浅谈局域网的安全管理与保障

摘要：随着网络的普及与应用，局域网被普遍的应用在我们的日常工作中，该文对局域网安全问题进行了探讨，并介绍了局域网中的安全防护措施。

关键词：局域网；安全防护

中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)29-7110-03

1 局域网安全概述

局域网是由特定类型的传输媒体（如电缆、光缆和无线媒体）和网络适配器（亦称为网卡）互连在一起的计算机网络系统。它被普遍的应用在我们的日常工作中。如何能够抵御来自各个方面的安全威胁。如何能够有效的维护网络的正常运行。这是一个不断变化的安全话题。

网络安全包含5大目标或者特征：

1) 机密性，对使用者进行授权，未经授权不得使用或无法使用就叫保密性，保密性建立在授权的基础上，授权说白了就是身份确认；

2) 完整性，保证数据无法被篡改、伪造，实际生活中我们常用签名和身份确认的方式保证信函的真实性，网络世界中也采用类似的数字签名实现完整性，而且完整性也是基于身份确认的；

3) 可用性，在合适的时机能够对服务请求进行响应，如网络、服务器在规定时间都保持可访问状态；

4) 可控性，能够控制信息的发送或接收，这取决于对信息的甄别，如发现危害信息能够立即采取措施禁止继续传播；

5) 可审查性，对网络行为进行记录，便于网络安全措施的改进，同时为网络故障定位提供线索。

围绕这5大目标，如何进行实现，这就是网络安全的4个层次：

1) 物理安全，即保证网络环境如机房、线路、办公网络设备被物理上损坏，比如线路被剪断或窃听，机房无权限控制，闲杂人等都可以随意进出，又如面对自然灾害，如何保证网络服务不中断，重要数据不丢失等。物理安全的文章主要在管理条例上，严格的管理和松散的管理对物理安全的作用是天壤之别，同时一旦网络出现物理安全故障，其损失无疑是巨大的。

2) 安全控制，对网络使用人员的控制，如通过用户名和口令核实身份，对不同身份用户开通不同的网络权限，同时对网络行为进行审计，安全控制不止是用于人员，还包括对网络设备身份的确认，如一些开放协议OSPF，就可以使用鉴权的手段避免和错误的设备建立连接，避免路由信息外泄。

3) 安全服务，对网络行为的安全保证，即实现信息的机密性、完整性和可用性。

4) 安全机制，安全服务的实现措施称为机制，如为了实现信息的机密性开发数字加密算法，为了实现信息完整性开发数字签名算法，为了提高服务可用性开发防火墙、IDS、IPS、UTM等。

上面提的网络安全都是一些名词，并没有提到如何安全，因为任何安全都分绝对安全和相对安全，一般而言绝对意义上的安全是无法实现的，比如面对自然灾害，我们的网络往往就会中断。在实际安全实施过程中考虑的是安全投资和安全程度的平衡，也就是相对安全，安全程度越高，需要的投资越高，对管理要求也越高。

2 局域网中的安全防护措施

如何在局域网中保护自我，不仅仅是管理员也是每个用户要掌握的技术。

2.1 防止入侵扫描

几乎所有的入侵都是从扫描开始的，攻击者首先判断目标主机是否存在，进而探测其开放的端口和存在的漏洞，然后根据扫描结果采取相应的攻击手段实施攻击。因此，防扫描是安全防护的第一步。防扫描做得好，就会让恶意攻击失去了目标。

攻击者采用的扫描手段是很多的，可以使用Ping、网络邻居、SuperScan、NMAP、NC、S扫描器等工具对目标计算机进行扫描。要针对这些扫描进行防范，首先要禁止ICMP的回应，当对方进行扫描的时候，由于无法得到ICMP的回应，扫描器会误认为主机不存在，从而达到保护自己的目的。另外，利用蜜罐技术进行扫描欺骗也是不错的方法。

2.1.1 防范措施

1) 关闭端口

关闭闲置和有潜在危险的端口。这个方法比较被动，它的本质是将除了用户需要用到的正常计算机端口之外的其他端口都关闭掉。因为就黑客而言，所有的端口都可能成为攻击的目标。可以说，计算机的所有对外通讯的端口都存在潜在的危险，而一些系统必要的通讯端口，如访问网页需要的HTTP(80端口);QQ(4000端口)等不能被关闭。

2) 屏蔽端口

检查各端口，有端口扫描的症状时，立即屏蔽该端口。这种预防端口扫描的方式通过用户自己手工是不可能完成的，或者说完成起来相当困难，需要借助软件。这些软件就是我们常用的网络防火墙。

2.1.2 防范工具

1) 系统防火墙

现在很多的防火墙都有禁止ICMP的设置，而Windows XP SP2自带的防火墙也包括该功能。启用这项功能的设置非常简单：执行“控制面板”“Windows防火墙”，点击“高级”选项卡，选择系统中已经建立的Internet连接方式(宽带连接)，点击旁边的“设置”按钮打开“高级设置”窗口，点击“ICMP”选项卡，确认没有勾选“允许传入的回显请求”，最后点击“确定”即可。

2) 第三方防火墙

在企业局域网中部署第三方的防火墙，这些防火墙都自带了一些默认的“规则”，可以非常方便地应用或者取消应用这些规则。当然也可以根据具体需要创建相应的防火墙规则，这样可以比较有效地阻止攻击者的恶意扫描。

3) 蜜罐技术

蜜罐工具很多，其原理大同小异，它会虚拟一台有“缺陷”的服务器，等着恶意攻击者上钩。在黑客看来被扫描的主机似乎打开了相应的端口，但是却无法实施工具，从而保护了真正的服务器，这也可以说是比较另类的防扫描手法。

2.2 防溢出，让攻击者无功而返

溢出是操作系统、应用软件永远的痛!在骇客频频攻击、系统漏洞层出不穷的今天，任何人都不能保证操作系统系统、应用程序不被溢出。既然溢出似乎是必然的，而且利用溢出攻击的门槛比较低，利用工具有一定电脑基础的人都可以完成一次溢出。这样看来，我们的系统就处于随时被溢出的危险中，所以防溢出也是我们必须要做的工作。

1) 必须打齐补丁

尽最大的可能性将系统的漏洞补丁都打完;Microsoft Windows Server系列的服务器系统可以将自动更新服务打开，然后让服务器在指定的某个时间段内自动连接到Microsoft Update网站进行补丁的更新。如果服务器为了安全起见禁止了对公网外部的连接的话，可以用Microsoft WSUS服务在内网进行升级。

2) 服务最小化

最少的服务等于最大的安全，停掉一切不需要的系统服务以及应用程序，最大限度地降底服务器的被攻击系数。比如前阵子的NDS溢出，就导致很多服务器挂掉了。其实如果WEB类服务器根本没有用到DNS服务时，大可以把DNS服务停掉，这样DNS溢出就对你们的服务器不构成任何威胁了。

3) 端口过滤

启动TCP/IP端口的过滤，仅打开服务器常用的TCP如21、80、25、110、3389等端口;如果安全要求级别高一点可以将UDP端口关闭，当然如果这样之后缺陷就是如在服务器上连外部就不方便连接了，这里建议大家用IPSec来封UDP。在协议筛选中只允许TCP协议、UDP协议 以及RDP协议等必需用协议即可;其它无用均不开放。

4) 系统防火墙

启用IPSec策略，为服务器的连接进行安全认证，给服务器加上双保险。封掉一些危险的端口，诸如：135 145 139 445 以及UDP对外连接之类、以及对通读进行加密与只与有信任关系的IP或者网络进行通讯等等。通过IPSec禁止UDP或者不常用TCP端口的对外访问就可以非常有效地防反弹类木马。

5) 系统命令防御

删除、移动、更名或者用访问控制表列Access Control Lists (ACLs)控制关键系统文件、命令及文件夹：攻击者通常在溢出得到shell后，来用诸如net.exe、net1.exe、ipconfig.exe、user.exe、query.exe、regedit.exe、regsvr32.exe来达到进一步控制服务器的目的。如：加账号、克隆管理员了等等。我们可以将这些命令程序删除或者改名。

访问控制表列ACLS控制找到%windir%system32下找到cmd.exe、cmd32.exe、net.exe、net1.exe、ipconfig.exe、tftp.exe、ftp.exe、user.exe、reg.exe、regedit.exe、regedt32.exe、regsvr32.exe这些黑客常用的文件，在“属性”“安全”中对他们进行访问的ACLs用户进行定义，诸如只给administrator有权访问，如果需要防范一些溢出攻击、以及溢出成功后对这些文件的非法利用;那么我们只需要将system用户在ACLs中进行拒绝访问即可。

如果你觉得在GUI下面太麻烦的话，你也可以用系统命令的CACLS.EXE来对这些.exe文件的Acls进行编辑与修改，或者说将他写成一个.bat批处理 文件来执行以及对这些命令进行修改。对磁盘如C、D、E、F等进行安全的ACLS设置从整体安全上考虑的话也是很有必要的，另外特别要对Windows、WinntSystem、Document and Setting等文件夹。

6) 组策略配置

想禁用“cmd.exe”，执行“开始运行”输入gpedit.msc打开组策略，选择“用户配置管理模板系统”，把“阻止访问命令提示符”设为“启用”。同样的可以通过组策略禁止其它比较危险的应用程序。

7) 服务降级

对一些以System权限运行的系统服务进行降级处理。比如：将Serv-U、Imail、IIS、Php、Mssql、Mysql等一系列以 System权限运行的服务或者应用程序换成其它administrators成员甚至users权限运行，这样就会安全得多了。但前提是需要对这些基本运行状态、调用API等相关情况较为了解。

其实，关于防止如Overflow溢出类攻击的办法除了用上述的几点以外，还有很多种办法：比如通过注册表进行建立相应的键值，进行设置;写防护过滤程序用DLL方式加载windows到相关的SHell以及动态链接程序之中这类。当然自己写代码来进行验证加密就需要有相关深厚的Win32编程基础了，以及对Shellcode较有研究。

2.3 防窃密，让恶意用户无可奈何

在资源比较紧缺的企事业单位中多人共用一台电脑是非常普遍的，或者在某些企业中有那么一些公共电脑供大家使用。既然多人使用，存储在这些电脑上的公共资料以及个人资料就没有什么安全性可言，极易造成信息的泄密，因此如何安全部署这些公用电脑是摆在管理员面前的一个必须要解决的问题。

管理员要实施对这些公共电脑的权限控制，就必须得考虑采用什么操作系统。由于Server版系统的安全性远远高于个人版系统，一般在这样的电脑上安装Windows Server 2003或者Windows Server 2008这样的系统。另外，要设置用户权限系统分区格式必须是NTFS格式。

管理员制定安全策略，为每个用户在公共电脑上建立私人文件夹仅供个人使用，另外建一个共享文件夹让大家使用。具体步骤：

在文件公共电脑上建立NTFS分区，然后为每个用户创建一个账号，再创建一个组包含所有的用户。为每个用户创建一个共享文件夹，在设置共享权限的时候去掉Everyone组，将对应的个人用户账号添加进来，然后根据需要设置权限。为所有的人创建一个共享文件夹，再在设置共享权限的时候去掉Everyone组，将第一步中创建的包含所有用户的组添加进来，然后根据需要设置权限即可。

公共文件夹里的内容是只许大家看的，但有些恶意用户会删除其中的文件，因此还要做好防删除措施。关于局域网中公共电脑的安全部署因为具体的安全要求、应用需求等不同会有所不同，上面的两个策略是最常见的。在实际应用中，关键是制定安全策略，然后利用技术去实现。

3 结束语

防扫描、防溢出、防窃密这是局域网安全安防的重点，但不是全部。另外，安全防护不仅仅是技术，还是意识。只有让每个用户提高自身的安全意识，然后利用相应的技术才能最大程度地保证局域网的安全。

参考文献：

[1] 杨义先,钮心忻.网络安全理论与技术[M].人民邮电出版社,2003.

[2] Linda McCarthy.信息安全一企业抵御风险之道[M].赵学良,译.北京:清华大学出版社,2003.