大型局域网中安全设备的应用的研究.docVIP

大型局域网中安全设备的应用的研究 　　摘 要：为解决企业局域网在一步步扩张过程中面临的网络安全问题，很多企业引入了网络安全软件或设备。介绍了常用的网络安全设备，探讨如何通过多种安全设备的配合使用，防御和抵抗常见的互联网攻击，提升局域网安全性。 　　关键词：防火墙;入侵防护系统;负载均衡;抗拒绝服务系统;上网行为管理;隔离区 　　DOI：10.11907/rjdk.143582 　　中图分类号：PT309.1 　　文献标识码：A 文章编号：1672-7800（2014）012-0155-04 　　作者简介：丁梅（1983-），女，湖北省科技信息研究院网络与资源中心助理研究员，研究方向为网络管理。 　　0 引言 　　 在带宽2～8M的家庭局域网中，可以只有一个宽带路由器作为网络设备，这种局域网的安全性取决于互联网和终端（个人电脑、平板电脑等）的安全性;在带宽10～20M的小型公司局域网中，交换机与路由器协同使用，支持多人同时上网。为了避免内网IP冲突并便于管理，一般为内网用户分配固定的IP地址和网关;在带宽大于50M的大型局域网中，往往接入不同运营商的线路，划分出隔离区（Demilitarized Zone，简称DMZ）和普通用户区并加以区别对待。中小型局域网构造简单，对网络安全要求相对较低。本文就大型局域网中安全设备的类型、部署及功能选择进行研究，通过设备间的配合，对网络故障进行预判、快速定位及处理，以达到保障局域网安全、优化网络性能的目的（本文中涉及的网络设备针对特定厂商，其它厂商的同类设备也许存在功能差异）。 　　1 常用网络安全设备简介 　　1.1 防火墙（FW） 　　 防火墙（FireWall）是一种位于内部和外部网络之间将内外网分开的网络安全防护系统lt;supgt;[1]lt;/supgt;，它根据访问控制策略允许或拒绝来自外部的网络请求，在局域网与互联网之间构造保护屏障。个人电脑使用的Windows XP以及Windows 7自带防火墙，但是大部分用户都不会开启，因为使用防火墙要求具备一定网络知识，才能理解概念并针对需求作出正确设置。以Windows Server 2003服务器为例，其默认状态为防火墙开启，如果部署了应用而服务不能访问，可能是由于防火墙中部分端口未开启导致。 　　 用户区的个人电脑和隔离区（DMZ）的服务器都需要防火墙保护，在用户操作技能水平不一、服务器存在托管的情况下，设置统一的防火墙设备是普遍采用的方法。在防火墙配置文件中，定义要保护的区域为隔离区（DMZ），该区域可以不止一个。在安全级别不高的普通企业局域网中，隔离区（DMZ）仅包括服务器区，而对用户区没有限制，因为员工在工作中使用的应用不像服务器提供的应用那样确定。在防火墙配置文件中，整个企业局域网被划分为两个部分：隔离区（DMZ）为内部（Inside），其它全部为外部（Outside）。 　　 访问控制策略是防火墙的另一重要组成部分。它是针对IP地址或IP地址段、端口定义的规则，一条规则为一行，可以针对相同的IP地址或IP地址段的不同端口、不同方向定义多条规则。该列表由网络管理员创建、维护、修改。 　　如果一个防火墙的访问控制列表（ACL）为空，意味着任何通过防火墙的进出访问都不被允许。 　　1.2 入侵防护系统（IPS） 　　 入侵防护系统（Intrusion Prevention System，简称IPS）是一种主动、智能的入侵检测、防范、阻止系统，它不需要人为干预就可预先对入侵活动和攻击性网络流量进行拦截，避免其造成任何损失lt;supgt;[2]lt;/supgt;。 　　 此设备主要用于隔离区（DMZ），它将检测到的网络访问行为与本身的入侵行为特征库相匹配，如果匹配成功，系统则认定此行为正入侵或攻击企业局域网，系统会对此行为进行阻断，否则放行。入侵行为特征库与个人电脑上杀毒软件的病毒库类似，需要不断更新。这要求企业在采用入侵防护系统（IPS）设备时，必须考虑其升级维护费用。在互联网各种病毒、木马层出不穷的情况下，每种入侵行为都会在其流行期内猛烈地攻击内网。如果入侵行为特征库不更新，那么在新种类攻击发生时，DMZ就会受到影响和破坏，甚至导致瘫痪。 　　 根据部署方式不同，入侵防护系统也可以作为入侵检测系统（Intrusion Detection Systems，简称IDS）使用，即：发现入侵和攻击行为，形成日志，但不进行阻断。这种部署需要其它安全设备的配合使用，才能实现针对入侵行为的拦截。如果把防火墙比作一栋大楼的大门，入侵检测系统（IDS）就像摄像头，需要楼内的安保人员观察和分析，才能确定是否阻止某人进入。 　　1.3 负载均衡（LB） 　　 负载均衡（Load Balancin