Resumen: Con la creciente popularidad de Internet y el vigoroso desarrollo de las aplicaciones de red, la seguridad de los recursos de información de la red ha atraído mucha atención. Los hosts de la red del campus pueden ser atacados por intrusos ilegales y los datos confidenciales de la red pueden filtrarse o modificarse. Es importante garantizar la confidencialidad, integridad, disponibilidad, controlabilidad y capacidad de revisión del sistema de red. Construir la red del campus a través de la topología de la red y la tecnología de grupos de redes, y mejorar la seguridad de la red a través de aspectos físicos, de datos y otros aspectos del diseño son medidas efectivas para resolver los problemas anteriores.
Palabras clave: red de campus; construcción de redes; seguridad de redes;
La ola de informatización representada por Internet está arrasando el mundo. La aplicación de la tecnología de redes de información se está volviendo cada vez más popular y profunda. Con el rápido desarrollo de la tecnología de redes, también han surgido varios problemas de seguridad. otro, las redes universitarias han sido "negras" o ocurren con frecuencia incidentes dañados por virus, que causan un impacto social extremadamente negativo y enormes pérdidas económicas. Mantener la seguridad de la red del campus requiere comenzar desde la construcción y el diseño de la seguridad de la red.
1. Construcción de red básica.
Debido a las características de la red del campus (gran tráfico de datos, gran estabilidad, economía y escalabilidad) y los requisitos de varios departamentos (control de acceso entre los departamentos de producción y los departamentos de oficina), adoptamos la siguiente solución :
1. Selección de topología de red: La red adopta una topología en estrella (Figura 1). Actualmente es la topología LAN más utilizada y común. Los nodos son muy independientes y adecuados para colocar equipos de diagnóstico de red en una ubicación central.
2. Selección de tecnología de red: actualmente, las tecnologías de red troncal más utilizadas incluyen Fast Ethernet (100 Mbps), FDDI, Gigabit Ethernet (1000 Mbps) y ATM (155 Mbps/622 Mbps). Fast Ethernet es una tecnología de red muy madura, su costo es muy bajo y su relación rendimiento-precio es muy alta. FDDI también es una tecnología de red madura, pero la tecnología es compleja, el costo es alto y es difícil de actualizar; La tecnología ATM es madura y es una plataforma de red ideal para sistemas de aplicaciones multimedia, pero su tasa de utilización real del ancho de banda de la red es muy baja. En la actualidad, Gigabit Ethernet se ha convertido en una tecnología de red madura y su costo es menor que el de ATM. red, y su ancho de banda efectivo es mayor que el de 622 Mbps de altura ATM. Por lo tanto, personalmente recomiendo usar Gigabit Ethernet como columna vertebral y cambiar Fast Ethernet al escritorio para construir una red de control de transmisión por computadora.
2. Diseño de seguridad de redes.
1. Diseño de seguridad física Para garantizar la seguridad física del sistema de red de información de la red del campus, además de la planificación de la red y los requisitos ambientales y del sitio, también es necesario evitar la difusión de información del sistema en espacio. Ha habido muchos casos en los que los sistemas informáticos han interceptado y descifrado información mediante radiación electromagnética. El trabajo de verificación respaldado por la teoría y la tecnología también ha confirmado que esta tecnología de restauración y visualización con distancias de interceptación de cientos o incluso kilómetros puede mejorar en gran medida la precisión de la información. Los sistemas informáticos causaron un gran daño. Para evitar la propagación de información en el sistema en el espacio, generalmente se toman ciertas medidas de protección físicamente para reducir o interferir con la propagación de señales espaciales. Las medidas preventivas normales se encuentran principalmente en tres aspectos: proteger la sala de computadoras y los departamentos de almacenamiento, envío y recepción de información importante, es decir, construir una sala de protección con un rendimiento de protección eficiente y utilizarla para instalar y operar equipos importantes para evitar tambores magnéticos, cintas y Fuga de señal de equipos de alta radiación, etc. Para mejorar la eficiencia de la sala blindada, se deben adoptar medidas y diseños de aislamiento correspondientes en diversas conexiones entre la sala blindada y el mundo exterior, como líneas de señal, líneas telefónicas, aires acondicionados, líneas de control de incendios, ventilación, guías de ondas, y cierres de puertas. Levántate y espera. Debido a la inevitabilidad de la transmisión por cable de información sobre radiación, la transmisión por cable óptico ahora se utiliza para suprimir la radiación de conducción de las líneas de transmisión de la red local y LAN. La mayoría de ellas se llevan a cabo fuera de la sala blindada con la interfaz de conversión fotoeléctrica del equipo saliendo. del Módem y del cable óptico de transmisión.
2. Diseño de seguridad de los recursos compartidos de la red y la información de datos. Para abordar este problema, decidimos utilizar la tecnología VLAN y el aislamiento físico de las redes informáticas para lograrlo. VLAN (Red de área local virtual) es una tecnología emergente que implementa grupos de trabajo virtuales dividiendo los dispositivos de la LAN en segmentos de red de forma lógica en lugar de física.
El IEEE promulgó el borrador del estándar del protocolo 802.1Q en 1999 para estandarizar las soluciones de implementación de VLAN. La tecnología VLAN permite a los administradores de red dividir lógicamente una LAN física en diferentes dominios de transmisión (o LAN virtuales, o VLAN). Cada VLAN contiene un grupo de estaciones de trabajo informáticas con las mismas necesidades y está relacionada con las mismas propiedades.
Pero debido a que está dividida lógicamente en lugar de físicamente, cada estación de trabajo en la misma VLAN no necesita estar ubicada en el mismo espacio físico, es decir, estas estaciones de trabajo no necesariamente pertenecen al mismo segmento físico de LAN. . El tráfico de transmisión y unidifusión dentro de una VLAN no se reenviará a otras VLAN. Incluso si dos computadoras tienen el mismo segmento de red, pero no tienen el mismo número de VLAN, sus respectivos flujos de transmisión no se reenviarán entre sí, lo que ayuda. controle el tráfico, reduzca la inversión en equipos, simplifique la gestión de la red y mejore la seguridad de la red. Se propuso VLAN para resolver el problema de transmisión y seguridad de Ethernet. Agrega un encabezado VLAN a la trama de Ethernet, utiliza VLANID para dividir a los usuarios en grupos de trabajo más pequeños y restringe la segunda capa de usuarios entre diferentes grupos de trabajo para visitas mutuas. El grupo de trabajo es una LAN virtual. La ventaja de la LAN virtual es que puede limitar el alcance de transmisión, formar grupos de trabajo virtuales y administrar dinámicamente la red. Actualmente, dividir las VLAN en función de los puertos es el método más utilizado. Muchos fabricantes de VLAN utilizan puertos de conmutador para dividir los miembros de la VLAN y todos los puertos configurados están en el mismo dominio de transmisión. Por ejemplo, los puertos 1, 2, 3, 4 y 5 de un conmutador se definen como red virtual AAA, y los puertos 6, 7 y 8 del mismo conmutador forman la red virtual BBB. Esto permite la comunicación entre puertos y permite actualizaciones de la red privada.
Sin embargo, este modelo de partición limita la red virtual a un conmutador. La tecnología VLAN de puerto de segunda generación permite dividir varios puertos diferentes en varios conmutadores en VLAN. Varios puertos en diferentes conmutadores pueden formar la misma red virtual. Los miembros de la red están divididos por puertos de conmutador y el proceso de configuración es simple y claro.
3. Diseño de control y prevención de riesgos de aplicaciones de correo electrónico, piratas informáticos y virus informáticos Utilizamos tecnología antivirus, tecnología de firewall y tecnología de detección de intrusos para resolver los problemas relacionados. Los cortafuegos y la detección de intrusiones también desempeñan un papel importante en la seguridad de la información y el control de acceso.
Primero, la tecnología antivirus. Los virus se han estado desarrollando en los sistemas informáticos durante más de diez años. En la actualidad, sus formas y métodos de invasión han sufrido cambios tremendos. Aparecen nuevos virus en INTERNET y se propagan a través del intercambio de información en INTERNET, especialmente el CORREO ELECTRÓNICO. rápidamente. Los piratas informáticos suelen utilizar virus y programas maliciosos para llevar a cabo ataques.
Para proteger los servidores y estaciones de trabajo en la red de virus informáticos y establecer un mecanismo de control de virus centralizado y eficaz, Tianxia Paper Network necesita aplicar tecnología antivirus basada en red. Estas tecnologías incluyen: sistemas antivirus basados en puertas de enlace, sistemas antivirus basados en servidores y sistemas antivirus basados en escritorio. Por ejemplo, planeamos instalar de manera uniforme un conjunto de productos antivirus de red en la computadora host, configurar una consola central antivirus en la red de información de la computadora y distribuir software antivirus a todos los usuarios de la red desde la consola, para así logrando actualizaciones unificadas y un propósito de gestión unificado. Después de instalar el software antivirus basado en red, no sólo se puede proteger el host contra virus, sino que también se pueden proteger contra virus los archivos transferidos a través del host. De esta manera, se puede establecer un sistema de control antivirus centralizado y eficaz. Garantizar la seguridad de la información de la red informática. Se formó el mapa de topología general.
En segundo lugar, la tecnología firewall. Los firewalls empresariales son generalmente dispositivos de seguridad de red especializados que integran software y hardware. Se utilizan especialmente en la capa de red del sistema TCP/IP para proporcionar autenticación, control de acceso, auditoría de seguridad, traducción de direcciones de red (NAT), IDS, proxy de aplicaciones y otros. funciones para proteger la LAN interna Acceda de forma segura a INTERNET o red pública para resolver el problema de seguridad de las entradas y salidas de la red de información informática interna.
Alguna información de la red del campus no puede ser divulgada al público, por lo que esta información debe ser estrictamente protegida y mantenida confidencial. Por lo tanto, es necesario fortalecer la gestión del acceso del personal externo a la red del campus y prevenirla. la filtración de información sensible.
A través del firewall, el acceso de los usuarios externos a la red del campus está estrictamente controlado y el acceso ilegal está estrictamente denegado. Los firewalls pueden proporcionar diversas protecciones para las redes de información de la red del campus, que incluyen: filtrar servicios inseguros y acceso ilegal, controlar el acceso a sitios especiales, monitorear la seguridad de INTERNET y alerta temprana, autenticación del sistema y usar funciones de registro para analizar situaciones de acceso, etc. A través del firewall, básicamente se garantiza que el acceso interno sea seguro, lo que puede prevenir eficazmente el acceso ilegal, proteger los datos en hosts importantes y mejorar la integridad de la red. La estructura de red de la red del campus se divide en la red de área local de cada departamento (subred de seguridad interna) y una subred de seguridad que se conecta a la red interna y proporciona varios servicios de red al mundo exterior al mismo tiempo. Diagrama de topología del firewall.
La subred de seguridad interna conecta todas las computadoras internas, incluidas varias VLAN y servidores internos. Este segmento de red está separado del exterior, lo que prohíbe intrusiones y ataques ilegales desde el exterior y controla el acceso externo legal para realizar el interno. seguridad de subred. *** Disfrute de subredes seguras para conectar computadoras y servidores que brindan servicios WEB, CORREO ELECTRÓNICO, FTP y otros servicios al mundo exterior, y logre seguridad a nivel de puerto a través del mapeo. Los usuarios externos sólo pueden acceder a servidores que estén abiertos al mundo exterior según lo permitan las reglas de seguridad, ocultando otros servicios del servidor y reduciendo las vulnerabilidades del sistema.
Referencias:
[1]Andrew S. Tanenbaum. Redes de computadoras (4.ª edición) [M]. Beijing: Tsinghua University Press, 2008.8.
[ 2] Yuan Jinsheng, Wu Yannong. Fundamentos de seguridad de redes informáticas[M]. Beijing: People's Posts and Telecommunications Press, 2006.7.
[3]Laboratorio de TI de China. VLAN y tecnología[J/OL], 2009.