局域網(wǎng)安全管理及優(yōu)化

孟英杰，曲晶晶

（山東絲綢紡織職業(yè)學(xué)院，山東 淄博 255300）

互聯(lián)網(wǎng)絡(luò)體系中，遍布于各類公司、企業(yè)的局域網(wǎng)成為社會生產(chǎn)生活的重要組成部分。隨著信息化的不斷擴(kuò)展，各類網(wǎng)絡(luò)版應(yīng)用軟件推廣應(yīng)用，計(jì)算機(jī)網(wǎng)絡(luò)在提高數(shù)據(jù)傳輸效率、實(shí)現(xiàn)數(shù)據(jù)集中、數(shù)據(jù)共享等方面發(fā)揮著越來越重要的作用，網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)已逐步成為各項(xiàng)工作的重要基礎(chǔ)設(shè)施。為了確保各項(xiàng)工作的安全高效運(yùn)行，保證網(wǎng)絡(luò)信息安全以及網(wǎng)絡(luò)硬件及軟件系統(tǒng)的正常順利運(yùn)轉(zhuǎn)是基本前提，因此計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)安全建設(shè)就顯得尤為重要。

1 局域網(wǎng)安全現(xiàn)狀

廣域網(wǎng)絡(luò)已有了相對完善的安全防御體系，防火墻、漏洞掃描、防病毒、IDS等網(wǎng)關(guān)級別、網(wǎng)絡(luò)邊界方面的防御，重要的安全設(shè)施大致集中于機(jī)房或網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴(yán)密監(jiān)控下，來自網(wǎng)絡(luò)外部的安全威脅大大減小。相反，來自網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)客戶端的安全威脅缺乏必要的安全管理措施，安全威脅較大。未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備或用戶就有可能通過局域網(wǎng)的網(wǎng)絡(luò)設(shè)備自動進(jìn)入網(wǎng)絡(luò)，形成極大的安全隱患。

2 局域網(wǎng)安全問題的形成原因

局域網(wǎng)（LAN）是指在小范圍內(nèi)由服務(wù)器和多臺電腦組成的工作組互聯(lián)網(wǎng)絡(luò)。目前絕大多數(shù)的局域網(wǎng)通信使用TCP/IP協(xié)議，由于局域網(wǎng)中采用廣播方式，黑客通過對信息包的分析，廣播域傳遞的信息就會暴露在黑客面前。網(wǎng)絡(luò)的開放性和自由性產(chǎn)生私有信息和數(shù)據(jù)被破壞或侵犯的可能性。

2.1 TCP/IP的脆弱性

因特網(wǎng)的基石是TCP/IP協(xié)議，但不幸的是該協(xié)議對于網(wǎng)絡(luò)的安全性考慮得并不多，并且由于TCP/IP協(xié)議是公布于眾的，如果人們對TCP/IP很熟悉，就可以利用它的安全缺陷來實(shí)施網(wǎng)絡(luò)攻擊。

2.2 網(wǎng)絡(luò)結(jié)構(gòu)的不安全性

因特網(wǎng)是一種網(wǎng)間網(wǎng)技術(shù)。它是由無數(shù)個(gè)局域網(wǎng)所連成的一個(gè)巨大網(wǎng)絡(luò)。當(dāng)一臺主機(jī)與另一局域網(wǎng)的主機(jī)進(jìn)行通信時(shí)，它們之間互相傳送的數(shù)據(jù)流要經(jīng)過很多機(jī)器重重轉(zhuǎn)發(fā)，如果攻擊者利用一臺處于用戶的數(shù)據(jù)流傳輸路徑上的主機(jī)，他就有可能劫持用戶的數(shù)據(jù)包。

2.3 易被竊聽

由于因特網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有加密，因此人們利用一些工具就很容易對網(wǎng)上的電子郵件、口令和傳輸?shù)奈募M(jìn)行竊聽。黑客通常借用系統(tǒng)漏洞非法侵入重要信息系統(tǒng)，竊聽、獲取、攻擊侵入網(wǎng)的有關(guān)敏感性重要信息，修改和破壞信息網(wǎng)絡(luò)的正常使用狀態(tài)，造成數(shù)據(jù)丟失或系統(tǒng)癱瘓，給國家和個(gè)人造成重大政治影響和經(jīng)濟(jì)損失。

2.4 缺乏安全意識

雖然部分網(wǎng)絡(luò)中設(shè)置了許多安全保障，但人們普遍缺乏信息安全意識，從而使這些保護(hù)措施形同虛設(shè)。如人們?yōu)榱吮荛_防火墻代理服務(wù)器的額外證，進(jìn)行直接的PPP連接，從而失去了防火墻的保護(hù)。釣魚工具就是通過偽裝為一些知名機(jī)構(gòu)，發(fā)送大量欺騙性垃圾郵件引誘收信人給出隱秘信息的一種攻擊方式。冒充大型門戶網(wǎng)站來騙取用戶信任，盜取他人財(cái)產(chǎn)。同時(shí)由于用戶缺乏數(shù)據(jù)備份等數(shù)據(jù)安全方面的知識和手段，因而經(jīng)常引起信息丟失等現(xiàn)象發(fā)生。

3 局域網(wǎng)安全保障

通常有效的無線局域網(wǎng)安全技術(shù)包括：物理地址（MAC）過濾：每個(gè)無線工作站網(wǎng)卡都由唯一的物理地址標(biāo)示，該物理地址編碼方式類似于以太網(wǎng)物理地址，是48位。可在無線訪問點(diǎn)AP中手工維護(hù)一組允許訪問的MAC地址列表，實(shí)現(xiàn)物理地址過濾。

3.1 分級多重防護(hù)的網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整

局域網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)主要特點(diǎn)是混網(wǎng)，最大的優(yōu)點(diǎn)是成本低，在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)基礎(chǔ)上，盡可能地降低網(wǎng)絡(luò)結(jié)構(gòu)造成的安全風(fēng)險(xiǎn)。服務(wù)區(qū)標(biāo)識符（SSID）匹配：無線工作站必需出示正確的SSID，與無線訪問點(diǎn)AP的SSID相同，才能訪問AP；如果出示的SSID與AP的SSID不同，那么AP將拒絕他通過本服務(wù)區(qū)上網(wǎng)。因此，可以認(rèn)為 SSID是一個(gè)簡單的口令，從而提供口令認(rèn)證機(jī)制，實(shí)現(xiàn)一定的安全。非可信終端往往是病毒和蠕蟲重要的傳播途徑，對不可信終端的控制可以采取兩種措施進(jìn)行網(wǎng)絡(luò)控制：一是禁止接入網(wǎng)絡(luò)；另一種是限制對網(wǎng)絡(luò)的訪問，如分配到客戶VLAN，只允許訪問有限的資源。

3.2 服務(wù)器區(qū)進(jìn)行獨(dú)立防護(hù)，劃分安全級別

局域網(wǎng)內(nèi)計(jì)算機(jī)的數(shù)據(jù)快速、便捷的傳遞，造就了病毒感染的直接性和快速性，如果局域網(wǎng)中服務(wù)器區(qū)域不進(jìn)行獨(dú)立保護(hù)，其中一臺電腦感染病毒，并通過服務(wù)器進(jìn)行信息傳遞，就會感染服務(wù)器，這樣局域網(wǎng)中任何一臺通過服務(wù)器信息傳遞的電腦，就有可能會感染病毒。雖然在網(wǎng)絡(luò)出口有防火墻阻斷對外來攻擊，但無法抵擋來自局域網(wǎng)內(nèi)部的攻擊。按照不同的分支機(jī)構(gòu)的安全等級和網(wǎng)絡(luò)級別設(shè)定獨(dú)特的安全策略，便于網(wǎng)絡(luò)管理員進(jìn)行管理。做好安全域劃分。安全域的劃分將保護(hù)劃分等級。合理的VLAN規(guī)劃，對安全域的劃分提供有力的支撐。應(yīng)用環(huán)境安全包括操作系統(tǒng)安全、應(yīng)用程序安全、數(shù)據(jù)安全等。

3.3 構(gòu)建主機(jī)入侵防御系統(tǒng)（HIPS）

在安全局域網(wǎng) HIPS系統(tǒng)中，對需要宿主程序的和不需要宿主程序的兩類惡意軟件均可進(jìn)行防范。HIPS系統(tǒng)會在創(chuàng)建進(jìn)程前與白名單中的進(jìn)程名和進(jìn)程校驗(yàn)進(jìn)行比對，因此惡意進(jìn)程即使想要偽裝成白名單中的進(jìn)程，也會因?yàn)闊o法通過校驗(yàn)和匹配而失敗。HIPS系統(tǒng)也能夠通過白名單的擴(kuò)展信息判斷出該宿主程序違反了既定的安全行為規(guī)則，實(shí)現(xiàn)實(shí)時(shí)阻止惡意軟件訪問操作系統(tǒng)的關(guān)鍵文件和注冊表的關(guān)鍵區(qū)域，防止機(jī)密文件泄密和系統(tǒng)遭到毀滅性破壞。該安全局域網(wǎng)結(jié)構(gòu)可以對終端的文件訪問、進(jìn)程創(chuàng)建和注冊表讀寫等操作進(jìn)行監(jiān)控，并通過事先建立的安全行為規(guī)則來判斷當(dāng)前系統(tǒng)調(diào)用是否是入侵攻擊行為；該框架還可防范針對安全局域網(wǎng)特點(diǎn)的拒絕服務(wù)攻擊。實(shí)驗(yàn)結(jié)果證明，該主機(jī)入侵防御系統(tǒng)框架能夠阻止惡意軟件運(yùn)行，在合適的參數(shù)設(shè)置情況下，也能較為準(zhǔn)確的阻止利用安全局域網(wǎng)機(jī)制進(jìn)行的拒絕服務(wù)攻擊。

1 王秀和、楊明.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)淺析［J］.中國教育技術(shù)設(shè)備，2007（5）