局域網網絡安全的防范與管理技術

陸捷

摘要：局域網是指在特定某一區域內通過多臺計算機之間相互連接，形成的一種計算機組。保護局域網的網絡安全，能夠幫助系統持續穩定的運行。本文結合局域網存在的安全隱患進行網絡安全防范和管理技術的探討，以此來幫助局域網網絡構建更為穩定，促進計算機網絡的快速發展。

關鍵詞：局域網；網絡安全；管理技術

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2019）09-0041-02

局域網的覆蓋范圍一般是方圓幾千米之內，其具備的安裝便捷、成本節約、擴展方便等特點使其在各類辦公室內運用廣泛。局域網可以實現文件管理、應用軟件共享、打印機共享等功能，在使用過程當中，通過維護局域網網絡安全，能夠有效地保護資料安全，保證局域網網絡能夠正常穩定的運行。

1 局域網網絡存在的安全問題

1.1 局域網內服務器防護能力較弱

局域網相較于其他網絡，其信息的傳播速度較快，傳遞方式也相對簡單，如果局域網中的某一臺計算機受到了病毒的入侵，病毒會通過局域網中的信息傳播散播到所有計算機當中。雖然有一些局域網中會安裝一些殺毒軟件，但是因為軟件補丁更新不到位，或者有一些計算機沒有安裝殺毒軟件，病毒會利用防護軟件的漏洞進行網絡攻擊，從而導致局域網系統運行癱瘓，造成用戶信息泄露、竊取用戶財產等問題。

1.2 局域網網絡邊界接入存在風險

在局域網網絡邊界所存在的接入風險主要包括路由的破壞、用戶信息的竊聽、未經授權的訪問等網絡設備攻擊，以及某些病毒的傳播等。對于局域網的運行當中，主要是拒絕服務攻擊較多一些，以此造成主機死機、網絡服務暫停等。而在大量的SYN Flood、ACK Flooding、UDP Flood等攻擊后產生的大量垃圾數據包，使得被攻擊方CPU滿負荷運轉或者是內存不足，造成業務服務器的關鍵設備業務中斷或是服務質量下降。

1.3 局域網用戶的安全意識薄弱

局域網用戶在使用網絡進行數據傳輸時，有時會使用到外部存儲設備，但是用戶沒有對外部設備安全檢測的習慣，而是直接連接網絡進行使用。導致外部數據和病毒一起進入到局域網當中，通過局域網中信息的傳播，使得病毒在局域網中進行擴散，從而造成了局域網病毒入侵的情況。另外，有一些用戶在進行網站瀏覽的過程當中，不小心點擊到一些彈出的窗口或者是下載了病毒偽裝的軟件，也會導致計算機中毒，造成用戶的信息泄露，威脅到整個局域網的安全。

2 局域網網絡安全的防范技術分析

2.1 將局域網進行網絡分段

網絡分段是通過將非法的用戶與保護的網絡資源進行隔離，從而確保局域網網絡安全的一種重要手段[1]。可以通過物理分段和邏輯分段兩種方式來進行局域網的網絡分段。物理分段是將局域網中的交換機作為中心，將路由器作為局域網邊界，形成覆蓋式網絡格局，然后對三層交換機進行基本的配置，使三個網段能夠相互訪問，然后中心交換機進行網絡的訪問控制，從而實現局域網中的安全控制。如現在使用較為廣泛的DEC MultiSwitch 900的入侵檢測功能，就是根據Mac地址進行的訪問控制，以此實現各數據單位之間的物理分段。

邏輯分段是通過對服務器添加合理的管理軟件，以此來實現兩個網絡分段的通信管理。例如將局域網分成188.167.0.X和188.167.1.X兩個邏輯分段，兩個IP地址相互之間屬于不同的廣播地址，如果其中某一地址被病毒入侵，因為地址不同，所以病毒不會進行擴散，從而保護了局域網的整體網絡安全。

2.2 交換式集線器替代共享式集線器

用戶在使用局域網過程當中，網絡的接入一般不是通過中心交換機，而是通過共享式集線器進行。用戶與主機進行信息數據傳輸時，因為使用的集線器是共享式集線器，所以容易導致兩臺計算機之間的數據傳輸包（簡稱單播包Unicast Packet）被其他的用戶所竊聽[2]。此外，因為TELNET程序對于用戶的信息缺少加密處理，這樣用戶在進行數據輸入時，如用戶的證件號、密碼等重要信息，都會進行明文發送，這樣如果此時黑客入侵之局域網中，則很容易造成客戶資料的泄漏。

交換式集線器只是進行單線傳輸，Unicast Packet（單播包）在用戶與主機之間進行傳送，而其他的用戶無法竊聽到用戶數據信息，并且交換式集線器還能夠有效的控制多播包（Multicast Packet）的傳輸。使得用戶在進行數據傳輸時更加的安全，從而保證了局域網的使用安全性。

2.3 以太網通信變成點對點傳輸

通過VLAN（虛擬局域網）技術，可以很好地實現以太網通信點對點傳輸，從而防止了其他手段的網絡竊聽[3]。通常情況下，將所有中心的主機系統歸類至同一個VLAN當中，在VLAN里不允許存在任何形式的用戶節點，保護主機隱私資源。在VLAN的連接過程當中，一般由路由來完成，交換機一般可以采用DEC MultiSwitch 900，其具備支持RIP和OSPF兩種國際通用標準路由協議的優點，如果有其他的特殊需要，則可以選擇其他的路由協議（如CISCO公司的EIGRP或支持DECnet的IS-IS），從而實現VLAN之間的路由功能，能夠有效地防止黑客入侵、控制廣播，使得局域網安全系數增加，保護用戶的個人隱私。

2.4 限制局域網磁盤共享用戶

局域網在使用過程當中，面對人群數量較多，容易導致某些文件的泄漏，針對不同人群開放不同共享權限，從而避免私密信息的泄漏，維護局域網網絡安全。首先在計算機中進行共享磁盤的點選，例如選擇了磁盤D進行共享，然后點擊鼠標右鍵點選共享，選擇高級共享。進入高級共享界面繼續進行高級共享操作，在界面當中點選想要共享的文件夾，并進行共享用戶數的更改，如更改共享數為35，然后進行權限設置，點擊界面圖標左下角權限，選擇讀取或修改權限，通常情況下選擇讀取就可以，如果需要修改文件，則針對某一個人進行權限的更改，防止他人連接后更改文件。通過共享用戶的限制，可以減少信息泄露機率，保護局域網的網絡安全。

3 局域網網絡安全的管理技術

3.1 強化計算機設備管理

計算機設備是建立局域網的基礎，通過強化計算機設備能夠很有效地避免局域網在使用過程中出現安全問題。首先應當確保局域網中的每臺計算機都安裝了殺毒軟件，殺毒軟件可以選擇目前運用比較廣泛的TrendMicro公司的“閃電殺毒手”，最新的v1.53Beta版本可以有效的根除頑固病毒，阻止局域網病毒入侵。其次，應當定期對計算機網絡進行清理殺毒，個體計算機可以選擇每天進行殺毒，而對于整體局域網，可以根據使用頻率進行定期殺毒，如三天一次或五天一次，保持整個局域網的安全環境。最后對于計算機的軟件進行及時更新，填補計算機因為運行時間較長產生的系統漏洞，補丁及時進行安裝，從而保證了整個局域網在運作當中的穩定性和安全性。

3.2 完善安全網絡結構

網絡結構的安全性是局域網安全運行的基礎，為了能夠使局域網能夠更加穩定的運行，需要完善安全網絡機構。首先進行局域網業務的分析，然后明確局域網的服務人群，明確業務定位。根據受眾人群進行通信量的預估，明確安全網絡結構的構建方向。其次在網絡結構當中涉及的設備配置，應當結合實際應用情況進行相應的挑選，不能一味追求質量，卻忽略了實用價值。最后在網絡結構維護的過程當中，通過對于系統優化、路由優化等技術手段，使得整體的網絡結構安全系數得以提高，網絡結構更具備實用價值，在構建過程中結合先進技術進行網絡結構的改進，能夠有效地將網絡結構管理簡單化，但結構卻更加完善，以此全面提升局域網的安全性。

3.3 網絡系統的安全管理

對于網絡系統的安全管理可以從兩方面來進行。首先在防火墻技術方面，需要對局域網中的信息數據進行嚴格審查，確定數據沒有問題之后再進行放行，如果檢查到不安全的信息或者數據，需要對該數據進行隔離，而且同時進行局域網的檢查，確定信息來源，從而判斷數據的安全性，然后將這些數據進行集中處理，重要的數據進行修復后繼續放行，其他類數據可以進行集中刪除，從而降低局域網的安全風險，為局域網構建一個安全的內部網絡環境。

其次在入侵檢測技術方面，通過對網絡重要部分進行不斷的信息采集和分析，以此判定計算機系統是否受到了惡意攻擊。可以根據局域網的實際情況來安裝不同的網絡安全產品，達到安全防控的目的，主要有防范DDos（分布式拒絕服務攻擊）攻擊產品、VPN接入網管產品、IPS、IDS等。

3.4 加強用戶的安全意識

一般情況下，多數的病毒入侵都是由用戶的不合規操作造成，所以加強用戶的安全意識，也能很好的保護局域網的網絡安全。首先可以增加用戶的安全意識培訓，讓用戶明白信息數據安全的重要性，都能夠掌握到基本的安全知識，提升用戶的安全責任意識，從而保證用戶在數據傳輸過程有效減少信息泄露或病毒入侵等事故的發生。

其次，用戶在數據傳送之前，養成數據備份的習慣，通過將不同類型數據進行相應的備份處理，在實際傳輸過程當中，即便是發生了病毒入侵，造成主機死機或者數據丟失。備份數據能夠及時派上用場，保證了工作的正常進行，并且分類別進行數據處理，數據進行點對點傳輸，避免了其他線路的竊聽，保證了數據的安全，保證了局域網安全高效的運行。

4 結論

綜上所述，網絡時代的快速發展，也帶來了一定的安全隱患。通過實現數據點對點傳輸、完善網絡結構管理、加強用戶安全意識等手段，不僅可以提升局域網網絡安全性能，并且因為安全系數的增加，提高了整體局域網的運行效率，從而實現局域網運行的穩定性和可靠性。

參考文獻：

[1] 路正霞，董淑杰，翟慧慧，姜麗珍.電力企業局域網安全及病毒防范[J].通訊世界，2016（10）：213-214.

[2] 吳凌智.企業級局域網內的網絡管理監控及信息安全防范[J].計算機光盤軟件與應用，2014，17（7）：177-178.

[3] 劉佳.局域網安全隱患及防范策略研究[J].電腦知識與技術，2012，8（5）：1030-1031.

【通聯編輯：唐一東】