浅谈局域网的安全管理与保障.docVIP

浅谈局域网的安全管理与保障 　　摘要：随着网络的普及与应用，局域网被普遍的应用在我们的日常工作中，该文对局域网安全问题进行了探讨，并介绍了局域网中的安全防护措施。 　　关键词：局域网；安全防护 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)29-7110-03 　　1 局域网安全概述 　　局域网是由特定类型的传输媒体（如电缆、光缆和无线媒体）和网络适配器（亦称为网卡）互连在一起的计算机网络系统。它被普遍的应用在我们的日常工作中。如何能够抵御来自各个方面的安全威胁。如何能够有效的维护网络的正常运行。这是一个不断变化的安全话题。 　　网络安全包含5大目标或者特征： 　　1) 机密性，对使用者进行授权，未经授权不得使用或无法使用就叫保密性，保密性建立在授权的基础上，授权说白了就是身份确认； 　　2) 完整性，保证数据无法被篡改、伪造，实际生活中我们常用签名和身份确认的方式保证信函的真实性，网络世界中也采用类似的数字签名实现完整性，而且完整性也是基于身份确认的； 　　3) 可用性，在合适的时机能够对服务请求进行响应，如网络、服务器在规定时间都保持可访问状态； 　　4) 可控性，能够控制信息的发送或接收，这取决于对信息的甄别，如发现危害信息能够立即采取措施禁止继续传播； 　　5) 可审查性，对网络行为进行记录，便于网络安全措施的改进，同时为网络故障定位提供线索。 　　围绕这5大目标，如何进行实现，这就是网络安全的4个层次： 　　1) 物理安全，即保证网络环境如机房、线路、办公网络设备被物理上损坏，比如线路被剪断或窃听，机房无权限控制，闲杂人等都可以随意进出，又如面对自然灾害，如何保证网络服务不中断，重要数据不丢失等。物理安全的文章主要在管理条例上，严格的管理和松散的管理对物理安全的作用是天壤之别，同时一旦网络出现物理安全故障，其损失无疑是巨大的。 　　2) 安全控制，对网络使用人员的控制，如通过用户名和口令核实身份，对不同身份用户开通不同的网络权限，同时对网络行为进行审计，安全控制不止是用于人员，还包括对网络设备身份的确认，如一些开放协议OSPF，就可以使用鉴权的手段避免和错误的设备建立连接，避免路由信息外泄。 　　3) 安全服务，对网络行为的安全保证，即实现信息的机密性、完整性和可用性。 　　4) 安全机制，安全服务的实现措施称为机制，如为了实现信息的机密性开发数字加密算法，为了实现信息完整性开发数字签名算法，为了提高服务可用性开发防火墙、IDS、IPS、UTM等。 　　上面提的网络安全都是一些名词，并没有提到如何安全，因为任何安全都分绝对安全和相对安全，一般而言绝对意义上的安全是无法实现的，比如面对自然灾害，我们的网络往往就会中断。在实际安全实施过程中考虑的是安全投资和安全程度的平衡，也就是相对安全，安全程度越高，需要的投资越高，对管理要求也越高。 　　2 局域网中的安全防护措施 　　如何在局域网中保护自我，不仅仅是管理员也是每个用户要掌握的技术。 　　2.1 防止入侵扫描 　　几乎所有的入侵都是从扫描开始的，攻击者首先判断目标主机是否存在，进而探测其开放的端口和存在的漏洞，然后根据扫描结果采取相应的攻击手段实施攻击。因此，防扫描是安全防护的第一步。防扫描做得好，就会让恶意攻击失去了目标。 　　攻击者采用的扫描手段是很多的，可以使用Ping、网络邻居、SuperScan、NMAP、NC、S扫描器等工具对目标计算机进行扫描。要针对这些扫描进行防范，首先要禁止ICMP的回应，当对方进行扫描的时候，由于无法得到ICMP的回应，扫描器会误认为主机不存在，从而达到保护自己的目的。另外，利用蜜罐技术进行扫描欺骗也是不错的方法。 　　2.1.1 防范措施 　　1) 关闭端口 　　关闭闲置和有潜在危险的端口。这个方法比较被动，它的本质是将除了用户需要用到的正常计算机端口之外的其他端口都关闭掉。因为就黑客而言，所有的端口都可能成为攻击的目标。可以说，计算机的所有对外通讯的端口都存在潜在的危险，而一些系统必要的通讯端口，如访问网页需要的HTTP(80端口);QQ(4000端口)等不能被关闭。 　　2) 屏蔽端口 　　检查各端口，有端口扫描的症状时，立即屏蔽该端口。这种预防端口扫描的方式通过用户自己手工是不可能完成的，或者说完成起来相当困难，需要借助软件。这些软件就是我们常用的网络防火墙。 　　2.1.2 防范工具 　　1) 系统防火墙 　　现在很多的防火墙都有禁止ICMP的设置，而Windows XP SP2自带的防火墙也包括该功能。启用这项功能的设置非常简单：执行“控制面板”→“Windows防火墙”，点击“高级”选项卡，选择系统中已经建立的Internet