談學(xué)校局域網(wǎng)的安全防護

童深

〔關(guān)鍵詞〕 局域網(wǎng)；安全防護；三層交換機；防火墻；

入侵檢測系統(tǒng)；防病毒軟件

〔中圖分類號〕 G482〔文獻標識碼〕 A

〔文章編號〕 1004—0463（2012） 10—001８—０1

局域網(wǎng)（Local Area Network）是在一個局部的地理范圍內(nèi)（如一個學(xué)校、工廠或機關(guān)內(nèi)），將各種計算機、外部設(shè)備和數(shù)據(jù)庫等互相聯(lián)接起來組成的計算機通信網(wǎng)。近年來各種網(wǎng)絡(luò)安全問題接踵而至，計算機病毒、操作系統(tǒng)漏洞、黑客攻擊等屢見不鮮，局域網(wǎng)也同樣面臨這些問題。一旦發(fā)生安全問題，可能對學(xué)校造成的損害更大。下面筆者從純技術(shù)手段探討一下局域網(wǎng)的安全防護。

一、使用三層交換機，劃分VLAN和設(shè)置訪問控制列表

目前的局域網(wǎng)基本上都采用以廣播為技術(shù)基礎(chǔ)的以太網(wǎng)，任何兩個節(jié)點之間的通信數(shù)據(jù)包，不僅為這兩個節(jié)點的網(wǎng)卡所接收，同時也為處在同一以太網(wǎng)上的任何一個節(jié)點的網(wǎng)卡所截取。因此，黑客只要接入以太網(wǎng)上的任一節(jié)點進行竊聽，就可以捕獲發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包，對其進行解包分析，從而竊取關(guān)鍵信息。這就是以太網(wǎng)存在的安全隱患。

VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的一種協(xié)議。它是通過將網(wǎng)絡(luò)劃分為虛擬網(wǎng)絡(luò)VLAN網(wǎng)段，從而強化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全，控制不必要的數(shù)據(jù)廣播。目前的VLAN技術(shù)主要有三種：基于交換機端口的VLAN、基于節(jié)點MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN。基于端口的VLAN技術(shù)比較成熟，在實際應(yīng)用中使用較多。我們可以將重要的主機系統(tǒng)集中到一個VLAN里，使這個VLAN里不允許有任何用戶節(jié)點，從而較好地保護敏感的主機資源。也可以按機構(gòu)或部門的設(shè)置來劃分VLAN，各部門內(nèi)部的所有服務(wù)器和用戶節(jié)點都在各自的VLAN內(nèi)。VLAN內(nèi)部的計算機可以互相訪問，取消了更多的訪問控制。VLAN與VLAN之間互相是不通的，如果需要訪問，可以通過三層交換機來實現(xiàn)，并根據(jù)需要設(shè)置精確的訪問控制列表，只有授權(quán)用戶才能對該VLAN進行訪問。

二、防火墻和非法外聯(lián)檢測技術(shù)

現(xiàn)在的信息系統(tǒng)都不會是一個孤立的系統(tǒng)，或多或少都會與外部網(wǎng)絡(luò)有數(shù)據(jù)交換等聯(lián)系，如果控制不好就會遭到病毒、黑客的攻擊。在局域網(wǎng)與外部網(wǎng)絡(luò)之間設(shè)置防火墻，實現(xiàn)內(nèi)外網(wǎng)的隔離與訪問控制，是保護局域網(wǎng)安全最主要、最有效也是最經(jīng)濟的措施之一。防火墻通常被用來進行網(wǎng)絡(luò)安全邊界的防護，事實證明，在內(nèi)網(wǎng)中不同安全級別的安全域之間采用防火墻進行安全防護，不但能保證各安全域之間的相對安全，同時也為網(wǎng)絡(luò)日常運行中各安全域訪問權(quán)限的調(diào)整提供了便利條件。

三、建立入侵檢測系統(tǒng)

防火墻對我們的內(nèi)部局域網(wǎng)絡(luò)起到了很好的防護作用，但防火墻有一個缺陷就是防外不防內(nèi)。目前很大一部分網(wǎng)絡(luò)安全事件都是內(nèi)部人員所為。然而入侵檢測系統(tǒng)（IDS）就很好地解決了這一問題，成為防火墻的延續(xù)。入侵檢測就是對發(fā)生在計算機系統(tǒng)或者網(wǎng)絡(luò)上的事件進行監(jiān)視，分析是否出現(xiàn)入侵的過程。入侵監(jiān)測系統(tǒng)處于防火墻之后，對網(wǎng)絡(luò)內(nèi)部的信息做到實時監(jiān)控和預(yù)警，同時做到與防火墻的聯(lián)動，給局域網(wǎng)中重要的安全域打造了一個動態(tài)的實時防護屏障。

四、使用好網(wǎng)絡(luò)防病毒軟件

在網(wǎng)絡(luò)環(huán)境下，計算機病毒有著不可估量的威脅性和破壞性，因此它的防范是網(wǎng)絡(luò)安全建設(shè)中重要的一環(huán)。防毒軟件應(yīng)該構(gòu)造全網(wǎng)統(tǒng)一的防病毒體系——主要面向MAIL 、Web服務(wù)器以及辦公網(wǎng)段的PC服務(wù)器和PC機等。主要功能為：支持對網(wǎng)絡(luò)、服務(wù)器和工作站的實時病毒監(jiān)控;提供定期在線更新病毒庫服務(wù);支持多種平臺的病毒防范;能夠識別廣泛的已知和未知病毒，包括宏病毒;支持對Internet服務(wù)器的病毒防治，能夠阻止惡意的Java或ActiveX小程序的破壞；支持對電子郵件附件的病毒防治，包括WORD、EXCEL中的宏病毒;支持對壓縮文件的病毒檢測等。

五、建立漏洞掃描系統(tǒng)和補丁分發(fā)系統(tǒng)

漏洞掃描系統(tǒng)通常是指基于漏洞數(shù)據(jù)庫，通過掃描等手段，對指定的遠程或者本地計算機系統(tǒng)的安全脆弱性以及對發(fā)現(xiàn)可利用的漏洞進行安全檢測的網(wǎng)絡(luò)防火墻軟件。網(wǎng)絡(luò)漏洞掃描系統(tǒng)是一種積極主動的安全防護技術(shù)，能夠在網(wǎng)絡(luò)系統(tǒng)受到危害之前，及時發(fā)現(xiàn)安全隱患和漏洞，并提供安全防護解決方案。它利用模擬黑客攻擊的技術(shù)手段，對不同操作系統(tǒng)下的計算機或網(wǎng)絡(luò)設(shè)備進行漏洞和隱患檢測，進而分析和指出網(wǎng)絡(luò)的安全漏洞及被測系統(tǒng)的薄弱環(huán)節(jié)，給出安全評估報告和安全建議，使網(wǎng)絡(luò)安全員能在系統(tǒng)遭到攻擊前就能采取措施，避免攻擊。同時還要建立補丁分發(fā)系統(tǒng)，當(dāng)漏洞掃描系統(tǒng)檢測出漏洞或安全隱患，就會安裝相應(yīng)的補丁進行修復(fù)。補丁分發(fā)系統(tǒng)可以對網(wǎng)內(nèi)的計算機進行在線打補丁，也可以按照不同的策略機制，定時或強制進行系統(tǒng)補丁的掃描和安裝。

編輯：張昀