網絡學習室的網絡安全防護措施

◆肖靜靜

網絡學習室的網絡安全防護措施

◆肖靜靜

(武警福建總隊參謀部綜合信息保障中心 福建 350003)

伴隨信息浪潮席卷世界，信息化技術不斷滲透著人們日常生活，網絡學習成為人們獲取知識的一個既方便又有效的途徑。網絡學習室是以計算機終端連接局域網的形式接入，因此做好計算機終端、交換機和路由器的安全防護成為網絡信息安全的一個重要環節。

網絡學習室；安全防護；措施

0 引言

隨著網絡時代的到來，網絡學習室為人們提供了很好的工作、學習、休閑場所，但因其使用時間和范圍有限、網絡復雜層度較低，有的單位在網絡安全硬件防護方面投入的設備和資金較少，計算機和網絡的安全防護手段不得不停留在簡單的系統防護上。因為缺乏有效的硬件防護手段，網絡管理員對設備狀態、信息流轉、服務功能、用戶操作行為等方面的監控維護往往力不從心，網絡安全的防御策略一旦考慮不周全，系統網絡容易受到攻擊，非常容易導致拒絕服務、非法訪問、用戶個人信息泄露、數據丟失等安全事件的發生。

1 計算機的安全防護措施

1.1 賬號和口令的設置

超級管理員賬戶因為具有最高的系統權限，要特別對待，應設置強口令密碼，必要時可以創建一個偽造的無實際權限的賬戶起到以假亂真的作用。Guest賬戶是系統的不設防賬戶，也是木馬病毒青睞的目標，開啟Guest賬戶有很大的危險性，一般在控制面板中將其禁用。口令是計算機鑒別用戶、實施訪問控制的安全防線，要正確設置BIOS開機密碼和用戶賬戶口令，確保密碼復雜度，系統用戶的賬戶口令最好在8位以上，并對密碼定期進行修改。

1.2 計算機病毒的防范

為防止計算機病毒對終端的侵害，首先要對重要數據進行備份，防止因系統突然崩潰導致數據丟失。網絡學習室人員流動性大、用戶多，部分用戶操作計算機技能水平參差不齊，應設立防病毒服務器，建立網絡化病毒防護系統，實現病毒情況監測、安全策略統一制定下發和病毒庫網上自動更新。操作系統漏洞是病毒肆無忌憚到處傳播的主要原因，因此，防病毒服務器上的系統漏洞補丁要自動更新，做到修復系統漏洞必須及時有效，確保學習室內的所有計算機可以自動更新。在使用計算機時，如果發現計算機存在異常現象，特別是出現網速慢、異常死機、內存突然不足、增加了一些陌生文件等現象時，一定要對問題計算機單獨隔離，進行病毒查殺，隨后對全網計算機進行全面殺毒。

1.3 系統端口的防護

一般情況下操作系統的許多端口是默認打開的，不少非法用戶程序和病毒會利用這些端口進行網絡主機進行攻擊和破壞。為保證系統安全，主動關閉不需要的端口。例如勒索病毒就是通過445、135、137、138、139等危險端口來傳播，而普通用戶對這些端口的利用率很低，要及時做關閉處理，以免被非法用戶所利用。

2 網絡交換機的安全防護措施

2.1 合理劃分VLAN

對網絡學習室的VLAN進行劃分時，可采用最常用的基于端口劃分VLAN的方法。其他基于MAC地址、基于IP地址和基于IP子網的VLAN劃分方法可以依據個人管理習慣，針對不同類型用戶建立相應的VLAN，進行相互隔離，實現分類管理防護，并控制廣播風暴。

2.2 交換機端口綁定

通常為交換機端口與主機MAC地址和IP地址進行綁定，主要是限制用戶終端設備接入網絡，進行IP、MAC、端口綁定，大大降低了IP沖突的可能性。可禁用端口的MAC地址學習功能，采用靜態的MAC表，控制非注冊計算機終端接入網絡。

2.3 ARP防攻擊防御

ARP協議有簡單、易用的優點，但因其沒有安全認證機制容易遭受攻擊。在配置交換機時，應有針對性地采取不同的防護策略。

（1）泛洪攻擊

攻擊者是通過偽造大量源IP地址變化的ARP報文頻繁向網絡中發送，使得ARP表項溢出，最終導致正常的通信中斷。在配置交換機時，可以通過在VLAN中設置限制ARP表項數量，達到防范ARP泛洪攻擊的目的。

（2）仿冒網關攻擊

攻擊者采用偽造ARP報文信息（源IP地址為網關IP地址，源MAC地址為偽造MAC地址）[1]，向被攻擊的主機發送ARP報文信息，被攻擊主機在更新自身ARP表后，IP地址和MAC地址的對應關系發生錯誤，造成用戶訪問網絡異常。在配置交換機時，啟用基于網關IP/MAC的ARP報文過濾功能，將上行端口和網關IP地址、MAC地址綁定，下行端口和網關IP進行綁定，這樣偽造的ARP報文將做丟棄處理，達到防范“防冒網關”攻擊的目的。

（3）欺騙網關攻擊

攻擊者向網關發送偽造網絡中其他設備和主機的源IP地址或MAC地址的ARP報文，從而導致網關上的ARP表項更新錯誤，造成用戶訪問網絡異常。在配置交換機時，啟用ARP報文源MAC地址一致性檢查功能，通過檢查ARP報文中MAC地址是否一致來檢驗ARP報文的真偽，達到防范ARP攻擊的目的。

2.4 訪問控制認證

802.1X認證協議是一種對用戶進行認證的方法和策略，達到接收合法用戶接入和保護網絡的目的，用于完成對用戶接入的安全審核。在局域網環境下，可以通過開啟交換機802.1X認證功能、終端上啟用802.1X客戶端、架設802.1X服務器端等三種方式實現[2]。

3 路由器的安全防護措施

3.1 訪問安全

對路由器進行配置時，要盡可能考慮網絡學習室所處環境，根據實際情況關閉一些不必要的功能，例如一些查看信息。還應阻止路由器接收帶源路由標記的包，阻止路由器轉發廣播包等。制定密碼安全策略，為各類用戶的進入設置復雜、強壯的長口令，啟用密碼加密服務；同時嚴格控制Console端口的訪問，如果不使用AUX端口的訪問，則禁用這個端口。如果需要遠程訪問路由器，應使用訪問控制列表和高強度的密碼進行訪問控制，并嚴格控制訪問路由器的IP地址范圍。合理設置訪問控制列表ACL，實現目的地址、源地址、應用程序端口等諸多因素的指定和限制，有針對性地對不安全因素進行控制。防止外部IP地址欺騙，非法用戶可能使用內部網絡的合法IP地址、回環地址、組播地址作為源地址，對網絡進行非法訪問，訪問控制列表應設置為阻止。防止外部的非法探測，ping、traceroute或其他命令網探測絡命令是非法訪問者入侵網絡的首選命令，訪問控制列表應設置為阻止。阻止對關鍵端口的非法訪問，禁止使用RPC遠程過程調用服務端口135，提供名稱服務端口137、138，提供共享服務端口135、139，禁止使用445和1434端口防蠕蟲病毒，禁止使用5554和9996端口防震蕩波病毒攻擊，禁止使用5800和5900端口防系統被遠程控制。做好路由器操作系統的升級備份，保留路由器的用戶訪問日志以及維護記錄日志。

3.2 路由安全

合理使用路由器協議，避免使用路由器信息協議RIP而被欺騙，導致接收不合法的路由更新。路由器端口上禁止發送廣播包，禁止使用IP重定向。在動態路由協議中設置一些不需要轉發路由信息端口被動接口。校驗數據包路徑的合法性，使用RPF反向路徑轉發，檢查源IP地址的準確性，對于違法攻擊者的地址，丟棄攻擊包，從而達到抵御攻擊的目的。

3.3 服務安全

禁用不必要的、不使用的服務，如echo、chargen和discard等應用目的不明確的服務。這些服務可以被用來實施拒絕服務攻擊和其他攻擊。禁用finger服務和cdp服務，禁止BOOTP服務，禁止從網絡啟動和下載初始配置文件，禁止ICMP服務，禁止Ping包等一些反饋信息以及超出生存時間TTL的ICMP流量進入網絡。

4 結束語

網絡安全在網絡學習室的運行中扮演著舉足輕重的作用。隨著各種信息新技術的不斷出現，網絡信息量也在大幅增長，網絡學習室面臨的非法訪問、惡意攻擊等威脅也與日俱增，給網絡安全防護帶來了很大的挑戰。這就要求網絡管理員不但要做好傳統計算機終端、交換機和路由器的防護工作，還要不斷學習新的網絡安全防護知識和技巧，不斷摸索新的網絡安全防護手段，確保網絡學習室安全正常運行。

[1]薛芳.基于802.1x協議校園網ARP期騙主動防御系統的研究與實現[D].廈門大學，2011.

[2]宋桂建.加固局域網安全“四策”[J].科技致富向導，2014.

[3]金忠偉.基于端口檢測的路由器安全防護策略[J].計算機工程，2014.

[4]李新科.計算機終端的安全防護措施[J].通信，2016.

[5]雷曉明.校園網中有效防范ARP攻擊[J].建筑工程技術與設計，2016.