企业it设备管理中的网络安全研究

1 / 7 企业 IT 设备管理中的网络安全研究 企业 IT 设备管理中的网络安全研究 1 概述 随着互联网的高速发展和 IT 网络设备的更新， IT 网络设备技术的成熟应用使计算机网络深入到人们生活的各个方面。网络带给人们诸多好处的同时，也带来了很多隐患。企业面临着信息外泄，服务器遭受黑客攻击，大量数据遭受篡改，特别是从事电子商务的企业，信息的安全问题成了瓶颈问题。随着企业网络中安全设备使 用用的增多，相应的使用 设设备的管理变得更加复 杂杂。而企业的信息管理 者者和信息用户对网络安 全全认识不足，他们把大 量量的时间和精力用于提 升升网络的性能 和效率， 结结果导致了黑客攻击、 恶恶意代码、邮件炸弹等 越越来越多的安全威胁。 为为了防范各种各样的安 全全 问题，本文将从企业 内内部的 IT设备产品入 手手，对企业的网络安全 进进行研究。 企业 IT 设设备的定义和分类概述 企业 IT 设备其实就是 网网络互联设备，就是在 网网间的连接路径中进行 协协议和功能的转换，它 具具有很强的层次性。遵 循循 OSI 模型，在 OSI 的每一层对应不同的 IIT 设备产品，每层 IT 设备产品用于执行某 种种主要功能，并具有自 己己的本文由论文联盟 ht tp:/收集整理 一一套通信指令，相同层 的的 IT 设备之间共享 这 些些协议。 2 / 7 企业 IT 设 备备主要分为交换机、路 由由器、防火墙。交换机 就就是一种在通信系统中 完完成信息交换的功能， 交交换机拥有一条很高带 宽宽的背部总线和内部交 换换矩阵，交换机的所有 端端口都挂接在这条背部 总总线上，制动电路收到 数数据包后，处理端口会 查查找内存中的地址对照 表表以确定目的的网卡挂 接接在哪个端口上，通过 内内部交换矩阵迅速将数 据据包传送到目的端口。 路路由器就是一种连接多 个个网络或网段的网络设 备备，它能将不同网络或 网网段之间的数据信息进 行行翻译，使它们相互读 懂懂对方的数据，从而构 成成一个更大的网络。其 功功 能是对用户提供最佳 的的通信路径，利用路由 表表查找数据包从当前位 置置到目的地址的正确路 径径。防火墙就是隔离在 本本地网络和外界网络之 间间的一道防御系统，防 火火墙可使用内部网络与 因因特网之间或者与其他 外外部网络相互隔离、限 制制网络互访，以保护企 业业内部网络，其主要功 能能是隔离不同的网络， 防防止企业内部信息的泄 露露；强化网络安全策略 ；包过滤和流量控制及 网网络地址转换等。 企 业业 IT 设备网络安全管 理理模式研究 在企业 IT 设备网络安全管理中 ，网络管理安全模式包 括括以下三种： 第一， 安安全管理 PC 直接与安 全全设备进 行连接是最常 见见的，也就是传统的对 网网络安全设备要进行配 置置管理就必须把管理的 计计算机直接连接到安全 设设备上，常见的是将安 全全管理3 / 7 PC 的串口与安 全全设备的 CONSOLE 口连接，然后在 PC 机机上运行终端仿真程序 ，如 Windows 系 统统中的超级终端或者使 用用SecureCRT 应应用程序。然后在终端 仿仿真程序上建立新连接 ，选择实际连接安全设 备备时，使用的安全管理 PPC 上的串口，配置终 端端通信参数，安全设备 进进行上电自检，系统自 动动进行配置，自检结束 后后提示用户键入回车， 直直到出现命令行提示符 。然后就可键入 命令， 配配置 安全设备或者查看 其其运行状态。但对于不 同同设备可能会有不同的 设设置，例如对于防火墙 ，联想 KingGuar d000 的连接参数 就就和上面不一致，对于 这这种情况我们可以采用 WWEB 方式管理。就是 用用网线连接安全管理设 备备和计算机上的网卡接 口口，同时对管理计算机 和和安全设备的管理接口 的的 IP 地址进行配置， 以以便让它们位于同一个 网网段。开启安全设备的 本本地 SSH 服务，并且 允允许管理账号使用 SSH 。这是因为对大多数 安安全设备的 WEB 管理 都都是通过 SSH 连接设 备备的，这样安全管理 PC 和安全设备之间传输 的的数据都是通过加密的 ，安全性比较高。在安 全全管理 PC 的浏 览器地 址址栏中输入 https： /回车，输入用户 名名和密码后就可登陆到 网网络安全设备的 WEB 管管理界面，对其参数和 性性能进行配置。 第二 ，安全管理 PC 通过交 换换机管理安全设备，只 需需把安全管理 PC 直接 连连接到交换机上， PC 和和安全设备就都位于同 一一网段中。除了采用 WEEB方式对安全设备进 行行管理配置外，还可以 使使用 Telnet 方式 管管理。用这种方式对安 全全设备进行4 / 7 管理时，必 须须首先保证安全管理 PC 和安全设备之间有路 由由可达，并且可以用 Teelnet 方式登录到 安安全设备上，也可以采 用用 SSH 方式管理。当 用用户在一个不能保证安 全全的网络环境中时，却 要要远程登录到安全设备 上上。这时， SSH 特性 就就可以提供安全的信息 保保障以及认证功能，起 到到保护安全设备不受诸 如如 IP 地址欺诈、明文 密密码截 取等攻击。 第 三三，通过安全中心服务 器器管理安全设备，就是 把把“安全管理计算机” 升升级成了“安全中心服 务务器”。在服务器上就 可可以对网络中所有的安 全全设备进行管理配置， 而而不用再把安全管理计 算算机逐个的连接到安全 设设备或安全设备所在VLLAN 的交换机上。在 这这种管理模式中，除了 不不能直接连接到安全设 备备的 CONSOLE 口 上上对其进行管理配置外 ， WEB、 Telnet和 SSH 在安全中心 服服务器上都可以使用。 总之，以上三种网络安 全全设备的管理模式主要 是是根据网络的规模和安 全全设备的多少来决定使 用用哪一种管理模式。三 种种模式之间没有完全的 优优劣之分。若是网络中 只只有一两台安全设备， 显显然采用第一种模式比 较较好，只需要一台安全 管管理PC 就可以，若是 采采用架设安全中心服务 器器的话就有些得不偿失 。如果安全设备较多， 并并且都分布在不同的网 段段，那选择第二种模式 即即可， 用两三台安全管 理理 PC 管理安全设备， 比比架设两台服务器还是 要要经济很多。若是安全 设设备很多就采用第三种 模模式，它至少能给网络 管管理员节省很多的时间 ，因为5 / 7 在一台服务器上 就就可以对所有的安全设 备备进行管理 。 企业 IT 设备网络安全应用研 究究 企业的网络拓扑结 构构比较复杂、网络节点 繁繁多，这就要求企业需 要要有一套行之有效的 IT 运维管理模式。 IT 运运维管理是企业 IT 部 门门采用相关的方法、技 术术、制度、流程和文档 等等，对 IT 使用人员、 IIT 业务系统和 IT 运 行行环境进行综合的管理 以以达到提升信息化项目 使使用，可起到 提高 IT 运运维人员对企业网络故 障障的排查效率。接下来 通通过下面两个实例来验 证证： 企业内部 ARP 断断网攻击 ARP攻击 就就是通过伪造 IP地址 和和 MAC地址实现 ARP 欺骗，能够在网络中 产产生大量的 ARP 通信 量量使网络阻塞，攻击者 只只要持续不断的发出伪 造造的 ARP 响应包就能 更更改目标主机 ARP缓 存存中 IP-MAC 列表 造造成网络中断或中间人 攻攻击。基本原理就是在 局局域网中，假如有一台 计计算机感染 ARP 木马 ，则感染该 ARP 木马 的的系统将会试图通过 “ AARP 欺骗 ” 手段截获 所所在网络内其他计算机 的的通信信息，并因此 造 成成网内其他计算机的通 信信故障。如图 1 所示： 图 1 ARP 断网攻 击击图 ARP 攻击源向 电电脑用户 1 发送一个伪 造造的 ARP 响应，告诉 电电脑用户 1，电脑用户 2 的 IP 地址和对应的 MMAC 地址是6 / 7 00-aa -00-62-c6- 03，电脑用户 1 信 以以为真，将这个对应关 系系写入自己的 ARP 缓 存存表中，以后发送数据 时时，将本应该发往电脑 用用户 2 的数据发送给了 攻攻击者。同样的，攻击 者者向电脑用户 2 也发送 一一个伪造的 ARP 响应 ，告诉电脑用户 2。电 脑脑用户 1 的 IP 地址对 应应的 MAC 地址是 00- aa-00-62-c 6-03，电脑用户 2 也会将数据发送给攻 击击者。至此攻击者就控 制制了电脑用户 1 和电脑 用用户 2 之间的流量，它 可可以选择被动地监 测流 量量，获取密码和其他涉 密密信息，也可以伪造数 据据，改变电脑用户 1 和 电电脑用户 2 之间的通信 内内容。 4.非法 DHCCP 服务器的快速定位 在 DHCP 的选择 Re quest 过程中， 网网络上可能有 DHCP 服服务器都会对 Discoover的广播回应， 但但新加计算机只选择最 先先回应的所取得的 IP 地地址。并与 DHCP 服 务务器再次确认要用此IP 。如果网络上有多个 可可提供 IP 地址的 DHCCP 服务 器，新加计算 机机会选择最先回应广播 的的 DHCP 服务器所提 供供的 IP 地址，但现实 中中往往非法 DHCP服 务务器回应广播速度比合 法法 DHCP服务器快。 图非法 DHCP 服务 器器的快速定位图 如图 2 非法 DHCP 服务器 的的快速定位所示，用户 电电脑发出请求 IP 广播 的的时候，非法 DHCP 服服务器和 DHCP 服务 器器都7 / 7 会向用户电脑提供 一一个 IP地址给用户电 脑脑使用。当非法 DHCP服务器 Request 速度比 DHCP 服务 器器快时，那么这些用户 电电脑得到的 IP 也一定 是是非正常 IP，这就导 致致这些用户电脑无法正 常常使用 Internet 。企业网络管理人员 可可以通过检测提供IP 的的 DHCP 服务器 MAC 地址，结合网络和电 脑脑资产登记来快速找到 非非法 DHCP 是什么设 备备、归属什么部门。通 过过上面两个实例，有效 地地预防网络攻击对于企 业业说是非常重要的，可 以以提高 IT 人员排除故 障障的效率，确保企业内 部部网络更加安全。 结 语语 企业 IT 设备网络 安安全问题主要是利用网 络络管理措施保证网络环 境境中数据的机密性、完 整整性和可用性。确保经 过过网络传送的信息