从OSITCPIP的探讨网络安全.docVIP

从OSITCPIP的探讨网络安全 　　摘 要 影响网络安全的事件很多，文章从网络的基本模型OSI和TCP/IP开始分析，讨论每一层可能出现的问题并给出相应的防范建议。 　　关键词 网络安全；TCP/IP；OSI 　　中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2014）07-0183-01 　　从2013年斯诺登事件爆发以来，世界各国都开始重新审视互联网络安全。我国也于2014年2月27号，从国家层面上，宣布成立中央网络安全和信息化领导小组，国家主席习近平任领导小组组长。今年两会，中央网络安全和信息化领导小组一次会议，习近平首次提出建设“网络强国”的战略要求。 　　对网络安全的讨论不能浮于网络安全事件本身，应该从网络通信协议OSI七层模型和TCP/IP的四层网络模型谈起。 　　1 OSI七层和TCP/IP四层概述 　　OSI（Open System Interconnection），即开放互联模型。它是互联网通信的基础模型，逻辑上将网络协议划分为七层。模型的设计严格遵守着各层之间边界清晰，每层实现协议传输的特定功能的设计原则。 　　OSI七层模型分别为：Physical Layer物理层；Data Link Layer数据链路层；Network Layer网络层；Transport Layer传输层；Session Layer会话层；Presentation Layer表示层和Application Layer应用层。 　　TCP/IP模型晚于OSI模型，它是随着TCP（Transmission Control Protocol 传输控制协议）和IP（Internet Protocol网际协议）产生之后继而发展来的模型，现在已然成为现今互联网通信所必须遵守的协议组。 　　TCP/IP模型分别Data Link Layer数据链路层；Network Layer网络层；Transport Layer传输层和Application Layer应用层。TCP/IP模型的特点是：将OSI复杂的七层结构简化成了四层，每一层所包括的协议，实现的功能更多，在实际的网络应用更加的简单，但是结构上不够清晰。 　　可以简单的将TCP/IP的数据链路层理解为OSI的物理层与数据链路层；而TCP/IP的应用层包括OSI的上三层（会话层、表示层、应用层）。 　　2 模型隐藏的网络安全问题 　　1）物理层安全问题。物理层是为信息传输所涉及的传输介质，包括网线、光纤等。它是计算机与计算机之间，网络与网络之间的实体接口。物理层的网络安全是基础性的安全，一个网络应用的再好，上层的协议、措施再得当，一旦最底层的物理安全出现了问题，“上层建筑”迟早是会倾倒的。物理层的不安全主要表现在不同网络之间传输时，物理线路的隔离问题。 　　2）链路层安全问题。链路层网络安全，也常被叫做二层网络安全。在链路层上常出现ARP攻击、DHCP攻击、VLAN攻击等。它们都是利用了二层网络协议的特点进行的非法攻击，一旦攻击成功，网络将会出现大面积的断网或反应出网速慢，时断时续。 　　3）网络层安全问题。网络层的功能是实现路由的选择、流量控制和拥挤控制等。从功能上分析，网络的路由选择将是该层可能出现的最大的安全隐患，另外大流量的应用，也可能造成网络的堵塞，出现网络瘫痪的现象。 　　4）传输层安全问题。传输层实现了主机端到端的连接，其中连接方式有两种TCP（面向连接）和UDP（无连接的）。大部分hacker都是通过扫描网络中开放的端口来获取网络的访问权限，进而发动网络攻击。 　　5）会话、表示、应用层安全问题。上三层（会话、表示、应用层）的网络安全可谓是无孔不入，恶意软件传播、僵尸病毒、恶意URL、钓鱼网站、垃圾邮件等等都无时无刻不在侵袭着网络应用的安全。 　　3 网络安全的防范手段 　　1）物理层网络防范。对于物理层网络安全，最好的防范措施是针对不同性质的网络规划时使用独立的光纤线路，做到物理的隔离。公共互联网络是一张大网，供人们在上面休闲娱乐、学习、生活等，而例如政策的办公网，公安、法院、检察院的司法网，国税、地税的公务网，银行的金融网，军队的军训网都应该独立运行，从物理线路上进行绝对的隔离。 　　2）链路层安全防范。针对链路层的网络安全，我们要分门别类的进行防范。 　　ARP攻击的防范主要通过三个途径：一是主机本身，在主机上利用Miscosoft操作系统的ARP工具进行静态绑定，将计算机的下一跳网关等重要的设备进行绑定；二是通过交换机的端口进行IP地址、MAC地址、交换机端口的绑定，实现端口的安全；三是在交换机上启动dot1x协议，实现计算机的准入 　　认证。 　　通过Windows 2003或2008操作系统建立