络使用的特点：① 运行稳定；② 高负荷网络运行；③ 保证私密性和安全性；④ 保证网络速度；⑤ 管理简单；⑥ 较大的扩展性；⑦ 支持多种外部设备使用。

企业内部网络安全设计示意图如图6所示。

图6 企业内部网络安全设计示意图

3.2 高校内部局域网安全技术的应用

高校内部网络使用的特点：① 网络管理的先进性；② 网络使用的可靠性；③ 增强网络之间互连协议可控性；④ 针对不同办公区特点设定相应的安全访问控制策略[6]。

高校内部网络安全设计示意图如图7所示。

图7 高校内部网络安全设计示意图

4 结 语

Internet是一个开放的、控制力度较小的机构，其中的计算机系统经常会被侵入，机密数据被窃取、权限被盗用、数据被破坏，甚至严重至系统瘫痪，给人们的日常生活带来无法弥补的损失；因此，网络安全技术的普及和发展变得非常重要，而建立一个完备的区域网络安全体系也成了能维护网络安全的一个重要方面。

[1] 石志国.计算机网络安全教程[M].北京：清华大学出版社，2008.

[2] 王 群，李馥娟.局域网一点通——办公室、家庭、网吧、宿舍组网实务[M].3版.北京：人民邮电出版社，2004.

[3] 马凤国，孙耀辉，郭 钟.中兴无线局域网产品及其应用解决方案[J].中兴通讯，2003，9（4）：56－57.

[4] 冯登国.网络安全原理与技术[M].北京：科学出版社，2010.

[5] 张宏武.防火墙在图书馆局域网的应用[J].现代情报，2004（10）：142－145.

[6] 蒋 威，刘 磊.校园网络的安全分析及解决方案[J].吉林师范大学学报：自然科学版，2006（2）：45－46.