APP下载

基于企业信息系统的网络安全研究

2016-05-14林宽胜

网络空间安全 2016年6期
关键词:IP地址路由器防火墙

1 引言

目前,信息技术在我国取得了高速的发展,各个企业纷纷建立起了自己的信息系统。企业间业务的往来,企业内部项目的完成,无不依赖于信息技术的平台,企业通过互联网将世界各地的信息互联共享,“数字地球”这一提法正是电子信息化广泛应用的形象写照。但是,随着企业信息网络开放性的提高,其安全性已成为不容忽视的重要问题,它是考验网络性能的关键。

2 企业信息系统存在的网络安全隐患

企业信息系统网络安全主要分为两个层面:即网络安全、信息安全。网络安全主要包括系统软件、应用软件以及硬件平台的安全;信息安全主要是指数据信息的安全,如数据的加密、备份等。目前,企业信息系统网络主要存在的安全威胁有计算机病毒的感染、黑客入侵和攻击、内部用户非法访问、数据意外损坏或丢失等。

3 企业信息系统的网络安全防护技术

3.1 防火墙技术

防火墙处于内网和外网之间,用来执行两网之间的访问控制策略。从本质上来讲,它是一种保护内网安全运行的访问控制技术。它由硬件和软件两部分组成,主要包括包过滤路由器、应用层网关以及电路层网关等,一般在企业信息系统内网服务器前端放置,基主要工作原理是:通过包过滤技术将从内网和外网过来的数据流利用应用层代理的方式进行处理,从而实现内外网之间的安全通信。

硬件防火墙是企业信息网络系统中比较常见的,在使用它之前需要进行一些设置,如工作模式的设定、网络接口的设置等。防火墙的工作模式有两个:Drop-In Mode和Routed Mode。前者主要适用于无内网的环境,所以一般选择“Routed Mode”模式。然后进行外部接口、内部接口的设置。完成一系列配置后,便可通过GUI 程序与防火墙相连接了。

3.2 NAT 技术

NAT技术是一种网络地址转换技术,通过在路由器上这安装NAT软件,在访问外网时,会将企业内部的私有IP地址转换成有限的数个(或一个)公有IP地址,从而隐藏企业内网各个主机的真实IP地址,达到提高网络安全性的目的。NAT技术的实现主要有三种方式:静态转换、动态转换以及端口多路复用。

以静态转换为例,通过一段NAT配置代码简述其原理。

如图1所示,此企业通过一台路由器(S0为内部端口,S1为外部端口)与外网相连,企业有两台服务器:FTP服务器和Web服务器,供外网用户访问。假如企业申请到四个公网地址(222.222.100.1-222.222.100.4),可以做如下配置:(ISP端路由器使用222.222.100.4)

Router(config)#int s0

Router(config-if)#ip add 192.168.100.254 255.255.255.0

Router(config-if)#ip nat inside

Router(config)#int s1

Router(config-if)#ip add 222.222.100.1 255.255.255.248

Router(config-if)#ip nat outside

Router(config)#ip nat inside source static 192.168.100.1 222.222.100.2

Router(config)#ip nat inside source static 192.168.100.2 222.222.100.3

Router(config)#access-list 1 permit 192.168.100.0 0.0.0.255

Router(config)#ip nat inside source list 1 interface s1 overload

Router(config)#ip route 0.0.0.0 0.0.0.0 222.222.100.4

通过这样的配置,外部用户在访问企业信息系统时,路由器通过NAT技术将公网IP地址转到内部IP地址,从而对内部服务器进行访问,但外部用户只能看到公网IP地址。

3.3 入侵检测系统IDS

入侵检测系统(IDS)可以主动防御攻击,与防火墙相配合可以使企业信息系统的安全防御更加完善,在信息系统的网络安全中起着非常重要的作用。IDS一般放置在内网服务器前端,如图2所示,检测器与控制台的设置是入侵检测系统的关键。我们可以在外路由器与外网的连接处,防火墙与管理信息系统(MIS)之间分别设置检测器,在管理信息系统和监控信息系统(SIS)中分别设置检测器;在管理信息系统中设置控制台。然后,为重点服务器、工作站安装入侵检测软件。

3.4 身份认证技术

身份认证技术是用来对来访用户进行身份验证,从而对不同的用户进行访问控制和记录。为了确保网络的安全,特定的用户只能访问特定的网络资源,这就在一定程度上限制了非法用户的访问,使其无法访问权限以外网络资源。

其中指纹加密技术是公认的可靠性强的身份认证技术。其主要原理是:首行在计算机上运用IDEA算法为用户生成一个用户密钥IDEAK,之后将它与用户名及用户指纹信息一起用KDC(密钥分配中心)的公钥EPK进行加密,最后将这些信息存储到KDC中。

身份认证时,将用户名及指纹信息与数据库中的记录相比对,合法用户将获得其RSA私钥,来解密公钥加密信息,从而获得与外界网络的安全通信。

3.5 SSL加密技术

在数据传输过程中,为了保证数据的安全,很多企业采用SSL加密技术。 主要是建造一条介于浏览器和Web服务器之间的安全通道,从而来进行数据的安全传输。SSL主要采用RC4、MD5、RSA等加密算法,使用的密钥位数达到40 位,尤其适用于对商业重要信息的加密。如百度、淘宝等中的HTTPS就是HTTP over SSL,是基于SSL技术开发的浏览器内置协议。它通过默认端口443来和TCP/IP进行通信,而不是HTTP中使用的80端口。HTTPS协议使用SSL技术在发送方加密原始数据,之后在接受方对数据进行解密,两个过程都需要通过交换密钥来完成。因此,数据在传送过程中就不易被黑客截获、解密。

5 结束语

企业信息系统的网络安全技术除了上述几种外,还有防病毒技术、虚拟局域网技术、数据备份技术等一些被广大企业普遍应用的技术。总之,要通过各种措施加强企业信息系统的网络安全,为企业商业项目的推进保架护航,从而为社会创造更大的价值。

参考文献

[1] 袁敬.计算机网络安全分析研究[J].信息安全与技术,2015(1):28-29+47.

[2] 段军红,崔阿军,张驯,张华峰,闫晓斌.面向智能电网的网络信息安全架构[J].信息安全与技术, 2015(11): 52-54.

作者简介:

林宽胜(1979-),男,甘肃天水人,大学本科,中级工程师;主要研究方向和关注领域:无线电广播与有线电视。

猜你喜欢

IP地址路由器防火墙
买千兆路由器看接口参数
路由器每天都要关
路由器每天都要关
路由器成为木马攻击目标
《IP地址及其管理》教学设计
计算机的网络身份IP地址
防火墙选购必读
轻松明白网络IP地址以及子网划分问题
新手设置Windows Vista自带防火墙