倪超凡

摘要局域網(wǎng)作為計算機(jī)網(wǎng)絡(luò)的一個重要成員已經(jīng)被廣泛應(yīng)用于社會的各個領(lǐng)域．但是由此引發(fā)的網(wǎng)絡(luò)安全問題也接踵而來。結(jié)合局域網(wǎng)的特點和現(xiàn)狀探討針對局域網(wǎng)安全的策略和技術(shù)。

關(guān)鍵詞局域網(wǎng)網(wǎng)絡(luò)安全策略和技術(shù)

中圖分類號：TP3文獻(xiàn)標(biāo)識碼：A文章編號：1671—7597(2009)0410065—01

計算機(jī)網(wǎng)絡(luò)發(fā)展的初衷是為了使分布在不同地區(qū)的計算機(jī)能夠進(jìn)行自由、開放的信息交換，強調(diào)開放性和共享性，它的通信協(xié)議群是為默認(rèn)安全的環(huán)境(也相對簡單)而設(shè)計的。因此，基于TCP／IP，sNMP等協(xié)議的因特網(wǎng)在安全性方面必然存在較大的隱患，無法為用戶提供安全可靠的網(wǎng)絡(luò)環(huán)境。由于局域網(wǎng)快速、方便、靈活的特點，越來越多的單位和企業(yè)都建立了自己的局域網(wǎng)，隨之產(chǎn)生的工作效益和經(jīng)濟(jì)效益日益增長。但由于TCP／IP協(xié)議在安全性方面的“先天不足”，致使網(wǎng)絡(luò)易受黑客、病毒、惡意軟件和其他不軌行為的攻擊。因此，要確保網(wǎng)絡(luò)信息的保密性、完整性和可用性，加強局域網(wǎng)的安全建設(shè)刻不容緩。

一、加強局域網(wǎng)安全性的技術(shù)

為了防止局域網(wǎng)內(nèi)由于廣播風(fēng)暴而引起的病毒泛濫并且難以查殺的現(xiàn)象，首先要從優(yōu)化局域網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)開始。網(wǎng)絡(luò)分段是一個非常重要的方法。一方面網(wǎng)絡(luò)分段是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段，它可以將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法偵聽。另一方面，采取網(wǎng)絡(luò)分段不僅可以使局域網(wǎng)免受來自Internet的攻擊，也起到了隔離網(wǎng)段的目的，避免了不同網(wǎng)段之間的計算機(jī)相互感染。

雖然網(wǎng)絡(luò)分段能夠有效的控制網(wǎng)絡(luò)廣播風(fēng)暴和防止非法偵聽，但是因為目前使用最廣泛的分支集線器仍是共享式集線器，終端用戶大多是通過這種集線器接入網(wǎng)絡(luò)的，因此當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時。兩臺機(jī)器之間的數(shù)據(jù)包還是會被同一臺集線器上的其他用戶所偵聽，以太網(wǎng)被偵聽的危險仍然存在。用交換式集線器代替共享式集線器能夠保證單播包在兩個節(jié)點之間傳送，從而防止非法偵聽。但是交換式集線器也存在一定的缺陷比如只能控制單播包而無法控制廣播包和多播包。所幸的是，廣播包和多播包內(nèi)的關(guān)鍵信息要遠(yuǎn)遠(yuǎn)少于單播包。

在局域網(wǎng)中合理使用YLAN也可以有效的提高局域網(wǎng)的安全性。目前的局域網(wǎng)基本上都采用以廣播為技術(shù)基礎(chǔ)的以太網(wǎng)，以太網(wǎng)存在的安全隱患是任何兩個節(jié)點之間的通信數(shù)據(jù)包不僅為這兩個節(jié)點的網(wǎng)卡所接收，也同時為處在同一以太網(wǎng)上的任何一個節(jié)點的網(wǎng)點所截取。因此，黑客只要接入以太網(wǎng)上的任一節(jié)點進(jìn)行偵聽，就可以捕獲發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包。對其進(jìn)行解包分析，從而竊取關(guān)鍵信息。

VLAN的實現(xiàn)和交換機(jī)的結(jié)合使用，將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)，即將點對面的廣播機(jī)制轉(zhuǎn)換成點對點的通信，這樣做的好處是：信息只到達(dá)應(yīng)該到達(dá)的地點，有效避免了大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵手段。另外，通過虛擬網(wǎng)設(shè)置的訪問控制，使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點不能直接訪問虛擬網(wǎng)內(nèi)節(jié)點。

目前的VLAN技術(shù)主要有三種：基于交換機(jī)端口的VLAN、基于應(yīng)用協(xié)議的VLAN和基于節(jié)點WAC地址的VLAN。三種VLAN技術(shù)都各有優(yōu)點，卻也存在弊端：基于端口的VLKN因為技術(shù)上比較成熟而被廣泛應(yīng)用，但是在靈活性上稍遜一籌，基于協(xié)議的VLAN．理論上非常理想，但實際應(yīng)用卻尚不成熟，普及性也遠(yuǎn)遠(yuǎn)不如前者；基于MAC地址的VLAN為移動計算提供了可能性，卻潛藏著遭受MAC欺詐攻擊的隱患。

要保障局域網(wǎng)內(nèi)部的服務(wù)器和終端用戶不受外網(wǎng)的攻擊，防火墻是最有效的手段，其基本功能是對網(wǎng)絡(luò)通信進(jìn)行篩選屏蔽以防止未授權(quán)的訪問進(jìn)出網(wǎng)絡(luò)即對網(wǎng)絡(luò)進(jìn)行訪問限制。它通常被安裝在局域網(wǎng)和Internet的連接處。防火墻可分為硬件防火墻和軟件防火墻兩種，二者各有優(yōu)缺點。硬件防火墻運行速度快，但是升級、管理卻非常麻煩，軟件防火墻的價格便宜，升級方便但是運行速度較慢。所以，目前多數(shù)網(wǎng)絡(luò)采用軟硬防火墻結(jié)合來保障網(wǎng)絡(luò)安全。作為防火墻的合理補充，IDS(入侵檢測系統(tǒng))越來越受到人們的重視。入侵檢測系統(tǒng)是一種主動保護(hù)內(nèi)部網(wǎng)絡(luò)免受攻擊的網(wǎng)絡(luò)安全技術(shù)，它從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，發(fā)現(xiàn)隱藏在其中的攻擊者的足跡。將所有網(wǎng)絡(luò)數(shù)據(jù)與預(yù)先定義的攻擊簽名進(jìn)行比較，從而實時地檢測攻擊行為，獲取攻擊證據(jù)。入侵檢測系統(tǒng)的實施，擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、攻擊識別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

二、加強局域同安全管理

在局域網(wǎng)安全中，除了采用上述技術(shù)措施之外，加強局域網(wǎng)的安全管理、制訂有關(guān)規(guī)章制度，對于確保網(wǎng)絡(luò)的安全、可靠地運行，也將起到十分有效的作用。

做好網(wǎng)內(nèi)硬件設(shè)備的登記工作和管理工作。一方面可以將所有硬件設(shè)備進(jìn)行編號并將他們的設(shè)備屬性信息，例如硬盤容量、序列號、CPU型號、內(nèi)存大小、網(wǎng)卡MAC地址、IP地址等采集后存儲到數(shù)據(jù)庫中，遇故障時可做到及時定位排障：另一方面，還要做好網(wǎng)絡(luò)設(shè)備的物理信息的登記。如設(shè)備的名稱、使用人、設(shè)備樓層房問號、聯(lián)系電話、計算機(jī)使用部門等，此舉是對設(shè)備進(jìn)行物理定位，做到遇有故障能及時準(zhǔn)確地定位排查解決故障。

為了及時發(fā)現(xiàn)和處理網(wǎng)絡(luò)異常事件，確保局域網(wǎng)的正常運行，需要在局域網(wǎng)中構(gòu)建局域網(wǎng)安全監(jiān)控中心。它的主要任務(wù)是針對網(wǎng)絡(luò)資源、網(wǎng)絡(luò)性能和密鑰進(jìn)行管理，對網(wǎng)絡(luò)進(jìn)行監(jiān)視和訪問控制。例如，一旦發(fā)現(xiàn)客戶端對局域網(wǎng)的安全造成威脅，監(jiān)控中心能夠立即查找安全事件源并且及時阻斷：能查找出網(wǎng)絡(luò)薄弱環(huán)節(jié)，當(dāng)局域網(wǎng)內(nèi)大規(guī)模病毒事件發(fā)生后．管理員能準(zhǔn)確定位病毒源頭、找到網(wǎng)絡(luò)中的薄弱環(huán)節(jié)．加強安全預(yù)警。

建立局域網(wǎng)安全管理制度和應(yīng)急方案。管理是局域網(wǎng)安全中重要的組成部分。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時，沒有健全的網(wǎng)絡(luò)安全管同時，當(dāng)事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及依據(jù)，即缺乏對網(wǎng)絡(luò)的可控性與可審查性。這就要求我們必須建立局域網(wǎng)安全管理制度和應(yīng)急措施，并且要求管理員對網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)有深入的了解。因此，最可行的方法是安全管理制度和應(yīng)急解決方案相結(jié)合。

以上討論了種種針對局域網(wǎng)信息安全的策略和技術(shù)，這些技術(shù)相互配合．相互補充，能夠最大程度的保證局域網(wǎng)安全，但是要保證局域網(wǎng)的絕對安全是不可能的，只有并切實貫徹到平時操作中，才能確保局域網(wǎng)安全良好地運行。