局域网的组建与安全防护研究

2022-12-07刘智磊刘猛赵煜

网络安全技术与应用 2022年5期

◆刘智磊刘猛赵煜

局域网的组建与安全防护研究

◆刘智磊刘猛赵煜

（66389部队河南 450000）

目前计算机技术的普及范围越来越广泛，已经逐渐渗透到了各个领域中，影响着人们的学习工作和生活，不置可否，我们已然进入了信息化网络时代。在这样的社会大环境下，入侵检测和数据加密技术显得尤为重要。本文简要阐述了网络入侵安全、入侵检测和数据加密技术的基本概念，同时详细分析了数据加密技术的类型和途径，并对其在计算机网络安全保障中的应用进行更深一步的探讨，以期为网络工作者提供参考。

局域网；网络安全；防火墙；入侵检测技术；数据加密技术

1 引言

如今网络时代的到来使得各国经济更加一体化和全球化，各国因为互联网的连接而构成一张庞大运行网络，并为国家经济的发展和政治活动的开展提供了更为广阔的舞台和技术空间。然而其带来强大助力的同时各类安全隐患也由此而诞生和频频出现。至今以来，全球范围内均发生了隐私泄露和网络重大安全事故，让各国蒙受了巨大经济损失，同时也为社会带来许多不稳定的安全因素。如，2016年2月初，孟加拉国中央银行在纽约联邦储备银行的账户遭到黑客入侵，8100万美元被盗；2017年11月22日，美国五角大楼因为恶意入侵，使得国防部分类数据库中社交媒体平台收集的18亿用户的个人信息遭到暴露。

面对网络面临的各种威胁，如何防范和消除这些威胁，实现真正的网络安全已经成为制约众多大型企业实现发展的瓶颈。网络安全方面的研究越来越引起诸多企业重视，其是目前网络领域研究的重要课题之一。

2 企业无线局域网安全风险分析

2.1 无线局域网的安全风险与攻击威胁

2.1.1网络部署与结构安全风险

在网络部署与结构安全风险方面，其主要表现在以下几方面：

（1）网络的边界安全问题作为入口防护的重点对象，如缺乏安全防护策略和配套技术方案，极易引起诸多非法安全入侵，并面临众多病毒攻击手段，致使企业内部网络完全暴露在不法分子面前。

（2）各类网络设备在安全性能上的表现，决定了企业内部有线与无线网络的安全性以及各项功能的正常运行。

（3）网络中的核心应用层如缺乏一定的物理隔离，以及相关系统解决方案下的软件隔离，势必面临诸多入侵风险。

2.1.2网络病毒入侵安全风险

（1）报文攻击

报文攻击是非常典型的一类网络攻击，其原理是利用通信协议和主机操作系统对协议支持严密性问题的漏洞，直接或间接地发送非法报文进行攻击。轻者造成服务器运行缓慢，重者可能导致服务器崩溃、正常业务中断。

报文攻击是一种非常典型的网络攻击类型。其原理是利用通信协议和主机操作系统直接或间接发送恶意消息，利用通信协议和主机操作系统漏洞进行攻击。较轻的可能会降低服务器的速度，而严重的可能会使服务器崩溃并正常关闭。

（2）DDoS攻击

DDoS攻击是利用合理的服务请求来占用过多的服务资源，从而使用户无法得到服务器的响应。攻击者控制多个僵尸主机，向其推送各类恶性攻击数据包，使得主机各类性能和硬件资源被大量占用，系统网络带宽被消耗，导致进程受阻，空间容量急剧下降，从而使得平台各类服务和针对文件的访问请求无法得到处理。

（3）扫描窥探

扫描窥探是攻击者用来识别和分析目标的常见入侵技术。攻击者扫描目标系统以了解目标系统提供的服务类型和潜在的安全漏洞，并提供有关入侵的信息。攻击者可以根据开放的端口检测目标的弱点并确定下一个入侵计划。

2.2 无线局域网的相关安全技术

2.2.1防火墙技术

防火墙是位于内部网络和外部网络之间的网络安全系统。这是建立在内部网络与外部网络之间、私有网络与公共网络之间的接口上的保护，它是软件和硬件的安全保护屏障，它们的主要功能是检查网络通信，以防止未经授权的访问和退出安全网络，但防火墙不能防止网络内部未经授权的访问和攻击，消除薄弱的控制和问题。安全策略也无法防范未通过防火墙的攻击或威胁。

2.2.2入侵检测系统

入侵检测系统（IDS）通过分析网络中的传输数据来判断破坏系统的入侵事件，判断入侵事件的类型，检测非法的网络行为，对异常的网络流量进行报警等。目前主要分为如下几类：

（1）基于主机的入侵检测系统

该类系统对运行关键程序和负责后台管理的服务器进行网络防护。它对主机所存储的审计记录和相关操作的日志文件进行监视和分析，从而得到入侵检测结果。

（2）基于网络的入侵检测系统

根据待监测网络入侵检测包的内容，该类系统通过对原始数据源等网络包，以及对可疑现象分析的分析完成检测过程，从而完成对网络的全面保护，而不必考虑异构主机的不同体系和层级架构。

（3）误用入侵检测系统

该类系统，是基于网络入侵行为以及以往长期运营所积累起来的系统缺陷基础，完成对入侵规则的制定，进而实现入侵行为的检测。

2.3.3无线虚拟专网

VPN（虚拟专用网络）是在混乱的公共网络上搭建的安全稳定的隧道，它在公共网络（通常是Internet）上建立临时和安全的连接。VPN通常是公司内部网络的扩展，可帮助远程用户、公司附属机构、业务合作伙伴和提供商与公司内网建立安全可靠的连接，并确保安全的数据传输。VPN可用于为寻求安全连接而增长的移动用户进行全球互联网访问。一条可用于企业网站之间安全通信的虚拟租用线路，以及一条可用于经济高效地连接到业务合作伙伴和网络用户的安全虚拟租用外网线路。

2.3.4数据加密技术

基本上有两种类型的数据加密技术。一个是对称密钥，另一个是非对称密钥。这两种格式在应用和性能上具有不同的优势，是现代计算机网络安全的重要保障。

（1）对称加密

该技术也称为私钥技术。它是数据的发送方和接收方在加密和打印数据时使用相同的私钥并使用相同的算法来转换密文的技术。

（2）非对称加密

该技术也称为公钥密码术。一它是指数据的发送方和接收方在加密和打开数据时使用不同类型的私钥的技术。在实际应用过程中，如果数据发送方使用公钥对数据进行加密，接收方只需要使用相对使用的私钥就可以解密数据。

3 基于数据加密的网络安全防护应用

根据上面说明的网络安全防护技术，这里以A公司为例，制定A公司网络信息安全防护方案，并对方案拟采用设备进行选型和技术分析。

3.1 防病毒预警子系统

本次A公司选用安天公司的私有云安全系统和病毒预警系统，从而及时地在入侵、传播扩散、破坏等多个环节对抗威胁，提供全面的阻止、监测、追溯能力，有效提升了企业整体的威胁防御效果和安全管控能力。这里对系统功能及技术加以分析：

（1）白名单控制逻辑。系统不再单纯依赖通用的黑名单病毒库，而是根据实际环境，搜集用户的白名单相关信息，对网络信息系统的重要数据信息进行防护。

（2）未知文件动态鉴定。系统中的程序动态分析器可以帮助用户进行动态的实时安全性鉴定，让用户自主处理未知文件的安全性，有效避免了单纯依靠反病毒技术公司提供的分析和发布能力。

（3）可以结合网络病毒预警系统使用。系统在网络核心交换处对网络中存在的各种攻击事件、病毒传输、可疑流量等进行实时监视。

3.2 入侵检测子系统

根据要求，选用启明星辰公司的TGA004-1型千兆网络入侵检测预警系统。

结合入侵检测的实际需求，这里我们也选择了金星千兆网络检测和预警系统。系统特定的处理流程：入侵处理模块可以根据数据库的特点判断检测到的入侵协议变量的符合性。如果匹配成功，用户应报告攻击事件，审计检测传感器处理模块应根据审计策略进行记录。审计数据中生成数据包协议变量的值，将数据包的重构报文作为原始报文文件写入。控制中心将从检测传感器接收到的数据存储在数据库中并将其发送到显示中心。显示中心负责以多种格式向用户展示事件并生成报告。