论文部分内容阅读
摘要:该文论述了在局域网建立安全信息体系的意义,对信息不可控给网络造成的影响进行了概述。并以一个大学校园网,就建立可控网络和信息过滤的方法及实现进行了探讨,对网络性能的影响进行了分析论述。
关键词:网络;隐患;信息;行为控制;过滤;安全;规则;配置
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)32-1093-03
Research of Communication Networks on Safety and Control
LIANG Bing1,LIAO Xiang-bai2
(1.Library of South China University, Hengyang 421001,China; 2.Electric Engineering Institute of South China University, Hengyang 421001,China)
Abstract: The significance of building a safety system at the LAN is described, and the effects are summarized for uncontrollable communication in this paper .To build up a university campus network’s measure and practice that can control and filtrate communication is discussed,moreover performance effect analyse is discussed.
Key words: network; hidden trouble; information; action control; filtration; safety; rule; configuration
1 引言
目前许多学校网络都接有多个运营网出口,上网电脑数量多,网络结构复杂,流量大,稳定性要求高。而另一方面,由于网络应用滞后、运营意识不足,普遍都存在“重扩网使用,轻安全管理”的倾向,常常都是在内部网与互联网之间放一个防火墙就万事大吉,有的甚至直接连到互联网。这就为病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等安全隐患只要发生一次,对整个网络都将是致命性的,所以网络的安全已成为一个不可忽视的问题。
2 内网管理的失控现象
对于一个已建成的局域网,如果缺乏上网的有效监控和日志,没有有效的安全预警手段和防范措施,上网用户的身份不能被识别,网络就会存在极大的安全隐患,造成网络管理失控,具体表现在以下几点:
2.1 不健康的信息缺乏过滤
各类反动、色情、暴力等有害信息可以通过电子邮件、论坛、留言板、聊天软件、文件传输、网页浏览等载体蔓延,对网络上出现的有害信息缺乏收集机制及处置措施,往往到出事后才亡羊补牢,令学校管理者防不胜防。
2.2 病毒泛滥
一些计算机病毒和攻击性程序可以在网页上附加恶意脚本,当浏览该网页时,脚本病毒感染计算机,进而感染全网络,危害网络安全。通过E-mail散发的蠕虫病毒对网络速度的影响越来越严重,危害极大。被病毒感染的用户电脑会选择个人电脑通讯簿中的随机地址进行邮件发送。成百上千的垃圾邮件被群发,有的又会被成批地退回来堆在服务器上。造成个别骨干网拥塞,网速明显变慢,局域网端口连接数急剧增加,设备处理不堪重负近于瘫痪。
2.3 无用信息耗尽网络资源
校内应用服务不规范,大量的垃圾信息、有害信息利用资源共享等途径进入到用户终端和含有漏洞的各种应用服务器,致使硬件资源耗尽而死机。
2.4 不能及时反馈信息
网管人员对上网情况无从了解,缺乏必要有效的技术措施。面对网络中的一些设备端口形成瓶颈导致网速变慢的情况,不能及时得到信息反馈和技术处置。
2.5 用户随意接入
用户随意拉扯网络线路,常常无意间连接時被构成回路。致使计算机不断发送路由信息和校验数据,占用网络资源,影响整体网速。
2.6 无法确认用户身份
用户上网行为不规范,盗用他人IP地址造成地址冲突。私建代理服务接入局域网造成上网用户身份确认困难。无法控制不同部门、不同身份的人使用相关的网络资源。
2.7 不能及时排除硬件故障
作为发现未知设备的主要手段,广播包在网络中起着非常重要的作用。然而,如果缺少技术手段,不能及时发现网络设备硬件故障,随着网络中计算机数量的增多,广播包的数量会急剧增加 。当广播包的数量达到30%时,网络的传输效率将会明显下降。计算机网卡或网络设备损坏后,会不停地发送广播包,从而导致广播风暴。因此,当网络设备硬件有故障时也会引起网速变慢,不及时排除会使网络通信陷于瘫痪。
3 安全网络基本要求
安全的网络环境体现在:
3.1 信息完整防止篡改
为保证信息正确、完整,在被传的信息中应加入一定的冗余信息,当发现数据单元被修改或数据次序被修改时,可进行恢复。
3.2 数据安全防止泄密
加密分为文件加密和传输加密,传输加密主要有链路加密、节点加密和端到端加密。链路加密是链路上数据都以密文形式出现。节点加密对源节点到目的节点间的传输链路提供保护。端到端加密对源端用户到终端用户的数据提供保护。
3.3 身份确认防止伪冒
身份鉴别包括通信双方是否合法,一般通过交换信息方式来确认。数字证书和数字签名是网络系统确认用户身份证明的主要手段。数字证书是一种用户被授权购买的可验证用户身份的电子文件,数字签名是采用一种算法对通过网络传送的信息实现签名。
3.4 状态监控防止非法
通过截取网络中的数据,解包分析,以实现信息监控,它可以根据IP地址或MAC地址和端口号进行监控,还可用自己定义的安全规则进行验证,判断连接状态的合法性。
3.5 访问行为可以控制
用事先制定好的规则确定主体对客体的访问是否合法,防止非授权的访问。
4 安全可控网的实现方式
要实现可以控制从外部网络访问内部网络、或从内部网络访问外部网络的方式。可以采用边缘路由器,也可以是专用硬件防火墙。通常位于内部网与Internet网的连接处,充当网络访问的唯一切入点,期望隔断外来攻击。值得注意的是,在校园网内有相当数量的学生计算机相关技术比较高,好奇、侵入探测欲望非常重。相比来自外部的攻击,来自内网的攻击往往更为可怕,威胁更大。
依照OSI的七层模型,网络安全也贯穿在不同层次上,安全规则分为链路层安全、网络层安全、传输层安全、应用层安全的不同策略。为此,可针对不同上网群体和特点,在内网拓扑的不同层面设备上实施用户行为控制和信息过滤的安全措施。
4.1 关健设备IP地址与MAC地址绑定
校园网过去曾发生过因网络用户盗用服务器IP地址而造成服务中断,因盗用交换机的网关地址而造成整个网段瘫痪的安全事件。为防止该类事件发生,可以将一些关健的应用服务器IP地址与MAC地址绑定,将一些VLAN网关的IP地址与网关接口的MAC地址绑定。MAC地址是我们通常所说的物理地址、硬件地址、适配器地址或网卡地址。由于MAC地址具有基于网络设备ID的唯一特征,因此通过地址绑定,可以有效地杜绝了上述现象。并且不会对网络性能造成影响,网络配置相对简单。另一方面,因为要求网络管理员必须明确网络中每个网络设备的MAC地址,并要根据要求进行配置,且当某个网络设备的网卡发生变化,或是物理位置变化时要对系统进行重新配置,所以采用MAC地址绑定仅适合用于少数关健设备。对于网管员来说,伴随着网络设备数量的不断扩大,维护工作量也在不断增加。
4.2 VLAN划分的隔离
虚拟局域网(VLAN)划分是为了避免当内网的设备数量增加到一定程度后,众多的网络广播报文消耗大量的网络带宽,使得真正的数据传递受到大的影响。避免给园区核心设备造成争夺资源压力。同时,通过用支持VLAN的交换机阻隔不同组内网络设备间的数据交换来达到网络安全的目的。是确保安全性高的部门其敏感数据不被随意访问而采用一种相互隔离子网的方法。通过VALN技术,可以把一个网络系统中的众多网络设备分成若干个虚拟的“工作组”,组和组之间的网络设备在二层上互相隔离 ,该方式允许同一VLAN上的用户互相通信,而处于不同VLAN的用户之间在链路层上是断开的,只能通过三层路由器才能访问。
由于VALN技术是基于二层和三层之间的隔离技术,可被用于网络安全,可以针对不同的用户群体和不同的网络资源进行分组。 例如:学校有行政办公的OA和教学教务、电子图书资料等网络资源,其中行政办公的OA主要是教职工使用,与学生无关。而教学教务、电子图书资料等面向全体校内师生。为此,在交换机上划分了学生群的VLAN和行政人员的VLAN,并给不同的网络资源权限,确保OA资源只能由本组用户访问。
4.3 访问控制进行信息过滤
访问控制列表(ACL)是一种基于包过滤的流向控制技术。标准访问控制列表通过把源地址、目的地址以及端口号作为数据包检查的基本元素,过滤规则以表格的形式表示,其中包括以某种次序排列的条件和动作序列。收到的数据包将按照从前至后的顺序与表格中每行的条件比较,直到满足某一行的条件,然后执行相应的动作(转发或舍弃)。访问控制列表过去通常应用在局域网络的出口控制,企业通过实施访问控制可以有效地控制哪些员工可以访问Internet,员工可以访问哪些Internet站点,员工可以在什么时候访问Internet,员工可以利用Internet得到什么服务而不从事其它活动等。访问控制列表执行时与次序有关,建立时应该要仔细考虑。
例如:某公司有一个B 类地址 120.8.0.0,它不希望Internet 上的外部用户对它进行访问。但是,该公司网中有一个子网120.8.8.0 正用于和某大学合作开发项目,该大学有一个B 类地址130.6.0.0 ,并希望大学的各个子网都能访问120.8.8.0 子网。
同时又由于130.6.6.0 子网中存在着不安全因素,因此,它除了能访问120.8.8.0 子网之外,不能访问公司网中的其它子网。为了简单起见,假定只考虑从大学到公司的数据包所需规则集情况:
规则源地址目的地址 动作
A 130.6.0.0 120.8.8.0 permit
B 130.6.6.0 120.8.0.0deny
C 0.0.0.00.0.0.0 deny
其中0.0.0.0 代表任何地址,规则C 是缺省规则,若没有其它的规则可满足,则应用此规则。如果还考虑从公司到大学的数据包,相对称的规则应加入到此表格中,即源地址与目的地址对调,再定义相应的动作。
现在,我们若以ABC 的顺序来应用规则的Router 能达到预想的结果,而以BAC 的顺序来应用规则,则不能达到预计的目的。因为根据规则B,从130.6.6.0 子网到公司网的数据包都被拒绝,原希望从130.6.6.0 子网到120.8.8.0 子网的数据能被转发,而无法做到。实际上,在建立上面规则时存在着一个小错误,正是由于这个错误,导致了以ABC 的顺序和以BAC 的顺序来应用规则会出现了不同的结果。规则B 似乎用于拒绝130.6.6.0 子网访问公司网,但实际上这是多余的。规则C 能完成上述功能。
访问控制列表不仅可控制地址间的访问,还可用作对信息资源过滤,进而保障局域网的安全性。例如内网有许多用户被感染病毒,同时又有许多用户在使用QQ和代理服务器,致使内网病毒泛滥占用网络资源网速极慢。经分析是因为QQ登录使用了TCP/UDP8080两个端口,还有可能使用到udp/4000进行通讯。而且软件支持代理服务。目前的代理服务器主要布署在TCP 8080、TCP 3128(HTTP代理)和TCP1080(socks)这三个端口上,病毒泛滥主要是利用了444、134、135、138、9999等TPC/UDP协议端口,通过建立ACL可以对信息资源过滤。
access-list 101 deny tcp 210.43.112.0 0.0.240.255anyeq 8080
access-list 101 deny udp 210.43.112.0 0.0.240.255anyeq 8080
access-list 101 deny udp 210.43.112.0 0.0.240.255anyeq 4000
access-list 101 deny tcp 210.43.112.0 0.0.240.255anyeq 1080
access-list 101 deny tcp 210.43.112.0 0.0.240.255anyeq 3128
access-list 101 deny udp 210.43.112.0 0.0.240.255anyeq 445
access-list 101 deny tcp 210.43.112.0 0.0.240.255anyeq 1433
access-list 101 deny tcp 210.43.112.0 0.0.240.255anyeq 138
access-list 101 deny udp 210.43.112.0 0.0.240.255anyeq 1433
access-list 101 deny tcp 210.43.112.0 0.0.240.255anyeq 9999
…………
然后,在問题严重的虚网上应用以上规则:
int vlan 22
ip access-group 101 out
…………
int vlan 101
ip access-group 101 out
……
有效的解决了上述问题。
需要注意的是扩展ACL不仅读取IP包头的源地址/目的地址,还要读取包头中的源端口和目的端口,在没有硬件ACL加速情况下,会消耗大量的CPU资源。另外,维护访问控制列表不仅耗时,而且由于访问控制列表的策略性也非常强,与网络的整体规划有很大的关系。因此,是否采用访问控制列表以及在多大程度上利用它,只能是管理效益与网络安全之间的一个权衡。同时还要分析符合条件的数据流的路径,寻找一个最适合进行控制的位置。
4.4 加强身份认证,进行用户行为控制
ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到用户行为控制目的,还需要和系统级及应用级的访问权限控制结合使用。一些上网认证软件、邮件过滤网关、网管系统软件、防火墙及其它安全产品都有不同的可对用户身份审核和控制强制断网的功能。特别是PKI和PMI技术的出现和不断成熟,使得上网用户的身份确认以及要按不同用户授予不同应用权限的行为管理已经变为现实,采用不同的策略管理,给予不同的资源访问权限是实现电子商务、电子政务应用的主要技术手段。
5 结束语
随着园区网络建设的不断扩大和网络应用的深入,安全问题已成为不可忽视的问题,通过以上防范措施,在局域网不仅可阻止来自外网的威协,又防范了来自内网的攻击。能够满足办公、教学以及学生上网的多种正常需求,网管人员可保证对网络信息的监控和管理,对上网人员的行为监督控制。
参考文献:
[1] 杨家海,任宪坤,王沛瑜.网络管理原理与实现技术[M].北京:清华大学出版社,2000.
[2] 芩贤道,安常青.网络管理协议及应用开发[M].北京:清华大学出版社,1998.
[3] 张德庆.Internet网络安全管理研究[M].计算机应用,2001,21(8):43-45.
关键词:网络;隐患;信息;行为控制;过滤;安全;规则;配置
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)32-1093-03
Research of Communication Networks on Safety and Control
LIANG Bing1,LIAO Xiang-bai2
(1.Library of South China University, Hengyang 421001,China; 2.Electric Engineering Institute of South China University, Hengyang 421001,China)
Abstract: The significance of building a safety system at the LAN is described, and the effects are summarized for uncontrollable communication in this paper .To build up a university campus network’s measure and practice that can control and filtrate communication is discussed,moreover performance effect analyse is discussed.
Key words: network; hidden trouble; information; action control; filtration; safety; rule; configuration
1 引言
目前许多学校网络都接有多个运营网出口,上网电脑数量多,网络结构复杂,流量大,稳定性要求高。而另一方面,由于网络应用滞后、运营意识不足,普遍都存在“重扩网使用,轻安全管理”的倾向,常常都是在内部网与互联网之间放一个防火墙就万事大吉,有的甚至直接连到互联网。这就为病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等安全隐患只要发生一次,对整个网络都将是致命性的,所以网络的安全已成为一个不可忽视的问题。
2 内网管理的失控现象
对于一个已建成的局域网,如果缺乏上网的有效监控和日志,没有有效的安全预警手段和防范措施,上网用户的身份不能被识别,网络就会存在极大的安全隐患,造成网络管理失控,具体表现在以下几点:
2.1 不健康的信息缺乏过滤
各类反动、色情、暴力等有害信息可以通过电子邮件、论坛、留言板、聊天软件、文件传输、网页浏览等载体蔓延,对网络上出现的有害信息缺乏收集机制及处置措施,往往到出事后才亡羊补牢,令学校管理者防不胜防。
2.2 病毒泛滥
一些计算机病毒和攻击性程序可以在网页上附加恶意脚本,当浏览该网页时,脚本病毒感染计算机,进而感染全网络,危害网络安全。通过E-mail散发的蠕虫病毒对网络速度的影响越来越严重,危害极大。被病毒感染的用户电脑会选择个人电脑通讯簿中的随机地址进行邮件发送。成百上千的垃圾邮件被群发,有的又会被成批地退回来堆在服务器上。造成个别骨干网拥塞,网速明显变慢,局域网端口连接数急剧增加,设备处理不堪重负近于瘫痪。
2.3 无用信息耗尽网络资源
校内应用服务不规范,大量的垃圾信息、有害信息利用资源共享等途径进入到用户终端和含有漏洞的各种应用服务器,致使硬件资源耗尽而死机。
2.4 不能及时反馈信息
网管人员对上网情况无从了解,缺乏必要有效的技术措施。面对网络中的一些设备端口形成瓶颈导致网速变慢的情况,不能及时得到信息反馈和技术处置。
2.5 用户随意接入
用户随意拉扯网络线路,常常无意间连接時被构成回路。致使计算机不断发送路由信息和校验数据,占用网络资源,影响整体网速。
2.6 无法确认用户身份
用户上网行为不规范,盗用他人IP地址造成地址冲突。私建代理服务接入局域网造成上网用户身份确认困难。无法控制不同部门、不同身份的人使用相关的网络资源。
2.7 不能及时排除硬件故障
作为发现未知设备的主要手段,广播包在网络中起着非常重要的作用。然而,如果缺少技术手段,不能及时发现网络设备硬件故障,随着网络中计算机数量的增多,广播包的数量会急剧增加 。当广播包的数量达到30%时,网络的传输效率将会明显下降。计算机网卡或网络设备损坏后,会不停地发送广播包,从而导致广播风暴。因此,当网络设备硬件有故障时也会引起网速变慢,不及时排除会使网络通信陷于瘫痪。
3 安全网络基本要求
安全的网络环境体现在:
3.1 信息完整防止篡改
为保证信息正确、完整,在被传的信息中应加入一定的冗余信息,当发现数据单元被修改或数据次序被修改时,可进行恢复。
3.2 数据安全防止泄密
加密分为文件加密和传输加密,传输加密主要有链路加密、节点加密和端到端加密。链路加密是链路上数据都以密文形式出现。节点加密对源节点到目的节点间的传输链路提供保护。端到端加密对源端用户到终端用户的数据提供保护。
3.3 身份确认防止伪冒
身份鉴别包括通信双方是否合法,一般通过交换信息方式来确认。数字证书和数字签名是网络系统确认用户身份证明的主要手段。数字证书是一种用户被授权购买的可验证用户身份的电子文件,数字签名是采用一种算法对通过网络传送的信息实现签名。
3.4 状态监控防止非法
通过截取网络中的数据,解包分析,以实现信息监控,它可以根据IP地址或MAC地址和端口号进行监控,还可用自己定义的安全规则进行验证,判断连接状态的合法性。
3.5 访问行为可以控制
用事先制定好的规则确定主体对客体的访问是否合法,防止非授权的访问。
4 安全可控网的实现方式
要实现可以控制从外部网络访问内部网络、或从内部网络访问外部网络的方式。可以采用边缘路由器,也可以是专用硬件防火墙。通常位于内部网与Internet网的连接处,充当网络访问的唯一切入点,期望隔断外来攻击。值得注意的是,在校园网内有相当数量的学生计算机相关技术比较高,好奇、侵入探测欲望非常重。相比来自外部的攻击,来自内网的攻击往往更为可怕,威胁更大。
依照OSI的七层模型,网络安全也贯穿在不同层次上,安全规则分为链路层安全、网络层安全、传输层安全、应用层安全的不同策略。为此,可针对不同上网群体和特点,在内网拓扑的不同层面设备上实施用户行为控制和信息过滤的安全措施。
4.1 关健设备IP地址与MAC地址绑定
校园网过去曾发生过因网络用户盗用服务器IP地址而造成服务中断,因盗用交换机的网关地址而造成整个网段瘫痪的安全事件。为防止该类事件发生,可以将一些关健的应用服务器IP地址与MAC地址绑定,将一些VLAN网关的IP地址与网关接口的MAC地址绑定。MAC地址是我们通常所说的物理地址、硬件地址、适配器地址或网卡地址。由于MAC地址具有基于网络设备ID的唯一特征,因此通过地址绑定,可以有效地杜绝了上述现象。并且不会对网络性能造成影响,网络配置相对简单。另一方面,因为要求网络管理员必须明确网络中每个网络设备的MAC地址,并要根据要求进行配置,且当某个网络设备的网卡发生变化,或是物理位置变化时要对系统进行重新配置,所以采用MAC地址绑定仅适合用于少数关健设备。对于网管员来说,伴随着网络设备数量的不断扩大,维护工作量也在不断增加。
4.2 VLAN划分的隔离
虚拟局域网(VLAN)划分是为了避免当内网的设备数量增加到一定程度后,众多的网络广播报文消耗大量的网络带宽,使得真正的数据传递受到大的影响。避免给园区核心设备造成争夺资源压力。同时,通过用支持VLAN的交换机阻隔不同组内网络设备间的数据交换来达到网络安全的目的。是确保安全性高的部门其敏感数据不被随意访问而采用一种相互隔离子网的方法。通过VALN技术,可以把一个网络系统中的众多网络设备分成若干个虚拟的“工作组”,组和组之间的网络设备在二层上互相隔离 ,该方式允许同一VLAN上的用户互相通信,而处于不同VLAN的用户之间在链路层上是断开的,只能通过三层路由器才能访问。
由于VALN技术是基于二层和三层之间的隔离技术,可被用于网络安全,可以针对不同的用户群体和不同的网络资源进行分组。 例如:学校有行政办公的OA和教学教务、电子图书资料等网络资源,其中行政办公的OA主要是教职工使用,与学生无关。而教学教务、电子图书资料等面向全体校内师生。为此,在交换机上划分了学生群的VLAN和行政人员的VLAN,并给不同的网络资源权限,确保OA资源只能由本组用户访问。
4.3 访问控制进行信息过滤
访问控制列表(ACL)是一种基于包过滤的流向控制技术。标准访问控制列表通过把源地址、目的地址以及端口号作为数据包检查的基本元素,过滤规则以表格的形式表示,其中包括以某种次序排列的条件和动作序列。收到的数据包将按照从前至后的顺序与表格中每行的条件比较,直到满足某一行的条件,然后执行相应的动作(转发或舍弃)。访问控制列表过去通常应用在局域网络的出口控制,企业通过实施访问控制可以有效地控制哪些员工可以访问Internet,员工可以访问哪些Internet站点,员工可以在什么时候访问Internet,员工可以利用Internet得到什么服务而不从事其它活动等。访问控制列表执行时与次序有关,建立时应该要仔细考虑。
例如:某公司有一个B 类地址 120.8.0.0,它不希望Internet 上的外部用户对它进行访问。但是,该公司网中有一个子网120.8.8.0 正用于和某大学合作开发项目,该大学有一个B 类地址130.6.0.0 ,并希望大学的各个子网都能访问120.8.8.0 子网。
同时又由于130.6.6.0 子网中存在着不安全因素,因此,它除了能访问120.8.8.0 子网之外,不能访问公司网中的其它子网。为了简单起见,假定只考虑从大学到公司的数据包所需规则集情况:
规则源地址目的地址 动作
A 130.6.0.0 120.8.8.0 permit
B 130.6.6.0 120.8.0.0deny
C 0.0.0.00.0.0.0 deny
其中0.0.0.0 代表任何地址,规则C 是缺省规则,若没有其它的规则可满足,则应用此规则。如果还考虑从公司到大学的数据包,相对称的规则应加入到此表格中,即源地址与目的地址对调,再定义相应的动作。
现在,我们若以ABC 的顺序来应用规则的Router 能达到预想的结果,而以BAC 的顺序来应用规则,则不能达到预计的目的。因为根据规则B,从130.6.6.0 子网到公司网的数据包都被拒绝,原希望从130.6.6.0 子网到120.8.8.0 子网的数据能被转发,而无法做到。实际上,在建立上面规则时存在着一个小错误,正是由于这个错误,导致了以ABC 的顺序和以BAC 的顺序来应用规则会出现了不同的结果。规则B 似乎用于拒绝130.6.6.0 子网访问公司网,但实际上这是多余的。规则C 能完成上述功能。
访问控制列表不仅可控制地址间的访问,还可用作对信息资源过滤,进而保障局域网的安全性。例如内网有许多用户被感染病毒,同时又有许多用户在使用QQ和代理服务器,致使内网病毒泛滥占用网络资源网速极慢。经分析是因为QQ登录使用了TCP/UDP8080两个端口,还有可能使用到udp/4000进行通讯。而且软件支持代理服务。目前的代理服务器主要布署在TCP 8080、TCP 3128(HTTP代理)和TCP1080(socks)这三个端口上,病毒泛滥主要是利用了444、134、135、138、9999等TPC/UDP协议端口,通过建立ACL可以对信息资源过滤。
access-list 101 deny tcp 210.43.112.0 0.0.240.255anyeq 8080
access-list 101 deny udp 210.43.112.0 0.0.240.255anyeq 8080
access-list 101 deny udp 210.43.112.0 0.0.240.255anyeq 4000
access-list 101 deny tcp 210.43.112.0 0.0.240.255anyeq 1080
access-list 101 deny tcp 210.43.112.0 0.0.240.255anyeq 3128
access-list 101 deny udp 210.43.112.0 0.0.240.255anyeq 445
access-list 101 deny tcp 210.43.112.0 0.0.240.255anyeq 1433
access-list 101 deny tcp 210.43.112.0 0.0.240.255anyeq 138
access-list 101 deny udp 210.43.112.0 0.0.240.255anyeq 1433
access-list 101 deny tcp 210.43.112.0 0.0.240.255anyeq 9999
…………
然后,在問题严重的虚网上应用以上规则:
int vlan 22
ip access-group 101 out
…………
int vlan 101
ip access-group 101 out
……
有效的解决了上述问题。
需要注意的是扩展ACL不仅读取IP包头的源地址/目的地址,还要读取包头中的源端口和目的端口,在没有硬件ACL加速情况下,会消耗大量的CPU资源。另外,维护访问控制列表不仅耗时,而且由于访问控制列表的策略性也非常强,与网络的整体规划有很大的关系。因此,是否采用访问控制列表以及在多大程度上利用它,只能是管理效益与网络安全之间的一个权衡。同时还要分析符合条件的数据流的路径,寻找一个最适合进行控制的位置。
4.4 加强身份认证,进行用户行为控制
ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到用户行为控制目的,还需要和系统级及应用级的访问权限控制结合使用。一些上网认证软件、邮件过滤网关、网管系统软件、防火墙及其它安全产品都有不同的可对用户身份审核和控制强制断网的功能。特别是PKI和PMI技术的出现和不断成熟,使得上网用户的身份确认以及要按不同用户授予不同应用权限的行为管理已经变为现实,采用不同的策略管理,给予不同的资源访问权限是实现电子商务、电子政务应用的主要技术手段。
5 结束语
随着园区网络建设的不断扩大和网络应用的深入,安全问题已成为不可忽视的问题,通过以上防范措施,在局域网不仅可阻止来自外网的威协,又防范了来自内网的攻击。能够满足办公、教学以及学生上网的多种正常需求,网管人员可保证对网络信息的监控和管理,对上网人员的行为监督控制。
参考文献:
[1] 杨家海,任宪坤,王沛瑜.网络管理原理与实现技术[M].北京:清华大学出版社,2000.
[2] 芩贤道,安常青.网络管理协议及应用开发[M].北京:清华大学出版社,1998.
[3] 张德庆.Internet网络安全管理研究[M].计算机应用,2001,21(8):43-45.