Ｉｎｔｒａｎｅｔ安全體系研究與仿真

摘要：該文闡述了Intranet安全體系的重要性，介紹了體系的構建原則和實現原理，并對他們進行仿真比較。

關鍵詞：Intranet安全體系；仿真實驗；OPNET

中圖分類號：TP309 文獻標識碼：A文章編號：1009-3044(2008)35-2317-02

Intranet Security System Research and Simulation

GAO Fang

(Zhengzhou Anran IC Equipment Limited Company， Zhengzhou 450000， China)

Abstract: This article elaborate the importance of the Intranet security system， and introduce the construction and achievement principle of the system， and carry on the simulated comparison to them.

Key words: intranet security system; simulation testing; OPNET

1 引言

Intranet 是基于Internet TCP/IP 協議，使用環球網WWW工具，采用防止外界侵入的安全措施，為企業內部服務，并有連接Internet 功能的企業內部網絡。Intranet通過防火墻（firewall)與Intranet相隔離，企業內部的員工能夠方便的進入Intranet，但未經授權的用戶則不得進入Intranet。

Intranet與Internet的最大區別就在于它的安全性。Intranet確保所有允許的連接，而把其他網絡用戶拒絕于門外，從而保證了敏感而又有價值的資源不被竊取或盜用。但隨著社會的發展，Intranet和Internet之間的數據交換日益頻繁，這使得Intranet原有的安全性越來越不可靠，如何建立一個可信的Intranet安全體系正在成為人們關心的問題。本文結合長江海事局及其下屬機構的Intranet，對這個問題做了一些研究，并利用OPNET對其進行了仿真試驗。

2 安全體系的構建原則

2.1 構建Intranet安全體系的總體原則

依據企業信息技術戰略規劃，遵循“統一規劃、統一平臺、統一建設、統一管理”的原則，來建立企業級信息系統全方位的安全體系。在不影響業務處理性能，網絡性能和拓撲結構的情況下，盡量采用國內外先進的安全技術和安全產品，最大限度地保留和利用現有的安全資源。

2.2 構建Intranet安全體系的具體原則

1) 內外網物理隔離：根據國家有關規定，國家機關的Intranet與Internet必須做到物理隔離，以最大限度的保證國家政府機關的信息安全。

2) 適度安全：信息技術的發展規律告訴我們，絕對的安全是不存在的，所以，要正確評估安全需求的情況下，提出適當的安全目標，而不能盲目追求過高的安全級別。

3) 動態安全：由于信息技術的飛速發展，安全問題具有動態性，因此，安全方案的制定也不能一勞永逸，而要不斷根據具體情況做相應的調整，以適應不斷變化的安全需求。

4) 選擇合適的安全策略：通過行政手段建立完善的管理體制，包括相關的人員管理和設備管理。同時，要采取合理的技術措施，屏蔽可能的安全隱患，從而形成由內而外，從網絡到操作系統，從技術到管理的多重安全體系。

3 安全體系的實現

3.1 網絡安全

1) 在Internet和Intranet之間采取物理隔離的方式，盡可能減少存在潛在安全隱患的數據交換。單獨為Internet服務器配置其專用的防火墻，入侵檢測系統，防病毒系統，保證其在接受外部用戶訪問時的信息安全。

2) 在Intranet內部，各個子網之間通過防火墻加以隔離，每個子網都配有單獨的入侵檢測系統和防病毒系統。由于Intranet網的整體安全是建立在各子網相互信任的基礎上的，所以各子網都必須采取切實有效的手段保證其自身的安全可信，從而實現整個網絡的安全。

3.2 主機安全

在長江海事局Intranet上，長江局信息中心有網管服務器，數據庫服務器，應用服務器，unix服務器，防病毒服務器等，其下屬各分局信息中心配有應用服務器，網管/DNS服務器。為了保證這些主機的信息安全，通常采用訪問控制，入侵檢測，漏洞掃描和病毒防御等安全措施。

3.3 訪問控制

通過認證和授權措施，實現對撥號用戶，移動用戶以及重要的服務器和網絡設備的驗證和管理，并在身份識別的基礎上，根據身份對提出的資源訪問請求加以控制。通過監視和鎖定措施，使網絡管理員能實時的對網絡實施監控，對于非法訪問服務器的行為要及時報警，當各種企圖攻擊網絡的行為達到一定閥值時，要及時鎖定該用戶。

3.4 防病毒系統

為使整個Intranet沒有病毒可入侵的薄弱環節，在各子網都單獨配置了防病毒系統，并在長江局信息中心專門設置了一臺防病毒服務器，通過該服務器來統一，集中管理網絡中所有與防病毒有關的事件和任務，如防病毒客戶端的自動安裝，自動升級，自動隔離病毒和日志管理等。

3.5 備份與恢復

由于Intranet是使用TCP/IP技術構建的，因此也無法避免網絡異構的問題，該問題使Intranet的數據維護非常困難，繁瑣。因此，在長江海事局Intranet上，采用了支持國際標準的備份軟件Veritas，來實現網絡數據存儲。通過該軟件，能在分布式網絡環境下，對全網的數據備份進行集中管理，從而實現數據備份和恢復的自動化，將因安全事故造成的數據損失降到最低。

4 Intranet網絡仿真

為了驗證長江海事局Intranet的可行性，并了解使用信息安全系統對網絡性能的影響，我們采用了美國MIL3公司的網絡仿真軟件OPNET來對整個長江海事局Intranet進行了仿真試驗。

OPNET采用基于包的建模機制，模擬實際物理網絡中分組的流動，包括在網絡設備間的流動和網絡設備的處理過程。模擬實際網絡協議中的組包和拆包的過程。可以生成，編輯任何標準的或自定義的分組格式。利用DEBUG功能，還可以在模擬過程中查看任何特定分組的報頭和凈荷內容。OPNET采用離散事件驅動的模擬機理，與事件驅動相比，計算效率得到很大提高。

4.1 網絡拓撲結構

長江海事局及其下屬機構Intranet采用的是擴展星形拓撲結構，該結構是目前網絡建設中廣泛采用的一種拓撲結構，具有建設成本低，性能好，容易維護，可擴充性好等優點。在這種結構體系中，在拓撲結構的中心（長江海事局信息中心）是中心交換機，在二級中心節點（長江海事局下屬各分局）是二級交換機和HUB。中心交換機及骨干網都支持千兆位以太網，二級中心節點則為百兆以太網。在實際組網中，中心交換機采用了Cisco 6506 Switch，二級交換機采用的是Cisco 3548 Switch。

4.2 仿真實例和結果

1) 仿真目標設定：為了驗證整個長江海事局及其下屬各分局Intranet的可行性，以及在加載了安全系統后對網絡性能的影響程度，擬對下列兩個統計量進行觀察：中心交換機負載和全網網絡延時。

2) 仿真環境設定：設定Intranet在1500×1000Km的區域上構建，仿真事件為2分鐘，先進行沒有任何安全措施的Intranet仿真，然后對加載了安全體系的Intranet進行仿真。仿真試驗的網絡參數如表1。

3) 仿真結果分析：通過仿真試驗，我們可以得到使用了安全措施的圖1，和沒有使用安全措施的圖2。

通過對比仿真結果，我們可以做出如下分析：

a) 網絡延時的變化曲線一直都比較平穩，中心交換機負載的變化曲線在開始階段劇烈波動后，在40s時也逐漸平穩下來，這說明整個網絡的性能是比較穩定的，對于突發數據的適應能力也比較強。

b) 兩個統計量的變化曲線在加載安全系統前后并沒有出現大的區別，這說明安全體系的加載沒有對整個Intranet的網絡性能產生很大影響。

c) 仔細對比兩個統計量的變化曲線可以發現，加載安全系統前后還是有細微區別的，在數據突發的前期，這種區別尤為明顯，不過由于整個網絡性能很好，因此隨著時間的推移，這種區別也就逐漸減小了。

5 結束語

通過上面的仿真結果分析，我們可以得到的結論是，通過良好的網絡拓撲結構和先進的技術保障，整個Intranet的性能是比較先進的，在實際操作中也是切實可行的。加載于Intranet其上的安全體系，在保證整個網絡信息安全的同時，雖然對網絡性能有一定的影響，不過這種影響完全在可以接受的范圍之內，因此也是切實可行而且行之有效的。

參考文獻：

[1] 李臘元，李春林.計算機網絡技術[M].北京:國防工業出版社，2004.

[2] [美]Roberta Bragg/Mark Rhodes-Ousley/Keith Strassberg，等.程代偉，路曉村，池亞平.網絡安全手冊[M].北京:電子工業出版社，2005.

[3] 張銘，竇郝蕾，常春藤.OPNET Modeler與網絡仿真[M].北京:人民郵電出版社，2007.