一种局域网安全架构设计

黄丽民，曲文尧

( 山东商业职业技术学院，山东 济南 250103 )

一种局域网安全架构设计

黄丽民，曲文尧

( 山东商业职业技术学院，山东 济南 250103 )

讨论了一种局域网安全架构设计，在分析一般局域网拓扑结构、设备配置、网络数据流、用户应用等脆弱性的基础上，针对局域网出现的安全问题提出了一种局域网网络安全架构设计，包括拓朴结构的安全策略，局域网设备配置的安全策略及局域网数据流的安全策略的解决办法。

安全策略；局域网安全架构；数据流

引言

随着信息技术的快速应用和发展，计算机网络已经成为人们工作、学习、娱乐、交流的最重要手段。计算机局域网是网络中的一种重要形式，它的应用也越来越普及。由于网络环境的多变性和复杂性，信息系统的脆弱性，局域网在为人们的工作和生活带来便利的同时，也带来了较多的安全隐患，网络黑客的攻击、各种木马、病毒等信息安全的产物正在严重地威胁着局域网的安全。利用局域网网络漏洞出现的网络诈骗、网络犯罪正极速上升，严重地影响了网络的秩序和正常的运行。网络安全问题正日益受到人们的关注，因此研究局域网的网络安全存在的问题及应对策略正成为计算机网络领域迫切需要解决的问题。

1 影响局域网安全的几种主要因素

1.1 网络拓扑结构的脆弱性

目前大部分局域网网络拓扑结构中缺少冗余设备和冗余链路，因此单点故障就能导致整个网络瘫痪；有的局域网中核心设备实施和带宽分配控制的不合理，就容易造成业务的处理高延时甚至中断；有的局域网中网络入侵检测系统不够完善，不能够发现各种攻击企图、攻击行为或者攻击结果，很难保证网络系统资源的机密性、完整性和可用性。

1.2 网络设备及网络设备配置的脆弱性

多数局域网的结构相对简单，使用的网络设备较少，因此采取的安全措施也较少，这就给病毒的传播提供了便利的途径，黑客经常利用局域网上的网络设备的安全缺陷进行破坏与窃密活动。如在局域网中用路由器做网关出口只能简单的做到包过滤，不具备完善的安全功能，因此路由器对待网络上各种各样的攻击是脆弱的。在有的局域网中路由器，防火墙等中间设备上配置不缜密会对服务器和用户造成威胁，例如目前很多局域网架构仅将服务器放置在了接入层，没有将服务器放置在防火墙的DMZ非军事化区域，这就会导致如果接入层的任意一台的电脑感染病毒，服务器就有可能被攻击。有的局域网虽然将服务器放置在规划了DMZ非军事化区域，但服务器缺少入侵防御系统对重要数据的深度感知和内容的检测，导致不能做到对恶意报文及时的限制和丢弃也会引发网络安全隐患。有的局域网从网络地址转换技术来看，将整个服务器的IP静态映射到公网，相当于将服务器直接暴露在了Internet这个不安全的环境，很容易被黑客收集服务器信息，从而遭到黑客的攻击。如果局域网缺少对授权和非授权用户的访问限制，同样会造成被攻击的威胁。

1.3 局域网数据的脆弱性

目前很多局域网数据在传输过程中存在安全问题，数据在传输过程中有时会被截取，在局域网内捕获到的数据主要是明文数据，究其原因是大部分web应用程序还在用http协议进行数据提交，文件传输还是广泛使用FTP协议，远程虚拟终端还是使用telnet等，这些数据在协议封装之后也没有使用任何的加密封装技术，数据随时可被感兴趣的人截获，从而造成数据泄露。有的局域网在数据的存储上也有很多安全隐患，因存储隐患导致数据的丢失的后果将更为严重。局域网中造成数据丢失的主要原因如下，第一，由自然灾害引起的数据丢失，很难做到控制和预防，对数据信息的稳定安全是一个很大的威胁。第二，硬件的老化导致传输速率的降低，会造成网络瓶颈，从而导致数据包冲突，发生数据丢包。第三，由于局域网网络管理员操作失误，也有可能造成数据丢失。

1.4 局域网用户应用的脆弱性

网络的作用是为了方便用户的资源共享，共享就是数据互换的过程，互联网的发展，衍生了各式各样方便用户的应用，同时也产生了各式各样毒害用户的病毒和木马。很多局域网网络用户欠缺对于病毒和木马防护等方面的安全意识，对于一些不安全网站上的软件缺乏分辨能力，导致用户的机器或文件被病毒木马感染，同时以用户为病毒源再向身边用户散播，后果严重时会引起整个局域网瘫痪，导致系统无法正常运行。

2 局域网网络安全架构设计

2.1 网络拓扑结构的安全策略

图1 一种安全的局域网网络拓朴结构设计图

针对局域网网络安全拓朴结构的脆弱性，提出了一种安全性加强的网络拓朴结构设计方案如图1所示。在本方案中，为确保网络的完善运行，采用防火墙(FireWall)双网关出口，提供了ISP冗余保障，这样上行链路也能起到负载分担作用；该网络中核心交换设备采用三层冗余，保障汇聚数据的更快交换和低延时。服务器区域的入侵防御系统(IPS)保障了服务器的安全运行，有效地阻止未授权用户的访问，还可以拦截有不安全特征的数据，防火墙和入侵防御系统为服务器安全提供了双重保障。针对易受病毒攻击的WEB服务器，设计上特别采用WEB应用网关(WAF)为WEB服务器保驾护航，防范各种WEB攻击。相对于服务器而言，用户方面的终端数量要大很多，方案中单独使用一个流量控制系统(FS)来做对应的流量策略和控制。用户区域由于用户数量大，检测任务重，单独使用一台入侵检测系统(IDS)来检测用户数据的安全情况，检测到不安全因素再和防火墙联动一起对用户区域的攻击做防护。在核心交换上旁路日志系统，用来记录和分析内部用户的异常行为，这样可以将内部可能有的不安全因素找出来。

外部数据进入这种局域网内先流经防火墙，防火墙根据数据方向路由，同时防火墙将数据复制一份递交给日志系统，做一份记录。流向服务器区域的数据再次经由入侵防御系统(IPS)检验，确保数据没有不安全因素后，最终传递给服务器；而从服务器流向用户的数据再次经过入侵检测系统(IDS)的检测，流控系统(FS)的抑制，最终递交给用户。

图2 数据流分析图

2.2 网络设备的安全策略

2.2.1 防火墙替代出口路由器

本方案设计中我们用防火墙代替了路由器，路由器是典型的三层设备，是为了路由数据包而产生的，不具备完善的安全功能。从数据包过滤性能上，路由器只是简单的包过滤，而防火墙是基于状态包的过滤，对于会话和劫持(TCP欺骗)，路由器不能检测TCP的状态，而防火墙能够检测TCP的状态，防火墙还可以重新随机生成TCP的序列号，这样就能够彻底解决TCP欺骗这样的漏洞了。局域网中防火墙的作用类似于守门人，对于来来往往的数据包做安检。保护经过授权的用户和数据的安全，也防止未授权的用户和通信的进出。因此防火墙是局域网网络建设中重要的一部分，防火墙是保护内部网的第一道关口，也是最为严格的一道关口。

2.2.2 IDS入侵检测系统准确的分析流量

防火墙如果是一幢大楼的门卫，那么该局域网中入侵防御系统(IDS)就是这幢大楼里的监视系统。入侵检测系统可以检测到Internet中复杂多变的攻击，来完善防范网络攻击的威胁。一旦坏人利用其他入口进入大楼，或内部人员有越界行为，防火墙这个门卫在门口无法得知大楼内部的动态，只有入侵防御系统(IDS)系统才能发现情况并发出警告。由于现代黑客工具，黑客教程的泛滥，不是黑客的用户也可以拿傻瓜工具来进行局域网的测试攻击，因此对攻击动作的检测行为尤其重要，入侵防御系统可以自动统计和分析是否有入侵在发生，可以检测到内部用户的恶意行为和由于用户的疏忽而导致的安全隐患，然后联合防火墙制止。

2.2.3 FS流量控制系统保障及控制流量

局域网内部的用户群比较大，对于带宽的分配程度要求各式各样。由于策略条目的琐碎，单独在防火墙或交换上做QOS会不易于管理；而流量控制系统可以精确到每一个用户，或一部分用户的会话数限制和流量速率控制。流量控制系统可以完善的调整流量的分配，充分的利用网络空闲时的资源。

2.2.4 IPS入侵防御系统深度分析数据流

服务器是系统中的核心，服务器的安全要求比用户的要精确很多，所以由入侵检测系统需要联动防火墙来拦截攻击行为，而无法实时的阻断攻击，而这个联动的时间对于服务器的数据来说是不允许的。入侵防御系统(IPS)自身可以做到协议分析、流量异常监视，模式匹配等综合技术手段来判断网络入侵行为，可以准确地发现并阻断各种网络攻击。例如越来越频发的“瞬间攻击”(如SQL注入、溢出攻击等)。同时IPS兼顾有流量控制的功能，识别包括传统协议、P2P下载、股票交易、即时通讯、流媒体、网络游戏、网络视频等网络应用，使得管理员很轻松判断服务器中的各种带宽滥用行为，继而采取包括阻断、限制连接数、限制流量等各种控制手段，确保服务器业务通畅。

2.2.5 NetLog日志系统详细记录网络应用和数据

纵然安全设备布置的再精确，也会有疏忽，一些隐藏性的安全问题也很难发现。网络日志系统(NetLog)可以对所有的流量做收集和分析然后对比现有网络的数据核实该数据的流量是否该有，是否该有这么多，例如对于一些常用的服务使用的时间段进行分析，分析出对应时间段哪个服务使用频繁，从而可以合理分配带宽，保证服务质量；对于一些网络活动不频繁的时间段，而TCP连接状态却是经常保持连接(ESTABLISHED)的，查询连接的目的地址，确定该连接的建立情况，分析是不是一种隐藏的木马。经过局域网日志系统(NetLog)的记录分析可以更加准确的确诊隐藏的问题，从而更加精确的设计策略来限制。

2.3 数据流的安全策略

2.3.1 通过数据加密保障数据的完整性

数据本身的安全策略主要是用密码算法对数据进行主动保护，如数据加密、数据传输安全、双向强身份认证等。数据加密即按照确定的密码算法把敏感的明文数据变换成难以识别的密文数据，来保证即使数据被窃取也不会泄露信息。主要方式有：对称加密(如RSA和DSA)和非对称加密(如DES、IDEA和AES)。数据传输安全中加密是通过数字签名来保障数据包的完整性，确保数据包是没有被调包没有被更改过的数据包。只是对传输中的数据流加密而数据包中的数据还是明文，这样来防止通信线路上的窃听、篡改和破坏。局域网中访问者的身份很容易被伪造，即未经授权的人仿冒有权限人的身份进入局域网，这样任何安全防范体系就都形同虚设。身份认证正是要求参与安全通信的双方在进行安全通信前，必须互相鉴别对方的身份。在实际应用中，通常把公钥密码体系和数字签名算法结合使用，在保证数据传输完整性的同时完成对用户的身份认证。

2.3.2数据备份与冗余保障提高数据的可靠性

数据的安全存储在局域网安全流程中是非常重要的一个环节，为了防止数据的丢失，异地备份是保护数据的最安全的方式，自然灾害的发生，其他的保护手段基本起不上作用，而异地容灾的优势就体现出来了此外在数据保护中，快照技术(snapshot)是极为热门的技术之一，快照可以恢复遭破坏的数据，减少宕机的损失，也可以针对管理人员操作失误进行数据的恢复。对于硬件的老化，需要管理员在日常工作检查中及时发现流量的衰减，及时更换老化的硬件。

2.4 用户方面的安全策略

即使网络安全体系架构的再完善，策略做的再完美，由于用户自身的疏忽，也会导致整体体系的崩溃，所以需要加强用户的安全防范意识。用户方面一些主要的防护方法如下：防止信息的主动和被动收集；安装杀毒软件，打开系统自身的防火墙或者第三方软件的防火墙，关闭危险的不用的服务端口，防止被黑客利用；杜绝弱口令的使用，将系统自带的管理用户改名，设置密码的安全长度和复杂性，及时更换密码，防止黑客远程暴力猜解；加强对木马恶意代码等攻击的防御意识，对一些网上流传的工具或者软件要经过杀毒软件扫描以后再使用，不要下载下来就急着打开，对一些不是官方的网站或者声望不高的网站，一定要谨慎，打开杀毒软件的WEB防护功能，并将浏览器禁用ACTIVE插件，禁止自动执行脚本；及时打补丁，防止溢出攻击；降低系统目录的用户访问权限；开启系统自带的日志记录，养成看日志，分析日志的好习惯，关心和关注安全问题，及时解决不良的隐患。

3 小结

局域网的网络安全问题是一个较为复杂的工程问题，需要随着网络的发展不断的研究和探索解决方案，需要一套完整的网络安全策略方案来解决。除了安全架构策略之外仍然需要提升用户的安全意识，才能减少对系统的攻击和破坏。

[1]唐成华，于顺争. 基于异构的网络安全策略自适应发布[J].计算机科学, 2008，(9)：74-79.

[2]江卫星. 基于VLAN的Intranet网络安全策略[J].网络安全技术与应用, 2009,(11)：17-19.

[3]张冲杰. 计算机网络安全策略及其技术防范措施[J]数字技术与应用, 2010,(11)：71-72.

[4]敖卓缅. 网络安全技术及策略在校园网中的应用 [D].重庆大学，2007.

[5]曹旭. 计算机网络安全策略探讨 [J].硅谷, 2011,(21) ：8-9.

[6]尹敬齐. 煤碳企业计算机网络安全策略 [J].煤碳技术, 2012,(9) ：212-214.

[7]高永强，郭世铎等. 网络安全技术与应用大典 [M].北京：人民出版社，2003：20-50.

[8]茅杰，李娜. 网络安全策略探析 [J].北京电力高等专科学校学报, 2012,(4) ：221-223.

[9]李春榆，张学杰，李红灵 浅析基于交换机技术的增强局域网网络安全策略[J].电脑知识与技术, 2012,(4) ：4344-4345.

[10]李秋雁，金志刚. 校园网络安全策略[J].华北煤碳医学院学报，2007,(1)：123-124.

(责任编辑：孙强)

Design of Local Area Network Security Architecture

HUANG Li-Min，QU Wen-Yao

( Shandong Institute of Commerce and Technology, Jinan, Shandong 250103, China )

This paper discusses a design of local area network security architecture. On the basis of analyzing general network topology structure, configuration, network data flow of equipment, user applications vulnerability, this thesis puts forward a design of network security architecture, including a security policy topological structure, security policy of security strategy and the equipment configuration of LAN.

security policy; LAN security framework; data flow

2014-06-10

黄丽民(1970-)，女，山东阳谷人，信息与电子学院副教授，硕士，研究方向为计算机应用，网络安全。

TP393.08

A

1671-4385(2014)04-0108-04