◆劉智磊 劉猛 趙煜

局域網(wǎng)的組建與安全防護(hù)研究

◆劉智磊 劉猛 趙煜

（66389部隊(duì) 河南 450000）

目前計(jì)算機(jī)技術(shù)的普及范圍越來越廣泛，已經(jīng)逐漸滲透到了各個(gè)領(lǐng)域中，影響著人們的學(xué)習(xí)工作和生活，不置可否，我們已然進(jìn)入了信息化網(wǎng)絡(luò)時(shí)代。在這樣的社會(huì)大環(huán)境下，入侵檢測和數(shù)據(jù)加密技術(shù)顯得尤為重要。本文簡要闡述了網(wǎng)絡(luò)入侵安全、入侵檢測和數(shù)據(jù)加密技術(shù)的基本概念，同時(shí)詳細(xì)分析了數(shù)據(jù)加密技術(shù)的類型和途徑，并對(duì)其在計(jì)算機(jī)網(wǎng)絡(luò)安全保障中的應(yīng)用進(jìn)行更深一步的探討，以期為網(wǎng)絡(luò)工作者提供參考。

局域網(wǎng)；網(wǎng)絡(luò)安全；防火墻；入侵檢測技術(shù)；數(shù)據(jù)加密技術(shù)

1 引言

如今網(wǎng)絡(luò)時(shí)代的到來使得各國經(jīng)濟(jì)更加一體化和全球化，各國因?yàn)榛ヂ?lián)網(wǎng)的連接而構(gòu)成一張龐大運(yùn)行網(wǎng)絡(luò)，并為國家經(jīng)濟(jì)的發(fā)展和政治活動(dòng)的開展提供了更為廣闊的舞臺(tái)和技術(shù)空間。然而其帶來強(qiáng)大助力的同時(shí)各類安全隱患也由此而誕生和頻頻出現(xiàn)。至今以來，全球范圍內(nèi)均發(fā)生了隱私泄露和網(wǎng)絡(luò)重大安全事故，讓各國蒙受了巨大經(jīng)濟(jì)損失，同時(shí)也為社會(huì)帶來許多不穩(wěn)定的安全因素。如，2016年2月初，孟加拉國中央銀行在紐約聯(lián)邦儲(chǔ)備銀行的賬戶遭到黑客入侵，8100萬美元被盜；2017年11月22日，美國五角大樓因?yàn)閻阂馊肭郑沟脟啦糠诸悢?shù)據(jù)庫中社交媒體平臺(tái)收集的18億用戶的個(gè)人信息遭到暴露。

面對(duì)網(wǎng)絡(luò)面臨的各種威脅，如何防范和消除這些威脅，實(shí)現(xiàn)真正的網(wǎng)絡(luò)安全已經(jīng)成為制約眾多大型企業(yè)實(shí)現(xiàn)發(fā)展的瓶頸。網(wǎng)絡(luò)安全方面的研究越來越引起諸多企業(yè)重視，其是目前網(wǎng)絡(luò)領(lǐng)域研究的重要課題之一。

2 企業(yè)無線局域網(wǎng)安全風(fēng)險(xiǎn)分析

2.1 無線局域網(wǎng)的安全風(fēng)險(xiǎn)與攻擊威脅

2.1.1網(wǎng)絡(luò)部署與結(jié)構(gòu)安全風(fēng)險(xiǎn)

在網(wǎng)絡(luò)部署與結(jié)構(gòu)安全風(fēng)險(xiǎn)方面，其主要表現(xiàn)在以下幾方面：

（1）網(wǎng)絡(luò)的邊界安全問題作為入口防護(hù)的重點(diǎn)對(duì)象，如缺乏安全防護(hù)策略和配套技術(shù)方案，極易引起諸多非法安全入侵，并面臨眾多病毒攻擊手段，致使企業(yè)內(nèi)部網(wǎng)絡(luò)完全暴露在不法分子面前。

（2）各類網(wǎng)絡(luò)設(shè)備在安全性能上的表現(xiàn)，決定了企業(yè)內(nèi)部有線與無線網(wǎng)絡(luò)的安全性以及各項(xiàng)功能的正常運(yùn)行。

（3）網(wǎng)絡(luò)中的核心應(yīng)用層如缺乏一定的物理隔離，以及相關(guān)系統(tǒng)解決方案下的軟件隔離，勢必面臨諸多入侵風(fēng)險(xiǎn)。

2.1.2網(wǎng)絡(luò)病毒入侵安全風(fēng)險(xiǎn)

（1）報(bào)文攻擊

報(bào)文攻擊是非常典型的一類網(wǎng)絡(luò)攻擊，其原理是利用通信協(xié)議和主機(jī)操作系統(tǒng)對(duì)協(xié)議支持嚴(yán)密性問題的漏洞，直接或間接地發(fā)送非法報(bào)文進(jìn)行攻擊。輕者造成服務(wù)器運(yùn)行緩慢，重者可能導(dǎo)致服務(wù)器崩潰、正常業(yè)務(wù)中斷。

報(bào)文攻擊是一種非常典型的網(wǎng)絡(luò)攻擊類型。其原理是利用通信協(xié)議和主機(jī)操作系統(tǒng)直接或間接發(fā)送惡意消息，利用通信協(xié)議和主機(jī)操作系統(tǒng)漏洞進(jìn)行攻擊。較輕的可能會(huì)降低服務(wù)器的速度，而嚴(yán)重的可能會(huì)使服務(wù)器崩潰并正常關(guān)閉。

（2）DDoS攻擊

DDoS攻擊是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使用戶無法得到服務(wù)器的響應(yīng)。攻擊者控制多個(gè)僵尸主機(jī)，向其推送各類惡性攻擊數(shù)據(jù)包，使得主機(jī)各類性能和硬件資源被大量占用，系統(tǒng)網(wǎng)絡(luò)帶寬被消耗，導(dǎo)致進(jìn)程受阻，空間容量急劇下降，從而使得平臺(tái)各類服務(wù)和針對(duì)文件的訪問請求無法得到處理。

（3）掃描窺探

掃描窺探是攻擊者用來識(shí)別和分析目標(biāo)的常見入侵技術(shù)。攻擊者掃描目標(biāo)系統(tǒng)以了解目標(biāo)系統(tǒng)提供的服務(wù)類型和潛在的安全漏洞，并提供有關(guān)入侵的信息。攻擊者可以根據(jù)開放的端口檢測目標(biāo)的弱點(diǎn)并確定下一個(gè)入侵計(jì)劃。

2.2 無線局域網(wǎng)的相關(guān)安全技術(shù)

2.2.1防火墻技術(shù)

防火墻是位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)。這是建立在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間、私有網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間的接口上的保護(hù)，它是軟件和硬件的安全保護(hù)屏障，它們的主要功能是檢查網(wǎng)絡(luò)通信，以防止未經(jīng)授權(quán)的訪問和退出安全網(wǎng)絡(luò)，但防火墻不能防止網(wǎng)絡(luò)內(nèi)部未經(jīng)授權(quán)的訪問和攻擊，消除薄弱的控制和問題。安全策略也無法防范未通過防火墻的攻擊或威脅。

2.2.2入侵檢測系統(tǒng)

入侵檢測系統(tǒng)（IDS）通過分析網(wǎng)絡(luò)中的傳輸數(shù)據(jù)來判斷破壞系統(tǒng)的入侵事件，判斷入侵事件的類型，檢測非法的網(wǎng)絡(luò)行為，對(duì)異常的網(wǎng)絡(luò)流量進(jìn)行報(bào)警等。目前主要分為如下幾類：

（1）基于主機(jī)的入侵檢測系統(tǒng)

該類系統(tǒng)對(duì)運(yùn)行關(guān)鍵程序和負(fù)責(zé)后臺(tái)管理的服務(wù)器進(jìn)行網(wǎng)絡(luò)防護(hù)。它對(duì)主機(jī)所存儲(chǔ)的審計(jì)記錄和相關(guān)操作的日志文件進(jìn)行監(jiān)視和分析，從而得到入侵檢測結(jié)果。

（2）基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)

根據(jù)待監(jiān)測網(wǎng)絡(luò)入侵檢測包的內(nèi)容，該類系統(tǒng)通過對(duì)原始數(shù)據(jù)源等網(wǎng)絡(luò)包，以及對(duì)可疑現(xiàn)象分析的分析完成檢測過程，從而完成對(duì)網(wǎng)絡(luò)的全面保護(hù)，而不必考慮異構(gòu)主機(jī)的不同體系和層級(jí)架構(gòu)。

（3）誤用入侵檢測系統(tǒng)

該類系統(tǒng)，是基于網(wǎng)絡(luò)入侵行為以及以往長期運(yùn)營所積累起來的系統(tǒng)缺陷基礎(chǔ)，完成對(duì)入侵規(guī)則的制定，進(jìn)而實(shí)現(xiàn)入侵行為的檢測。

2.3.3無線虛擬專網(wǎng)

VPN（虛擬專用網(wǎng)絡(luò)）是在混亂的公共網(wǎng)絡(luò)上搭建的安全穩(wěn)定的隧道，它在公共網(wǎng)絡(luò)（通常是Internet）上建立臨時(shí)和安全的連接。VPN通常是公司內(nèi)部網(wǎng)絡(luò)的擴(kuò)展，可幫助遠(yuǎn)程用戶、公司附屬機(jī)構(gòu)、業(yè)務(wù)合作伙伴和提供商與公司內(nèi)網(wǎng)建立安全可靠的連接，并確保安全的數(shù)據(jù)傳輸。VPN可用于為尋求安全連接而增長的移動(dòng)用戶進(jìn)行全球互聯(lián)網(wǎng)訪問。一條可用于企業(yè)網(wǎng)站之間安全通信的虛擬租用線路，以及一條可用于經(jīng)濟(jì)高效地連接到業(yè)務(wù)合作伙伴和網(wǎng)絡(luò)用戶的安全虛擬租用外網(wǎng)線路。

2.3.4數(shù)據(jù)加密技術(shù)

基本上有兩種類型的數(shù)據(jù)加密技術(shù)。一個(gè)是對(duì)稱密鑰，另一個(gè)是非對(duì)稱密鑰。這兩種格式在應(yīng)用和性能上具有不同的優(yōu)勢，是現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)安全的重要保障。

（1）對(duì)稱加密

該技術(shù)也稱為私鑰技術(shù)。它是數(shù)據(jù)的發(fā)送方和接收方在加密和打印數(shù)據(jù)時(shí)使用相同的私鑰并使用相同的算法來轉(zhuǎn)換密文的技術(shù)。

（2）非對(duì)稱加密

該技術(shù)也稱為公鑰密碼術(shù)。一它是指數(shù)據(jù)的發(fā)送方和接收方在加密和打開數(shù)據(jù)時(shí)使用不同類型的私鑰的技術(shù)。在實(shí)際應(yīng)用過程中，如果數(shù)據(jù)發(fā)送方使用公鑰對(duì)數(shù)據(jù)進(jìn)行加密，接收方只需要使用相對(duì)使用的私鑰就可以解密數(shù)據(jù)。

3 基于數(shù)據(jù)加密的網(wǎng)絡(luò)安全防護(hù)應(yīng)用

根據(jù)上面說明的網(wǎng)絡(luò)安全防護(hù)技術(shù)，這里以A公司為例，制定A公司網(wǎng)絡(luò)信息安全防護(hù)方案，并對(duì)方案擬采用設(shè)備進(jìn)行選型和技術(shù)分析。

3.1 防病毒預(yù)警子系統(tǒng)

本次A公司選用安天公司的私有云安全系統(tǒng)和病毒預(yù)警系統(tǒng)，從而及時(shí)地在入侵、傳播擴(kuò)散、破壞等多個(gè)環(huán)節(jié)對(duì)抗威脅，提供全面的阻止、監(jiān)測、追溯能力，有效提升了企業(yè)整體的威脅防御效果和安全管控能力。這里對(duì)系統(tǒng)功能及技術(shù)加以分析：

（1）白名單控制邏輯。系統(tǒng)不再單純依賴通用的黑名單病毒庫，而是根據(jù)實(shí)際環(huán)境，搜集用戶的白名單相關(guān)信息，對(duì)網(wǎng)絡(luò)信息系統(tǒng)的重要數(shù)據(jù)信息進(jìn)行防護(hù)。

（2）未知文件動(dòng)態(tài)鑒定。系統(tǒng)中的程序動(dòng)態(tài)分析器可以幫助用戶進(jìn)行動(dòng)態(tài)的實(shí)時(shí)安全性鑒定，讓用戶自主處理未知文件的安全性，有效避免了單純依靠反病毒技術(shù)公司提供的分析和發(fā)布能力。

（3）可以結(jié)合網(wǎng)絡(luò)病毒預(yù)警系統(tǒng)使用。系統(tǒng)在網(wǎng)絡(luò)核心交換處對(duì)網(wǎng)絡(luò)中存在的各種攻擊事件、病毒傳輸、可疑流量等進(jìn)行實(shí)時(shí)監(jiān)視。

3.2 入侵檢測子系統(tǒng)

根據(jù)要求，選用啟明星辰公司的TGA004-1型千兆網(wǎng)絡(luò)入侵檢測預(yù)警系統(tǒng)。

結(jié)合入侵檢測的實(shí)際需求，這里我們也選擇了金星千兆網(wǎng)絡(luò)檢測和預(yù)警系統(tǒng)。系統(tǒng)特定的處理流程：入侵處理模塊可以根據(jù)數(shù)據(jù)庫的特點(diǎn)判斷檢測到的入侵協(xié)議變量的符合性。如果匹配成功，用戶應(yīng)報(bào)告攻擊事件，審計(jì)檢測傳感器處理模塊應(yīng)根據(jù)審計(jì)策略進(jìn)行記錄。審計(jì)數(shù)據(jù)中生成數(shù)據(jù)包協(xié)議變量的值，將數(shù)據(jù)包的重構(gòu)報(bào)文作為原始報(bào)文文件寫入?？刂浦行膶臋z測傳感器接收到的數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)庫中并將其發(fā)送到顯示中心。顯示中心負(fù)責(zé)以多種格式向用戶展示事件并生成報(bào)告。

3.3 防火墻子系統(tǒng)

防火墻主要在透明、路由和混合模式下工作。防火墻的主要功能如下。

（1）網(wǎng)絡(luò)安全保障。防火墻通過過濾外部惡意內(nèi)容來增強(qiáng)網(wǎng)絡(luò)信息安全系統(tǒng)內(nèi)部網(wǎng)絡(luò)的安全性，降低網(wǎng)絡(luò)信息系統(tǒng)內(nèi)部網(wǎng)絡(luò)受到各種威脅的風(fēng)險(xiǎn)。

（2）審計(jì)網(wǎng)絡(luò)訪問和訪問行為。設(shè)備可以記錄它經(jīng)過的數(shù)據(jù)并以日志的形式報(bào)告給用戶，也可以統(tǒng)計(jì)網(wǎng)絡(luò)信息系統(tǒng)內(nèi)部網(wǎng)絡(luò)的使用情況。這允許用戶更明智地分配資源。

（3）以簡單的方式保護(hù)內(nèi)部網(wǎng)絡(luò)信息，防止外泄，防止外部對(duì)網(wǎng)絡(luò)信息系統(tǒng)的攻擊。

[1]彭璟云，彭藝，常虹.無線局域網(wǎng)MAC層協(xié)議技術(shù)及退避算法[J].軟件導(dǎo)刊，2018，17（03）：84-86.

[2]劉浩.無線局域網(wǎng)技術(shù)在校園網(wǎng)中的應(yīng)用及安全[J].中國新通信，2018，20（04）：132.

[3]馮肖榮.無線局域網(wǎng)技術(shù)在智能水電廠建設(shè)中運(yùn)用研究[J].水電站機(jī)電技術(shù)，2018，41（02）：22-22.

[4]邱靜.聚類分析算法在無線局域網(wǎng)優(yōu)化分析中的應(yīng)用[J].信息通信，2018（02）：103-102.

[5]楊洪.局域網(wǎng)無線覆蓋的安全技術(shù)[J].通訊世界，2018（01）：143.

[6]何靜.無線局域網(wǎng)在校園中的安全問題及措施研究[J].信息系統(tǒng)工程，2018（01）：78.