從OSI、TCP/IP探討網絡安全

王安娜

摘 要 影響網絡安全的事件很多，文章從網絡的基本模型OSI和TCP/IP開始分析，討論每一層可能出現的問題并給出相應的防范建議。

關鍵詞 網絡安全；TCP/IP；OSI

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）07-0183-01

從2013年斯諾登事件爆發以來，世界各國都開始重新審視互聯網絡安全。我國也于2014年2月27號，從國家層面上，宣布成立中央網絡安全和信息化領導小組，國家主席習近平任領導小組組長。今年兩會，中央網絡安全和信息化領導小組一次會議，習近平首次提出建設“網絡強國”的戰略要求。

對網絡安全的討論不能浮于網絡安全事件本身，應該從網絡通信協議OSI七層模型和TCP/IP的四層網絡模型談起。

1 OSI七層和TCP/IP四層概述

OSI（Open System Interconnection），即開放互聯模型。它是互聯網通信的基礎模型，邏輯上將網絡協議劃分為七層。模型的設計嚴格遵守著各層之間邊界清晰，每層實現協議傳輸的特定功能的設計原則。

OSI七層模型分別為：Physical Layer物理層；Data Link Layer數據鏈路層；Network Layer網絡層；Transport Layer傳輸層；Session Layer會話層；Presentation Layer表示層和Application Layer應用層。

TCP/IP模型晚于OSI模型，它是隨著TCP（Transmission Control Protocol 傳輸控制協議）和IP（Internet Protocol網際協議）產生之后繼而發展來的模型，現在已然成為現今互聯網通信所必須遵守的協議組。

TCP/IP模型分別Data Link Layer數據鏈路層；Network Layer網絡層；Transport Layer傳輸層和Application Layer應用層。TCP/IP模型的特點是：將OSI復雜的七層結構簡化成了四層，每一層所包括的協議，實現的功能更多，在實際的網絡應用更加的簡單，但是結構上不夠清晰。

可以簡單的將TCP/IP的數據鏈路層理解為OSI的物理層與數據鏈路層；而TCP/IP的應用層包括OSI的上三層（會話層、表示層、應用層）。

2 模型隱藏的網絡安全問題

1）物理層安全問題。物理層是為信息傳輸所涉及的傳輸介質，包括網線、光纖等。它是計算機與計算機之間，網絡與網絡之間的實體接口。物理層的網絡安全是基礎性的安全，一個網絡應用的再好，上層的協議、措施再得當，一旦最底層的物理安全出現了問題，“上層建筑”遲早是會傾倒的。物理層的不安全主要表現在不同網絡之間傳輸時，物理線路的隔離問題。

2）鏈路層安全問題。鏈路層網絡安全，也常被叫做二層網絡安全。在鏈路層上常出現ARP攻擊、DHCP攻擊、VLAN攻擊等。它們都是利用了二層網絡協議的特點進行的非法攻擊，一旦攻擊成功，網絡將會出現大面積的斷網或反應出網速慢，時斷時續。

3）網絡層安全問題。網絡層的功能是實現路由的選擇、流量控制和擁擠控制等。從功能上分析，網絡的路由選擇將是該層可能出現的最大的安全隱患，另外大流量的應用，也可能造成網絡的堵塞，出現網絡癱瘓的現象。

4）傳輸層安全問題。傳輸層實現了主機端到端的連接，其中連接方式有兩種TCP（面向連接）和UDP（無連接的）。大部分hacker都是通過掃描網絡中開放的端口來獲取網絡的訪問權限，進而發動網絡攻擊。

5）會話、表示、應用層安全問題。上三層（會話、表示、應用層）的網絡安全可謂是無孔不入，惡意軟件傳播、僵尸病毒、惡意URL、釣魚網站、垃圾郵件等等都無時無刻不在侵襲著網絡應用的安全。

3 網絡安全的防范手段

1）物理層網絡防范。對于物理層網絡安全，最好的防范措施是針對不同性質的網絡規劃時使用獨立的光纖線路，做到物理的隔離。公共互聯網絡是一張大網，供人們在上面休閑娛樂、學習、生活等，而例如政策的辦公網，公安、法院、檢察院的司法網，國稅、地稅的公務網，銀行的金融網，軍隊的軍訓網都應該獨立運行，從物理線路上進行絕對的隔離。

2）鏈路層安全防范。針對鏈路層的網絡安全，我們要分門別類的進行防范。

ARP攻擊的防范主要通過三個途徑：一是主機本身，在主機上利用Miscosoft操作系統的ARP工具進行靜態綁定，將計算機的下一跳網關等重要的設備進行綁定；二是通過交換機的端口進行IP地址、MAC地址、交換機端口的綁定，實現端口的安全；三是在交換機上啟動dot1x協議，實現計算機的準入

認證。

通過Windows 2003或2008操作系統建立DHCP服務器，Snooping過濾來自網絡中非法DHCP服務器或其他設備的非信任DHCP響應報文，實現用戶主機的IP安全分配。

防范VLAN洪攻擊（VTP）最有效的方式是關閉二層交換機的DTP功能，將交換機互聯端口設置為Trunk。可以通過設置VTP密碼和VTP密碼的管理來防范VTP攻擊。

3）網絡層安全防范。從路由的選擇入手，為每個三層設備（如三層交換機、路由器、具有路由功能的防火墻、入侵防御系統等）設置正確的route list，并檢測是否有環路的產生。可用windows自帶的tracert命令，跟蹤路由，查看是否有兩個地址之間，不斷反復的成為對方下一跳。

例如：

3 3 ms 40 ms 16 ms 172.20.1.217

4 3 ms 2 ms 2 ms 172.20.2.108

5 3 ms 40 ms 16 ms 172.20.1.217

6 3 ms 2 ms 2 ms 172.20.2.108

....... ....... .......

這就可以判斷出172.20.1.217和172.20.2.108中的路由表產生了環路。

此外，可通過網絡層的ACL來嚴格定義，數據的訪問控制和數據流向，做到高安全級別的管控，實現不同安全域之間的數據訪問。

4）傳輸層安全防范。進行傳輸層的網絡防范有效的方法是，在網絡的邊界出口設置硬件防火墻和用戶主機上安裝軟件防火墻，防火墻采用白名單機制，僅開放必要的端口及服務。

5）會話、表示、應用層安全防范。網絡的防范手段是采用IPS或IDS與防火墻聯動，實現4-7層的應用告警及阻斷，在單位的網頁服務器前部署Web應用服務系統，防網頁篡改、SQL注入、DDOS攻擊等。

另外，計算機用戶要保持良好的上網習慣，非法網站、陌生郵件不要打開，軟件需從正規的官方網站下載。

參考文獻

[1]許鵬，張繼棟.通俗講解OSI七層協議參考模型[J].華章，2009（18）.

[2]王群.鏈路層安全隱患及防范技術[J].電子技術應用，2011，37（4）.endprint