企業(yè)IT設備管理中的網(wǎng)絡安全研究

1、企業(yè)IT設備管理中的網(wǎng)絡平安研究企業(yè)IT設備管理中的網(wǎng)絡平安研究1概述隨著互聯(lián)網(wǎng)的高速開展和IT網(wǎng)絡設備的更新，IT網(wǎng)絡設備技術的成熟應用使計算機網(wǎng)絡深化到人們生活的各個方面。網(wǎng)絡帶給人們諸多好處的同時，也帶來了很多隱患。企業(yè)面臨著信息外泄，效勞器遭受黑客攻擊，大量數(shù)據(jù)遭受篡改，特別是從事電子商務的企業(yè)，信息的平安問題成了瓶頸問題。隨著企業(yè)網(wǎng)絡中平安設備使用的增多，相應的使用設備的管理變得更加復雜。而企業(yè)的信息管理者和信息用戶對網(wǎng)絡平安認識缺乏，他們把大量的時間和精力用于提升網(wǎng)絡的性能和效率，結(jié)果導致了黑客攻擊、惡意代碼、郵件炸彈等越來越多的平安威脅。為了防范各種各樣的平安問題，本文將從企業(yè)內(nèi)

2、部的IT設備產(chǎn)品入手，對企業(yè)的網(wǎng)絡平安進展研究。2企業(yè)IT設備的定義和分類概述企業(yè)IT設備其實就是網(wǎng)絡互聯(lián)設備，就是在網(wǎng)間的連接途徑中進展協(xié)議和功能的轉(zhuǎn)換，它具有很強的層次性。遵循SI模型，在SI的每一層對應不同的IT設備產(chǎn)品，每層IT設備產(chǎn)品用于執(zhí)行某種主要功能，并具有自己的本文由論文聯(lián)盟.Ll.搜集整理一套通信指令協(xié)議，一樣層的IT設備之間共享這些協(xié)議。企業(yè)IT設備主要分為交換機、路由器、防火墻。交換機就是一種在通信系統(tǒng)中完成信息交換的功能，交換機擁有一條很高帶寬的背部總線和內(nèi)部交換矩陣，交換機的所有端口都掛接在這條背部總線上，制動電路收到數(shù)據(jù)包后，處理端口會查找內(nèi)存中的地址對照表以確定目

3、的的網(wǎng)卡掛接在哪個端口上，通過內(nèi)部交換矩陣迅速將數(shù)據(jù)包傳送到目的端口。路由器就是一種連接多個網(wǎng)絡或網(wǎng)段的網(wǎng)絡設備，它能將不同網(wǎng)絡或網(wǎng)段之間的數(shù)據(jù)信息進展翻譯，使它們互相讀懂對方的數(shù)據(jù)，從而構(gòu)成一個更大的網(wǎng)絡。其功能是對用戶提供最正確的通信途徑，利用路由表查找數(shù)據(jù)包從當前位置到目的地址的正確途徑。防火墻就是隔離在本地網(wǎng)絡和外界網(wǎng)絡之間的一道防御系統(tǒng)，防火墻可使用內(nèi)部網(wǎng)絡與因特網(wǎng)之間或者與其他外部網(wǎng)絡互相隔離、限制網(wǎng)絡互訪，以保護企業(yè)內(nèi)部網(wǎng)絡，其主要功能是隔離不同的網(wǎng)絡，防止企業(yè)內(nèi)部信息的泄露；強化網(wǎng)絡平安策略；包過濾和流量控制及網(wǎng)絡地址轉(zhuǎn)換等。3企業(yè)IT設備網(wǎng)絡平安管理形式研究在企業(yè)IT設備網(wǎng)絡

4、平安管理中，網(wǎng)絡管理平安形式包括以下三種：第二，平安管理P通過交換機管理平安設備，只需把平安管理P直接連接到交換機上，P和平安設備就都位于同一網(wǎng)段中。除了采用EB方式對平安設備進展管理配置外，還可以使用Telnet方式管理。用這種方式對平安設備進展管理時，必須首先保證平安管理P和平安設備之間有路由可達，并且可以用Telnet方式登錄到平安設備上，也可以采用SSH方式管理。當用戶在一個不能保證平安的網(wǎng)絡環(huán)境中時，卻要遠程登錄到平安設備上。這時，SSH特性就可以提供平安的信息保障以及認證功能，起到保護平安設備不受諸如IP地址欺詐、明文密碼截取等攻擊。第三，通過平安中心效勞器管理平安設備，就是把平安

5、管理計算機晉級成了平安中心效勞器。在效勞器上就可以對網(wǎng)絡中所有的平安設備進展管理配置，而不用再把平安管理計算機逐個的連接到平安設備或平安設備所在VLAN的交換機上。在這種管理形式中，除了不能直接連接到平安設備的NSLE口上對其進展管理配置外，EB、Telnet和SSH在平安中心效勞器上都可以使用。總之，以上三種網(wǎng)絡平安設備的管理形式主要是根據(jù)網(wǎng)絡的規(guī)模和平安設備的多少來決定使用哪一種管理形式。三種形式之間沒有完全的優(yōu)劣之分。假設是網(wǎng)絡中只有一兩臺平安設備，顯然采用第一種形式比擬好，只需要一臺平安管理P就可以，假設是采用架設平安中心效勞器的話就有些得不償失。假如平安設備較多，并且都分布在不同的網(wǎng)

6、段，那選擇第二種形式即可，用兩三臺平安管理P管理平安設備，比架設兩臺效勞器還是要經(jīng)濟很多。假設是平安設備很多就采用第三種形式，它至少能給網(wǎng)絡管理員節(jié)省很多的時間，因為在一臺效勞器上就可以對所有的平安設備進展管理。4企業(yè)IT設備網(wǎng)絡平安應用研究企業(yè)的網(wǎng)絡拓撲構(gòu)造比擬復雜、網(wǎng)絡節(jié)點繁多，這就要求企業(yè)需要有一套行之有效的IT運維管理形式。IT運維管理是企業(yè)IT部門采用相關的方法、技術、制度、流程和文檔等，對IT使用人員、IT業(yè)務系統(tǒng)和IT運行環(huán)境軟硬件環(huán)境和網(wǎng)絡環(huán)境進展綜合的管理以到達提升信息化工程使用，可起到進步IT運維人員對企業(yè)網(wǎng)絡故障的排查效率。接下來通過下面兩個實例來驗證：4.1企業(yè)內(nèi)部AR

7、P斷網(wǎng)攻擊ARP攻擊就是通過偽造IP地址和A地址實現(xiàn)ARP欺騙，可以在網(wǎng)絡中產(chǎn)生大量的ARP通信量使網(wǎng)絡阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應包就能更改目的主機ARP緩存中IP-A列表造成網(wǎng)絡中斷或中間人攻擊。根本原理就是在局域網(wǎng)中，假設有一臺計算機感染ARP木馬，那么感染該ARP木馬的系統(tǒng)將會試圖通過ARP欺騙手段截獲所在網(wǎng)絡內(nèi)其他計算機的通信信息，并因此造成網(wǎng)內(nèi)其他計算機的通信故障。如圖1所示：圖1ARP斷網(wǎng)攻擊圖ARP攻擊源向電腦用戶1發(fā)送一個偽造的ARP響應，告訴電腦用戶1，電腦用戶2的IP地址192.168.0.2和對應的A地址是00-aa-00-62-6-03，電腦用戶1信

8、以為真，將這個對應關系寫入自己的ARP緩存表中，以后發(fā)送數(shù)據(jù)時，將本應該發(fā)往電腦用戶2的數(shù)據(jù)發(fā)送給了攻擊者。同樣的，攻擊者向電腦用戶2也發(fā)送一個偽造的ARP響應，告訴電腦用戶2。電腦用戶1的IP地址192.168.0.1對應的A地址是00-aa-00-62-6-03，電腦用戶2也會將數(shù)據(jù)發(fā)送給攻擊者。至此攻擊者就控制了電腦用戶1和電腦用戶2之間的流量，它可以選擇被動地監(jiān)測流量，獲取密碼和其他涉密信息，也可以偽造數(shù)據(jù)，改變電腦用戶1和電腦用戶2之間的通信內(nèi)容。4.2非法DHP效勞器的快速定位在DHP的選擇Request過程中，網(wǎng)絡上可能有DHP效勞器都會對Disver的播送回應，但新加計算機只選

9、擇最先回應的所獲得的IP地址。并與DHP效勞器再次確認要用此IP。假如網(wǎng)絡上有多個可提供IP地址的DHP效勞器，新加計算時機選擇最先回應播送的DHP效勞器所提供的IP地址，但現(xiàn)實中往往非法DHP效勞器回應播送速度比合法DHP效勞器快。圖2非法DHP效勞器的快速定位圖如圖2非法DHP效勞器的快速定位所示，用戶電腦發(fā)出懇求IP播送的時候，非法DHP效勞器和DHP效勞器都會向用戶電腦提供一個IP地址給用戶電腦使用。當非法DHP效勞器Request速度比DHP效勞器快時，那么這些用戶電腦得到的IP也一定是非正常IP，這就導致這些用戶電腦無法正常使用Internet。企業(yè)網(wǎng)絡管理人員可以通過檢測提供IP的DHP效勞器A地址，結(jié)合網(wǎng)絡和電腦資產(chǎn)登記來快速找到非法DHP是什么設備、歸屬什么部門。通過上面兩個實例，有效地預防網(wǎng)絡攻擊對于企業(yè)說是非常重要的，可以進步IT人員排除故障的效率，確保企業(yè)內(nèi)部網(wǎng)絡更加平安。5結(jié)語企業(yè)IT設備網(wǎng)絡平安問題主要是利用網(wǎng)絡管理措施保證網(wǎng)絡環(huán)境中數(shù)據(jù)的機密性、完好性和可用性。確保經(jīng)過網(wǎng)絡傳送的信息，在到達目的地時沒有任何增加、改變、喪失或被非法讀齲而且要從以前單純的以防、