IP安全性范文

IP安全性范文（精选12篇）

IP安全性 第1篇

IPSec是设计为IPv4和IPv6协议提供基于加密安全的协议, 它使用AH和ESP协议来实现其安全, 使用ISAKMP/Oakley及SKIP进行密钥交换、管理及安全协商。IPSec安全协议工作在网络层, 运行在它上面的所有网络通道都是加密的。IPSec安全服务包括访问控制、数据源认证、无连接数据完整性、抗重播、数据机密性和有限的通信流量机密性。IPSec使用身份认证机制进行访问控制, 即两个IPSec实体试图进行通信前, 必须通过IKE协商SA, 协商过程中要进行身份认证, 身份认证采用公钥签名机制, 使用数字签名标准算法或RSA算法, 而公钥通常是从证书中获得的;IPSec使用消息鉴别机制实现数据源验证服务, 即发送方在发送数据包前, 要用消息鉴别算法HMAC计算MAC, HMAC将消息的一部分和密钥作为输入, 以MAC作为输出, 目的地收到IP包后, 使用相同的验证算法和密钥计算验证数据, 如果计算出的MAC与数据包中的MAC完全相同, 则认为数据包通过了验证;无连接数据完整性服务是对单个数据包是否被篡改进行检查, 而对数据包的到达顺序不作要求, IPSec使用数据源验证机制实现无连接完整性服务;通信流机密性服务是指防止对通信的外部属性的泄露, 从而使攻击者对网络流量进行分析, 推导其中的传输频率、通信者身份、数据包大小、数据流标识符等信息。IPSec使用ESP隧道模式, 对IP包进行封装, 可达到一定程度的机密性, 即有限的通信流机密性。

2 IPSec安全方面的特点

数据可靠性是指在传输数据前先加密数据, 这样就可以保证在数据的传输过程中, 即使遭到恶意的拦截等, 由于加密的原因也可以保证数据的安全。该特性作为一个可选项出现在IPSec的设置当中, 可以根据个人需求进行选择。

数据完整性是指避免在数据的传送过程中被他人恶意修改, 避免了数据发出和接到的内容不相同。IPSec 通过利用一些复杂的数学函数对每个要传送的数据包都进行检查和加密, 在对方接收前再次进行检查计算, 如果数据包在传送的过程中发生了丢失等现象, 则检查结果会提示用户。

反传播性是指在传播过程中避免数据被他人截取复制后, 再次进行传输和利用的特性, 保证了数据的唯一性。这一特性非常重要, 在一定的时间内避免了数据在传输过程中被他人恶意拦截, 并对数据进行修改后取得访问权。

不可否认性是指避免在数据传输后, 唯一的发送者否认自己曾经发送过信息的行为。作为公钥技术中最重要一环的“不可否认性”保证了在使用该技术时, 可以将发送人的私钥用一个数字签名来代替, 并且与数据一起进行传送, 而接受者在接收时可以用发信人的公钥来验证与数据一起传送的数字签名的可靠性。由于私钥是唯一的, 每个用户只能拥有一个, 也就是说数字签名是唯一的, 只有发送者才可以拥有, 所以通过验证数字签名就可以确认是否是该发送人发送的数据。但是不可否认性也有一定的不足, 由于其是双方共享密钥技术, 所以在认证的过程中, 接收方与发送方都拥有这个密钥。

认证是指在数据发送时, 发送方将信任状与数据一起发送, 接收方负责验证该信任状的合法性, 只有符合相应的认证系统, 才可以在双方之间建立连接。

3密钥管理协议简述

密匙管理主要包括两个方面, 他们分别是确定密匙以及分发密匙两个方面, 最多的情况下需要4层密匙, 分别是ESP与AH的两个接收与发送密匙。密匙管理有两种方式, 分别是自动与手工两种, 自动密匙管理可以满足更高的安全需求, 而手工密匙管理仅能在一般的安全条件下达到更好的工作状态。

通过使用自动密匙管理系统可以自动地进行迷失的分发和确定工作。自动密匙管理系统有一个高度集中的中央控制点, 可以让密匙系统的管理员拥有更好的安全保障, 并且更能够将IPSec的功能最大程度的发挥。而手动密匙管理系统从字面上也可以看出来是手动的, 只能通过管理站确定后才可以向用户发送密匙。密匙的结构多种多样, 可以是任意的数字拼凑出来, 也可以是数字生成器随机生成, 但是每一个密匙都可以按照相关的安全政策这个大前提下进行修改工作。

在任意一次通信中, 密钥产生的频率都是不同的, 都是按照动态密钥更新的方法来产生的。动态密钥指在通信过程中, 数据流被划分成一个个“数据块”, 每一个“数据块”都使用不同的密钥加密, 这可以保证万一攻击者中途截取了部分通信数据流和相应的密钥后, 也不会危及到所有其余的通信信息的安全。动态密钥更新服务由Internet密钥交换IKE提供。IPSec策略允许专家级用户自定义密钥生命周期。密钥长度每增加一位, 可能的密钥数就会增加一倍, 相应地, 破解密钥的难度也会随之成指数级加大。除进行密钥交换外, IPSec还使用DH 算法生成所有其他加密密钥。

4结语

综上所述, 我们要在信息保护与网络攻击的竞争中占得先机, 必须通过进一步的验证系统来保证系统的完备性以及安全性。同时, 我国的IP安全防护与西方发达国家之间仍存在一定的差距, 只有正确地认识自己, 发现差距, 才能够迎头赶上, 继而推动我国互联网技术不断向前发展。

摘要：电子计算机已经广泛深入到我们的日常工作、生活中, 因此其安全性受到了大家的广泛关注, 而其中的IP安全性更是成为了其中最关键的一个环节。根据相关行业工作经验, 并结合我国IP安全的实际情况, 先对IPSec协议的主要内容进行阐述, 继而对其安全特性进行详细分析, 最后再对IPSec的密钥管理协议进行深入探讨, 希望可以起到抛砖引玉的作用, 引起大家广泛关注的同时, 推进我国IP安全行业的不断发展。

关键词：IP安全,IPSec协议,安全特性,密钥管理

参考文献

IP安全性 第2篇

IP安全机制(IP Security)即IPSec 策略，用来配置 IPSec 安全服务，这些策略可为多数现有网络中的多数通信类型提供各种级别的保护。您可配置 IPSec 策略以满足计算机、应用程序、组织单位、域、站点或全局企业的安全需要。可使用 Windows XP 中提供的“IP 安全策略”管理单元来为 Active Directory 中的计算机(对于域成员)或本地计算机(对于不属于域的计算机)定义 IPSec 策略。

在此以WINDOWS XP为例，通过“控制面板”―“管理工具”来打开“本地安全策略”，选择IP安全策略，在这里，我们可以定义自己的IP安全策略。一个IP安全过滤器由两个部分组成：过滤策略和过滤操作。要新建IP安全过滤器，必须新建自己的过滤策略和过滤操作，右击窗口左侧的“IP安全策略，在本地机器”，在弹出的快捷菜单中选择“创建IP安全策略”，单击“下一步”，然后输入策略名称和策略描述。单击“下一步”，选中“激活默认响应规则”复选项，单击“下一步”。开始设置响应规则身份验证方式，选中“此字符串用来保护密钥交换(预共享密钥)”选项，然后随便输入一些字符(后面还会用到这些字符的)，单击“下一步”，就会提示已完成IP安全策略，确认选中了“编辑属性”复选框，单击“完成”按钮，会打开其属性对话框，

接下来就要进行此新建安全策略的配置。在“Goodbye Ping 属性”对话窗口的“规则”选项页中单击“添加”按钮，并在打开安全规则向导中单击“下一步”进行隧道终结设置，在这里选择“此规则不指定隧道”。单击“下一步”，并选择“所有网络连接”以保证所有的计算机都Ping不通。单击“下一步”，设置身份验证方式，与上面一样选择第三个选项“此字符串用来保护密钥交换(预共享密钥)”并填入与刚才上面相同的内容。单击“下一步”即打开“IP筛选器列表”窗口，在“IP筛选器列表”中选择“新IP筛选器列表”，单击右侧的“编辑”，在出现的窗口中点击“添加”，单击“下一步”，设置“源地址”为“我的IP地址”，单击“下一步”，设置“目标地址”为“任何IP地址”，单击“下一步”，选择协议类型为ICMP，单击“完成”后再点“确定”，单击“下一步”，选择筛选器操作为“要求安全”选项，然后依次点击“下一步”、“完成”、“确定”、“关闭”按钮保存相关的设置返回管理控制台。

最后在“本地安全设置”中右击配置好的“Goodbye Ping”策略，在弹出的快捷菜单中选择“指派”命令使配置生效。

IP安全性 第3篇

关键词:自动化网络TCP/IP管理控制系统集成计算机集成制造

0 引言

TCP/IP(Transmission Control Protocol/Internet Protocol的简写),中文译名为传输控制协议/互联网络协议,TCP/IP是Internet最基本的协议,简单地说,就是由底层的IP协议和TCP协议组成的。虽然IP和TCP这两个协议的功能不尽相同,也可以分开单独使用,但它们是在同一时期作为一个协议来设计的,并且在功能上也是互补的。只有两者结合,才能保证Internet在复杂的环境下正常运行。凡是要连接到Internet的计算机,都必须同时安装和使用这两个协议,因此在实际中常把这两个协议统称作TCP/IP协议。然而,TCP/IP不是没有缺点的,当TCP/IP用于制造自动化环境的时候,安全易损性问题就显得格外突出。TCP/IP协议的可靠性受到多方面因素的影响(例如网络负载),这对于网络完整性来说是重要的潜在危险。

1 网络安全的结构层次

1.1 物理安全 自然灾害,物理损坏,设备故障,意外事故。解决方案是:防护措施,安全制度,数据备份等。电磁泄漏,信息泄漏,干扰他人,受他人干扰,乘机而入,痕迹泄露。解决方案是:辐射防护,屏幕口令,隐藏销毁等。操作失误,意外疏漏。解决方案是:状态检测,报警确认,应急恢复等。计算机系统机房环境的安全。特点是:可控性强,损失也大。解决方案:加强机房管理,运行管理,安全组织和人事管理。

1.2 安全控制 微机操作系统的安全控制。主要用于保护存贮在硬盘上的信息和数据。网络接口模块的安全控制,主要包括:身份认证,客户权限设置与判别,审计日志等。网络互联设备的安全控制。主要通过网管软件或路由器配置实现。

1.3 安全服务对等实体认证服务;访问控制服务;数据保密服务;数据完整性服务;数据源点认证服务;禁止否认服务。

1.4 安全机制 加密机制;数字签名机制;访问控制机制;数据完整性机制;认证机制;信息流填充机制;路由控制机制;公证机制。

2 制定安全策略

制造自动化网络的安全策略应该以用法研究的结果为基础。安全策略至少应该包括下列这些问题。

2.1 利用制造信息资源所涉及到的所有的基本原理。

2.2 安全策略应该形成两种态度中的一个,或是自由的或是保守的。

2.3 特许利用来自制造自动化网络本身以外的信息资源的类型和方法。

2.4 特许利用来自制造自动化网络内的信息资源的类型和方法。

2.5 特许使用来自制造自动化网络内的外部地址的类型和方法。

3 对TCP/IP自动化网络的威胁

对自动化网络安全和完整性的威胁一般可以归纳成下列几类。

3.1 对特许用户的服务的否定 对制造自动化网络的最大威胁是对适时服务的否定。在制造自动化环境中,服务被否定的危险明显存在着:数据连接被拒绝,控制传输被拒绝,以及由于操作人员界面的存在,妨碍了对制造过程的积极管理。

3.2 对非特许用户的服务的实现 基于TCP和UDP这两者之上的较高层应用协议对缺少证明机制是敏感的。应用协议如果不实现某种类型的证明机制,了解该协议的任何主机都能够提出服务请求,包括把数据写进过程控制设备的请求。这种情况可能发生在反映生产系统结构的开发系统的环境中。在这种环境中,非特许的东西就能够扦入控制信号和指定点,直接进入制造系统。结果,操作人员的安全和生产质量就面临严重的危险。

3.3 通信的改变或截断 通信截断可能在许多方面被执行。对截断对话感兴趣的破坏者可能会利用某一个方法设置中继。一个中继破坏可能发生在网络中任何地方,甚至是距离制造自动化网络很远的位置。中继机器能够实时调节通信量或记录用于日后分析的报文包。中继机器也能够改变被传输的通信内容。

截断通信的第三种方法包括使用一种被动包监控器。包取样器能够以中继破坏的方式向破坏者提供被记录的网络信息。

4 通过网络设计对抗威胁

4.1 通过简单的IP路由选择实现网络分段 分段就是把一些网络主机分隔成实现独立网络通讯的功能上的子群,然后通过使用简单的路由器把它们互联起来。确保在分段设计中使用的IP路由器的正确结构是非常重要的。

4.2 采用路由器访问控制实现分段 大多数IP路由器支持访问控制的概念,而且能够把它应用到独立的主机或整个子网。当访问控制被加到子网层,则路由器被连接,从IP地址的特定范围到另一段都允许通信。使用访问控制的路由器必须被精心连接。如果访问控制应用到整个网络,它就会减少通过远距离基于中继的破坏使分段之间对话被截断的危险。

4.3 包过滤 包过滤扩展了访问控制的概念。当路由器增加了过滤性能以后,准确地知道网络操作中所使用的协议类型和通道数目是重要的。它在网络层截获网络数据包,根据防火墙的规则表,来检测攻击行为。包过滤防火墙一般作用在网络层(IP层),故也称网络层防火墙(Network Lev Firewall)或IP过滤器(IP filters)。数据包过滤(Packet Filtering)是指在网络层对数据包进行分析、选择。通过检查数据流中每一个数据包的源IP地址、目的IP地址、源端口号、目的端口号、协议类型等因素或它们的组合来确定是否允许该数据包通过。在网络层提供较低级别的安全防护和控制。

4.4 防火墙 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。

5 结束语

通过分析基于TCP/IP制造自动化网络中期待的通信,考虑机构的安全策略,就有可能设计出一个使数据恶化和被窃取的危险降至最低程度的网络拓扑结构。在制造工厂和外部世界之间设置防火墙,在工厂内部实现分段网络、访问控制网络就能够提供网络管理者,防御無意的或有敌意的破坏。

参考文献:

[1]曹成,周健,周红,王明福.网络安全与对策.合肥工业大学学报(自然科学版).2007年09期.

[2]秦迎春.TCP/IP协议的隐患及防范.计算机安全.2005年03期.

[3]姚婕,朱磊明.TCP/IP协议脆弱性分析.安徽电子信息职业技术学院学报.2004年21期.

IP广播安全技术 第4篇

IP广播安全技术项目是以广播电视新技术发展为背景, 以IP广播的业务经营模式及其技术体系为基础, 研究适合产业发展和国家监管需要的监测技术方法, 项目属于电子信息技术领域。

项目分为软课题和技术课题两部分。

技术课题实现IP广播安全监管原型系统, 包括六个子课题:

1.授权审查子系统;

2.节目分类分级子系统;

3.标识嵌入子系统;

4.具有标记提取和节目过滤功能的监控网关;

5.具有标记提取和节目过滤功能的机顶盒;

6.监控点管理中心。

项目研究节目源、信号播出、数据传输到用户端接收各环节的监测方法和安全监控技术体制, 包括安全保密强度、内容防篡改、防止非法内容插入和授权认证等方面的内容。

项目原型系统具有以下技术特点:

1.有效的安全标记嵌入技术

通过嵌入到IP广播中的包含节目版权、来源、拥有者、使用规则等信息的计算机码, 保护内容提供商的利益, 并考虑政府监管部门监控媒体信息是否违规的安全需求。

2.具备标记识别功能的IP广播监控网关

研发具备标记提取和内容过滤功能的IP广播监控网关, 根据该过滤网关设定的安全等级来判断是否过滤该视频节目。

3.完整的端到端的IP广播信号监测

原型系统实现了端到端的信号监测, 即从IP广播内容源、播出端、传输层直到终端显示全部环节的信号监测。

项目软课题包含四部分内容:

1.《IP广播安全监管法规建议书》

该课题结合当前我国IP广播发展现状, 通过对已有相关法律法规的深入研究和剖析, 从《安全监管和技术监管》、《市场监管和行政监管》、《起草依据和说明》三方面系统全面地阐述了IP广播安全监管。

2.《IP广播安全监管技术体制研究报告》

该课题在介绍IP广播安全监管的背景及现状的基础上, 描述了当前国内外IP广播安全监管的现状、分析了IP广播监测需求, 通过对IP广播监管体系架构、IP广播监管技术路线的研究, 提出了基于嵌入标识方案的技术架构及其安全信任体系。

3.《IP广播安全监管标准化建议书》

该课题在软课题2和技术课题IP广播安全监管原型系统的基础上, 全面总结分析了IP广播安全监管体系中涉及需要规范的内容。

4.《IP广播安全监管项目立项可研报告》

该课题对整个项目的技术成果进行了全面提取和深入总结, 为下一步IP广播安全的实施部署提供了可行性依据。

ip地址是什么_ip相关知识 第5篇

IP地址是指互联网协议地址(英语：Internet Protocol Address，又译为网际协议地址)，是IP Address的缩写。IP地址是IP协议提供的一种统一的地址格式，它为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。目前还有些ip代理软件，但大部分都收费。

拓展阅读：IP地址转换

Internet上的每台主机(Host)都有一个唯一的IP地址。IP协议就是使用这个地址在主机之间传递信息，这是Internet 能够运行的基础。IP地址的长度为32位(共有2^32个IP地址)，分为4段，每段8位，用十进制数字表示，每段数字范围为0～255，段与段之间用句点隔开。例如159.226.1.1。IP地址可以视为网络标识号码与主机标识号码两部分，因此IP地址可分两部分组成，一部分为网络地址，另一部分为主机地址。IP地址分为A、B、C、D、E5类，它们适用的类型分别为：大型网络;中型网络;小型网络;多目地址;备用。常用的是B和C两类。

IP地址就像是我们的家庭住址一样，如果你要写信给一个人，你就要知道他(她)的地址，这样邮递员才能把信送到。计算机发送信息就好比是邮递员，它必须知道唯一的“家庭地址”才能不至于把信送错人家。只不过我们的地址使用文字来表示的，计算机的地址用二进制数字表示。

众所周知，在电话通讯中，电话用户是靠电话号码来识别的。同样，在网络中为了区别不同的计算机，也需要给计算机指定一个连网专用号码，这个号码就是“IP地址”。

将IP地址分成了网络号和主机号两部分，设计者就必须决定每部分包含多少位。网络号的位数直接决定了可以分配的网络数(计算方法2^网络号位数-2);主机号的位数则决定了网络中最大的主机数(计算方法2^主机号位数-2)。然而，由于整个互联网所包含的网络规模可能比较大，也可能比较小，设计者最后聪明的选择了一种灵活的方案：将IP地址空间划分成不同的类别，每一类具有不同的网络号位数和主机号位数。

IP地址的分配

TCP/IP协议需要针对不同的网络进行不同的设置，且每个节点一般需要一个“IP地址”、一个“子网掩码”、一个“默认网关”。不过，可以通过动态主机配置协议(DHCP)，给客户端自动分配一个IP地址，避免了出错，也简化了TCP/IP协议的设置。

那么，互域网怎么分配IP地址呢?互联网上的IP地址统一由一个叫“ICANN”(Internet Corporation for Assigned Names and Numbers，互联网赋名和编号公司)的组织来管理。

IP地址现由因特网名字与号码指派公司ICANN(Internet Corporation for Assigned Names and Numbers)分配。

InterNIC：负责美国及其他地区;

ENIC：负责欧洲地区;

APNIC(Asia Pacific Network Information Center)： 我国用户可向APNIC申请(要缴费)

PS：，APNIC的总部从东京搬迁到澳大利亚布里斯班。

负责A类IP地址分配的机构是ENIC

负责北美B类IP地址分配的机构是InterNIC

IP安全性 第6篇

雖说是蹭IP，但该剧完全是一个向“雷剧”宣战的作品。从《温州两家人》的主创阵容就能看出这种决心——制片人侯鸿亮、导演孔笙、编剧高满堂。毫无疑问，这基本是国产剧中顶级的组合，这也基本宣告了该剧必将拥有不俗的品质。事实上，从《温州两家人》毫不吝惜成本的世界各地取景外拍就可见一斑。况且该剧的剧情和剧本也用不哗众取宠的方式来回馈了渴望看到精品国产剧的观众。

《温州两家人》讲的可不仅仅是两家人的小故事，透过侯三寿和黄瑞诚两个温州商人的企业发展历程，将2003年至2013年十年间整个温州商业乃至全国经济的变迁过程如画卷般延展开来，说不出的惊心动魄与现实情怀。这对于一部需要时代感的现代戏来说，对时代氛围的渲染，塑造人物在时代嬗变中的变化，没有比高满堂更擅长的了。

《温州两家人》最成功的便是塑造了两个主人公丰满的性格，有的剧是通过事件来推动剧情发展，而这部剧是通过性格迥异的主人公来产生矛盾，从而影响剧情的走向。郭涛和任程伟，两位老戏骨的扎实表演塑造了候三寿和黄瑞诚。剧中除了两个尽显温州诚信进取精神的“大枭雄”，几个女性角色的刚柔并济也让人印象深刻——一心为公司的林佳来，犀利通透的苏教授，善良呆萌的富家女侯晓帆，正派执拗的灵子，几个人有一个共通点便是自立自强的现代都市气息浓厚，不见一点国产剧中喜爱家长里短女性的影子，非常耳目一新。

商战剧并非当下热门类型，经典的商战国产剧也凤毛麟角，相比之前一些商战题材的国产剧，在描绘波谲云诡商场竞争方面，高满堂为《温州两家人》所塑造的人物形象犹如雕刻塑像般细致、扎实。更值得称道的是剧中展现的商战情节并非杜撰，在现实生活中都是有真实案例存在的。比如MGX公司起诉侯三寿；黄瑞诚公司来自正泰集团与施耐德公司的专利侵权案例；黄瑞诚酒店产权式经营的案例来自温州国贸大酒店；黄瑞诚进军西北西川河来自奥康集团进军重庆璧山，开创大西南鞋城的事例。《温州两家人》中的商战之所以精彩，也正是因为情节有出处，真实感非一般商业剧所能及。

《温州两家人》的高品质扇了众多蹭IP者的耳光，那些用低劣手段来糟蹋IP营养的从业者，从某种意义上来说，就是一群盗贼和暴徒。

基于TCP/IP协议的安全性分析 第7篇

一、TCP/IP协议概述

TCP/IP其中文名为传输控制协议/因特网互联协议, 是目前最广泛使用的网络互连协议, 其实是由许多协议共同组成的一组协议, 其中最重要的就是传输控制协议 (TCP) 和网际协议 (IP) , 这两个协议确保了数据传输的完整性。TCP/IP协议按照OSI体系概括来说可以分为数据链路层、网络层、传输层和应用层四个层次。TCP/IP协议一般采用4层的层级结构, 数据链路层的物理层具有机械特性、功能特性、电子特性和规程特性, 而数据链路层主要是负责将网络上的IP数据报交给IP层。网络层一方面对输入的数据包进行处理, 并检查其合法性, 进行适当的传输协议后进行数据包转发;一方面是将来自传输层的分组发送请求进行处理, 在请求被收到后, 分组将IP进行数据包, 并发送到合适的网络接口;传输层则是提供包括传输的可靠性、格式化的信息流等在内的应用程序的通信协议。应用层主要是面向用户, 解决用户的服务问题, 向用户提供应用程序。

TCP/IP作为互联网所使用的标准协议集, 由于其本身存在着的一些系统漏洞以及网络的开放性等原因, 使之成为黑客实施网络攻击的重点目标。TCP/IP协议的建立是以可信赖的环境为前提的, 由于没有考虑到网络互连安全方面的问题, 因此协议本身就存在着泄露口令的风险, 还由于常常会运行一些其他的程序, 这都是在网络发展过程中不可避免漏洞。互连网为了使不同的网络之间、不同设备之间能够进行正常的数据通信, 对底层的网络硬件细节进行了屏蔽, 这就为黑客攻击网络提供可乘之机。同时由于很多重要的应用程序的基本传输层协议都是TCP协议, 因此TCP的安全性也对网络安全产生了重大影响, TCP/IP协议在网络互联的过程中有着重要的作用。

二、目前TCP/IP协议存在的主要问题

由于TCP/IP协议遵循开放性原则使其本身存在着一些安全问题, 让黑客们利用其缺陷对网络通信发起攻击, 例如IP地址欺骗、ARP欺骗、ICMP攻击等。笔者对典型TCP/IP协议进行了深入分析, 指出其中存在的安全问题, 并针对这些安全问题提出了相应的应对策略。

1. IP地址欺骗

IP地址欺骗是基于IP协议的主要安全问题, 攻击者通过伪造网络上某台计算机的IP地址骗取特权从而进行攻击的技术。由于在TCP/IP协议中, 机器的IP地址是网络节点的唯一标识, 但是节点的IP地址是能够通过人为来改变的, 所以攻击者能够伪装成某一个可信任的节点来对网络发起攻击。在IP地址的32bit的头中, 要去的目的主机的IP地址已包含与其中, TCP/IP协议的传输发送都是在在IP包中进行的, 主要是由其上层协议来保证它的可靠性。若是数据包不可达, 主机就会受到ICMP的不可达报文。因此, 黑客们就可以通过对IP协议栈进行修改的方法, 将需要的的IP地址包含于发送出去的IP包中, 来达到冒充其他主机的目的。

2. 鉴别攻击

由于IP是TCP/IP协议用来鉴别的唯一标准, 因此不能对节点上的用户的进行准确的身份认证, 服务器对登录用户身份的真实性和有效性也就无从谈起。现阶段的用户控制机制主要是由服务器软件平台所提供的, 比如用户名、密码等。虽然密码是以加密形式储存在服务器上, 但由于其是明文传输的、静态的, 因此无法控制窃听、重传。

3. 源路由选择欺骗

攻击者通过对路由进行制定, 使其以假冒的身份发送虚假的报文或者与其他主机进行合法通信, 使受到攻击的主机而发生错误的动作。在TCP/IP协议中, 可以通过对IP数据包设置IP Source Routing选项来对目的站点进行测试, 该选项能够直接对到达节点的路由进行确定, 攻击者可以通过这个选项进行非法连接。攻击者可以冒充某个可信任网络节点的IP地址, 利用可信任节点用户作为通往服务器的路由, 就能向服务器发送请求, 对其进行攻击。

4. ARP欺骗

计算机接收到ARP应答数据包后, 就会更行本地的ARP缓存, 将应答数据包中的IP和MAC地址存储在本地ARP缓存中。在局域网中, 电脑中了ARP病毒后, 就可以通过将自己伪装成路由器, 随意的将改装过的网络数据发送到网络中的所有电脑上, 在改装数据的过程中可以向数据中插入病毒程序。ARP欺骗也是常见的网络安全攻击手段之一, 一种ARP欺骗是通过对路由器的ARP表进行欺骗, 还有一种ARP欺骗就是对内网计算机的网关进行欺骗。

5. ICMP攻击

ICMP在网络层运行, 主要是传送主机是否可达、网络通不通、路由是否可用等网络本身的IP控制信息。比较常见的常用ICMP协议就是Ping命令, Ping程序主要是利用一个ICMP Echo请求消息和一个响应的ICMP应答对主机的连通性进行测试, 几乎全部的基于TCP/IP协议的机器都会对响应ICMP Echo请求。攻击者通过向被攻击者大量高速的发送ICMP Echo应答数据包, 进而消耗掉目标网络的网络资源和主机资源, 可以对目标主机经行性能衰竭攻击, 致使不能通过合法用户的请求, 合法数据不能在网络上进行传输, 这就成功的完成了一次DOS攻击。攻击者可利用ICMP对路由进行定向破坏, 并进行窃听。

三、相关应对策略

笔者结合多年的工作经验, 针对常见的网络安全问题提出以下几点建议:

1. 实现网络的分段

大部分的IP路由器对于独立的主机或整个子网都能够支持访问控制。分段就是通过对网络主机进行分隔, 进而形成在网络通讯功能上相对独立的子群, 然后通过路由器以一种比较简单的方式把它们联系起来。路由器在子网层加上访问控制的时候被连接, 通信从IP地址的特定范围到另一段都被允许。在这个过程中最重要的就是要确保在分段设计中所使用的IP路由器的结构是正确的。如果访问控制在整个网络中应用, 它就能够通过减少远距离中继的破坏, 进而降低分段之间对话被截断的风险。

2. 包过滤

包过滤可以为网络层提供级别较低的安全控制, 其实际上就是对访问控制的一种扩展, 当增加了路由器的过滤性能以后, 就能够对网络操作中所使用的通道数目和协议类型进行准确的判断。包过滤防火墙一般在网络层发生作用, 它在网络层对网络数据包进行选择、分析, 通过对数据流中数据包的IP地址、端口号及协议类型等的逐个检查来确定是否允许该数据包通过。

3. 对于ICMP攻击的防范

对于ICMP攻击的防范一种方法是通过限制路由器上ICMP数据包的带宽, 将ICMP占用的带宽范围进行严格的控制, 这样即使存在ICMP攻击, 也只是占用看有限的带宽, 它对整个网络的影响也有限;还有一种方法就是对主机进行设置ICMP数据包的处理规则, 可以在主机上安装防火墙, 也可以在操作系统上设置包过滤。

4. 预防ARP欺骗

使用专业的ARP防火墙, ARP防火墙技术是一种可以允许外部网络接入, 但同时又能对非授权访问进行识别和抵抗, 有条件的还可以购买具有ARP欺骗防范能力的网络设备;还可以通过划分VLAN, 缩小广域网的规模, 来预防ARP欺骗攻击。

四、总结

本文深入的研究分析了TCP/IP协议在实际的操作过程中存在的安全隐患, 并针对这些安全隐患提出了相应的安全措施。但是网络通信的安全不仅要完善现有的通信协议, 还应该关注操作系统等的安全, 并提高自身网络安全意识, 才能有效的防范攻击者的攻击和病毒入侵。

参考文献

[1]李东灵, 毛自民.浅析TCP/IP协议及其安全[J].价值工程, 2012, 10

IP安全性 第8篇

关键词：计算机系统,网络入侵检测,网络脆弱性分析,检测原理

一、计算机系统中存在的安全性问题

计算机技术的飞速发展, 并应用于教育、农业、经济、军事、政治等等各个方面, 且它其他技术不断的融合, 导致人们越来越依赖于网络。严重的依赖导致计算机网络安全存在巨大的危险, 如果计算机网络一旦出现安全漏洞, 那么小则浪费人力、物力, 导致个人和企业丧失竞争优势, 大则对国家财产安全甚至是国家的机密信息的安全都会造成威胁。网络安全问题不容小觑。

计算机网络技术复杂, 多变, 有的网络系统安全性并不高, 存在着许多漏洞。众多网络“黑客”正是利用这一漏洞, 来侵入计算机网络系统, 窃取信息甚至是摧毁现有系统。对于“黑客”的身份和目的性我们并不能确定, 他有可能只是出于游戏和猎奇心理, 来寻找某些网络系统中存在的漏洞, 因此, 网络安全检测和入侵行为的防御是一项长期而艰苦的斗争。

二、网络入侵检测

所谓入侵系统检测, 就是指能够通过分析系统或网络安全相关数据来检测入侵活动的系统。一般来说, 入侵检测系统在功能结构上是相同的, 均由数据采集、数据分析、以及用户接口能几个功能模块组成, 只是具体系统检测在分析数据的方法、数据采集以及数据采集的类型方面有所不同。Denning在1996年提出的基于主机系统的主体特征轮廓、系统对象、审计日志、异常记录以及活动规则等的检测系统模型是最典型的系统设计模型。例如:IDES、NIDES。但随着这种网络安全斗争的不断发展, 设计模型也在不断更新。Heberlein利用Denning的模型设计的NSM系统能够在以太网中通过网络业务分析进行检测。DIDS是对NSM的发展, 把网络中主机系统的审计机制收集到事件数据通过网络进行综合处理。

2.1 IDES模型

它是Denning最早提出的入侵检测模型, 它能够检测出黑客入侵、越权操作及其他种类非正常使用计算机系统的行为。它由主体、客体、审计记录、轮廓、异常记录和活动规则六部分组成。IDES实际上是一个基于规则模式匹配的系统, 这个模型不需要不需要保护目标系统的安全弱点和攻击者的手段。因此, 它是一个异常入侵检测模型。

2.2 IDM模型

设计人员在开发分布式入侵检测系统时, 提出一个层次化的入侵检测模型, 简称IDM。

这个模型给出了在推断网络中计算机受攻击时数据抽象过程, 它给出了将分散的原始数据转化为高层次的有关入侵检测环境的全部建设过程。通过把收集到的分散的数据进行加工抽象和数据关联操作, IDM构造了一台虚拟的机器环境, 这台机器由所有的相连主机和网络组成。将分布式系统看作一台虚拟的计算机的观点简化了跨越单机入侵行为识别。

2.3两种模型的比较

IDES模型依靠主机的审计记录, 因此, 在网络环境下, IDES模型还是具有一定的局限性。首先, 它无法准确地描述网络攻击行为;其次, 网络攻击行为具有一定的复杂性, 一些攻击者会通过协作的方式来挖掘系统的弱点, IDES模型无法描述攻击者的操作过程;再者, 它最多只能保护单一主机, 然而网络入侵攻击的目标是多样的, 且常常是互联的, IDES无法判断出隐藏的攻击活动。最后, IDES模型的局限是把入侵征兆的信息来源局限于审计记录, 这种做法是远远不够的。而IDM模型则是对IDES模型的补充。

总之, 入侵检测模型要随着网络技术和入侵技术而变化。一方面要扩充入侵检测模型, 另一方面要易于扩充。

三、两种基本检测原理

绝大多数入侵检测系统包括已有的和正在开发的都是围绕异常检测和误用检测两种基本原理展开的。

3.1误用检测模型

误用检测是根据已知的入侵模式来检测入侵。入侵者常常利用系统和应用软件中的弱点攻击, 而这些弱点易标准化成某种模式, 如果入侵者的攻击方式恰好匹配上检测系统中的模式库, 则入侵者即被检测到。应用误用检测原理的检测方案主要有基于概率误用入侵检测方法、基于专家系统误用检测、基于状态迁移分析误用检测方法, 基于键盘监控误用检测方法、基于模型误用检测方法等。

3.2异常检测模型

异常检测是根据非正常行为和使用计算机资源非正常情况检测出入侵行为。

异常检测试图用定量方式描述常规的或可接受的行为, 以标识非常规的、潜在的入侵行为。异常入侵检测的主要前提是入侵活动作为异常活动的子集。会有这样的情况, 若外部人闯入计算机系统, 尽管没有危及用户资源使用的倾向和企图, 可是仍然存在一种入侵可能性, 还是将它的行为作异常处理, 似乎很合理。但是入侵活动常常是由单个活动组合起来执行, 单个活动却与异常情况独立无关。理想的情况是, 异常活动集和入侵活动集一致, 这样, 就可以识别所有的异常活动恰恰是检测到的所有入侵性活动, 结果不会造成错误的判断。可是入侵活动并不总是与异常活动相符合。有四种可能情况:

(1) 入侵性而非异常。将导致不能被检测到, 造成漏检, 结果是IDS不报告入侵。

(2) 非入侵性且是异常的, 会造成虚报。

(3) 非入侵性非异常。活动不具有入侵性, IDS不报告, 属于正常判断。

(4) 入侵且异常, 活动具有入侵性并因为活动是异常的, IDS报告为入侵。

应用异常检测原理的检测方法主要有统计异常检测方法等。再者, 异常的门限设置不当, 往往会导致IDS经常地误报警和漏检。漏检对于重要的安全系统来说还是非常危险的。同样, 误报警会增加安全管理员的负担, 容易造成麻痹大意。而且, 也会导致IDS的异常检测器计算开销增大。

四、网络脆弱性分析

首先, 在分析网络脆弱性之前, 我们必须得清楚什么是网络脆弱性。网络脆弱性指的是网络中任何能被黑客用来作为攻击前提的特性。网络是由主机、通信子网、各种协议和应用软件等组成的复杂系统。网络的脆弱性主要就来自于这些部件的安全缺陷和不正确配置。在单一的行为条件下或者单个的计算机系统下, 网络是出于安全状态的。但是, 网络本身就是互联的, 因而它具有复杂的网络配置。越复杂的网络越脆弱, 一旦某个不经意的点被攻破, 那么所面临的将是整个系统的瘫痪甚至是彻底损毁。

另一方面, 网络脆弱性分析是能够通过分析系统或网络安全相关特性、配置来检测系统或网络安全缺陷或漏洞的系统。一般来说, 网络脆弱性分析系统在功能结构上也是基本一致的, 均由数据采集、脆弱性分析以及用户接口等几个功能模块组成, 只是具有脆弱性分析系统在利用系统或网络安全特性、配置数据分析网络脆弱性的方法、采集数据及采集数据的类型方面有所不同。已经有的网络脆弱性分析工具包括:基于行为建模的, 基于攻击树的, 基于网络描述的, 基于主机的分析。下面就举几种典型的脆弱性分析技术。

4.1 NVT模型

它是由美国空军研究实验室开发。NVT应用一个拓扑系统模型, 这个模型支持众多脆弱性分析工具的信息需求, NVT原型整合和互联网应用若干已有的脆弱性分析评估技术, 产生一个一体的、组合的脆弱性分析工具。NVT程序定义和发展了一个脆弱性评估环境, 这个评估环境将若干脆弱性分析资源和工具组合到一个粘合的脆弱性可视化体系结构中。它提供了一个灵活的、可拓展的、易维护的解决方案, 它使每一个脆弱性分析工具处理和报告能力独立于一个系统的实际信息。它的优点是, 让每一个工具只仅仅利用它所需要的输入数据。而它能够提供一个灵活的、有标准组件的、可扩展的脆弱性分析途径, 不仅是一个富有创新的设计, 更是它的最大的一个优点。

4.2 NVA模型

分析过程如下:第一步, 定义脆弱性度量;第二步, 网络状态被刻画为正常、不确定或者脆弱, 这是基于所选度量的门限值;最后, 用节点和流脆弱性指标度量量化网络脆弱性。但它最大的缺点是没能反映网络拓扑连接性对于网络脆弱性的直接影响。

这两种分析方法分别体现了两种不同的设计理念, 特别是NVT模型, 它的全新的设计理念, 值得学习和借鉴。

在模型的基础上, 下面是几种流行的分析方法。

1) 网络描述:提供网络经受攻击或故障而幸免的能力分析:这种分析方法提供了一种系统框架, 这种系统框架将故障和攻击事件注入一个给定的网络描述, 然后将注入事件以模式曲线图的形式可视化输出。这种方法利用模式校验、贝叶斯分析和统计分析。

2) 攻击树:攻击树假定所有的攻击路径已知并且可以被定义为可能或者不可能, 通过将已知的攻击模式映射到攻击树上以量化网络脆弱性, 判定何种攻击可能性最大因而最有可能存在于网络中。

3) 被动检测网络链接:这种方法利用公开监测工具得到多种网络性能测试的数值化数据。

美国坦桑尼亚大学Guangzhi Qu等人提出的网络脆弱性分析体系结构为该领域的研究工作奠定了重要基础。它是一种分布式的分析体系。以每种攻击类型的脆弱性度量作为每个代理的输入, 代理同时监视网络收集网络节点状态和服务性能指标, 各个代理的脆弱性度量特定值经过事件综合处理机制作为脆弱性分析模块的输入, 输出为在特定攻击类型下的脆弱性指标。

五、总结

在计算机技术飞速发展的今天, 尤其是计算机技术和通信技术相融合, 人们的日常生活更离不开计算机网络。而计算机网络正在慢慢的融为一个大的整体, 其复杂性可见一斑。整体里面所包含的是人们的日常工作和生活的方方面面以及企业甚至是国家的一些机密信息。所以对于网络安全性的检测必不可少。

在安全性检测的前提下要了解网络入侵原型、网络检测原型以及网络脆弱的分析, 这样对于网络的入侵与防御以及其内部的运行才能有一个更加全面的了解, 这样对于不断提高网络安全运行的水平也起着重要的作用

参考文献

[1]蒋建春冯登国等, 网络入侵检测原理与技术, 国防工业出版社

[2]李鸿培王新梅等, 入侵检测中几个关键技术研究, 西安电子科技大学博士研究生毕业论文, 2001

[3]王继龙、钱德沛、张然、杨新宇、张兴军, 互联网应用性能测量系统的研究实现

TCP/IP协议的网络安全 第9篇

TCP/IP协议叫做传输控制/网际协议, 是Internet国际互联网络的基础。TCP/IP是网络中使用的基本的通信协议。其中IP (Internet Protocol) 全名为“网际互连协议”, 是为计算机网络相互连接进行通信而设计的协议。TCP (Transfer Control Protocol) 是传输控制协议。TCP/IP协议是能够使连接到网上的所有计算机网络实现相互通信的1套规则, 正是因为有了TCP/IP协议, 因特网才得以迅速发展成为世界上最大的、开放的计算机通信网络。

从表面名字上看TCP/IP包括两个协议, 传输控制协议 (TCP) 和互联网际协议 (IP) , 其实TCP/IP实际上是1组协议的集合, 包括了上百个各种功能的协议。如:远程登录、文件传输和电子邮件等, 而TCP协议和IP协议是保证数据完整传输的两个基本的重要协议。IP协议之所以能使各种网络互联起来是由于它把各种不同的“帧”统一转换成“IP数据包”格式, 这种转换是因特网的1个最重要的特点。所以IP协议使各种计算机网络都能在因特网上实现互通, 即具有“开放性”的特点。TCP/IP协议的基本传输单位是数据包 (datagram) 。TCP协议负责把数据分成若干个数据包, 并给每个数据包加上包头, 包头上有相应的编号, 以保证在数据接收端能将数据还原为原来的格式, IP协议在每个包头上还要加上接收端主机地址, 这样数据通过路由器中的MAC地址来确定数据的流向, 如果传输过程中出现数据丢失, 数据失真等情况, TCP协议会自动要求数据重新传输, 并重新组。总之, IP协议保证数据的传输, 而TCP协议保证数据传输的质量。TCP/IP协议数据的传输基于TCP/IP协议的4层结构:应用层、传输层、网络层、接口层。

2 TCP/IP协议的结构功能

TCP/IP是一个四层的分层体系结构。高层为传输控制协议, 负责聚集信息或把文件拆分成更小的包。这些包通过网络传送到接收端的TCP层, 接收端的TCP层把包还原为原始文件。低层是网际协议, 其处理每个包的地址部分, 使这些包正确的到达目的地。网络上的网关计算机根据信息的地址来进行路由选择。即使来自同一文件的分包路由也有可能不同, 但最后会在目的地汇合。TCP/IP使用客户端/服务器模式进行通信。TCP/IP通信是点对点的, 是网络中的一台主机与另一台主机之间的。TCP/IP与上层应用程序之间可以说是“没有国籍的”, 因为每个客户请求都被看做是与上一个请求无关的。正是它们之间的“无国籍的”释放了网络路径, 才使每个人都可以连续不断的使用网络。许多用户熟悉使用TCP/IP协议的高层应用协议。包括万维网的超文本传输协议 (HTTP) , 文件传输协议 (FTP) , 远程网络访问协议 (Telnet) 和简单邮件传输协议 (SMTP) 。这些协议通常和TCP/IP协议打包在一起。使用模拟电话调制解调器连接网络的个人电脑通常是使用串行线路接口协议 (SLIP) 和点对点协议 (P2P) 。这些协议压缩IP包后通过拨号电话线发送到对方的调制解调器中。与TCP/IP协议相关的协议还包括用户数据包协议 (UDP) , 代替TCP/IP协议来达到特殊的目的。其他协议是网络主机用来交换路由信息的, 包括Internet控制信息协议 (ICMP) 、内部网关协议 (IGP) 、外部网关协议 (EGP) 、边界网关协议 (BGP) 。

3 TCP/IP协议的安全隐患

3.1 关于链路层存在的安全漏洞

在以太网中, 信息通道是共享的, 一般地, CSMA/CD协议是以太网接口在检测到数据帧不属于自己时, 就把它忽略, 不会把其发送到上层协议。解决该漏洞的对策是:网络分段、利用交换器、动态集线器等设备对数据流进行限制、加密和禁用杂错节点。

3.2 关于IP漏洞

IP包一旦从网络中发送出去, 源IP地址就几乎不用, 仅在中间路由器因某种原因丢弃它或到达目标端后, 才被使用。如果攻击者把自己的主机伪装成被目标主机信任的友好主机, 即把发送的IP包中的源IP地址改成被信任的友好主机的IP地址, 利用主机间的信任关系和这种信任关系的实际认证中存在的脆弱性, 就可以对信任主机进行攻击。解决这个问题的一个办法是, 让路由器拒绝接受来自网络外部的IP地址与本地某一主机的IP地址相同的IP包的进入。

3.3 关于DNS欺骗

网络上的所有主机都信任DNS服务器, 如果DNS服务器中的数据被攻击者破坏, 就可以进行DNS欺骗。

4 SYN FLOOD攻击的基本原理

4.1 攻击原理

在SYN Flood攻击中, 黑客机器向受害主机发送大量伪造源地址的TCP SYN报文, 受害主机分配必要的资源, 然后向源地址返回SYN+ACK包, 并等待源端返回ACK包。由于源地址是伪造的, 所以源端永远都不会返回ACK报文, 受害主机继续发送SYN+ACK包, 并将半连接放入端口的积压队列中, 虽然一般的主机都有超时机制和默认的重传次数, 但是由于端口的半连接队列的长度是有限的, 如不断的向受害主机发送大量的TCP SYN报文, 半连接队列就会很快填满, 服务器拒绝新的连接, 将导致该端口无法响应其他机器进行的连接请求, 最终使受害主机的资源耗尽。

4.2 防御方法:SYN-cookie技术

一般情况下, 当服务器收到一个TCP SYN报文后, 马上为该连接请求分配缓冲区, 然后返回一个SYN+ACK报文, 这时形成一个半连接。SYN Flood正是利用了这一点, 发送大量的伪造源地址的SYN连接请求, 而不完成连接。这样就大量的消耗服务器的资源。

SYN-cookie技术针对标准TCP连接建立过程资源分配上的这一缺陷, 改变了资源分配的策略。当服务器收到一个SYN报文后, 不立即分配缓冲区, 而是利用连接的信息生成一个cookie, 并将这个cookie作为将要返回的SYN+ACK报文的初始序列号。当客户端返回一个ACK报文时, 根据包头信息计算cookie, 与返回的确认序列号 (初始的序列号+1) 的前24位进行对比, 如果相同, 则是一个正常连接, 然后, 分配资源, 建立连接。

该技术的巧妙之点在于避免了在连接信息未完全到达前进行资源分配, 使SYN Flood攻击的资源消耗失效。实现的关键之处在于cookie的计算。cookie的计算应该做到包含本次连接的状态信息, 使攻击者不能伪造cookie。cookie的计算过程如下:

(1) 服务器收到一个SYN包后, 计算一个消息摘要mac:mac=MAC (A, k) ;

MAC是密码学中的一个消息认证码函数, 也就是满足某种安全性质的带密钥的hash函数, 能够提供cookie计算中需要的安全性。

A为客户和服务器双方的IP地址和端口号以及参数t的串联组合:

时间参数t为32比特长的时间计数器, 每64秒加1;

K为服务器独有的密钥;

(2) 生成cookie。cookie=mac (0:24) ;表示取mac值的第0到24比特位;

(3) 设置将要返回的SYN+ACK报文的初始序列号, 设置过程如下:

(1) 高24位用cookie代替;

(2) 接下来的3比特位用客户要求的最大报文长度M-MS代替;

(3) 最后5比特位为t mod 32。

客户端收到来自服务器SYN+ACK报文后, 返回一个ACK报文, 这个ACK报文将带一个cookie (确认号为服务器发送过来的SYN ACK报文的初始序列号加1, 所以不影响高24位) , 在服务器端重新计算cookie, 与确认号的前24位比较, 如果相同, 则说明未被修改, 连接合法, 然后, 服务器完成连接的建立过程。SYN-cookie技术由于在连接建立过程中不需要在服务器端保存任何信息, 实现了无状态的三次握手, 从而有效的防御了SYN Flood攻击。但是该方法也存在一些弱点。由于cookie的计算只涉及了包头的部分信心, 在连接建立过程中不在服务器端保存任何信息, 所以失去了协议的许多功能, 比如, 超时重传。此外, 由于计算cookie有一定的运算量, 增加了连接建立的延迟时间, 因此, SYN-cookie技术不能作为高性能服务器的防御手段。通常采用动态资源分配机制, 当分配了一定的资源后再采用cookie技术, Linux就是这样实现的。还有一个问题是, 当人们避免了SYN Flood攻击的同时, 也提供了另一种拒绝服务攻击方式, 攻击者发送大量的ACK报文, 使服务器忙于计算验证。尽管如此, 在预防SYN Flood攻击方面, SYN-cookie技术仍然是一种有效的技术。

5 结束语

通过对TCP/IP协议的网络安全性的研究, 使人们更加注重网络的安全性。

摘要：论文介绍了TCP/IP协议的总体概况、结构功能;TCP/IP协议的安全隐患;然后从SYN的攻击代码来分析TCP/IP协议, 并且实现了防御SYN的方法。

关键词：TCP/IP协议,协议安全性

参考文献

[1]颜学雄, 王清贤, 李梅林.SYN Flood攻击原理与预防方法.北京:计算机应用, 2000.

[2]李磊, 赵永祥, 陈常嘉.TCP SYN Flooding原理及其应对策略.北京, 网络与应用, 2003.

IP安全性 第10篇

在现今, 许多企业内的网络资源仅允许内网电脑访问, 甚至某些服务仅限于同网段的电脑连接, 任何跨网段的访问都会被拒绝。在此情形下, 一旦电脑出了企业, 访问这些资源就变得非常困难。如果我们可以构建一个Mobile IP环境, 让员工的电脑可以在不更改网络地址的情形下直接访问企业内网资源, 可以方便员工办公。当然, 安全性的考量是必须兼顾的, VPN技术正好提供了Mobile IP所需要的安全机制[1]。

若要完成Mobile IP环境的构建, 必须在企业内网设立Home Agent (HA) , 并且在外网漫游上网处设立Foreign Agent (FA) , Mobile IP才能顺利的运作[2]。如何让员工在各地漫游时均能找到FA来转发数据包?同样地, 如果员工在企业内网没有获得网管部门的支持, 没有为员工构建相关的HA, 我们是否还能达到Mobile IP的目标?

本文的目的就是要提出一个解决方案, 即使未获得企业网管部门的支持, 也能构建一个Mobile IP环境, 使得即使身在外地, 也可以随时随地的访问内网资源。只要员工拥有企业所核发的公有IP, 员工就可以将这个IP携带到任何地方使用, 包括在家中。

将企业的公有IP带回家使用, 这代表了一个重大意义:即使员工在家中所使用的宽带网络环境不具有固定IP, 或者仅仅是私有IP, 员工仍可在家中使用企业所核发的公有IP作为电脑IP地址。此时, 家中的电脑不仅可变成具有固定公有IP地址的主机, 同时还可以任意访问内网资源, 不再受限于内外网之区隔。

我们所提出的解决方案是利用VPN构建技术, 在办公室的台式点上构建HA。在笔记本电脑上构建FA, 使得笔记本电脑上的应用程序都成为Mobile IP的客户端, 达到Mobile IP的目的。由于我们的HA及FA均以VPN技术为基础, 在Mobile IP传输时就可同时兼顾安全性。更重要的是, 在我们的解决方案里, 不会损耗任何的公有IP, 即使公司仅为员工核发两个公有IP:台式电脑和笔记本电脑, 我们仍能构建出兼具安全性的Mobile IP环境。

1、VPN环境

以数据包为基础进行加密的VPN连接软件数量众多, 例如:IPSec、PPTP、CIPE…, 也有一些使用SSH与PPP搭配一起构建VPN Tunnel[3]。经过评估, 我们决定采用Open VPN程序来构建Mobile IP, 主要基于以下几点[4]:

①Open VPN具有良好的可移值性, Open VPN可以安装在几乎所有的操作系统上。

②Open VPN支持多种模式的VPN构建。

③Open VPN是开源软件, 并且授权自由使用。

④Open VPN架构容易, 相比其它方法建立VPNs要方便的多。

⑤Open VPN优越的隧道技术。

但是, 在标准的Open VPN架构里, 所有的VPN Server都必须拥有两张网卡, 这是比较不方便得地方。为了符合实际环境的状况, 我们做了一些改动, 让VPN Server以及笔记本电脑都只需要一张网卡即可工作。更重要的是, 不论你使用的是Windows系统还是Linux系统, 都可以完成VPN环境的构建。

在构建VPN网络时, VPN的Client端和Server端都会产生一张虚拟网卡, 这两张虚拟网卡均可同时存取到一个共同的虚拟网段, 这个虚拟网段就是VPN网络。其是利用加密机制通过物理网卡做数据传输, 以达到虚拟网卡互相连接的效果。在虚拟网卡与物理网卡的数据交换上, 可根据具体情况采用独立模式、Routing模式、Bridging模式等[5]。

2、Mobile IP环境搭建

使用笔记本电脑往返家中与办公室是最常见的情形, 另一种情形是携带笔记本电脑到外地出差或使用无线漫游。当笔记本电脑带出办公室时, 我们就可以利用VPN技术构建安全的Mobile IP环境。

以下我们分为两种情形作为探讨:

①使用者携带笔记本电脑往返于办公室与家中, 希望笔记本电脑可以在不更改任何设定的情形下, 都能存取办公室的网络资源, 同时也保留相同的IP地址 (单位内网IP地址) 。

②使用者携带笔记本电脑至外地漫游上网, 希望也能使用原单位内网IP地址连回单位内网, 存取内网的资源。

对于第一种情形, 使用者往返于办公室与家中, 这两个网络环境都属于管制型网络 (未提供陌生人自由上网) , 其安全性较高。因此, 我们可以在办公室与家中各使用一台电脑, 分别以VPN Server做为Mobile IP的HA (办公室) , 并以VPN Client做为Mobile IP的FA (家中) 。这两台电脑不必使用专属的服务器, 可使用一般电脑兼代。架构上, HA及FA均采用Bridging模式, 使得家中网络与单位内网结合成一个大型的虚拟网络, 如图1。在此情形下, 使用者的笔记本电脑往返于家中及办公室时, 均可完全不必更改网络设定, 就可以存取单位内网及因特网上的资源。

使用这种Mobile IP构建的环境, 除了可以避免笔记本电脑网络设定的不便之外, 还有另一个好处:可以将公司的公有IP带回家中使用。但如果使用者在外地使用电脑, 其安全性相对较低, 所以不适合将外地网络与公司网络作桥接。另外, 使用者在外地上网时, 不容易寻找另一台电脑构建FA, 因此必须让该笔记本电脑本身同时具有FA及Mobile IP Client的功能。在构建时, 办公室电脑仍维持原来的Bridging模式, 而笔记本电脑则构建成VPN Client, 并且采用独立模式。因此, 笔记本电脑的虚拟网卡与物理网卡是分开的, 而且不做数据交换。此时, 只有通过虚拟网卡才可以存取公司内部的网络资源。如果此时将物理网卡与虚拟网卡做桥接, 外部网络就很容易利用这个虚拟网络进入公司内部网络, 影响公司内网安全。

3、系统实现

Open VPN具有跨平台的特性, 我们以Fedora Linux为例, 基于以下环境进行架构:

*办公室电脑IP地址:192.192.150.231;

*笔记本电脑IP地址:192.192.150.232;

*办公室路由器网关:192.192.150.254;

*家中上网方式:ADSL PPPo E;

*外地上网IP地址:61.222.126.21;

*外地上网网关:61.222.126.254。

以下我们针对办公室电脑、家中电脑和笔记本电脑的设定进行说明。

一、办公室电脑

①产生Pre-Shared Key:openvpn--genkey--secret/root/static.key

②产生ethertap虚拟网卡:openvpn--mktun--dev tap0

③设定桥接功能:

brctl addbr br0

brctl addif br0 eth0

brctl addif br0 tap0

ifconfig eth0 0.0.0.0 promisc up

ifconfig tap0 0.0.0.0 promisc up

ifconfig br0 192.192.150.232

route add default gw 192.192.150.254

④启动Open VPN Server:openvpn--dev tap0--secret/root/static.key--port 5000--daemon

二、家中电脑

①取得Pre-Shared Key:由Server拷贝static.key。

②产生ethertap虚拟网卡:openvpn--mktun--dev tap0

③设定桥接功能:

brctl addbr br0

brctl addif br0 eth0

brctl addif br0 tap0

ifconfig eth0 0 up

ifconfig tap0 0 up

ifconfig br0 192.192.150.231

④进行PPPo E拨号:adsl-start

⑤设定Host Route:route add-host 192.192.150.231 dev ppp0

⑥建立VPN连接:openvpn--dev tap0--secret/root/static.key--port 5000-daemon--remote 192.192.150.231

三、笔记本电脑

①取得Pre-Shared Key:由Server拷贝static.key。

②产生ethertap虚拟网卡:openvpn--mktun--dev tap0

③设定网络参数:

ifconfig eth0 61.222.126.21netmask 255.255.255.0

route add default gw 61.222.126.254

ifconfig tap0 192.192.150.232 up

④设定Host Route:route add-host 192.192.150.231gw61.222.126.254

⑤建立VPN连接:openvpn--dev tap0--secret/root/static.key--port 5000-daemon--remote 192.192.150.231

至此, VPN网络构建完毕。但如果笔记本电脑成为VPN Client时, 其与VPN Server将通过互联网进行连接, 无法通过VPN网络连接。此时, 笔记本电脑与办公室电脑之间资源共享将会出现问题。有两种解法方法:

①在办公室电脑上另绑定一个公有IP, 这个公有IP将可透过VPN网络做连接, 但代价是必须额外占用一个公有IP。

②如果不想占用另一个公有IP, 可让办公室电脑与笔记本电脑各配给一个同网段的私有IP, 这一组私有IP即可透过VPN网络做连接。

此外, 如果公司网络同时拥有数个IP网段, 为了让公司内部所有网段都可透过VPN网络做连接, 可在笔记本电脑上加入静态路由。

在安全性的考量上, 为避免使用笔记本电脑将外部网络与公司内部网络做桥接, 可将办公室电脑的VPN模式改为“同网段Routing模式”。此时, 必须在VPN Server端启动Proxy ARP及IP Forwarding机制。在此情形下, 任何没有经过服务器以Host Route命令所授权的IP地址, 将无法透过Proxy ARP的功能与公司内部网络做连接。但其也存在缺点, 任何以广播机制为基础的服务 (如DHCP等) 将无法提供。

4、结论

虽然VPN的构建可以让外部使用者安全地回公司内网做访问, 但是大部分的VPN构建都必须依赖公司的网管部门构建。在公司整体VPN规划与构建前, 一般使用者是很难利用这个功能来访问公司内网的。

本文提供了一种简单的构建策略, 任何使用者只要在办公室拥有一台个人电脑, 并配置一个公有IP, 就可自行构建出专属的VPN网络。这种架构不仅不会耗用额外的公有IP, 同时也可以笔记本电脑保有原来公司配置的IP在家中或外地上网, 使得该电脑得以同时访问互联网和公司内网。此外, 当家中电脑通过ISP连接上网时, 即使所配置的地址是私有IP, 仍可将公司所核发的公有IP带回家中使用, 在家中构建对外服务的个人网站。

摘要：携带笔记本电脑到外地出差已日渐普遍, 若要让使用者由外地连回企业内部做网络访问, VPN是最常见的解决方案。但是大部分的VPN架构都必须依赖企业的网管部门来完成。本文提出一种VPN的构建方案, 即使没有网管部门的协助, 使用者也能独立构建属于自己的VPN网络。这种构建方案不仅拥有传统VPN的优点, 还能达到Mobile IP所带来的优点。此外, 我们也能通过此机制, 将企业的公有IP带回家中使用, 在家中构建对外服务的个人网站。

关键词：VPN,Mobile IP,Open VPN

参考文献

[1]顾玮奇.移动IP与VPN技术结合的研究[J].电信快报, 2009 (3) :39-41.

[2]刘雪.关于提高移动IP协议效率的研究[D].西安电子科技大学, 2013.

[3]CIPE-Crypto IP Encapsulationg[EB/OL].http://sites.inka.de/bigred/devel/cipe.html, 2011

[4]林圣东等.基于Open VPN的Lan-to-Lan VPN的设计与实现[J].电子测试, 2012 (4) :86-92.

IP安全性 第11篇

继5月《丝男士》推出第四季及同名手游以来，大鹏工作室努力扩展原有的内容生态链，跨越不同屏幕，打通内容、娱乐、游戏等产业。

7月17日大鹏工作室自制的首部大电影《煎饼侠》也将登上大荧幕。一系列的动作都标志着，搜狐视频自制喜剧已迈出从互联网IP向大电影IP拓展的产业步伐。

先人一步，遍地黄金

如果说2007年创作《大鹏吧》时，搜狐视频还是摸索前行，经过8年的探索与运作，如今大鹏工作室已经成为制作互联网喜剧最成熟的团队，没有之一。

据大鹏回忆，“在没有《丝男士》前，互联网很少有网剧，那时候大家都不知道网剧每集应该多长时间，播放周期是怎样的。我们的团队经过不断尝试，确定了每集18分钟左右的标准，这个时间大家看着不累而且意犹未尽；现在工作节奏快，娱乐时间短且集中，我们就把播放周期定在一周一播，全网可以充分发酵。这些都开创了网剧的标准，此后市场上出现的网剧和《丝男士》都比较接近。”

近两年，互联网公司纷纷投身网络自制剧，新的市场格局正在悄然形成，众多可以颠覆电视平台的作品涌现，网络高品质视频发展已经形成产业趋势。

大鹏工作室在保持原有作品质量的基础上，不断培养新人、开发新的品牌项目，以求让喜剧成为搜狐视频永久品牌标签。“我们预计，未来每年会出产2-4部网络剧，争取一年当中8到9个月都有新作品，形成播出带，为搜狐视频提供源源不断地产品。制作流程方面，工作室旗下的制片人会拍摄样片，有潜力的片子将获得专款扶持，让拍摄变得更精良，以接受团队乃至市场的检验。”大鹏说。

先人一步，遍地黄金。搜狐视频版权影视中心高级总监马可介绍，从Q2自制龙头《丝男士》第四季回归来看，已经吸引了众多优质广告主投入。“现在我们已经能对客户进行筛选了，在广告投放上我们会选择不伤害内容本质的植入，只有特别有价值的合作伙伴，才会考虑合作。搜狐视频在品牌、流量上，不仅希望在本季有收益，还希望在未来甚至更远都会有收益。”

《煎饼侠》的真实与虚幻

大电影《煎饼侠》由搜狐视频、万达影视、新丽传媒三家共同出品，是搜狐视频旗下大鹏工作室自主研发，搜狐首部主投主控的作品。

在马可看来，此次投拍大电影不是随意为之，而是体现了搜狐视频一贯的“集中精力，想清楚再干”的特质。她认为，“市场有容量去关注、消化精品内容，网络自制视频将走入精品化时代。”

“《煎饼侠》是个有趣的故事，讲述了搜狐视频的大鹏成长、成名以及逆袭的经历。”大鹏介绍，“影片中，大鹏因为《丝男士》走红，但好景不长，有一天，从明星又变回丝，于是他想拍一部戏红回来。大鹏像以前一样去找明星出镜，但明星们都拒绝他，于是他采用绑架、勒索等极端方式骗明星帮他完成《煎饼侠》电影。”

《煎饼侠》颇具人生的五味杂陈，“它创造了中国电影的新形式，用讽刺描述了现实中的一些现象。剧中30多位明星都扮演了和自己名字一样的艺人，邓超在戏里是一个‘傻子’，现实生活中他是傻子吗？吴君如在戏里是一个对着镜头就表演喜剧，没有镜头就生气、整天打骂工作人员，暴怒的人。现实中她是这样的吗？影片中，柳岩、袁珊珊都是主角。别人问我，用袁姗姗，你不怕被黑？其实我就是要找一个所谓的‘烂演员’和我一起‘报仇’。”言语中你能看到一个80后导演的小幽默和不服输的态度。

影片角色化的表演带来了极强的喜剧效果，让观众模糊了现实和电影的概念。“你看到的是一个真正的大鹏，还是电影里我扮演的一个大鹏？很有趣。”大鹏笑着说。

大鹏作为《煎饼侠》编剧、导演、主演认为，“从工业流程来讲，网络剧和电影区别明显，虽然都是文字的影像化表达，但前者是短情景剧，有不同的明星，大鹏在里面演所有人；后者要有一个核心故事，有一个贯穿人物，要求观众被吸引，跟随主人公的情绪，起承转合去经历故事。”

可以说，《煎饼侠》带领观众体验了一次庄周梦蝶。影片游走在“真實”与“虚构”之间的创作手法，让观众难以停止对出镜明星的无限遐想，满足了观众在视觉审美疲劳下对新样式作品的追求，同时观众渴求真相的心理诉求也将激发观影需求。

筛选最好的合作伙伴

不断博取众长，成为大鹏工作室团队的成长轨迹。大鹏介绍，“4年前，做《丝男士》时，团队什么也不会，我也不专业。我通过参加别的影视剧去看、去学习，然后带着团队一起去学习，他们才知道，原来拍戏是这样的，才有了《丝男士》。《丝男士》第四季，我只作为导演和演员出现，其他事务性的事情，都交给团队去做了。”

“当我接触电影时，我仍然觉得要相信权威，要把信任交给更加能帮助你的人，他们会从最专业的角度给予很多意见。”大鹏表示。于是，《煎饼侠》采用了国内顶级喜剧制作团队，制片人陈祉希曾是《泰》的制片人；摄影师、美术师傅英彰2014年入围了台湾金马奖最佳美术设计；剪辑师屠亦然，曾为《泰》《分手大师》做剪辑，现在正帮徐峥做《港》；录音师董旭，曾指导《泰》《心花路放》《分手大师》等顶级喜剧作品。

“在《煎饼侠》电影剧组中，我带着自己的团队去向他们学习，做边边角角或是助理的工作，渗透到各个环节，体会电影剧组的工作环境。”大鹏相信自己的团队会一直保持强烈的学习动力，“从小事做起，也许在我的第二部电影中，他们就能承担更重要的工作。”

当然，《煎饼侠》的点映数据也坚定了团队的信心，“我们邀请了国产电影行业权威数据调查公司，在海量样本中筛选出只关注电影的适龄人群，进行调研，发现《煎饼侠》观众的年龄范围更宽泛，45岁以下的人群都接受且喜欢。通常一部电影的推荐率平均值是35%，即观众看过电影后推荐别人去看的比例。《煎饼侠》推荐率达到76%，远远超过平均值。”大鹏介绍。

nlc202309021958

当播放量越来越好，商业价值越来越大时，职业归属感在每个人心中占据了更加重要的地位。“成立大鹏工作室是希望我之外的团队其他成员能够有更强的归属感。他们原来是搜狐视频各个岗位的员工，现在做工作室内经纪、商务、外联等专职工作，让他们明确地知道自己的发展方向。在工作室收入变得越来越多时，每个人也能获得更多收入，让大家有更大动力。”大鹏表示。

马可从战略层面进行了分析，“从传统影视企业挖来的专业人士，未必适合互联网，甚至在和影视制作公司合作时，也需要专业的眼光才能有效筛选最好的合作伙伴。同时，合作中还要有自己的制片团队、专业制片人负责沟通，准确地提出我们想要的内容并监督执行，因此培养自己的、具有掌控年轻受众群体的创新团队，是必要的。”

2014年，视频网站受到“限外令”的政策与节目独播版权价格疯涨的市场因素影响，逐渐从大而全的内容全球采购向自制内容的专业化、类型化转变。

搜狐视频版权影视中心制作总监王一认为，“大鹏是搜狐视频第一个走出来的人，希望内部将来有更多类似的人走出来。大鹏工作室是搜狐视频的一个分支，《大鹏吧》《丝男士》《极品女士》已形成品牌，并将逐渐形成独立的公司，实现网络平台上自制的制播分离，这种方式美国很多网站已经开始使用，是一种国际化趋势。”

颠覆三观的网络推广

作为80后“网生代”，大鹏对网络人群喜欢什么更敏锐。虽然这些想法被出身“正统”的万达影视惊呼“颠覆三观”，但大鹏仍然认为值得一试，“至少要提出来头脑风暴一下。”

毕竟，网络有自己的语境。

“从2004年加入搜狐，11年来，我一直根植在互联网土壤上，对起什么样的标题更吸引人，做什么样的事件更引人注目，比较有感觉。从《丝男士》的成功就能印证出我们嗅觉的灵敏，因此我经常提出疯狂的想法。”大鹏说。

在他看来，《煎饼侠》是从互联网IP延伸到大电影IP的作品，在推广中除组织5场常规点映外，还和售票网站、移动终端合作开放票务推广，最值得一提的是，其宣传中融入了网络独特的思维方式。

據大鹏工作室的工作人员透露，《煎饼侠》在海报以及先导预告片制作上，就“花招百出”。其愚人节的先导预告片，勇敢“自黑”：众多明星面对大鹏参与电影的邀请，纷纷施展奇葩招数，以求摆脱纠缠：林更新调侃2025年才有空；郑恺模仿电话占线忙音；陈赫不惜负伤“左后臂粉碎性杀马特骨折”……而大鹏预想的另一部预告片是这样的：中国最著名的喜剧演员们，面对镜头痛哭流涕。“平常很难看见喜剧演员哭，他们一直在开心地维持笑星的本来面貌，当他们忧伤的脸呈现在镜头上时，我要告诉大家，喜剧演员都哭了，因为《煎饼侠》太好笑了。”大鹏还提出，出一款概念海报与同档期电影一起宣传，要写上两部电影的上映日期，两部电影的主角互换角色，同时出现在海报中，“没准都穿上《煎饼侠》的战服。”工作人员说。

当然，这些都将成为观众欢乐的吐槽点，为电影增添更多意料之外的“笑果”。大鹏解释创意初衷说，“这样的融合更能体现娱乐精神，观众会为你的娱乐心态点赞，在市场激烈竞争中，开放的心态也能让左右摇摆的观众好奇并接受。”

《丝男士》剧中除了邀请明星参与外，还常常能看到其他网络喜剧中主演客串。对此，大鹏认为，与其各方拼得你死我，不如“借势而为”采取融合态度，让多方都能受益。这一想法始终贯穿在工作室发展的历程中，也是延续搜狐视频特有的娱乐精神之处。大鹏还为一部正在筹拍的网络情景喜剧衍生而来的大电影提建议，“我和这部剧的导演是来自不同网络的代表人物，也是好朋友，我愿意和他分享拍《煎饼侠》时遇到的问题，让他少走一些弯路，至少不会犯我已经犯过的错误。”大鹏说。

网络红人作为进军电视行业的新兵，保持开放心态，把握时代的脉搏非常重要。

大鹏麾下的编剧在和他一同参加春晚后，已经收到潘长江、冯小刚等演艺界知名人士的邀请，到他们的团队参与编剧工作。“这样能让团队人员的才华为更多人知道，而他们学到的东西也能反馈给工作室。”大鹏认为开放的心态将让行业的发展全面提速，“希望有一天这个行业能打破不同播出平台间的障碍，联合起来证明给传统的电视剧、电影产业看，我们可以做得很好，传统媒体不与时俱进，就会被我们超越。”

IP生产系列化

“搜狐视频先人一步，把生于网络、走红于网络的题材和人物搬上大荧幕，生产了互联网第一个脱口秀节目、第一部情景喜剧，培育了第一位网络红人，让市场看到网络红人和自制IP大荧幕化的可能性。从想法到办法再到结果，一系列举措是综合的，这和搜狐视频一直以来的创新性、精品化是一致的。”马可坚定地表示。

好内容的价值与营销创新能相互反哺，在市场上走出一条具有优越性的道路。

搜狐视频提供的资料显示，《丝男士》第四季已获得快消品、药品、酒类、汽车等行业知名品牌的投放，全球领先男士护理品牌凌仕、海天招牌拌饭酱、999皮炎平、瓦伦丁啤酒、火咖、陆风汽车等国际国内知名品牌都位列其中。

大鹏认为，内容与广告植入不是势必针锋相对的两个矛盾，可以找到平衡点，客户的认可和尊重要归功于作品的质量。“为了保护《丝男士》的品牌与观众口碑，在开拍之初，工作室就会定下明确的目标——植入情节不超过拍摄内容的8%。作品是一切的根本，作品好才能吸引人。”大鹏说。

未来谁能持续生产出好内容，谁就将赢得更多客户的芳心。

目前，广告商在植入露出需求方面也日趋成熟，“现在客户要求在不经意间使用、露出产品，让观众看后不觉得是广告，但特别想买。”马可介绍。“搜狐视频自制的年轻团队已经开始为客户提供与产品精神内涵及意识高度相契合、符合产品气质的植入情节，未来国际广告市场中‘轻露出、重植入’的表现方式将更多的提供给广告客户。”

起步早与系列化，让搜狐视频成熟品牌的IP有了深厚的内容根基，成为网站盈利多元化的助推引擎。马可透露，“未来网剧题材转化、周边授权等会被更多关注，在电视、书籍、电影、漫画、游戏等文化产业相关领域，搜狐视频都将培育自己的成熟IP。”

加强铁路IP数据网安全的建议 第12篇

铁路IP数据网是铁通公司利用成熟的互联网技术构建的铁路内部专用网络平台, 基于TCP/IP技术, 用于实现铁路局、各站段到各中间站、车间、班组的办公联网系统、视频会议系统、远程监视系统、监测系统、铁路信息系统、运输指挥管理系统、行车安全监测系统等不同系统的接入, 是一个铁路企业内部专用的“互联网”。该网络在物理上和国际互联网隔绝, 具有充分利用互联网技术接口标准、开放、简单、便于扩容、接入成本低廉等特点, 为铁路信息化建设提供通道承载服务。铁路IP网分为骨干网和接入网两个层次, 其中骨干网分为核心层、汇聚层、接入层三层结构。核心层节点为路局节点, 汇接本路局业务, 上联铁通总部和铁道部;汇聚层节点为本路局内的地区汇接节点, 负责本地区业务的汇聚和转发;接入层节点为枢纽汇接节点, 负责范围内沿线车站路由器的接入。接入层主要实现用户业务的接入, 由安装在各个铁路沿线车站的路由器构成, 并按照物理位置分别接入骨干层路由器。

2 铁路IP网安全影响因素分析

IP数据网络, 是根据传输业务带宽的需求, 利用通信系统的光纤资源和数据网设备, 并采用相应技术提供业务系统隔离和Qo S保证, 构成核心层、汇聚层、接入层三级网络。由此可见, 影响IP数据网安全运行的因素主要有以下几个方面。

2.1 服务器区域没有进行独立防护

铁路IP网内计算机数据快速、便捷的传递, 造就了病毒感染的直接性和快速性, 如果网络中服务器区域不进行独立保护, 其中一台电脑感染病毒, 并且通过服务器进行信息传递, 就会感染服务器, 这样路网中任何一台通过服务器信息传递的电脑, 就有可能会感染病毒。虽然在网络出口有防火墙阻断外来攻击, 但无法抵挡来自局域网内部的攻击。

2.2 计算机病毒及恶意代码的威胁

由于网络用户不及时安装防病毒软件和操作系统补丁, 或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击, 正是利用了用户的这个弱点。寄生软件可以修改磁盘上现有的软件, 在自己寄生的文件中注入新的代码。最近几年, 随着犯罪软件汹涌而至, 寄生软件已退居幕后, 成为犯罪软件的助手, 上述犯罪软件在铁路IP网内也有可能进行潜伏。

2.3 铁路IP网用户安全意识不强

铁路数据网主要负责完成各种文本、图形、多媒体信息等的交换与传送, 主要接人有会议视频及综合视频监控系统、旅客服务信息系统、GSM.R系统, 以及其他需要在数据网中传输的非安全生产业务等。各系统通过不同的接入渠道统一汇聚在数据网中传送, 个别系统接人终端的不稳定也可能对整个网络安全带来严重的影响。

3 加强铁路IP数据网安全建议

采取有效措施和手段防患未然, 保护数据网中的硬件、软件及其数据不遭到破坏、更改, 使系统持续可靠地运行、网络服务不中断, 成为建设、维护铁路IP数据网必须要面对的一个重要问题。

3.1 建立完善的安全管理体系

管理体系的建立应该以人为本, 只有把技术手段和管理机制紧密结合起来, 提高人们的思想认识和技术水平, 才能从根本上保护网络系统的安全运行。

3.1.1 制定办法, 明确责任。

从硬件设备及软件系统的使用、维护、管理等各个环节制定规章制度, 规范工作程序和操作规程, 并严格执行。严格的机房管理、工单管理, 保证网络的物理安全和数据安全, 杜绝人为因素导致的网络故障甚至网络中断。

3.1.2 加强培训, 提高水平。

通过培训等方式提高维护人员的技术素质和业务水平。维护人员是保障网络安全的执行者, 只有维护者业务水平的提升才能从根本上保证网络的安全运行。

3.1.3 加强监控, 做好分析。

获取网络中各种Log信息、MIB信息, 加强网络的性能分析, 消除隐患;监控网络异常流量, 设置路由过滤、命令屏蔽等管理策略, 防止网络入侵;对数据定期备份, 确保故障时的快速恢复, 增强网络的健壮性。

3.2 提高网络自身的可靠性和安全性

网络安全包括硬件安全 (消除单点故障) 和软件安全 (传输通道畅通、数据配置准确、路由自动调整等) 。

3.2.1 网管系统的安全, 包括硬件安全和软件安全。

硬件方面, 应配置UPS防止系统异常掉电造成数据库损坏;软件方面, 应在终端与网络之间设置硬件防火墙, 同时加强对各种操作的日常管理, 如访问管理、用户权限管理等。

3.2.2 路由器的选择和配置。

从包转发、路由处理、抵御攻击及对VPN的支持等方面进行考虑, 核心层与汇聚层节点汇聚了本线所有的业务流量, 必须配置较高性能的高端路由器;接入层节点对业务处理能力要求相对较低, 可以采用中端路由器, 但作为提供接入服务的设备, 必须具有10M/100Mb/s以太网端口、POS 155M/622Mb/s端口、GE端口。另外, 各层路由器设备的可靠性应满足99.999%指标, 在设备配置时应对电源、路由引擎、交换矩阵等关键部件采取冗余配置, 实行1+1热备, 并要求各板件支持硬件的热插拔。

3.2.3 核心、汇聚节点设备冗余配置, 接入层设备链路双归属。

3.2.4 传输通道的保护。

数据网各节点间的通信, 需要利用通信系统的光纤资源, 或者由MSTP设备提供承载通道, 因此, 在规划数据网组网时应充分考虑传输通道的安全性, 可通过不同的传输设备提供通道或者利用不同物理径路的光缆提供数据网所需的通道资源。

3.2.5 启用动态路由协议。

通过启用IS.IS、OSPF动态路由协议, 可以在链路中断或者拥塞时, 由设备自动调整路由表, 确保业务的安全畅通。另外, 建议利用MD5加密算法对路由消息进行加密, 避免路由欺骗的情况发生。

3.2.6 加强登录控制。

包括设置不同级别的用户管理权限、以密文设置口令、设置Console和VTY会话超时、通过ACL控制Telnet远程登录、设置SNMP Community参数、配置SNMP认证失败陷阱等内容。

3.2.7 关闭无关的服务和未启用的物理端口。

路由器默认会提供一些与本线业务无关的缺省服务, “no cdp enable”可以停止CDP服务、“no ip httpserver”可以停止HTFP服务等。通过关闭无用的默认服务, 可有效避免人为或者病毒攻击造成的网络故障;另外, 应执行“shutdown”命令关闭未使用的物理端口防止误接设备而引起网络异常。

3.2.8 部署技术策略。

通过部署流过滤和分析, 启用线路板和主控板之间的流量控制功能, 配置URPF网络安全方案;另外, 建议关闭已知病毒的常用端El, 防止网络受到攻击, 提高网络的安全性。

3.3 对接入业务进行分类管理

铁路IP数据同时接入多种业务, 为了避免业务间的相互影响, 确保网络的安全, 需要通过技术手段, 使各种业务各行其道、互不干扰。

3.3.1 接入层面。

各种业务可能需要接入同一个交换机, 可以通过VLAN隔离, 为每个接入业务提供独立的VLAN, 以此控制业务的接入请求, 保证不同接入业务间的逻辑独立和安全。

3.3.2 业务层面。

VPN技术在共享网络资源并保证安全性、专有性的同时, 提供强大的扩展性和灵活性。其中, MPLS VPN具备安全性高、管理性、扩展性强等特点, 在合宁线、合武线等铁路专用IP数据网中已被广泛使用, 效果明显。建议将采用MPLS.VPN技术对接入业务进行逻辑隔离, 以保证系统的安全。

4 结束语

铁路l P数据网作为铁路通信系统的基础承载平台, 必须保证安全、可靠。网络安全是一个长远持久的课题, 我们只有适应技术的发展, 不断提高管理水平和技术水平, 才能保证铁路IP数据网的持续安全稳定运行, 为铁路运输的安全生产保驾护航。

参考文献

[1]于佳亮, 于天泽.铁路通信网概论[M].北京:人民邮电出版社, 2009.[1]于佳亮, 于天泽.铁路通信网概论[M].北京:人民邮电出版社, 2009.

[2]周碧英.浅析计算机网络安全技术[J].甘肃科技, 2008.24.3.[2]周碧英.浅析计算机网络安全技术[J].甘肃科技, 2008.24.3.