园区网如何保证安全 -天瑞科技，深圳电脑维修，深圳电脑维护

　　安全问题是一个老话题。随着电脑和Internet越来越普及，安全问题越来越成为人们关注的焦点。各个国家每年都为安全问题投入巨大资金，每年由于安全问题造成的损失令人吃惊。有些损失可以用金钱衡量，有些损失却无法用金钱衡量。

　　安全可以分为系统安全、数据库安全、应用安全、传输安全、网络安全等。本文及后面若干文章主要涉及网络安全，而且主要是园区网安全问题。

　　随着Internet日益普及，许多单位都建立了自己的园区网。Internet上黑客已经成为越来越严重的问题，Internet日益成为一个非常不安全的网络。园区网要不要与Internet连网，如何与Internet连网，这些问题已成为各单位园区网建设的难题。

　　园区网与Internet连网的安全

　　园区网与Internet连网的需求是不言而喻的。Internet已经成了信息资源的海洋，这些信息资源对各行各业都是极其宝贵的。不利用这些信息资源，我们的教学、科研、技术开发就要落后。近年来，Internet商业化成了Internet发展的主要推动力，世贸组织和各国政府积极推动Internet上的电子商务，有人预言Internet将成为主要的商业渠道。我们的企业如果不与Internet连网，不与这个商业主渠道连网，企业就无法发展。然而园区网与Internet连网所面临的安全问题也显而易见，这一矛盾的问题如何解决？

　　通常的解决办法是防火墙。近年来，由于担心Internet上黑客的攻击，防火墙技术发展很快，早期防火墙采用静态安全规划。静态安全规划在设置时并不知道具体的IP地址，包括源地址和目标地址，只能一般设置，极易留下较大的漏网。新的防火墙一般采用基于状态的规则和动态规则，安全漏网较小，大大提高了网络安全性。防火墙中还常常增加一些攻击检测技术，进一步提高了防击能力。但是不管防火墙技术如何完善，都不是绝对安全的。安全问题，三分在技术，七分在管理。以防御城墙为例，不管城墙多么高大坚固，如果无人守备，都是极易被攻破的。防火墙一般都有日志，仔细分析日志，可以发现一些黑客的踪迹，以便及时采取措施。制定合理的安全政策，仔细设置安全规划，实施严格的管理和监控制度，是保证防火墙不被攻击的基本条件。网络上的攻击和防守将是场长期的战争，任何防火墙技术不能保证绝对不被击破，任何高明的黑客也不敢吹牛能攻破所有防火墙，特别是严密监控的防火墙。

　　国内有些园区网由于担心黑客攻击，采用园区网与Internet在物理上隔开的办法。这确能提高安全性，但是并非绝对安全的办法。此外与Internet隔开将失去访问Internet的方便性，其代价是十分高昂的。首先物理上隔离并不能保证绝对安全。许多园区网一方面物理上与Internet隔开，另一方面通过市话向用户提供访问服务。其实通过市话提供拨号访问服务本身就是极大的安全隐患。市话是全国全球连网的，合法的用户可以通过市话和园区网的访问服务器进入园区网，远在美国的黑客也能通过电话系统和访问服务器进入园区网。简单的Password挡不住黑客的攻击。其次安全性的提高必须和代价进行权衡。许多银行系统明知与Internet连接具有极大的风险，甚至已经付出了高昂的代价，但在巨大的商业利益驱动下仍然要与Internet连网。风险是可以通过提高技术水平和管理水平防止的，失去访问Internet的方便性的损失却无法挽回。尽管如此，在某些特殊的情况下，园区网与Internet隔开不失为一种提高网络安全性的办法，只是不能把这种办法看成绝对安全的，事实上还可能存在许多其它安全问题。

　　一次性Password和访问控制服务器

　　如前所说，拨号访问服务器常常是园区网安全的一个隐患。主要的问题是大多数拨号访问服务用简单的Password识别用户，而简单的Password极易被猜到和窃取。一个解决办法是一次性Password。一次性Password的一种产生方法是借助于智能卡（Smart Card）。智能卡是一种信用卡大小的设备，用户向智能卡输入PIN（Personal Identification Number）来认证自己，智能卡基于用户的PIN、智能卡序号、时间和其它一些独特的参数计算Password，用户将Password输入系统。只要智能卡序号是一个大随机数，一次性Password将无法猜测。由于有时间等变化且不重复的参数，一次性Password将不会重复，因此在传输中即使被窃取也不会发生问题。被访问服务器用相同的算法和参数计算Password。如果比对一致，用户的访问将被允许。

　　一次性Password产生和比对复杂，所以常常设置安全服务器认证一次性Password。被访问服务器接到用户的Userid和Password之后，通过RAVIUS或TACASTST等协议将Userid和Password传统安全服务器，安全服务根据Userid确定Password产生办法，产生Password并进行比对，如果一致，则将肯定的结果返回被访问服务器，反之则将否定的结果返回。安全服务器设置可以使用户访问多个服务器使用同一种一致性Password算法。网络管理员也能通过安全服务器集中管理网络的安全策略。

　　一次性Password不仅可以用于访问服务器，还可以用于任何通过Password认证用户的地方，如设备管理、Telnet和FTP服务、数据库访问等。

　　VLAN和访问控制表

　　除了防止外来黑客攻击之外，园区网内部的访问控制也是极重要的一个方面。大量研究表明，企业安全问题只有30％来自外部攻击，而70％的问题来自企业内部。划分VLAN和IP子网，在IP子网间设置访问控制表是解决内部安全问题的一个重要方法。

　　VLAN是链路层交换的一个概念。相互连接的若干第二层交换机形成一个局域网，这个局域网除性能提高外，与传统局域网并无大差别。划分VLAN即划分若干逻辑区域，一个区域即一个逻辑上的局域网。在VLAN内部，广播信息传播到域内所有节点，单日数据包仅传到目的节点不同，VLAN具有不同层安全隔离。不同VLAN之间的通信只能通过第三层交换才能实现。

　　IP子网划分一般基于VLAN划分，即一个VLAN分配一个IP子网。路由协议最好采用支持可变长Netmask的协议，如OSPF等。VLAN和IP子网一般以部门为单位划分。从网络角度看部门内部可以实现无控制的资源共享，访问控制化在服务器、数据库和应用级进行，子网间通信必须通过第三IP包的源地址和目的地址及端口号、协议等决定转发或丢弃该包，从而达到控制部门间访问的目的。