计算机网络的普及应用已渗透到社会各个层面。互联网对于商业来说是至关重要的, 一个跨国大公司往往别无选择地将其内部网络连接到世界上各个地区, 因为那里有着其客户、供应商、合作伙伴和自己的雇员。互联网络是一把双刃剑, 给人们带来方便的同时, 也随之带来安全和管理问题。如企业员工利用工作时间可以看新闻、玩游戏、干私活、聊天、泄密公司资料、炒股票、下电影、听歌曲、浏览色情站点, 可以在公司网上边拿老板工资边找工作等等, 可以通过对关键性的服务器进行攻击, 使系统服务停止甚至崩溃。保证内部网络的信息安全和资源使用是当前研究人员和网络管理员所面临的一个重大课题。目前, 众多企业采用购置防火墙、防病毒软件来防止外界威胁, 却往往忽视内部的安全问题。利用网络监控软件与企业的内部管理机制结合, 可以达到更加事半功倍的效果。
1局域网网络监控的主要目标
网络监控系统总体目标是能有效防止员工通过网络以各种方式泄密, 实现对网络电脑及网络资源的统一管理和有效监控。未经授权不得以各种方式外发文件、不得上班时间利用网络做不应该做的事, 并能够记录网络往来的内容, 对电脑的各种端口和设备实施全面管理和控制, 对用机、上网、收发邮件、网上聊天和电脑游戏进行严格管理与控制。
2网络监控软件的解决方案
按照网络监控软件的运行原理, 可以将监控软件分为监听模式和网关模式。
(1) 监听模式。局域网中的网络协议是“以太网协议”, 内部的传输数据 (包含主机唯一标识符的物理地址MAC) 从网卡发送到物理线路 (网线或光纤) 上, 数据包会到达连接在该线路上所有主机。当数据包到达某主机后, 该主机的网卡会先接收这个数据包, 并进行检查。如果数据包中的目的地址跟自己地址不匹配, 就丢弃该包;如果该数据包中的目的地址跟自己地址匹配或是一个广播地址的话, 就会把数据包交给上层进行后续处理。但若此时局域网内某台主机处于监听模式, 不管数据包中的IP地址是否与其匹配, 都接收这个数据包。但若窃听者拿到的数据是被加密过的, 其即使拿到这个数据包, 也无法解密, 没有用处。所以, 比较常见的防范局域网监听的方法就是加密。
现在针对这种传输的加密手段有很多, 最常见的有IPSec协议。其有三种工作模式:必须强制使用;接收方要求;不采用。当某台主机A向主机B发送数据文件的时候, 主机A与主机B先进行协商, 如是否需要采用IPSec技术对数据包进行加密。一是必须采用, 无论是主机A还是主机B都必须支持IPSec, 否则传输将会以失败告终。二是请求使用, 如在协商的过程中, 主机A会问主机B是否需要采用IPSec。若主机B回答不需采用, 就用明文传输, 除非主机A的IPSec策略设置的是必须强制使用。若主机B回答用IPSec加密, 则主机A就会先对数据包进行加密后再发送。经过IPSec技术加密过的数据一般很难被破解。此外, 重要的是这个加密、解密的工作对于用户来说是透明的。网络管理员只需要配置好IPSec策略之后, 是否采用IPSec加密等, 主机之间会自己进行协商, 而不需要管理员进行额外的控制。在使用这种加密手段的时候, 唯一需要注意的就是如何设置IPSec策略, 即什么时候强制加密, 什么时候可有可无的。在使用强制加密的情况下, 一定要保证通信的双方都支持IPSec技术, 否则就可能会导致通信的不成功。最懒的方法就是给局域网内所有电脑都配置IPSec策略, 虽然会增加一定的带宽, 但基本上不会对用户产生多大的直接影响。
监听模式最大的弱点是原理性的, 需要解决安装问题。
(1) 通过共享式HUB (集线器) 。比较通用, 但由于HUB基本都是10M的, 也意味着有丢包的危险。
(2) 通过镜像交换机。由于网管的镜像交换机比较贵并需要专业的配置, 绝大多数企业没有镜像交换机;此外, 如果规模比较小的话 (如30台电脑以下) , 增加购买镜像交换机意味成本的提高。
(3) 通过代理/网关服务器。在某个电脑通过W I N D O W S连接共享设置、S Y G A T E、CCPROXY、ISA等, 其他电脑通过这个代理/网关服务器分享上网。一般都是双网卡模式, 一个网卡连接外网, 另外一个网卡连接内网, 监控软件捆绑内网卡。
(4) ARP欺骗模式。可以实现在普通交换机下的数据监听, 方法简单有效, 但主要有两个弱点:不适合50台以上规模的大网络;会与网络内其他的ARP欺骗软件互相冲突干扰而导致网络瘫痪。监听模式的解决方法都不太可靠, 目前所有使用WINPCAP驱动的网络监控软件及使用网络层驱动的软件都是监听模式。
(2) 网关模式。因出口数据流都必须经过网关, 在控制方面可以说是一种最强大完美且无任何副作用的方式。网关克服了目前所有的采用W I N P C A P模式或网络层驱动模式下的所有弱点, 同时也克服了所有监听模式下阻断UDP的致命弱点, 是网络监控最理想的模式。基于网站都具有一定结构的特点, 利用一定的算法多方面对网页进行分类。该算法分三个步骤:网站分类;URL分类;内容分类。步骤1是预处理, 步骤2进行分类, 如果步骤2失效, 就转到步骤3。其中, 基于网络内容的监控通过主动下载被监控网站的网页以及建立本地网页内容数据库, 选择热点网页, 提取网页关键信息并利用分词技术对网页内容进行分析处理, 利用敏感词匹配技术实现对网页内容的警度计算, 并绘制出网站总警度发展趋势图, 直观展示给用户, 实现了对网站内容的主动监控与预警。该算法的好处在于识别速度很快, 且内存占用少。缺点是有可能判断错误, 这主要是由关键字的选取造成的。关键字必须经常出现, 并且与其类别联系紧密。该关键字不可以出现在两个类别中, 也不应选取经常出现在多个类别中的词汇作为关键字。
摘要:互联网络是一把双刃剑, 给人们带来方便的同时, 也带来安全和管理问题。保证内部网络的信息安全和资源使用是当前研究人员和网络管理员所面临的一个重大课题。利用网络监控软件与企业的内部管理机制结合, 可以达到更加事半功倍的效果。
关键词:局域网,网络监控,解决方案
参考文献
[1] 丁东京, 周明天.基于ICE的局域网监控设计与实现[J].计算机工程与设计, 2007 (10) .
[2] 霍吉.局域网网络监控技术研究[J].价值工程, 2009 (3) .
[3] 肖靖, 唐宁九.网络监控系统中的实用网页分类技术[J].软件导刊, 2009 (1) .
[4] 陈红松, 胡长军.网络内容监控与预警系统的设计与实现[J].计算机工程与设计2009 (1) .
【浅谈局域网网络监控解决方案】相关文章:
企业局域网网络安全解决方案05-12
校园无线网络安全及局域网认证解决方案04-17
无线局域网络解决方案03-17
局域网网络安全论文04-17
局域网网络管理论文04-18
局域网网络工程论文04-20
局域网网络安全论文提纲11-15
局域网网络管理论文提纲11-15
局域网数据链路层网络安全04-28