局域網安全體系分析與設計

付文博 苗松娟 朱杰 胡麗龍 楊濤

摘要：網絡安全是網絡運營的靈魂，也是網絡設計和管理要解決的首要問題。該文緊緊圍繞局域網安全這個主題，主要提出了局域網安全體系的設計思想，結合網絡安全理論和自動控制原理，給出了一種新型的智能預警系統模型——RPRDR的設計思想，進一步完善了傳統的 P2DR網絡安全模型；依據分布式網絡安全體系思想，兼顧 IPS技術建立了局域網安全設計模型，給出了進一步優化的目標。

關鍵詞：入侵防御；防火墻；入侵檢測；虛擬蜜網

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2018）30-0020-04

Abstract：Network security is the soul of network operation，which is also the primary problem of network design and management.In this article a design idea of LAN security system was put forward arouding the topic of LAN security.We designed a new intelligence model—RPRDR for warning system，further improving traditional model----P2DR of LAN.Based on the idea of distributed network security system，the security design model of LAN is established with IPS technology，and the goal of further optimization is given。

Key words：IPS（Intrusion Prevention System）； firewall； intrusion detection； virtual honeynet

隨著網絡的普及和應用，局域網成為單位自動化辦公的主要平臺，其穩定、高效的傳輸環境是確保任務完成的重要條件。局域網是一個獨立的專用互聯網絡，它在物理上與外界是相對隔離的，局域網中大部分接入點都是在單位辦公環境內，理論上講用戶應該都是內部人員，這樣從物理和使用人員上對局域網系統起到了一定的保護作用，具備了相對較大的安全保障，在一定程度提高了局域網的安全性。但是，就網絡的高度共享和群體參與原則而言，局域網肯定也存在一些不安全因素。

1 局域網的安全隱患

1.1 重視信息共享，忽視信息保護

當前，各單位局域網的建設，均采取完全自主的形式，根據本單位的使用特點，完全自行規劃和建設。規劃和建設時，只重視應用，不重視甚至忽視網絡安全。有些單位象征性地安裝了防火墻，但是長期無法更新，結果防火墻形同虛設；有些單位則根本不采取防護措施，并將本單位的局域網直接接入上一級網絡，嚴重違反了網絡安全的基本原則。

1.2 看似物理隔離，實則掩耳盜鈴

有些單位也意識到了網絡安全的重要，因此將辦公用的局域網和外網物理隔離，每臺計算機在連接局域網的同時無法使用外網，但是同一臺計算機可以在不同時段隨意在外網和局域網之間進行切換。由于沒有制度規定和相應的控制措施，更由于網絡安全理念的不成熟，一些單位由于計算機數量的限制，造成使用人員經常將自己計算機上的網線在內外網插座之間隨時進行更換，內網辦公時將計算機網線接入內網，需要接入外網或者發電子郵件時又將網線直接接入外網，造成了極大的安全隱患。這就像一個正常人和一個有嚴重傳染性皮膚病的人共用一雙鞋子一樣，后果可想而知。

1.3 注重外部防范，忽視內部安全

由于局域網一般在辦公區域內，常常被默認為置于安全環境之下而忽略了自身的安全防范，因此，一些局域網中的計算機不按規定設置口令，或者口令設置過于簡單，容易被破解。有些局域網中的計算機操作系統的設置不合理，將硬盤或某些文件夾設置成共享狀態，這樣，非法入侵者就可以通過操作系統提供的功能非常容易地下載這些計算機硬盤上的文件。

1.4 地址分配隨機，泄密倒查困難

有些局域網的網絡管理人員為了節約網絡用戶的注冊或審核時間，更為了省事，采用局域網IP地址自動分配的方式，用戶只要將自己的計算機接入網絡就可獲得一個合法的 IP地址；有的則采用分網段方式分配 IP地址，只要用戶的 IP地址在該網段就可以進入該網絡；這些處理 IP 地址的方式隨機且沒有實名登記，都存在安全隱患，一旦出現網絡泄密事件，無從查起。

1.5 網絡縱橫互聯，一處危害全盤

為了辦公方便，也為了盡可能地發揮網絡的作用，很多上級部門要求對口的下級部門與自己的網絡相連成為縱向網；同時有些下級部門的內網通過不同的方式與多個上級部門的專用網絡相連，這樣就在物理上將這幾個網絡進行了互聯，這對重要信息的安全保密來講是非常危險的。

事實上，局域網的安全隱患還很多，本文不必一一列舉，通過以上這些方面的隱患，筆者發現，這些安全威脅的消除和防范，需要在局域網的設計之初，就開始重視。

2 局域網安全體系的設計

2.1 局域網安全體系的基本原則

從局域網既要正常辦公、高度共享，又要重視信息保護、維護網絡安全運行這一事實出發，基于系統方法論的觀點，局域網安全體系的設計思想主要應該重視以下幾個方面。

1）分層次和立體的防御

系統的硬件設施比如服務器、路由器等分布在網絡的不同節點，所承載的服務范圍和級別不同，因此安全體系的安全組件必須根據具體情況設置不同的安全策略，從而構成一個多層次、全方位、立體的安全防御體系。

2）積極和動態的防御

各個網絡節點在設置信息加密和身份認證等訪問控制手段的基礎上，要關注系統本身的安全漏洞，并設置防火墻和病毒防御體系，防止非法用戶的入侵；同時系統安全需求的變化應對各個安全策略進行動態調整；不斷更新升級防御體系，使得各個環節的安全策略具備主動和動態防御的功能。

3）實時并可控的防御

安全體系必須能夠實時檢測各種網絡攻擊和黑客入侵，并第一時間做出響應，當發現較大的系統性攻擊正在實施時，安全體系能夠自動阻擋可能出現的攻擊，情況嚴重時，管理員能夠在網絡的任一節點進入后臺，通過后臺了解和掌握目前各網絡節點的狀態，并隨時隨地進行處理，情況嚴重時能夠果斷采取措施，如切斷網絡連接等；當阻擋住網絡攻擊或病毒入侵之后，安全體系要允許并由管理員對系統遭到破壞甚至崩潰的內容及時進行安全恢復。

4）開放且協同的防御

安全體系必須是一個開放的平臺，一方面對用戶開放，一方面必須為該系統安全需求的擴展留有余地，無論是硬件你還是軟件，都必須為系統安全組件的更新留有接口，只有這樣，新老安全組件之間，同類安全組件內部、不同類安全組件之間才可以高度集成、形成合力，才可以順利實現協同和聯動，滿足安全需求的同時也降低了安全體系的成本。

2.2 分布式動態網絡安全模型的基本要求和設計思路

基于上述思想，本文提出基于IPS（Intrusion Prevention System）技術的分布式動態網絡安全模型RPRDR（Risk analysis， Policy， Reinforce，Detection & Waining，Response&Recovery;），進一步完善了傳統的P2DR（Policy，Protection，Detection，Response）模型。

1）分布式系統的基本要求

所謂分布式系統，是指為了最大限度地進行數據共享，各用戶通過有線或者無線手段，將使用單元通過網絡捆綁在一起，進而形成一個包含時空在內的四維體系。為了獲得較高的穩定性和冗余度，這樣的系統應該具備如下特征。

（1）系統內的所有合法用戶，能夠在其權限內共享系統中的各種資源，即各使用單元必須能夠高度共享；

（2）高度共享并不意味不可分離，由于系統終端是各個獨立的用戶，因此系統內的各個使用單元，均處于平等地位，在物理上能夠彼此獨立；

（3）因為處于同一網絡平臺，系統內的所有合法用戶及其使用單元，必須遵守同一網絡協議，此即各使用單元必須高度統一；

（4）每一個合法用戶并不清楚此刻系統上連接著多少個終端和使用單元，也許只有一個，也許有成千上萬個，不管咋樣，他使用系統里的資源和使用自己所屬單元里的資源沒有任何區別，也就是說，在用戶眼里，整個系統是透明的。

將安全體系融入上述分布，由于各個使用單元絕大多數處于并行狀態，當某一個使用單元癱瘓時，其他絕大多數使用單元并不會受到影響，依然能夠正常工作，整個系統依然能夠正常運行。這就以較低的使用成本創造了較高的安全效能，極大地提高了整個體系的安全性和可靠性。

2）RPRDR 網絡模型

P2DR模型簡稱動態信息安全模型，是基于TCSEC模型發展起來的、被目前業界普遍采用的安全模型之一，也是傳統計算機安全模型的主流模型。P2DR模型主要包含四個部分：安全策略、防護措施、檢測辦法、響應機制。服從于安全策略的核心指導，防護措施、檢測辦法和響應機制為網絡系統構建了一個貌似完整和動態的安全循環，以此保證整個系統的安全。如圖1所示：

P2DR模型的基本思想是基于安全策略，啟用系統檢測辦法隨時檢測系統的各種已知風險，及時做出應急響應，同時綜合調用各種防護手段對系統進行防護。但是廣義來講，安全防護永遠是一個動態的過程，隨著系統的運行和不斷發展、新軟件的出現以及連續使用、攻擊手法和技術的不斷創新，新的威脅將會不斷出現。而 P2DR 安全模型的主要因素完全依靠對現有問題的檢測，并不具備自適應功能，在盡量縮短檢測時間和響應時間的基礎上，解決問題的手段也僅僅是延長正常狀態的壽命，因此僅僅依靠 P2DR 安全模型無法解決更多的網絡安全問題。

基于上述分析，本文認為，一個完善的安全防護系統應該是在系統運行的過程中，能夠及時檢測出外界輸入給網絡的已知風險，并及時排除，還應該不斷查明潛在風險和威脅，這樣，安全系統及其網絡必須是一個在安全策略核心組件之下完全動態且高度自適應的高級系統，這樣的系統必然具有風險分析、安全防護、實時入侵監控、漏洞掃描和安全決策等一整套功能。只有這樣，才能夠將安全系統對網絡系統的加固和保護拓展為在上述功能的基礎上預先發現網絡漏洞和缺陷，并及時響應和提高免疫力。為此，本文結合網絡安全理論和自動控制原理，設計了一種具有動態自適應網絡安全的智能預警系統模型——RPRDR模型。如圖2所示：

整個模型由風險分析（Risk analysis），安全策略（Policy），系統加固（Reinforce），檢測和預警（Detection & Waining），響應與恢復（Response & Recovery）等五個部分共同組成，形成了一個動態的閉合反饋環。

2.3 安全體系的功效評估

1）局域網風險存在的綜合分析

根據上述RPRDR模型的基本要求，本文以局域網系統為例，從網絡構件的不同層面以及系統安全的不同背景，簡單進行風險分析和功效評估。

（1）物理層暨硬件設施

物理層面的安全隱患是最容易排除的隱患，但也是最基本和最重要的安全環節。物理層面的安全威脅可以直接造成設備的損壞，系統和網絡的不可用，數據的直接損壞或完全丟失等等，后果嚴重、無法彌補。其隱患主要包括連接于網絡中的各個工作站、各種服務器和交換機、各個環節的有線或無線路由器等硬件設備和通信鏈路。其安全隱患來源于水災、火災、雷擊等自然災害，包含外界的電磁干擾，設備固有的弱點或缺陷，以及人為的破壞或錯誤操作等等。

人為破壞也包括網絡攻擊者采用傳感器等手段在數據傳輸的線路上進行竊聽，獲得真實數據之后再通過另外一些技術手段篡改、偽造數據，徹底改變了數據的真實性和完整性，對網絡系統的安全使用直接構成威脅。因此，要想徹底杜絕此類泄密，就必須對數據進行加密，同時通過數字簽名及認證技術保護數據在網絡傳輸中的安全、完整和真實。

（2）網絡層暨廣域用戶

以局域網為例，基于安全，可將整個局域網分為若干子域，但以權限來分，除了服務器系統之外均可看作外網，一方面要求外網之間要有防護措施，同時服務器系統和外網之間必須有更高層次的、更加嚴格的防護措施，因為從使用角度來講，外網各用戶之間沒有太多的權限設置，相互訪問和數據共享，容易收到莫名的攻擊和威脅，存在私有信息泄露的危險，危及的只是局部。更重要的是，各外網用戶直接或間接地和服務器相連，外網用戶之間的上述威脅，使得服務器很容易成為惡意攻擊的重點目標，一旦被攻擊癱瘓，整個系統無法運行，尤其嚴重的是各個外網使用者對服務器的結構和應用特點比較熟悉，幾處外網用戶聯手同時惡意攻擊服務器，對安全防護不到位的服務器來說是最為致命的。

（3）基層暨服務器系統

網絡系統中的服務器無疑是整個網絡系統的心臟，這個層面以服務器為核心，涵蓋工作站、路由器和交換機等部分，是操作系統、數據庫和軟件運行的基本平臺。這個層面是集團黑客攻擊的主要對象，集團黑客主要利用操作系統的各種潛在漏洞對系統進行攻擊，一旦得手損失是不可估量的。

目前常見的操作系統主要有UNIX和WINDOWS，尤其對WINDOWS操作系統而言，某些漏洞可以使黑客獲得系統的管理權限，這樣，一方面，使得整個網絡的心臟被其控制，系統數據完全被竊取和篡改；另一方面，黑客可以利用被占領的服務器作為掩護，形成一種偽裝，直接訪問或攻擊與服務器同一網段的其他系統；這樣，直接訪問其他目標系統以隱藏攻擊來源，進而倍增、遞進式地對其他更遠處的目標進行更加廣泛的攻擊。

（4）病毒暨用戶和系統的疥點

計算機病毒是一種能自動附加在類目標文件上并以此為宿主而不斷擴展的惡意高級程序，其破壞性不僅體現在系統的癱瘓和數據的丟失上，更主要的是它以冪級數的形式進行擴散并具有極高的變異能力。當病毒被人為投放或通過電子郵件、移動存儲介質等途徑進入網絡系統時，一旦一臺電腦受到病毒感染，病毒便首先在此電腦中進行內部擴散，并在極短的時間內有可能在網絡中迅速擴散、傳播到網絡中的所有在途電腦，造成電腦死機、電腦硬件損壞、數據信息泄漏、核心文件丟失等等情況，人們短期內無法預測它的破壞程度。

2）安全體系所解決的主要問題

本文建立的網絡安全體系要保證內部信息系統和整個網絡的穩定運行，歸結起來，具體來講，可基本保證以下幾點：

（1）主體網絡的可用以及有效管理

系統是整個網絡的載體，為了杜絕外侵對網絡核心系統部分的控制，系統可以根據內設權限自動完成分層管理和阻隔入侵，保證內核網絡的持續有效運行，讓消耗帶寬等破壞方式無用武之地；同時，安全系統有審計和日志功能，為事后系統的全面維護提供可靠、方便的管理。

（2）身份識別和數據可控

系統能夠及時管控訪問者對關鍵體系和數據的訪問，能夠精準確認訪問者的身份，謹慎授權，同時能對任何訪問進行跟蹤記錄，并根據不同權限確定跟蹤級別，將跟蹤及時進行反饋，對威脅采取措施。

（3）數據共享和業務系統的安全運行

實體業務網絡化的最大特點就是在不同終端之間架起橋梁，為各終端提供可靠而及時的服務，這些服務不但包括整個網絡的建立和流暢運行，而且包括整個網絡平臺的維護、數據的共享和安全、各子網的有效運行等。網絡安全體系能夠阻擋非法訪問、惡意入侵和破壞，基本實現上述功能的同時，注重核心信息在存儲與傳輸時的保密性，實現了關鍵數據的絕對安全。

3）局域網的基本安全策略

本文提出的局域網的基本安全策略主要包括以下幾個方面：

（1）網絡正常運行。即使在受到攻擊的情況下，也能夠保證系統繼續運行；

（2）網絡管理/網絡傳輸的資料不被竊取；

（3）具備先進的入侵檢測和網絡預警體系；

（4）提供靈活、高效且可靠的內外通訊服務，保證通往各節點的關鍵數據加密傳輸。

2.4 兼顧 IPS 技術的安全體系結構

現階段，傳統的網絡安全技術都集中體現在系統自身的加固和防護上，通常采用配置防火墻、數據加密、身份認證和入侵檢測等等手段。然而，這些被動防護技術有許多問題和局限性，目前傳統的防火墻或早期的入侵檢測技術一般都是針對現有攻擊手段，采用基于特征匹配的方式進行工作，但是，隨著網絡攻擊技術的不斷更新，新的攻擊方法層出不窮，傳統防護技術已相對落伍。新的入侵防御技術IPS（Intrusion Prevention System）是一種主動的、積極的網絡安全防護和預警技術，它將網絡的被動防御和主動預警相結合，不僅具備了偵測與預防能力，更重要的是具備有效的告警響應與管理能力。

IPS技術的主動響應的功能可以做到一旦發現攻擊行為，立即響應，主動切斷連接。IPS中加入了密網技術，并以串聯的方式接入網絡中。這樣，不僅能彌補入侵防御系統的缺陷，而且這種主動響應功能可以直接嵌入到網絡流量中，通過一個端口接收來自外部的流量，經過檢查確認其內容是安全的之后，再通過另一端口將其傳送到內部系統。一旦檢測到某一數據流存在問題，則其后續存疑數據包，都能在 IPS設備中被直接清除。

本文設計的分布式動態網絡安全體系主要包含了防火墻技術、入侵檢測技術和密網技術以及聯動技術，以期最大限度地保證網絡系統的安全穩定。

上述分析所確定的局域網安全體系的結構如圖3所示：

根據不同的應用環境和安全需求而設計的兼顧 IPS 技術的合理安全體系，具體實施時可以分成以下三個步驟：

（1）制訂系統的安全目標。這是整個項目的開始階段，在這一階段中主要的工作是根據部局域網系統的安全需求和安全風險評估制定整體安全目標，該目標將規定了后續整個項目的指導原則。

（2）技術分析和設計。根據風險評估和安全策略，結合現有的安全技術和產品，形成網絡信息系統的整體安全解決方案。

（3）項目實施。根據方案設計的框架進行體系的實現和調試，建立一套完備可行的網絡安全體系，確保信息系統內部各類信息的完整、安全與可靠，將內部網絡與其他網絡進行隔離，避免與外部網絡的直接通訊，并將整個系統投入使用。

3 結語

本文結合網絡安全理論和自動控制原理，提出了局域網安全體系的設計思想，進一步完善了傳統的 P2DR網絡安全模型；給出了一種新型的智能預警系統模型——RPRDR安全體系模型的設計思想和局域網安全體系的基本策略；依據分布式網絡安全體系思想，兼顧 IPS技術建立了較為完善的局域網安全體系結構，同時給出了整個安全體系的設計目標。

本策略的設計理念主要基于局域網而產生，在實際應用和檢驗的同時，本文將對本策略不斷進行改進和完善，爭取實現兼顧IPS 技術的局域網并網安全體系，主要包括網絡混合防火墻、入侵檢測系統和虛擬蜜網系統，并將三者結合聯動使用，以最大限度地防止網絡入侵和惡意攻擊，讓局域網系統的安全級別不斷提升。

參考文獻：

[1] 徐敬樂，張建忠.計算機網絡[M].北京：清華大學出版社，2003.

[2] 焦樹海，李勤，李宏力.計算機安全概論[M].天津：南開大學出版社，2001.

[3] 馬曉峰等.計算機網絡安全技術[M].北京：科學出版社，2004.

[4] 卿斯漢，蔣建春.網絡攻防技術原理與實戰[M].北京：科學出版社，2009.

[5] 張千里，陳光英.網絡安全新技術[M].北京：人民郵電出版社，2010.

[6] 陳海濤，胡華平，徐傳福.動態網絡安全的框架模型[J].國防科技大學學報，2008（19）.

[7] 娜杜英等.一種基于主動防御網絡安全模型的設計與實現[J].微計算機信息，2012（22）.

[8] 黃金蓮，高會生.入侵防護系統 IPS初探[J].網絡安全技術與應用，2010（7）.

【通聯編輯：光文玲】