關于局域網環(huán)境下若干安全問題及對策的介紹

　　雖然局域網采用的是專網形式，但因管理及使用方面等多種原因，計算機病毒也開始在局域網出現并迅速泛濫，給網絡工程安全帶來一定的隱患，對數據安全造成極大威脅，妨礙了機器的正常運行，影響了工作的正常開展。如何防范計算機病毒侵入計算機局域網和確保網絡的安全己成為當前面臨的一個重要且緊迫的任務。

　　4.1 局域網病毒

　　局域網病毒的入侵主要來自蠕蟲病毒，同時集病毒、黑客、木馬等功能于一身綜合型病毒不斷涌現。計算機病毒表現出以下特點：傳播方式和途徑多樣化;病毒的欺騙性日益增強病毒的傳播速度極快;病毒的制作成本降低;病毒變種增多;病毒難以控制和根治;病毒傳播更具有不確定性和跳躍性;病毒版本自動在線升級和自我保護能力;病毒編制采用了集成方式等。局域網病毒的傳播速度快，傳播范圍廣，危害也大。局域網病毒還特別難以清除，只要有一臺工作站的病毒未被徹底清除，整個網絡就有可能重新感染。

　　當計算機感染上病毒出現異常時，人們首先想到的是用殺毒軟件來清除病毒。但令人擔擾的是殺毒工具軟件被廣泛使用的今天，病毒的種類和數量以及所造成的損失不是逐年減少，反而是逐年增加。這表明殺毒工具軟件作為病毒防范的最主要工具，已顯露出重大缺陷----對病毒的防范始終滯后于病毒的出現。如何加強局域網病毒防護是保障網絡信息安全的關鍵。

　　4.2 計算機局域網病毒的防治措施

　　計算機局域網中最主要的軟硬件就是服務器和工作站，所以防治計算機網絡病毒應該首先考慮這兩個部分，另外要加強各級人員的管理 教育 及各項制度的督促落實。

　　(1)基于工作站的防治技術。局域網中的每個工作站就像是計算機網絡的大門，只有把好這道大門，才能有效防止病毒的侵入。工作站防治病毒的方法有三種：一、是軟件防治，即定期不定期地用反病毒軟件檢測工作站的病毒感染情況。二、是在工作站上插防病毒卡，防病毒卡可以達到實時檢測的目的，但防病毒卡的升級不方便，從實際應用的效果看，對工作站的運行速度有一定的影響。三、是在網絡接口卡上安裝防病病毒芯片它將工作站存取控制與病毒防護合二為一，可以更加實時有效地保護工作站及通向服務器的橋梁。但這種方法同樣也存在芯片上的軟件版本升級不便的問題，而且對網絡的傳輸速度也會產生一定的影響。上述三種方法都是防病毒的有效手段，應根據網絡的規(guī)模、數據傳輸負荷等具體情況確定使用哪一種方法。

　　(2)基于服務器的防治技術。服務器是網絡的核心，是網絡的支柱，服務器一旦被病毒感染，便無法啟動，整個網絡都將陷入癱瘓狀態(tài)，造成的損失是災難性的。難以挽回和無法估量的，目前市場上基于服務器的病毒防治采用NLM方法，它以NLM模塊方式進行程序設計，以服務器為基礎，提供實時掃描病毒的能力，從而保證服務器不被病毒感染，消除了病毒傳播的路徑，從根本上杜絕了病毒在網絡上的蔓延。

　　(3)加強計算機網絡的管理。計算機局域網病毒的防治，單純依靠技術手段是不可能十分有效地杜絕和防止其蔓延的，只有把技術手段和管理機制緊密結合起來，才有可能從根本上保護網絡系統的安全運行。一、從硬件設備及軟件系統的使用、維護、管理、服務等各個環(huán)節(jié)制定出嚴格的規(guī)章制度，對網絡系統的管理員及用戶加強法制教育和職業(yè)道德教育，不損人，不犯法，規(guī)范工作程序和操作規(guī)程，嚴懲從事非法活動的集體和個人。二、加強各級網絡管理人員的專業(yè)技能學習，提高工作能力，并能及時檢查網絡系統中出現病毒的癥狀。匯報出現的新問題、新情況，做到及時發(fā)現問題解決問題，同時在網絡工作站上經常做好病毒檢測的工作，把好網絡的第一道大門。

　　4.3 清除網絡病毒

　　一旦在局域網上發(fā)現病毒，應盡快加以清除，以防網絡病毒的擴散給整個系統造成更大的損失，具體過程為:

　　(1)立即停止使用受感染的電腦，并停止電腦與網絡的聯接,因為病毒會隨時發(fā)作，繼續(xù)使用受感染的電腦，只會加速該病毒的擴散,用broadcast命令通知包括系統管理員在內的所有用戶退網,關閉文件服務器。

　　(2)用干凈的系統盤啟動系統管理員工作站，并立即清除本機工作站中含有的病毒。

　　(3)用干凈的系統盤啟動文件服務器，系統管理員登錄后，使用disable longin禁止其他用戶登錄。

　　(4)用防病毒軟件掃描服務器上所有卷的文件，恢復或刪除被感染的文件，重新安裝被刪除的文件。

　　(5)若沒有最新的備份文件，可嘗試使用殺毒軟件把病毒清除，對在已染毒網絡上存取過的軟盤進行消毒。

　　(6)確信網絡病毒已全部徹底清除后，重新啟動網絡及各工作站。

　　5.局域網安全防范系統

　　5.1 防火墻系統

　　5.1.1 防火墻概述

　　防火墻是一種用來增強內部網絡安全性的系統，它將網絡隔離為內部網和外部網，從某種程度上來說，防火墻是位于內部網和外部網之間的橋梁和檢查站，它一般由一臺和多臺計算機構成，它對內部網和外部網的數據流量進行分析、檢測、管理和控制，通過對數據的篩選和過濾，來防止未授權的訪問進出內部計算機網，從而達到保護內部網資源和信息的目的。

　　防火墻是指設置在不同網絡(如可信任的 企業(yè) 內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內部網和Internet之間的任何活動，保證了內部網絡的安全。

　　5.1.2 防火墻的體系結構

　　5.1.2.1 雙重宿主主機體系結構

　　雙重宿主主機體系結構圍繞雙重宿主主機構筑。雙重宿主主機至少有兩個 網絡 接口。這樣的主機可以充當與這些接口相連的網絡之間的路由器;它能夠從一個網絡到另外一個網絡發(fā)送IP數據包。然而雙重宿主主機的防火墻體系結構禁止這種發(fā)送。因此IP數據包并不是從一個網絡(如外部網絡)直接發(fā)送到另一個網絡(如內部網絡)。外部網絡能與雙重宿主主機通信，內部網絡也能與雙重宿主主機通信。但是外部網絡與內部網絡不能直接通信，它們之間的通信必須經過雙重宿主主機的過濾和控制。

　　5.1.2.2 被屏蔽主機體系結構

　　雙重宿主主機體系結構防火墻沒有使用路由器。而被屏蔽主機體系結構防火墻則使用一個路由器把內部網絡和外部網絡隔離開，如圖4所示。在這種體系結構中，主要的安全由數據包過濾提供(例如，數據包過濾用于防止人們繞過代理服務器直接相連)。

　　這種體系結構涉及到堡壘主機。堡壘主機是因特網上的主機能連接到的唯一的內部網絡上的系統。任何外部的系統要訪問內部的系統或服務都必須先連接到這臺主機。因此堡壘主機要保持更高等級的主機安全。數據包過濾容許堡壘主機開放可允許的連接(什么是"可允許連接"將由你的站點的特殊的安全策略決定)到外部世界。

　　在屏蔽的路由器中數據包過濾配置可以按下列方案之一執(zhí)行：

　　(1)允許其它的內部主機為了某些服務開放到Internet上的主機連接(允許那些經由數據包過濾的服務);

　　(2)不允許來自內部主機的所有連接(強迫那些主機經由堡壘主機使用代理服務)。

　　5.1.2.3 被屏蔽子網體系結構

　　被屏蔽子網體系結構添加額外的安全層到被屏蔽主機體系結構，即通過添加周邊網絡更進一步的把內部網絡和外部網絡隔離開。被屏蔽子網體系結構的最簡單的形式為，兩個屏蔽路由器，每一個都連接到周邊網。一個位于周邊網與內部網絡之間，另一個位于周邊網與外部網絡之間。這樣就在內部網絡與外部網絡之間形成了一個“隔離帶”。為了侵入用這種體系結構構筑的內部網絡，侵襲者必須通過兩個路由器。即使侵襲者侵入堡壘主機，他將仍然必須通過內部路由器。

　　5.1.3 防火墻的功能

　　5.1.3.1 數據包過濾技術

　　數據包過慮技術是在網絡中的適當位置對數據包實施有選擇的通過的技術.選擇好依據系統內設置的過濾規(guī)則后,只有滿足過濾規(guī)則的數據包才被轉發(fā)至相應的網絡接口，而其余數據包則從數據流中被丟棄。數據包過濾技術是防火墻中最常用的技術。對于一個危險的網絡，用這種方法可以阻塞某些主機和網絡連入內部網絡，也可限制內部人員對一些站點的訪問。包過濾型防火墻工作在OSI 參考 模型的網絡層和傳輸層,它根據數據包頭源地址,目的地址,端口號和協議類型等標志確定是否允許通過,只有滿足過濾條件的數據包才被轉發(fā)到相應目的地,其余數據包則被數據流中阻擋丟棄。

　　5.1.3.2 網絡地址轉換技術

　　網絡地址轉換是一種用于把IP地址轉換成臨時的外部的、注冊的IP的地址標準,用戶必須要為網絡中每一臺機器取得注冊的IP地址[ 7 ] 。在內部網絡通過安全網卡訪

　　問外部網絡時,系統將外出的源地址和源端口映射為一個偽裝的地址和端口與外部連接,這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時,它并不知道內部網絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問7 ] 。防火墻根據預先定義好的映射規(guī)則來判斷這個訪問是否安全和接受與否。網絡地址轉換過程對于用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規(guī)操作即可。

　　5.1.3.3 代理技術

　　代理技術是在應用層實現防火墻功能,代理服務器執(zhí)行內部網絡向外部網絡申請時的中轉連接作用。

　　代理偵聽網絡內部客戶的服務請求,當一個連接到來時,首先進行身份驗證,并根據安全策略決定是否中轉連接。當決定轉發(fā)時,代理服務器上的客戶進程向真正的服務器發(fā)出請求,服務器返回代理服務器轉發(fā)客戶機的數據。

　　另一種情況是,外部網通過代理訪問內部網,當外部網絡節(jié)點提出服務請求時,代理服務器首先對該用戶身份進行驗證。若為合法用戶,則把該請求轉發(fā)給真正的某個內部網絡的主機。而在整個服務過程中,應用代理一直監(jiān)控著用戶的操作,一旦用戶進行非法操作,就可以進行干涉,并對每一個操作進行記錄。若為不合法用語,則拒絕訪問。

　　5.1.3.4 全狀態(tài)檢測技術

　　全狀態(tài)檢測防火墻在包過濾的同時，檢測數據包之間的關聯性，數據包中動態(tài)變化的狀態(tài)碼。它有一個檢測引擎，在網關上執(zhí)行網絡安全策略。監(jiān)測引擎采用抽取有關數據的方法對網絡通信的各層實施監(jiān)督測，抽取狀態(tài)信息，并動態(tài)地保存起來，作為以后執(zhí)行安全策略的參考。當用戶訪問請求到達網關是操作系統前，狀態(tài)監(jiān)測器要抽取有關數據進行分析，結合網絡配置和安全規(guī)定作出接納、拒絕、身份認證、報警或給該通信加密處理動作。

　　5.2 入侵檢測系統

　　5.2.1 入侵檢測系統概述

　　入侵檢測是指通過對行為、安全日志或審計數據或其它網絡上可以獲得的信息進行操作，檢測到對系統的闖入或闖入的企圖。入侵檢測技術是為保證 計算 機系統的安全而設計與配置的一種能夠及時發(fā)現并報告系統中未授權或異?，F象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統

　　5.2.2 入侵檢測原理

　　入侵檢測跟其他檢測技術有同樣的原理。從一組數據中，檢測出符合某一特點的數據。攻擊者進行攻擊的時候會留下痕跡，這些痕跡和系統正常運行的時候產生的數據混在一起。入侵檢測系統的任務是從這些混合的數據中找出是否有入侵的痕跡，并給出相關的提示和警告。

　　入侵檢測的第一步是信息收集，收集內容包括系統、網絡、數據及用戶活動的狀態(tài)和行為。由放置在不同網段的傳感器或不同主機的代理來收集信息，包括系統和網絡日志文件、網絡流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。

　　第二步是信息分析，收集到的有關系統、網絡、數據及用戶活動的狀態(tài)和行為等信息，被送到檢測引擎，檢測引擎駐留在傳感器中，一般通過三種技術手段進行分析：模式匹配、統計分析和完整性分析。當檢測到某種誤用模式時，產生一個告警并發(fā)送給控制臺。

　　第三步是結果處理，控制臺按照告警產生預先定義的響應采取相應措施，可以是重新配置路由器或防火墻、終止進程、切斷連接、改變文件屬性，也可以只是簡單的告警。

　　5.2.3 局域網入侵檢測系統的構建方法

　　根據CIDF規(guī)范，從功能上將IDS 劃分為四個基本部分：數據采集子系統、數據分析子系統、控制臺子系統、數據庫管理子系統。具體實現起來，一般都將數據采集子系統和數據分析子系統在Linux或Unix平臺上實現，稱之為數據采集分析中心;將控制臺子系統在Windows NT或2000上實現，數據庫管理子系統基于Access或其他功能更強大的數據庫如SQL等，多跟控制臺子系統結合在一起，稱之為控制管理中心。構建一個基本的IDS,具體需考慮以下幾個方面的內容。

　　首先，數據采集機制是實現IDS的基礎，數據采集子系統位于IDS的最底層，其主要目的是從網絡環(huán)境中獲取事件，并向其他部分提供事件。這就需要使用網絡監(jiān)聽來實現審計數據的獲取，可以通過對網卡工作模式的設置為“混雜”模式實現對某一段網絡上所有數據包的捕獲。然后，需要構建并配置探測器，實現數據采集功能。應根據自己網絡的具體情況，選用合適的軟件及硬件設備，如果網絡數據流量很小，用一般的PC機安裝Linux即可，如果所監(jiān)控的網絡流量非常大，則需要用一臺性能較高的機器;在服務器上開出一個日志分區(qū)，用于采集數據的存儲;接著應進行有關軟件的安裝與配置，至此系統已經能夠收集到網絡數據流了。

　　其次，應建立數據分析模塊。數據分析模塊相當于IDS的大腦，它必須具備高度的“智慧”和“判斷能力”,所以，在設計此模塊之前，需要對各種網絡協議、系統漏洞、攻擊手法、可疑行為等有一個很清晰、深入地研究，然后制訂相應的安全規(guī)則庫和安全策略，再分別建立濫用檢測模型和異常檢測模型，讓機器模擬自己的分析過程，識別確知特征的攻擊和異常行為，最后將分析結果形成報警消息，發(fā)送給控制管理中心。設計數據分析模塊的工作量浩大，需要不斷地更新、升級、完善。在這里需要特別注意3個問題。應優(yōu)化檢測模型和算法的設計，確保系統的執(zhí)行效率;安全規(guī)則的制訂要充分考慮包容性和可擴展性，以提高系統的伸縮性;報警消息要遵循特定的標準格式，增強其共享與互操作能力，切忌隨意制訂消息格式的不規(guī)范做法。

　　第三，需要構建控制臺子系統?？刂婆_子系統負責向網絡管理員匯報各種網絡違規(guī)行為，并由管理員對一些惡意行為采取行動(如阻斷、跟蹤等)?？刂婆_子系統的主要任務有：管理數據采集分析中心，以友好、便于查詢的方式顯示數據采集分析中心發(fā)送過來的警報消息;根據安全策略進行一系列的響應動作，以阻止非法行為，確保網絡的安全?？刂婆_子系統的設計重點是：警報信息查詢、探測器管理、規(guī)則管理及用戶管理。

　　第四，需要構建數據庫管理子系統。一個好的入侵檢測系統不僅僅應當為管理員提供實時、豐富的警報信息，還應詳細地記錄現場數據，以便于日后需要取證時重建某些網絡事件。數據庫管理子系統的前端程序通常與控制臺子系統集成在一起，用Access或其他數據庫存儲警報信息和其他數據。

　　第五，完成綜合調試。以上幾步完成之后，一個IDS的最基本框架已被實現。但要使這個IDS順利地運轉起來，還需要保持各個部分之間安全、順暢地通信和交互，這就是綜合調試工作所要解決的問題，主要包括要實現數據采集分析中心和控制管理中心之間的雙向通信及保證通信的安全性，最好對通信數據流進行加密操作，以防止被竊聽或篡改。同時，控制管理中心的控制臺子系統和數據庫子系統之間也有大量的交互操作，如警報信息查詢、網絡事件重建等。經過綜合調試后，一個基本的IDS就構建完成了，但是此時還不能放松警惕，因為在以后的應用中要不斷地對它進行維護，特別是其檢測能力的提高;同時還要注意與防火墻等其它系統安全方面的軟件相配合，以期從整體性能上提高局域網的安全能力。

　　6.局域網安全防范策略

　　一個網絡的防病毒體系是建立在每個局域網的防病毒系統上的，應該根據每個局域網的防病毒要求，建立局域網防病毒控制系統，分別設置有針對性的防病毒策略。

　　6.1 劃分VLAN 防止網絡偵聽

　　運用VLAN(虛擬局域網)技術，將以太網通信變?yōu)辄c到點通信，防止大部分基于網絡偵聽的入侵。目前的VLAN技術主要有三種：基于交換機端口的VLAN、基于節(jié)點MAC地址的VLAN和基于應用協議的VLAN?；诙丝诘腣LAN雖然稍欠靈活，但卻比較成熟，在實際應用中效果顯著，廣受歡迎?；贛AC地址的VLAN為移動計算提供了可能性，但同時也潛藏著遭受MAC欺詐攻擊的隱患。

　　6.2 網絡分段

　　局域網大多采用以廣播為基礎的以太網，任何兩個節(jié)點之間的通信數據包，不僅為這兩個節(jié)點的網卡所接收，也同時為處在同一以太網上的任何一個節(jié)點的網卡所截取。因此，黑客只要接入以太網上的任一節(jié)點進行偵聽，就可以捕獲發(fā)生在這個以太網上的所有數據包，對其進行解包分析，從而竊取關鍵信息，這就是以太網所固有的安全隱患。網絡分段就是將非法用戶與網絡資源相互隔離，從而達到限制用戶非法訪問的目的。所以網絡分段是保證局域網安全的一項重要措施。

　　6.3 以交換式集線器代替共享式集線器

　　對局域網的中心交換機進行網絡分段后，以太網偵聽的危險仍然存在。這是因為網絡最終用戶的接入往往是通過分支集線器而不是中心交換機，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當用戶與主機進行數據通信時，兩臺機器之間的數據包(稱為單播包Unicast Packet)還是會被同一臺集線器上的其他用戶所偵聽。一種很危險的情況是:用戶TELNET到一臺主機上，由于TELNET程序本身缺乏加密功能，用戶所鍵入的每一個字符(包括用戶名、密碼等重要信息)，都將被明文發(fā)送，這就給黑客提供了機會。因此，應該以交換式集線器代替共享式集線器，使單播包僅在兩個節(jié)點之間傳送，從而防止非法偵聽。當然，交換式集線器只能控制單播包而無法控制廣播包(Broadcast Packet)和多播包(Multicast Packet)。所幸的是，廣播包和多播包內的關鍵信息，要遠遠少于單播包。

　　6.4 實施IP/MAC 綁定

　　很多網關軟件實施流量過濾時都是基于IP或MAC地址，對控制普通用戶起到了很好的效果，但對于高級用戶就顯得無能為力了，因為不管是IP或是MAC地址都可以隨意修改。要實施基于IP或MAC地址過濾的訪問控制，就必須進行IP/MAC地址的綁定，禁止用戶對IP或MAC的修改。首先通過交換機實施用戶與交換機端口的MAC綁定，再通過服務器網絡管理實施IP/MAC綁定，這樣用戶既不能改網卡的MAC地址，也不能改IP地址。通過IP/MAC綁定后，再實施流量過濾就顯得有效多了。

　　7. 總結

　　網絡安全技術和病毒防護是一個涉及多方面的系統工程，在實際工作中既需要綜合運用以上方法，還要將安全策略、硬件及軟件等方法結合起來，構成一個統一的防御系統，又需要規(guī)范和創(chuàng)建必要的安全管理模式、規(guī)章制度來約束人們的行為。因此，局域網安全不是一個單純的技術問題，它涉及整個網絡安全系統，包括防范技術、規(guī)范管理等多方面因素。只要我們正視網絡的脆弱性和潛在威脅，不斷健全網絡的相關法規(guī)，提高網絡安全防范的技術是否被授權，從而阻止對信息資源的非法用戶使用網絡系統時所進行的所有活動的水平，才能有力地保障網絡安全。