相关热词搜索:
局域网络安全防护研究4900字
局域网络安全防护研究4900字 3. 局域网组建时的安全防护措施 3.1内部网的The Technical Measures of Protection 3.1.1 Network Segmentation。很多Local Area Network使用Broadcast为 基础的Ethernet,任意两个主机间的DATA通信包可以被同一网内所有HOST的网卡 接收到。入侵者在网内任意一台HOST都可以进行侦测,从而截获这个网内的所有 DATA通信报文,进而获取机密信息。Network Segmentation的目的在于将违法 USER与内网的RESOURCE进行隔绝,达到拒绝违法ACCESS的目标,因此Network Segmentation是确保Local Area Network SAFETY重要手段[2]。3.1.2划分VLAN(Virtual Local Area Network)。VLAN技术主要用来管理虚 拟局域网用户在交换机之间的流量。
3.1.3 IP_MAC_端口绑定。为防止局域网中的IP地址被盗用, 首先封存所有 空闲的IP ADDRESS,再使用接入层SWITCH的NETWORK CARD的捆绑功能,将NETWORK CARD ADDRESS和SWITCH的PORT绑定,接着使用SWITCH 的Access Control List 将IP ADDRESS也绑定到SWITCH,从而IP ADDRESS、网卡地址、和SWITCH PORT一 一对应。
3.1.4在SERVERS外围安装Active Defense Systems。SERCER通常有单位的核 心数据和信息,并对Local Area Network内外部提供各种信息服务,因此SERVERS 是入侵者侵扰的重点,SERVERS被Hacker攻击所造成的危害远远超过对普通HOST 的攻击。
3.2 Local Area Network外部防御的的技术方法 Local Area Network外部的威胁主要来源于没有授权的违法USER对内网的非 正常访问和DATA传输过程的安全性。为保证DATA的安全性和秘密性,外部网可以 使用下面技术措施:
3.2.1 VISUAL PROFESSIONAL NETWORK技术。虚拟专用网技术是利用公用网 络(INTERNET)建立的从外部HOST到内部网络设备的一种连接方式,它具有安全性和较高的可靠性。它借助Tunnel technology、Encryption technology、The user identity authentication technology and equipment来保障DATA的完整 和安全[3]。
3.2.2应用Firewall Technology。在NETWORK的出口(即连接INTERNET或者 Local Area Network的出口)上INSTALL FIREWALL来增强Local Area Network 的安全性。FIREWALL自身具有的Application Protocols和Filter不安全服务的 功能可以最大限度的降低来自INTERNET的攻击威胁,即FIREWALL的作用在于批准 经过审核授权的人员和DATA进入Local Area Network,另外将非权限范围内的用 户和DATA阻挡在局域网之外,这样在最大程度上防御了Hackers对Local Area Network非法入侵,避免黑客任意的MODIFY、SHIFT、DELETE。FIREWALL的主要作 用有:①拒绝对HOST的非授权服务访问;
②设置打开SYN的最大数量;
③设置特 殊IP ADDRESS的通信;
④防御DDoS攻击;
⑤限定对外服务的SERVERS向外访问。
3.2.3部署入侵检测系统IDS。IDS即Intrusion Detection System,它通常 部署在Local Area Network核心SWITCH的镜像端口上,IDS是继FIREWALL后的局 域网的第2道安全屏障,它应用相关安全策略,对网络的SOFTWARE、HARDWARE和 SYETEM进行全天候的侦测,积极预防各类具有攻击倾向的程序,从而保证局域网 内信息数据的完整和安全。
4. 管理中的安全防护措施 4.1 Access Control。Access control的作用在于防范不法人员侵入和正常 USER的错误使用行为,保证Local Area Network的Resource不被非法使用。USER 进入局域网后就由网管授予对应的使用权限, USER的访问和应用权被局限在一定的范围内进行,就可大大降低Local Area Network Resource被入侵和非正常使用的现象。一般Access Control都是使用检 测User Name And Password来进行的,因此管理好重要软硬件系统的User Name And Password非常重要。
4.2 Antivirus antivirus and system upgrade.在Local Area Network内 设立Domain Controller,使用Domain Security Strategy And Software Distribution Policy给局 域网内Computers安装杀毒Cl-ient Program等防范入侵的软件,安装Operating System Patchs的更新内容。
4.3 Backup and Restore。完善的Backup and Restore功能可使在网络遇到 攻击时,快速的Restore DATA和System Service。Local Area Network的Backup 有核心设备备份和重要数据备份两方面。核心设备通常有:Router、Switch和 Server等,一般使用"Dual machine thermal back-up",就是说当正运行的机器 发生故障时备份机器立即启动接替;
DATA备份就是对SERVER和NETWORK DEVICE 的Configuration information进行备份,数据备份有"Hot backup"and"Cold backup"两种方式[3]。
4.4 CLOSED掉不常用和缺陷多的Computer Ports。攻击者一般使用SCASNNER 对目标计算机的PORTS进行 当前局域网的Safety and Protection问题已经成为网络应用的重中之重。
文章对Local Area Network中常见安全现象进行了简要的概括分析并提出了加强 网络安全防范的技术措施。
摘 要:
局域网;
网络安全;
安全防护措施 中图分类号:TP393.01 文献标识码:A 文章编号;
1. 引言 局域网与互联网的融合,使得局域网更加复杂和多变,网络信息系统的 Vulnerability, Open and Vulnerable to attack使得Local Area Network的安 全问题变得极其严峻。
2. 局域网的安全隐患 2.1病毒、黑客带来的风险 由于多数局域网与互联网融合或用户在网络中使用外来未经检验的存储介 质,致使局域网经常遭到各种计算机病毒感染和黑客攻击。
2.2人为因素造成的风险人为因素造成的安全隐患有四个方面:(1) Local Area Network内USER的违 法ACCESS即员工借用工作机会,篡改软件或者数据甚至SYSTEM的配置和权限信息, 为入侵者提供条件。(2) Local Area Network内有时依据IP ADDRESS来建立不同 的Access Permission,这样就会产生IP ADDRESS冒用的风险,IP ADDRESS冒用 常会发生IP ADDRESS CONFLICT现象,造成网络运行缓慢甚至发生机密数据被盗 窃的恶性事件。(3)失误操作。当管理员Safety to misconfiguration导致系统 缺陷时,USER PASSWORD使用中随意将ACCOUNT信息外泄给他人均会给NETWORK SYETEM带来风险。(4)Illegal invasion: Local Area Network的USER经过没 有建立防御的通道入侵内网或SERVER,对DATA进行COPY、DELETE,阻隔内外网USER 正常使用RESOURCE。
检查,从而判定正在开放的端口是哪些、该计算机正在进行的服务内容以 及可能存在的缺陷问题,最后实施入侵。通常以下四种服务应关闭掉,(1)远 程注册SERVICE:这项SERVICE的功能可以让异网USER对LOCAL COMPUTERS的 Registry进行MODIFY;
(2)计算机浏览器SERVICE:此SERVICE可将局域网中正 运行的所有主机的信息发送给想得到的程序;
(3)索引SERVICE:该SERVICE是 一个Search Engine,它是SERVER上很多潜在风险的祸根,更是Worm virus传播 的元凶;
(4)终端SERVICE:此SERVICE应用多交流平台,使Client可VISUAL的访 问会话以及SERVER上3346 PORT,可接纳往外的IP ADDRESS。
4.5经常检查系统记录。系统的日记可以给网络工程师提供很多System监控 信息, 4.6 Encryption technology:Local Area Network内DATA通信安全问题常常 会被忽视,DATA的传输一般使用明文方式,这样的方式传输极易遭到Hackers attack,造成机密信息失窃。因此可使用Encryption machine进行加密。
4.7在Local Area Network内安装Network侦测Device。利用Network Device 经常对Local Area Network进行侦测检查,快速寻找Network的种种缺陷和入侵 隐患问题,使用技术进行有效的防范。
4.8网络安全运行规范建设。严格的运行制度是Local Area Network正常稳健运行的关键所在,也是预防网内入侵的最佳方法,主要内容有以下几个方面:
(1)应该实行严密的Safety supervision mechanism,对网络工程师和普通员工 都应进行审查。(2) 按照DATA的保密性规定对USER的使用情况进行等级分类, USER的使用情况应进行详细的备案,经常查看威胁提示信息。(3)详备安全记录。
Security strategy的Create or modify、Device或System Configraition File 的Create or modify应该进行备案。
5. 结束语 因此,在局域网管理中应当综合使用上述技术,把局域网的软件、硬件和 Security Strategy综合起来构建一个System性的防御。网络工程师对局域网潜 在Threat and Vulnerability认识到位,不断完善安全技术措施和规范,就能有 效确保Local Area Network的安全、可靠。
:
[1]费晶.信息系统的安全与保密[M].北京:清华大学出版社,2009(10). [2]王秀和、杨明.安全技术浅析[J].中国技术设备,2007(5). [3]刘伟.企业局域网安全问题与对策[J].机械制造与自动化,2009(4).
