局域网组网拓扑及安全防御系统设计

2016-03-16◆袁超

网络安全技术与应用 2016年8期

关键词：木马局域网服务器

◆袁超

（泰安市气象局山东 271000）

局域网组网拓扑及安全防御系统设计

◆袁超

（泰安市气象局山东 271000）

互联网、云计算和大数据技术的快速普及和发展，促进了信息化技术在电子政务、金融证券、电力通信等领域的广泛普及和使用，构建了功能完善、可扩展性强、安全性高的局域网，并且引入了云计算技术优化局域网拓扑结构，提高了路由转发数据信息的速度和效率，同时引入了安全风险评估、入侵检测、多层主动安全保护技术，进一步提升了局域网的安全防御性能。

局域网；拓扑结构；风险评估；入侵检测

0 引言

互联网、大数据、云计算、数据库等技术的快速发展和改进大大提高了人类社会的信息化水平，实现了信息共享、协同办公、智能控制等方面的功能，有效改进了人们工作、生活和学习的环境，具有重要的作用和意义。局域网承载着各类型的信息化系统，这些系统接入的用户数以千万计，因此为了提高信息化系统的防护能力，防止由于多用户并发访问系统而造成的系统崩溃、数据丢失，可以结合当前的云计算、大数据、智能存储等技术优化网络拓扑结构，提高网络系统防御能力。

1 局域网组网拓扑架构设计

局域网承载的信息化系统较多，这些信息运行积累了海量的数据资源。构建一个强大的智能数据存储系统，以提高系统并发访问能力，利用先进的虚拟化、重定向、数据迁移实现网络数据共享，具有重要的作用。

1.1 虚拟化技术

大数据时代，局域网建设最为关键的技术是虚拟化，虚拟化可以提高局域网硬件利用率，把应用程序及其运行所需的数据独立出来，按照不同的分配策略赋予用户逻辑存储空间，这样就可以均衡局域网负载，实时地监控数据资源的使用状态，提高数据中心的利用率。

1.2 数据和程序隔离

局域网承载的应用程序和用户较多，不同的用户需要访问关联的数据，因此亟需采用先进的应用程序和数据隔离技术，以保证局域网用户信息的完整性、逻辑独立性，保证应用进程、动态链接库、应用内容能够独立运行，不会影响其他服务器或应用程序的执行。

1.3 数据迁移技术

局域网存储服务器空间被划分为不同的访问优先级，建设的成本也不同。一般来讲，局域网服务器可以判断用户程序和数据的访问频次，根据访问频次实现动态迁移，将访问频次较高的数据放置在优先级较高的位置，同时也可以将访问频次较少的数据迁移到优先级较低的位置。

1.4 平台支持技术

局域网建设过程中，为了提高数据传输、交换和共享能力，局域网采用ESB（企业数据交换总线）技术可以注册多种业务，这些业务可以实现异构系统数据共享；利用Mapreduce技术实现数据的分片存储，能够提高系统的利用率，进一步改善局域网迁移能力。

因此，为了加强局域网服务器的应用功能，可以采用三层网络架构，分别是数据核心交换层、单元交换子层和服务器层。系统组网采用层次化设计原则，将不同的功能和应用部署于不同的层面，便于管理和数据交流，易于对故障点做出准确判断和解决故障。

（1）数据核心交换层。局域网的数据核心交换层可以管理网络的核心资源，优化骨干网络的数据传输，构建一个带宽较高的通信网络，提高网络的可靠性。

（2）单元交换子层。局域网的单元交换子层可以按照不同的区域进行应用服务划分，也可以根据不同的MAC地址、IP地址等划分网络传输单元，每一个单元都可以支持VLAN功能，保证网络的灵活性和易管理性。

（3）服务器。局域网承载的业务较多，每一类业务都包括海量的数据资源和应用程序，组建局域网时已经购买了Web服务器、数据服务器，这些服务器构成了一个完善的簇群，能够进行逻辑业务请求解析、数据加工处理，并且可以将相关的处理结果集成封装在一起，反馈给用户。

2 局域网安全防御系统设计

随着局域网的普及和应用，安全威胁也在迅速地增大，给人们带来了严重的危害，局域网安全威胁已经呈现出了攻击渠道多样化、攻击隐藏长期化、威胁智能化等特点。局域网接入的设备类别越来越多，网络类型也越来越多，比如传感器网络、光纤网络、移动网络等，这些网络接入设备包括传感器、台式机、智能手机，数据传输设备包括两层交换机、三层交换机和路由器等，设备开发技术和架构不同，因此集成入网络时存在许多漏洞，无形中增加了攻击渠道。局域网安全攻击者为了达到破坏、篡改、窃取等目的，许多木马和病毒的隐藏周期越来越长，比如金融银行信息化系统在运行中遇到了APT攻击，APT攻击威胁具有高级、长期和威胁大等三个关键要素，其可以使用复杂的、精准度较高的恶意软件攻击金融系统遗留的漏洞，从场外持续监控系统目标，盗取金融机密数据。软件开发技术快速提升，已经诞生了多种开发平台，分别是VisualStudio、Eclipse等，黑客使用这些集成化平台开发的病毒和木马智能化程度更高，一旦某个应用软件系统受到攻击，病毒可以在很短的时间内传播到其他子系统，破坏范围更广。

2.1 安全风险评估功能设计

局域网安全风险评估可以采用现代BP神经网络、支持向量机、层次分析等方法构建一个强大的评估模型，详细地分析局域网接入系统、设备和使用者的行为，以便识别局域网构成要素的重要程度，赋予其不同的权值信息，分析局域网受到的安全威胁程度，然后针对威胁程度较为严重的组成内容进行重点防御，提高风险承受能力[4]。

2.2 入侵检测功能设计

入侵检测是局域网安全防御系统不可或缺的组成部分，其可以部署在防火墙、访问控制列表中，能够实时地采集网络中的流量数据，对其进行分析、识别和处理，及时发现不正常的数据包。目前常用的入侵检测技术包括网络流量抓包技术、网络深度包过滤技术等，这些技术都可以利用软件或硬件关联规则分析技术进行挖掘，将挖掘的结果报告给下一层，由安全保护功能进行清除威胁。目前，局域网入侵检测还引入了强大的系统漏洞扫描技术，能够实时地扫描系统中存在的漏洞，及时打补丁，防止系统遭受非法入侵。

2.3 多层次安全保护技术

局域网安全保护技术较多，比如防火墙、360杀毒软件、卡巴斯基木马查杀软件等，为了提高安全保护能力，应利用安全预警、安全保护技术构建一个多层次、主动式的防御系统。局域网安全预警技术主要包括漏洞预警、行为预警和攻击趋势预警功能。局域网集成了多种异构应用软件，这些软件采用不同的架构、开发语言和环境实现，集成过程中使用接口进行通信，容易产生各类型漏洞，给安全攻击提供渠道。漏洞预警可以及时地为用户提供打补丁的机会，抵御外来威胁；行为预警或攻击趋势预测可以通过观察网络不正常流量，使用数据挖掘算法来预测网络中存在的攻击行为，进一步提高预警能力，保证系统具备初步的安全性。局域网采用的安全措施较多，这些安全防御措施包括杀毒工具、防火墙防御系统、系统安全访问控制列表、虚拟专用网络等。这些防御工具或软件采用单一部署、集成部署等模式，可以有效地保证网络数据的完整性。局域网安全防御系统将多种网络安全防御技术整合在一起，实现局域网病毒、木马查杀，避免网络木马和病毒蔓延，防止局域网被攻击和感染，扰乱局域网正常使用。