童深

〔關(guān)鍵詞〕 局域網(wǎng)；安全防護(hù)；三層交換機(jī)；防火墻；

入侵檢測(cè)系統(tǒng)；防病毒軟件

〔中圖分類號(hào)〕 G482〔文獻(xiàn)標(biāo)識(shí)碼〕 A

〔文章編號(hào)〕 1004—0463（2012） 10—001８—０1

局域網(wǎng)（Local Area Network）是在一個(gè)局部的地理范圍內(nèi)（如一個(gè)學(xué)校、工廠或機(jī)關(guān)內(nèi)），將各種計(jì)算機(jī)、外部設(shè)備和數(shù)據(jù)庫(kù)等互相聯(lián)接起來(lái)組成的計(jì)算機(jī)通信網(wǎng)。近年來(lái)各種網(wǎng)絡(luò)安全問(wèn)題接踵而至，計(jì)算機(jī)病毒、操作系統(tǒng)漏洞、黑客攻擊等屢見(jiàn)不鮮，局域網(wǎng)也同樣面臨這些問(wèn)題。一旦發(fā)生安全問(wèn)題，可能對(duì)學(xué)校造成的損害更大。下面筆者從純技術(shù)手段探討一下局域網(wǎng)的安全防護(hù)。

一、使用三層交換機(jī)，劃分VLAN和設(shè)置訪問(wèn)控制列表

目前的局域網(wǎng)基本上都采用以廣播為技術(shù)基礎(chǔ)的以太網(wǎng)，任何兩個(gè)節(jié)點(diǎn)之間的通信數(shù)據(jù)包，不僅為這兩個(gè)節(jié)點(diǎn)的網(wǎng)卡所接收，同時(shí)也為處在同一以太網(wǎng)上的任何一個(gè)節(jié)點(diǎn)的網(wǎng)卡所截取。因此，黑客只要接入以太網(wǎng)上的任一節(jié)點(diǎn)進(jìn)行竊聽(tīng)，就可以捕獲發(fā)生在這個(gè)以太網(wǎng)上的所有數(shù)據(jù)包，對(duì)其進(jìn)行解包分析，從而竊取關(guān)鍵信息。這就是以太網(wǎng)存在的安全隱患。

VLAN是為解決以太網(wǎng)的廣播問(wèn)題和安全性而提出的一種協(xié)議。它是通過(guò)將網(wǎng)絡(luò)劃分為虛擬網(wǎng)絡(luò)VLAN網(wǎng)段，從而強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全，控制不必要的數(shù)據(jù)廣播。目前的VLAN技術(shù)主要有三種：基于交換機(jī)端口的VLAN、基于節(jié)點(diǎn)MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN?；诙丝诘腣LAN技術(shù)比較成熟，在實(shí)際應(yīng)用中使用較多。我們可以將重要的主機(jī)系統(tǒng)集中到一個(gè)VLAN里，使這個(gè)VLAN里不允許有任何用戶節(jié)點(diǎn)，從而較好地保護(hù)敏感的主機(jī)資源。也可以按機(jī)構(gòu)或部門的設(shè)置來(lái)劃分VLAN，各部門內(nèi)部的所有服務(wù)器和用戶節(jié)點(diǎn)都在各自的VLAN內(nèi)。VLAN內(nèi)部的計(jì)算機(jī)可以互相訪問(wèn)，取消了更多的訪問(wèn)控制。VLAN與VLAN之間互相是不通的，如果需要訪問(wèn)，可以通過(guò)三層交換機(jī)來(lái)實(shí)現(xiàn)，并根據(jù)需要設(shè)置精確的訪問(wèn)控制列表，只有授權(quán)用戶才能對(duì)該VLAN進(jìn)行訪問(wèn)。

二、防火墻和非法外聯(lián)檢測(cè)技術(shù)

現(xiàn)在的信息系統(tǒng)都不會(huì)是一個(gè)孤立的系統(tǒng)，或多或少都會(huì)與外部網(wǎng)絡(luò)有數(shù)據(jù)交換等聯(lián)系，如果控制不好就會(huì)遭到病毒、黑客的攻擊。在局域網(wǎng)與外部網(wǎng)絡(luò)之間設(shè)置防火墻，實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離與訪問(wèn)控制，是保護(hù)局域網(wǎng)安全最主要、最有效也是最經(jīng)濟(jì)的措施之一。防火墻通常被用來(lái)進(jìn)行網(wǎng)絡(luò)安全邊界的防護(hù)，事實(shí)證明，在內(nèi)網(wǎng)中不同安全級(jí)別的安全域之間采用防火墻進(jìn)行安全防護(hù)，不但能保證各安全域之間的相對(duì)安全，同時(shí)也為網(wǎng)絡(luò)日常運(yùn)行中各安全域訪問(wèn)權(quán)限的調(diào)整提供了便利條件。

三、建立入侵檢測(cè)系統(tǒng)

防火墻對(duì)我們的內(nèi)部局域網(wǎng)絡(luò)起到了很好的防護(hù)作用，但防火墻有一個(gè)缺陷就是防外不防內(nèi)。目前很大一部分網(wǎng)絡(luò)安全事件都是內(nèi)部人員所為。然而入侵檢測(cè)系統(tǒng)（IDS）就很好地解決了這一問(wèn)題，成為防火墻的延續(xù)。入侵檢測(cè)就是對(duì)發(fā)生在計(jì)算機(jī)系統(tǒng)或者網(wǎng)絡(luò)上的事件進(jìn)行監(jiān)視，分析是否出現(xiàn)入侵的過(guò)程。入侵監(jiān)測(cè)系統(tǒng)處于防火墻之后，對(duì)網(wǎng)絡(luò)內(nèi)部的信息做到實(shí)時(shí)監(jiān)控和預(yù)警，同時(shí)做到與防火墻的聯(lián)動(dòng)，給局域網(wǎng)中重要的安全域打造了一個(gè)動(dòng)態(tài)的實(shí)時(shí)防護(hù)屏障。

四、使用好網(wǎng)絡(luò)防病毒軟件

在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒有著不可估量的威脅性和破壞性，因此它的防范是網(wǎng)絡(luò)安全建設(shè)中重要的一環(huán)。防毒軟件應(yīng)該構(gòu)造全網(wǎng)統(tǒng)一的防病毒體系——主要面向MAIL 、Web服務(wù)器以及辦公網(wǎng)段的PC服務(wù)器和PC機(jī)等。主要功能為：支持對(duì)網(wǎng)絡(luò)、服務(wù)器和工作站的實(shí)時(shí)病毒監(jiān)控;提供定期在線更新病毒庫(kù)服務(wù);支持多種平臺(tái)的病毒防范;能夠識(shí)別廣泛的已知和未知病毒，包括宏病毒;支持對(duì)Internet服務(wù)器的病毒防治，能夠阻止惡意的Java或ActiveX小程序的破壞；支持對(duì)電子郵件附件的病毒防治，包括WORD、EXCEL中的宏病毒;支持對(duì)壓縮文件的病毒檢測(cè)等。

五、建立漏洞掃描系統(tǒng)和補(bǔ)丁分發(fā)系統(tǒng)

漏洞掃描系統(tǒng)通常是指基于漏洞數(shù)據(jù)庫(kù)，通過(guò)掃描等手段，對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性以及對(duì)發(fā)現(xiàn)可利用的漏洞進(jìn)行安全檢測(cè)的網(wǎng)絡(luò)防火墻軟件。網(wǎng)絡(luò)漏洞掃描系統(tǒng)是一種積極主動(dòng)的安全防護(hù)技術(shù)，能夠在網(wǎng)絡(luò)系統(tǒng)受到危害之前，及時(shí)發(fā)現(xiàn)安全隱患和漏洞，并提供安全防護(hù)解決方案。它利用模擬黑客攻擊的技術(shù)手段，對(duì)不同操作系統(tǒng)下的計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備進(jìn)行漏洞和隱患檢測(cè)，進(jìn)而分析和指出網(wǎng)絡(luò)的安全漏洞及被測(cè)系統(tǒng)的薄弱環(huán)節(jié)，給出安全評(píng)估報(bào)告和安全建議，使網(wǎng)絡(luò)安全員能在系統(tǒng)遭到攻擊前就能采取措施，避免攻擊。同時(shí)還要建立補(bǔ)丁分發(fā)系統(tǒng)，當(dāng)漏洞掃描系統(tǒng)檢測(cè)出漏洞或安全隱患，就會(huì)安裝相應(yīng)的補(bǔ)丁進(jìn)行修復(fù)。補(bǔ)丁分發(fā)系統(tǒng)可以對(duì)網(wǎng)內(nèi)的計(jì)算機(jī)進(jìn)行在線打補(bǔ)丁，也可以按照不同的策略機(jī)制，定時(shí)或強(qiáng)制進(jìn)行系統(tǒng)補(bǔ)丁的掃描和安裝。

編輯：張昀