淺析加固局域網安全的屏蔽策略

周瑜 吳庭亮

摘要：隨著網絡技術的發展，網絡安全備受關注。該文針對中小企業等單位局域網絡安全防護設備欠缺，在經費、場所等受限情況下，簡要分析了存在的安全問題，并對此探討了幾種加固網絡安全的屏蔽策略，以期為此類型單位網絡管理工作者提供參考。

關鍵詞：局域網;安全;屏蔽策略

中圖分類號：TP319 文獻標識碼：A

文章編號：1009-3044（2020）10-0046-02

網絡技術發展日新月異，各種計算機應用系統十分普及，給我們的學習、工作和生活帶來了諸多便利，同時伴隨著病毒、黑客、網絡陷阱等網絡安全問題。在日常應用中，中小企業等單位經常受場所、經費、時間、設備等因素制約，不便于部署專用的安全設備，如硬件防火墻、入侵檢測、漏洞掃描等設備，一般僅部署殺毒軟件和定期修補系統漏洞，還需要立足基本的網絡設備、安全策略等來加固網絡安全，確保在簡易條件下網絡基礎平臺的順暢與安全。

1局域網中的安全問題

網絡安全是指網絡系統的硬件、軟件及其系統中數據受到保護，不因偶然或惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常運行，服務不中斷。對網絡安全防護，是解決諸如如何有效進行接入控制和如何保證數據傳輸的安全性的技術手段，一般我們都會想到防范各類病毒破壞及阻止網絡入侵，另外還有其他許多影響網絡安全的因素，如軟件漏洞、網絡接入控制等。而局域網通常存在著黑客人侵、病毒傳播、不經認證隨意接入、IP地址使用混亂等問題。

1.1非法入侵

網絡黑客通常利用計算機系統、應用程序、配置、協議等漏洞，采取掃描、欺騙、嗅探、炸彈以及植入木馬等手段，入侵計算機局域網網絡環境，繼而由此控制或破壞計算機網絡系統，修改敏感信息，盜取單位或個人密級信息，進而使單位或個人間接或直接蒙受損失。

1.2網絡病毒

網絡病毒通過計算機網絡，利用計算機操作系統的弱點進行攻擊感染、傳播，在一定程度上嚴重影響網絡運行性能，可能破壞計算機系統操作，盜取個人電腦上的銀行卡、個人賬號密碼、涉密文件數據等用戶敏感信息。不安裝殺毒軟件或未及時升級，訪問不安全存儲設備，安裝來源不明軟件等，都可能傳播病毒。

1.3網絡接入安全

當前計算機局域網的計算機接入安全問題，常常表現為計算機名相重、IP地址沖突、錯誤的網關出口、登錄系統的賬號密碼被盜用、隨意變更接入點而規避檢查等。

2加固局域網安全的屏蔽策略

2.1屏蔽Cookies記憶

Cookie是一種Web瀏覽器存儲在用戶機器上的一小段文本，是Web應用程序維護應用程序狀態的方法，它們被網站用于身份驗證、存儲網站信息/首選項、其他瀏覽信息以及在訪問Web服務器時可以幫助Web瀏覽器的任何其他內容。也就是常常會記憶用戶的訪問記錄、輸入的表單信息等，日后再次訪問同一頁面時，網站就能通過Cookies功能快速調用以前的內容。這對一些安全要求較高的情況，容易出賣用戶的上網隱私數據。為了保護上網訪問安全，最好屏蔽Cookies的記憶功能。首先是及時清除cookies記錄，在Internet屬性中，在“常規”標簽頁面，勾選“退出時刪除瀏覽歷史記錄”，確定即可。其次是阻止所有Cookies信息，在Internet屬性中，地址“隱私”標簽頁面，將“選擇Internet區域設置”滑塊移動到最高位置級別，確定即可，該級別阻止來自所有網站的所有Cookie，而且所有站點也不能調用本地已有的Cookies信息，那么Cookies功能就不會被惡意利用。

2.2屏蔽地址解析攻擊

地址解析協議病毒攻擊是局域網中最常見的一種方式。當局域網內的計算機遭到ARP攻擊時，它就會持續地向局域網內所有的計算機及網絡設備發送大量的ARP欺騙數據包，如果不及時處理，便會造成網絡通道阻塞、網絡設備承載過重、網絡通信質量不佳等情況。ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，這也決定了數據的傳輸路徑，以確保通信的順利進行，其所有操作都是在內核中自動完成的，同其他應用程序沒有任何關系，僅適用于本網段，它是IPv4中網絡層必不可少的協議（在IPv6中不再適用），但也容易被攻擊者利用，實施ARP欺騙和攻擊。對此，比較可靠的解決方式是：首先是劃分安全區域。劃分合理的多個VLAN子網，在局域網中隔離廣播，縮小感染范圍。其次是實施ARP雙向綁定。在計算機終端上進行IP+MAC綁定，在接人交換機上采用IP+MAC+端口綁定，并網關也實施IP和MAC綁定。

在接人交換機上，通過巧妙配置，可有效屏蔽地址解析攻擊實施的欺騙行為。也就是應用dhcp-snooping技術與交換機DAIOynamic arp inspectl配合，防止ARP傳播。方法是在交換機端口生成IP地址與MAC地址的綁定表，將其保存在地址池中。當在該端口下的上網終端向網絡中發送ARP報文時，其所包含的源IP地址與MAC地址與交換機地址池中的綁定表不一致時，地址解析攻擊就會被交換機自動屏蔽。如果是通過DHCP服務器動態分配IP地址，則應在接人層交換機上開啟DHCP snooping功能，并配置與DHCP服務器相連的端口為DHCP snooping信任端口;如果是靜態分配IP地址，則直接在交換機上配置對應的IP靜態綁定表項。對劃分了VLAN子網的，需在交換機對應VLAN上開啟ARP入侵檢測功能，并配置該交換機的上行口為ARP信任端口。對于假網關，可以在核心交換機上的上聯口，啟用ARP Guard功能，來保護局域網中的網關地址不被惡意利用。

2.3屏蔽惡意進程攻擊

進程是程序在計算機上的一次執行活動，當運行一個程序，就至少啟動了一個進程，分為系統進程和用戶進程。危害較大的病毒、木馬等同樣以“進程”形式出現在系統內部，因此，學會查看和管理進程對系統的穩定以及安全都極其重要。當遇到不熟悉的程序進程時，如何判別其是否安全，是否為惡意進程？可以借助安裝安全輔助工具來監控并處理，如SecurityProcess Explorer、冰刃IceSword、Wsyscheck等工具軟件，其中的進程管理、服務管理、安全檢查等中，都用不同顏色來標注安全性，一般全紅色的代表的是該進程或服務或許是病毒或木馬，其中有詳細的參考信息和建議處理方式，基本上按照建議的方式進行處理即可，有些則添加到進程運行屏蔽列表，確保日后不能自動運行。

2.4屏蔽非法地址申請

在劃分Vlan的基礎上，使用動態分配IP地址的局域網中，首先需要強制進行域認證。在域控制器的DHCP服務器控制臺中，導人可信任DHCP服務器主機名稱。這樣，特定域中的上網終端系統需上網時會優先向可信任DHCP服務器申請IP地址。接著集中綁定IP地址。在可信任的DHCP服務器中，對合法終端主機的IP地址和MAC地址進行集中綁定。通過網管軟件或在終端上運行“ipconfig/all”命令收集到主機的IP地址和MAC地址后，在DHCP服務器的DHCP控制臺中逐臺對終端主機的IP和MAC地址進行綁定。另外，還需應用DHCP-Snooping的隔離非法DHCP服務器功能，在接入層交換機上啟用DHCP監聽，屏蔽非信任端口的地址申請。方法同2.2屏蔽地址解析攻擊中的接人交換機配置方法。如果是靜態分配IP地址，也同樣綁定IP+MAC+交換機端口，可以限制用戶終端設備的隨意更改IP地址或更換接入端口位置而接入網絡。

3結束語

局域網的安全問題事關單位的可持續發展，做好局域網安全防護十分必要，安全防護的加固策略還有很多，需要在應用過程中不斷去挖掘。單位可以立足自身實際，長遠規劃，不斷加大投入資金，采取可靠的登錄認證方式，從技術層面不斷完善安全防護體系，從而確保局域網內的系統安全和信息數據安全。