局域網網絡安全策略分析

鄭劍彬

[摘 要]當今社會，計算機網絡已深入到我們日常生活的各個方面并成為不可或缺的一部分。但由于計算機網絡具有聯結形式多樣性，終端分布不均勻性和網絡的開放性，互連性等特征，致使網絡易受黑客，怪客，惡意軟件的攻擊。這些威脅不僅僅只是威脅了互聯網，也同樣威脅著局域網，因此局域網安全已經成為信息安全的新熱點，其技術和標準也在成熟和演進過程中。本文首先使大家對局域網有個初步的了解，然后闡述威脅局域網的各個因素，并就局域網網絡安全策略進行分析。

[關鍵詞]局域網 威脅 防火墻 病毒 安全

一、局域網概述

我們大家可能都了解互聯網，但提到局域網，可能會很少有人指出其明確含義，那么先讓我們了解一下何為局域網。局域網（Local Area Network），簡稱LAN，是指在某一區域內由多臺計算機互聯成的計算機組。“某一區域”指的是同一辦公室，同一建筑物，同一公司和同一學校等，一般是方圓幾千米以內。局域網可以實現文件管理、應用軟件共享、打印機共享、工作組內的日程安排、電子郵件和傳真通信服務等功能。局域網是封閉型的，可以由辦公室內的兩臺計算機組成，也可以由一個公司內的上千臺計算機組成。目前局域網常見的拓撲結構有星型結構、環型結構、總線型拓撲結構和混合型拓撲結構。[1]

二、當今局域網的安全現狀

由于IPV4地址的有限，使得很多地方都通過建立局域網來上網，如許多大中型企業和學校，這樣就有局域網內很多臺電腦的一個網絡通過一個端口連接都在互聯網上，這也就使得對局域網內的網絡安全變得尤其重要。在許多年前，局域網還是十分安全的，大多數的公司也常常習慣于直接在局域網共享各種常用軟件和資料，但是現在很多病毒開發者打起了局域網的主意。例如由于網游產生了APR病毒。這是一種欺騙性質的病毒，雖然它的目的并不是破壞局域網，但為了達到它盜號盜寶的目的，會嚴重影響其它局域網用戶的正常上網活動。所謂APR攻擊其實就是內網某臺主機偽裝成網關，欺騙內網其它主機將所有發往網關的信息發到這臺主機上。由于此臺主機的數據處理轉發能力遠遠低于網關，因此導致大量信息堵塞，網速越來越慢，威脅到局域網用戶的信息安全。有一種針對服務器的SYN攻擊也會令局域網電腦全體“掉線”：SYN攻擊屬于DOS攻擊的一種，它利用TCP協議三次握手的等待確認缺陷，通過發送大量的半連接請求，耗費CPU的內存資源。SYN攻擊除了能影響主機外，還可以危害路由器，防火墻等網絡系統，事實上SYN攻擊并不管目標是什么系統，只要這些系統打開TCP服務就可以實施。配合IP欺騙，SYN攻擊能達到良好的效果，通常感染SYN病毒的客戶端在短時間內偽造大量不存在的IP地址，向服務器不斷地發送SYN包，服務器回復確認包，并等待客戶的確認，由于源地址是不存在的，服務器需要不斷的重發直至超時，這些偽造的SYN包將長時間占用未連接隊列，正常的SYN請求被丟棄，目標系統和路由器運行緩慢，嚴重的時候就直接引起整個局域網的網絡堵塞甚至系統癱瘓。

面對日益嚴重的內網攻擊和整網掉線問題，很多路由器和防火墻開發商也在產品中加入了相關技術，例如加入了IP-MAC綁定功能可以防止局域網的ARP欺騙，但是這些設備由于以太網工作原理的關系，其實還是無法全面解決內網安全問題。例如DDOS攻擊，雖然路由器和防火墻可以利用一些設定好的規則判斷出哪些數據包帶有DDOS攻擊的特征，但是它必須在收到這些數據包之后才能對數據包進行分析，而這些數據包在收過來的時候其實就已經占用了LAN口的帶寬資源，由于路由器和防火墻都在局域網的最外端，這樣的網絡結構已經決定了它們無法在攻擊數據包產生的時候就進行封堵，而且這些設備大部分還是采用100MB的帶寬與LAN交換機相連，加上大部分的局域網交換機都是線速轉發的二層交換機，受感染客戶端發送的大量數據包可以很快用完這些帶寬，因此網絡數據傳輸的壓力都加載在路由器的LAN端口，這時候很多正常的請求都無法順利通過LAN口提交過去，因此即使路由器知道哪些是正常的請求也無濟于事。

三、局域網面臨的威脅

對計算機局域網造成威脅的因素很多，有些可能是有意的，也可能是無意的，可能是人為的，也可能是非人為的，可能是外來黑客對網絡系統資源的非法使用。歸結起來有以下幾點：

（一）人為因素

人為的無意失誤：如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的帳號隨意轉借他們或與別人共享等都會對網絡安全帶來威脅。

人為的惡意攻擊：這是局域網網絡所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網絡正常工作的情況下，進行截獲，竊取，破譯以及獲得重要機密信息。這兩種攻擊均可以對局域網網絡造成極大的危害，并導致數據的泄露。

（二）內網的攻擊

由于使用局域網的大部分是有計算機知識的人，他們的好奇心都是相當強的，而且現在各種攻擊手段的教材隨處都可以看得到，所以有少數局域網用戶就把局域網作為攻擊的對象。他們選擇攻擊局域網網絡是因為局域網網絡對于他們來說是內網，IP地址基本是在內部公開的，這樣可以很方便的隱藏自己的IP地址，對局域網進行泛洪等的基本攻擊，并可以很快見到他們攻擊所帶來的危害。在內網中根據IP地址很容易找到局域網的網段，這樣就很容易運用ARP欺騙等攻擊手段。

現在互聯網上第三方黑客的攻擊軟件也越來越多，方法也越來越復雜，為局域網絡的網絡安全帶來了嚴峻的考驗[2]

（三）外網的攻擊

“黑客”來自于英文單詞HACKER，原來是指那些具有很高水平的計算機程序員，后來指那些企圖非法入侵別人計算機系統，肆意破壞的人。黑客的目的一般都是竊取機密數據或破壞系統運行，黑客會對局域網網絡設備進行信息轟炸，致使服務中斷，也可能入侵WEB 或其它文件服務器，刪除或篡改數據，致命系統癱瘓甚至完全崩潰，此外黑客還有可能向局域網網絡傳附帶病毒的文件，達到間接破壞的目的，因此黑客的攻擊不僅殺傷力大，而且隱蔽性強。[3]局域網由于其是一個為網內用戶實現連接到互聯網的手段，因此也就具備了網絡信息系統所應該有的致命的脆弱性，開放性和易受攻擊性。

（四）計算機病毒

為了獲得一些非正當的利益，很多病毒開發者打起了局域網的主意，因此局域網也成為了病毒的高發地區。例如我們之前提到過的針對網游熱火而產生的ARP病毒和針對網私服的DDOS 以及針對服務器的SYN 等都是病毒。這些都是開發者們為了盜取一些資料或一些利益而研制的。它們嚴重的時候可以直接引起整個局域網的網絡堵塞甚至系統癱瘓。2006年年底的“熊貓燒香”病毒就給我們國家帶來了巨大的損失和煩惱，就在2007年年初又出現了“熊貓燒香”的變種“金豬拜年”，可見病毒的變種能力非常強，并且計算機病毒的破壞力也是無法估計的。有很多病毒在計算機感染后并不發作，要等到條件成熟才會進行破壞，有的是時間，有的是是否安裝了什么服務。而病毒的主要傳播途徑主要是通過網絡下載，移動存儲設備，而且病毒都是自動傳播的，一旦局域網內一臺計算機感染，局域網內所有計算機都會受到威脅。

四、局域網網絡安全策略

（一）應用防火墻

防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施，它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障，也可稱之為控制進出兩個方向通信的門檻。它是將內網和外網進行分離，對經過它的網絡數據進行掃描，過濾掉非法數據，從而禁止非授權用戶訪問數據，但是卻允許合法用戶透明地訪問網絡資源。當前防火墻的主要類型有：監測型，代理型，網絡地址轉化NAT，包過濾型等，應用好防火墻并對防火墻進行正確的設置將對局域網網絡的安全起著十分重要的作用。目前多數路由器，交換機等都內嵌數據包過濾功能，管理員可在其中設置訪問列表來實現包過濾功能。在INTERNET網關處安裝一個含有數據包過濾功能的路由器，即可實現數據包過濾防火墻。這種應用模式不必使用專業的防火墻產品。具備成本低，速度快，實現方便等特點。但容易出現配置不當錯誤，也無法處理應用層發起的攻擊，數據包過濾防火墻的安全防御能力較差。難以實現復雜的安全策略。實用中還有必要在桌面系統中配備防病毒軟件。在各種類型的局域網中，服務器是最容易受到攻擊的，為了保證服務器的安全，需要在服務器與路由器之間設置防火墻，并設置合理的安全策略，有效防范來自公隗的攻擊。[4]

（二）用交換機解決局域網攻擊問題。

要解決局域網的安全問題，交換機就不能再純粹完成轉發工作了事，還需要判斷數封堵一些常見病毒所使用的端口，以及進行端口速率限制。如果這些功能轉移到交換機上，就可以防止這些病毒端口發送的數據包到達路由器，從而減輕路由器的負擔，保證局域網其他用戶的正常上網。而為了能夠識別各種惡意數據流量，交換機上就必須使用一款智能芯片，使其具有以下特點：

（1）支持基于IP，MAC應用的訪問控制列表功能（ACL）；

（2）支持常見病毒端口過濾功能；

（3）支持基于端口，IP，MAC，應用的速率限制；

（4）支持基于端口，IP，MAC，802.1P和應用的優先級控制（QOS）；

（5）支持基于MAC+IP+VLAN+端口的綁定；

（6）支持ARP攻擊和DDOS攻擊事件記錄日志。

（三）系統補丁程序的安裝

及時地安裝補丁程序也是很好的維護網絡安全方法。有很多病毒就是應用了系統的漏洞，對計算機達到破壞作用。黑客也能通過系統漏洞侵入對方計算機，對其計算機進行破壞。例如尼姆達病毒正是利用了WINDOWS的一系列網絡安全漏洞進行傳播，它的破壞力也是有目共睹的。IS6.0版服務器不容易感染上尼姆達病毒。同尼姆達病毒同樣臭名昭著的紅色代碼也是如此，可以打上微軟的Q300972補丁，或者可以給整個操作系統打上最新的WINDOWS2000 ADVA NCE SP3補丁，但請注意有些數據庫并不支持最新的SP3，我們只能下載單獨補丁補上安全漏洞。另外，補丁的安裝應該在所有應用程序安裝完之后，因為補丁程序往往要替換或修改某些系統文件，如果先安裝補丁餌安裝應用程序有可能導致補丁不能起到就有的效果。

五、結束語

對于大中型企業網絡來說，關于局域網內部的管理一直是一個非常復雜的問題，一個用戶哪怕只是不小心點擊一個惡意網站的鏈接，就會在幾秒鐘之內感染病毒，然后立刻影響到整個局域網的安全和穩定，加上現在惡意網站非常泛濫，病毒傳播手段花樣疊出，局域網安全必須受到廣大網絡管理人員的重視。因此，認清局域網的脆弱和潛在的威脅，采取強有力的安全策略，對于保障網絡的安全性將變得十分重要。

參考文獻

[1]方美琪 王寧 《全國計算機等級考試一級教程》2004，53

[2]鐘平。校園網安全防范技術研究[DB]CNKI系列數據庫，2007

[3]王秀和，楊明。計算機網絡安全技術淺析[J]中國教育技術設備，2007(5)

[4]李輝。計算機網絡安全與對策[J]濰坊學院學報，2007(3)