局域网的安全及对策

[无线局域网计算机网络论文]一、无线局域网的基本定义 1、基本定义无线局域网(Wireless Local Area work，缩写为WLAN)，顾名思义，就是采用无线通讯技术代替传统电缆，提供传统有线局域网功能的网络。然而，这并...+阅读

局域网的安全及对策【1】

摘要目前局域网在各领域中的应用日益广泛, 网络的安全问题逐渐受到人们的重视和关注,本文通过对局域网的现状和网络不安全因素的分析展开探讨，提出几点关于网络安全方面的可行性建议。

关键词局域网网络安全局域网安全

网络安全从其本质上讲就是网络上的信息安全，指网络系统的硬件、软件及系统中的数据受到保护，避免偶然的或者恶意的原因而遭受到破坏、更改、泄露，确保网络系统连续可靠正常地运行。

局域网的安全主要包括物理安全与逻辑安全。

物理安全主要指网络硬件的维护、使用及管理等;逻辑安全是从软件的角度提出的，主要指数据的保密性、完整性、可用性等。

一、常用局域网的攻击方法

1、ARP欺骗。

ARP(地址解析协议)是一种将IP地址转化成物理地址的协议。

ARP具体地说就是将网络层地址解析为数据连接层的MAC地址。

在局域网内数据包传输依靠的是MAC地址，IP地址与MAC对应的关系依靠ARP缓存表，在正常情况下这个缓存表能够有效的保证数据传输的一对一性，但是在ARP缓存表的实现机制中存在一个不完善的地方，当主机收到一个ARP的应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。

因此简单点说ARP欺骗的目的就是为了实现全交换环境下的数据监听与篡改。

临时处理对策：

(1)能上网情况下，输入命令arp -a，查看网关IP对应的正确MAC地址，将其记录下来。

如果已经不能上网，则运行一次命令arp -d将arp缓存中的内容删空，计算机可暂时恢复上网，然后立即将网络断掉(禁用网卡或拔掉网线)，再运行arp -a。

(2)如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，输入命令：arp -s;但在计算机关机重启后这种绑定会失效，需要再绑定。

可以把该命令放在autoexec.bat中，每次开机即自动运行。

2、网络监听。

网络监听 (Sniffer)是将网络上传输的数据捕获并进行分析的行为。

网络监听在协助网络管理员监测网络传输数据，排除网络故障等方面具有不可替代的作用，因而备受网络管理员的青睐。

然而，在另一方面网络监听也给网络安全带来了极大的隐患，许多的网络入侵往往都伴随着网络监听行为，从而造成口令失窃，敏感数据被截获等连锁性安全事件。

二、局域网病毒及防治

局域网病毒的入侵主要来自蠕虫病毒，同时集病毒、黑客、木马等功能于一身综合型病毒不断涌现。

因此加强局域网病毒防护是保障网络信息安全的关键。

防治网络病毒应重点考虑以下三个部分:

1、基于工作站的防治技术。

(1)软件防治，即定期不定期地用反病毒软件检测工作站的病毒感染情况;(2)在工作站上插防病毒卡，达到实时检测的目的;(3)在网络接口卡上安装防病病毒芯片，可以更加实时有效地保护工作站及通向服务器的桥梁。

2、基于服务器的防治技术。

服务器是网络的核心，是网络的支柱，服务器一旦被病毒感染，便无法启动，整个网络都将陷入瘫痪状态，造成的损失将是灾难性的。

目前市场上基于服务器的病毒防治采用NLM方法，以服务器为基础，提供实时扫描病毒的能力，从而保证服务器不被病毒感染，消除了病毒传播的路径，从根本上杜绝了病毒在网络上的蔓延。

3、加强计算机网络的管理。

(1)从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度，对网络系统管理员及用户加强法制教育和职业道德教育，规范工作程序和操作规程。

(2)加强各级网络管理人员的专业技能学习，提高工作能力，并能及时检查网络系统中出现病毒的症状。

三、局域网安全防范系统

防火墙是设置在不同网络或网络安全域之间的一系列部件的组合。

在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Inter之间的任何活动，保证了内部网络的安全。

防火墙具有以下功能：

1、数据包过滤技术。

数据包过虑技术是在网络中的适当位置对数据包实施有选择的通过的技术.选择好依据系统内设置的过滤规则后,只有满足过滤规则的数据包才被转发至相应的网络接口，而其余数据包则从数据流中被丢弃。

2、网络地址转换技术。

网络地址转换是一种用于把IP地址转换成临时的外部的、注册的IP的地址标准,用户必须要为网络中每一台机器取得注册的IP地址。

在内部网络通过安全网卡访问外部网络时,系统将外出的源地址和源端口映射为一个伪装的地址和端口与外部连接,这样对外就隐藏了真实的内部网络地址。

防火墙根据预先定义好的映射规则来判断某个访问是否安全和接受与否。

3、代理技术。

代理技术是在应用层实现防火墙功能,代理服务器执行内部网络向外部网络申请时的中转连接作用。

另一种情况是,外部网通过代理访问内部网,当外部网络节点提出服务请求时,代理服务器首先对该用户身份进行验证。

4、全状态检测技术。

防火墙在包过滤的同时，检测数据包之间的关联性，数据包中动态变化的状态码。

它有一个检测引擎，在网关上执行网络安全策略。

监测引擎采用抽取有关数据的方法对网络通信的各层实施监督测，抽取状态信息，并动态地保存起来，作为以后执行安全策略的参考。

当用户访问请求到达网关是操作系统前，状态监测器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密处理动作。

四、入侵检测系统(IDS)

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。

入侵监测系统处于防火墙之后，作为防火墙的延续,对网络活动进行实时监测。

从功能上将IDS 划分为四个基本部分：数据采集子系统、数据分析子系统、控制台子系统、数据库管理子系统。

五、局域网安全防范策略

1、划分VLAN 防止网络侦听。

运用VLAN(虚拟局域网)技术，将以太网通信变为点到点通信，防止大部分基于网络侦听的入侵。

目前的VLAN技术主要有三种：基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。

2、网络分段。

局域网多采用以广播为基础的以太网，任何两个节点之间的通信数据包，可以被处在同一以太网上的任何一个节点的网卡所截取。

在接入以太网上的任一节点进行侦听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息，这是以太网所固有的安全隐患。

网络分段就是将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的，所以网络分段是保证局域网安全的一项重要措施。

3、以交换式集线器代替共享式集线器。

对局域网的中心交换机进行网络分段后，以太网侦听的危险仍然存在。

这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。

这样，当用户与主机进行数据通信时，两台机器之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所侦听。

因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法侦听。

4、实施IP/MAC 绑定。

启动IP 地址绑定采用上网计算机IP 地址与MCA 地址唯一对应，网络没有空闲IP 地址的策略。

由于采用了无空闲IP 地址策略，可以有效防止IP 地址起的网络中断和移动计算机随意上内部局域网络造成病毒传播和数据泄密。

六、总结

网络安全技术和病毒防护是一个涉及多方面的系统工程，在实际工作中需要综合运用以上方法，还要将安全策略、硬件及软件等方法结合起来，构成一个统一的立体防御系统，同时加强规范和创建必要的安全管理模式、规章制度来约束员工的行为。

只有这样才能确保整个局域网安全、稳定、高效的运行。

参考文献：

[1]张亚平. 计算机网络安全.人民邮电出版社.

[2]刘功申.计算机病毒及其防治技术.清华大学出版社.

[3]王秀和、杨明 .计算机网络安全技术浅析.

局域网安全问题及对策【2】

【摘要】局域网在当今各单位信息化建设中的作用举足轻重，但其存在的安全问题也不容忽视。

本文在分析威胁局域网安全主要因素的基础上，着重探讨了安全立法、教育管理以及技术等方面的防范措施，对提高局域网使用中的安全性具有重要意义。

【关键词】局域网安全措施技术

当今社会，基于网络技术的局域网在各单位、企业、公司广泛应用，并发挥了举足轻重的作用。

然而，局域网在给我们工作生活带来巨大便利的同时，也存在不容忽视的安全问题。

分析局域网安全问题，并采取相应措施加以防范，对于一个单位的办公安全、经济安全乃至整个数据信息的安全都具有十分重要的意义。

一、威胁局域网安全的主要因素

目前，局域网中重建设使用、轻安全管理的现象还很普遍。

因此，对安全领域的投入和管理远远不能满足安全防范的要求。

(一)安全意识淡薄

局域网用户信息安全的观念和意识明显滞后于网络建设速度，这是局域网安全问题的思想根源。

比如有的用户为图方便，随意开启硬盘和打印机共享、远程桌面连接等功能，为他人从远程发动攻击提供了途径;有的用户在日常使用中，对超级管理员帐号不设密码或所设密码过于简单，他人很容易猜出密码而获得超级权限。

(二)人为攻击

人为恶意攻击是局域网安全的主要威胁。

攻击者利用系统的漏洞或用户的疏忽，以各种方式有选择地破坏信息的有效性、完整性和真实性，其目的在于篡改系统中所含信息，或改变系统的状态和操作，或通过信息的破译以获得重要机密信息，对网络安全造成极大的危害，并导致机密数据的泄漏。

(三)计算机病毒

自从1986年计算机病毒的出现被专家们在实验中证实以后，便迅速蔓延到全世界，一个小巧的病毒程序可令一台微型计算机、一个大型计算机系统或一个网络陷入瘫痪。

这充分反映了计算机病毒的危害性。

这样的例子很多，例如一个网络教室局域网经常会发生这样的情况：一台机子染毒，稍不注意，很快所有机子都被感染并使局域网瘫痪。

(四)网络软件漏洞和后门

我们使用的网络软件不可能是百分之百无缺陷和漏洞的。

这些漏洞和缺陷恰恰也是黑客进行攻击的首选目标。

软件的后门是软件设计编程人员为自便而设置的，一般不为外人所知，可是一旦后门洞开，将使黑客对网络系统资源的非法使用成为可能。

二、局域网安全问题主要对策

局域网安全是一个复杂的系统工程，它至少应包括：社会的法律法规;安全教育;安全管理;技术措施如防火墙、网络防毒、信息加密、网络监控等。

(一)安全立法是前提

随着网络应用的普及，计算机犯罪日益增加。

网络的发展需要法律的支持和保障。

世界各国纷纷制定相关的法律法规。

我国《刑法》对计算机犯罪作了明文规定，对多种计算机犯罪形式规定了相应的惩治条款，这是防范、打击计算机犯罪的有力武器。

先后出台的《计算机信息系统保密管理暂行规定》、《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络国际联网安全保护管理办法》等为确保计算机信息网络健康有序地发展提供了保障。

(二)教育管理是保障

对于局域网安全而言，法律制裁只能提供一种威慑，我们还必须从教育管理的角度采取措施，增加局域网系统的自我防范能力。

安全教育的目的不仅是提高防范意识，同时还要自觉抵制利用计算机进行各类犯罪活动的诱惑。

重视信息化的安全教育，还在于尽快培养一批信息化安全的专门人材，提高全民的信息化安全意识。

此外，要建立与系统相配套的有效地和健全的管理制度，对管理和操作人员起到鼓励和监督的作用;要制定预防措施和恢复补救办法，杜绝人为差错和外来干扰，保证网络运行过程有章可循、按章办事。

(三)安全技术是基础

一是防火墙技术。

防火墙是位于局域网与外部网络之间的屏障，它主要对进出局域网的数据包进行过滤。

它一般有包过滤技术、代理技术和应用网关技术等三种工作方式。

包过滤技术通过数据包的简单信息对其安全性加以判断，因此，其安全性不高。

而应用网关技术则将要进入局域网的信息包打开，检查里面的内容有没有破坏性的信息。

一旦信息包被检查通过，网关按其内容创建一个新的信息包在局域网中传输，从而确保网内数据包的安全。

代理服务技术则是在局域网与外部网络之间设立一个代理服务器，局域网与外部网络之间没有直接的连接关系。

局域网内部的客户机欲访问外部网络，首先访问作为防火墙的代理服务器，然后通过代理服务器运行的代理服务程序，再去访问外部网络的资源。

因此，代理服务技术有较高的安全性。

二是数据加密技术。

加密技术是在存储或传输数据之前，先对数据按照一定的规则进行编码，以防止非法用户读取数据，从而保障信息数据的安全性。

目前，网络中常用的加密方法有对称密钥加密方法和非对称密钥加密方法两大类。

对称密钥加密方法虽然简单易行，但它也存在密钥管理量巨大、易被破解等问题。

而非对称密钥加密法采用了复杂的数学处理，因此其加密强度高但加密速度较慢。

在实际应用中，通常把非对称密钥法与对称密钥法结合起来以实现最佳性能。

对涉密信息在局域网内部存储以及在网间传输可以使用上述加密法进行处理，以提高信息的保密性。

三是安全监控技术。

网络安全监控就是检查网络中的各个系统的文件和登录以及各种网络行为。

常用的方法有入侵检测和漏洞扫描。

入侵检测系统位于局域网与外部网络之间或位于局域网的敏感部位，通过实时截获网络数据流，将用户当前的网络行为与其正常行为的统计概要或入侵行为规则进行对比，寻找网络攻击行为和违规的网络活动。

一旦发现网络攻击或违规活动时，入侵检测系统能够根据系统安全策略做出实时响应，包括实时报警、自动阻断通信连接或执行用户自定义的策略程序等。

而漏洞扫描本身并不能起到保护计算机系统的作用，对每个发现的漏洞也不会及时加补丁。

漏洞扫描只是帮助局域网管理者发现入侵者潜在的进入点。

漏洞扫描不检测合法用户不合适的访问，也不检测已经在系统中的入侵者。

因此其安全功能具有一定的局限性。

四是数据备份和冗余技术。

数据备份是把存储的数据复制到其他存储介质上，以确保在系统发生灾难事件后能尽可能的恢复数据减小损失。

数据冗余技术是一种技术更高的磁盘备份技术，它是将数据同时写入不同硬盘，就好像是同时建立了几个相同的硬盘，一个出故障，另一个能立即顶替，防止系统硬盘的单点故障，保证系统不间断的正常工作。

这一安全环节与局域网管理员的实际工作关系密切，所以系统管理员要定期地备份文件系统或选择合适的磁盘冗余阵列，以便在非常情况下(如系统瘫痪或受到黑客的攻击破坏时)能及时恢复系统，将损失减少到最低。

五是病毒防治技术。

病毒的防治，防是主动的，治是被动的。

防就是尽量避免病毒的入侵。

我们应尽量做到：对外来存储介质要做到先扫描杀毒然后再使用;不要随意打开来历不明的文件或邮件。

在治理上，则要尽量安装正版知名的杀毒软件，并经常对杀毒软件病毒库升级，对全盘进行彻底扫描杀毒。

其实，从某种意义上说，局域网安全的各种防范对策并不能从根本上解决网络安全问题，安全的问题归根结底还是人的问题，安全问题的最终解决还在于提高人的道德素质。