周賢祿 豐貴瓊

【關(guān)鍵詞】互聯(lián)網(wǎng) 上網(wǎng)行為管理 網(wǎng)絡(luò)安全 廣播風(fēng)暴 VLAN

【中圖分類號】TP311【文獻(xiàn)標(biāo)識碼】A【文章編號】1672-5158（2013）02-0158-02

引言：隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，各種基于互聯(lián)網(wǎng)的應(yīng)用與服務(wù)日益成為社會生活工作中必不可少的工具，為人們工作、生活和學(xué)習(xí)帶來了無與倫比、便捷高效的幫助。計(jì)算機(jī)、寬帶技術(shù)的迅速發(fā)展更使得辦公效率、信息傳遞能力得到成倍的提高。與此同時、信息數(shù)據(jù)安全問題，網(wǎng)絡(luò)通訊保障問題，計(jì)算機(jī)網(wǎng)絡(luò)安全問題也越來越越被高度重視。不安全使用互聯(lián)網(wǎng)資源、網(wǎng)絡(luò)安全漏洞、病毒等等因素都可以嚴(yán)重影響正常的工作效率。為了加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全，除卻嚴(yán)格的管理措施外，必須通過一定的技術(shù)手段和硬件配置條件來達(dá)到計(jì)算機(jī)網(wǎng)絡(luò)安全運(yùn)行的目的。西藏廣播影視節(jié)目傳輸中心擔(dān)負(fù)西藏廣播電影電視局局域網(wǎng)出口的管理與維護(hù)工作，通過改變網(wǎng)絡(luò)結(jié)構(gòu)與部署上網(wǎng)行為管理設(shè)備，實(shí)現(xiàn)了優(yōu)化網(wǎng)絡(luò)環(huán)境，提高資源利用效率，充分保障局域網(wǎng)信息安全。

一、網(wǎng)絡(luò)現(xiàn)狀

西藏廣電局局域網(wǎng)有用戶兩百余臺，通過核心路由器，交換機(jī)連接電信光纖，每臺計(jì)算機(jī)IP地址固定，核心機(jī)房配備防火墻等安全設(shè)備，出口流量在100M左右，由于原有的流量管理手段性能有限，再加上提供網(wǎng)站W(wǎng)EB服務(wù)等等功能，其帶寬利用實(shí)際已經(jīng)達(dá)到極限，其流量管理設(shè)備在高峰時段處在超負(fù)荷運(yùn)轉(zhuǎn)，網(wǎng)絡(luò)丟包率上升，特別是對廣播風(fēng)暴的防范能力比較低，導(dǎo)致網(wǎng)絡(luò)訪問響應(yīng)時間很慢，無法滿足業(yè)務(wù)的需求。通過研究分析，發(fā)現(xiàn)在安全方面主要存在的問題：

1.由于兩百余臺用戶計(jì)算機(jī)廣泛接入互聯(lián)網(wǎng)，網(wǎng)絡(luò)安全的控制難度也越來越大，因工作業(yè)務(wù)需要，多數(shù)用戶需要隨時使用互聯(lián)網(wǎng)服務(wù)，無法通過軟件管理、網(wǎng)絡(luò)配置等傳統(tǒng)手段限制其使用某些功能。當(dāng)一些合法用戶，由于某種原因造成無法正常上網(wǎng)時會私自修改其 IP地址，導(dǎo)致其它合法用戶 IP沖突，出現(xiàn)安全問題時，通過路由器等查看日志， 無法確定真實(shí)IP網(wǎng)址，也就無法準(zhǔn)確定位出現(xiàn)問題的電腦。對于常用的計(jì)算機(jī)網(wǎng)絡(luò)上，使用TCP/IP協(xié)議時每臺主機(jī)必須具有獨(dú)立的IP地址，獨(dú)立的IP地址能讓每一臺的主機(jī)區(qū)分開來，是網(wǎng)絡(luò)上其它主機(jī)進(jìn)行通訊的必要條件。

使用路由器或三層交換機(jī)能夠?qū)崿F(xiàn)在不同子網(wǎng)間隔離廣播風(fēng)暴的作用

2.人為使用因素：互聯(lián)網(wǎng)具有巨大的開放性，也使得非法網(wǎng)站難以控制和限制、無法有效規(guī)避法律風(fēng)險。日常辦公的技術(shù)人員頻繁利用互聯(lián)網(wǎng)做與日常工作無關(guān)的事情，嚴(yán)重影響工作效率。P2P、流媒體等軟件的廣泛使用導(dǎo)致了帶寬的嚴(yán)重不足，帶來的網(wǎng)絡(luò)資源的擁塞，局域網(wǎng)用戶經(jīng)常使用P2P軟件下載大量的文件，可能包括不良信息，常常帶有病毒、惡意程序等，容易給整個局域網(wǎng)帶來巨大的危害；P2P軟件經(jīng)常利用計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞來穿透當(dāng)前各種防火墻和各種安全代理屏障，造成信息安全隱患；傳統(tǒng)的互聯(lián)網(wǎng)設(shè)計(jì)無法長時間承受P2P軟件的使用，容易造成網(wǎng)絡(luò)堵塞。

二、解決問題的對策

1.改變網(wǎng)絡(luò)結(jié)構(gòu)

現(xiàn)有局域網(wǎng)包括200臺以上客戶機(jī)，涉及不同的部門，每個部門有不同的互聯(lián)網(wǎng)應(yīng)用需求，有的側(cè)重新聞查詢，有的側(cè)重信息通訊，有的側(cè)重流媒體服務(wù)，為了保證部門與部門間的信息安全，利用三層交換與VLAN技術(shù)是十分必要的。

VLAN（Virtual Local Area Network）的中文名為“虛擬局域網(wǎng)”。是一種將局域網(wǎng)設(shè)備從邏輯上劃分成不同網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的數(shù)據(jù)交換技術(shù)。這一技術(shù)主要應(yīng)用在有VLAN協(xié)議的第三層以上交換機(jī)之中。

使用三層交換與VLAN后達(dá)到的效果

2.引入上網(wǎng)行為管理設(shè)備

為滿足信息安全的需要，記錄并留存內(nèi)網(wǎng)用戶發(fā)生的各種網(wǎng)絡(luò)行為日志，針對用戶互聯(lián)網(wǎng)訪問行為的管控都已經(jīng)成為網(wǎng)絡(luò)安全的必要措施，由于互聯(lián)網(wǎng)行為復(fù)雜且難以預(yù)料，不規(guī)范網(wǎng)絡(luò)行為，不安全的網(wǎng)絡(luò)行為，不論是人為還是意外，都使得互聯(lián)網(wǎng)使用面臨法律違規(guī)和泄密風(fēng)險；與工作無關(guān)的網(wǎng)絡(luò)帶寬使用、病毒木馬等引起的網(wǎng)絡(luò)帶寬消耗常常使網(wǎng)絡(luò)帶寬資源陷入被濫用，為了提高帶寬進(jìn)行擴(kuò)容，而后再被濫用的惡性循環(huán)狀態(tài)，因此，使用近年來發(fā)展并逐漸開始普及的上網(wǎng)行為管理系統(tǒng)對員工的上網(wǎng)行為進(jìn)行有效而可靠的管理變得十分必要。上網(wǎng)行為管理系統(tǒng)可以在管理網(wǎng)絡(luò)帶寬、避免法律和泄密風(fēng)險、提升工作效率、提升內(nèi)網(wǎng)可靠可用性，便捷管理方面提供高可靠的使用性。在考查了市場上主流產(chǎn)品后，我們選擇了深信服AC-H3500-L1-MS3上網(wǎng)行為管理設(shè)備。

2.1 接入模式：網(wǎng)關(guān)模式（路由模式）

將AC（深信服AC系列上網(wǎng)行為管理設(shè)備）通過網(wǎng)關(guān)模式串接在internet出口光纖與三層交換機(jī)之間，所有流量都通過 AC 處理，對內(nèi)網(wǎng)用戶上網(wǎng)行為和數(shù)據(jù)包實(shí)施控制、攔截、流量管理等功能。并以 AC 作為局域網(wǎng)internet出口網(wǎng)關(guān)，以AC 的防火墻功能保障網(wǎng)絡(luò)安全。采用瀏覽器訪問AC的配置界面。因?yàn)椴捎镁W(wǎng)關(guān)部署模式，內(nèi)網(wǎng)的用戶可以直接訪問到這臺設(shè)備。訪問頁面為.Https，需要設(shè)備管理員的用戶名和密碼才可進(jìn)入，這樣網(wǎng)絡(luò)管理人員可以在局域網(wǎng)的任何位置了解整個網(wǎng)絡(luò)的運(yùn)行情況。

2.2 規(guī)劃用戶分組結(jié)構(gòu)

不同的部門互聯(lián)網(wǎng)應(yīng)用的內(nèi)容不盡相同，比如行政部門對政府和新聞網(wǎng)站方面更加關(guān)注，音像傳媒管理部門對視音頻網(wǎng)站有要求，網(wǎng)站部門對WEB服務(wù)、上下行帶寬有要求。根據(jù)不同的部門、不同的網(wǎng)絡(luò)應(yīng)用需求，通過分組來制定不同的安全策略。

2.3 建立身份認(rèn)證體系

采用基于IP地址、MAC地址、計(jì)算機(jī)名的識別方法，根據(jù)數(shù)據(jù)包的源IP地址/源MAC地址，上網(wǎng)計(jì)算機(jī)的計(jì)算機(jī)名來識別用戶。此種識別方式，優(yōu)點(diǎn)是用戶訪問網(wǎng)絡(luò)前不會在瀏覽器中彈出認(rèn)證框要求輸入用戶名，密碼，上網(wǎng)用戶不會感知到設(shè)備的存在。也可以采用用戶名/密碼認(rèn)證方式，訪問網(wǎng)絡(luò)前，上網(wǎng)用戶的瀏覽器會被重定向到設(shè)備內(nèi)置的認(rèn)證頁面，認(rèn)證頁面中會要求用戶提供正確的用戶名，密碼后才能訪問網(wǎng)絡(luò)。開啟IP和MAC地址綁定功能，防止非法修改IP地址。防止IP地址被盜用，這樣可以有效解決用戶非法接入和私自修改IP的問題。

2.4 監(jiān)控、分配網(wǎng)絡(luò)流量

通過計(jì)算機(jī)登陸 AC 控制臺，網(wǎng)絡(luò)管理人員可以直觀查看流量曲線圖、當(dāng)前流量 TOP 10 應(yīng)用等，并可通過 AC 的數(shù)據(jù)中心進(jìn)一步詳細(xì)查看、統(tǒng)計(jì)指定時間段的流量情況。AC可以提供統(tǒng)計(jì)指定時間段、指定分組或指定用戶的流量情況；還可基于用戶進(jìn)行上行流量、下行流量、總流量等排名，找到流量最活躍的用戶。

2.5 網(wǎng)頁訪問控制

網(wǎng)頁瀏覽是互聯(lián)網(wǎng)行為最為常用的部分，由于上網(wǎng)人員安全意識與網(wǎng)絡(luò)知識的參差不齊，上網(wǎng)行為安全與否越來越難以通過教育與規(guī)定來全面控制。目前，病毒木馬等主要來源與不安全網(wǎng)頁的瀏覽有著極為重要的關(guān)系，信息的泄密也常常發(fā)生于在用戶沒有察覺的情況下下載了危險程序有關(guān)。以AC來防控和過濾上網(wǎng)行為，在內(nèi)網(wǎng)與外網(wǎng)之間在信息層面上形成安全機(jī)制有著十分重要的作用。

2.5.1 URL 地址過濾

通過預(yù)分類 URL 地址庫，經(jīng)過人工審核分類，已知的危險網(wǎng)站，掛馬網(wǎng)站，比如互聯(lián)網(wǎng)上各類涉及色情、反動、暴力等站點(diǎn)，通過URL地址過濾，使內(nèi)網(wǎng)用戶不能訪問這些網(wǎng)站。

2.5.2 應(yīng)用審計(jì)

應(yīng)用審計(jì)是對各種類型應(yīng)用服務(wù)的審計(jì)，它的審計(jì)范圍是用戶的上網(wǎng)行為。例如BBS發(fā)帖，用戶訪問過的網(wǎng)址、用戶通過網(wǎng)站下載的文件名稱、用戶通過telnet執(zhí)行遠(yuǎn)程登陸服務(wù)等等信息，為全面管理網(wǎng)絡(luò)信息安全提供高效的解決方案。

三、取得的效果

在引入VLAN與上網(wǎng)行為管理設(shè)備之前，內(nèi)網(wǎng)用戶的上網(wǎng)流量構(gòu)成非常復(fù)雜，引起廣播風(fēng)暴的病毒程序在內(nèi)網(wǎng)用戶間的交叉感染使得查找和排除工作緩慢低效，網(wǎng)絡(luò)帶寬資源受此影響，時常發(fā)生網(wǎng)絡(luò)業(yè)務(wù)運(yùn)行不穩(wěn)定，應(yīng)用系統(tǒng)訪問緩慢，嚴(yán)重時出現(xiàn)大面積掉線的情況。雖然對于內(nèi)網(wǎng)用戶使用互聯(lián)網(wǎng)，各單位部門都有嚴(yán)格的規(guī)定，但僅僅依靠用戶自覺遵守，而缺乏技術(shù)手段，效果不盡如人意。

通過劃分VLAN與部署上網(wǎng)行為管理設(shè)備，網(wǎng)絡(luò)運(yùn)行越來越穩(wěn)定，上網(wǎng)速率較以前有明顯的改善，工作效率有了很大的提高。

通過審計(jì)發(fā)現(xiàn)，網(wǎng)絡(luò)流量中P2P等應(yīng)用流量的占用比率明顯降低，有效減輕了網(wǎng)絡(luò)帶寬的負(fù)載。通過查看到網(wǎng)絡(luò)流量、網(wǎng)絡(luò)監(jiān)控、安全日志等詳細(xì)信息，可直接打印和導(dǎo)出報表。通過日志檢索功能，能快速的定位問題事件，及時了解網(wǎng)絡(luò)運(yùn)行情況，并對網(wǎng)絡(luò)整體狀況做出基本分析，及時發(fā)現(xiàn)造成網(wǎng)絡(luò)異常的故障原因，快速進(jìn)行故障定位。特別是可以監(jiān)督、控制、引導(dǎo)用戶正確使用網(wǎng)絡(luò)。對于目前市場上互聯(lián)網(wǎng)出口控制層面上的主流產(chǎn)品，上網(wǎng)行為管理設(shè)備較好地解決了在安全和暢通的前提下，充分利用網(wǎng)絡(luò)資源，高度保障信息安全的問題。