企業局域網環境下的網絡安全技術研究

［摘 要］在網絡環境不斷發展的背景下，網絡結構呈現出復雜化的特點，網絡用戶不斷增加，給網絡維護、監管帶來諸多挑戰。在局域網環境下，受到網絡共享、開放等特性的影響，容易出現各類安全隱患。為確保網絡安全，需要采取有效的網絡安全技術，本文就此進行了相關的闡述與分析。

［關鍵詞］局域網；網絡安全；技術

doi：10.3969/j.issn.1673-0194.2024.13.044

［中圖分類號］TP393.0 ［文獻標識碼］A ［文章編號］1673-0194（2024）13-0148-04

0" " "引 言

如今，計算機技術得到廣泛應用，人們的生活和工作方式發生了翻天覆地的變化。在計算機技術應用的過程中，網絡是基本載體。局域網則是局部地區構建的區域網絡，大到連接建筑樓宇，小到聯系辦公室。局域網的傳輸速度較快，具有穩定、密閉等優勢。局域網由計算機設備、網絡連接設備和傳輸介質構成。在局域網應用的過程中，保障安全是首要任務。需要根據局域網的使用需求，結合實際情況，采取有效的網絡安全技術，防范病毒、黑客等安全隱患。

1" " "局域網環境下企業計算機網絡面臨的安全威脅與影響

在局域網環境下，計算機網絡面臨著各種安全威脅，這些威脅可能對局域網的穩定性和安全性產生嚴重影響。局域網是指連接在有限地理范圍內的計算機和設備的網絡，通常覆蓋辦公樓、學校或其他組織內部。局域網的特點包括高速數據傳輸、低延遲、較高的安全性和易于管理。局域網可以采用不同的拓撲結構，如星型、總線型、環形等。每種拓撲結構都有其優點和限制，并對局域網的安全性產生影響。局域網承載著組織內部的關鍵功能和服務，如文件共享、打印共享、內部通信等。這些功能對于組織的日常運作至關重要。

2" " "局域網環境下企業計算機網絡安全體系設計

2.1" "設計原則

在局域網環境下，為確保網絡安全，必須設計完善的網絡安全體系。在實際設計中，需要堅持立體防御、可控防御、協同防御三項原則。所謂立體防御，就是將服務器和路由器在各個網絡節點中設置，確保核心硬件設施在關鍵服務范圍、不同服務級別中分布，結合實際設置情況，構建分層、立體的防御機制。所謂可控防御，就是提升防御控制能力[1]。如果網絡遭受攻擊，則自動抵御外界干擾與破壞。如果入侵情況比較嚴重，管理人員則可以手動切入后臺，采取保護節點狀態的方式，及時恢復受攻擊內容。協同防御就是將網絡安全體系作為基礎，向用戶與平臺開放，同時對接硬件與軟件設施，確保各個系統之間相互協調，有效降低運行成本，同時提升安全體系運行效果。

2.2" "系統架構

在系統構建的過程中，需要先明確功能模塊。具體包括TCP傳輸模塊、窗口顯示模塊、加密模塊等等。各個模塊負責的內容與功能不同，可以滿足各類用戶需求。以TCP傳輸模塊為例，用于傳輸文件，滿足文件共享需求。將局域網環境作為基礎，可以從文件發送、加密解密、文件傳輸三方面著手，全面提升網絡安全性。為保障文件傳輸安全，通常在兩端實施文件加密解密措施，避免文件傳輸被攻擊、竊聽、重放等等。可以利用廣播技術，發送“Hello”消息給計算機網絡，如果沒有收到回應，則為無效用戶、虛擬用戶，可以刪除此類用戶，以此降低安全隱患[2]。在安全體系實際運作的過程中，會間隔一段時間進行身份信息搜索，了解網絡與系統內的用戶身份信息，及時進行列表更新，第一時間將已經下線用戶信息刪除。在信息交互環節中，可以采用DANC模塊加碼解碼節點數據，確保安全體系的完善性。如果傳輸多文件，則用戶接收數據文件后進行解碼，并且在本地文件夾中存儲，確保文件傳輸的安全性與多樣性需求。

2.3" "模塊設計

在模塊設計的過程中，可以圍繞DANC方案展開，針對中間節點收發信息實施安全驗證，采用雙重驗證的方式，有效防御各類網絡攻擊。在隨機還原信息的基礎上，運用向量正交性原理，對中間節點發送的信息進行驗證。針對解碼節點生成的數據包進行恢復，同時恢復節點傳輸的原始信息，達到防御竊聽、代內等網絡攻擊的效果，有效提升網絡安全性。為避免在傳輸信源節點數據包時發生異常干擾的問題，應該采用雙重認證的方式，確保安全網絡編碼方案的可靠性，使信源信息得到有效的保密處理。首先，標識偽造數據包中的變量與隨機函數，構成有限域密鑰集合，然后采用矩陣標識的方式。其次，將發送來的m條信息進行隨機化處理，然后使用光波發出，并且生成線性組合。最后，密鑰中心發揮作用，同時配合第三方協議，構建安全性較高的信道，確保信息安全傳輸。在中間節點驗證方面，接收到局域網上游節點傳輸的信息后，對標識和代碼一致的信息進行統一處理和編碼，預防代內攻擊。在編碼包中，信源信息采用L作為尾部序列號，初始值為0，最大值則為Lmax。該序列號在經過編碼包合法數據節點后會+1，同時對數據包的污染情況、偽造情況做出判斷。如果收到多條消息后，結果并不是1，則數據包已經被污染，需要丟棄處理。采用先驗證，然后編碼的方式，既可以高效利用網絡資源，也能避免污染擴大。新宿編碼首先采用高斯消元法解碼各個向量編碼包，然后利用獲取到的數據包，實施逆向解碼，最后根據數據包采取執行手段，實現新宿解碼處理的目的[3]。

3" " "局域網環境下的網絡安全技術應用

3.1" "防火墻技術

局域網應用的過程中，可以采用防火墻技術，構筑屏障隔離內網與外網，達到良好的防護效果。防火墻可以監測過濾內外信息交換情況，通過記錄日記的方式，及時隔離不安全的數據信息，確保內網數據不會遭受攻擊或被竊取。防火墻包過濾型防火墻、應用層代理型防火墻、狀態檢測型防火墻。包過濾型防火墻是基于網絡層和傳輸層的源地址、目的地址、端口號等信息進行過濾，根據預先設定的規則決定是否允許或拒絕數據包的傳輸。應用層代理型防火墻充當應用層的代理服務器，過濾和監控應用層的數據流，對數據包進行深度檢查和應用層協議解析。而狀態檢測型防火墻是跟蹤網絡連接的狀態，對連接的數據包進行檢測和過濾，針對已建立的連接進行安全性驗證和訪問控制。防火墻通過訪問控制策略，限制對局域網資源的非授權訪問。防火墻在局域網中的應用可以實現不同安全級別的網絡隔離，將局域網劃分為安全區域。通過檢測和過濾惡意流量，提供了攻擊檢測和預防的功能。它可以監控網絡流量，識別潛在的黑客攻擊、網絡入侵或其他惡意活動。

3.2" "入侵檢測技術

入侵檢測技術將防火墻技術作為基礎，是局域網的第二道防御系統。通過分析和收集關鍵節點信息，對安全日志、審計信息等進行檢測，及時發現潛在的攻擊隱患，然后迅速作出響應。該技術可以幫助管理人員了解網絡系統變化情況，使系統管理員的識別攻擊、安全響應、審計、監視等能力不斷提升，構建更加完整的安全架構。入侵檢測系統（IDS）通過監控和分析網絡流量、系統日志等來識別潛在的入侵行為和安全事件。IDS使用特定的規則、模式或行為分析算法來檢測異常活動和已知攻擊特征。IDS包括監測網絡流量，識別網絡層和傳輸層攻擊的基于網絡的IDS（NIDS）；監測主機系統上的活動，識別主機級別的攻擊和異常行為的基于主機的IDS（HIDS）；使用已知攻擊特征的數據庫進行匹配和檢測的基于簽名的IDS；通過分析行為模式和異常活動來檢測未知的攻擊的基于行為的IDS。入侵防御系統（IPS）結合了入侵檢測和防御的功能，能夠主動阻止和防范攻擊行為。IPS根據IDS檢測到的攻擊特征或異常行為，采取主動措施進行阻斷和防御。IPS能夠立即響應攻擊并采取阻斷措施，防止攻擊進一步擴散。可以檢測和攔截惡意流量，包括病毒、惡意軟件和網絡攻擊。監測和防御已知的漏洞和弱點，保護系統免受已知攻擊。IDS和IPS可以協同工作，提供更強大的安全防護能力。IDS可以提供實時的攻擊檢測數據，供IPS使用進行主動防御。IDS檢測到的攻擊特征可以觸發IPS的防御機制，立即阻斷攻擊。IDS提供的攻擊數據可以用于攻擊溯源和安全事件的分析，幫助改進IPS策略。IDS和IPS的聯動應用可以改進安全策略，提高網絡的整體安全性。入侵檢測和防御系統在局域網中的應用能夠有效地識別和阻止潛在的入侵行為。IDS通過監測網絡流量和系統活動來檢測異常和已知攻擊特征，而IPS則能夠主動阻斷攻擊并提供實時響應和防御。二者的聯動應用可以提供更全面的安全防護能力，保護局域網免受未經授權的訪問和惡意攻擊的威脅。

3.3" "虛擬網技術

局域網管理人員可以利用廣播機制切入，采用VLAN、交換器進行點對點通信。基于虛擬網技術，設置訪問控制權限，使虛擬網外的節點無法直接訪問內部節點，以此提升網絡安全性。以視聯網平臺為例，區域性的信息集群是其特點之一，不同區域之間的通信只能在有保護的平臺核心處實現。為了安全考慮，采用VLAN和交換機等手段來實現物理意義上的隔離效果。平臺設計初期會考慮信息采集的前端分配成不同的IP段，不同的子網掩碼，不同的網關。在需要不同的IP段之間通信時，必須經過平臺軟件以及核心交換機的判斷和數據VLAN才能實現，以此達到隔離效果。

4" " "加密技術及安全漏洞掃描和設備配置強化

4.1" "加密技術的應用

局域網內部通信的加密保護通過使用加密協議（如TLS/SSL）對局域網內部通信進行加密，保護數據在傳輸過程中的機密性。使用虛擬專用網絡（VPN），使用加密隧道將局域網與外部網絡連接，確保數據在公共網絡上的安全傳輸。對無線局域網（Wi-Fi）使用加密協議（如WPA2/WPA3）進行保護，防止未經授權的訪問和數據泄露。加密技術對局域網的安全非常重要，加密技術可以確保在局域網內部傳輸的敏感數據不被未經授權的人員訪問和竊取[4]。通過使用加密技術，可以檢測和防止數據在傳輸過程中被篡改，保證數據的完整性。可以用于用戶身份驗證和訪問控制，確保只有經過授權的用戶能夠訪問局域網資源。能夠防止惡意用戶竊取敏感信息、進行中間人攻擊或監聽局域網通信。加密技術的使用有助于滿足數據保護和隱私保密等法律、法規和合規要求。

4.2" "安全漏洞掃描和設備配置強化

安全漏洞掃描旨在識別局域網中存在的潛在漏洞和安全弱點，以便及時采取措施加以修復。使用專門的漏洞掃描工具對局域網內的系統和應用進行自動化掃描，識別已知漏洞和配置問題。通過模擬攻擊者的行為，測試局域網中系統和應用的安全性，并發現潛在的漏洞。設備配置強化是提高局域網安全性的關鍵措施，確保系統和設備以安全的方式進行運行。確保設備和系統采用最佳的安全配置，關閉不必要的服務和功能，限制訪問權限。采用強密碼和多因素身份驗證，防止密碼猜測和暴力破解攻擊。定期更新操作系統、應用程序和設備固件，修補已知的安全漏洞。劃分局域網為安全區域，并使用網絡設備和防火墻實施訪問控制策略。記錄設備和系統的活動日志，進行安全審計和異常檢測。定期掃描能夠及時發現局域網中的安全漏洞和配置問題，有助于及時修復。定期掃描可以防止已有的漏洞擴大和被攻擊者利用，減少安全風險。設備配置強化能夠提高局域網的整體安全性，減少攻擊面和潛在的安全漏洞。強化措施可以增強系統和設備的抵御能力，預防未知攻擊和新型威脅。

5" " "案例研究或實證分析

選擇一個具體的局域網環境下的組織或企業作為案例，描述其網絡安全實施的情況。詳細介紹該組織或企業所采取的網絡安全措施，如防火墻、IDS/IPS、加密技術等。分析和評估這些安全措施對局域網安全的影響，包括漏洞發現和修復情況、攻擊事件的減少等。安全措施的效果評估和實證分析，確定評估安全措施效果的指標，如漏洞修復時間、攻擊事件數量和嚴重性、系統可用性等。收集與評估指標相關的數據，如安全事件日志、漏洞掃描報告、修復記錄等。對數據進行分析和解釋，評估安全措施對局域網安全的實際影響，并得出結論。比較實施安全措施前后的攻擊事件數量和類型，評估安全措施對攻擊的抵御效果。對定期漏洞掃描和修復的數據進行分析，評估安全措施對漏洞修復的影響和效果。通過用戶調查和反饋，了解安全措施對用戶體驗和滿意度的影響。通過案例研究和實證分析，可以客觀評估局域網安全實施的效果，并提供實際數據支持，為進一步改進和優化安全措施提供依據。這種基于實證的分析方法有助于驗證安全措施的有效性，并為其他組織或企業在局域網安全實施方面提供借鑒和參考。

綜上所述，在計算機技術日臻完善的背景下，為確保局域網運行安全，必須采取有效的網絡安全技術。一方面，需要構建完善的網絡安全體系，明確系統架構和功能模塊；另一方面，采取多種網絡安全技術，包括防火墻技術、入侵檢測技術、虛擬網技術等。

主要參考文獻

［1］薛勁松，馮仁君.局域網環境下的網絡安全技術研究［J］.電腦與電信，2017（11）：92-94.

［2］王杰.局域網環境下的計算機網絡安全技術研究［J］.信息記錄材料，2022（4）：136-138.

［3］楊曉紅.局域網環境背景下的計算機網絡安全技術應用研究［J］.電腦知識與技術，2013（11）：2572-2574.

［4］劉磊，關宇，楊敏，等.局域網環境下安全準入認證方法的研究［C］//石油行業計算機用戶協會.石油行業計算機新技術應用論文集，2006.