基于IP地址的网络系统安全管理

基于IP地址的网络系统安全管理

陈媛媛

中铝国际山东建设有限公司山东淄博255051

摘要：围绕IP编址技术的工作方式、IP地址的分配与管理、地址分配、DHCP主要功能就如何促进网络系统安全管理进行了论述。

对网络系统而言，信息安全主要包括两个方面的内容：信息的存储安全和信息的传输安全。信息的存储安全是指信息在网络结点上静态存放状态下的安全性。威胁信息存储安全的因素主要是网络内部或外部对信息的非法访问。因而，各种访问控制技术，如设置访问权限、身份识别和局部隔离等，是解决信息存储安全的主要途径。IP层是TCP/IP网络中最关键的一层，IP作为网络层协议其安全机制可对它上层的各种应用服务提供透明的覆盖式安全保护，因此，IP是整个TCP/IP安全的基础，是Internet网络安全的核心。

1.IP编址技术的工作方式

IP协议中有一个非常重要的内容，那就是给因特网上的每台计算机和其它设备都规定了一个唯一的地址，叫做“IP地址”。由于有这种唯一的地址，才保证了用户在连网的计算机上操作时，能够高效而且方便地从千千万万台计算机中选出自己所需的对象来。

IP编址技术用于标识一个特定的节点以及该节点所在的网络。为了确保数据包的准确传输，每个IP地址都必须是唯一的。如果两个或两个以上的节点试图使用相同的IP地址访问同一个网络，那么大部分操作系统将显示差错消息，并阻止这些节点在网络上进行通信。IP地址格式被称为点分十进制地址，其长度是32位，包含四个域，每个域都是一个代表8位二进制字节的十进制数值。IP地址共有5类，从A类到E类，每个类都用于不同类型的网络。地址类反映网络的大小以及数据包是单播还是多播。

A类到C类地址用于单播编址技术，但是每个类代表不同的网络尺寸。A类地址用于最大的网络，这种网络最多由16777216个节点组成。A类网络由1到126之间的数值标识，这个数值在点分十进制地址的第一个位置上。网络ID是最前面的8位，主机ID是后面的24位。B类地址是单播编址格式，用于最多有65536个节点的中型网络。B类地址由最前面的8位字节标识，数值范围从128到191。最前面的两个8位字节是网络ID，最后面的两个8位字节是主机ID。C类地址用于小型网络上的单播通信，这种网络上节点少于254个。第一个8为字节转换成十进制数值就是192到223，最前面的24位网络ID，最后面的8位主机ID。

D类地址不反映网络尺寸，只反映通信方式是多播。它的四个8位字节用于指定接收多播的节点组，节点组由那些是多播订阅成员的节点组成。D类地址的范围从224.0.0.0到239.255.255.255。E类地址是第5种地址类型，目前处于实验阶段，在第一个8位字节中的地址范围从240到255。

2.IP地址的分配与管理

不论是全球大互联网中还是在单位的内网中，你的机器的IP就是你上网的ID，没有IP电脑网络就无法互通。

在一个企业中，网络管理工作人员需要做的工作就是天天和IP地址打交道。如，为新的员工的PC分配一个新的IP，回收一个离职员工的IP，监视一下是谁在非法盗用别人的IP，看看那个IP的流量超大，检查一下防火墙中的ACL设置，保护一下领导的IP等等，全都是对网络中IP地址的管理工作。因此小到一个公司的内网中，IP地址的管理的好坏直接影响了企业内员工的工作效率以及企业内部的信息的共享和安全。

对IP地址进行管理，首先遇到的问题是如何分配IP地址。在网管理领域，有很多词汇描述IP分配的概念，这些词汇中，有的描述IP的分配方式、方法，有的描述运用某种分配方法而得到的结果。这些词汇含义相近，容易造成误解。比如，有些网管认为要实现固定IP就必须采用手设IP的方法，因此在组网初期就放弃使用DHCP，而采用静态IP地址分配，从而随着企业网日益的庞大复杂，在后期引发了一系列难以彻底解决的网络维护问题。

分配方式、方法和结果。简单的说IP地址分配有两种分配方式，两种分配方法和两种分配结果。在这些方式方法和结果中包含：动态IP、静态IP、手设IP、DHCP分配、固定IP和非固定IP。

3.地址分配

动态主机配置协议（DHCP）是一种在TCP/IP网络上向主机传递配置信息的方法。DHCP基于自举协议（BOOTP），不过它增加了自动分配可重用网络地址功能，还新增了附加的配置选项。DHCP与BOOTP中继代理一同工作。

DHCP由两部分组成：协议和机制，即关于从DHCP服务器传递主机特有的配置参数到主机的协议，和关于给主机分配网络地址的机制。DHCP建立在客户机—服务器模型之上，被指定为DHCP服务器的主机负责分配网络地址，并负责将配置参数传递到动态配置的主机。“服务器”是指通过DHCP通过初始化参数的主机，“客户机”是指向DHCP服务器请求初始化参数的主机。除非系统管理员明确地把主机配置成DHCP服务器，否则主机不应该扮演DHCP服务器的角色。如果允许任意主机响应DHCP请求，那么Internet中硬件和协议实现的多样性可能会妨碍操作的可能性。

DHCP有三种IP地址分配机制：自动分配，DHCP给客户机分配永久IP地址；动态分配意味着DHCP客户机分配在一段时间内使用的IP地址（或客户机明确地取消此地址）；在人工分配中，客户机的IP地址由网络管理员分配，DHCP只是简单地讲已分配的地址传给客户机。特殊网络将使用一种或多种方法，这取决于网络管理员的策略。

动态分配只是三种机制中的一种。当地址用户不再需要它时，允许地址的自动重用（reuse）。对于只是临时连接到网络的客户机，对于一组无需永久IP地址的客户机共享有限个IP地址，动态分配地址非常有用。有些网络的IP地址数目非常少，以至于老客户机退出时，回收老IP地址显得很重要。这时，如果要为永久连接到网络的客户机分配地址，动态分配方案就是个不错的选择。虽然人们想用DHCP之外的方法管理IP地址分配，但是人工为主机配置IP地址容易发生错误，人工分配机制允许用DHCP来消除这个易错过程。

4.DHCP主要功能

DHCP提供的首项服务是为网络客户机持续存储网络参数。DHCP持续存储的模型是：DHCP服务为每一客户机（一个独特标识如IP子网号和子网内独特标识）存储一输入键值（key-valueentry），该值包含了该客户机的配置参数。IP地址管理功能可以进行IP/MAC地址的分配和自动化开通，实现集中式、有效的IP地址管理，同时支持IPv4/IPv6地址协议。通过IP开通自动化来控制操作成本；提供实时、准确的交换机端口和IP/MAC的对应信息，协助IT维护人员对故障IP地址进行快速定位；实时跟踪IP/MAC地址的变更，及时对废弃的IP地址进行回收和再利用，优化网络资源的使用率。

IP地址审计功能详细记录每个MAC地址使用不同IP地址的时间段，可以根据事件关联的IP地址及其发生的时段，反推出该IP地址在那个相应时段所对应的MAC地址。MAC地址的审计详细记录每一MAC地址在不同时间段的网络接入点，即每一MAC地址在不同时段接入的交换设备端口。这样就可以根据IP地址关联的MAC地址结合时间段，反推出该MAC地址的接入交换机端口，即定位到事件关联IP的物理终端上。即使发生IP冒用，MAC地址的篡改，甚至有人“克隆”，IP地址审计仍可进行追踪定位。

根据现有IP地址管理需求及IPv6网络技术发展的趋势，新一代网络核心服务自动化开通平台（CNS-APP）具有高性能、高可靠性、高安全性、高可扩展性、标准化和易管理的特点，能够提供中央集中的IPv4/IPv6/MAC地址分配和管理，实现二层/三层物理和虚拟网络的变更跟踪，同时可以根据IP/MAC地址进行灵活的授权操作。