局域网的网络安全防范与技术 - 江苏省高校图情工委.pptVIP

防范黑客的措施 进行动态站点监控 利用网络管理软件对整个局域网进行监控，发现问题及时防范 扫描、攻击自己的站点 网络上有许多扫描软件（例如satan），适用于各种平台，它们是把双刃剑 在网络管理员手里可以成为简化安审计工作的利器，在cracker手里却可成为网络攻击工具 请第三方评估机构或专家来完成安全评估 一般能较系统地检查局域网的各项安全指标,但花费较贵 防范黑客的措施 谨慎利用共享软件 不应随意下载使用共享软件，有些程序员为了调测软件的方便都设有后门，这往往成为最好的攻击后门 做好数据的备份工作 这是非常关键的一个步骤,有了完整的数据备份,我们在遭到攻击或系统出现故障时才可能迅速恢复我们的系统 防范黑客的措施 使用防火墙 防火墙是防止从网络外部访问本地网络的所有设备，它们防止外部攻击提供了重要的安全保障 但防火墙只是所有安全体系结构中的一个部件，故不能完全依耐防火墙 防火墙分为网络级防火墙和应用网关防火墙 防范黑客的措施 网络级防火墙 一般是具有很强报文过滤能力的路由器 可以改变参数来允许或拒绝外部环境对站点的访问 但对欺骗性攻击的防护很脆弱 应用代理防火墙（应用网关） 优势是它们能阻止IP报文无限制地进入网络 缺点是它们的开销比较大且影响内部网络的工作 代理必须为一个网络应用进行配置，包括HTTP、FTP、TELNET、电子邮件、新闻组等 一个有趣的技巧防范局域网攻击 几乎大部分局域网的攻击是基于一个叫WinPcap的网络底层程序 这个程序除了监控网络以外几乎没什么作用，所以只要禁止安装winpcap就可以瓦解局域网的攻击 winpcap安装后会在系统里面生成许多文件，包括system32里面的packet.dll 在system32下建立一个名为packet.dll文件夹，就可以有效的迫使wincpcap无法安装 不安装winpcap将会使得许多基于winpcap的网络监控软件无法运行 对电脑硬盘进行加密保护 可以降低信息被非授权者利用的风险 采用业界公认的加密算法（例如AES 256位长度密钥），对硬盘进行高强度保护 目前的这种保护强度，不会被攻破 在没有经过授权的情况下，硬盘会处于加密保护状态，即使将其连接到其他系统中也无法读取或存储硬盘数据，唯一处理的方式就是将硬盘格式化 采用加密技术硬盘上的所有数据被保护起来，大大降低了机密数据泄露的风险 组策略设置 cmd gpedit.msc 打开服务器系统的组策略编辑窗口 设置组策略 关闭自动播放 不要运行指定的Windows应用程序 …… 组策略设置 组策略设置 内容回顾 局域网环境简介 局域网的安全威胁 局域网监听与防范 局域网ARP攻击与防范 局域网病毒入侵与防范 快速关闭端口防止入侵 局域网共享资源安全防范 无线局域网嗅探与防范 局域网上网的安全防范与技巧 友情提醒 没有一个切实可行、一劳永逸的方法 多注意、勤检查 多依赖; 欢迎继续交流 Thank you! A Wireless LAN系统可以让用户随时随地接入到网络中来。这样可以实现一些有线网络用户不能得到的移动优势。 B 安装一个无线网络系统非常快速，可以节省大量的综合布线的时间。 C 无线技术可以应用在很多有线网络不能铺设的地方。 D 无线网络的初期硬件投入可能会比有线网络的初期硬件投入大，但是从整个的安装投入和重新规划建设的角度来看，它又较之更为便宜。对于经常变动的环境来讲，无线网络长期使用的投入优势还是比较大的。 E Wireless LAN系统可以根据用户特殊的应用和安装需求来配制成不同的网络拓扑结构。用户可以很方便地配制成适合小型网络使用的点到点网络，也可以配制成适合很多用户使用的支持漫游的大型网络。 目前流行的有线网络工作在100Mbps，这是Wireless LAN（10Mbps）速率的10倍。一个更加快速的有线网络标准（1000Mbps）比Wireless LAN（10Mbps）快100倍，而且将会更加流行。 无线网络的硬件投入会高于有线网络，无限网络需要接入点AP和无线网卡，它们的价格一般要高于hub或普通交换机加CAT 5网线的价格。 * 事实上，Internet上许多免费的黑客工具，如SATAN、ISS、NETCAT等等，都把以太网侦听作为其最基本的手段。 * 有人认为局域网有防火墙，单机上就不需要再安装防火墙，这可以说是一个自欺欺人的想法。其实多数的网络攻击，蠕虫攻击都是来自局域网的内部。究其根本原因，由于蠕虫病毒大都具备自我复制的特征，它们不会限于仅在网络中的一台计算机上发作，“中招”的计算机往往会连累到局域网中其他用户。而且这类在局域网中扩散的病毒，其顽固程度也远非单机病毒可比，经常会发生职员甲把自己机器上的病毒杀干净后，又会由于职员乙尚未杀毒而再