局域网安全设计关键技术分析

局域网安全设计关键技术分析

发表时间：2010-06-17T09:54:58.857Z 来源：《计算机光盘与应用》2010年第5期供稿作者：程炜，王小曼

[导读] 局域网网络安全一直关系到企业内部信息的安全

程炜，王小曼

(中国人民解放军95854部队，北京 101308 )

摘要：局域网网络安全一直关系到企业内部信息的安全，本论文重点探讨了局域网安全设计的技术，在简单介绍了局域网网络安全的

定义及其设计原则的基础上，重点对局域网网络安全的设计技术，结合公司内网的信息安全要求，从网络物理安全设计、网络结构安全设

计、网络应用系统安全设计和网络管理系统安全设计等几个方面详细论述了局域网网络信息安全的实现技术方案，对于进一步提高局域网

信息安全设计技术及其应用水平具有一定借鉴意义。

关键词：局域网；网络安全；技术分析

中图分类号：TP393.02 文献标识码：A 文章编号：1007-9599 (2010) 05-0000-02

Analysis on Key Technology of LAN Security

Cheng Wei,Wang Xiaoman

(95854 People's Liberation Army Troops,Beijing 101308,China)

Abstract:LAN network security has been related to the internal information security of enterprises,this paper focused Keywords:LAN;Network security;Technology analysis

一、引言

随着信息技术的发展，全球范围Internet应用的普及，计算机网络越来越多的服务于人们的生产和生活，同时也给信息行业带来很多

新的挑战。在众多的网络攻击事件中，由内部人员发起的攻击或者由内部人员滥用网络资源造成的攻击占据网络攻击事件中相当大的比

例，因此内部网络和主机安全对于企事业单位的网络安全至关重要。

二、局域网网络安全概述

（一）网络安全的定义

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续

可靠正常地运行，网络服务不中断。

网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性

的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数

学、数论、信息论等多种学科的综合性学科。

（二）局域网网络安全设计的原则

1.原则1：网络信息系统安全与保密的“木桶原则”

网络信息系统是一个复杂的计算机系统，它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性，尤其是多用户网络

系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的是“最易渗透原则”，必然在系统中最薄弱的地方进行攻击。

因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析、评估和检测，是设计信息安全系统的必要前提条件。

2.原则2：信息安全系统的“有效性与实用性”原则

不能影响系统的正常运行和合法用户的操作活动，网络中的信息安全和信息共享存在一个矛盾：一方面，为健全和弥补系统缺陷的漏

洞，会采取多种技术手段和管理措施；另一方面，势必给系统的运行和用户的使用造成负担和麻烦，尤其在网络环境下，实时性要求很高

的业务不能容忍安全连接和安全处理造成的时延和数据扩张。如何在确保安全性的基础上，把安全处理的运算量减小或分摊，减少用户记

忆、存储工作和安全服务器的存储量、计算量，应该是一个信息安全设计者主要解决的问题。

三、局域网网络安全设计技术分析

为了使本论文所探讨的局域网网络安全设计技术更具有针对性，这里以某公司内部的实际内部局域网为研究对象进行具体的技术分

析。

（一）网络物理安全设计

网络的物理安全是整个网络系统安全的前提。根据公司实际情况，综合考虑成本、安全、可靠等各方面因素，在网络的物理安全设计

方面，主要进行以下几个方面的设计：

第一，服务器后备供电问题，为了防止服务器市电供电突然中断可能引起的硬件损坏和软件系统故障以及在正常情况下给服务器提供

稳定安全的供电，给服务器配置UPS是最好的选择

第二，电脑主机室设计，机房除了加装空调设备外，还应当作防火、防雷等其他方面的考虑，增加防火、防雷系统，并安装了门禁系

统，对出入机房进行严格的管理和记录。

第三，结构化布线方面，全部采用结构化布线系统，数据线（网线与电话线）和电线分开不同的管道铺设，网络节点全部采用铁盒安

装在地板上，不使用时可以关上铁盒，不影响地面使用。

（二）网络结构安全设计

网络拓扑结构设计也直接影响到网络系统的安全性。例如在内部网和外部互联网络进行通信时，内部网络的机器安全就会受到威胁，

同时也影响在同一网络上的许多其他系统，因此如何很好的隔离内网与互联网是网络结构安全设计的主要考虑。在前面的逻辑设计中提

到，公司内网与互联网络的连接是通过中国电信的DDN 4M专线来实现的。如何安全可靠的隔离它们呢，在本次升级方案中，采用了两种方

案。第一，完善原来的Cisco路由器和防火墙组成的第一道隔离带，加强路由器和防火墙的配置，尽量将不安全的因素阻击在第一道隔离

带。第二，除了第一种方案的所采用的硬件措施外，考虑引入一种代理软件部署成代理服务器，在内网与互联网络之间形成坚实的第二道

隔离带。

（三）网络应用系统安全设计

应用的安全涉及方面很多，在安全性上，主要考虑尽可能建立安全的系统平台，通过专业的安全工具和及时修补应用系统的漏洞等方

法，来提高应用系统的安全性。目前对公司来说，涉及对互联网的应用系统主要是Exchange Server邮件系统。在原来的网络系统中，邮

件系统存在的主要问题是，用户接收大量的垃圾邮件和病毒软件，导致客户机电脑中毒，中毒的客户机电脑又自动利用公司的邮件服务器