◆肖靜靜

網(wǎng)絡(luò)學(xué)習(xí)室的網(wǎng)絡(luò)安全防護(hù)措施

◆肖靜靜

(武警福建總隊(duì)參謀部綜合信息保障中心 福建 350003)

伴隨信息浪潮席卷世界，信息化技術(shù)不斷滲透著人們?nèi)粘Ｉ?，網(wǎng)絡(luò)學(xué)習(xí)成為人們獲取知識(shí)的一個(gè)既方便又有效的途徑。網(wǎng)絡(luò)學(xué)習(xí)室是以計(jì)算機(jī)終端連接局域網(wǎng)的形式接入，因此做好計(jì)算機(jī)終端、交換機(jī)和路由器的安全防護(hù)成為網(wǎng)絡(luò)信息安全的一個(gè)重要環(huán)節(jié)。

網(wǎng)絡(luò)學(xué)習(xí)室；安全防護(hù)；措施

0 引言

隨著網(wǎng)絡(luò)時(shí)代的到來(lái)，網(wǎng)絡(luò)學(xué)習(xí)室為人們提供了很好的工作、學(xué)習(xí)、休閑場(chǎng)所，但因其使用時(shí)間和范圍有限、網(wǎng)絡(luò)復(fù)雜層度較低，有的單位在網(wǎng)絡(luò)安全硬件防護(hù)方面投入的設(shè)備和資金較少，計(jì)算機(jī)和網(wǎng)絡(luò)的安全防護(hù)手段不得不停留在簡(jiǎn)單的系統(tǒng)防護(hù)上。因?yàn)槿狈τ行У挠布雷o(hù)手段，網(wǎng)絡(luò)管理員對(duì)設(shè)備狀態(tài)、信息流轉(zhuǎn)、服務(wù)功能、用戶操作行為等方面的監(jiān)控維護(hù)往往力不從心，網(wǎng)絡(luò)安全的防御策略一旦考慮不周全，系統(tǒng)網(wǎng)絡(luò)容易受到攻擊，非常容易導(dǎo)致拒絕服務(wù)、非法訪問(wèn)、用戶個(gè)人信息泄露、數(shù)據(jù)丟失等安全事件的發(fā)生。

1 計(jì)算機(jī)的安全防護(hù)措施

1.1 賬號(hào)和口令的設(shè)置

超級(jí)管理員賬戶因?yàn)榫哂凶罡叩南到y(tǒng)權(quán)限，要特別對(duì)待，應(yīng)設(shè)置強(qiáng)口令密碼，必要時(shí)可以創(chuàng)建一個(gè)偽造的無(wú)實(shí)際權(quán)限的賬戶起到以假亂真的作用。Guest賬戶是系統(tǒng)的不設(shè)防賬戶，也是木馬病毒青睞的目標(biāo)，開啟Guest賬戶有很大的危險(xiǎn)性，一般在控制面板中將其禁用?？诹钍怯?jì)算機(jī)鑒別用戶、實(shí)施訪問(wèn)控制的安全防線，要正確設(shè)置BIOS開機(jī)密碼和用戶賬戶口令，確保密碼復(fù)雜度，系統(tǒng)用戶的賬戶口令最好在8位以上，并對(duì)密碼定期進(jìn)行修改。

1.2 計(jì)算機(jī)病毒的防范

為防止計(jì)算機(jī)病毒對(duì)終端的侵害，首先要對(duì)重要數(shù)據(jù)進(jìn)行備份，防止因系統(tǒng)突然崩潰導(dǎo)致數(shù)據(jù)丟失。網(wǎng)絡(luò)學(xué)習(xí)室人員流動(dòng)性大、用戶多，部分用戶操作計(jì)算機(jī)技能水平參差不齊，應(yīng)設(shè)立防病毒服務(wù)器，建立網(wǎng)絡(luò)化病毒防護(hù)系統(tǒng)，實(shí)現(xiàn)病毒情況監(jiān)測(cè)、安全策略統(tǒng)一制定下發(fā)和病毒庫(kù)網(wǎng)上自動(dòng)更新。操作系統(tǒng)漏洞是病毒肆無(wú)忌憚到處傳播的主要原因，因此，防病毒服務(wù)器上的系統(tǒng)漏洞補(bǔ)丁要自動(dòng)更新，做到修復(fù)系統(tǒng)漏洞必須及時(shí)有效，確保學(xué)習(xí)室內(nèi)的所有計(jì)算機(jī)可以自動(dòng)更新。在使用計(jì)算機(jī)時(shí)，如果發(fā)現(xiàn)計(jì)算機(jī)存在異?，F(xiàn)象，特別是出現(xiàn)網(wǎng)速慢、異常死機(jī)、內(nèi)存突然不足、增加了一些陌生文件等現(xiàn)象時(shí)，一定要對(duì)問(wèn)題計(jì)算機(jī)單獨(dú)隔離，進(jìn)行病毒查殺，隨后對(duì)全網(wǎng)計(jì)算機(jī)進(jìn)行全面殺毒。

1.3 系統(tǒng)端口的防護(hù)

一般情況下操作系統(tǒng)的許多端口是默認(rèn)打開的，不少非法用戶程序和病毒會(huì)利用這些端口進(jìn)行網(wǎng)絡(luò)主機(jī)進(jìn)行攻擊和破壞。為保證系統(tǒng)安全，主動(dòng)關(guān)閉不需要的端口。例如勒索病毒就是通過(guò)445、135、137、138、139等危險(xiǎn)端口來(lái)傳播，而普通用戶對(duì)這些端口的利用率很低，要及時(shí)做關(guān)閉處理，以免被非法用戶所利用。

2 網(wǎng)絡(luò)交換機(jī)的安全防護(hù)措施

2.1 合理劃分VLAN

對(duì)網(wǎng)絡(luò)學(xué)習(xí)室的VLAN進(jìn)行劃分時(shí)，可采用最常用的基于端口劃分VLAN的方法。其他基于MAC地址、基于IP地址和基于IP子網(wǎng)的VLAN劃分方法可以依據(jù)個(gè)人管理習(xí)慣，針對(duì)不同類型用戶建立相應(yīng)的VLAN，進(jìn)行相互隔離，實(shí)現(xiàn)分類管理防護(hù)，并控制廣播風(fēng)暴。

2.2 交換機(jī)端口綁定

通常為交換機(jī)端口與主機(jī)MAC地址和IP地址進(jìn)行綁定，主要是限制用戶終端設(shè)備接入網(wǎng)絡(luò)，進(jìn)行IP、MAC、端口綁定，大大降低了IP沖突的可能性?？山枚丝诘腗AC地址學(xué)習(xí)功能，采用靜態(tài)的MAC表，控制非注冊(cè)計(jì)算機(jī)終端接入網(wǎng)絡(luò)。

2.3 ARP防攻擊防御

ARP協(xié)議有簡(jiǎn)單、易用的優(yōu)點(diǎn)，但因其沒有安全認(rèn)證機(jī)制容易遭受攻擊。在配置交換機(jī)時(shí)，應(yīng)有針對(duì)性地采取不同的防護(hù)策略。

（1）泛洪攻擊

攻擊者是通過(guò)偽造大量源IP地址變化的ARP報(bào)文頻繁向網(wǎng)絡(luò)中發(fā)送，使得ARP表項(xiàng)溢出，最終導(dǎo)致正常的通信中斷。在配置交換機(jī)時(shí)，可以通過(guò)在VLAN中設(shè)置限制ARP表項(xiàng)數(shù)量，達(dá)到防范ARP泛洪攻擊的目的。

（2）仿冒網(wǎng)關(guān)攻擊

攻擊者采用偽造ARP報(bào)文信息（源IP地址為網(wǎng)關(guān)IP地址，源MAC地址為偽造MAC地址）[1]，向被攻擊的主機(jī)發(fā)送ARP報(bào)文信息，被攻擊主機(jī)在更新自身ARP表后，IP地址和MAC地址的對(duì)應(yīng)關(guān)系發(fā)生錯(cuò)誤，造成用戶訪問(wèn)網(wǎng)絡(luò)異常。在配置交換機(jī)時(shí)，啟用基于網(wǎng)關(guān)IP/MAC的ARP報(bào)文過(guò)濾功能，將上行端口和網(wǎng)關(guān)IP地址、MAC地址綁定，下行端口和網(wǎng)關(guān)IP進(jìn)行綁定，這樣偽造的ARP報(bào)文將做丟棄處理，達(dá)到防范“防冒網(wǎng)關(guān)”攻擊的目的。

（3）欺騙網(wǎng)關(guān)攻擊

攻擊者向網(wǎng)關(guān)發(fā)送偽造網(wǎng)絡(luò)中其他設(shè)備和主機(jī)的源IP地址或MAC地址的ARP報(bào)文，從而導(dǎo)致網(wǎng)關(guān)上的ARP表項(xiàng)更新錯(cuò)誤，造成用戶訪問(wèn)網(wǎng)絡(luò)異常。在配置交換機(jī)時(shí)，啟用ARP報(bào)文源MAC地址一致性檢查功能，通過(guò)檢查ARP報(bào)文中MAC地址是否一致來(lái)檢驗(yàn)ARP報(bào)文的真?zhèn)?，達(dá)到防范ARP攻擊的目的。

2.4 訪問(wèn)控制認(rèn)證

802.1X認(rèn)證協(xié)議是一種對(duì)用戶進(jìn)行認(rèn)證的方法和策略，達(dá)到接收合法用戶接入和保護(hù)網(wǎng)絡(luò)的目的，用于完成對(duì)用戶接入的安全審核。在局域網(wǎng)環(huán)境下，可以通過(guò)開啟交換機(jī)802.1X認(rèn)證功能、終端上啟用802.1X客戶端、架設(shè)802.1X服務(wù)器端等三種方式實(shí)現(xiàn)[2]。

3 路由器的安全防護(hù)措施

3.1 訪問(wèn)安全

對(duì)路由器進(jìn)行配置時(shí)，要盡可能考慮網(wǎng)絡(luò)學(xué)習(xí)室所處環(huán)境，根據(jù)實(shí)際情況關(guān)閉一些不必要的功能，例如一些查看信息。還應(yīng)阻止路由器接收帶源路由標(biāo)記的包，阻止路由器轉(zhuǎn)發(fā)廣播包等。制定密碼安全策略，為各類用戶的進(jìn)入設(shè)置復(fù)雜、強(qiáng)壯的長(zhǎng)口令，啟用密碼加密服務(wù)；同時(shí)嚴(yán)格控制Console端口的訪問(wèn)，如果不使用AUX端口的訪問(wèn)，則禁用這個(gè)端口。如果需要遠(yuǎn)程訪問(wèn)路由器，應(yīng)使用訪問(wèn)控制列表和高強(qiáng)度的密碼進(jìn)行訪問(wèn)控制，并嚴(yán)格控制訪問(wèn)路由器的IP地址范圍。合理設(shè)置訪問(wèn)控制列表ACL，實(shí)現(xiàn)目的地址、源地址、應(yīng)用程序端口等諸多因素的指定和限制，有針對(duì)性地對(duì)不安全因素進(jìn)行控制。防止外部IP地址欺騙，非法用戶可能使用內(nèi)部網(wǎng)絡(luò)的合法IP地址、回環(huán)地址、組播地址作為源地址，對(duì)網(wǎng)絡(luò)進(jìn)行非法訪問(wèn)，訪問(wèn)控制列表應(yīng)設(shè)置為阻止。防止外部的非法探測(cè)，ping、traceroute或其他命令網(wǎng)探測(cè)絡(luò)命令是非法訪問(wèn)者入侵網(wǎng)絡(luò)的首選命令，訪問(wèn)控制列表應(yīng)設(shè)置為阻止。阻止對(duì)關(guān)鍵端口的非法訪問(wèn)，禁止使用RPC遠(yuǎn)程過(guò)程調(diào)用服務(wù)端口135，提供名稱服務(wù)端口137、138，提供共享服務(wù)端口135、139，禁止使用445和1434端口防蠕蟲病毒，禁止使用5554和9996端口防震蕩波病毒攻擊，禁止使用5800和5900端口防系統(tǒng)被遠(yuǎn)程控制。做好路由器操作系統(tǒng)的升級(jí)備份，保留路由器的用戶訪問(wèn)日志以及維護(hù)記錄日志。

3.2 路由安全

合理使用路由器協(xié)議，避免使用路由器信息協(xié)議RIP而被欺騙，導(dǎo)致接收不合法的路由更新。路由器端口上禁止發(fā)送廣播包，禁止使用IP重定向。在動(dòng)態(tài)路由協(xié)議中設(shè)置一些不需要轉(zhuǎn)發(fā)路由信息端口被動(dòng)接口。校驗(yàn)數(shù)據(jù)包路徑的合法性，使用RPF反向路徑轉(zhuǎn)發(fā)，檢查源IP地址的準(zhǔn)確性，對(duì)于違法攻擊者的地址，丟棄攻擊包，從而達(dá)到抵御攻擊的目的。

3.3 服務(wù)安全

禁用不必要的、不使用的服務(wù)，如echo、chargen和discard等應(yīng)用目的不明確的服務(wù)。這些服務(wù)可以被用來(lái)實(shí)施拒絕服務(wù)攻擊和其他攻擊。禁用finger服務(wù)和cdp服務(wù)，禁止BOOTP服務(wù)，禁止從網(wǎng)絡(luò)啟動(dòng)和下載初始配置文件，禁止ICMP服務(wù)，禁止Ping包等一些反饋信息以及超出生存時(shí)間TTL的ICMP流量進(jìn)入網(wǎng)絡(luò)。

4 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全在網(wǎng)絡(luò)學(xué)習(xí)室的運(yùn)行中扮演著舉足輕重的作用。隨著各種信息新技術(shù)的不斷出現(xiàn)，網(wǎng)絡(luò)信息量也在大幅增長(zhǎng)，網(wǎng)絡(luò)學(xué)習(xí)室面臨的非法訪問(wèn)、惡意攻擊等威脅也與日俱增，給網(wǎng)絡(luò)安全防護(hù)帶來(lái)了很大的挑戰(zhàn)。這就要求網(wǎng)絡(luò)管理員不但要做好傳統(tǒng)計(jì)算機(jī)終端、交換機(jī)和路由器的防護(hù)工作，還要不斷學(xué)習(xí)新的網(wǎng)絡(luò)安全防護(hù)知識(shí)和技巧，不斷摸索新的網(wǎng)絡(luò)安全防護(hù)手段，確保網(wǎng)絡(luò)學(xué)習(xí)室安全正常運(yùn)行。

[1]薛芳.基于802.1x協(xié)議校園網(wǎng)ARP期騙主動(dòng)防御系統(tǒng)的研究與實(shí)現(xiàn)[D].廈門大學(xué)，2011.

[2]宋桂建.加固局域網(wǎng)安全“四策”[J].科技致富向?qū)В?014.

[3]金忠偉.基于端口檢測(cè)的路由器安全防護(hù)策略[J].計(jì)算機(jī)工程，2014.

[4]李新科.計(jì)算機(jī)終端的安全防護(hù)措施[J].通信，2016.

[5]雷曉明.校園網(wǎng)中有效防范ARP攻擊[J].建筑工程技術(shù)與設(shè)計(jì)，2016.