局域网终端监控管理系统设计与开发研究

2020-11-26冯乔春云南电网有限责任公司曲靖供电局

数码世界 2020年5期

冯乔春云南电网有限责任公司曲靖供电局

1 前言

目前随着网络迅速的发展，网络黑客给局域网系统造成了相当大的安全威胁，一旦局域网内部终端系统遭到网络攻击，可能会使得政府单位以及企业各种较为敏感的数据资料或者是机密信息被盗取，从而产生巨大的经济损失。为了有效强化局域网终端的安全管理能力，必须要凭借局域网安全监控系统来查看网络传输数据中是否有恶意的程序，通过局域网安全系统的协助，能够率先发现病毒性质的数据，并且向管理者发出预警，也可以使用局域网终端监控系统诱捕侵犯的攻击，并且对攻击行为进行分析，增强局域网安全监控系统的防范能力，加强对各种恶意程序的入侵检测能力。

2 局域网终端系统进行安全监控原理

在局域网系统中主要使用两道防火墙，外部的防火墙主要与互联网络相互连接，设定的形式是正向标准，符合防火墙条件的数据都能够通过，但是其余数据会被丢弃，这是局域网终端监控系统的第一道防线。在第一道防线中架设监控系统，可以检测是否有恶意的数据，一旦发现可以立即发出警告，并且可以通过局域网监控系统联动机制修改防火墙规则，对恶意数据的IP 连接直接切断，这是防火墙的二道防线。

将系统设置在外部防火墙有一个优势，就是利用外部防火墙能够阻挡掉不符合规则的数据包，监控系统只针对进入流量进行检查，可以有效提升网络检测的效率。在外部防火墙与内部防火墙之间可以架设对入侵系统攻击者的诱捕网络。主要是因为多数局域网终端监控系统使用误用检测技术，如果数据包没有恶意特征，那就无法进行警示，就会导致漏报的行为。因此可以使用诱捕系统，主要的目的是捕获恶意的数据资料，与安全监控系统进行联动，使得系统自动为安全监控体系产生特征，降低漏报的概率，这是第三道防线。

当诱捕入侵系统被网络黑客攻击之后，攻击者认为以他为跳板来攻击其他终端，恶意数据包进入防火墙主机之后，可以采用正向列表的方式设置，在内部只允许符合规则的数据包，不符合的将直接丢弃。通过的数据在与入侵检测规则相匹配，一旦发现有符合入入侵者规则的数据，那么立即发出警告，并且修改规则，封锁相应的Ip，并能够实时阻止攻击。

3 主机安全机制

3.1 身份认证机制

采用身份证认证能够有效减少非法用户登录对终端系统所造成的恶意攻击。在用户对服务器进行访问需要提供正确的用户账号，密码等，还需要身份验证，可以设置网站目录或者是文件等设置身份验证，同时也可以利用互联网信息服务，对FTP 站点和网络进行控制。

3.2 访问控制机制

访问控制机制主要是指控制信息访问的权限，对于一些非法用户或者是没有经过授权的用户，如果对信息进行控制，减少可能发生的数据修改或者是破坏。对于网页信息以及站点信息内容进行访问控制，是服务器最终安全运行的关键所在，可以使用微软相关的安全系统，对用户访问网页和站点内容进行控制。用户权限设置在特定计算机上执行操作的能力权限是与被控制对象相关联的规则，它主要是规定哪些用户能够获得访问网页的权利。

3.3 安全审计的机制

定制安全策略以及对进行授权验证是这部分机制的重点内容，终端维护管理人员可以使用安全审核技术对客户端用户的活动进行跟踪检测，同时对文件目录或者是产生未经授权的访问，也可以及时进行跟踪，可供审核的活动包括用户成功或者是失败的访问记录，用户尝试连接受访问权限限制的账户，或者是尝试执行受到限制的命令等等。

3.4 防火墙机制

防火墙机制主要包括三种，第一种是过滤防火墙，第二种是应用网关，第三种是代理服务，防火墙的体系在网络设置中使用较为广泛，比如说屏蔽直网型的防火墙，主要由主机和过滤路由器两个部分组成，把服务器以及主机放置在内网与外网相互连接的小型网络中，过滤路由器主要是用来连接外网，防止外网恶意数据的攻击，同时它还能管理外网对于安全区域的访问，第二个过滤路由器是用来接收主机数据的分组，它主要是用来管理内网与安全区之间的访问。利用这种连接方式，外网是无法接触到内部网络的，那么对于内部网络来说也无法接触到外网，内部局域网只有通过代理服务的形式才能够对外部互联网络进行访问，这样就能够有效提升系统的整体安全防护等级，对于网络入侵者来说，它只有通过外部主机路由器，在经过内部路由器之后才能够嵌入到内部局域网中，因此从这个角度上来看，目前三层防火墙机制是比较安全的信息防护的手段机制。

3.5 网络转换的机制

网络地址转换机制应用非常广泛，它主要是应用各种网络的互联网接入方式中，因为地址转换机制不仅能够有效解决Ip 地址数量不足的问题，同时还能够有效避免外部恶意程序或者是病毒的攻击，从而能够有效隐藏内部的计算机免受外部的侵扰，网络地址转换机制部署有两种形式，一种是根据已经存在的代理服务器来实现功能，但是这种部署形式成本比较高，同时网络联通的性能比较差，因此可以在路由器上来实现网络地址的转换。由于与互联网相互连接的终端数量不断增长，目前网络Ip 地址空间资源越来越稀少，网络地址转换机制的实现有三种形式，第一种是静态转换方式，第二种是动态转换方式，第三种是端口多路复用的方式。

3.6 Vpn 技术

Vpn 技术中加密技术是一项基本的技术，它可以使用各种加密算法实现数据通信内容的安全性，保障局域网内部数据信息不被非法的第三方获得，能够有效保证数据传输的安全性。在公开渠道上传输流量需要进行加密，没有经过授权的网络用户无法读取内部的信息。信息发送者在发送数据时，需要对数据进行加密，数据到达接触者之后，接触者在对于数据进行解密。从加密形式来看，VPn 的密码系统可以分为两种，一种是对称性的密码系统，一种是非对称的密码系统。关于对称性的密码系统来说，它的整体结构较为简单，缺点是对于密匙的管理比较困难。比较常用的对称加密算法，包括des，3des 等等。对于非对称性的加密技术，它的安全性能更高，它可以对加密密匙进行公开的加密，同时还有一些显著的缺点，比如说是加密和解密的效率比较低，很难通过硬件来实现加密。目前常用的非对称加密算法有rsa 算法，dh 算法等等，目前普遍利用非对称的加密技术进行身份验证以及密匙的相互交换，加密技术主要用数据加密和解密。