局域網的安全管理技術分析

劉曉燕

摘要文章通過對校園局域網絡日常工作中所涉及的安全管理問題進行分析，結合我校在實際工作中所應用的實際安防防護措施，總結歸納了一些系統的解決辦法，即從網絡規劃，防病毒體系，提高局域網用戶的安全防護意識三方面來實現。

關鍵詞校園網；VLAN；補丁管理器；防火墻；防病毒軟件

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）12-0096-02

隨著計算機、信息網絡技術的革新，網絡的應用已經成為現代化社會不可分割的重要部分。任何事物都是雙面的，網絡應用在給我們帶來便捷的同時也出現了許多的問題，由于局域網與互聯網相連，局域網用戶頻繁使用互聯網，且普通用戶的安全意識及行為欠規范，造成局域網出現病毒傳播，黑客網絡攻擊等事件發生，給局域網的數據安全、網絡安全帶來了很大的威脅，本人結合自己對北京開放大學延慶分校局域網管理的實際情況，歸納了一些網絡安全管理工作經驗，供大家參鑒。

1局域網規劃

1.1 主干網的選擇

當前，主干網技術主要有FDDI、FAST ETHERNET、GIGABIT ETHERNET和ATM幾種。可以發現FDDI在我校不太適用，而ATM雖然技術顯見，但目前標準還未完全形成，根據我校網絡的需求原則，我們選擇了千兆位以太網作為主干網，并且易向ATM過渡。千兆位以太網采用CSMA/CD協議，幀格式。傳輸介質可以是光纖，也可以是雙絞線。

1.2 網絡分段

校園網內部根據不同的需求對整個網絡進行必要分段，將校園網分為辦公段、機房段和教室段，由于各網段間不能直接互訪，從而增強各子網的安全性能。

網絡分段可分為物理分段和邏輯分段。

物理分段指的是在網絡的最底層將物理層和數據鏈路層，暨ISO/OSI網絡體系中的第一層和第二層分為幾個網段，各個網段間無法直接進行通訊。

邏輯分段則指的是在ISO/OSI體系中的第三層，暨網絡層上進行分段。例如在TCP/IP網絡中，我們實際上把網絡分成了若干個子網，各子網因網絡掩碼不同，不能直接通訊，只能通過路由器、三層交換機、網關、VPN、防火墻等隔離設備進行連接，利用這些軟、硬件設備來控制各子網間的網絡訪問。在我們的實際工作中，通常采用物理與邏輯分段進行結合的方式來對網絡的安全性進行控制。

目前，邏輯分段中的VLAN（Virtual local area net）即虛擬網絡技術已經成熟，能使對局域網絡的內部子網劃分更加方便。VLAN的出現可以實現處于不同樓層、甚至是不同建筑里用戶加入到同一個邏輯子網中，共享一個廣播域。通過對VLAN的創建，可以控制廣播風暴的產生，從而提高交換式網絡的整體性能和安全性。

對于VLAN的劃分，目前有四種策略：1）基于端口的VLAN：該方法只需要對網絡設備的交換端口進行重新分配組合在不同的邏輯網段中即可；2）基于MAC地址的VLAN：MAC地址即網卡的標志符，每塊網卡的MAC地址都是唯一的，該方法僅適用于小型網絡，當網絡規模擴大，使用者增多時，會加大管理的難度；3）基于路由的VLAN：路由協議工作在七層協議的第三層，即網絡層，該方式允許VLAN跨越多個交換機，也允許一個端口位于多個VLAN中；4）基于策略的VLAN：該方式主要取決于VLAN的規劃策略。目前對于VLAN的劃分主要是采用1，3兩種方式。

根據實際需求，我們采用基于IP地址綁定的VLAN策略將辦公區域、機房區域和教室區域劃分成相應的子網，即提高了部門內的子網訪問速度，又有效的將部門內子網與網絡中其他用戶進行隔離，使整個網絡更高效，可靠運行。

2防病毒體系

2.1 防火墻技術

防火墻分為軟件防火墻及硬件防火墻。針對于局域網絡的系統安全，這里講的防火墻指的是硬件防火墻，是一種用來阻止內外網絡間進行非法訪問的一種重要設備。硬件防火墻的設置不是為了保護局域網內的某一臺計算機或服務器，而是對內部一個或多個子網進行防護，盡可能的屏蔽互聯網上對內部網段任意地址進行的非法鏈接。一般來說防火墻默認的設置是全部拒絕內外訪問，只有配置了內外認可安全的地址才能進行鏈接訪問，它既是局域網與互聯網間訪問的橋梁也是信息安全通道上堅實的壁壘，通過設置各種安全策略來防止不可預料的潛在威脅與入侵破壞。

從邏輯上講，防火墻就是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動，保證了內部網絡的安全。

2.2 基于網絡的入侵檢測技術

為了保障局域網絡安全，建立一套安全防護體系，進行多手段、全方位的檢測與防護也是非常重要的。區別于硬件防火墻等靜態防御設備，入侵檢測裝置具有動態檢測、實時性、主動防御等特點，能夠在局域網內部實施監測網絡中出現的非法入侵行為，并及時進行報警，有效的彌補了防火墻設備的不足。

入侵檢測設備具有的主要功能：

1）通過檢測識別已知的違反攻擊行為，懲罰網絡犯罪，防止網絡非法入侵事件的發生。

2）操作系統日志管理，識別違反安全策略的攻擊或安全違規行為。

3）檢查并分析黑客在實施網絡攻擊前的探測行為，預先給管理員發出警報。

4）評估系統關鍵資源和系統文件的數據完整性。

5）幫助管理員檢測系統配置及漏洞，利于其進行修補。

2.3 補丁管理器

目前，多數病毒都是利用微軟操作系統的漏洞來對計算機進行攻擊，而且造成的后果非常嚴重，諸如去沖擊波（Worm. Blaster）病毒利用的是系統的RPC DCOM漏洞，病毒攻擊系統時會使RPC服務崩潰，該服務是Windows操作系統使用的一種遠程過程調用協議；震蕩波（Worm.Sasser）病毒利用的是系統的LSASS服務，該服務是操作系統使用的本地安全認證子系統服務，均導致了眾多計算機系統崩潰，嚴重影響到用戶資料的安全性和完好性。而實際上微軟公司在此事件發生之前即已經針對相應的漏洞發布了補丁，但由于多數用戶不能及時更新操作系統，因而沒能在這次病毒風暴中幸免，由此可以看出，及時升級操作系統，為操作系統安裝系統補丁，其實就系統自身而言，將大大增強其抗擊病毒的免疫力。

雖然微軟操作系統自身帶有自動更新功能，可以搜索最新更新并安裝，但由于我校教職工大多數非計算機專業，沒有經常下載補丁的習慣，因此多數用戶的系統安全仍然得不到保障，對此我們采用了相應的補丁管理器，時時搜索并下載最新的系統補丁，發布命令，使局域網內所有用戶計算機系統自動進行更新，確保局域網內所有用戶的操作系統工作在最安全可靠的狀態下。

2.4 企業級網絡版防病毒軟件

隨著數字技術及Internet技術的日益發展，病毒技術也在不斷發展提高。它們的傳播途徑越來越廣，傳播速度越來越快，造成的危害越來越大，幾乎到了令人防不勝防的地步。因此學校在建立了一個完整的網絡平臺之后，為確保整個校園網的業務數據不受到病毒的破壞，日常工作不受病毒的侵擾，選擇一款性能卓越的網絡版防病毒軟件也是防病毒體系中至關重要的元素。總之，病毒查殺是否徹底，查殺速度是否快速，操作界面是否便捷，能否實現遠程集中管理以及能否及時提供病毒庫和掃描引擎的升級，是決定一個好的網絡版防病毒軟件的關鍵。

目前比較推崇的防病毒產品諾頓，趨勢均來自國外，價格不菲，而瑞星殺毒軟件作為國產知名品牌，其性能也得到了廣大用戶的肯定，我校考慮到售后服務問題，以及以前對瑞星防病毒產品的實際使用情況，采用了瑞星網絡版防病毒產品，目前一切運行良好。

endprint

2.5 加強服務器主機的獨立性

局域網中，最需要受到保護的就應該數運行各套重要系統的應用服務器，通常這些應用服務器都是局域網絡的核心終端，一般會提供所有網絡用戶節點的連接功能，并與用戶有較大的數據交換，控制了服務器則較容易控制網絡中的各個用戶。因此，各臺應用服務器會成為黑客攻擊的主要目標。如果要加強局域網內部網絡安全控制，應盡快能的減少與服務器相連接的節點，必要時保持其獨立運行，并定期對重要資料進行異地備份，這樣可保證資料的安全性、完整性。

3終端用戶安全防護

經過我校日常的網絡風險統計與分析發現，校園內出現的危害網絡安全事件大部分是由網絡用戶的不當行為引起的。使用者的安全防護意識較差，安全知識缺乏，用戶隨意點擊風險鏈接、廣告圖片，安裝彈窗插件，下載不明程序等行為造成計算機感染網絡病毒，安裝木馬，并通過U盤及局域網內部數據交互植入到其他計算機中，對整個局域網安全造成嚴重威脅。因此校園局域網內用戶加強自身的網絡安全防護知識，有絕對的必要。這個問題，我覺得可以從以下幾個方面實現。

1）不要隨意對客戶端防病毒軟件進行更改和刪除，保證其正常運行。

2）在使用軟盤、光盤、U盤、移動硬盤等存儲設備時，應先進行查殺毒。

3）瀏覽互聯網時不要輕易打開來歷不明的EMAIL（電子郵件），不要瀏覽黃色網站及廣告。

黑客通常利用電子郵件進行入侵。入侵方式是首先向用戶發送攜帶木馬程序的電子郵件，接收者在不明情況下隨便打開了郵件，木馬程序就在打開郵件的同時激活了，悄悄的裝入了計算機中，像控制主機不斷的傳送數據，從而達到竊取重要資料的目的。除此之外，也有的木馬程序是綁定到了網絡地址鏈接中，當用戶在點擊HTML鏈接的同時也就安裝了黑客所設置的木馬程序。

4）不要將計算機隨便借給陌生人使用。如果使用者在你的計算機上安裝木馬程序一般的用戶是不會輕易察覺的，當用戶自己再次將電腦連入互聯網時很有可能會被黑客所監視控制，輕則使計算機系統死機、崩潰，重者泄露隱私、密碼等重要信息。

5）重要文件最好存放在系統盤以外的分區。對于計算機而言，最重要的應該是硬盤中存儲的數據。用戶數據不要與系統共用一個分區，萬一系統感染病毒，對計算機進行重裝時也能避免數據丟失。

參考文獻

[1]劉瑞星.計算機網絡技術及應用[M].機械工業出版社，2004.

[2]曲景東，錢昆.局域網建設DIY[M].清華大學出版社，2001.

[3]Andrew S. Tanenbaum/著.計算機網絡（第三版）[M].熊桂喜，王小虎譯.清華大學出版社，1998.

[4]曹元大.入侵檢測技術[M].人民郵電出版社，2007.

endprint