从OSI、TCPIP探析网络安全.docxVIP

从OSI、TCP/IP探析网络安全 摘 要 影响网络安全的事件很多，文章从网络的基 本模型0SI和TCP/IP开始分析，讨论每一层可能出现的问 题并给出相应的防范建议。 关键词网络安全；TCP/IP； 0SI 中图分类号：TP393文献标识码：A文章编号： 1671-7597 (2014) 07-0183-01 从2013年斯诺登事件爆发以来，世界各国都开始重新 审视互联网络安全。我国也于2014年2月27号，从国家层 面上，宣布成立中央网络安全和信息化领导小组，国家主席 习近平任领导小组组长。今年两会，中央网络安全和信息化 领导小组一次会议，习近平首次提出建设“网络强国”的战 略要求。 对网络安全的讨论不能浮于网络安全事件本身，应该从 网络通信协议0SI七层模型和TCP/IP的四层网络模型谈起。 1 0SI七层和TCP/IP四层概述 OSI (Open System Interconnection),即开放互联模 型。它是互联网通信的基础模型，逻辑上将网络协议划分为 七层。模型的设计严格遵守着各层之间边界清晰，每层实现 协议传输的特定功能的设计原则。 0SI七层模型分别为：Physical Layer物理层;Data Link Layer 数据链路层；Network Layer 网络层；Transport Layer 传输层；Session Layer 会话层；Presentation Layer 表不 层和 Application Layer 应用层。 TCP/IP模型晚于OSI模型，它是随着TCPCTransmission Control Protocol 传输控制协议）和 IP （Internet Protocol 网际协议）产生之后继而发展来的模型，现在已然成为现今 互联网通信所必须遵守的协议组。 TCP/IP模型分别Data Link Layer数据链路层；Network Layer 网络层；Transport Layer 传输层和 Application Layer 应用层。TCP/IP模型的特点是：将0SI复杂的七层结构简化 成了四层，每一层所包括的协议，实现的功能更多，在实际 的网络应用更加的简单，但是结构上不够清晰。 可以简单的将TCP/IP的数据链路层理解为0SI的物理 层与数据链路层；而TCP/IP的应用层包括0SI的上三层（会 话层、表示层、应用层）。 2模型隐藏的网络安全问题 1）物理层安全问题。物理层是为信息传输所涉及的传 输介质，包括网线、光纤等。它是计算机与计算机之间，网 络与网络之间的实体接口。物理层的网络安全是基础性的安 全，一个网络应用的再好，上层的协议、措施再得当，一旦 最底层的物理安全出现了问题，“上层建筑”迟早是会倾倒 的。物理层的不安全主要表现在不同网络之间传输时，物理 线路的隔离问题。 2） 链路层安全问题。链路层网络安全，也常被叫做二 层网络安全。在链路层上常出现ARP攻击、DHCP攻击、VLAN 攻击等。它们都是利用了二层网络协议的特点进行的非法攻 击，一旦攻击成功，网络将会出现大面积的断网或反应出网 速慢，时断时续。 3） 网络层安全问题。网络层的功能是实现路由的选择、 流量控制和拥挤控制等。从功能上分析，网络的路由选择将 是该层可能出现的最大的安全隐患，另外大流量的应用，也 可能造成网络的堵塞，出现网络瘫痪的现象。 4） 传输层安全问题。传输层实现了主机端到端的连接, 其中连接方式有两种TCP （面向连接）和UDP （无连接的）。 大部分hacker都是通过扫描网络中开放的端口来获取网络 的访问权限，进而发动网络攻击。 5） 会话、表示、应用层安全问题。上三层（会话、表 示、应用层）的网络安全可谓是无孔不入，恶意软件传播、 僵尸病毒、恶意URL、钓鱼网站、垃圾邮件等等都无时无刻 不在侵袭着网络应用的安全。 3网络安全的防范手段 1）物理层网络防范。对于物理层网络安全，最好的防 范措施是针对不同性质的网络规划时使用独立的光纤线路， 做到物理的隔离。公共互联网络是一张大网，供人们在上面 休闲娱乐、学习、生活等，而例如政策的办公网，公安、法 院、检察院的司法网，国税、地税的公务网，银行的金融网, 军队的军训网都应该独立运行，从物理线路上进行绝对的隔 离。 2） 链路层安全防范。针对链路层的网络安全，我们要 分门别类的进行防范。 ARP攻击的防范主要通过三个途径：一是主机本身，在 主机上利用Miscosoft操作系统的ARP工具进行静态绑定， 将计算机的下一跳网关等重要的设备进行绑定；二是通过交 换机的端口进行IP地址、MAC地址、交换机端口的绑定，实 现端口的安全；三是在交换机上启动dotlx协议，实现计算 机的准入 认证。 通过Windows 2003或2008操作系统建