局域網(wǎng)網(wǎng)絡(luò)安全的防范與管理技術(shù)

陸捷

摘要：局域網(wǎng)是指在特定某一區(qū)域內(nèi)通過多臺計算機之間相互連接，形成的一種計算機組。保護局域網(wǎng)的網(wǎng)絡(luò)安全，能夠幫助系統(tǒng)持續(xù)穩(wěn)定的運行。本文結(jié)合局域網(wǎng)存在的安全隱患進行網(wǎng)絡(luò)安全防范和管理技術(shù)的探討，以此來幫助局域網(wǎng)網(wǎng)絡(luò)構(gòu)建更為穩(wěn)定，促進計算機網(wǎng)絡(luò)的快速發(fā)展。

關(guān)鍵詞：局域網(wǎng)；網(wǎng)絡(luò)安全；管理技術(shù)

中圖分類號：TP393 文獻標(biāo)識碼：A

文章編號：1009-3044（2019）09-0041-02

局域網(wǎng)的覆蓋范圍一般是方圓幾千米之內(nèi)，其具備的安裝便捷、成本節(jié)約、擴展方便等特點使其在各類辦公室內(nèi)運用廣泛。局域網(wǎng)可以實現(xiàn)文件管理、應(yīng)用軟件共享、打印機共享等功能，在使用過程當(dāng)中，通過維護局域網(wǎng)網(wǎng)絡(luò)安全，能夠有效地保護資料安全，保證局域網(wǎng)網(wǎng)絡(luò)能夠正常穩(wěn)定的運行。

1 局域網(wǎng)網(wǎng)絡(luò)存在的安全問題

1.1 局域網(wǎng)內(nèi)服務(wù)器防護能力較弱

局域網(wǎng)相較于其他網(wǎng)絡(luò)，其信息的傳播速度較快，傳遞方式也相對簡單，如果局域網(wǎng)中的某一臺計算機受到了病毒的入侵，病毒會通過局域網(wǎng)中的信息傳播散播到所有計算機當(dāng)中。雖然有一些局域網(wǎng)中會安裝一些殺毒軟件，但是因為軟件補丁更新不到位，或者有一些計算機沒有安裝殺毒軟件，病毒會利用防護軟件的漏洞進行網(wǎng)絡(luò)攻擊，從而導(dǎo)致局域網(wǎng)系統(tǒng)運行癱瘓，造成用戶信息泄露、竊取用戶財產(chǎn)等問題。

1.2 局域網(wǎng)網(wǎng)絡(luò)邊界接入存在風(fēng)險

在局域網(wǎng)網(wǎng)絡(luò)邊界所存在的接入風(fēng)險主要包括路由的破壞、用戶信息的竊聽、未經(jīng)授權(quán)的訪問等網(wǎng)絡(luò)設(shè)備攻擊，以及某些病毒的傳播等。對于局域網(wǎng)的運行當(dāng)中，主要是拒絕服務(wù)攻擊較多一些，以此造成主機死機、網(wǎng)絡(luò)服務(wù)暫停等。而在大量的SYN Flood、ACK Flooding、UDP Flood等攻擊后產(chǎn)生的大量垃圾數(shù)據(jù)包，使得被攻擊方CPU滿負(fù)荷運轉(zhuǎn)或者是內(nèi)存不足，造成業(yè)務(wù)服務(wù)器的關(guān)鍵設(shè)備業(yè)務(wù)中斷或是服務(wù)質(zhì)量下降。

1.3 局域網(wǎng)用戶的安全意識薄弱

局域網(wǎng)用戶在使用網(wǎng)絡(luò)進行數(shù)據(jù)傳輸時，有時會使用到外部存儲設(shè)備，但是用戶沒有對外部設(shè)備安全檢測的習(xí)慣，而是直接連接網(wǎng)絡(luò)進行使用。導(dǎo)致外部數(shù)據(jù)和病毒一起進入到局域網(wǎng)當(dāng)中，通過局域網(wǎng)中信息的傳播，使得病毒在局域網(wǎng)中進行擴散，從而造成了局域網(wǎng)病毒入侵的情況。另外，有一些用戶在進行網(wǎng)站瀏覽的過程當(dāng)中，不小心點擊到一些彈出的窗口或者是下載了病毒偽裝的軟件，也會導(dǎo)致計算機中毒，造成用戶的信息泄露，威脅到整個局域網(wǎng)的安全。

2 局域網(wǎng)網(wǎng)絡(luò)安全的防范技術(shù)分析

2.1 將局域網(wǎng)進行網(wǎng)絡(luò)分段

網(wǎng)絡(luò)分段是通過將非法的用戶與保護的網(wǎng)絡(luò)資源進行隔離，從而確保局域網(wǎng)網(wǎng)絡(luò)安全的一種重要手段[1]?？梢酝ㄟ^物理分段和邏輯分段兩種方式來進行局域網(wǎng)的網(wǎng)絡(luò)分段。物理分段是將局域網(wǎng)中的交換機作為中心，將路由器作為局域網(wǎng)邊界，形成覆蓋式網(wǎng)絡(luò)格局，然后對三層交換機進行基本的配置，使三個網(wǎng)段能夠相互訪問，然后中心交換機進行網(wǎng)絡(luò)的訪問控制，從而實現(xiàn)局域網(wǎng)中的安全控制。如現(xiàn)在使用較為廣泛的DEC MultiSwitch 900的入侵檢測功能，就是根據(jù)Mac地址進行的訪問控制，以此實現(xiàn)各數(shù)據(jù)單位之間的物理分段。

邏輯分段是通過對服務(wù)器添加合理的管理軟件，以此來實現(xiàn)兩個網(wǎng)絡(luò)分段的通信管理。例如將局域網(wǎng)分成188.167.0.X和188.167.1.X兩個邏輯分段，兩個IP地址相互之間屬于不同的廣播地址，如果其中某一地址被病毒入侵，因為地址不同，所以病毒不會進行擴散，從而保護了局域網(wǎng)的整體網(wǎng)絡(luò)安全。

2.2 交換式集線器替代共享式集線器

用戶在使用局域網(wǎng)過程當(dāng)中，網(wǎng)絡(luò)的接入一般不是通過中心交換機，而是通過共享式集線器進行。用戶與主機進行信息數(shù)據(jù)傳輸時，因為使用的集線器是共享式集線器，所以容易導(dǎo)致兩臺計算機之間的數(shù)據(jù)傳輸包（簡稱單播包Unicast Packet）被其他的用戶所竊聽[2]。此外，因為TELNET程序?qū)τ谟脩舻男畔⑷鄙偌用芴幚?，這樣用戶在進行數(shù)據(jù)輸入時，如用戶的證件號、密碼等重要信息，都會進行明文發(fā)送，這樣如果此時黑客入侵之局域網(wǎng)中，則很容易造成客戶資料的泄漏。

交換式集線器只是進行單線傳輸，Unicast Packet（單播包）在用戶與主機之間進行傳送，而其他的用戶無法竊聽到用戶數(shù)據(jù)信息，并且交換式集線器還能夠有效的控制多播包（Multicast Packet）的傳輸。使得用戶在進行數(shù)據(jù)傳輸時更加的安全，從而保證了局域網(wǎng)的使用安全性。

2.3 以太網(wǎng)通信變成點對點傳輸

通過VLAN（虛擬局域網(wǎng)）技術(shù)，可以很好地實現(xiàn)以太網(wǎng)通信點對點傳輸，從而防止了其他手段的網(wǎng)絡(luò)竊聽[3]。通常情況下，將所有中心的主機系統(tǒng)歸類至同一個VLAN當(dāng)中，在VLAN里不允許存在任何形式的用戶節(jié)點，保護主機隱私資源。在VLAN的連接過程當(dāng)中，一般由路由來完成，交換機一般可以采用DEC MultiSwitch 900，其具備支持RIP和OSPF兩種國際通用標(biāo)準(zhǔn)路由協(xié)議的優(yōu)點，如果有其他的特殊需要，則可以選擇其他的路由協(xié)議（如CISCO公司的EIGRP或支持DECnet的IS-IS），從而實現(xiàn)VLAN之間的路由功能，能夠有效地防止黑客入侵、控制廣播，使得局域網(wǎng)安全系數(shù)增加，保護用戶的個人隱私。

2.4 限制局域網(wǎng)磁盤共享用戶

局域網(wǎng)在使用過程當(dāng)中，面對人群數(shù)量較多，容易導(dǎo)致某些文件的泄漏，針對不同人群開放不同共享權(quán)限，從而避免私密信息的泄漏，維護局域網(wǎng)網(wǎng)絡(luò)安全。首先在計算機中進行共享磁盤的點選，例如選擇了磁盤D進行共享，然后點擊鼠標(biāo)右鍵點選共享，選擇高級共享。進入高級共享界面繼續(xù)進行高級共享操作，在界面當(dāng)中點選想要共享的文件夾，并進行共享用戶數(shù)的更改，如更改共享數(shù)為35，然后進行權(quán)限設(shè)置，點擊界面圖標(biāo)左下角權(quán)限，選擇讀取或修改權(quán)限，通常情況下選擇讀取就可以，如果需要修改文件，則針對某一個人進行權(quán)限的更改，防止他人連接后更改文件。通過共享用戶的限制，可以減少信息泄露機率，保護局域網(wǎng)的網(wǎng)絡(luò)安全。

3 局域網(wǎng)網(wǎng)絡(luò)安全的管理技術(shù)

3.1 強化計算機設(shè)備管理

計算機設(shè)備是建立局域網(wǎng)的基礎(chǔ)，通過強化計算機設(shè)備能夠很有效地避免局域網(wǎng)在使用過程中出現(xiàn)安全問題。首先應(yīng)當(dāng)確保局域網(wǎng)中的每臺計算機都安裝了殺毒軟件，殺毒軟件可以選擇目前運用比較廣泛的TrendMicro公司的“閃電殺毒手”，最新的v1.53Beta版本可以有效的根除頑固病毒，阻止局域網(wǎng)病毒入侵。其次，應(yīng)當(dāng)定期對計算機網(wǎng)絡(luò)進行清理殺毒，個體計算機可以選擇每天進行殺毒，而對于整體局域網(wǎng)，可以根據(jù)使用頻率進行定期殺毒，如三天一次或五天一次，保持整個局域網(wǎng)的安全環(huán)境。最后對于計算機的軟件進行及時更新，填補計算機因為運行時間較長產(chǎn)生的系統(tǒng)漏洞，補丁及時進行安裝，從而保證了整個局域網(wǎng)在運作當(dāng)中的穩(wěn)定性和安全性。

3.2 完善安全網(wǎng)絡(luò)結(jié)構(gòu)

網(wǎng)絡(luò)結(jié)構(gòu)的安全性是局域網(wǎng)安全運行的基礎(chǔ)，為了能夠使局域網(wǎng)能夠更加穩(wěn)定的運行，需要完善安全網(wǎng)絡(luò)機構(gòu)。首先進行局域網(wǎng)業(yè)務(wù)的分析，然后明確局域網(wǎng)的服務(wù)人群，明確業(yè)務(wù)定位。根據(jù)受眾人群進行通信量的預(yù)估，明確安全網(wǎng)絡(luò)結(jié)構(gòu)的構(gòu)建方向。其次在網(wǎng)絡(luò)結(jié)構(gòu)當(dāng)中涉及的設(shè)備配置，應(yīng)當(dāng)結(jié)合實際應(yīng)用情況進行相應(yīng)的挑選，不能一味追求質(zhì)量，卻忽略了實用價值。最后在網(wǎng)絡(luò)結(jié)構(gòu)維護的過程當(dāng)中，通過對于系統(tǒng)優(yōu)化、路由優(yōu)化等技術(shù)手段，使得整體的網(wǎng)絡(luò)結(jié)構(gòu)安全系數(shù)得以提高，網(wǎng)絡(luò)結(jié)構(gòu)更具備實用價值，在構(gòu)建過程中結(jié)合先進技術(shù)進行網(wǎng)絡(luò)結(jié)構(gòu)的改進，能夠有效地將網(wǎng)絡(luò)結(jié)構(gòu)管理簡單化，但結(jié)構(gòu)卻更加完善，以此全面提升局域網(wǎng)的安全性。

3.3 網(wǎng)絡(luò)系統(tǒng)的安全管理

對于網(wǎng)絡(luò)系統(tǒng)的安全管理可以從兩方面來進行。首先在防火墻技術(shù)方面，需要對局域網(wǎng)中的信息數(shù)據(jù)進行嚴(yán)格審查，確定數(shù)據(jù)沒有問題之后再進行放行，如果檢查到不安全的信息或者數(shù)據(jù)，需要對該數(shù)據(jù)進行隔離，而且同時進行局域網(wǎng)的檢查，確定信息來源，從而判斷數(shù)據(jù)的安全性，然后將這些數(shù)據(jù)進行集中處理，重要的數(shù)據(jù)進行修復(fù)后繼續(xù)放行，其他類數(shù)據(jù)可以進行集中刪除，從而降低局域網(wǎng)的安全風(fēng)險，為局域網(wǎng)構(gòu)建一個安全的內(nèi)部網(wǎng)絡(luò)環(huán)境。

其次在入侵檢測技術(shù)方面，通過對網(wǎng)絡(luò)重要部分進行不斷的信息采集和分析，以此判定計算機系統(tǒng)是否受到了惡意攻擊。可以根據(jù)局域網(wǎng)的實際情況來安裝不同的網(wǎng)絡(luò)安全產(chǎn)品，達到安全防控的目的，主要有防范DDos（分布式拒絕服務(wù)攻擊）攻擊產(chǎn)品、VPN接入網(wǎng)管產(chǎn)品、IPS、IDS等。

3.4 加強用戶的安全意識

一般情況下，多數(shù)的病毒入侵都是由用戶的不合規(guī)操作造成，所以加強用戶的安全意識，也能很好的保護局域網(wǎng)的網(wǎng)絡(luò)安全。首先可以增加用戶的安全意識培訓(xùn)，讓用戶明白信息數(shù)據(jù)安全的重要性，都能夠掌握到基本的安全知識，提升用戶的安全責(zé)任意識，從而保證用戶在數(shù)據(jù)傳輸過程有效減少信息泄露或病毒入侵等事故的發(fā)生。

其次，用戶在數(shù)據(jù)傳送之前，養(yǎng)成數(shù)據(jù)備份的習(xí)慣，通過將不同類型數(shù)據(jù)進行相應(yīng)的備份處理，在實際傳輸過程當(dāng)中，即便是發(fā)生了病毒入侵，造成主機死機或者數(shù)據(jù)丟失。備份數(shù)據(jù)能夠及時派上用場，保證了工作的正常進行，并且分類別進行數(shù)據(jù)處理，數(shù)據(jù)進行點對點傳輸，避免了其他線路的竊聽，保證了數(shù)據(jù)的安全，保證了局域網(wǎng)安全高效的運行。

4 結(jié)論

綜上所述，網(wǎng)絡(luò)時代的快速發(fā)展，也帶來了一定的安全隱患。通過實現(xiàn)數(shù)據(jù)點對點傳輸、完善網(wǎng)絡(luò)結(jié)構(gòu)管理、加強用戶安全意識等手段，不僅可以提升局域網(wǎng)網(wǎng)絡(luò)安全性能，并且因為安全系數(shù)的增加，提高了整體局域網(wǎng)的運行效率，從而實現(xiàn)局域網(wǎng)運行的穩(wěn)定性和可靠性。

參考文獻：

[1] 路正霞，董淑杰，翟慧慧，姜麗珍.電力企業(yè)局域網(wǎng)安全及病毒防范[J].通訊世界，2016（10）：213-214.

[2] 吳凌智.企業(yè)級局域網(wǎng)內(nèi)的網(wǎng)絡(luò)管理監(jiān)控及信息安全防范[J].計算機光盤軟件與應(yīng)用，2014，17（7）：177-178.

[3] 劉佳.局域網(wǎng)安全隱患及防范策略研究[J].電腦知識與技術(shù)，2012，8（5）：1030-1031.

【通聯(lián)編輯：唐一東】