鄭劍彬

[摘 要]當(dāng)今社會(huì)，計(jì)算機(jī)網(wǎng)絡(luò)已深入到我們?nèi)粘Ｉ畹母鱾€(gè)方面并成為不可或缺的一部分。但由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性，終端分布不均勻性和網(wǎng)絡(luò)的開放性，互連性等特征，致使網(wǎng)絡(luò)易受黑客，怪客，惡意軟件的攻擊。這些威脅不僅僅只是威脅了互聯(lián)網(wǎng)，也同樣威脅著局域網(wǎng)，因此局域網(wǎng)安全已經(jīng)成為信息安全的新熱點(diǎn)，其技術(shù)和標(biāo)準(zhǔn)也在成熟和演進(jìn)過程中。本文首先使大家對(duì)局域網(wǎng)有個(gè)初步的了解，然后闡述威脅局域網(wǎng)的各個(gè)因素，并就局域網(wǎng)網(wǎng)絡(luò)安全策略進(jìn)行分析。

[關(guān)鍵詞]局域網(wǎng) 威脅 防火墻 病毒 安全

一、局域網(wǎng)概述

我們大家可能都了解互聯(lián)網(wǎng)，但提到局域網(wǎng)，可能會(huì)很少有人指出其明確含義，那么先讓我們了解一下何為局域網(wǎng)。局域網(wǎng)（Local Area Network），簡稱LAN，是指在某一區(qū)域內(nèi)由多臺(tái)計(jì)算機(jī)互聯(lián)成的計(jì)算機(jī)組?！澳骋粎^(qū)域”指的是同一辦公室，同一建筑物，同一公司和同一學(xué)校等，一般是方圓幾千米以內(nèi)。局域網(wǎng)可以實(shí)現(xiàn)文件管理、應(yīng)用軟件共享、打印機(jī)共享、工作組內(nèi)的日程安排、電子郵件和傳真通信服務(wù)等功能。局域網(wǎng)是封閉型的，可以由辦公室內(nèi)的兩臺(tái)計(jì)算機(jī)組成，也可以由一個(gè)公司內(nèi)的上千臺(tái)計(jì)算機(jī)組成。目前局域網(wǎng)常見的拓?fù)浣Y(jié)構(gòu)有星型結(jié)構(gòu)、環(huán)型結(jié)構(gòu)、總線型拓?fù)浣Y(jié)構(gòu)和混合型拓?fù)浣Y(jié)構(gòu)。[1]

二、當(dāng)今局域網(wǎng)的安全現(xiàn)狀

由于IPV4地址的有限，使得很多地方都通過建立局域網(wǎng)來上網(wǎng)，如許多大中型企業(yè)和學(xué)校，這樣就有局域網(wǎng)內(nèi)很多臺(tái)電腦的一個(gè)網(wǎng)絡(luò)通過一個(gè)端口連接都在互聯(lián)網(wǎng)上，這也就使得對(duì)局域網(wǎng)內(nèi)的網(wǎng)絡(luò)安全變得尤其重要。在許多年前，局域網(wǎng)還是十分安全的，大多數(shù)的公司也常常習(xí)慣于直接在局域網(wǎng)共享各種常用軟件和資料，但是現(xiàn)在很多病毒開發(fā)者打起了局域網(wǎng)的主意。例如由于網(wǎng)游產(chǎn)生了APR病毒。這是一種欺騙性質(zhì)的病毒，雖然它的目的并不是破壞局域網(wǎng)，但為了達(dá)到它盜號(hào)盜寶的目的，會(huì)嚴(yán)重影響其它局域網(wǎng)用戶的正常上網(wǎng)活動(dòng)。所謂APR攻擊其實(shí)就是內(nèi)網(wǎng)某臺(tái)主機(jī)偽裝成網(wǎng)關(guān)，欺騙內(nèi)網(wǎng)其它主機(jī)將所有發(fā)往網(wǎng)關(guān)的信息發(fā)到這臺(tái)主機(jī)上。由于此臺(tái)主機(jī)的數(shù)據(jù)處理轉(zhuǎn)發(fā)能力遠(yuǎn)遠(yuǎn)低于網(wǎng)關(guān)，因此導(dǎo)致大量信息堵塞，網(wǎng)速越來越慢，威脅到局域網(wǎng)用戶的信息安全。有一種針對(duì)服務(wù)器的SYN攻擊也會(huì)令局域網(wǎng)電腦全體“掉線”：SYN攻擊屬于DOS攻擊的一種，它利用TCP協(xié)議三次握手的等待確認(rèn)缺陷，通過發(fā)送大量的半連接請(qǐng)求，耗費(fèi)CPU的內(nèi)存資源。SYN攻擊除了能影響主機(jī)外，還可以危害路由器，防火墻等網(wǎng)絡(luò)系統(tǒng)，事實(shí)上SYN攻擊并不管目標(biāo)是什么系統(tǒng)，只要這些系統(tǒng)打開TCP服務(wù)就可以實(shí)施。配合IP欺騙，SYN攻擊能達(dá)到良好的效果，通常感染SYN病毒的客戶端在短時(shí)間內(nèi)偽造大量不存在的IP地址，向服務(wù)器不斷地發(fā)送SYN包，服務(wù)器回復(fù)確認(rèn)包，并等待客戶的確認(rèn)，由于源地址是不存在的，服務(wù)器需要不斷的重發(fā)直至超時(shí)，這些偽造的SYN包將長時(shí)間占用未連接隊(duì)列，正常的SYN請(qǐng)求被丟棄，目標(biāo)系統(tǒng)和路由器運(yùn)行緩慢，嚴(yán)重的時(shí)候就直接引起整個(gè)局域網(wǎng)的網(wǎng)絡(luò)堵塞甚至系統(tǒng)癱瘓。

面對(duì)日益嚴(yán)重的內(nèi)網(wǎng)攻擊和整網(wǎng)掉線問題，很多路由器和防火墻開發(fā)商也在產(chǎn)品中加入了相關(guān)技術(shù)，例如加入了IP-MAC綁定功能可以防止局域網(wǎng)的ARP欺騙，但是這些設(shè)備由于以太網(wǎng)工作原理的關(guān)系，其實(shí)還是無法全面解決內(nèi)網(wǎng)安全問題。例如DDOS攻擊，雖然路由器和防火墻可以利用一些設(shè)定好的規(guī)則判斷出哪些數(shù)據(jù)包帶有DDOS攻擊的特征，但是它必須在收到這些數(shù)據(jù)包之后才能對(duì)數(shù)據(jù)包進(jìn)行分析，而這些數(shù)據(jù)包在收過來的時(shí)候其實(shí)就已經(jīng)占用了LAN口的帶寬資源，由于路由器和防火墻都在局域網(wǎng)的最外端，這樣的網(wǎng)絡(luò)結(jié)構(gòu)已經(jīng)決定了它們無法在攻擊數(shù)據(jù)包產(chǎn)生的時(shí)候就進(jìn)行封堵，而且這些設(shè)備大部分還是采用100MB的帶寬與LAN交換機(jī)相連，加上大部分的局域網(wǎng)交換機(jī)都是線速轉(zhuǎn)發(fā)的二層交換機(jī)，受感染客戶端發(fā)送的大量數(shù)據(jù)包可以很快用完這些帶寬，因此網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)膲毫Χ技虞d在路由器的LAN端口，這時(shí)候很多正常的請(qǐng)求都無法順利通過LAN口提交過去，因此即使路由器知道哪些是正常的請(qǐng)求也無濟(jì)于事。

三、局域網(wǎng)面臨的威脅

對(duì)計(jì)算機(jī)局域網(wǎng)造成威脅的因素很多，有些可能是有意的，也可能是無意的，可能是人為的，也可能是非人為的，可能是外來黑客對(duì)網(wǎng)絡(luò)系統(tǒng)資源的非法使用。歸結(jié)起來有以下幾點(diǎn)：

（一）人為因素

人為的無意失誤：如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識(shí)不強(qiáng)，用戶口令選擇不慎，用戶將自己的帳號(hào)隨意轉(zhuǎn)借他們或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來威脅。

人為的惡意攻擊：這是局域網(wǎng)網(wǎng)絡(luò)所面臨的最大威脅，敵手的攻擊和計(jì)算機(jī)犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動(dòng)攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動(dòng)攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲，竊取，破譯以及獲得重要機(jī)密信息。這兩種攻擊均可以對(duì)局域網(wǎng)網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致數(shù)據(jù)的泄露。

（二）內(nèi)網(wǎng)的攻擊

由于使用局域網(wǎng)的大部分是有計(jì)算機(jī)知識(shí)的人，他們的好奇心都是相當(dāng)強(qiáng)的，而且現(xiàn)在各種攻擊手段的教材隨處都可以看得到，所以有少數(shù)局域網(wǎng)用戶就把局域網(wǎng)作為攻擊的對(duì)象。他們選擇攻擊局域網(wǎng)網(wǎng)絡(luò)是因?yàn)榫钟蚓W(wǎng)網(wǎng)絡(luò)對(duì)于他們來說是內(nèi)網(wǎng)，IP地址基本是在內(nèi)部公開的，這樣可以很方便的隱藏自己的IP地址，對(duì)局域網(wǎng)進(jìn)行泛洪等的基本攻擊，并可以很快見到他們攻擊所帶來的危害。在內(nèi)網(wǎng)中根據(jù)IP地址很容易找到局域網(wǎng)的網(wǎng)段，這樣就很容易運(yùn)用ARP欺騙等攻擊手段。

現(xiàn)在互聯(lián)網(wǎng)上第三方黑客的攻擊軟件也越來越多，方法也越來越復(fù)雜，為局域網(wǎng)絡(luò)的網(wǎng)絡(luò)安全帶來了嚴(yán)峻的考驗(yàn)[2]

（三）外網(wǎng)的攻擊

“黑客”來自于英文單詞HACKER，原來是指那些具有很高水平的計(jì)算機(jī)程序員，后來指那些企圖非法入侵別人計(jì)算機(jī)系統(tǒng)，肆意破壞的人。黑客的目的一般都是竊取機(jī)密數(shù)據(jù)或破壞系統(tǒng)運(yùn)行，黑客會(huì)對(duì)局域網(wǎng)網(wǎng)絡(luò)設(shè)備進(jìn)行信息轟炸，致使服務(wù)中斷，也可能入侵WEB 或其它文件服務(wù)器，刪除或篡改數(shù)據(jù)，致命系統(tǒng)癱瘓甚至完全崩潰，此外黑客還有可能向局域網(wǎng)網(wǎng)絡(luò)傳附帶病毒的文件，達(dá)到間接破壞的目的，因此黑客的攻擊不僅殺傷力大，而且隱蔽性強(qiáng)。[3]局域網(wǎng)由于其是一個(gè)為網(wǎng)內(nèi)用戶實(shí)現(xiàn)連接到互聯(lián)網(wǎng)的手段，因此也就具備了網(wǎng)絡(luò)信息系統(tǒng)所應(yīng)該有的致命的脆弱性，開放性和易受攻擊性。

（四）計(jì)算機(jī)病毒

為了獲得一些非正當(dāng)?shù)睦?，很多病毒開發(fā)者打起了局域網(wǎng)的主意，因此局域網(wǎng)也成為了病毒的高發(fā)地區(qū)。例如我們之前提到過的針對(duì)網(wǎng)游熱火而產(chǎn)生的ARP病毒和針對(duì)網(wǎng)私服的DDOS 以及針對(duì)服務(wù)器的SYN 等都是病毒。這些都是開發(fā)者們?yōu)榱吮I取一些資料或一些利益而研制的。它們嚴(yán)重的時(shí)候可以直接引起整個(gè)局域網(wǎng)的網(wǎng)絡(luò)堵塞甚至系統(tǒng)癱瘓。2006年年底的“熊貓燒香”病毒就給我們國家?guī)砹司薮蟮膿p失和煩惱，就在2007年年初又出現(xiàn)了“熊貓燒香”的變種“金豬拜年”，可見病毒的變種能力非常強(qiáng)，并且計(jì)算機(jī)病毒的破壞力也是無法估計(jì)的。有很多病毒在計(jì)算機(jī)感染后并不發(fā)作，要等到條件成熟才會(huì)進(jìn)行破壞，有的是時(shí)間，有的是是否安裝了什么服務(wù)。而病毒的主要傳播途徑主要是通過網(wǎng)絡(luò)下載，移動(dòng)存儲(chǔ)設(shè)備，而且病毒都是自動(dòng)傳播的，一旦局域網(wǎng)內(nèi)一臺(tái)計(jì)算機(jī)感染，局域網(wǎng)內(nèi)所有計(jì)算機(jī)都會(huì)受到威脅。

四、局域網(wǎng)網(wǎng)絡(luò)安全策略

（一）應(yīng)用防火墻

防火墻是近期發(fā)展起來的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，它是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪問某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障，也可稱之為控制進(jìn)出兩個(gè)方向通信的門檻。它是將內(nèi)網(wǎng)和外網(wǎng)進(jìn)行分離，對(duì)經(jīng)過它的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行掃描，過濾掉非法數(shù)據(jù)，從而禁止非授權(quán)用戶訪問數(shù)據(jù)，但是卻允許合法用戶透明地訪問網(wǎng)絡(luò)資源。當(dāng)前防火墻的主要類型有：監(jiān)測(cè)型，代理型，網(wǎng)絡(luò)地址轉(zhuǎn)化NAT，包過濾型等，應(yīng)用好防火墻并對(duì)防火墻進(jìn)行正確的設(shè)置將對(duì)局域網(wǎng)網(wǎng)絡(luò)的安全起著十分重要的作用。目前多數(shù)路由器，交換機(jī)等都內(nèi)嵌數(shù)據(jù)包過濾功能，管理員可在其中設(shè)置訪問列表來實(shí)現(xiàn)包過濾功能。在INTERNET網(wǎng)關(guān)處安裝一個(gè)含有數(shù)據(jù)包過濾功能的路由器，即可實(shí)現(xiàn)數(shù)據(jù)包過濾防火墻。這種應(yīng)用模式不必使用專業(yè)的防火墻產(chǎn)品。具備成本低，速度快，實(shí)現(xiàn)方便等特點(diǎn)。但容易出現(xiàn)配置不當(dāng)錯(cuò)誤，也無法處理應(yīng)用層發(fā)起的攻擊，數(shù)據(jù)包過濾防火墻的安全防御能力較差。難以實(shí)現(xiàn)復(fù)雜的安全策略。實(shí)用中還有必要在桌面系統(tǒng)中配備防病毒軟件。在各種類型的局域網(wǎng)中，服務(wù)器是最容易受到攻擊的，為了保證服務(wù)器的安全，需要在服務(wù)器與路由器之間設(shè)置防火墻，并設(shè)置合理的安全策略，有效防范來自公隗的攻擊。[4]

（二）用交換機(jī)解決局域網(wǎng)攻擊問題。

要解決局域網(wǎng)的安全問題，交換機(jī)就不能再純粹完成轉(zhuǎn)發(fā)工作了事，還需要判斷數(shù)封堵一些常見病毒所使用的端口，以及進(jìn)行端口速率限制。如果這些功能轉(zhuǎn)移到交換機(jī)上，就可以防止這些病毒端口發(fā)送的數(shù)據(jù)包到達(dá)路由器，從而減輕路由器的負(fù)擔(dān)，保證局域網(wǎng)其他用戶的正常上網(wǎng)。而為了能夠識(shí)別各種惡意數(shù)據(jù)流量，交換機(jī)上就必須使用一款智能芯片，使其具有以下特點(diǎn)：

（1）支持基于IP，MAC應(yīng)用的訪問控制列表功能（ACL）；

（2）支持常見病毒端口過濾功能；

（3）支持基于端口，IP，MAC，應(yīng)用的速率限制；

（4）支持基于端口，IP，MAC，802.1P和應(yīng)用的優(yōu)先級(jí)控制（QOS）；

（5）支持基于MAC+IP+VLAN+端口的綁定；

（6）支持ARP攻擊和DDOS攻擊事件記錄日志。

（三）系統(tǒng)補(bǔ)丁程序的安裝

及時(shí)地安裝補(bǔ)丁程序也是很好的維護(hù)網(wǎng)絡(luò)安全方法。有很多病毒就是應(yīng)用了系統(tǒng)的漏洞，對(duì)計(jì)算機(jī)達(dá)到破壞作用。黑客也能通過系統(tǒng)漏洞侵入對(duì)方計(jì)算機(jī)，對(duì)其計(jì)算機(jī)進(jìn)行破壞。例如尼姆達(dá)病毒正是利用了WINDOWS的一系列網(wǎng)絡(luò)安全漏洞進(jìn)行傳播，它的破壞力也是有目共睹的。IS6.0版服務(wù)器不容易感染上尼姆達(dá)病毒。同尼姆達(dá)病毒同樣臭名昭著的紅色代碼也是如此，可以打上微軟的Q300972補(bǔ)丁，或者可以給整個(gè)操作系統(tǒng)打上最新的WINDOWS2000 ADVA NCE SP3補(bǔ)丁，但請(qǐng)注意有些數(shù)據(jù)庫并不支持最新的SP3，我們只能下載單獨(dú)補(bǔ)丁補(bǔ)上安全漏洞。另外，補(bǔ)丁的安裝應(yīng)該在所有應(yīng)用程序安裝完之后，因?yàn)檠a(bǔ)丁程序往往要替換或修改某些系統(tǒng)文件，如果先安裝補(bǔ)丁餌安裝應(yīng)用程序有可能導(dǎo)致補(bǔ)丁不能起到就有的效果。

五、結(jié)束語

對(duì)于大中型企業(yè)網(wǎng)絡(luò)來說，關(guān)于局域網(wǎng)內(nèi)部的管理一直是一個(gè)非常復(fù)雜的問題，一個(gè)用戶哪怕只是不小心點(diǎn)擊一個(gè)惡意網(wǎng)站的鏈接，就會(huì)在幾秒鐘之內(nèi)感染病毒，然后立刻影響到整個(gè)局域網(wǎng)的安全和穩(wěn)定，加上現(xiàn)在惡意網(wǎng)站非常泛濫，病毒傳播手段花樣疊出，局域網(wǎng)安全必須受到廣大網(wǎng)絡(luò)管理人員的重視。因此，認(rèn)清局域網(wǎng)的脆弱和潛在的威脅，采取強(qiáng)有力的安全策略，對(duì)于保障網(wǎng)絡(luò)的安全性將變得十分重要。

參考文獻(xiàn)

[1]方美琪 王寧 《全國計(jì)算機(jī)等級(jí)考試一級(jí)教程》2004，53

[2]鐘平。校園網(wǎng)安全防范技術(shù)研究[DB]CNKI系列數(shù)據(jù)庫，2007

[3]王秀和，楊明。計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)淺析[J]中國教育技術(shù)設(shè)備，2007(5)

[4]李輝。計(jì)算機(jī)網(wǎng)絡(luò)安全與對(duì)策[J]濰坊學(xué)院學(xué)報(bào)，2007(3)