局域网安全策略研究

局域网安全策略研究

王泓霖

王泓霖WangHonglin（同济大学软件工程学院，天津300202）

（SchoolofSoftwareEngineering，TongjiUniversity，Tianjin300202，China）

摘要：一个安全的网络应该具有可靠性、可用性、完整性、保密性等特点。局域网安全保护的重点有两个方面:一是计算机病毒，二是外部的攻击。本文主要研究了常见的局域网的一些安全策略。

Abstract:Asecurenetworkshouldhavethereliability，availability，integrity，confidentialityandotherfeatures.ThefocusofLANsecurityhastwoaspects:computervirusesandexternalattacks.ThispapermainlystudiedthecommonsecuritypolicyofLAN.

关键词：网络安全；计算机病毒；安全策略

Keywords:Networksecurity；computervirus；securitypolicy

中图分类号：TP393文献标识码：A文章编号：1006-4311（2011）10-0170-01

0引言

近几年来，随着网络的发展，很多公司企业都建立了内部局域网，网络及信息安全也成为用户关注焦点之一。本文通过小型局域网常见的安全问题，将从黑客外部攻击、内部攻击、病毒攻击等方面入手，给出了安全策略和保护措施。

1对外部攻击的防御

1.1防火墙系统目前，国内已经有多家机构或公司研发了防火墙系统，通过国家公安部等机构测试也有多家。下面简单介绍几种比较先进的防火墙系统性能。

1.1.1NetShineTMFW5x00防火墙和虚拟专用网该防火墙系统可以分为基于包过滤（PacketFilter）的防火墙和代理服务型（ProxyService）的防火墙。包过滤型防火墙在网络层协议入栈时根据预先设定的安全策略检测原始包，对用户完全透明，具有较高的网络性能和更好的应用程序透明性，但不能防止应用层的攻击；相应地，应用层防火墙使全部网络交换都由运行特定服务（FTP、HTTP、SMTP等）的智能防火墙来代理，这种代理提供应用层控制的功能和防止应用层受攻击的保护。NetShine系列防火墙把包过滤和应用代理结合起来，形成混合类型的防火墙系统，提供更高的安全性能。

1.1.2ERCIST防火墙系统由中科院信息安全中心自行研制的ERCIST（安胜）防火墙是网络安全系统的组合套件，由包过滤路由器、代理服务器以及虚拟专用网VPN三大部分组成。还可完成地址转换、安全审计等功能。包过滤路由器以黑盒子方式工作，管理部件与运作部件分离，两部件之间通过加密方式传送和接收规则信息，接收日志信息，可防止窃取和伪造，又可在远程管理包过滤器的运作而不影响运作部件的正常动行。代理服务器对内部和外部用户访问许可的授权包括允许访问的种类、允许连接的时间区间、访问的级别等。根据访问的许可，对每一次访问中用户的身份及访问权限进行认证，保证内部网络中信息资源的合法使用。虚拟专用网模块则通过建立安全通道，封装IP地址和加密传输等方式，实现跨越公用网的内部用户的安全连接，所使用的由中科院信息安全中心自行研制的加密算法QC-1已得到密码委员会的审核和批准。

1.1.3方正数码公司的方御防火墙系列产品与传统的软件防火墙不同，方御防火墙是一体化的硬件产品。它通过与硬件系统的深层结合，比传统的基于软件的防火墙更高效、安全，而且更国中实时化。为了减少由于安装了防火墙的原因而导致的网络流量的降低，方御防火墙采用了3I（IntelligentIPIdentifying）技术，能够实现快速匹配，这样能够使一个数据包快速的通过Hash表找到相应的规则列表，而不是顺序匹配，从而使网络流量不受到较大的影响。方御防火墙可以根据数据包的地址、协议和端口进行访问和监控。同时还对任何网络连接和会话的当前状态进行分析和监控。传统的防火墙的包过滤只是与规则表进行匹配，而方御防火墙则对每个连接都作为一个数据流汇总到连接表中，通过规则表与连接表的配合，来完成状态检测的功能。

1.1.4天网防火墙系统广州众达天网防火墙完全支持高保密的VPN功能。采用符合IPSEC标准的高保密性虚拟专用系统，系统支持多种加密算法，使系统具有完善的安全特征，保证了数据的真实性、完整性和机密性。天网防火墙采用分布式方案，可以根据服务器的负载情况，包括CPU占用量，系统Load等情况，自动选择负载最小的服务器，将用户的服务请求发送到该机器上。可以自动检测服务器的可用性，当某一台服务器出现故障的时候，分布式系统会自动绕开发生故障的机器，不会将用户的服务请法语发送到该机器上，保证了系统的正常运作。

1.2操作系统及物理安全措施防火墙之后是基于网络主机的操作系统安全和物理安全措施。按照级别从低到高，分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全；同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线，主要防范部分突破防火墙以及从内部发起的攻击。

1.3系统备份系统备份是网络系统的最后防线，用来遭受攻击之后进行系统恢复。它从网络系统中的防火墙、网络主机甚至直接从网络链路层上提取网络状态信息，作为输人提供给入侵检测子系统。入侵检测子系统根据一定的规则判断是否有入侵事件发生，如果有入侵发生，则启动应急处理措施，并产生警告信息。

2计算机病毒的防御

2.1安装杀毒软件在网络上，杀毒软件的安装和管理方式是十分关键的，好的杀毒软件能在几分钟内轻松地安装到组织里的每一个服务器上，并可下载和散布到所有的目的机器上，由网络管理员集中设置和管理，对局域网内的电脑全部安装杀毒软件，并且时时更新，对于网内病毒的防控起到至关重要的作用。

2.2加密及数字签名技术加密技术的出现为全球电子商务提供了保证，完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术，加密运算与解密运算使用同样的密钥。不对称加密，即“公开密钥密码体制”，其中加密密钥不同于解密密钥，加密密钥公之于众，谁都可以用，解密密钥只有解密人自己知道，分别称为“公开密钥”和“秘密密钥”。而在我们日常生活中，对称加密又是较常用的加密方法，这项技术对于网络病毒的防控，对于访问者的权限控制，对于网络资源的配置都发挥重要作用。

2.3实时杀毒，报警隔离当计算机病毒对网上资源的应用程序进行攻击时，这样的病毒存在于信息共享的网络介质上，因此就要在网关上设防，在网络前端进行杀毒。基于网络的病毒特点，应该着眼于网络整体来设计防范手段。

3结语

计算机网络已经深入到方方面面，网络的安全与否对我们每个人都尤为重要，同样网络也是一个复杂多变较难防控的空间，但只要我们能够应用好网络先进技术，明晰安全策略，就能创造一个安全、稳定、强大的网络。

参考文献：

[1]余伟，陈保国，孔陶如.网络安全防火墙技术的研究与应用.西安思源学院.高教视窗233页，2009，（7）.

[2]任智鹏.浅析现代网络安全技术.陕西城市经济学校.黑龙江科技信息,2010，（3）:92.