局域网的安全管理技术分析.docVIP

局域网的安全管理技术分析 　　摘要文章通过对校园局域网络日常工作中所涉及的安全管理问题进行分析，结合我校在实际工作中所应用的实际安防防护措施，总结归纳了一些系统的解决办法，即从网络规划，防病毒体系，提高局域网用户的安全防护意识三方面来实现。 　　关键词校园网；VLAN；补丁管理器；防火墙；防病毒软件 　　中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2014）12-0096-02 　　随着计算机、信息网络技术的革新，网络的应用已经成为现代化社会不可分割的重要部分。任何事物都是双面的，网络应用在给我们带来便捷的同时也出现了许多的问题，由于局域网与互联网相连，局域网用户频繁使用互联网，且普通用户的安全意识及行为欠规范，造成局域网出现病毒传播，黑客网络攻击等事件发生，给局域网的数据安全、网络安全带来了很大的威胁，本人结合自己对北京开放大学延庆分校局域网管理的实际情况，归纳了一些网络安全管理工作经验，供大家参鉴。 　　1局域网规划 　　1.1 主干网的选择 　　当前，主干网技术主要有FDDI、FAST ETHERNET、GIGABIT ETHERNET和ATM几种。可以发现FDDI在我校不太适用，而ATM虽然技术显见，但目前标准还未完全形成，根据我校网络的需求原则，我们选择了千兆位以太网作为主干网，并且易向ATM过渡。千兆位以太网采用CSMA/CD协议，帧格式。传输介质可以是光纤，也可以是双绞线。 　　1.2 网络分段 　　校园网内部根据不同的需求对整个网络进行必要分段，将校园网分为办公段、机房段和教室段，由于各网段间不能直接互访，从而增强各子网的安全性能。 　　网络分段可分为物理分段和逻辑分段。 　　物理分段指的是在网络的最底层将物理层和数据链路层，暨ISO/OSI网络体系中的第一层和第二层分为几个网段，各个网段间无法直接进行通讯。 　　逻辑分段则指的是在ISO/OSI体系中的第三层，暨网络层上进行分段。例如在TCP/IP网络中，我们实际上把网络分成了若干个子网，各子网因网络掩码不同，不能直接通讯，只能通过路由器、三层交换机、网关、VPN、防火墙等隔离设备进行连接，利用这些软、硬件设备来控制各子网间的网络访问。在我们的实际工作中，通常采用物理与逻辑分段进行结合的方式来对网络的安全性进行控制。 　　目前，逻辑分段中的VLAN（Virtual local area net）即虚拟网络技术已经成熟，能使对局域网络的内部子网划分更加方便。VLAN的出现可以实现处于不同楼层、甚至是不同建筑里用户加入到同一个逻辑子网中，共享一个广播域。通过对VLAN的创建，可以控制广播风暴的产生，从而提高交换式网络的整体性能和安全性。 　　对于VLAN的划分，目前有四种策略：1）基于端口的VLAN：该方法只需要对网络设备的交换端口进行重新分配组合在不同的逻辑网段中即可；2）基于MAC地址的VLAN：MAC地址即网卡的标志符，每块网卡的MAC地址都是唯一的，该方法仅适用于小型网络，当网络规模扩大，使用者增多时，会加大管理的难度；3）基于路由的VLAN：路由协议工作在七层协议的第三层，即网络层，该方式允许VLAN跨越多个交换机，也允许一个端口位于多个VLAN中；4）基于策略的VLAN：该方式主要取决于VLAN的规划策略。目前对于VLAN的划分主要是采用1，3两种方式。 　　根据实际需求，我们采用基于IP地址绑定的VLAN策略将办公区域、机房区域和教室区域划分成相应的子网，即提高了部门内的子网访问速度，又有效的将部门内子网与网络中其他用户进行隔离，使整个网络更高效，可靠运行。 　　2防病毒体系 　　2.1 防火墙技术 　　防火墙分为软件防火墙及硬件防火墙。针对于局域网络的系统安全，这里讲的防火墙指的是硬件防火墙，是一种用来阻止内外网络间进行非法访问的一种重要设备。硬件防火墙的设置不是为了保护局域网内的某一台计算机或服务器，而是对内部一个或多个子网进行防护，尽可能的屏蔽互联网上对内部网段任意地址进行的非法链接。一般来说防火墙默认的设置是全部拒绝内外访问，只有配置了内外认可安全的地址才能进行链接访问，它既是局域网与互联网间访问的桥梁也是信息安全通道上坚实的壁垒，通过设置各种安全策略来防止不可预料的潜在威胁与入侵破坏。 　　从逻辑上讲，防火墙就是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。 　　2.2 基于网络的入侵检测技术 　　为了保障局域网络安全，建立一套安全防护体系，进行多手段、全方位的检测与防护也是非常重要的。区别于硬件防火墙等静态防御设备，入侵检测装置具有动态检测、实时性、主动防御等特点，能够在局域网内部实施监测网络中出