局域網的安全攻防測試與分析

孟令波

（濰坊工程職業學院，山東 濰坊 261000）

1 引言

眾所周知，局域網是互聯網的重要組成部分，它的范圍通常限定于某個區域內的計算機組，可以是一個企業、一個單位，也可能是整座大廈。它的地域范圍狹窄，所采用的網絡設備有限，僅是簡單滿足單一個體來實現互聯互通的需要。對于局域網來說，擁有健康而安全的網絡環境，才能確保網內的各種軟硬件設備可靠運行，使網絡信息能安全傳遞，滿足人們對現代網絡的需求。因此，在局域網環境中，應該充分掌握其特點，深入了解網絡攻擊的要點，加強局域網的網絡防護，保證局域網的安全性和可靠性。

2 局域網的特性

局域網涉及的區域范圍十分有限，其組建、維護和擴容工作都非常容易，使用起來也非常靈活，其主要特征表現如下：

（1）局域網具有多種傳輸方式，傳統的傳輸一般在線的幫助下將網內計算機連接起來，而隨著技術的發展與進步，利用wifi技術來組建無線局域網絡，從而實現各種信息的傳播。

（2）協議是局域網控制網內各種軟硬件設施的主要手段。在局域網環境中，服務器和客戶端都預裝了NETBEUI通信協議、IPX/SPX通信協議和TCP/IP通信協議，這些協議可以自動設置局域網的各種功能，通過為網內用戶分配特定的DNS和IP地址，實現局域網的注冊和登記。

（3）在現實生活工作中，局域網的連接方式大多采用星形（在服務器之間的相互連接）、樹形（組織機構十分簡單、電腦存放相對不集中的方式）、總線形（所有用戶通過同條軸進行連接，是最普遍的網絡應用）和環形（比較節省施工成本，但是相應地傳輸質量比較差）。

（4）同域網作為一種特殊的局域網，可以有一個特定的物理地址，而且在不同的網絡中可以相互重疊使用。但是廣域網是不可以這樣的。由于局域網幾乎可以響應一切外部網絡要求，保密性不強，與之相反，廣域網則會呈現拒絕響應的狀態。

3 局域網的安全攻防測試

局域網的安全攻防是確保網內文件或數據不被竊取的重要措施，主要涉及系統漏洞的掃描、防火墻的使用、IDS安全設置以及加強對于電腦房間、網絡入口的安全設備搭建等方面，具體來講，局域網的安全攻防測試主要表現為：

（1）局域網的漏洞掃描。進行漏洞掃描是為了能夠快速地發現在網絡內部的漏洞。通過局域網漏洞掃描的設置，模擬對局域網漏洞的滲透攻擊，來確保局域網網絡環境和操作系統的安全性。

其過程為在要掃描的局域網中，選取一臺電腦安裝控制臺作為模擬電腦，然后在網內其它電腦安裝與之匹配的客戶端。此時，安裝了客戶端的PC機在其監測中就會有相應的進程反映。構建完局域網漏洞掃描后，開始運行掃描工具，能全面地反映出網絡環境中PC機名稱、IP地址、MAC地址和電腦的工作狀態等。在不斷地進行掃描的過程中，可以清晰地展現網絡的各種漏洞，并自動識別各類漏洞的風險等級，以供參考。網絡監管員可以對獲取到的漏洞掃描表進行分析，對局域網中的整體安全狀況進行詳細了解，重點防范其中具有重大隱患的安全漏洞，并有選擇性地進行漏洞修補。

（2）防火墻權限設置。在局域網中，防火墻為外來入侵構筑了首道防御，在網絡安全方面有不可忽視的作用。可以通過對防火墻權限的檢驗和攻擊，得到防火墻抵抗能力的第一手資料。這樣可以有效強化防火墻的性能，充分發揮防火墻的防御作用。

其具體操作方法是：首先為防火墻的開啟工作，通過選擇計算機的Windows防火墻的相應選項來進行啟動；其次，通過將VPN集成器放置在防火墻的不同位置，建立硬件設備和系統控制相配合的方式。這樣，可以給局域網系統提供雙重防護，也達到了監控和管理網絡入口的目的。而在這種混合模式中，管理員需要充分注意速度流量的變化，避免由于雙重防護而導致局域網的網絡速度變慢。再次，選擇代理防火墻對于局域網進行安全攻防測試，其目的是實現局域網傳輸數據的偽裝，逃避網絡攻擊的威脅，也可以保護網絡信息不會被外人竊取。最后，采用第三方防火墻來測試網絡系統的防火墻規則，滿足系統防火墻在操作各種“規則”時對于網絡環境的影響。通過以上步驟就可以獲得最適合本機活動的防火墻，也可以讓防火墻的設置更加合理科學。

（3）防病毒設置。病毒是造成局域網信息安全的一大“殺手”。它主要由人為因素造成，是一些黑客專門編寫的代碼程序，可以對網絡安全造成致命影響。它具有傳播速度快、潛伏時間長、破壞程度大的特點，成為做好局域網安全功防測試的重要檢測手段。

其主要過程分為三部分：第一是查明病毒的來源。一般來自局域網中人們使用了未經殺毒的移動存儲設備，或者是在日常操作中，接觸到外網未經授權的網站所感染的病毒。第二是檢查病毒入侵網內其他計算機的方式。病毒只要具有適當的傳播機會，就能夠在短時期內快速傳播。還要掌握病毒的各種特征，學習快速查殺計算機病毒，充分了解病毒的傳播特點，從而保證病毒發作時能及時有效地進行清除。第三是做好數據備份和網絡安全建設工作。這是有效控制和清除病毒的重要輔助措施。比如，建立長效的局域網數據備份機制，集中將局域網中的服務器、客戶端、應用程序和工作文檔等數據進行及時的數據備份，脫離局域網單獨存儲。而對于病毒防范的最好防御方法就是從根本上杜絕病毒傳播的路徑，提高系統用戶的安全意識，對那些不清楚的鏈接或網頁，防止病毒的趁虛而入。

（4）IDS安全設置。時代的進步和網絡用戶的急劇擴張，使得局域網面臨的安全隱患越來越多。在這種嚴峻的環境下，IDS安全設置就被計算機專家提出來了，它主要是建立一種快速檢查不安全因素的方法，能夠幫助使用者快速找到網絡攻擊的對象。

其具體操作方法是：首先，明確IDS（安全檢測系統）的目的，是檢測局域網環境中操作系統、網絡設置、網絡協議、應用程序等諸多環節所存在的安全漏洞和攻擊重點，提醒網絡管理員從軟件方面加強系統安全建設。其次，IDS還可以對經過網絡的數據流量進行監督，以及可以檢測局域網網絡環境中的網絡傳輸數據包和信息接收、發送狀態，可以實現對整個局域網網絡環境的安全監管，給網絡管理者提供第一手的資料。再次，IDS主要是配置在安全防火墻周圍，也可以配置在局域網網絡的其它關鍵位置，這就可以根據軟件設置搜尋網絡中與特征信息相吻合的配置信息，且不會給系統造成不必要的負擔。最后，根據局域網搜索產生的數據信息，通過IDS進行基于統計結構的分析和完整數據分析，就可以獲取到網絡管理者需要的信息。

（5）網絡安全設備構建。根據局域網的網絡擴展和人們日常工作、學習的需要，創建一套完整、高效的網絡安全設備，成為了系統安全的必然選擇。主要有這樣幾個選擇標準，具體為：

首先，在機房構建中，需要選擇一個高效的、穩定的骨干級路由器，保證網絡傳輸質量的長期有效，也能夠滿足后期的網絡安全升級的需要；其次，按照局域網的需求，選擇若干組企業級交換機，交換機具有強大的數據交換傳輸功能，不僅能提供高效的數據傳播速度，也能在網絡進行病毒攻擊時發揮強有力的防御作用；再次，建立起有效的內網FTP傳輸機制，保證它能滿足服務器的自動重啟，實現集體模塊的統一管理，能夠對于網絡傳輸質量實現動態監控。而且能夠將局域網網絡中的單點故障進行轉移和隔離；最后，建立起對于網絡安全設備的日常維護制度，保證有效地對網絡安全設備進行監管和更換，保證能夠對于機房中的網絡安全設備進行更新和保養，定時保存和更新網絡安全日志，通過精細化的管理工作來化解網絡攻擊，并確保這項工作的動態和長效化。

4 結束語

綜上所述，互聯網已經成為人們生活與工作的重要伙伴，它的廣泛使用成為引發網絡安全隱患的主要誘因。要杜絕網絡攻擊事件的發生，就需要通過多個手段和渠道進行網絡攻防保護，這離不開網絡管理專業人員的共同努力。人們在認識到局域網的安全性基礎上，要能夠有效地加強局域網的系統建設和可操作應用，讓局域網有更強有力的保護措施，才可以更好地服務于人們的生活與工作。

[1]蔣東暉.局域網的安全攻防測試與分析[J].科技咨詢，2009，(08).

[2]鄧文紅，劉青.局域網面臨的安全問題及安全攻防測試分析[J].硅谷，2013.(08).

[3]樊飛轉.局域網面臨的安全問題及安全攻防測試分析[J].信息系統工程，2011，(06).

[4]王波.數據加密技術在計算機安全中的應用分析[J].數字技術與應用，2014，(01).