收藏
下载资源

联网收费网络安全性探讨

上传人:f****u 文档编号:108304731 上传时间:2019-10-23 格式:PDF 页数:5 大小:288.85KB
返回 下载 相关 举报
联网收费网络安全性探讨_第1页
第1页 / 共5页
联网收费网络安全性探讨_第2页
第2页 / 共5页
联网收费网络安全性探讨_第3页
第3页 / 共5页
联网收费网络安全性探讨_第4页
第4页 / 共5页
联网收费网络安全性探讨_第5页
第5页 / 共5页
亲,该文档总共5页,全部预览完了,如果喜欢就下载吧!
资源描述

《联网收费网络安全性探讨》由会员分享,可在线阅读,更多相关《联网收费网络安全性探讨(5页珍藏版)》请在金锄头文库上搜索。

1、联网收费网络安全性探讨 湖北省交通厅通信信息中心袁华刚 随着互联网的飞速发展,网络安全问题已经越来越受到大家广泛的关注,各种病毒花样繁多、 层出不穷;系统、程序、软件的安全漏洞越来越多;黑客们通过不正当手段侵入他人电脑,非法 获得信息资料,给正常使用网络的用户带来不可估计的损失。 近年来,全国各省高速公路联网收费正如火如荼地进行中,虽然高速公路的收费系统网络是 一个独立的网络,与互联网现阶段采取的是物理隔离,但其安全性问题得到越来越多的人关注, 怎样提高网络安全性、提高数据安全性已经越来越成为大家关心的焦点,笔者曾参与湖北省高速 公路联网收费网络建设,本文将结合湖北省联网收费网络的情况,和大家

2、共同探讨一下联网收费 网络安全性的问题。 第一、网络结构设计方面 好的网络结构的设计可以从源头上避免一些安全上的隐患。 下图为湖北省联网收费网络拓扑结构 3 3 8 T 第八届由国高速公路信息l 邕管理餍技蔗醺蔼 霉,h e8 t hS e m ;n a ro fC h l n aE x p r e s s w a YE - i n f oF m 鑫t i O n 嫩器n 器9 e m e n t 纛n 畦“ r e 群阶竹o I o Q i e s 湖北省联网收费的网络结构分为三层,分中心交换机向下通过通信系统连接收费站交换机,中 心内连接路由器,路由器通过通信系统向上连接省中心路由器,省中

3、心路由器连接交换机以及下 属的收费服务器等,这样就构成了收费站、分中心、省中心三层的网络结构。这样的网络结构路段 内如果有广播风暴,很容易使整个路段网络陷入瘫痪;并且各路段之间没有防火墙,会使各路段 之间互相影响,有安全隐患;如果路网内通过路由器转发的数据过多,会给路由器造成很大的负 担,使路由器成为整个路段的瓶颈。 这里,我想跟大家探讨几个网络技术,通过这几个技术的应用,我们可以使以上的一种网络 结构在安全性上得到很大的提高。 V L A N 在高速公路网上的应用 V L A N ( V i r t u a lL o c a l A r e aN e t w o r k ) 又称虚拟局域网,

4、是指在交换局域网的基础上,采用网 络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个V L A N 组成一个逻辑子 网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一 个逻辑子网中。虚拟局域网是一种软技术,常见的虚拟局域网分类有三种:基于端口、基于硬件 M A C 地址、基于网络层。 使用V L A N 具有以下优点: 1 、控制广播风暴 一个V L A N 就是一个逻辑广播域,通过对V L A N 的创建,隔离了广播,缩小了广播范围, 可以控制广播风暴的产生。 2 、提高网络整体安全性 通过路由访问列表和M A C 地址分配等V L A N 划

5、分原则,可以控制用户访问权限和逻辑网段 大小,将不同用户群划分在不同V L A N ,从而提高交换式网络的整体性能和安全性。 _ 。 。 3 、网络管理简单、直观 对于交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员对网络系统的物理 结构重新进行调整,甚至需要追加网络设备,增大网络管理的工作量。而对于采用V L A N 技术的 网络来说,一个V L A N 可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一 个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利 用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。在一

6、个交换网 络中,V L A N 提供了网段和机构的弹性组合机制。 三层交换技术在高速公路网的应用 传统的路由器在网络中有路由转发、防火墙、隔离广播等作用,而在一个划分了V L A N 以后 的网络中,逻辑上划分的不同网段之间通信仍然要通过路由器转发。由于在局域网上,不同V L A N 之间的通信数据量是很大的,这样,如果路由器要对每一个数据包都路由一次,随着网络上数据 量的不断增大,路由器将不堪重负,路由器将成为整个网络运行的瓶颈。 在这种情况下,出现了第三层交换技术,它是将路由技术与交换技术合二为一的技术。三层 交换机在对第一个数据流进行路由后,会产生一个M A C 地址与I P 地址的映射

7、表,当同样的数据 流再次通过时,将根据此表直接从二层通过而不是再次路由,从而消除了路由器进行路由选择而 造成网络的延迟,提高了数据包转发的效率,消除了路由器可能产生的网络瓶颈问题。可见,三 层交换机集路由与交换于一身,在交换机内部实现了路由,提高了网络的整体性能。 在以三层交换机为核心的网络中,为保证不同收费站管理的方便性和安全性以及整个网络运 行的稳定性,可采用V L A N 技术进行虚拟网络划分。 3 3 9 交叠虚拟局域网技术在高速公路网的应用 交叠虚拟局域网是在基于端口划分虚拟局域网的基础上提出来的,最早的交换机每一个端口 只能同时属于一个虚拟局域网,交叠虚拟局域网允许一个交换机端口同

8、时属于多个虚拟局域网。 只需要将对应的交换机端口设置成为支持多个虚拟局域网,然后创建一个新虚拟局域网,将 需要在多个局域网中的服务器或终端划分到新虚拟局域网,保持这些服务器或终端原来所属虚拟 局域网不变即可。 灵活应用以上三种技术,我们可以在各路段分中心设置三层交换机,对各端口进行V L A N 划 分,每一个端口( 即一个V L A N ) 对应此路段下属的一个收费站,这样可以有效的控制网络广播 在一个收费站的范围,不至于因为一个站的广播风暴影响了整个路段。将路段分中心的各服务器、 收费管理计算机、I C 卡管理计算机、财务报表计算机等划分到一个V L A N 中,这样方便访问服 务器。把路

9、段分中心服务器和省中心的服务器,以及省中心收费管理计算机,I c 卡管理计算机, 财务计算机等划分到一个V L A N 中,这样方便了路段中心与省中心之间的数据传输,并且使得网 络结构看起来更简洁、直观、清晰、明了。 防火墙技术在高速公路上的应用 “防火墙”是一种形象的说法,其实它是一种由计算机硬件和软件的组合,使互联网与内部 网之间建立起一个安全网关( s c u r i t yg a t e w a y ) ,从而保护内部网免受非法用户的侵入,它其实就是 一个把外部不安全网络与内部网( 通常这局域网或城域网) 隔开的屏障。 一般来说,防火墙具有以下几种功能: 1 允许网络管理员定义一个中心

10、点来防止非法用户进入内部网络。 2 可以很方便地监视网络的安全性,并报警。 3 可以作为部署N A T ( N e t w o r k A d d r e s sT r a n s l a t i o n ,网络地址变换) 的地点,利用N A T 技 术,将有限的I P 地址动态或静态地与内部的I P 地址对应起来,用来缓解地址空间短缺的问题。 尽管防火墙的发展经过了几代,但是按照防火墙对内外来往数据的处理方法,大致可以将防火墙 分为两大体系:包过滤防火墙和代理防火墙( 应用层网关防火墙) 。前者以以色列的C h e c k p o i n t 防火墙和C i s c o 公司的P I X 防

11、火墙为代表,后者以美国N A I 公司的G a u n t l e t 防火墙为代表。 两种防火墙技术的对比 r r 色短德醋灭瑶一”厂 ”6 一代鳢黼灭增6 | 优点 i 缺点 l 内置了专门为了提高安全性而编制的P r 。x y ;价格较低 应用程序,能蟛透彻地理解相关服务的命 l 令,对来往的数据包进行安全化处理 T 第J 弋属豳国离建公路僖息l 琶藿理骚技柬研谢会 。下h e8 t hS e m n 8rO fe h l n 8E x pr e s s w a YE l n f or m 露t i o 鼹M 嚣稳暴g e m e n t 霹n 谚7 r e e h n Q I o Q

12、i 8 s 笔者推荐在高速公路各分中心与省中心连接的链路上增加包过滤防火墙,这样可以通过制定 相应的访问规则来保持各路段的独立性( 路段与路段之间不能互相访问) ,又可以保证各路段分 中心与省中心之间的连通性,对各路段的网络安全提供保障。如果省中心将来为了为公众提供出 行信息,将高速公路实时路况信息连上互联网,可以在省中心与互联网之间添加防火墙。 第二、系统打补丁以及关闭不必要的服务方面 高速公路上运行的系统多为微软公司的w i n 2 0 0 0 ,w i n 2 0 0 3 和w i n x p 系统,微软公司会不定期 的在网上免费提供一些补丁,一定要记得及时打补丁,这样可以避免很多病毒、

13、木马以及后门软 件的攻击。除了可以增强兼容性外,更重要的是堵上已发现的安全漏洞。 本人不赞成将所有补丁都打上。因为,这样无形中就增加了W i n d o w s 的负担。特别是用户根 本不用的服务的相关补丁,根本没有打的必要! 因此,笔者建议可以在省中心建立一个补丁下载 和病毒库定义下载的专用服务器( 省中心网络安全服务器) ,各路段定期可以根据自己的实际情 况打补丁以及更新各杀毒软件的病毒定义。 W i n d o w s2 0 0 0 的启动时间比W i n d o w s9 8 、M e 长得多了,你会看到你的硬盘在启动时不停地 读写,因为这时W i n d o w s2 0 0 0 在

14、加载很多服务组件,其实有很多服务组件是根本不需要的,额 外的服务程序当然大大拖慢系统的速度了,有的服务组件还给系统带来安全的隐患,笔者建议不 必要的服务组件完全可以禁用。如以下一些服务等等: C l i p B o o k 你不需要查看远程剪贴簿的剪贴页面; F a xS e r v i c e 你不用W i n d o w s2 0 0 0 发送或者接收传真的; F T PP u b l i s h i n gS e r v i c e 你的计算机不做F T P 服务器; I I SA d m i nS e r v i c e 你的计算机不做W W W 服务器; I n t e r n e

15、tC o n n e c t i o nS h a r i n g 你不准备用W i n d o w s2 0 0 0 做路由服务器,让多人共享一条线路 上网: I P S E CP o l i c yA g e n t 你未连接到W i n d o w s2 0 0 0 的域; N e t M e e t i n gR e m o t eD e s k t o pS h a r i n g 你不想使用N e t M e e t i n g 远程管理计算机; t e l n e t :不想远程控制计算机执行控制台命令; 实际上,关闭不必要的组件服务既可以节约系统资源,又可以消除那些给系统带来隐

16、患的服 务,何乐而不为呢? ! 第三、路网防病毒软件方面 病毒防护在现今高速公路收费网络安全中已经是不可或缺的部分,如何运用最少的人力物力 完成最大的防护效能,才是我们考虑的重点,对于防毒软件的选择,我综合了以下几个观点供大 家参考: 1 、全方位的防毒功能,能够考虑到所有可能的入侵通道; 2 、具有多层架构的防毒机制; 3 、易于集中管理及维护,具有自动更新升级的能力; 4 、中央控管的防毒规则,完全不需使用者设定,提高信息人员效率; 5 、具有病毒防护统计报告能力,使你易于掌握整个防护计划。 随着杀毒软件技术的不断发展,现在的主流杀毒软件还有预防木马及其它的一些黑客程序的 入侵的功能。还有的杀毒软件开发商同时提供了软件防火墙,具有了一定防火墙功能,在一定程 度上能起到硬件防火墙的功效,如K V 3 0 0 、金山防火墙、N o r t o n 防火墙,瑞星防火墙等。 互联网高度发展的现今社会,网络带给人们更快速的信息取得通道,同样的也给计算机病毒 具有快速传播的能力,如今其危害已经不是只有个别收费站,而是扩

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号