4.入侵檢測技術的發展

基於網絡和基於主機的入侵檢測係統各有優勢，兩者可以相互補充。這兩種方式都能發現對方無法檢測到的一些入侵行為。例如，從某個重要服務器的鍵盤發出的本地攻擊並不經過網絡，因此基於網絡的入侵檢測係統無法檢測到，隻能通過使用基於主機的入侵檢測係統來檢測。又如，基於網絡的入侵檢測係統通過檢查所有數據包的包頭來進行檢測，而基於主機的入侵檢測係統往往並不查看包頭，許多基於IP的拒絕服務攻擊隻能通過查看它們通過網絡傳輸時的包頭標識才能識別，因此，此類攻擊隻能通過網絡入侵檢測係統檢測。聯合使用基於主機和基於網絡這兩種方式能夠達到更好的檢測效果。

基於主機的入侵檢測係統使用係統日誌作為檢測依據，因此它們在確定攻擊是否已經取得成功時比基於網絡的檢測係統有更大的準確性。人們完全可以使用基於網絡的入侵檢測係統提供早期報警，而使用基於主機的入侵檢測係統來驗證攻擊是否取得成功。

在下一代入侵檢測係統中，將把現在的基於網絡和基於主機這兩種檢測技術很好的結合起來，這種集成化的入侵檢測產品不僅功能更加強大，而且部署和使用上也更加靈活。

5.結束語

入侵檢測是保障計算機網絡安全的一種手段，對網絡的安全防護起著重要的作用。從網絡安全立體縱深、多層次防禦的角度出發，入侵檢測應當受到人們的高度重視，研究與開發自主產權的入侵檢測產品將成為我國網絡安全領域的重要課題。

應用VLAN技術建立鞍鋼計量遠程信息網

王洪強

（鞍山電訊廠）

摘要：介紹鞍鋼計量遠程信息網的建網背景、建網思路、係統結構，VLAN技術及應用。

關鍵詞：VLAN技術；路由網絡；

1.建網背景

鞍鋼公司為了適應當前生產和實現信息化管理，增強競爭力的要求，於2001年建設了覆蓋全公司的高速信息傳輸網絡——ATM綜合信息網，以實現公司生產、財會的計算機管理為起點，逐漸擴展。該網也為實施遠程接入、視頻監控、電視會議等寬帶信息傳輸與應用提供了充足的條件。

鞍鋼作為國有特大型企業，其下屬的各子公司、廠礦根據自己的業務特點，辦公地點有的集中在一起，聯網比較方便簡單；有的比較分散而其網絡業務需求卻較大，如計量、燃氣、供電等係統。如果還采用傳統的以各廠辦公樓為中心，向外輻射直連到各下級單位（車間、班組）的模式，僅線路一項（光纜、網線）的投資就是十分巨大的。而運用現已十分成熟的VLAN技術，采取就近接入上網的策略，充分利用現有的ATM網絡資源，是解決計量等遠程信息接入的良好途徑。

2.VLAN技術簡介

VLAN又稱虛擬局域網，是指在交換局域網的基礎上，采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。一個VLAN組成一個邏輯子網，即一個邏輯廣播域，它可以覆蓋多個網絡設備，允許處於不同地理位置的網絡用戶加入到一個邏輯子網中。

VLAN在邏輯上等價於廣播域。更具體地說，我們可以將VLAN類比成一組最終用戶的集合。這些用戶可以處在不同的物理LAN上，但他們之間可以像在同一個LAN上那樣自由通信而不受物理位置的限製。在這裏，網絡的定義和劃分與物理位置和物理連接是沒有任何必然聯係的。網絡管理員可以根據不同的需要，通過相應的網絡軟件靈活的建立和配置虛擬網，並為每個虛擬網分配它所需要的帶寬。

2.1VLAN的劃分

從技術角度講，VLAN的劃分可依據不同原則，一般有以下幾種劃分方法。

（1）基於端口的VLAN劃分。

這種劃分是把一個或多個交換機上的幾個端口劃分為一個邏輯組，這是最簡單、最有效的劃分方法。該方法隻需網絡管理員對網絡設備的交換端口進行重新分配即可，不用考慮該端口所連接的設備，是最常用的一種方式。但是，這種方式不允許多個VLAN共享一個物理網段或交換機端口。而且，如果某一個用戶從一個端口所在的虛擬網移動到另一個端口所在的虛擬網，網絡管理員需要重新進行設置。這對於擁有眾多移動用戶的網絡來說是不可想象的。

（2）基於MAC地址的VLAN劃分。

MAC地址其實就是指網卡的標識符，每一塊網卡的MAC地址都是唯一且固化在網卡上的。MAC地址由12位16進製數表示，前8位為廠商標識，後4位為網卡標識。網絡管理員可按MAC地址把一些站點劃分為一個邏輯子網。

按MAC地址定義的VLAN有其特有的優勢。因為MAC地址是捆綁在網絡接口卡上的，所以這種形式的虛擬網允許網絡用戶從一個物理位置移動到另一個物理位置，並且自動保留其所屬虛擬網段的成員身份。同時，這種方式獨立於網絡的高層協議（如TCPbrIP、IP、IPX等）。因此，從某種意義上講，利用MAC地址定義虛擬網可以看成是一種基於用戶的網絡劃分手段。這種方法的一個缺點是所有的用戶必須被明確地分配給一個虛擬網。在這種初始化工作完成之後，對用戶的自動跟蹤才成為可能。然而，在一個擁有成千上萬用戶的大型網絡中，如果要求管理員將每個用戶都一一劃分到某一個虛擬網，這實在是太困難了。因此，有些廠商便將這項配置MAC地址的複雜勞動推給了他們的網絡管理工具。這些網管工具可以根據當前網絡的使用情況，在MAC地址的基礎上自動劃分虛擬網。

（3）基於路由的VLAN劃分。

路由協議工作在網絡層，相應的工作設備有路由器和路由交換機（即三層交換機）。該方式允許一個VLAN跨越多個交換機，或一個端口位於多個VLAN中。

基於網絡層（基於路由）的虛擬網使用協議（如果網絡中存在多協議的話）或網絡層地址（如TCPbrIP中的子網段地址）來確定網絡成員的劃分。