【 摘要 】 文章介绍了局域网的安全与防护措施。为企业内部加强网络安全,保证局域网提供可靠安全稳定的服务提供参考。
【 关键词 】 局域网;安全;防火墙;VLAN;病毒防护
LAN Security and Protection Measures
Qi Gui-fang
(Information Center of Supply Department of Shengli Oil Field Dongying Shandong ProvinceShandongDongying 257024)
【 Abstract 】 This article introduces measures for LAN security and protection. It provides a valuable reference for the network security enhancement and ensures a much safer and more reliable service of LAN within the enterprise.
【 Keywords 】 LAN;security;firewall;VLAN;virus protection
0 引言
当今网络技术飞速发展,它已经和我们日常工作生活息息相关,办公自动化、网上银行、网络购物、收发电子邮件等更是依赖于网络。随着网络的不断普及和延伸,互联网的开放性和匿名性即给我们带来了方便,也带来了来自各方面的各种进攻和威胁。如果安全措施不到位就有可能会导致机密泄漏、数据丢失、网络滥用、非法入侵等。为了确保工作的顺利进行,就要确保网络信息安全以及网络硬件及软件系统的正常运转,所以我们必须加强计算机网络和系统安全建设。
局域网是指在一定范围内(通常是企业、组织内部)由各种计算机、外部设备和数据库系统组成的网络。局域网内信息的传输速率很高,但安全隐患却不少。目前多种技术可以用于加强局域网络安全。
1 防火墙技术
1.1什么是防火墙
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列防火墙部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部网络屏蔽掉网络内部的信息、结构和运行状况,有选择地接受外部访问,对内部强化设备 监管、控制对服务器与外部网络的访问,在被保护网络和外部网络之间架起一道屏障,以防止发生不可预测的、潜在的破坏性侵入。
1.2防火墙主要控制手段
防火墙通常使用的安全控制手段主要有包过滤、状态检测。
1.2.1包过滤
包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP 端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。
1.2.2状态检测
状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。
2 访问控制和授权
内部用户访问服务器需要被授权和用户身份认证,防止服务器共享数据被删除或篡改。用户和用户组被赋予一定的权限,网络控制用户和用户组可以访问的目录、文件和其它资源,可以指定用户对这些文件、目录、设备能够执行的操作。启用密码策略,强制计算机用户设置符合安全要求的密码,包括设置口令锁定服务器控制台,以防止非法用户修改。设定服务器登录时间限制、检测非法访问,对密码不符合要求的计算机在多次警告后阻断其连网。
3 病毒防护
病毒的侵入对系统资源构成很大的威胁,可影响系统的正常运行甚至导致系统瘫痪。特别是通过网络传播的计算机病毒,能在很短的时间内使整个计算机网络崩溃,从而造成巨大的损失。防毒的重点是控制病毒的传染。目前推荐采用杀毒软件强制安装策略,监测所有运行在局域网络上的计算机,对没有安装杀毒软件的计算机采用警告和阻断的方式强制使用人安装杀毒软件。这样可以保证已有的病毒会被及时查杀,避免通过网络快速传播。
4 VLAN的划分
为了克服以太网的广播问题,还可以运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。VLAN技术主要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著;基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患;而基于协议的VLAN,理论上非常理想,但实际应用却尚不成熟。
在集中式网络环境下,我们通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。
5 桌面管理系统的应用
局域网用户在同一个网段内,会经常出现IP 地址冲突,造成正常的用户不能上网,对于局域网来说用户规模越大此类IP 地址冲突的问题出现越多,查找就越困难。推荐的解决方法是强制用户安装桌面管理系统,它可以实现桌面设备管理自动化,涵盖软件分发、补丁管理、资产管理、应用程序管理、外设管理、远程控制和上网行为监控等功能,并提供灵活的警报系统、丰富的报表报告和周密的系统配置,桌面管理系统将网络管理人员日常繁杂的工作简单化、智能化,可实现分布式防护、集中式分级管理功能。
5.1资产管理
资产管理可自动侦测计算机详细的软硬件资产状况;自动反馈计算机的硬件变化和软件安装、卸载状况,建立资产变动记录。通过资产收集,网络管理员可以及时了解终端计算机的软件、硬件资产的配置情况。
5.2网络接入管理功能
网络接入管理功能包括可管理的(企业台式机、手提电脑、服务器)以及不可管理的(外部访客、合作伙伴、客户)终端。能够强制提升企业网络终端的安全,保证企业网络保护机制不被间断,配置正确无误,以及补丁拥有最新的时效性,使网络安全得到更有效提升。与此同时基于设备接入控制网关,还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。
5.3软件分发
软件分发能够自动给指定的或全部终端计算机分发及安装应用软件包,保证终端计算机始终处于最佳工作状态,大大减轻管理员批量部署程序的负担。软件分发满足了大型分布式网络软件统一和数据更新的需求。
5.4补丁管理
补丁管理自动下载并安装补丁、及时更新病毒库等,避免因病毒侵袭及应用系统漏洞而导致损失。
5.5应用程序管理
应用程序管理可以实时汇总网络内所有曾经运行过的应用程序名称;可制定运行策略,如禁止某些计算机运行指定的软件或应用程序;可查询和统计应用程序的使用记录。
5.6外设管理
外设管理可以允许或禁止客户端计算机的USB接口、光驱、软驱、并口、串口、Modem等外部存储设备的访问使用,强化内部安全控制机制。此外,远程管理:可在管理端直接遥控和操作任何一台电脑;可远程获取客户机的应用程序、网络连接、进程、系统信息等基本资料和运行情况。
5.7上网行为管理
上网行为管理能监控员工从开机以后的一切操作,包括上网监控、聊天监控、邮件监控及游戏监控等。
可以强制要求每个网络用户必须注册安装用户安装桌面管理系统,这样网络管理员可以通过这个软件很方便的管理用户的IP及计算机。还可以封存所有空闲的IP 地址,可以有效防止IP 地址引起的网络中断和非授权计算机随意上内部局域网络造成病毒传播和数据泄密。
6 用户安全培训
局域网内计算机的数据传输快速、便捷,造就了病毒感染的直接和迅速性, 如果局域网中服务器区域不进行独立保护,其中一台电脑感染病毒,并且通过服务器进行信息传递,就会感染服务器,这样局域网中任何一台通过服务器信息传递的电脑,就有可能会感染病毒。虽然在网络出口有防火墙阻断对外来攻击, 但无法抵挡来自局域网内部的攻击。
目前网络管理工作量最大的部分是客户端安全部分,对网络的安全运行威胁最大的也同样是客户端安全管理。只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患。这就要加强对使用网络的内部人员的管理,加强工作人员的安全培训,增强他们的安全防范意识,指导用户如何配置网络参数、要求他们所使用的电脑要安装防病毒软件,学会查杀病毒和备份重要的数据,在使用外来移动存储设备之前,要先进行病毒的扫描和查杀,确认安全后再使用,防止外来移动存储设备将木马、蠕虫等病毒传入本地电脑系统,减少数据泄密的机会,提高内部管理人员整体素质。
7 结束语
局域网安全控制与病毒防治是一项长期而艰巨的任务,需要不断的研究和探索。随着网络应用的发展计算机病毒形式及传播途径日趋多样化,安全问题日益复杂化,网络安全建设已不再像单台计算安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系, 要具备完善的管理系统来设置和维护对安全的防护策略。
参考文献
[1] 张公忠主编.现代网络技术教程.电子工业出版社.
[2] Andrew S. Tanenbaum.计算机网络.清华大学出版社.
[3] William Stallings.局域网与城域网.电子工业出版社.
作者简介:
齐桂芳 (1966-),女,山东东营人,本科,网络工程师;研究方向:网络安全与ERP管理。
