行政办公楼局域网络现状探析

摘　要：对现代社会而言，计算机网络的普及的发展，将会对社会生产和生活的各个方面都产生十分巨大的影响，在信息化带动工业化的思想指导下，同时也为了提高政府工作效率，我国各级政府开始积极推进政府信息化建设。本文将对政府行政办公楼计算机网络的架构、防护体系、发展前景等方面进行分析。

关键词：局域网；交换机；防火墙
　　一、引言

　　如今，我国中央政府和各级地方政府都已经大规模地应用计算机网络，无纸化办公已经成为一种趋势。行政办公楼作为政府计算机网络的载体，集政府办公自动化、政府部门间的信息共建共享、政府实时信息发布、各级政府间的远程视频会议、公民网上查询政府信息、电子化民意调查和社会经济统计等多种功能于一身。所以，行政办公楼的计算机网络安全、高速、高效的运行，就成为了政府各部门提高行政效能、降低行政成本、为企业和公民提供更好服务的一个重要保障。

　　二、行政办公楼的网络架构

　　行政办公网络通常是一个集成了多种通信技术和手段的网络，其服务对象不仅是政府机关本身，还要服务于整个社会。此外，由于政府部门的层次划分, 行政办公网络同样具有层次特点，各级政府机构除了本身能够互访外，还要为公众提供访问政府各部门的手段。

　　依据行政办公楼网络的这种特点，它一般分为三层架构：中心层、汇聚层、接入层。

　　（一）、中心层

　　中心层的主要任务是提供高性能、高安全性的核心数据传输、QoS和为汇聚层及部分接入层提供高密度的上联端口，为整个行政办公楼提供交换和路由的骨干，完成各个部分数据流的中央汇集和分流。网络运营商的光纤设备最先接入的就是中心层。所以，这一层是整个行政办公楼网络的核心。

　　入侵检测系统(IDS)可以为整个政府城域网提供安全保障。Dragon IDS系统对网络各个网段、网络设备和网络中服务器从内部和外部进行攻击和攻击企图检测，并向网管人员发出警告，防止系统受到攻击和非法操作。

　　物理防火墙对外部网来的发问进行过滤，防止从外网进行的攻击和非法操作。 同时，由于物理防火墙强大的路由功能，目前很多行政办公楼也将其应用于端口映射、地址转换、上网流量统计的功能领域。

　　非军事化区（DMZ）。目前，很多物理防火墙已经拥有了DMZ功能。这个非安全系统与安全系统之间的缓冲区解决了安装防火墙后外部网络不能访问内部网络服务器的问题。在这个区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和OA服务器等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。

　　VPN系统为较远距离的机关、办事处以及家庭办公用户提供了虚拟专网(VPN)接入方案。可以使用Internet或其他网络服务作为广域网的主干，以降低网络接入成本，增加灵活性。

　　网管系统为整个网络系统提供了端口级的图形化的管理工具，网络管理人员可方便、快捷地对整个网络进行配置、监视和策略调整。

　　（二）．汇聚层

　　汇聚层的主要任务是将接入层大量的工作组交换机、它能够处理来自接入层设备的所有通信量，通过多条千兆以太网上联到汇聚层，使汇聚层所需的千兆以太网下联端口减少，从而降低网络建设的成本。此外，对于相对独立的和本地第四层交换和路由量大的部门，如部门办公室、档案中心等提供强大的本地第四层交换和路由。

　　三层交换机是办公网络的中流砥柱。它通过使用硬件交换机构实现了IP的路由功能，其优化的路由软件使得路由过程效率提高，解决了传统路由器软件路由的速度问题。因此可以说，三层交换机具有“路由器的功能、交换机的性能”。同时，由于办公楼网络数据传输量巨大，三层交换机可有效避免网络风暴。现在行政办公楼网络大多采用功能更全面、运行更稳定的三层交换机，也就是所谓的核心交换机。

　　二层交换机一般分布在行政办公网络的楼层之中，通过光纤与三层交换机上联。二层交换机从原先的10M交换非网管，逐渐走向10/100M非网管到10/100M普通可网管，现在已经走向智能可网管，并且正在走向1000M的交换能力。二层交换机不断地被增强了智能性，开始能能够处理基于二层到四层的数据包流，这提高了交换机的服务质量（QOS）和安全策略。?而推动“千兆到桌面”的二层千兆交换机也将是即将来到的热点。

　　（三）．接入层

　　行政中心网络接入层的目的是允许终端用户（包括pc、server、hub等设备）连接到网络，它为行政办公网络数量极大的网络用户提供大量性价比极高的10/100兆网络接口，因此接入层交换机具有低成本和高端口密度特性。接入层与汇聚层通过100兆和千兆链路互联，为接入的用户提供高速上联。

三、行政办公网络的安全防护体系

　　网络安全是网络正常运行的前提。网络安全不单是单点的安全，而是整个行政办公网络的安全，需要从物理、网络、系统、应用和管理等多个方面进行立体的防护。要知道如何防护，首先需要了解安全风险来自于何处。网络安全系统必须包括技术和管理两方面，涵盖中心层、汇聚层、接入层、各个层面上的诸多风险类。无论哪个层面上的安全措施不到位，都会存在很大的安全隐患，都有可能造成网络的中断。根据国内网络系统的网络结构和应用情况，应当从网络安全、系统安全、应用安全及管理安全等方面进行全面地分析。威胁行政办公网络安全的因素可分为来自外部的入侵和来自内部的通信阻塞。

　　（一）、外来入侵

　　典型的外来网络入侵主要有网络扫描、种木马、缓冲区溢出、网络监听、IP欺骗多种途径。其攻击的首要目标就是网络中心层

　　针对行政办公网络系统实际情况，解决网络的安全保密稳定问题是当务之急。行政办公网络的中心层安全设计一般遵循如下原则：

1、大幅度地提高系统的安全性和保密性。

2、保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性。

3、易于操作、维护，并便于自动化管理，而不增加或少增加附加操作。

4、尽量不影响原网络拓扑结构，同时便于系统及系统功能的扩展。

5、安全保密系统具有较好的性能价格比，一次性投资，可以长期使用。

6、安全与密码产品具有合法性，及经过国家有关管理部门的认可或认证。

7、分步实施原则：分级管理、分步实施。

　　根据上述分析，中心层需 要采用防火墙技术、NAT技术、VPN、网络加密技术、认证体系、多层次多级别的防病毒系统、网络的实时监测等。由于目前流行的硬件防火墙都已经将这些功能集成于一体，所以通过将硬件防火墙做好设置、注意观察日志文件、随时监听网络攻击行为，及时更新防毒墙病毒库等可有效防范外来网络入侵行为。

　　（二）、来自内部的网络阻塞

　　由于行政办公网络接入层的PC、SERVER、工作站的数量至少数十、多至数百上千，所以内部的计算机如果在中病毒而又接入局域网，很可能会对局域网发送大量的广播风暴、ARP欺骗报文等非正常数据，从而引发局域网网管丢失、通信阻塞的故障，导致行政办公网络集体瘫痪。

　　针对行政办公楼的内部特点，方法内部通信堵塞主要采取如下几种方法：

1、尽量采用可管理的交换设备，为局域网划分VLAN。

　　现在市面上的交换机基本都带有VLAN功能，一般可按照端口、MAC地址、网络层、IP组播和规则来划分。VLAN可有效地限制网络上的广播、增强局域网的安全性、提高网络连接的灵活性。

　　2、ARP病毒的防范。

　　ARP病毒并不是某一种病毒的名称，而是对利用arp协议的漏洞进行传播的一类病毒的总称ARP协议是TCP/IP协议组的一个协议，用于进行把网络地址翻译成物理地址（又称MAC地址）。通常此类攻击的手段有两种：路由欺骗和网关欺骗。是一种入侵电脑的木马病毒。对电脑用户私密信息的威胁很大。

　　一般在行政办公网络内如果有某台计算机感染病毒，该病毒会向局域网发送大量的报文数据包，并对其它计算机进行欺骗，使其它计算机误以为这台病毒计算机的MAC地址即是网关，从而造成其它计算机无法与真实的网关通信，继而使局域网瘫痪。这种病毒除了影响其他人上网外，也以窃取病毒机器和同一子网内其它机器上的用户帐号和密码为目的，而且它发的是Arp报文，具有一定的隐秘性，如果占系统资源不是很大，又无防病毒软件监控，一般用户不易察觉。即使在大型局域网络中划分了VLAN，该种病毒也会造成VLAN子网通信瘫痪的状况。

　　针对此种情况，行政办公楼网络的管理人员通常需要采用如下几种方法：

　　（1）、IP+MAC访问控制。

　　单纯依靠IP或MAC来建立信任关系是不安全,理想的安全关系建立在IP+MAC的基础上。这也是行政办公楼网络必须绑定IP和MAC的原因之一。

　　（2）、静态ARP缓存表。

　　每台主机都有一个临时存放IP-MAC的对应表，ARP攻击就通过更改这个缓存来达到欺骗的目的,使用静态的ARP来绑定正确的MAC是一个有效的方法。笔者在局域网中一般采用如下方法：在接入层计算机系统启动项里添加一个批处理文件，该文件命令为：

　　　　　　　@echo off

　　　　　　　arp –d

　　          arp –s “正确的网关ip” “正确的网关mac”。

　　（3）、 主动查询

　　在某个正常的时刻,做一个IP和MAC对应的数据库,以后定期检查当前的IP和MAC对应关系是否正常。定期检测交换机的流量列表,查看丢包率。

　　总之，ARP的危险性不可估量。由于ARP本身的问题.使得防范ARP的攻击很棘手,经常查看当前的网络状态,监控流量对行政办公网络管理人员来说是个很好的习惯；同时，接入层的单位用户要和行政办公网络管理人员建立良好的合作关系，一旦发现计算机发送数据包数量巨大，一定要及时通知行政办公网络管理人员。　　

　　　　四、行政办公网络的发展前景——有线到无线。

　　随着无线通信技术的广泛应用，传统有线局域网络因为成本高、管理复杂等已经越来越不能满足人们的需求，于是无线局域网（Wireless Local Area Network，WLAN）应运而生，且发展迅速。尽管目前无线局域网还不能完全独立于有线网络（譬如很多政府部门和企业都拥有单独信道的内网或专网,在一定时期内是无线网络无法取代的），但近年来无线局域网的产品逐渐走向成熟，正以它优越的灵活性和便捷性在网络应用中发挥日益重要的作用。

　　（一）．无线局域网的优点

　　1、灵活性和移动性。在有线网络中，网络设备的安放位置受网络位置的限制，而无线局域网在无线信号覆盖区域内的任何一个位置都可以接入网络。无线局域网另一个最大的优点在于其移动性，连接到无线局域网的用户可以移动且能同时与网络保持连接。

　　2、安装便捷。无线局域网可以免去或最大程度地减少网络布线的工作量，一般只要安装一个或多个接入点设备，就可建立覆盖整个区域的局域网络。

　　3、易于进行网络规划和调整。对于有线网络来说，办公地点或网络拓扑的改变通常意味着重新建网。重新布线是一个昂贵、费时、浪费和琐碎的过程，无线局域网可以避免或减少以上情况的发生。

　　4、故障定位容易。有线网络一旦出现物理故障，尤其是由于线路连接不良而造成的网络中断，往往很难查明，而且检修线路需要付出很大的代价。无线网络则很容易定位故障，只需更换故障设备即可恢复网络连接。

　　5、易于扩展。无线局域网有多种配置方式，可以很快从只有几个用户的小型局域网扩展到上千用户的大型网络，并且能够提供节点间""漫游""等有线网络无法实现的特性。

　　由于无线局域网有以上诸多优点，因此其发展十分迅速。最近几年，无线局域网已经在政府、企业、医院、商店、学校等场合得到了广泛的应用。

　　（二）、无线局域网的分类

　　目前，无线局域网采用的传输媒体主要有两种，即红外线和无线电波。按照不同的调制方式，采用无线电波作为传输媒体的无线局域网又可分为扩频方式与窄带调制方式。

　　1、红外线（Infrared Rays，IR）局域网

　　采用红外线通信方式与无线电波方式相比，可以提供极高的数据传输速率，有较高的安全性，且设备相对便宜而且简单。但由于红外线对障碍物的透射和绕射能力很差，使得传输距离和覆盖范围都受到很大限制，通常IR局域网的覆盖范围只限制在一间房屋内。

　　2、扩频（Spread Spectrum，SS）局域网

　　如果使用扩频技术，网络可以在ISM（工业、科学和医疗）频段内运行。其理论依据是，通过扩频方式以宽带传输信息来换取信噪比的提高。扩频通信具有抗干扰能力和隐蔽性强、保密性好、多址通信能力强的特点。

　　3、窄带微波局域网

　　这种局域网使用微波无线电频带来传输数据，其带宽刚好能容纳信号。但这种网络产品通常需要申请无线电频谱执照，其它方式则可使用无需执照的ISM频带。

　　（ 三）、无线局域网的不足之处

　　无线局域网能够给网络用户带来便捷和实用，但也存在着一些缺陷。无线局域网的不足之处体现在以下几个方面：

　　1、性能。无线局域网是依靠无线电波进行传输的。这些电波通过无线发射装置进行发射，而建筑物、车辆、树木和其它障碍物都可能阻碍电磁波的传输，所以会影响网络的性能。

　　2、速率。无线信道的传输速率与有线信道相比要低得多。目前，无线局域网的最大传输速率为54Mbit/s，只适合于个人终端和中小规模网络应用。

　　3、安全性。本质上无线电波不要求建立物理的连接通道，无线信号是发散的。从理论上讲，很容易监听到无线电波广播范围内的任何信号，造成通信信息泄漏。

　　如上所述，无线局域网技术的研究和应用方兴未艾，是目前无线通信领域乃至整个通信行业的研究热点。从无线局域网的进一步推广应用来看，未来的研究方向主要集中在安全性、网络管理等方面上。在不需要很高的安全规格的行政办公网络体系内架设无线局域网络是十分经济、实用的。总之，随着无线网络技术的发展，其行政办公网络方面的应用将会越来越广泛。

五、结束语

　　随着网络信息化的普及，政府信息网络化将赋予政府部门以独特的能力，向企业、公民提供更加有效的政府服务、提高政府行政效率、降低行政成本。通过对行政办公楼局域网络的有效、合理地管理，能够实现政府组织结构和工作流程的优化重组，超越时间、空间和部门分隔的限制，建成一个精简、高效、廉洁、公平的政府运作模式，以便全方位地向全社会提供优质、规范、透明的管理与服务。　　

参考文献：

[1]王长胜.《中国电子政务发展报告No.1（电子政务蓝皮书）》，社会科学文献出版社，2003。

[2]宋劲松.《网络入侵检测——分析、发现和报告攻击》，国防工业出版社，2004年9月。

[3]谢希仁.《计算机网络（第四版）》，电子工业出版社，2007。