浅述局域网内部网络安全问题.docVIP

浅述局域网内部网络安全问题 　　摘要：随着计算机网络技术的飞进发展，越来越多的公司会选择组建自己的局网络，已实现办公无纸化，提高办公效率。局域网的内网安全性就成为影响公司正常运营的一个关键因素。该文从计算机网络安全出发，介绍如何利用网络安全枝术解决公司内网安全问题的方法。 　　关键词：内部网络；ARP攻击；访问控制 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）03-0032-02 　　1 概述 　　对中小企业而言，通常会组建内部网络以实现OA办公自动化、对外宣传的网站服务、仓储管理、人事管理和客户关系管理等方面的信息化管理，这些信息化管理系统都是基于WEB的应用系统，所有数据都存储在数据库系统服务器中。而大型企业一般已经迈过基础设施建设阶段，进入深化应用的新时期。无论是中小企业还是大型企业对IT应用服务的需求会逐步细化与提升，信息安全和风险管理与控制将成为当前企业信息化应用中所面临的首要挑战。内网的安全风险将直接引发企业核心系统的瘫痪、重要信息外泄等重大安全事故。比如，大部分公司内网用户具有多样性，由于用户计算机安全意识的参差不齐，内部网络很容易被病毒或入侵者侵袭；内部工作人员从网络和计算机查询有关信息资料（如个人资料档案、涉密信息等）导致泄密现象发生；部分涉密部门业务数据会被不该访问的人访问到；由于公司有无线网络和很多移动设备，存在外来人员乱接入公司网络的风险，等等。以上情况的发生，不可避免会对公司的正常运营产生影响甚至严重危害，因此，保证公司内网安全至关重要。 　　2 内网安全问题的实例解决方案 　　2.1 内网安全技术简述 　　为了进一步提高公司内网的安全性，可以采用多种网络安全技术和协议，如防火墙技术、数据加密技术、数字证书、数字签名等。这些技术和协议各自有一定的使用范围，结合使用可以给公司内网提供不同程度的安全保障。例如，防火墙技术是一种被动的防卫技术，加密技术则属于一种主动安全措施，二者结合可以为内网提供更好的保护。数字证书又称数字标识，是互联网通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证个人身份的方式，是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。而数字签名是一种类似于传统的手写签名或印章的电子标记，随着计算机网络的发展，电子商务、电子政务、电子金融等系统得到广泛应用。使用数字签名能够解决通信双方由于否认、伪造、冒充和篡改等引起的争端。图1给出了数字签名工作过程。 　　 　　图1 数字签名工作过程图 　　2.2 如何防范ARP攻击 　　ARP，全称Address Resolution Protocol，中文名为地址解析协议，它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。ARP病毒造成网络瘫痪的原因可以分为对路由器ARP表的欺骗，和对内网PC的网关欺骗两种。第一种必须先截获网关数据。它使路由器就收到一系列错误的内网MAC地址，并按照一定的频率不断更新学习进行，使真实的地址信息无法通过更新保存在路由器中，造成的PC主机无法正常收到回应信息。第二种是通过交换机的MAC地址学习机制，当局域网内某台主机已经感染ARP欺骗的木马程序，就会欺骗局域网内所有主机和路由器，让所有上网的流量都必须经过病毒主机。 　　目前对于ARP攻击防护问题出现最多是绑定IP和MAC和使用ARP防护软件，也出现了具有ARP防护功能的交换路由设备，可以使用具有ARP防护功能的交换路由设备做ARP防护。解决方案如下： 　　步骤一：为交换机配置IP地址 　　为实现与汇聚层和核心层之家的路由以及远程管理的需要，对接入层交换路由器配置ip地址，根据ip地址的规划，配置相应的ip地址：/24。配置命令如下： 　　Switch（config）#interface vlan 1 　　Switch（Config-if-Vlan1）#ip address 255. 255.255.0 　　Switch（Config-if-Vlan1）#exit 　　相同的命令，根据IP地址规划，为其他接入层交换设备配置管理IP。 　　步骤二： 实现远程管理安全 　　为实现远程管理，可以启用telnet服务、也可以启用http服务、也可以启用ssh服务，出于安全考虑，telnet服务使用明文传输，http服务容易受攻击，安全性都不高，shh服务采用加密的方式实现安全连接，因此采用shh来远程管理接入层。配置命令如下： 　　Switch（config）#ssh-server enable 　　Switch（config）#ssh-user admin password