信息安全技术专业

VLAN在某单位网络安全管理系统的运用目录摘要：3一、 引言3（一） 研究背景3（二） 研究作用与意义3（三） 研究现状41、 国内研究现状42、 国外研究现状43、 VLAN研究现状分析5二、 VLAN技术基础5（一） VLAN概述5（二） 交换式以太网VLAN和ATM VLAN6（三） 某单位划分VLAN的原因分析61、 组强结构的完善62、 网络性能的改善63、 安全性能的提高6（四） 虚拟局域网分类7（五） VLAN的优点71、 控制网络广播风暴72、 确保网络安全73、 增加网络连接灵活性7三、 虚拟局域网的网络管理需求分析7（一） 某单位网络总目标8（二） 某单位网络中VLAN技术的优势81、 降低移动成本和变更管理成本82、 网络管理的便捷化83、 网络安全性增强9四、 基于VLAN的某单位网络总体设计9（一） 三大平台建设需求91、 统一数据平台92、 统一身份认证平台93、 统一单位门户平台10（二） 系统设计原则101、 可管理性与先进性102、 标准化与保密性103、 可靠性与安全性104、 经济性与可扩展性10五、 VLAN在某单位网络管理中的运用11（一） VLAN网络拓扑结构11（二） VLAN 的ID规划12（三） VLAN地址的动态分配与管理13六、 网络安全策略13（一） 个人网络安全13（二） 网络测试和监控14（三） 安全补丁14（四） 网络日常维护14七、 结束语14参考文献14摘要：随着科学技术的进步，计算机技术快速发展，计算机网络是信息社会的基础，已进入了社会各个角落，网络系统的运用已经成为了人类生活不可或缺的一部分。经济、军事、文化和社会生活也越来越离不开计算机网络。虚拟局域网VLAN（Virtual Local Area Network）作为一种新型的网络技术，其具有网络配置灵活、方便升级扩展和安全可靠性高等优点，并能解决当前某单位网络中的问题。本文设计了一种基于虚拟局域网的管理和应用系统，通过虚拟局域网来实现用户的移动式和快捷化组网，便于网管人员对网络资源进行优化和配置管理，提高某单位的网络安全性、灵活性和可靠性。关键词：网络安全；网络管理；虚拟局域网1、 引言（1） 研究背景在随着信息化的迅猛发展，我国信息安全事件日益增多，政治文化风险不断加大。某单位搭建了内部的网络，在网上实现了综合办公系统。随着电子政务应用的公开推广，各部门之间的交流也逐渐电子化，遭遇病毒感染和黑客破坏的机率也在不断增加。可想而知，如果病毒木马爆发，网络信息泄漏，轻者部分工作受影响，工作效率低；重者数据库服务器受损，数据泄漏、丢失，内部信息化管理混乱，服务将处于瘫痪状态，损失将是极为惨状的。尽管该网络与处于外界物理隔离的状态下，这在一定程度 上避免了外部有心之人通过网络进行的攻击，但安全问题隐患依然 是存在的。根据统计分析，80%以上的安全威胁问题均是来自系统的内部，与来自网络外部人员的攻击破坏相比，来自系统内部的攻击犯罪更为恶劣和更加难以防范。（2） 研究作用与意义某单位所涉及到的部门和业务多，开放性较强。单位网络管理难度增加，计算机购置和配置情况较为复杂，配置程度不一，品牌、型号和性能差异大，有的是个人购买，有的则是由公司统一购置，验证以实现统一的管理。单位安全管理措施难以到位，若出现问题，责任难以落实。VLAN的主要作用概括起来主要有：控制网络广播风暴；进行有效的网络监控；实现对流量的控制与管理；实现不同地域不同部门内部的局域网通信和提高网络安全等。虚拟局域网作为一种新型的网络技术，具有网络配置灵活、安全可靠性强等 优点。（3） 研究现状1、 国内研究现状计算机网络在给广大用户带来巨大的便利的同时，其所带来的安全性问题也不容忽视，其中要数网络安全问题最为显著。网络安全问题在网络基础设施的建设和互联网的迅速普及的过程中不断激增，而且也将长期地存在下去。换言之，计算机技术的发展与网络安全问题呈现出一种正比率的关系，即随着计算机技术的不断发展其所带来的网络安全问题也在不断增多。当人类开始步入21世纪的信息社会以来，我国也紧紧把握信网络社会发展的新趋势，建立起一套完整的国家信息安全体系，这包括了国家的法律法规和相关政策，以及信息技术和市场发展平台。我国在构建信息防御体系时，着重发展我国独特的安全产品。近年来，我国的信息安全软件的销售额在不断地提高，越来越多的中小企业有着信息安全的需求。这既说明了国家对信息安全的高度重视，也说明了我国存在信息安全产品的巨大市场需求。2、 国外研究现状国际上信息安全研究较我国起步早，力度大，积累的经验多，应用范围广。早在20世纪的70年代，在美国的网络安全技术基础理论成果“计算机保密模型”的基础上就指定了“可信计算机系统安全评估准则”，其后又制定出了关于网络系统数据 库方面和其他一系列有关安全的解释，形成 了安全信息系统结构的准则。安全协议作为信息安全的最为重要的内容，其形式化的分析方法始于20世纪80年代初期，目前有基于模态逻辑、状态机和代数工具的三种分析方法。这些方法正处于提高的阶段，仍有着其局限性和相应的漏洞。近年来空前活跃的信息安全关键技术的密码学，始于1976年美国学者提出的公开密钥密码体制，其有效克服了网络信息系统密钥管理的困难，同时也解决了数字签名的问晤面，成为了当前研究的热点。如今，电子商务的安全性成为了当前学者们普遍关注的焦点，它的研究的发展带动了谁理论和密钥管理等的相关研究。由于计算机去处速度的不断快速提高，出现了新的密码体制，如量子密码，DNA密码和混沌理论等等。3、 VLAN研究现状分析由于计算机技术在美国最早得到快速发展，因而国外对网络的建设起步较我国早，已经有了多年的发展经验也历史了，并已成为支持企业、单位电子化和流程化运转的重要手段。在互联网技术快速发展的带动下，世界上各科研部门和商业机构加紧了对虚拟局域网的研究开发，世界上各个顶级公司也投入了大量的精力加强对虚拟局域网的研发。3C公司已成功研制出了一种基于Transcend架构的虚拟局域网，该种架构在一定程度上防止了网络风暴的出现，并减少了网络带宽的占用率，降低了对计算机CPU信息处理的消耗，与此同时也增强了对网络虚拟化的管理，并提高了安全性。集中管理、统一配置的方式优化了网络结构和资源管理。有学者提出了一种基于FTTH的虚拟局域网资源规划方式，通过对CVLAN和PON的引入，提升了网络性能。此外，另有学者提出基于RIP的路由方法，采用仿真软件，设计出了一种跨路由器的VLAN，从而实现了不同虚拟局域网网络间的通信，并由此仿真实验验证了此种方法的可行性。2、 VLAN技术基础虚拟局域网最大的优势在于它实现了对网络的虚拟化和管理与划分，使得网络更为可靠灵活。在构建虚拟局域网时各个站点不受地理位置的限定，同时各站点又处于平等的地位，配置过程具有一定的自由度，即使在不同交换机中的计算机节点也能构建在同一个虚拟网络当中。虚拟局域网技术让网络的拓扑结构变得更为灵活，配置更为方便，网络功能的拓扑更为灵活，对流理更为方便，安全性大大提高，能有效地控制网络风暴。（1） VLAN概述VLAN是一种规范，它主要是用于解决广播和安全问题，能过虚拟局域网的ID来实现对用户的更细的分组，对用户的访问进一定范围的限制。虚拟局域网是一种逻辑上的用户与设备，不会受到物理位置的限制，可以根据实际情况的需要来将设备与用户进行重新组织，彼此的访问如果是处于同一网段中时，形成虚拟局域网。VLAN 建立在局域网交换机的基础上，这也是局域交换网的关键。虚拟局域网能够实现对资源的虚拟化与网络的虚拟化，使得人们可以用一种更加灵活的方式对网络资源进行相应的优化配置，根据不同的实际需要，组建虚拟局域网，而不必要去考虑具体的物理位置，这使得企业对网络的管理更为方便。另外，基于VLAN的网络管理和应用方式，给网络扩展来了极大的方便，不需要去改变原有的网络结构，新节点的加入既可以独立构建局域网，也可以直接加入到其他的虚拟局域网中。VLAN是Virtual Local Area Network(虚拟局域网)简称，它主要是通过路由器和交换机等网络调和将处于同一网段内的计算机节点直接进行通信，减少了不必要的广播以及CPU的无用消耗，对于处于不同网段的节点则必须通过路由器方能实现通信，进而VLAN提高了网络的隔离性与安全性。通过虚拟局域网可以方便实现对用户进行移动式、快捷化的组网，极大地方便了网管人员从逻辑上对网络资源进行优化与配置。（2） 交换式以太网VLAN和ATM VLAN从技术的角度来看，VLAN既能在ATM 骨干网中实现，也可以在交换式以太网中实现，而相对 来说，后者简单一点。交换式以太风的VLAN采用的是帧交换技术。ATM VLAN采用的是信元交换技术，其采用了线路交换和存储转发两种形式。（3） 某单位划分VLAN的原因分析1、 组强结构的完善同一单位的员工可能会分散在不同的办公地点，为了实现数据的安全与共享，采用VLAN可以在一定的程度上防止网络风暴的发生，减少占用网络带宽，降低对CPU信息处理无谓的消耗，同时也能够加强对网络虚拟化的管理，提高安全性能，并通过统一配置和集中管理来进一步优化网络结构和资源管理。2、 网络性能的改善对于大型的网络，现在较为常用的是广播协议，当网络规模较大时，网络的广播风暴会比较严重，这往往会导致网络性能的急剧下降，进而引起网络堵塞，影响网络浏览。通过对VLAN的划分，可以减少网络范围内的广播信息的传输，将广播信息束缚在各个VLAN内，减少广播域，提高了网络传输的效率，改判网络性能。3、 安全性能的提高由于各个VLAN之间无法进行直接通信，需要通过路由器的转发。为能有效进行安全控制提供 了可能，进而提高了网络安全性。在单位中，有科研部，财务部和信息服务部等部门，各部门之间的数据是相互保密的，可以通过划分VLAN对不同部门 之间进行隔离。（4） 虚拟局域网分类VLAN交换机接收到来自工作站的数据后，首先对部分数据的内容进行检查，与VLAN配置数据库中的数据进行对比，辨别出数年据的去向，再通过VLAN交换机发往数据的目的地址。VLAN的实现方式主要有：基于MAC的VLAN、基于端口的VLANT和基于IP地址的VLAN。与其他两种方式相比，采用基于IP地址的VLAN的方式更加方便和简单，由于可自动获取IP地址，或自己设置IP地址，新的节点在加入时不需要进行各种各样的配置，交换机可以根据节点在网络中的IP地址完成自动的配置和管理。因此，在三种虚拟局域网的实现方式中，基于IP地址的VLAN的智能化程度 最高，实现起来也最为简单。（5） VLAN的优点1、 控制网络广播风暴虚拟局域网创建好后，每个VLAN都形成了单独的逻辑上的广播域，该方式使得广播的范围在一定的程度上缩小了，对于一些不必要的广播帧信息进行隔离。因此，对于网络性能来说，整体上不会受到很大的影响，却能有效地控制广播风暴的出现。2、 确保网络安全用户只要插入活动端口就能访问网络，所以共享式局域网很难保证网络的安全。当整个网络存在多个不同的虚拟局域网的时候，可以根据需要对VLAN进行划分，将相互访问较多节点划分在同一逻辑网段，这样一方面 可以减少不必要的广播帧，另一方面也可以提高访问效率，对用户群进行管理，从而进一步提高网络的安全性和可靠性。3、 增加网络连接灵活性VLAN很好地实现了对网络的虚拟理，让网络组织更为方便，从而提高了整个网络的可靠性与灵活性，与传统局域网配置相比，自由度与灵活性都有了比较大的提升，避免了许多繁琐的配置与组网设置。VLAN技术使得网络拓扑结构变得灵活，配置更为方便，网络安全性能和可靠性能都有显著地增强。3、 虚拟局域网的网络管理需求分析随着企业发展的不断提高，广播消息数量也在增长。当广播消息的数量占到了网络总量的30%以上时，网络的传输效率就会急剧降低。如果网络设备 存在问题，就会不断广播消息，这很可能造成广播风暴，严重时将会导致网络的瘫痪甚至中断。为了避免单位出现类似的情况，可将单位网络划分成更多的广播域。这主要有两种方式：一是通过设备将网络在物理 上进行划分； 二是在逻辑上实现划分，即将单位网络划分为若干个很小的虚拟局域网，也就是VLAN，各个虚拟局域网间可以通过交换机来实现通信。（1） 某单位网络总目标某单位网络的建设是一个庞大的系统工程，需要对此进行科学合理的系统设计和规划。网络的规划，系统的架构、硬件设施的布置、软件的建设以及网络的使用等都要用系统的思想来考虑，因此先进性、实用性、开放性、可扩展性等都要考虑到。某单位网络建设主要遵循以下目标：为广大员工提供学习、工作一体的综合网络环境信息资源共享单位信息化管理和自动化办公系统建立视频会议系统建立单位安防系统基于VLAN的某单位网络，可以实现网络资源的全面共享，实现网上办公一体化、便捷化和智能化。通过某单位网络建立自动化办公系统，提高工作效率和工作质量，使网络最大程度地发挥作用。（2） 某单位网络中VLAN技术的优势1、 降低移动成本和变更管理成本在某单位，将个人电脑从某一个子网转移到另一个子网的情况经常会发生，特别是对销售人员来说，这种需求特别明显。如果采用一般的组网形式，用物理手段对子网进行划分，对于网络管理员来说，将耗费大量的时间和精力。采用VLAN技术就可以减少很多这样的麻烦。2、 网络管理的便捷化由于单位人员办公流动性大，这经网络管理带来了一定的困难。VLAN技术正是针对这一变化性较大的用户管理问题产生的。虚拟局域网订要有基于MAC地址、基于端口和IP地址三种方式，本文采用的基于IP地址的方式构建虚拟局域网来实现对网络用户的管理。3、 网络安全性增强由于采用了IP地址与员工相互绑定的方式注册网络用户，使得每一个用户的浏览行为有实名制记录，一来可以避免非法用户的入侵，二来也可以对网络进行监控，大大提高了网络的安全性。由于进行VLAN的划分，使行网络广播的数据大为减少，避免了网络的堵塞，提高网络的稳定性。4、 基于VLAN的某单位网络总体设计（1） 三大平台建设需求1、 统一数据平台统一数据平台主要由公共数据库和数据 交换的引擎组成。统一数据平台可以将单位的各项业务作为一个相互关联的有机整体进行全盘的考虑，对于全单位的员式信息、办公场所信息、设备信息等进行全面的梳理整合，实现各类业务数据的存储、交换和发布。这样可以在确保公共数据的一致性和准备性的同时，为不同业务系统间的数据共享、互通以及业务协作提供了可能。也为跨系统跨部门的数据综合查询和统计分析奠定了坚实的基础。数据交换引擎实现 了公共数据库和各部门的软件系统中的公用数据的采集，同步和调用，确保全单位各系统数据的准确性和一致性。数据交换引擎支持很多种异构数据库的数据之间的交换，交换过程是自动、定期和标准化的，并可以不断进行扩展。2、 统一身份认证平台统一身份与认证平台主要包括有用户中心，企业目录，统一身份认证网关，授权管理等四个部分。授权控制与身份认证相关联，认证使得访问行为合法化，透明化，授权可以控制不同的人所访问的资源的权限，用户可以根据自己的权限获取相应的资源和服务，统一身份认证与授权让某单位的网络系统更加安全可靠，也为各级用户提供了便利的业务资源环境。建立全单位统一规划的用户管理中心，为每个用户定制唯一的实名制账号，可以实现对全单位用户的统一管理。采用实名制方式将姓名与IP地址进行绑定，实现单位网络内的实名制认证访问各种应用等。这样来，一方面可以规范用户的浏览行为，与此同时也能对网络资源进行合理的应用，避免了单位内部使用的混乱。3、 统一单位门户平台通过统一的单位门户平台可以将单位领导，机关干部，普通员工等不同的用户按照个性化的模板、集成化的框架获取单位网络内的信息服务。以公共数据库为基础，通过门户集成框架在信息基础框架的支撑下将各类异构应用系统的信息和服务聚合，可以方便地实现服务订阅、外观定制等需求，实现跨部门，跨系统的信息集成。同时能针对各级领导、业务部门、员工等不同的用户的角色、权限为他们量身定制个性化的工作平台。（2） 系统设计原则1、 可管理性与先进性在网络部署与系统设计时，应采用当前先进的设备与技术，便于网络的连续性发展，另外，在考虑设计理念时，也要考虑其先进性的特点。单位网络是一个复杂系统，其有效运行关系到网络实用性的基础。系统的可靠性的基础又是可管理性。对于网络必须能够提供管理和监控功能，保证网络的稳定、安全。2、 标准化与保密性单位网络要采用国际标准的通信协议、通用的体系结构和标准化接口。需要进行校园网络系统的安全设计与规划，从网络通讯与储存体系两方面入手，实施校园内部网络与外界互联网的部分物理隔离，并在网络内部安装必要的电磁屏蔽调设备，对于企业涉密信息，访问用户必须要得到相应的授权，对重要数据与邮件作加密处理，防止非法入侵。3、 可靠性与安全性网络的可靠性与安全性包括两个方面的内容，一是网络的可靠性与安全性，二是设备的可靠性与安全性。可以采用数字签名的方式，保证单位网络内的信息真实性，防止对信息的非法篡改。建立完善网络信任体系，利用身份认证与数字认证等技术手段保证2企业信息的安全。4、 经济性与可扩展性经济的可行性是评价一个计算机系统是否可行的最为基本的一种方法，也是对网络系统方案的成本有效性的度量。对网络系统的开发本身是一种投资，是否值的投资开发取决于该系统能否发挥出多大的效益。在满足相关需求的前提下，系统的性价比起高越好。另外要考虑网络设备的实用性，兼顾单位今后发展的需要，满足未来网络的需求。5、 VLAN在某单位网络管理中的运用（1） VLAN网络拓扑结构按照单位功能区的位置划分和应用需求差异，将整个单位网络划分为以下几个网：行政办公网、开发研究网、销售签单网、宽带服务网、后勤服务网、信息中心网、公共服务网和内部服务网等，为减少网络广播控制信息流量，面向其他用户提供网页浏览服务，在线聊天服务与邮件服务等。内部服务器子网位于单位网络的核心层，为单位网络用户提供数据查询，即时通信服务等。图5.1 VLAN 网络规划图图5.2子网划分（2） VLAN 的ID规划为了防止网络IP地址冲突，首先要对VLAN的各个终端设备进行网络IP的配置，然后对VLAN端口再进行参数设置，通过对参数接口的设置进而对TRUNK端口进行配置，最终完成对路由器的子网接口IP地址的配置。图5.3 配置VLAN端口流程（3） VLAN地址的动态分配与管理在VLAN中，网络地址的分配和管理非常重要。主要的手段是将固定的网络地址分派给主机与服务器，采用动态分配方式将网络地址分配给终端用户。添加DHCP服务器才可以实现对网络地址的动态分配。6、 网络安全策略（一） 个人网络安全通过外网直接连接的计算机上（例如员工使用的笔记本电脑）必须安装主机防火墙软件。主机防火墙软件配置为特定的标准，且用户不得更改。对于使用windows 的用户，应使用系统自带的防火墙，通过域策略设置其防火墙规则，用户无法停用或者修改防火墙规则。（二） 网络测试和监控每季度应对系统进行内部和外部网络漏洞扫描：在网络出现任何重大变动（如安装新的系统组件、更改网络拓扑、修改防火墙规则、产品更新）后，也应进行上述扫描。对网络存在的漏洞、严重级别和结果处理等进行记录。（三） 安全补丁持续跟踪厂商提供的网络设备的升级更新情况，在经过充分的测试评估后对必要补丁进行及时更新。更新前对重要文件（用户数据、设备配置文件等）进行完全备份。应确保所有系统组件和软件都安装了最新的安全补丁，关键的安全补丁必须在发布的一周内更新。（四） 网络日常维护网络管理员通过本机控制台端口对网络设备进行管理时，必须保证至少两人同时在场，方可对网