局域網安全管理及優化

孟英杰，曲晶晶

（山東絲綢紡織職業學院，山東 淄博 255300）

互聯網絡體系中，遍布于各類公司、企業的局域網成為社會生產生活的重要組成部分。隨著信息化的不斷擴展，各類網絡版應用軟件推廣應用，計算機網絡在提高數據傳輸效率、實現數據集中、數據共享等方面發揮著越來越重要的作用，網絡與信息系統建設已逐步成為各項工作的重要基礎設施。為了確保各項工作的安全高效運行，保證網絡信息安全以及網絡硬件及軟件系統的正常順利運轉是基本前提，因此計算機網絡和系統安全建設就顯得尤為重要。

1 局域網安全現狀

廣域網絡已有了相對完善的安全防御體系，防火墻、漏洞掃描、防病毒、IDS等網關級別、網絡邊界方面的防御，重要的安全設施大致集中于機房或網絡入口處，在這些設備的嚴密監控下，來自網絡外部的安全威脅大大減小。相反，來自網絡內部的計算機客戶端的安全威脅缺乏必要的安全管理措施，安全威脅較大。未經授權的網絡設備或用戶就有可能通過局域網的網絡設備自動進入網絡，形成極大的安全隱患。

2 局域網安全問題的形成原因

局域網（LAN）是指在小范圍內由服務器和多臺電腦組成的工作組互聯網絡。目前絕大多數的局域網通信使用TCP/IP協議，由于局域網中采用廣播方式，黑客通過對信息包的分析，廣播域傳遞的信息就會暴露在黑客面前。網絡的開放性和自由性產生私有信息和數據被破壞或侵犯的可能性。

2.1 TCP/IP的脆弱性

因特網的基石是TCP/IP協議，但不幸的是該協議對于網絡的安全性考慮得并不多，并且由于TCP/IP協議是公布于眾的，如果人們對TCP/IP很熟悉，就可以利用它的安全缺陷來實施網絡攻擊。

2.2 網絡結構的不安全性

因特網是一種網間網技術。它是由無數個局域網所連成的一個巨大網絡。當一臺主機與另一局域網的主機進行通信時，它們之間互相傳送的數據流要經過很多機器重重轉發，如果攻擊者利用一臺處于用戶的數據流傳輸路徑上的主機，他就有可能劫持用戶的數據包。

2.3 易被竊聽

由于因特網上大多數數據流都沒有加密，因此人們利用一些工具就很容易對網上的電子郵件、口令和傳輸的文件進行竊聽。黑客通常借用系統漏洞非法侵入重要信息系統，竊聽、獲取、攻擊侵入網的有關敏感性重要信息，修改和破壞信息網絡的正常使用狀態，造成數據丟失或系統癱瘓，給國家和個人造成重大政治影響和經濟損失。

2.4 缺乏安全意識

雖然部分網絡中設置了許多安全保障，但人們普遍缺乏信息安全意識，從而使這些保護措施形同虛設。如人們為了避開防火墻代理服務器的額外證，進行直接的PPP連接，從而失去了防火墻的保護。釣魚工具就是通過偽裝為一些知名機構，發送大量欺騙性垃圾郵件引誘收信人給出隱秘信息的一種攻擊方式。冒充大型門戶網站來騙取用戶信任，盜取他人財產。同時由于用戶缺乏數據備份等數據安全方面的知識和手段，因而經常引起信息丟失等現象發生。

3 局域網安全保障

通常有效的無線局域網安全技術包括：物理地址（MAC）過濾：每個無線工作站網卡都由唯一的物理地址標示，該物理地址編碼方式類似于以太網物理地址，是48位。可在無線訪問點AP中手工維護一組允許訪問的MAC地址列表，實現物理地址過濾。

3.1 分級多重防護的網絡結構調整

局域網網絡結構主要特點是混網，最大的優點是成本低，在現有網絡結構基礎上，盡可能地降低網絡結構造成的安全風險。服務區標識符（SSID）匹配：無線工作站必需出示正確的SSID，與無線訪問點AP的SSID相同，才能訪問AP；如果出示的SSID與AP的SSID不同，那么AP將拒絕他通過本服務區上網。因此，可以認為 SSID是一個簡單的口令，從而提供口令認證機制，實現一定的安全。非可信終端往往是病毒和蠕蟲重要的傳播途徑，對不可信終端的控制可以采取兩種措施進行網絡控制：一是禁止接入網絡；另一種是限制對網絡的訪問，如分配到客戶VLAN，只允許訪問有限的資源。

3.2 服務器區進行獨立防護，劃分安全級別

局域網內計算機的數據快速、便捷的傳遞，造就了病毒感染的直接性和快速性，如果局域網中服務器區域不進行獨立保護，其中一臺電腦感染病毒，并通過服務器進行信息傳遞，就會感染服務器，這樣局域網中任何一臺通過服務器信息傳遞的電腦，就有可能會感染病毒。雖然在網絡出口有防火墻阻斷對外來攻擊，但無法抵擋來自局域網內部的攻擊。按照不同的分支機構的安全等級和網絡級別設定獨特的安全策略，便于網絡管理員進行管理。做好安全域劃分。安全域的劃分將保護劃分等級。合理的VLAN規劃，對安全域的劃分提供有力的支撐。應用環境安全包括操作系統安全、應用程序安全、數據安全等。

3.3 構建主機入侵防御系統（HIPS）

在安全局域網 HIPS系統中，對需要宿主程序的和不需要宿主程序的兩類惡意軟件均可進行防范。HIPS系統會在創建進程前與白名單中的進程名和進程校驗進行比對，因此惡意進程即使想要偽裝成白名單中的進程，也會因為無法通過校驗和匹配而失敗。HIPS系統也能夠通過白名單的擴展信息判斷出該宿主程序違反了既定的安全行為規則，實現實時阻止惡意軟件訪問操作系統的關鍵文件和注冊表的關鍵區域，防止機密文件泄密和系統遭到毀滅性破壞。該安全局域網結構可以對終端的文件訪問、進程創建和注冊表讀寫等操作進行監控，并通過事先建立的安全行為規則來判斷當前系統調用是否是入侵攻擊行為；該框架還可防范針對安全局域網特點的拒絕服務攻擊。實驗結果證明，該主機入侵防御系統框架能夠阻止惡意軟件運行，在合適的參數設置情況下，也能較為準確的阻止利用安全局域網機制進行的拒絕服務攻擊。

1 王秀和、楊明.計算機網絡安全技術淺析［J］.中國教育技術設備，2007（5）