局域網環境下的網絡安全技術研究

薛勁松 馮仁君

（國網蘇州供電公司，江蘇 蘇州 215004）

1 引言

在社會經濟快速發展下，計算機已經走入千家萬戶，成為我們日常生活和工作中不可或缺的一部分。而網絡具備共享性、復雜性、開放性等特征，這致使在局域網與廣域網環境下，計算機網絡安全難以得到有效保障，進而衍生出很多網絡安全問題。本文分析了當前局域網環境下的計算機網絡安全威脅，并制定相應的安全措施，進而確保計算機網絡信息的保密性、安全性與完整性。

2 局域網環境下的計算機網絡安全問題

2.1 計算機病毒的威脅

在網絡技術快速發展下，出現了多種計算機病毒，這些病毒破壞性強，傳染性強。計算機病毒不但會對計算機內部數據處理系統進行侵擾，而且對計算機指令造成破壞。一旦有網絡病毒入侵到局域網，當一臺計算機感染病毒，與其進行信息交互的服務器也會被感染，進而病毒會迅速擴散到局域網內與該服務器相連的其他計算機，局域網數據交互的高速性也加快了病毒的傳播速度，因此，服務器區域的獨立防護是非常有必要的。

2.2 計算機操作人員缺乏安全意識

計算機操作人員安全意識缺乏，是當前局域網安全問題的主要構成因素之一。在通訊技術快速發展下，應用計算機網絡人群越發增多，但實際上，人們普遍缺少網絡安全意識。很多用戶在計算機網絡使用中不加密，內網與外網頻繁切換，沒有對計算機系統及時殺毒，訪問不安全網站等等，這些操作往往給計算機病毒創造了侵入的條件，進而造成數據泄密的情況發生。

2.3 局域網管理制度不完善

目前廣域網已經有相對完善安全防護體系，如防火墻、入侵檢測、包過濾路由等網絡邊界防護，阻擋來自外網的安全威脅。但是，局域網建設還有很多不足，缺乏完善的網絡管理制度和規范，局域網接入管理不嚴、服務器端口管理不到位、IP地址規劃不合理，致使安全威脅較大，加之網絡在使用和管理過程中的疏漏也增加了局域網安全的威脅。

3 局域網網絡安全技術應用

3.1 防火墻技術在局域網網絡安全中的應用

在局域網中，防火墻技術的應用可在內網與外網之間形成一道防護屏障。通過防火墻設置，監測過濾內外網之間的信息交換，記錄通信相關日志，將不安全數據以及信息及時隔離，并對重點網段進行有效隔離，保護內網數據不被竊取與破壞。同時，還能夠對服務器區域進行獨立防護，通過設置雙重防火墻劃分出兩個服務器隔離區域，區域1可以放置只允許內網訪問的一類服務器，區域2放置允許內外網訪問的一類服務器，實現了內網，服務器區域1，服務器區域2和外網之間的訪問控制，既在網絡出口處阻斷了外網攻擊，又在網絡入口處抵擋了內網攻擊。

3.2 入侵檢測技術在局域網網絡安全中的應用

入侵檢測技術是繼防火墻之后的第二道網絡防御系統。通過對網絡中關鍵點的信息收集和分析，檢測包括安全日志、用戶行為、審計信息等內容，發現是否有被攻擊的跡象，并適時作出響應。入侵檢測技術的應用有助于管理人員對網絡系統中的變化情況及時了解，擴展了系統管理員對安全審計、監視、攻擊識別和響應方面的安全管理能力，提高了網絡安全架構的完整性。

3.3 網絡分段技術在局域網網絡安全中的應用

網絡分段是一種確保系統安全的關鍵措施，也是一項基本手段，其功能是隔離網絡資源與非法用戶，進而達到對用戶非法訪問進行限制。網絡分段有兩種方式，即：邏輯分段、物理分段。在具體應用中，一般采用邏輯與物理分段相互融合的方式來實現控制網絡系統的可靠性與安全性。當前，我國局域網的網絡格局主要是以交換機為中心，邊界是以路由器為主，應對中心交換機的訪問控制功能進行優化，并對物理與邏輯分段綜合運用，進而更好地控制局域網的安全。

3.4 交換式集線器在局域網網絡安全中的應用

在對局域網中心交換機進行網絡分段之后，雖然可以在一定程度上提升網絡安全，但依然存在以太網被偵聽的風險。導致其安全隱患的主要原因是，終端使用者在接入局域網時經常使用分支集線器進行接入。當前較主流的分支集線器，多數產品都是采用共享的方式。從而，當用戶之間進行數據包交換時，處于同一個局域網中的其他用戶則能夠對其數據進行偵聽。所以，要從根本上解決網絡安全問題，需要將共享式集線器替換為交換式集線器進行使用，確保在進行單播包數據傳送過程中，保持在兩個節點中進行數據傳送。

3.5 虛擬網技術在局域網網絡安全中的應用

隨著局域網交換技術的不斷發展，基于廣播局域網的傳統技術已經開始向面向連接的技術發展。局域網維護管理人員可以通過局域網的廣播機制進行切入，使用交換器和VLAN技術來實現點對點通訊。通過虛擬網技術在局域網網絡安全中的應用，針對相關訪問控制進行設置，讓處于虛擬網外的網絡節點無法對其網內節點進行直接訪問，有效提高了局域網網絡安全。

3.6 IKE--Internet密鑰交換協議在局域網網絡安全中的應用

IKE屬于一種混合型協議，由Internet安全關聯和密鑰管理協議（ISAKMP）及兩種密鑰交換協議OAKLEY與SKEME組成。在進行IKE創建時，需要基于ISAKM框架來進行定義，沿用了OAKLEY的密鑰交換模式以及SKEME的共享和密鑰更新技術，還定義了它自己的兩種密鑰交換方式：主要模式和積極模式。

IKE使用了兩個階段的ISAKMP：第一階段通過協商方式來創建IKE的安全關聯，其能夠對所創建的通信信道進行認證，從而可以讓通信雙方的IKE通信更加保密，通信信息更加完整。第二階段在所創建的IKE安全關聯的基礎上，為IPsec協商具體的安全關聯。對于配置的兩個階段而言，一階段中可以采用主模式和野蠻模式來進行工作，二階段中的工作模式只是單純的快速模式。其中，主模式是為整個信息交換提供相對應的身份保護，需要通過6個消息交換完成IKE SA的建立。在進行預共享密鑰主模式認證過程中，雙方的身份信息只能以IP地址標識。如果是采用數字證書驗證的主模式，可以從所提供的證書中提取相應的公開密鑰。在進行野蠻模式工作時，該模式會通過信息交換的方式創建一個新的驗證密碼，然后使用IKE進行安全協議創建安全關聯，其工作模式只需通過3條信息的交換，較主模式能夠更快建立IKE SA。因此，對于野蠻工作模式而言，其更加適用于遠程訪問。兩者在進行信息交換時，同時使用共享密碼驗證模式來創建IKE安全聯盟。如果發起者非常熟悉響應者的安全策略，則可以通過快速創建IKE SA方式來進行訪問。對于快速模式而言，主要是在創建安全關聯的基礎上，通過快速模式來與其他IPSEC協議進行交換，并讓兩者的SA提供IKE安全關聯加密，整個加密過程可以對所交換的信息進行驗證。

IKE的安全機制主要是以身份驗證為主，可以通過對通信雙方身份進行驗證，系統會自動對其身份進行識別。此外，以DH算法交換與密鑰分發安全機制為輔，這種安全機制主要是在進行數據交換過程中，通信對等體并不會進行密鑰傳送，而且通過計算的方式來獲取共享密鑰。通過這樣的安全機制，一旦某一個密鑰出現被破解的問題，其他密鑰也不會受到影響。因為在其安全體系中，不同密鑰間不存在派生關系，可以最大限度地增強局域網網絡安全性。

3.7 加強局域網管理

制定完善的網絡管理和監督辦法，加強局域網接入管理、服務器端口管理、IP地址分配管理等制度，是確保局域網安全穩定運行的保障。強化信息保密約束、使用者行為約束、管理者行為約束，減少因網絡使用者和管理者的各種不當行為造成的網絡安全威脅。

4 結語

計算機網絡技術的快速發展，在為用戶的工作和生活帶來許多便利的同時，網絡安全問題的出現對用戶的影響也是巨大的。人們應樹立安全風險意識，做好網絡安全防范管理工作，完善計算機的安全使用性，健全有關計算機操作管理制度，切實做好維護和管理局域網網絡運行工作。

[1]韓銳．計算機網絡安全的主要隱患及管理措施分析[J]．信息通信，2014(01)：152-153．

[2]王濤．淺析計算機網絡安全問題及其防范措施[J]．科技創新與應用，2013(02)：45-45．

[3]楊曉紅．局域網環境背景下的計算機網絡安全技術應用研究[J].電腦知識與技術，2013(4 X)：2572-2574．

[4]楊麗．對局域網環境背景下的計算機網絡安全技術應用分析[J].數字技術與應用，2016(4)：213-213．