摘要：互聯(lián)網(wǎng)的高速發(fā)展、IT網(wǎng)絡(luò)設(shè)備的更新及IT網(wǎng)絡(luò)設(shè)備技術(shù)的成熟應(yīng)用，使企業(yè)對計算機網(wǎng)絡(luò)的依賴性越來越強。隨著企業(yè)計算機網(wǎng)絡(luò)規(guī)模的不斷擴大，企業(yè)IT網(wǎng)絡(luò)設(shè)備管理中的網(wǎng)絡(luò)安全成了企業(yè)能否持續(xù)發(fā)展的首要問題。文章從IT網(wǎng)絡(luò)設(shè)備產(chǎn)品入手，對企業(yè)IT網(wǎng)絡(luò)設(shè)備中網(wǎng)絡(luò)安全管理模式進行了研究，對IT網(wǎng)絡(luò)設(shè)備中的攻擊進行了實例分析。

關(guān)鍵詞：企業(yè)管理；IT設(shè)備管理；授權(quán)訪問；網(wǎng)絡(luò)安全；計算機網(wǎng)絡(luò) 文獻標識碼：A

中圖分類號：TP393 文章編號：1009-2374（2015）19-0018-03 DOI：10.13535/j.cnki.11-4406/n.2015.19.008

1 概述

隨著互聯(lián)網(wǎng)的高速發(fā)展和IT網(wǎng)絡(luò)設(shè)備的更新，IT網(wǎng)絡(luò)設(shè)備技術(shù)的成熟應(yīng)用使計算機網(wǎng)絡(luò)深入到人們生活的各個方面。網(wǎng)絡(luò)帶給人們諸多好處的同時，也帶來了很多隱患。企業(yè)面臨著信息外泄，服務(wù)器遭受黑客攻擊，大量數(shù)據(jù)遭受篡改，特別是從事電子商務(wù)的企業(yè)，信息的安全問題成了瓶頸問題。隨著企業(yè)網(wǎng)絡(luò)中安全設(shè)備使用的增多，相應(yīng)的使用設(shè)備的管理變得更加復雜。而企業(yè)的信息管理者和信息用戶對網(wǎng)絡(luò)安全認識不足，他們把大量的時間和精力用于提升網(wǎng)絡(luò)的性能和效率，結(jié)果導致了黑客攻擊、惡意代碼、郵件炸彈等越來越多的安全威脅。為了防范各種各樣的安全問題，本文將從企業(yè)內(nèi)部的IT設(shè)備產(chǎn)品入手，對企業(yè)的網(wǎng)絡(luò)安全進行研究。

2 企業(yè)IT設(shè)備的定義和分類概述

企業(yè)IT設(shè)備其實就是網(wǎng)絡(luò)互聯(lián)設(shè)備，就是在網(wǎng)間的連接路徑中進行協(xié)議和功能的轉(zhuǎn)換，它具有很強的層次性。遵循OSI模型，在OSI的每一層對應(yīng)不同的IT設(shè)備產(chǎn)品，每層IT設(shè)備產(chǎn)品用于執(zhí)行某種主要功能，并具有自己的一套通信指令（協(xié)議），相同層的IT設(shè)備之間共享這些協(xié)議。

企業(yè)IT設(shè)備主要分為交換機、路由器、防火墻。交換機就是一種在通信系統(tǒng)中完成信息交換的功能，交換機擁有一條很高帶寬的背部總線和內(nèi)部交換矩陣，交換機的所有端口都掛接在這條背部總線上，制動電路收到數(shù)據(jù)包后，處理端口會查找內(nèi)存中的地址對照表以確定目的的網(wǎng)卡掛接在哪個端口上，通過內(nèi)部交換矩陣迅速將數(shù)據(jù)包傳送到目的端口。路由器就是一種連接多個網(wǎng)絡(luò)或網(wǎng)段的網(wǎng)絡(luò)設(shè)備，它能將不同網(wǎng)絡(luò)或網(wǎng)段之間的數(shù)據(jù)信息進行翻譯，使它們相互讀懂對方的數(shù)據(jù)，從而構(gòu)成一個更大的網(wǎng)絡(luò)。其功能是對用戶提供最佳的通信路徑，利用路由表查找數(shù)據(jù)包從當前位置到目的地址的正確路徑。防火墻就是隔離在本地網(wǎng)絡(luò)和外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，防火墻可使用內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)之間或者與其他外部網(wǎng)絡(luò)相互隔離、限制網(wǎng)絡(luò)互訪，以保護企業(yè)內(nèi)部網(wǎng)絡(luò)，其主要功能是隔離不同的網(wǎng)絡(luò)，防止企業(yè)內(nèi)部信息的泄露；強化網(wǎng)絡(luò)安全策略；包過濾和流量控制及網(wǎng)絡(luò)地址轉(zhuǎn)換等。

3 企業(yè)IT設(shè)備網(wǎng)絡(luò)安全管理模式研究

在企業(yè)IT設(shè)備網(wǎng)絡(luò)安全管理中，網(wǎng)絡(luò)管理安全模式包括以下三種：

第一，安全管理PC直接與安全設(shè)備進行連接是最常見的，也就是傳統(tǒng)的對網(wǎng)絡(luò)安全設(shè)備要進行配置管理就必須把管理的計算機直接連接到安全設(shè)備上，常見的是將安全管理PC的串口與安全設(shè)備的CONSOLE口連接，然后在PC機上運行終端仿真程序，如Windows系統(tǒng)中的超級終端或者使用SecureCRT應(yīng)用程序。然后在終端仿真程序上建立新連接，選擇實際連接安全設(shè)備時，使用的安全管理PC上的串口，配置終端通信參數(shù)，安全設(shè)備進行上電自檢，系統(tǒng)自動進行配置，自檢結(jié)束后提示用戶鍵入回車，直到出現(xiàn)命令行提示符。然后就可鍵入命令，配置安全設(shè)備或者查看其運行狀態(tài)。但對于不同設(shè)備可能會有不同的設(shè)置，例如對于防火墻，聯(lián)想KingGuard 8000的連接參數(shù)就和上面不一致，對于這種情況我們可以采用WEB方式管理。就是用網(wǎng)線連接安全管理設(shè)備和計算機上的網(wǎng)卡接口，同時對管理計算機和安全設(shè)備的管理接口的IP地址進行配置，以便讓它們位于同一個網(wǎng)段。開啟安全設(shè)備的本地SSH服務(wù)，并且允許管理賬號使用SSH。這是因為對大多數(shù)安全設(shè)備的WEB管理都是通過SSH連接設(shè)備的，這樣安全管理PC和安全設(shè)備之間傳輸?shù)臄?shù)據(jù)都是通過加密的，安全性比較高。在安全管理PC的瀏覽器地址欄中輸入https：//192.168.1.1回車，輸入用戶名和密碼后就可登陸到網(wǎng)絡(luò)安全設(shè)備的WEB管理界面，對其參數(shù)和性能進行配置。

第二，安全管理PC通過交換機管理安全設(shè)備，只需把安全管理PC直接連接到交換機上，PC和安全設(shè)備就都位于同一網(wǎng)段中。除了采用WEB方式對安全設(shè)備進行管理配置外，還可以使用Telnet方式管理。用這種方式對安全設(shè)備進行管理時，必須首先保證安全管理PC和安全設(shè)備之間有路由可達，并且可以用Telnet方式登錄到安全設(shè)備上，也可以采用SSH方式管理。當用戶在一個不能保證安全的網(wǎng)絡(luò)環(huán)境中時，卻要遠程登錄到安全設(shè)備上。這時，SSH特性就可以提供安全的信息保障以及認證功能，起到保護安全設(shè)備不受諸如IP地址欺詐、明文密碼截取等攻擊。

第三，通過安全中心服務(wù)器管理安全設(shè)備，就是把“安全管理計算機”升級成了“安全中心服務(wù)器”。在服務(wù)器上就可以對網(wǎng)絡(luò)中所有的安全設(shè)備進行管理配置，而不用再把安全管理計算機逐個的連接到安全設(shè)備或安全設(shè)備所在VLAN的交換機上。在這種管理模式中，除了不能直接連接到安全設(shè)備的CONSOLE口上對其進行管理配置外，WEB、Telnet和SSH在安全中心服務(wù)器上都可以使用。

總之，以上三種網(wǎng)絡(luò)安全設(shè)備的管理模式主要是根據(jù)網(wǎng)絡(luò)的規(guī)模和安全設(shè)備的多少來決定使用哪一種管理模式。三種模式之間沒有完全的優(yōu)劣之分。若是網(wǎng)絡(luò)中只有一兩臺安全設(shè)備，顯然采用第一種模式比較好，只需要一臺安全管理PC就可以，若是采用架設(shè)安全中心服務(wù)器的話就有些得不償失。如果安全設(shè)備較多，并且都分布在不同的網(wǎng)段，那選擇第二種模式即可，用兩三臺安全管理PC管理安全設(shè)備，比架設(shè)兩臺服務(wù)器還是要經(jīng)濟很多。若是安全設(shè)備很多就采用第三種模式，它至少能給網(wǎng)絡(luò)管理員節(jié)省很多的時間，因為在一臺服務(wù)器上就可以對所有的安全設(shè)備進行管理。

4 企業(yè)IT設(shè)備網(wǎng)絡(luò)安全應(yīng)用研究

企業(yè)的網(wǎng)絡(luò)拓撲結(jié)構(gòu)比較復雜、網(wǎng)絡(luò)節(jié)點繁多，這就要求企業(yè)需要有一套行之有效的IT運維管理模式。IT運維管理是企業(yè)IT部門采用相關(guān)的方法、技術(shù)、制度、流程和文檔等，對IT使用人員、IT業(yè)務(wù)系統(tǒng)和IT運行環(huán)境（軟硬件環(huán)境和網(wǎng)絡(luò)環(huán)境）進行綜合的管理以達到提升信息化項目使用，可起到提高IT運維人員對企業(yè)網(wǎng)絡(luò)故障的排查效率。接下來通過下面兩個實例來驗證：

4.1 企業(yè)內(nèi)部ARP斷網(wǎng)攻擊

ARP攻擊就是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標主機ARP緩存中IP-MAC列表造成網(wǎng)絡(luò)中斷或中間人攻擊?；驹砭褪窃诰钟蚓W(wǎng)中，假如有一臺計算機感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其他計算機的通信信息，并因此造成網(wǎng)內(nèi)其他計算機的通信故障。如圖1所示：

圖1 ARP斷網(wǎng)攻擊圖

ARP攻擊源向電腦用戶1發(fā)送一個偽造的ARP響應(yīng)，告訴電腦用戶1，電腦用戶2的IP地址192.168.0.2和對應(yīng)的MAC地址是00-aa-00-62-c6-03，電腦用戶1信以為真，將這個對應(yīng)關(guān)系寫入自己的ARP緩存表中，以后發(fā)送數(shù)據(jù)時，將本應(yīng)該發(fā)往電腦用戶2的數(shù)據(jù)發(fā)送給了攻擊者。同樣的，攻擊者向電腦用戶2也發(fā)送一個偽造的ARP響應(yīng)，告訴電腦用戶2。電腦用戶1的IP地址192.168.0.1對應(yīng)的MAC地址是00-aa-00-62-c6-03，電腦用戶2也會將數(shù)據(jù)發(fā)送給攻擊者。至此攻擊者就控制了電腦用戶1和電腦用戶2之間的流量，它可以選擇被動地監(jiān)測流量，獲取密碼和其他涉密信息，也可以偽造數(shù)據(jù)，改變電腦用戶1和電腦用戶2之間的通信內(nèi)容。

4.2 非法DHCP服務(wù)器的快速定位

在DHCP的選擇Request過程中，網(wǎng)絡(luò)上可能有DHCP服務(wù)器都會對Discover的廣播回應(yīng)，但新加計算機只選擇最先回應(yīng)的所取得的IP地址。并與DHCP服務(wù)器再次確認要用此IP。如果網(wǎng)絡(luò)上有多個可提供IP地址的DHCP服務(wù)器，新加計算機會選擇最先回應(yīng)廣播的DHCP服務(wù)器所提供的IP地址，但現(xiàn)實中往往非法DHCP服務(wù)器回應(yīng)廣播速度比合法DHCP服務(wù)器快。

圖2 非法DHCP服務(wù)器的快速定位圖

如圖2非法DHCP服務(wù)器的快速定位所示，用戶電腦發(fā)出請求IP廣播的時候，非法DHCP服務(wù)器和DHCP服務(wù)器都會向用戶電腦提供一個IP地址給用戶電腦使用。當非法DHCP服務(wù)器Request速度比DHCP服務(wù)器快時，那么這些用戶電腦得到的IP也一定是非正常IP，這就導致這些用戶電腦無法正常使用Internet。企業(yè)網(wǎng)絡(luò)管理人員可以通過檢測提供IP的DHCP服務(wù)器MAC地址，結(jié)合網(wǎng)絡(luò)和電腦資產(chǎn)登記來快速找到非法DHCP是什么設(shè)備、歸屬什么部門。通過上面兩個實例，有效地預防網(wǎng)絡(luò)攻擊對于企業(yè)說是非常重要的，可以提高IT人員排除故障的效率，確保企業(yè)內(nèi)部網(wǎng)絡(luò)更加安全。

5 結(jié)語

企業(yè)IT設(shè)備網(wǎng)絡(luò)安全問題主要是利用網(wǎng)絡(luò)管理措施保證網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)的機密性、完整性和可用性。確保經(jīng)過網(wǎng)絡(luò)傳送的信息，在到達目的地時沒有任何增加、改變、丟失或被非法讀取。而且要從以前單純的以防、堵、隔為主，發(fā)展到現(xiàn)在的攻、防結(jié)合，注重動態(tài)安全。在網(wǎng)絡(luò)安全技術(shù)的應(yīng)用上，要注意從正面防御的角度出發(fā)，控制好信息通信中數(shù)據(jù)的加密、數(shù)字簽名和認證、授權(quán)、訪問等。而從反面要做好漏洞掃描評估、入侵檢測、病毒防御、安全報警響應(yīng)等。要對網(wǎng)絡(luò)安全有一個全面的了解，不僅需要掌握防護，也需要掌握檢測和響應(yīng)等各個環(huán)節(jié)。

參考文獻

[1] 杜向文.中小企業(yè)網(wǎng)絡(luò)安全[J].計算機安全，2006，（8）.

[2] 勞幗齡.網(wǎng)絡(luò)安全與管理[M].北京：高等教育出版社，2003.

[3] 尚曉航.計算機網(wǎng)絡(luò)基礎(chǔ)[M].北京：清華大學出版社，2014.

[4] W.Richard Stevens.TCP/IP詳解[M].北京：機械工業(yè)出版社，2000.

作者簡介：黃翠萍（1984-），女，福建仙游人，漳州科技職業(yè)學院教師，工程碩士，研究方向：企業(yè)信息化。

（責任編輯：周 瓊）