利用虚拟局域网(VLAN)技术优化网站安全

一　＃中国高新技术企业　截用虚拟局域网（ＶＬＡＮ）文术仇伯网站安全　◇文／汪颖　【摘要】　吴俊２　ＶＬＡＮ技术作为一项局域网的新技术得到广泛的支持和应用，必然存在一些优势和特点。ＩＮ—　ＴＥＲＮＥＴ发展，也就是信息技术的开放，与此同时网络安全的要求也越来越高。所以我们积极探索一种能够　在两者之间找到一个比较适合自己网络的平衡点。所以我们要利用ＶＬＡＮ技术来对网络的访问，作为对　防火墙技术的一种补充。　【关键词】网络安全　路由器　局域网　交换机　以太网　ＶＬＡＮ　１．网站ＷＥＢ服务的基础网络架构的特点及问题　器之间的访问。　国际互联网发展到现在，由于网站具有信息量多，信息更新速　度快、建立网站对宣传形象有很好的效果，而且可以开展电子商务、　２．ＶＬＡＮ技术　ｖＬＡＮ（Ｖｉｔｒｕａｌ　Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ，虚拟局域网）是一种将局域网　电子政务等业务，于是大多数企业，机构，部门都开始建立自己　设备从逻辑上划分（注意，不是从物理上划分）成一个个网段，从而　的网站。但与此同时，网络黑客、网络病毒也无孔不入，干扰着网站　实现虚拟工作组的数据交换技术。这一技术主要应用于交换机和路　的正常运行。如果网站被黑被破坏，那不但起不到宣传的正面效果．　种机构非常重视的一个问题　一由器中．但主流应用还是在交换机之中。但又不是所有交换机都具　反而会起一些负面作用。因此，网站安全也成为很多拥有网站的各　有此功能，只有ＶＬＡＮ协议的第三层以上交换机才具有此功能。　ＩＥＥＥ于１９９９年颁布了用以标准化ＶＬＡＮ实现方案的８０２．１Ｑ协议标　准草案。ＶＬＡＮ技术的出现，使得管理员根据实际应用需求，把同一　物理局域网内的不同用户逻辑地划分成不同的广播域，每一个　般ＷＥＢ服务的基础网络架构如图所示：　ＶＬＡＮ都包含一组有着相同需求的计算机工作站，与物理上形成的　ＬＡＮ有着相同的属性。　２　１　ＶＬＡＮ的优势和特点　任何新技术要得到广泛支持和应用，肯定存在一些关键优势和　特点，ＶＬＡＮ技术也一样，它主要体现在以下几个方面：　（１）增加了网络连接的灵活性；借助ＶＬＡＮ技术，能将不同地点、　不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使　用本地ＬＡＮ一样方便、灵活、有效。　（２）控制网络上的广播；ＶＬＡＮ可以提供建立防火墙的机制，防止　交换网络的过量广播。使用ＶＬＡＮ，可以将某个交换端口或用户赋于　某一个特定的ＶＬＡＮ组，该ＶＬＡＮ组可以在一个交换网中或跨接多　个交换机，在一个ＶＬＡＮ中的广播不会送到ＶＬＡＮ之外。　（３）增加网络的安全性；因为一个ＶＬＡＮ就是一个单独的广播　域，内部的广播和单播流量都不会转发到其他ＶＬＡＮ中，ＶＬＡＮ之间　相互隔离．这大大提高了网络的利用率，确保了网络的安全保密性。　２．２　ＶＬＡＮ的划分方法　麟管搬　ＶＬＡＮ的实现方法，可以大致划分为六类：　ｆ１１基于端口划分的ＶＬＡＮ：这是最常应用的一种ＶＬＡＮ划分方　网站安全一般从硬件和软件两方面来安排。软件方面自然是在　服务器安装反病毒软件，软件防火墙等软件来完成其功能．这有一　法，应用也最为广泛、最有效，目前绝大多数ＶＬＡＮ协议的交换机都　个很大的缺点．就是安装的软件越多越会影响服务器性能　硬件方　提供这种ＶＬＡＮ配置方法。这种划分ＶＬＡＮ的方法是根据以太网交　面则主要是依靠防火墙，再辅助于ＩＤＳ（Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ．入　换机的交换端口来划分的，它是将ＶＬＡＮ交换机上的物理端口和　侵检测系统）和ＩＰＳ（Ｉｎｔｒｕｓｉｏｎ　Ｐｒｅｖｅｎｔｉｏｎ　Ｓｙｓｔｅｍ，入侵防护系统）。其实　ＶＬＡＮ交换机内部的ＰＶＣ（永久虚电路）端口分成若干个组，每个组　通过图一可以看出在这样的网络架构中防火墙虽然可以从逻辑上　构成一个虚拟网。相当于一个的ＶＬＡＮ交换机。对于不同部门需　隔离内网、和中立区。但是在中立区内部，服务器之间属于同一　要互访时，可通过路由器转发。　局域网，由于局域网中采用广播方式，因此服务器之间的互相访问　其是高级防火墙的成本非常大，比如图中的千兆电信级防火墙目录　ｆ２）基于ＭＡＣ地址划分ＶＬＡＮ；这种划分ＶＬＡＮ的方法是根据每　于哪个组．它实现的机制就是每一块网卡都对应唯一的ＭＡＣ地址，　（３）基于网络层协议划分ＶＬＡＮ；ＶＬＡＮ按网络层协议来划分，可　是不受任何的。这样就存在一个问题，因为一般来说．防火墙尤　个主机的ＭＡＣ地址来划分，即对每个ＭＡＣ地址的主机都配置他属　价在５０万左右。所以防火墙中立区往往不只一个网站．一台服务　ＶＬＡＮ交换机跟踪属于ＶＩＡＮＭＡＣ的地址。　器．一个管理员　如果由于某个不负责任的管理员或者某台服务器　有漏洞导致某台服务器被控制利用，那么整个服务器群将完全失去　分为ＩＰ、ＩＰＸ、ＤＥＣｎｅｔ、ＡｐｐｌｅＴａｌｋ、Ｂａｎｙａｎ等ＶＬＡＮ网络。这种按网络层　防火墙的保护，黑客在整广播域中可以侦听到所有的信息包．就对　协议来组成的ＶＬＡＮ，可使广播域跨越多个ＶＬＡＮ交换机。　可以对信息包进行分析，那么本广播域的信息传递都会暴露在黑客　面前。如何来避免这种情况的发生，也就是本文要探讨的一种方式，　利用ＶＬＡＮ（Ｖｉｒｔｕａｌ　Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ，虚拟局域网）技术来隔离服务　（４）根据ＩＰ组播划分ＶＬＡＮ；ＩＰ组播实际上也是一种ＶＬＡＮ的定　义．即认为一个ＩＰ组播组就是一个ＶＬＡＮ。　ｆ５）按策略划分ＶＬＡＮ；基于策略组成的ＶＬＡＮ能实现多种分配　一１３６一　维普资讯 http://www.cqvip.com 囊　堇＿一　中国高新技术企业　方法，包括ＶＬＡＮ交换机端１２１、ＭＡＣ地址、ＩＰ地址、网络层协议等。　（６）按用户定义、非用户授权划分ＶＬＡＮ；基于用户定义、非用户　络用户的特别要求来定义和设计ＶＬＡＮ。　３．利用ＶＬＡＮ技术实现网站服务器之间的逻辑隔离　３．１控制原理　进行分段。例如，对于ＴＣＰ／ＩＰ网络，可把网络分成若干ＩＰ子网，各子　网间必须通过防火墙或者三层交换机等设备进行通信。分段的内容　在交换机接服务器的端口对应起来。　３．４访问控制　授权来划分ＶＬＡＮ，是指为了适应特别的ＶＬＡＮ网络，根据具体的网　是在防火墙的子接口或者三层交换机的ＶＬＡＮ虚拟端口划好，然后　访问控制主要是在这里划分网段的设备（防火墙或交换机）的　通过ＶＬＡＮ技术将网络划分为虚拟网络ＶＬＡＮ网段，可以强化　安全机制来控制各子网间的访问。如上图所示，华为千兆防火墙包　ｒｕｓｔ（）。向Ｉｎ—　网络管理和网络安全，控制不必要的数据广播。在共享网络中，一个　括三个区域：Ｔｍｓｔ（内网），ＤＭＺ（中立区）以及Ｕｎｔｅｍｅｔ提供服务的服务器群必须接入在防火墙的中立区（即ＤＭＺ区　物理的网段就是一个广播域。而在交换网络中，广播域可以是有一　ｔ组任意选定的第二层网络地址（ＭＡＣ地址）组成的虚拟网段。这样，　域）．ＤＭＺ区服务器群的维护机接入在内网中。防火墙的功能就是控　同一个ＶＬＡＮ中的广播只有ＶＬＡＮ中的成员才能听到，而不会传输　制各区之间的访问控制．现在我们要增加的就是在中立区里面的各　到其他的ＶＬＡＮ中去，若没有路由（或者三层交换）的话，不同ＶＬＡＮ　子网段之间的访问控制。从而实现更安全的网络管理和服务。　之间不能相互通讯。网络管理员可以通过配置ＶＬＡＮ之间的路由或　者访问控制来全面管理不同ＶＬＡＮ之间的信息互访．从而实现服务　性。　３．２硬件支持　４．结束语　网络技术发展到现在．已经成为现在信息社会的主要支撑技　器之间的逻辑隔离，这样大大增加了网络中不同服务器之间的安全　术。信息安全越来越受到重视，如何建立一个安全的网络环境，仁者　见仁智者见智，有购买大量的硬件设施来构筑安全体系，有通过购　买软件，来进行防范。本文的主要观点是，投入硬件可能会导致成本　要实现以上功能，必须要硬件方面的支持。首先交换机要具备　过高，安装软件又有可能系统压力增大。可以利用现有的硬件设施　ＶＬＡＮ划分功能，一般能够实现第一类按端口划分就可以了。防火墙　和网络技术，在网络层上对安全做一定的保障。可以适当的减少硬　端１２１要符合８０２．１Ｑ协议，支持子接１２１划分，实现三层（网络层）交换　件的投入和系统资源的占用。　功能。如果防火墙不能够实现，那必须交换机要具备三层交换功能，　因为在我们的设计中服务器之间的通信是要依靠ＶＬＡＮ之间的路由　参考文献　来实现。其次，防火墙或交换机要能够支持访问控制列表，以方便细　【１】陈应明．《计算机网络与应用》【Ｍ】．冶金工业出版社，２００５　化服务器之间的访问。　３　３　ＶＬＡＮ划分　【２１林全新，周围．《计算机网络工程》【Ｍ１．人民邮电出版社，２００３　【３】孙丽敏，《访问控制列表应用分析》．《通信管理与技术》一２００７年　ＶＬＡＮ的划分，实际上就是网络的分段。网络分段是实现互相隔　４期　离基本措施，其指导思想在于将各服务器分在不同的网段．在非允　许的情况下不能够互相通信，从而达到各自安全的目的。ＶＬＡＮ划分　的逻辑分段，是将整个系统在网络层（ＩＳＯ／ＯＳＩ模型中的第三层）上　（作者单位系１九江学院电子工程学院　２九江市信息化办公室）　（上接１３４页）　表７方法的精密度　大大提高工作效率，结果准确可靠。　参考文献　项目　　铜　ｌ平均结果　ｌ　Ｏ．４８２　标准偏差　ｌ　Ｏ．００４９　变异系数（％）Ｉ　１．０２　锌　　ｌ铅　ｏ．９９７　ｌ　ｏ．７９６　ｏ．０１６０　Ｉ　ｏ．００７９　１．６０　Ｉ　Ｏ．９５　｛　镉　　０．ｌ１６２　　０．『００３８　　２．ｌ３５　［１］魏复盛等编写的《土壤元素的近代分析方法》，１９９２　［２］魏复盛等编写的《水和废水监测分析方法》第四版（北京环境科　学出版社）．２００２．１２　［３］上海新仪微波化学科技有限公司应用手册ＭＤＳ一８型多通量密　闭微波化学工作站应用手册表　３．４采用微波消解钻井泥浆中的铜、锌、铅、镉与国标规定的干　湿法消解的测定结果无显著性差异，精密度与准确度都符合要求。　同时该方法试剂用量少，无挥发损失，减少了污染，空白值低，具有　操作简便，测定速度快，效果理想。适合于泥浆及土壤中多种金属　元素的测定（一次消解可测定多种元素）。总之，使用微波消解法可　（作者单位系西安思源学院）　（上接１３５页）　用传统的皮带输送设备．因为皮带输送设备在输送的过程中破碎率　要不断加强干燥过程中粮食品质的随机检测，保证干燥后的粮　机内被加热的最高温度超过５Ｏ℃时，其爆腰显著增加。所以粮食被　比较低。　加热的最高温度不易超过５Ｏ℃，介质最高温度不易超过１４０℃，如作　达到国家规定质量标准要求。　３、控制玉米的破碎率　为长期贮藏得玉米则控制在１００℃以内。才能使烘干的玉米的质量　食质量符合国家标准规定的要求，才能充分发挥烘干塔在实现粮食　储存、流通现代化中的高效率作用。　参考文献　粮食干燥机在生产中所产生的破碎国家有所。我国于１９９７　ｆ１１谷物干燥基础理论讲义．　年７月１日实施（ＧＢ／Ｔ１６７１４—１９９６）国家标准，对干燥机主机的破　ｆ２１粮食工程设计手册．　碎率作出了，应该严格执行。同时还应改进使粮食在输送过程　『３１全国粮油检验人员培训教材．　中产生破碎较高的设备，在生产过程随时检验和监控玉米的破碎　ｆ４］ＧＢ／Ｔ２Ｏ５７Ｏ一２００６玉米储存品质判定规则．　率，简化工艺流程，尽量减少使用斗提机的重复提升．尽可能的采　（作者单位系大连粮食局粮油检验监测站）　一１３７—