局域網網絡管理論文(2)
局域網網絡管理論文
局域網網絡管理論文篇二
局域網的安全管理
摘要:局域網安全是計算機網絡安全的一部分,是指利用網絡管理控制和技術措施,保證在一個局域網環境里,數據的保密性、完整性及可使用性受到保護。本文介紹了一些局域網的安全技術和管理制度
關鍵詞:局域網網絡安全
一、引言
信息科技的迅速發展,Internet已成為全球重要的信息傳播工具。。據不完全統計,Internet現在遍及186個國家,容納近60萬個網絡,提供了包括600個大型聯網圖書館,400個聯網的學術文獻庫,2000種網上雜志,900種網上新聞報紙,50多萬個Web網站在內的多種服務,總共近100萬個信息源為世界各地的網民提供大量信息資源交流和共享的空間。信息的應用也從原來的軍事、科技、文化和商業滲透到當今社會的各個領域,在社會生產、生活中的作用日益顯著。傳播、共享和自增殖是信息的固有屬性,與此同時,又要求信息的傳播是可控的,共享是授權的,增殖是確認的。因此在任何情況下,信息的安全和可靠必須是保證的。
二、局域網的安全現狀
目前的局域網基本上都采用以廣播為技術基礎的以太網,任何兩個節點之間的通信數據包,不僅為這兩個節點的網卡所接收,也同時為處在同一以太網上的任何一個節點的網卡所截取。。因此,黑客只要接入以太網上的任一節點進行偵聽,就可以捕獲發生在這個以太網上的所有數據包,對其進行解包分析,從而竊取關鍵信息,這就是以太網所固有的安全隱患。事實上,Internet上許多免費的黑客工具,如SATAN、ISS、NETCAT等等,都把以太網偵聽作為其最基本的手段。
三、局域網安全技術
1、采用防火墻技術。防火墻是建立在被保護網絡與不可信網絡之間的一道安全屏障,用于保護內部網絡和資源。它在內部和外部兩個網絡之間建立一個安全控制點,對進、出內部網絡的服務和訪問進行控制和審計。防火墻產品主要分為兩大類:
包過濾防火墻(也稱為網絡層防火墻)在網絡層提供較低級別的安全防護和控制。
應用級防火墻(也稱為應用代理防火墻)在最高的應用層提供高級別的安全防護和控制。
2、網絡分段。網絡分段通常被認為是控制網絡廣播風暴的一種基本手段,但其實也是保證網絡安全的一項重要措施。其目的就是將非法用戶與敏感的網絡資源相互隔離,從而防止可能的非法偵聽,網絡分段可分為物理分段和邏輯分段兩種方式。
目前,海關的局域網大多采用以交換機為中心、路由器為邊界的網絡格局,應重點挖掘中心交換機的訪問控制功能和三層交換功能,綜合應用物理分段與邏輯分段兩種方法,來實現對局域網的安全控制。例如:在海關系統中普遍使用的DECMultiSwitch900的入侵檢測功能,其實就是一種基于MAC地址的訪問控制,也就是上述的基于數據鏈路層的物理分段。
3、以交換式集線器代替共享式集線器。對局域網的中心交換機進行網絡分段后,以太網偵聽的危險仍然存在。這是因為網絡最終用戶的接入往往是通過分支集線器而不是中心交換機,而使用最廣泛的分支集線器通常是共享式集線器。這樣,當用戶與主機進行數據通信時,兩臺機器之間的數據包(稱為單播包UnicastPacket)還是會被同一臺集線器上的其他用戶所偵聽。用戶TELNET到一臺主機上,由于TELNET程序本身缺乏加密功能,用戶所鍵入的每一個字符(包括用戶名、密碼等重要信息),都將被明文發送,這就給黑客提供了機會。因此,應該以交換式集線器代替共享式集線器,使單播包僅在兩個節點之間傳送,從而防止非法偵聽。
4、VLAN的劃分。運用VLAN(虛擬局域網)技術,將以太網通信變為點到點通信,防止大部分基于網絡偵聽的入侵。目前的VLAN技術主要有三種:基于交換機端口的VLAN、基于節點MAC地址的VLAN和基于應用協議的VLAN。基于端口的VLAN雖然稍欠靈活,但卻比較成熟,在實際應用中效果顯著,廣受歡迎。基于MAC地址的VLAN為移動計算提供了可能性,但同時也潛藏著遭受MAC欺詐攻擊的隱患。而基于協議的VLAN,理論上非常理想,但實際應用卻尚不成熟。
在集中式網絡環境下,我們通常將中心的所有主機系統集中到一個VLAN里,在這個VLAN里不允許有任何用戶節點,從而較好地保護敏感的主機資源。在分布式網絡環境下,我們可以按機構或部門的設置來劃分VLAN。各部門內部的所有服務器和用戶節點都在各自的VLAN內,互不侵擾。VLAN內部的連接采用交換實現,而VLAN與VLAN之間的連接則采用路由實現。
5、隱患掃描。一個計算機網絡安全漏洞有它多方面的屬性,主要可以用以下幾個方面來概括:漏洞可能造成的直接威脅、漏洞的成因、漏洞的嚴重性和漏洞被利用的方式。漏洞檢測和入侵檢測系統是網絡安全系統的一個重要組成部分,它不但可以實現復雜煩瑣的信息系統安全管理,而且還可以從目標信息系統和網絡資源中采集信息,分析來自網絡外部和內部的入侵信號和網絡系統中的漏洞,有時還能實時地對攻擊做出反應。漏洞檢測就是對重要計算機信息系統進行檢查,發現其中可被黑客利用的漏洞。這種技術通常采用兩種策略,即被動式策略和主動式策略。被動式策略是基于主機的檢測,對系統中不合適的設置、脆弱的口令以及其他同安全規則相抵觸的對象進行檢查;而主動式策略是基于網絡的檢測,通過執行一些腳本文件對系統進行攻擊,并記錄它的反應,從而發現其中的漏洞。漏洞檢測的結果實際上就是系統安全性能的一個評估,它指出了哪些攻擊是可能的,因此成為安全方案的一個重要組成部分。入侵檢測和漏洞檢測系統是防火墻的重要補充,并能有效地結合其他網絡安全產品的性能,對網絡安全進行全方位的保護。。
四、網絡安全制度
1、組織工作人員認真學習《計算機信息網絡國際互聯網安全保護管理辦法》,提高工作人員的維護網絡安全的警惕性和自覺性。
2、負責對本網絡用戶進行安全教育和培訓,使用戶自覺遵守和維護《計算機信息網絡國際互聯網安全保護管理辦法》,使他們具備基本的網絡安全知識。
3、實時監控網絡用戶的行為,保障網絡設備自身和網上信息的安全。
4、對已經發生的網絡破壞行為在最短的時間內做出響應,使損失減少到最低限度。
五、結束語
網絡的開放性決定了局域網安全的脆弱性,而網絡技術的不斷飛速發展,又給局域網的安全管理增加了技術上的不確定性,目前有效的安全技術可能很快就會過時,在黑客和病毒面前不堪一擊。因此,局域網的安全管理不僅要有切實有效的技術手段,嚴格的管理制度,更要有知識面廣,具有學習精神的管理人員。
參考文獻
[1]石志國,薛為民,尹浩.《計算機網絡安全教程》[M].北京:北方交通大學出版社,2007.
看了“局域網網絡管理論文”的人還看: