◆張佼龍

(身份證號(hào):410105200008220017)

網(wǎng)絡(luò)安全模型的改進(jìn)設(shè)計(jì)及實(shí)現(xiàn)

◆張佼龍

(身份證號(hào):410105200008220017)

保障網(wǎng)絡(luò)的安全運(yùn)行是當(dāng)前信息技術(shù)的研究熱點(diǎn)，對(duì)網(wǎng)絡(luò)不安全性因素的行為深入分析，可以發(fā)揮網(wǎng)絡(luò)安全模型在網(wǎng)絡(luò)安全運(yùn)行中的重要作用。計(jì)算機(jī)的網(wǎng)絡(luò)安全防范不僅需要理論的支撐，更需要借助實(shí)驗(yàn)對(duì)理論知識(shí)進(jìn)行實(shí)踐驗(yàn)證。計(jì)算機(jī)一旦受到任何攻擊，都會(huì)對(duì)人們的生活工作帶來極大的損失?；诖吮疚耐ㄟ^對(duì)計(jì)算機(jī)網(wǎng)絡(luò)等信息技術(shù)安全特性進(jìn)行分析，從而探析基于防火墻的網(wǎng)絡(luò)安全模型的設(shè)計(jì)。

網(wǎng)絡(luò)安全模型；設(shè)計(jì)改進(jìn)；模型優(yōu)化

0 引言

當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)的使用規(guī)模日趨增大，網(wǎng)絡(luò)的安全特性也逐漸受到社會(huì)各界人士的廣泛關(guān)注。網(wǎng)絡(luò)安全是在計(jì)算機(jī)使用過程中的一個(gè)潛在的重要因素，要保證計(jì)算機(jī)的正常使用，必須要保證計(jì)算機(jī)不會(huì)受到病毒以及各種黑客的入侵[1]，防止其對(duì)網(wǎng)絡(luò)系統(tǒng)的安全特性造成影響。因此在當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)廣泛應(yīng)用的背景之下，需要不斷地優(yōu)化改進(jìn)網(wǎng)絡(luò)安全模型，從而有效提升網(wǎng)絡(luò)安全模型的可行性，保證計(jì)算機(jī)使用過程中的安全，以便給人們營造一種安全健康的網(wǎng)絡(luò)環(huán)境。

1 傳統(tǒng)網(wǎng)絡(luò)模型分析

社會(huì)科技不斷發(fā)展進(jìn)步，更多的信息化技術(shù)被廣泛地應(yīng)用于當(dāng)前人們的生活、工作中，計(jì)算機(jī)網(wǎng)絡(luò)安全問題也逐漸受到人們的廣泛關(guān)注。網(wǎng)絡(luò)安全是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)造成威脅的一大風(fēng)險(xiǎn)因素，其威脅來自網(wǎng)絡(luò)內(nèi)部以及網(wǎng)絡(luò)外部的多方面攻擊。而傳統(tǒng)的網(wǎng)絡(luò)安全模型，對(duì)于網(wǎng)絡(luò)系統(tǒng)性的管理仍然存在一定的拓展延寬性[2]。計(jì)算機(jī)網(wǎng)絡(luò)管理中涵蓋了多種安全技術(shù)，比如防火墻技術(shù)、入侵信息檢測(cè)技術(shù)、防護(hù)技術(shù)、身份驗(yàn)證技術(shù)等。其中防火墻技術(shù)是網(wǎng)絡(luò)安全系統(tǒng)中最為常用的基本技術(shù)，受到了廣泛使用。本文通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)管理系統(tǒng)的仿真平臺(tái)進(jìn)行防火墻實(shí)驗(yàn)，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)管理中的防火墻技術(shù)進(jìn)行驗(yàn)證，發(fā)現(xiàn)兩者之間并無明顯差距，可見，仿真平臺(tái)可以提供良好的防火墻技術(shù)實(shí)驗(yàn)條件。

2 基于防火墻的網(wǎng)絡(luò)安全模型設(shè)計(jì)

在對(duì)計(jì)算機(jī)網(wǎng)絡(luò)管理中的仿真平臺(tái)設(shè)置中采用的主要設(shè)備由GNS3、VMware以及SNMPc三者組成。在這其中，GNS3代表的就是仿真平臺(tái)的網(wǎng)絡(luò)系統(tǒng)進(jìn)行連接的主要設(shè)備。由于在此設(shè)備中所進(jìn)行數(shù)據(jù)信息加載的是真實(shí)的基礎(chǔ)設(shè)施，因此仿真的效果與真實(shí)的效果是幾乎等同的。此設(shè)備中不僅能夠?qū)ο到y(tǒng)中的路由器設(shè)備以及交換機(jī)設(shè)備進(jìn)行效仿，并且還能夠滿足計(jì)算機(jī)網(wǎng)絡(luò)管理系統(tǒng)中的入侵檢測(cè)功能以及防御功能，從而滿足了該實(shí)驗(yàn)的仿真要求。而VMware則是主要對(duì)計(jì)算機(jī)的各種操作系統(tǒng)進(jìn)行模仿，其中也包括了網(wǎng)絡(luò)管理系統(tǒng)的具體操作功能。SNMPc設(shè)備的主要功能則是主要用于網(wǎng)絡(luò)管理系統(tǒng)的顯示功能，從而對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行管理。

計(jì)算機(jī)網(wǎng)絡(luò)管理的仿真實(shí)驗(yàn)平臺(tái)就是基于校園網(wǎng)，從而對(duì)計(jì)算機(jī)終端的設(shè)備進(jìn)行接入，經(jīng)過匯聚層以及核心層的全過程。而VMware以及 GNS3中的具體系統(tǒng)設(shè)備連接網(wǎng)絡(luò)之后，都能夠經(jīng)由 SNMPc進(jìn)行整個(gè)系統(tǒng)的網(wǎng)絡(luò)可視化管理，從而滿足整個(gè)網(wǎng)絡(luò)系統(tǒng)的管理功能。

3 網(wǎng)絡(luò)安全模型設(shè)計(jì)

網(wǎng)絡(luò)安全系統(tǒng)的組成主要包含了硬件以及軟件，防火墻主要位于計(jì)算機(jī)網(wǎng)絡(luò)管理系統(tǒng)中的外部網(wǎng)絡(luò)以及內(nèi)部網(wǎng)絡(luò)之中，主要的操作過程就是通過對(duì)網(wǎng)絡(luò)管理系統(tǒng)進(jìn)行管理操作的人員，將該系統(tǒng)的網(wǎng)絡(luò)訪問實(shí)施管理，對(duì)訪問的具體信息數(shù)據(jù)進(jìn)行功能性過濾，從而對(duì)網(wǎng)絡(luò)系統(tǒng)的內(nèi)部平臺(tái)起到一定的保護(hù)功能，避免系統(tǒng)遭受惡意數(shù)據(jù)的非法入侵。防火墻的組成部件包含了數(shù)據(jù)信息訪問的服務(wù)管理規(guī)則、驗(yàn)證功能、過濾性能以及數(shù)據(jù)的應(yīng)用網(wǎng)關(guān)四個(gè)部分。

防火墻絕大多數(shù)情況下都位于計(jì)算機(jī)網(wǎng)絡(luò)管理系統(tǒng)中的內(nèi)部網(wǎng)絡(luò)以及外部網(wǎng)絡(luò)之中，從而使得兩個(gè)網(wǎng)絡(luò)系統(tǒng)之間能夠通過防火墻，從而連接成為一個(gè)安全的應(yīng)用網(wǎng)關(guān)。通過對(duì)網(wǎng)絡(luò)管理系統(tǒng)中的區(qū)域進(jìn)行劃分，隨后根據(jù)區(qū)域的不同，對(duì)系統(tǒng)區(qū)域訪問的數(shù)據(jù)信息控制的標(biāo)準(zhǔn)也各不相同。通常將外部網(wǎng)絡(luò)系統(tǒng)分為不可信任的網(wǎng)絡(luò)區(qū)域，將內(nèi)部網(wǎng)絡(luò)系統(tǒng)分為可信任的網(wǎng)絡(luò)區(qū)域，而網(wǎng)絡(luò)系統(tǒng)的服務(wù)器則劃分為非軍事化區(qū)域。

4 網(wǎng)絡(luò)安全系統(tǒng)的防火墻配置過程

4.1 使得校園網(wǎng)內(nèi)部網(wǎng)絡(luò)互通

校園網(wǎng)要想達(dá)到網(wǎng)絡(luò)互通的整體效果，就要借助于網(wǎng)絡(luò)系統(tǒng)的具體配置以及防火墻技術(shù)的終端。首先配置防火墻，進(jìn)行網(wǎng)絡(luò)設(shè)備的接入，將VLAN與網(wǎng)絡(luò)系統(tǒng)的終端接入口模式進(jìn)行設(shè)置。將任何網(wǎng)絡(luò)接入口設(shè)備都能劃分為兩個(gè)VLAN，然后將每個(gè)不同的接入設(shè)備連接不同的VLAN，將所有設(shè)備的匯聚口與終端設(shè)備相連接，設(shè)置為“Trunk”。該配置的主要接入口的IP地址作為系統(tǒng)的終端接入地址，借助匯聚層的接入口對(duì)不同接入段的VLAN網(wǎng)段問題進(jìn)行解決。除此之外，防火墻的整體配置匯聚口還應(yīng)該接入不同的IP核心地址以及設(shè)備的接入口IP地址。

在完成防火墻的基本配置之后，就需要啟動(dòng)路由的整體動(dòng)態(tài)協(xié)議，把整體的網(wǎng)絡(luò)進(jìn)行相連接。動(dòng)態(tài)路由協(xié)議又被命名為RIP協(xié)議。防火墻的整體配置也應(yīng)該與網(wǎng)絡(luò)系統(tǒng)的內(nèi)部網(wǎng)絡(luò) IP地址相連接，從而對(duì)RIP協(xié)議的整體動(dòng)態(tài)進(jìn)行配合，使得計(jì)算機(jī)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)能夠正常地與接口相連接。

4.2 使得校園網(wǎng)外部網(wǎng)絡(luò)互通

首先對(duì)路由器接口 IP地址進(jìn)行設(shè)置，從而對(duì)防火墻的整體系統(tǒng)與外部網(wǎng)絡(luò)系統(tǒng)的接口地址相連接，以及防火墻的整體配置與服務(wù)器系統(tǒng)的 IP地址相連接。并且在設(shè)置完成之后，將外部網(wǎng)絡(luò)與防火墻的整體設(shè)置進(jìn)行連接測(cè)試，通過外部網(wǎng)絡(luò)的服務(wù)器防火墻與外部網(wǎng)絡(luò)的端口接入進(jìn)行連接。除此之外，還要對(duì)DMZ區(qū)域進(jìn)行配置設(shè)置，將非軍事化區(qū)域的網(wǎng)絡(luò)進(jìn)行互通。

4.3 外網(wǎng)能夠訪問DMZ服務(wù)器

要想使得防火墻的配置中外部網(wǎng)絡(luò)系統(tǒng)能夠?qū)MZ服務(wù)器進(jìn)行訪問，而又因?yàn)镈MZ區(qū)域的服務(wù)器所設(shè)置的IP地址只限于私有的 IP地址，那么外部的計(jì)算機(jī)就不可能直接與其連接，因此就需要將內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)服務(wù)IP地址設(shè)置成一個(gè)公共的IP地址，從而便于防火墻的外部便于連接計(jì)算機(jī)的DMZ服務(wù)器。具體的設(shè)置程序如下所示：

5 結(jié)語

網(wǎng)絡(luò)安全在我國的發(fā)展進(jìn)程中占據(jù)了重要的地位，在計(jì)算機(jī)網(wǎng)絡(luò)管理的過程中學(xué)生要不斷學(xué)習(xí)理論知識(shí)，借助實(shí)踐驗(yàn)證理論，達(dá)到實(shí)驗(yàn)理論的高度整合。計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)中的防火墻實(shí)驗(yàn)設(shè)計(jì)就滿足了當(dāng)前網(wǎng)絡(luò)管理系統(tǒng)的內(nèi)容需求。而實(shí)驗(yàn)的結(jié)果也表明了網(wǎng)絡(luò)系統(tǒng)防火墻實(shí)驗(yàn)設(shè)計(jì)所達(dá)到的效果與真實(shí)的設(shè)備效果等同。

[1]馬彥武，董淑福，韓仲祥.一種網(wǎng)絡(luò)安全聯(lián)動(dòng)防御模型的設(shè)計(jì)與實(shí)現(xiàn)[J].火力與指揮控制，2011.

[2]許曉燕.基于改進(jìn)博弈模型的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估平臺(tái)設(shè)計(jì)[J].現(xiàn)代電子技術(shù)，2016.