【摘要】 隨著信息技術(shù)的不斷發(fā)展，在互聯(lián)網(wǎng)中已出現(xiàn)了多種網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)安全技術(shù)。在網(wǎng)絡(luò)運行中，網(wǎng)絡(luò)安全對業(yè)務(wù)發(fā)展有著很重要的作用。本文就此分析了VPN技術(shù)、WLAN技術(shù)、防火墻技術(shù)、隔離技術(shù)在局域網(wǎng)的應(yīng)用與安全策略。并列舉了局域網(wǎng)安全體系和實際管理中網(wǎng)速變慢的排查和解決方法。

【關(guān)鍵詞】 防火墻技術(shù) 網(wǎng)絡(luò)管理 WLAN技術(shù)

網(wǎng)絡(luò)安全的保障不能基于信任和思想教育，而是依據(jù)相互監(jiān)督和最低權(quán)限法則。應(yīng)避免保密信息的介入，構(gòu)建起完整的保證體系和安全控制體系。信息網(wǎng)絡(luò)可能會涉及到國家資料、文件和檔案，因此要高度重視。

一、幾種關(guān)鍵技術(shù)在局域網(wǎng)的應(yīng)用及安全策略

1.1 VPN的組建和安全策略

VPN即虛擬專用網(wǎng)絡(luò)，在公共網(wǎng)絡(luò)內(nèi)構(gòu)建專用型網(wǎng)絡(luò)。數(shù)據(jù)借助于安全的加密通道，在公共網(wǎng)絡(luò)內(nèi)進行傳輸。國際IPSEC VPN技術(shù)應(yīng)運用密碼學技術(shù)和隧道封裝技術(shù)，使用戶在無安全保障的因特網(wǎng)環(huán)境內(nèi)構(gòu)建虛擬化的數(shù)據(jù)通道。

1.1.1 VPN移動客戶端

VPN移動客戶端技術(shù)關(guān)鍵在于運用硬件E-KEY方式。每一種VPN移動客戶端，都要有Watch E-Key、VPN客戶端安裝盤、USB線。單個用戶有固定式VPN的IP地址，網(wǎng)絡(luò)訪問控制便有了新基礎(chǔ)。依據(jù)IP地址范圍開展對象分組，便能在防火墻中進行針對性訪問控制。比如，領(lǐng)導移動客戶端，可使用VPN范圍較大。而普通用戶移動客戶端，進行訪問限定，對其IP地址進行分別控制。移動安全包還可保障硬件特碼身份認證。倘若開啟這一功能，移動端登陸進VPN網(wǎng)關(guān)，則會自動將本機硬件配置以特殊算法的特征碼告知給VPN網(wǎng)關(guān)。

1.1.2 VPN設(shè)備的安全性

因特網(wǎng)組建的VPN網(wǎng)絡(luò)擴展性、網(wǎng)絡(luò)速度和網(wǎng)絡(luò)建設(shè)成本有著很明顯的優(yōu)勢。但必須要正視的問題是VPN設(shè)備的網(wǎng)絡(luò)安全性。許多企業(yè)均以VPN加密通道進行數(shù)據(jù)傳輸，保障重要數(shù)據(jù)的安全性。并將各局域網(wǎng)與互聯(lián)網(wǎng)相連，VPN分支網(wǎng)關(guān)便能作為防火墻，保障各局域網(wǎng)的安全。為了保證系統(tǒng)的VPN網(wǎng)絡(luò)數(shù)據(jù)傳輸穩(wěn)定保密、VPN隧道數(shù)據(jù)的安全和實時監(jiān)控，VPN安全網(wǎng)關(guān)應(yīng)采取認證后的加密算法，保障信息傳輸過程中，數(shù)據(jù)具有不可篡改和保密性。VPN安全網(wǎng)關(guān)還要采取PKI/KMC架構(gòu)式的密鑰管理方法，并集成防火墻功能支持多種應(yīng)用服務(wù)。比如IP和MAC地址綁定、雙向NAT、攻擊活動識別、多播協(xié)議和多種認證法等。不但可以保證企業(yè)內(nèi)網(wǎng)安全，而且還能調(diào)整方式滿足實際需求。

如果用戶出差在外，可通過撥號的方式接入當?shù)豂SP，獲得動態(tài)化的IP。VPN客戶端程序的運行，借助于身份認證，可與上一級的VPN中心網(wǎng)關(guān)組成安全隧道。等到接入上一級內(nèi)網(wǎng)之后，使用IP是由中心網(wǎng)關(guān)分配的。VPN中心網(wǎng)關(guān)進行認證過程，若用戶未經(jīng)認證，則不能和上一級中心網(wǎng)關(guān)構(gòu)建加密隧道，也不能訪問上一級的內(nèi)部網(wǎng)。此技術(shù)能夠保障用戶的傳輸數(shù)據(jù)和安全接入。

1.2 WLAN技術(shù)在局域網(wǎng)的應(yīng)用及安全設(shè)置

WLAN是無線局域網(wǎng)，利用無線通信技術(shù)在某局部范圍構(gòu)建的網(wǎng)絡(luò)。WLAN是無線通信技術(shù)和計算機網(wǎng)絡(luò)結(jié)合產(chǎn)物，它的傳輸媒介是無線多址信道，提供傳統(tǒng)局域網(wǎng)LAN功能，這樣使得用戶能隨地、隨時、隨意的進行寬帶網(wǎng)絡(luò)接入。由于無線網(wǎng)絡(luò)接入到業(yè)務(wù)網(wǎng)，并且業(yè)務(wù)網(wǎng)中的數(shù)據(jù)較為重要。因此對無線接入有著很高的安全要求。要對無線路由器進行安全設(shè)置，避免無線網(wǎng)絡(luò)覆蓋區(qū)域有非法接入。安全設(shè)置有兩種方法，即WEP信息加密和接入控制。在WEP信息加密中，要在AP和PC網(wǎng)卡中進行加密設(shè)置，密鑰長度有138bit、64bit、40bit。接入同一個AP的網(wǎng)卡密鑰需和這組AP密鑰相同，稱之為公共密鑰。無線網(wǎng)卡可設(shè)置4—6組的密鑰，在4—6個不同類的AP漫游，并對臺式機和筆記本做出相應(yīng)設(shè)置。

1.3 防火墻技術(shù)

1.3.1 防火墻要點

防火墻技術(shù)是當前使用最廣泛、最流行的網(wǎng)絡(luò)安全技術(shù)。該技術(shù)的核心思想是在不穩(wěn)定的網(wǎng)絡(luò)環(huán)境內(nèi)建立一個安全子網(wǎng)。防火墻可以控制兩個網(wǎng)絡(luò)間的訪問，限制被保護網(wǎng)絡(luò)和其它網(wǎng)絡(luò)的信息傳遞和信息存取。在選擇防火墻時，要保證其抗攻擊能力、自我完備能力、安全性、認證和加密特性、可管理能力、網(wǎng)絡(luò)地址轉(zhuǎn)換和服務(wù)類型。

1.3.2 防火墻的體系結(jié)構(gòu)

防火墻有三大體系結(jié)構(gòu)，分別是雙重宿主主機體系、屏蔽主機體系和屏蔽子網(wǎng)體系。雙重宿主主機體系是由雙重宿主主機構(gòu)成的，是常見的最普通式的防火墻結(jié)構(gòu)。屏蔽主機體系為主機過濾型結(jié)構(gòu)，以單獨路由器提供網(wǎng)絡(luò)連接服務(wù)；該體系結(jié)構(gòu)內(nèi)的安全機制，是由過濾系統(tǒng)提供的；相對雙重宿主主機，該結(jié)構(gòu)允許數(shù)據(jù)通過因特網(wǎng)進入內(nèi)部網(wǎng)絡(luò)；路由器的配置為，允許其它的內(nèi)部主機為了某些服務(wù)與Internet上的主機連接，強迫那些主機經(jīng)由堡壘主機使用代理服務(wù)。屏蔽路由器配置要根據(jù)實際的網(wǎng)絡(luò)安全策略來進行，如服務(wù)器提供WEB服務(wù)就需要屏蔽路由器開放80端口。屏蔽子網(wǎng)體系在屏蔽主機體系上增加多余的安全層，利用周邊網(wǎng)絡(luò)隔開因特網(wǎng)和內(nèi)部網(wǎng)絡(luò)。

1.4 隔離技術(shù)

隔離技術(shù)即物理隔離技術(shù)，是將存儲用戶信息數(shù)據(jù)的內(nèi)網(wǎng)和外網(wǎng)不進行物理連接。用戶信息與公用互聯(lián)網(wǎng)信息相隔離。有時，一些單位要與外網(wǎng)進行實時數(shù)據(jù)交換，又要確保網(wǎng)絡(luò)高強度安全。倘若采取物理隔離法，實時數(shù)據(jù)交換便不能滿足；如果采取防火墻，則不能制止外部病毒和內(nèi)部信息泄露。在這樣的情況之下，安全隔離網(wǎng)閘能夠避免防火墻和物理隔離法的不足。

二、局域網(wǎng)安全體系

2.1 設(shè)計原則

局域網(wǎng)安全體系設(shè)計原則包括一致性原則、風險平衡分析原則、整體性原則、適應(yīng)性原則、易操作原則和多重保護原則。

2.2 具體方案

局域網(wǎng)安全體系的解決方案有兩種。第一種是在內(nèi)網(wǎng)和外網(wǎng)邊界加上防火墻或者隔離集線器。用戶終端部位加上隔離卡。這樣確保了內(nèi)外網(wǎng)的隔離，也避免了外界網(wǎng)絡(luò)的入侵。第二種方案只是在內(nèi)外網(wǎng)邊界加上防火墻，以防火墻多區(qū)域特點讓因特網(wǎng)和內(nèi)網(wǎng)之間有限互聯(lián)。這樣終端用戶可直接訪問內(nèi)網(wǎng)和因特網(wǎng)。并可在需要保護的內(nèi)網(wǎng)區(qū)域裝上入侵檢測系統(tǒng)，實時監(jiān)控進出的訪問。還可將對外網(wǎng)進行服務(wù)的系統(tǒng)與防火墻后DMZ區(qū)相連。

三、排查網(wǎng)絡(luò)速度變慢的方法

在網(wǎng)絡(luò)故障中，最令人心煩的是網(wǎng)絡(luò)連接正常，但網(wǎng)速很慢。在排查網(wǎng)絡(luò)變慢過程中，應(yīng)按順序查網(wǎng)絡(luò)硬件設(shè)備、網(wǎng)線、回路、網(wǎng)絡(luò)端口，最后進行病毒查殺。在網(wǎng)絡(luò)硬件排查中，可采取置換法替代交換機和集線器。關(guān)掉電源用ping命令逐一測試計算機，尋找到故障地點。網(wǎng)線應(yīng)按照T586A和T586B標準壓制網(wǎng)線。鋪設(shè)網(wǎng)線時做好標簽，使得以后排查回路問題更加方便。若是網(wǎng)絡(luò)端口引起的網(wǎng)絡(luò)變慢，可增加其帶寬，多安裝一些網(wǎng)卡，可提高數(shù)據(jù)傳輸速度。如果經(jīng)過這一系列的排查，網(wǎng)絡(luò)速度依舊很慢。則運用殺毒軟件查殺病毒，但有一些殺毒軟件的監(jiān)控會影響到網(wǎng)絡(luò)訪問速度。

四、結(jié)束語

網(wǎng)絡(luò)安全是業(yè)務(wù)數(shù)據(jù)正常運輸和正常運行的關(guān)鍵。本文介紹了VPN技術(shù)、WLAN技術(shù)、防火墻技術(shù)、隔離技術(shù)在局域網(wǎng)的應(yīng)用與安全策略，并提出了排查網(wǎng)絡(luò)速度變慢的方法。在信息化應(yīng)用中，要綜合多種網(wǎng)絡(luò)安全保護技術(shù)，形成協(xié)調(diào)一致、完整的網(wǎng)絡(luò)安全防護機制。信息化網(wǎng)絡(luò)安全技術(shù)要與安全措施相結(jié)合，對用戶信息數(shù)據(jù)進行備份和恢復，防范外部網(wǎng)絡(luò)黑客、病毒的侵入。

參 考 文 獻

[1] 付冶. 信息化企業(yè)的網(wǎng)絡(luò)安全管理[J]. 煉油與化工，2011，（6）

[2] 池洋. 防火墻技術(shù)在檔案館網(wǎng)絡(luò)安全管理中的應(yīng)用[J]. 黑龍江檔案，2011，（2）

[3] 柴小紅. 關(guān)于電子文件及檔案信息化的思考[J]. 辦公室業(yè)務(wù)，2010，（10）