導(dǎo)語(yǔ)：局域網(wǎng)網(wǎng)絡(luò)安全體系架構(gòu)的研究一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

1局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全目標(biāo)

對(duì)局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)系統(tǒng)安全因素進(jìn)行分析，需要達(dá)到網(wǎng)絡(luò)系統(tǒng)安全就必須實(shí)現(xiàn)這些目標(biāo)：建立網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理策略，并不斷完善嚴(yán)格執(zhí)行；建立有效的隔離內(nèi)網(wǎng)、公開服務(wù)器以及外部網(wǎng)絡(luò)的方案，要盡量避免與外部網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行直接交換；涉及到網(wǎng)絡(luò)體系中的主機(jī)與服務(wù)器，要有針對(duì)性構(gòu)建安全保護(hù)措施，并根據(jù)實(shí)際的需要進(jìn)行完善，最大限度保障系統(tǒng)能夠安全穩(wěn)定的運(yùn)行；網(wǎng)絡(luò)中相關(guān)服務(wù)請(qǐng)求要進(jìn)行嚴(yán)格的過濾，針對(duì)一些較為危險(xiǎn)的請(qǐng)求服務(wù)必須及時(shí)拒絕，以求保障在其達(dá)到目標(biāo)主機(jī)之前成功被攔截；關(guān)于合法用戶的訪問與認(rèn)證要提升管理力度，配置最低限度的用戶訪問權(quán)限；對(duì)公開服務(wù)器進(jìn)行監(jiān)管，對(duì)各種不安全的操作或者一些不法攻擊等等要及時(shí)的進(jìn)行回應(yīng)；另外，局域網(wǎng)審計(jì)工作也比較重要，網(wǎng)絡(luò)中必然有各種各樣的訪問，需要詳細(xì)的做好記錄，構(gòu)建完整的系統(tǒng)日志；建立備份與災(zāi)難恢復(fù)應(yīng)急機(jī)制，最大限度保障系統(tǒng)能夠在最短的時(shí)間內(nèi)恢復(fù)到正常運(yùn)行。

2構(gòu)建局域網(wǎng)網(wǎng)絡(luò)安全體系架構(gòu)

2.1構(gòu)建網(wǎng)絡(luò)防火墻

網(wǎng)絡(luò)防火墻（firewall）其配置的方式有以下幾種：Screeningrouter主要為bastionhost提供最大限度的支持與保護(hù)，將進(jìn)入的相關(guān)所有數(shù)據(jù)傳送給bastionhost，并bastionhost決定所有發(fā)送的數(shù)據(jù)。整個(gè)結(jié)構(gòu)對(duì)Screeningrouter和bastionhost依賴是非常嚴(yán)重的，由此可見，其中一個(gè)環(huán)節(jié)若是出現(xiàn)了問題，那么將導(dǎo)致整個(gè)網(wǎng)絡(luò)沒有安全性可言。此種方式的結(jié)構(gòu)比較簡(jiǎn)單，并且所涉及到的成本也比較低，其優(yōu)勢(shì)不言而喻。在兩個(gè)網(wǎng)絡(luò)中間進(jìn)行放置，但是因?yàn)闆]有將網(wǎng)絡(luò)安全的自我防衛(wèi)能力添加，因此，會(huì)常常成為網(wǎng)絡(luò)黑客長(zhǎng)期攻擊的目標(biāo)，一旦被攻擊失守，整個(gè)網(wǎng)絡(luò)也將癱瘓。在外部網(wǎng)絡(luò)，以及用戶單位內(nèi)網(wǎng)之間構(gòu)建隔離設(shè)施，形成DMZ隔離區(qū)。其中包含了兩個(gè)bastionhost與兩個(gè)Screeningrouter，將bastionhost放在隔離區(qū)內(nèi)部。此種方式，配置了兩個(gè)安全單元，因此，整個(gè)結(jié)構(gòu)的安全性比較高，一般在企業(yè)與事業(yè)單位局域網(wǎng)配置比較普遍。

2.2設(shè)置虛擬局域網(wǎng)

虛擬局域網(wǎng)，即VLAN（VirtualLocalAreaNetwork）。眾所周知，VLAN是當(dāng)前使用十分普遍而且得到深入研究與廣泛推廣的新興技術(shù)。從邏輯方式上將局域網(wǎng)LAN的設(shè)備劃分成若干網(wǎng)段，其目的是要充分實(shí)現(xiàn)虛擬工作組之間的數(shù)據(jù)成功交換。由于虛擬局域網(wǎng)的出現(xiàn)，整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)也更加靈活，更加方便快捷。VLAN不需要重視網(wǎng)絡(luò)地理位置，任何一處都可以將其劃分成一個(gè)邏輯網(wǎng)子。劃分虛擬局域網(wǎng)的過程中要注意以下幾點(diǎn)問題：通常大型網(wǎng)絡(luò)環(huán)境下必然存在非常多的廣播信息，產(chǎn)生信息堵塞的情況時(shí)有發(fā)生，廣播風(fēng)暴也就這樣形成了。局域網(wǎng)設(shè)計(jì)階段，需要重視這方面的問題，充分利用VIAN技術(shù)將一個(gè)邏輯區(qū)域劃分出來，但是廣播信息又不會(huì)從邏輯區(qū)域跳出而進(jìn)行傳播，通過這種方式將廣播進(jìn)行隔離，縮小了廣播的范圍，也就一定程度降低了廣播風(fēng)暴形成的幾率?；诰W(wǎng)絡(luò)安全體系設(shè)計(jì)，在VLAN劃分的邏輯區(qū)域之間不能直接進(jìn)行通信，其必然的選擇應(yīng)該是由路由進(jìn)行轉(zhuǎn)發(fā)，這種設(shè)計(jì)方式能設(shè)計(jì)出更高級(jí)的網(wǎng)絡(luò)安全控制，網(wǎng)絡(luò)安全運(yùn)行也得到了一定的保障。企業(yè)與事業(yè)單位中的局域網(wǎng)，機(jī)構(gòu)就比較多，相同的機(jī)構(gòu)人員的辦公地點(diǎn)也比較分散，其物理位置不一樣，這樣便能將工作有關(guān)聯(lián)的人員通過VLAN劃分在相同的邏輯子網(wǎng)內(nèi)，另外，網(wǎng)絡(luò)管理人員需要給同一個(gè)部門的人員進(jìn)行用戶訪問權(quán)限設(shè)置，這類訪問權(quán)限可以是相同的，這樣便能讓網(wǎng)絡(luò)管理更加直觀、方便、安全，局域網(wǎng)網(wǎng)絡(luò)性能也得到了一定限度的提升。

2.3防病毒

局域網(wǎng)網(wǎng)絡(luò)病毒防范是非常重要的環(huán)節(jié)，可以采用網(wǎng)絡(luò)版本的防病毒軟件，對(duì)局域網(wǎng)網(wǎng)絡(luò)防范病毒的方案進(jìn)行統(tǒng)一的策劃與執(zhí)行。保障整個(gè)網(wǎng)絡(luò)集中進(jìn)行管理，實(shí)現(xiàn)全自動(dòng)安裝智能化，及時(shí)得到自動(dòng)升級(jí)，有病毒的情況下能及時(shí)通告，審計(jì)信息實(shí)時(shí)獲取并報(bào)警，讓局域網(wǎng)管理更加方便。若要實(shí)現(xiàn)隔離，可以在互聯(lián)網(wǎng)與局域網(wǎng)之間設(shè)置中間機(jī)，廣大網(wǎng)絡(luò)用戶即使需要通過因特網(wǎng)下載或者上傳文件時(shí)，必須要經(jīng)過中間機(jī)進(jìn)行病毒的掃描以及惡意代碼程序的監(jiān)控，整個(gè)監(jiān)管過程順利通過之后，才會(huì)讓廣大用戶繼續(xù)下載使用。

3結(jié)語(yǔ)

總之，影響局域網(wǎng)網(wǎng)絡(luò)安全的因素非常多，用戶由于自身需求情況不同，對(duì)網(wǎng)絡(luò)安全的程度也就不一樣。隨著局域網(wǎng)網(wǎng)路安全技術(shù)的不斷創(chuàng)新，廣大研究者要與時(shí)俱進(jìn)對(duì)各種新的網(wǎng)絡(luò)安全技術(shù)進(jìn)行綜合分析與使用，要采取更加安全可靠的軟件系統(tǒng)與硬件系統(tǒng)，在不斷使用的過程中進(jìn)行完善，這樣才能進(jìn)一步提升網(wǎng)絡(luò)安全層次。

本文作者：劉靜工作單位：第三軍醫(yī)大學(xué)第一附屬醫(yī)院手術(shù)麻醉科