王安娜

摘 要 影响网络安全的事件很多，文章从网络的基本模型OSI和TCP/IP开始分析，讨论每一层可能出现的问题并给出相应的防范建议。

关键词 网络安全；TCP/IP；OSI

中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2014）07-0183-01

从2013年斯诺登事件爆发以来，世界各国都开始重新审视互联网络安全。我国也于2014年2月27号，从国家层面上，宣布成立中央网络安全和信息化领导小组，国家主席习近平任领导小组组长。今年两会，中央网络安全和信息化领导小组一次会议，习近平首次提出建设“网络强国”的战略要求。

对网络安全的讨论不能浮于网络安全事件本身，应该从网络通信协议OSI七层模型和TCP/IP的四层网络模型谈起。

1 OSI七层和TCP/IP四层概述

OSI（Open System Interconnection），即开放互联模型。它是互联网通信的基础模型，逻辑上将网络协议划分为七层。模型的设计严格遵守着各层之间边界清晰，每层实现协议传输的特定功能的设计原则。

OSI七层模型分别为：Physical Layer物理层；Data Link Layer数据链路层；Network Layer网络层；Transport Layer传输层；Session Layer会话层；Presentation Layer表示层和Application Layer应用层。

TCP/IP模型晚于OSI模型，它是随着TCP（Transmission Control Protocol 传输控制协议）和IP（Internet Protocol网际协议）产生之后继而发展来的模型，现在已然成为现今互联网通信所必须遵守的协议组。

TCP/IP模型分别Data Link Layer数据链路层；Network Layer网络层；Transport Layer传输层和Application Layer应用层。TCP/IP模型的特点是：将OSI复杂的七层结构简化成了四层，每一层所包括的协议，实现的功能更多，在实际的网络应用更加的简单，但是结构上不够清晰。

可以简单的将TCP/IP的数据链路层理解为OSI的物理层与数据链路层；而TCP/IP的应用层包括OSI的上三层（会话层、表示层、应用层）。

2 模型隐藏的网络安全问题

1）物理层安全问题。物理层是为信息传输所涉及的传输介质，包括网线、光纤等。它是计算机与计算机之间，网络与网络之间的实体接口。物理层的网络安全是基础性的安全，一个网络应用的再好，上层的协议、措施再得当，一旦最底层的物理安全出现了问题，“上层建筑”迟早是会倾倒的。物理层的不安全主要表现在不同网络之间传输时，物理线路的隔离问题。

2）链路层安全问题。链路层网络安全，也常被叫做二层网络安全。在链路层上常出现ARP攻击、DHCP攻击、VLAN攻击等。它们都是利用了二层网络协议的特点进行的非法攻击，一旦攻击成功，网络将会出现大面积的断网或反应出网速慢，时断时续。

3）网络层安全问题。网络层的功能是实现路由的选择、流量控制和拥挤控制等。从功能上分析，网络的路由选择将是该层可能出现的最大的安全隐患，另外大流量的应用，也可能造成网络的堵塞，出现网络瘫痪的现象。

4）传输层安全问题。传输层实现了主机端到端的连接，其中连接方式有两种TCP（面向连接）和UDP（无连接的）。大部分hacker都是通过扫描网络中开放的端口来获取网络的访问权限，进而发动网络攻击。

5）会话、表示、应用层安全问题。上三层（会话、表示、应用层）的网络安全可谓是无孔不入，恶意软件传播、僵尸病毒、恶意URL、钓鱼网站、垃圾邮件等等都无时无刻不在侵袭着网络应用的安全。

3 网络安全的防范手段

1）物理层网络防范。对于物理层网络安全，最好的防范措施是针对不同性质的网络规划时使用独立的光纤线路，做到物理的隔离。公共互联网络是一张大网，供人们在上面休闲娱乐、学习、生活等，而例如政策的办公网，公安、法院、检察院的司法网，国税、地税的公务网，银行的金融网，军队的军训网都应该独立运行，从物理线路上进行绝对的隔离。

2）链路层安全防范。针对链路层的网络安全，我们要分门别类的进行防范。

ARP攻击的防范主要通过三个途径：一是主机本身，在主机上利用Miscosoft操作系统的ARP工具进行静态绑定，将计算机的下一跳网关等重要的设备进行绑定；二是通过交换机的端口进行IP地址、MAC地址、交换机端口的绑定，实现端口的安全；三是在交换机上启动dot1x协议，实现计算机的准入

认证。

通过Windows 2003或2008操作系统建立DHCP服务器，Snooping过滤来自网络中非法DHCP服务器或其他设备的非信任DHCP响应报文，实现用户主机的IP安全分配。

防范VLAN洪攻击（VTP）最有效的方式是关闭二层交换机的DTP功能，将交换机互联端口设置为Trunk。可以通过设置VTP密码和VTP密码的管理来防范VTP攻击。

3）网络层安全防范。从路由的选择入手，为每个三层设备（如三层交换机、路由器、具有路由功能的防火墙、入侵防御系统等）设置正确的route list，并检测是否有环路的产生。可用windows自带的tracert命令，跟踪路由，查看是否有两个地址之间，不断反复的成为对方下一跳。

例如：

3 3 ms 40 ms 16 ms 172.20.1.217

4 3 ms 2 ms 2 ms 172.20.2.108

5 3 ms 40 ms 16 ms 172.20.1.217

6 3 ms 2 ms 2 ms 172.20.2.108

....... ....... .......

这就可以判断出172.20.1.217和172.20.2.108中的路由表产生了环路。

此外，可通过网络层的ACL来严格定义，数据的访问控制和数据流向，做到高安全级别的管控，实现不同安全域之间的数据访问。

4）传输层安全防范。进行传输层的网络防范有效的方法是，在网络的边界出口设置硬件防火墙和用户主机上安装软件防火墙，防火墙采用白名单机制，仅开放必要的端口及服务。

5）会话、表示、应用层安全防范。网络的防范手段是采用IPS或IDS与防火墙联动，实现4-7层的应用告警及阻断，在单位的网页服务器前部署Web应用服务系统，防网页篡改、SQL注入、DDOS攻击等。

另外，计算机用户要保持良好的上网习惯，非法网站、陌生邮件不要打开，软件需从正规的官方网站下载。

参考文献

[1]许鹏，张继栋.通俗讲解OSI七层协议参考模型[J].华章，2009（18）.

[2]王群.链路层安全隐患及防范技术[J].电子技术应用，2011，37（4）.endprint