局域網終端監控管理系統設計與開發研究

馮喬春 云南電網有限責任公司曲靖供電局

1 前言

目前隨著網絡迅速的發展，網絡黑客給局域網系統造成了相當大的安全威脅，一旦局域網內部終端系統遭到網絡攻擊，可能會使得政府單位以及企業各種較為敏感的數據資料或者是機密信息被盜取，從而產生巨大的經濟損失。為了有效強化局域網終端的安全管理能力，必須要憑借局域網安全監控系統來查看網絡傳輸數據中是否有惡意的程序，通過局域網安全系統的協助，能夠率先發現病毒性質的數據，并且向管理者發出預警，也可以使用局域網終端監控系統誘捕侵犯的攻擊，并且對攻擊行為進行分析，增強局域網安全監控系統的防范能力，加強對各種惡意程序的入侵檢測能力。

2 局域網終端系統進行安全監控原理

在局域網系統中主要使用兩道防火墻，外部的防火墻主要與互聯網絡相互連接，設定的形式是正向標準，符合防火墻條件的數據都能夠通過，但是其余數據會被丟棄，這是局域網終端監控系統的第一道防線。在第一道防線中架設監控系統，可以檢測是否有惡意的數據，一旦發現可以立即發出警告，并且可以通過局域網監控系統聯動機制修改防火墻規則，對惡意數據的IP 連接直接切斷，這是防火墻的二道防線。

將系統設置在外部防火墻有一個優勢，就是利用外部防火墻能夠阻擋掉不符合規則的數據包，監控系統只針對進入流量進行檢查，可以有效提升網絡檢測的效率。在外部防火墻與內部防火墻之間可以架設對入侵系統攻擊者的誘捕網絡。主要是因為多數局域網終端監控系統使用誤用檢測技術，如果數據包沒有惡意特征，那就無法進行警示，就會導致漏報的行為。因此可以使用誘捕系統，主要的目的是捕獲惡意的數據資料，與安全監控系統進行聯動，使得系統自動為安全監控體系產生特征，降低漏報的概率，這是第三道防線。

當誘捕入侵系統被網絡黑客攻擊之后，攻擊者認為以他為跳板來攻擊其他終端，惡意數據包進入防火墻主機之后，可以采用正向列表的方式設置，在內部只允許符合規則的數據包，不符合的將直接丟棄。通過的數據在與入侵檢測規則相匹配，一旦發現有符合入入侵者規則的數據，那么立即發出警告，并且修改規則，封鎖相應的Ip，并能夠實時阻止攻擊。

3 主機安全機制

3.1 身份認證機制

采用身份證認證能夠有效減少非法用戶登錄對終端系統所造成的惡意攻擊。在用戶對服務器進行訪問需要提供正確的用戶賬號，密碼等，還需要身份驗證，可以設置網站目錄或者是文件等設置身份驗證，同時也可以利用互聯網信息服務，對FTP 站點和網絡進行控制。

3.2 訪問控制機制

訪問控制機制主要是指控制信息訪問的權限，對于一些非法用戶或者是沒有經過授權的用戶，如果對信息進行控制，減少可能發生的數據修改或者是破壞。對于網頁信息以及站點信息內容進行訪問控制，是服務器最終安全運行的關鍵所在，可以使用微軟相關的安全系統，對用戶訪問網頁和站點內容進行控制。用戶權限設置在特定計算機上執行操作的能力權限是與被控制對象相關聯的規則，它主要是規定哪些用戶能夠獲得訪問網頁的權利。

3.3 安全審計的機制

定制安全策略以及對進行授權驗證是這部分機制的重點內容，終端維護管理人員可以使用安全審核技術對客戶端用戶的活動進行跟蹤檢測，同時對文件目錄或者是產生未經授權的訪問，也可以及時進行跟蹤，可供審核的活動包括用戶成功或者是失敗的訪問記錄，用戶嘗試連接受訪問權限限制的賬戶，或者是嘗試執行受到限制的命令等等。

3.4 防火墻機制

防火墻機制主要包括三種，第一種是過濾防火墻，第二種是應用網關，第三種是代理服務，防火墻的體系在網絡設置中使用較為廣泛，比如說屏蔽直網型的防火墻，主要由主機和過濾路由器兩個部分組成，把服務器以及主機放置在內網與外網相互連接的小型網絡中，過濾路由器主要是用來連接外網，防止外網惡意數據的攻擊，同時它還能管理外網對于安全區域的訪問，第二個過濾路由器是用來接收主機數據的分組，它主要是用來管理內網與安全區之間的訪問。利用這種連接方式，外網是無法接觸到內部網絡的，那么對于內部網絡來說也無法接觸到外網，內部局域網只有通過代理服務的形式才能夠對外部互聯網絡進行訪問，這樣就能夠有效提升系統的整體安全防護等級，對于網絡入侵者來說，它只有通過外部主機路由器，在經過內部路由器之后才能夠嵌入到內部局域網中，因此從這個角度上來看，目前三層防火墻機制是比較安全的信息防護的手段機制。

3.5 網絡轉換的機制

網絡地址轉換機制應用非常廣泛，它主要是應用各種網絡的互聯網接入方式中，因為地址轉換機制不僅能夠有效解決Ip 地址數量不足的問題，同時還能夠有效避免外部惡意程序或者是病毒的攻擊，從而能夠有效隱藏內部的計算機免受外部的侵擾，網絡地址轉換機制部署有兩種形式，一種是根據已經存在的代理服務器來實現功能，但是這種部署形式成本比較高，同時網絡聯通的性能比較差，因此可以在路由器上來實現網絡地址的轉換。由于與互聯網相互連接的終端數量不斷增長，目前網絡Ip 地址空間資源越來越稀少，網絡地址轉換機制的實現有三種形式，第一種是靜態轉換方式，第二種是動態轉換方式，第三種是端口多路復用的方式。

3.6 Vpn 技術

Vpn 技術中加密技術是一項基本的技術，它可以使用各種加密算法實現數據通信內容的安全性，保障局域網內部數據信息不被非法的第三方獲得，能夠有效保證數據傳輸的安全性。在公開渠道上傳輸流量需要進行加密，沒有經過授權的網絡用戶無法讀取內部的信息。信息發送者在發送數據時，需要對數據進行加密，數據到達接觸者之后，接觸者在對于數據進行解密。從加密形式來看，VPn 的密碼系統可以分為兩種，一種是對稱性的密碼系統，一種是非對稱的密碼系統。關于對稱性的密碼系統來說，它的整體結構較為簡單，缺點是對于密匙的管理比較困難。比較常用的對稱加密算法，包括des，3des 等等。對于非對稱性的加密技術，它的安全性能更高，它可以對加密密匙進行公開的加密，同時還有一些顯著的缺點，比如說是加密和解密的效率比較低，很難通過硬件來實現加密。目前常用的非對稱加密算法有rsa 算法，dh 算法等等，目前普遍利用非對稱的加密技術進行身份驗證以及密匙的相互交換，加密技術主要用數據加密和解密。

4 結束語

本文對于局域網終端監控管理系統設計與開發研究主要的技術原理進行分析，探討了主機控制技術、防火墻技術以及VPn 技術等在系統設計中應用的技術，希望能夠提升局域網終端監控管理系統設計的質量，給關技術人員以借鑒和參考。