浅析局域网的安全及对策

摘 要 目前局域网在各领域中的应用日益广泛, 网络的安全问题逐渐受到人们的重视和关注,本文通过对局域网的现状和网络不安全因素的分析展开探讨，提出几点关于网络安全方面的可行性建议。

关键词 局域网 网络安全 局域网安全

中图分类号：TP393 文献标识码：A

网络安全从其本质上讲就是网络上的信息安全，指网络系统的硬件、软件及系统中的数据受到保护，避免偶然的或者恶意的原因而遭受到破坏、更改、泄露，确保网络系统连续可靠正常地运行。局域网的安全主要包括物理安全与逻辑安全。物理安全主要指网络硬件的维护、使用及管理等；逻辑安全是从软件的角度提出的，主要指数据的保密性、完整性、可用性等。

一、常用局域网的攻击方法

1、ARP欺骗 。

ARP（地址解析协议）是一种将IP地址转化成物理地址的协议。ARP具体地说就是将网络层地址解析为数据连接层的MAC地址。在局域网内数据包传输依靠的是MAC地址，IP地址与MAC对应的关系依靠ARP缓存表，在正常情况下这个缓存表能够有效的保证数据传输的一对一性，但是在ARP缓存表的实现机制中存在一个不完善的地方，当主机收到一个ARP的应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。因此简单点说ARP欺骗的目的就是为了实现全交换环境下的数据监听与篡改。

临时处理对策：

（1）能上网情况下，输入命令arp -a，查看网关IP对应的正确MAC地址，将其记录下来。如果已经不能上网，则运行一次命令arp -d将arp缓存中的内容删空，计算机可暂时恢复上网，然后立即将网络断掉（禁用网卡或拔掉网线），再运行arp -a。

（2）如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，输入命令：arp -s；但在计算机关机重启后这种绑定会失效，需要再绑定。可以把该命令放在autoexec.bat中，每次开机即自动运行。

2、网络监听。

网络监听 (Sniffer)是将网络上传输的数据捕获并进行分析的行为。网络监听在协助网络管理员监测网络传输数据，排除网络故障等方面具有不可替代的作用，因而备受网络管理员的青睐。然而，在另一方面网络监听也给网络安全带来了极大的隐患，许多的网络入侵往往都伴随着网络监听行为，从而造成口令失窃，敏感数据被截获等连锁性安全事件。

二、局域网病毒及防治

局域网病毒的入侵主要来自蠕虫病毒，同时集病毒、黑客、木马等功能于一身综合型病毒不断涌现。因此加强局域网病毒防护是保障网络信息安全的关键。 防治网络病毒应重点考虑以下三个部分:

1、基于工作站的防治技术。(1)软件防治，即定期不定期地用反病毒软件检测工作站的病毒感染情况；(2)在工作站上插防病毒卡，达到实时检测的目的；(3)在网络接口卡上安装防病病毒芯片，可以更加实时有效地保护工作站及通向服务器的桥梁。

2、基于服务器的防治技术。服务器是网络的核心，是网络的支柱，服务器一旦被病毒感染，便无法启动，整个网络都将陷入瘫痪状态，造成的损失将是灾难性的。目前市场上基于服务器的病毒防治采用NLM方法，以服务器为基础，提供实时扫描病毒的能力，从而保证服务器不被病毒感染，消除了病毒传播的路径，从根本上杜绝了病毒在网络上的蔓延。

3、加强计算机网络的管理。（1）从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度，对网络系统管理员及用户加强法制教育和职业道德教育，规范工作程序和操作规程。（2）加强各级网络管理人员的专业技能学习，提高工作能力，并能及时检查网络系统中出现病毒的症状。

三、局域网安全防范系统

防火墙是设置在不同网络或网络安全域之间的一系列部件的组合。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。防火墙具有以下功能 ：

1、数据包过滤技术。

数据包过虑技术是在网络中的适当位置对数据包实施有选择的通过的技术.选择好依据系统内设置的过滤规则后,只有满足过滤规则的数据包才被转发至相应的网络接口，而其余数据包则从数据流中被丢弃。

2、网络地址转换技术 。

网络地址转换是一种用于把IP地址转换成临时的外部的、注册的IP的地址标准,用户必须要为网络中每一台机器取得注册的IP地址 。在内部网络通过安全网卡访问外部网络时,系统将外出的源地址和源端口映射为一个伪装的地址和端口与外部连接,这样对外就隐藏了真实的内部网络地址。防火墙根据预先定义好的映射规则来判断某个访问是否安全和接受与否。

3、技术 。

技术是在应用层实现防火墙功能,服务器执行内部网络向外部网络申请时的中转连接作用。

另一种情况是,外部网通过访问内部网,当外部网络节点提出服务请求时,服务器首先对该用户身份进行验证。

4、全状态检测技术 。

防火墙在包过滤的同时，检测数据包之间的关联性，数据包中动态变化的状态码。它有一个检测引擎，在网关上执行网络安全策略。监测引擎采用抽取有关数据的方法对网络通信的各层实施监督测，抽取状态信息，并动态地保存起来，作为以后执行安全策略的参考。当用户访问请求到达网关是操作系统前，状态监测器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密处理动作。

四、入侵检测系统（IDS）

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。入侵监测系统处于防火墙之后，作为防火墙的延续,对网络活动进行实时监测。

从功能上将IDS 划分为四个基本部分：数据采集子系统、数据分析子系统、控制台子系统、数据库管理子系统。

五、局域网安全防范策略

1、划分VLAN 防止网络侦听 。

运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，防止大部分基于网络侦听的入侵。目前的VLAN技术主要有三种：基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。

2、网络分段。

局域网多采用以广播为基础的以太网，任何两个节点之间的通信数据包，可以被处在同一以太网上的任何一个节点的网卡所截取。在接入以太网上的任一节点进行侦听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息，这是以太网所固有的安全隐患。网络分段就是将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的，所以网络分段是保证局域网安全的一项重要措施。

3、以交换式集线器代替共享式集线器。

对局域网的中心交换机进行网络分段后，以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所侦听。因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法侦听。

4、实施IP/MAC 绑定。

启动IP 地址绑定采用上网计算机IP 地址与MCA 地址唯一对应，网络没有空闲IP 地址的策略。由于采用了无空闲IP 地址策略，可以有效防止IP 地址起的网络中断和移动计算机随意上内部局域网络造成病毒传播和数据泄密。

六、总结

网络安全技术和病毒防护是一个涉及多方面的系统工程，在实际工作中需要综合运用以上方法，还要将安全策略、硬件及软件等方法结合起来，构成一个统一的立体防御系统，同时加强规范和创建必要的安全管理模式、规章制度来约束员工的行为。只有这样才能确保整个局域网安全、稳定、高效的运行。

（作者:烟台市牟平区社会劳动保险事业分处计算机科工程师）

参考文献：

[1]张亚平. 计算机网络安全.人民邮电出版社.

[2]刘功申.计算机病毒及其防治技术.清华大学出版社.

[3]王秀和、杨明 .计算机网络安全技术浅析.