对局域网的安全管理(精选15篇)
1.对局域网的安全管理 篇一
可能现在对局域网上网用户限制比较多,比如不能上一些网站,不能玩某些游戏,不能上MSN,端口限制等等,一般就是通过代理服务器上的软件进行限制,如现在谈的最多的ISAServer,或者是通过硬件防火墙进行过滤,下面谈谈如何突破限制,需要分限制情况进行说明:
一、单纯的限制某些网站
不能访问,网络游戏(比如联众)不能玩,这类限制一般是限制了欲访问的IP地址。
对于这类限制很容易突破,用普通的HTTP代理就可以了,或者SOCKS代理也是可以的。现在网上找HTTP代理还是很容易的,一抓一大把。在IE里加了HTTP代理就可以轻松访问目的网站了。
二、限制了某些协议
如不能FTP了等情况,还有就是限制了一些网络游戏的服务器端IP地址,而这些游戏又不支持普通HTTP代理。
这种情况可以用SOCKS代理,配合Sockscap32软件,把软件加到SOCKSCAP32里,通过SOCKS代理访问。一般的程序都可以突破限制。对于有些游戏,可以考虑PermeoSecurityDriver这个软件。如果连SOCKS也限制了,那可以用socks2http了,不会连HTTP也限制了吧。
三、基于包过滤的限制
或者禁止了一些关键字。这类限制就比较强了,一般是通过代理服务器或者硬件防火墙做的过滤。比如:通过ISAServer2004禁止MSN,做了包过滤。这类限制比较难突破,普通的代理是无法突破限制的。
这类限制因为做了包过滤,能过滤出关键字来,所以要使用加密代理,也就是说中间走的HTTP或者SOCKS代理的数据流经过加密,比如跳板,SSSO,FLAT等,只要代理加密了就可以突破了,用这些软件再配合Sockscap32,MSN就可以上了。这类限制就不起作用了。
四、基于端口的限制
限制了某些端口,最极端的情况是限制的只有80端口可以访问,也就只能看看网页,连OUTLOOK收信,FTP都限制了。当然对于限制几个特殊端口,突破原理一样。
这种限制可以通过以下办法突破,1、找普通HTTP80端口的代理,12.34.56.78:80,象这样的,配合socks2http,把HTTP代理装换成SOCKS代理,然后再配合SocksCap32,就很容易突破了。这类突破办法中间走的代理未加密。通通通软件也有这个功能。2、用类似FLAT软件,配合SocksCap32,不过所做的FLAT代理最好也是80端口,当然不是80端口也没关系,因为FLAT还支持再通过普通的HTTP代理访问,不是80端口,就需要再加一个80端口的HTTP代理。这类突破办法中间走的代理加密,网管不知道中间所走的数据是什么。代理跳板也可以做到,不过代理仍然要80端口的。对于单纯是80端口限制,还可以用一些端口转换的技术突破限制。可以参考我下边的帖子。
五、以上一些限制的综合
比如有限制IP的,也有限制关键字,比如封MSN,还有限制端口的情况,
一般用第四种情况的第二个办法就可以完全突破限制。只要还允许上网,呵呵,所有的限制都可以突破。
六、还有一种情况就是你根本就不能上网
没给你上网的权限或者IP,或者做IP与MAC地址绑定了。两个办法:
1、你在公司应该有好朋友吧,铁哥们,铁姐们都行,找一个能上网的机器,借一条通道,装一个小软件就可以解决问题了,FLAT应该可以,有密钥,别人也上不了,而且可以自己定义端口。。其他能够支持这种方式代理的软件也可以。我进行了一下测试,情况如下:局域网环境,有一台代理上网的服务器,限定了一部分IP,给予上网权限,而另一部分IP不能上网,在硬件防火墙或者是代理服务器上做的限制。我想即使做MAC地址与IP绑定也没有用了,照样可以突破这个限制。
在局域网内设置一台能上网的机器,然后把我机器的IP设置为不能上网的,然后给那台能上网的机器装FLAT服务器端程序,只有500多K,本机通过FLAT客户端,用SOCKSCAP32加一些软件,如IE,测试上网通过,速度很快,而且传输数据还是加密的,非常棒。
第一步:在我的机器上(192.168.1.226)启动HTTPTunnel客户端。启动MS-DOS的命令行方式,然后执行htc-F8888192.168.1.231:80命令,其中htc是客户端程序,-f参数表示将来自192.168.1.231:80的数据全部转发到本机的8888端口,这个端口可以随便选,只要本机没有占用就可以。
然后我们用Netstat看一下本机现在开放的端口,发现8888端口已在侦听。
第二步:在对方机器上启动HTTPTunnel的服务器端,并执行命令
“hts-flocalhost:2180”,这个命令的意思是说把本机21端口发出去的数据全部通过80端口中转一下,并且开放80端口作为侦听端口,再用Neststat看一下他的机器,就会发现80端口现在也在侦听状态。
第三步:在我的机器上用FTP连接本机的8888端口,现在已经连上对方的机器了,快点去下载吧!
可是,人家看到的怎么是127.0.0.1而不是192.168.1.231的地址?因为我现在是连接本机的8888端口,防火墙肯定不会有反应,因为我没往外发包,当然局域网的防火墙不知道了。现在连接上本机的8888端口以后,FTP的数据包不管是控制信息还是数据信息,都被htc伪装成HTTP数据包然后发过去,在防火墙看来,这都是正常数据,相当于欺骗了防火墙。
需要说明的是,这一招的使用需要其他机器的配合,就是说要在他的机器上启动一个hts,把他所提供的服务,如FTP等重定向到防火墙所允许的80端口上,这样才可以成功绕过防火墙!肯定有人会问,如果对方的机器上本身就有WWW服务,也就是说他的80端口在侦听,这么做会不会冲突?HTTPTunnel的优点就在于,即使他的机器以前80端口开着,现在这么用也不会出现什么问题,正常的Web访问仍然走老路子,重定向的隧道服务也畅通无阻!
2.对局域网的安全管理 篇二
1. 局域网设计遵循的基本原则
一是安全性, 也就是说局域网在设计的过程中, 必须要支持最先进的信息安全技术, 防止非法入侵而使单位的数据资料丢失。二是拓展性, 局域网系统在设计时, 要考虑到能够依据实际需要进行系统拓展与升级, 这种升级能够保持系统内部整体布局不变, 仅需要增加一定的机器设备, 就可以把原网接入到新网, 以避免对原网的破坏, 而无端增加投入, 提高成本。三是标准性, 对局域网络进行规划的过程中, 必须要采用符合标准的结构与布局。四是实用性, 这是局域网设计必须遵循的一个基本原则, 系统必须要符合现阶段与今后单位实际发展的需求, 充分利用好当前的硬件、软件资源, 系统的设计要易于使用与维护。五是先进性, 局域网在设计时, 要尽量采用国内外较为成熟、先进的网络技术与设备, 一方面能够提高工作效率, 另一方面能够更容易的与更新与升级。六是灵活性, 系统必须支持多个厂家的应用平台以及多个工业标准, 这样更有利于开放式系统的构建。
2. 局域网络的组建
2.1 硬件方面
现阶段, 大部分企业采用的都是星型网络拓扑结构作为局域网的拓扑结构, 因为这种拓扑结构相对简单, 容易扩展。局域网在进行硬件组建时, 先在电脑上装上网卡, 然后将电脑重启, 重启之后电脑会对软件进行自动搜索, 并会对安装的驱动程序进行提示, 通常情况下电脑会自带windows 2008或Win7系统, 接着安装网线, 用户可以基于成本与实际传输情况两方面进行考虑。目前, 计算机设备都会支持100Mbps的传输速度, 最长的传送距离能够高达100米。这样的设置足以满足了多数用户的局域网组建要求, 我们在布线的过程中要注意尽量减少布线的长度, 因为这样可以减少电磁对传输数据的干扰。
2.2 软件方面
因为目前的计算机操作系统普遍采用的是微软公司推出的Windows视窗操作系统, 所以, 我们在设置时基本上都是相同的。在Windows操作系统中, 存在着三种形式的网络协议, 即:PX/SPX、TCP/IP与NetBEUI, 这三种协议可以满足各种不同的网络需求, 而且各自的试用范围并不一样。我们在对局域网进行组建时, 对协议的选择要从实际出发, 根据组建单位的网络规模、管理方式以及网络之间的兼容性等因素进行考虑。比如组建一个单网段的局域网络, 还没有对外连接的情况下, 可以选择NetBEUI协议;如果局域网络要求具有高效性、可拓展性以及可互联性, 那么最好选择TCP/IP协议。总之, 单位必须从实际出发, 有针对性对协议进行选择。
2.3 对于IP地址配置方面
对局域网组建的过程中, 需要进行计算机网内对等互连时, 就要对IP地址进行配置, 我们可以选择自动获取IP地址这一选项。需要将局域网与外部网络进行连接时, 则需要手动对IP地址进行设置, 同一个局域网其IP地址的取值一定是唯一的, 而IP取值的范围是1到254。
2.4 与互联网络连接共享方面
互联网络连接共享是指将一个局域网内不同电脑之间进行网页浏览、收发邮件以及文件下载等等。我们在进行局域网络与互联网的连接时, 只要安装一部电话和一个调制解调器就可以了, 然后将一台计算机作为主机来使用, 其它客户端电脑则通过组成互联网来实现网络的连接与共享。当一个客户端的用户需要对互联网进行访问时, 需要向主机发出一个请求, 主机再通过互联网将客户机需要的信息取回, 发送给客户机, 从而实现资源的共享。
3. 局域网的优化策略
3.1 设备的优化策略
(1) 网线。对于网线的选择, 表面上看是一件非常普通的事情, 但是它在局域网组建过程中扮演着非常重要的角色, 如果接口制作不合理或者没有注意到网线的选择, 那么就会影响到局域网优化的成果。局域网所选购的网线多是5类与超5类, 3类与4类双绞线则通常是用在10M/bps的互联网中。
(2) 网卡。网卡通常是选择100M/bps的, 知名品牌有Intel、3COM以及联想等等。我们在选择网卡时, 如果这一网卡支持100M带宽, 那么与之相连接的交换机也必须是100M端口, 这时, 我们必须将网卡属性中的“媒体类型”这一选项设置成“自动选择”或者“100BaseTx”。
(3) 交换设备。交换机与HUB的性能优化主要是体现在二者的级联上, 当需要HUB之间, 或者HUB与交换机之间进行级联时, 我们必须要注意到HUB的带宽是所有端口共用的, 所以, 每一个端口所利用的带宽是总带宽与所用端口数的商。因此, 我们通常并不是用HUB进行级联, 而将HUB与交换机的端口进行连接, 这样, 带宽的就不会受到交换机端口数量的影响。
3.2 软件系统的优化策略
(1) 对服务器硬盘进行正确分区。在对服务器硬盘进行分区时, 必须按照实际需要进行设置, 如果想要在服务器上安装财务管理软件、SQL数据库以及进销存管理软件, 那么就要将硬盘分成三个区域, 同时也在注意到C盘, C盘的选择通常为10G (如果服务器总硬盘大小为40G) , 进销存管理软件与SQL数据库则安装在别的分区, 因为如果安装在C盘里, 必然会影响到系统运行的速度, 其大小应该为20G左右, 财务管理软件等其它软件安装其余的盘里, 这部分大小为10G。
(2) 协议优化。我们在进行协议安装时, 要看工作站所使用操作系统的具体情况来定, 通常情况下一个工作站, 最好是使用同一个类型的操作系统, 不然服务器就需要安装不同的协议, 这样不利于统一管理。
(3) 工作站的优化策略。工作站操作系统的安装必须要以不同硬件设备的档次, 选择不同类型的操作系统为原则。从协议方面来说, 通常只是安装相应的操作系统与服务器通信所需要的协议就可以了, 不需要安装目前实际不需要的协议。比如在NetWare系统中, 则安装IPX/SPX与TCP/IP协议。从软件安装方面来说, 工作站与服务器一样, 也要进行分区安装, 不可以把全部软件均安装在C盘之中, 这样势必会影响到系统整体的运行速度。同时也不要把许多不必要的软件系统安放在启动工作组中, 尽量减少桌面快捷方式的数量, 这样都可以提高工作站的运行效率。
参考文献
[1]周伟, 王黎, 高晓蓉.局域网组建的探讨[J].科学咨询 (教育科研) , 2007, (06) .
[2]周伟, 王黎, 李金龙.局域网组建方案的探讨[J].中国科技信息, 2007, (12) .
[3]李科峰.浅谈小型局域网的组建与应用[J].网络安全技术与应用, 2007, (03) .
[4]王国成.计算机局域网的组建与管理[J].中国科技信息, 2008, (22) .
3.对局域网的安全管理 篇三
关键词:VLAN;第三层交换;路由器;交换技术
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)15-30657-03
Research and Realization of VLAN Configuring Technology
XU Xiao-lin
(Faculty of Mathematics and Computer Science of Hubei University, Wuhan 430062, China)
Abstract:With the fast development of enterprise network, campus network and broadband network, the application of the exchanger based on the third exchange and router technique has developed from the initial major layer and mixed layer in the network center to the insertion layer of the network edge. In this paper, the chird exchange and router technique, and the applicationof the VLAN technique is presented, and the configuration of VLAN in LAN based on the CISCO exchanger is also introduced.
Key words:VLAN; the third exchange; router; exchanger technique
1 引言
随着局域网交换技术的发展,VLAN技术已经发展为网络供应商提供的具有交换功能的局域网解决方案的功能之一,越来越受到人们的关注。VLAN又称虚拟局域网,是由位于不同物理局域网段的设备组成,虽然VLAN所连接的设备来自不同的网段,但是相互之间可以进行直接通信,好像处于同一网段中一样。相比较传统的局域网布局,VLAN技术更加灵活。
2 什么是三层交换和VLAN
要回答这个问题我们还是先看看以太网的工作原理。以太网的工作原理是利用二进制位形成的一个个字节组合成一帧帧的数据(其实是一些电脉冲)在导线中进行传播。
首先,以太网网段上需要进行数据传送的节点对导线进行监听,这个过程称为CSMA/CD(Carrier Sense Multiple Access with Collision Detection带有冲突监测的载波侦听多址访问)的载波侦听。也就是说在CSMA/CD方式下,在一段时间段,只有一个节点能够在导线上传送数据。而转发以太网数据帧的联网设备是集线器,它是一层设备,传输效率比较低。冲突的产生降低了以太网的带宽,而且这种情况又是不可避免的。所以,当导线上的节点越来越多后,冲突的数量将会增加。显儿易见的解决方法是限制以太网导线上的节点,需要对网络进行物理分段。将网络进行物理分段的网络设备用到了网桥与交换机。网桥与交换机的基本作用是只发送去往其它物理网段的信息。所以,如果所有的信息都只发往本地的物理网桥,那么网桥和交换机上就没有信息通过。这样可以有效减少网络上的冲突。网桥和交换机是基于目标MAC(介质访问控制)地址做出转发决定的,他们是二层设备。
我们已经知道了以太网的缺点及物理网段中冲突的影响,现在,我们来看看另外一种导致网络降低运行速度的原因:广播。广播存在于所有的网络上,如果不对它们进行适当的控制,它们便会充斥于整个网络,产生大量的网络通信。广播不仅消耗了带宽,而且也降低了用户工作站的处理效率。由于各种各样的原因,网络操作系统(NOS)使用了广播,TCP/IP使用了广播从IP地址中解析MAC地址,还使用广播通过RIP和IGRP协议进行宣告,所以,广播也是不可避免的。网桥和交换机将对所有的广播信息进行转发,而路由器不会。所以,为了对广播进行控制,就必须使用路由器。路由器是基于第3层报头、目标IP寻址、目标IPX寻址或目标Appletalk寻址做出转发决定。路由器是三层设备。
在这里,我们就容易理解三层交换技术了,通俗地讲,就是将路由与交换合二为一的技术。路由器在对第一个数据流进行路由后,将会产生一个MAC地址与IP地址的映射表,当同样的数据流再次通过时,将根据此映射表直接从二层进行交换而不是再次路由,提供线速性能,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发效率。采用此技术的交换机我们常称为三层交换机。
那么,什么是VLAN呢?VLAN(Virtual Local Area Network)就是虚拟局域网的意思。VLAN可以不考虑用户的物理位置,而根据功能、应用等因素将用户从逻辑上划分为一个个功能相对独立的工作组,每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。同一个VLAN中的成员都共享广播,形成一个广播域,而不同VLAN之间广播信息是相互隔离的。这样,将整个网络分割成多个不同的广播域(VLAN)。一般来说,如果一个VLAN里面的工作站发送一个广播,那么这个VLAN里面所有的工作站都接受到这个广播,但是交换机不会将广播发送至其它VLAN上的任何一个端口。如果要将广播发送到其它的VLAN端口,就要用到三层交换机。
3 如何配置三层交换机创建VLAN
以下的介绍都是基于Cisco交换机的VLAN。Cisco的VLAN实现通常是以端口为中心的,与节点相连的端口将确定它所驻留的VLAN。将端口分配给VLAN的方式有两种,分别是静态的和动态的,形成静态VLAN的过程将端口强制性地分配给VLAN的过程。即我们先在VTP(VLAN Trunking Protocol)Server上建立VLAN,远后将每个端口分配给相应的VLAN的过程。这是我们创建VLAN最常用的方法。动态VLAN的形成很简单,有具体的机器决定自己属于哪个VLAN。即我们先建立一个VMPS(VLAN Membership Policy Server)VLAN管理策略服务器,里面包含一个文本文件,文件中存在有与VLAN映射的MAC地址表。交换机根据这个映射表决定将端口分配给何种VLAN。这种方式有很大优势,但创建数据库是一项非常艰苦而繁琐的工作。
下面以我校实例说明如何在一个典型的快速以太网中实现VLAN。所谓典型局域网就是指由一台具备三层交换机功能的核心交换机接几台分支交换机(不一定具备三层交换能力)。我们假设核心交换机名称为:COM;分支交换机分别为:PAR1,PAR2,PAR3,分别通过Port1的光线模快与核心交换机相连;并且假设VLAN名称分别为COUNTER,MARKET,MANAGING……。
需要做的工作是:
(1)设置VTP DOMAIN(核心、分支交换机上都设置);
(2)配置中继(核心、分支交换机上都设置);
(3)创建VLAN(在server上设置);
(4)将交换机端口划入VLAN;
(5)配置三层交换。
3.1 设置VTP DOMAIN
VTP DOMAIN称为管理域。交换VTP更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连,那么只要在核心交换机上设置一个管理域,网络上所有的交换机都加入该域,这样管理域里所有的交换机就能够了解彼此的VLAN列表。
COM#vlan database 进入VLAN配置模式
COM(vlan)#vtp domain COM设置VTP管理域名称COM
COM(vlan)#vtp server 设置交换机为服务器模式
PAR1#vlan database 进入VLAN配置模式
PAR1(vlan)#vtp domain COM设置VTP管理域名称COM
PAR1(vlan)#vtp Client 设置交换机为客户端模式
依次设置分支交换机PAR2和PAR3,注意:这里设置核心交换机为Server模式是指允许在交换机上创建、修改、删除VLAN及其他一些对整个VTP域的配置参数,同步本VTP域中其他交换机传递来的最新的VLAN信息;Client模式是指本交换机不能创建、删除、修改VLAN配置,也不能在NVRAM中存储VLAN配置,但可同步由本VTP域中其它交换机传递来的VLAN信息。
3.2 配置中继
为了保证管理域能够覆盖所有的分支交换机,必须配置中继。
Cisco交换机能够支持任何介质作为中继线,为了实现中继可使用其特有的ISL标签。ISL(Inter-Swith Link)是一个在交换机之间、交换机与路由器之间及与服务器之间传递多个VLAN信息及VLAN数据流的协议,通过在交换机直接相连的端口配置ISL封装,即可跨越交换机进行整个网络的VLAN分配和进行配置。
在核心交换机端口配置如下:
COM(config)#interface gigabitEthernet 2/1
COM(config-if)#switchport
COM(config-if)#switchport trunk encapsulation isl 配置中继器协议
COM(config-if )#switchport mode trunk
依次配置gigabitEthernet 2/2、gigabitEthernet 2/3。
在分之交换机上配置如下:
PAR1(config)#interfacegigabitEthernet 0/1
PAR1(config-if)#switchport mode trunk
依次配置PAR2、PAR3。
……
此时,管理域算是设置完毕了。
3.3 创建VLAN
一旦建立了管理域,就可以创建VLAN了。
COM(vlan)#vlan 10 name COUNTER 创建了一个编号为10名字为COUNTER的VLAN
COM(vlan)#vlan 11 name MARKET 创建了一个编号为11名字为MARKET的VLAN
COM(vlan)#vlan 12 name MANAGING 创建了一个编号为12名字为MANAGING的VLAN
……
注意,这里的VLAN是在核心交换机上建立的,其实,只要是在管理域中的任何一台 VTP属性为Server 的交换机上建立VLAN,它就会通过VTP 通告整个管理域的所有交换机。但如果要将具体的交换机端口划入某个VLAN,就必须在该端口所属的交换机上进行设置。
3.4 将交换机端口划入VLAN
例如,要将PAR1、PAR2、PAR3……分支交换机的端口1划入COUNTER VLAN,端口2划入MARKER VLAN,端口3划入MANAGING VLAN……。
PAR1(config)#interface fastEthernet 0/1配置端口1
PAR1(config-if)#switchport access vlan 10 归属COUNTER VLAN
PAR1(config)#interface fastEthernet 0/2配置端口2
PAR1(config-if)#switchport access vlan 11 归属MARKET VLAN
PAR1(config)#interface fastEthernet 0/3配置端口3
PAR1(config-if)#switchport access vlan 12 归属MANAGINGVLAN
依次配置PAR2、PAR3。
……
3.5 配置三层交换机
到这里,VLAN已经基本划分完毕。但是,VLAN间如何实现三层(网络层)交换呢?这时就要给各VLAN分配网络(IP)地址。给VLAN分配IP地址分两种情况,其一,给VLAN所有的节点分配静态IP地址;其二,给VLAN所有的节点分配动态IP地址。下面就这两种情况分别介绍。
假设给VLAN COUNTER分配的接口IP地址为172.16.58.1/24,网络地址为172.16.58.0
VLAN MARKET分配的接口IP地址为172.16.59.1/24,网络地址为172.16.59.0
VLAN MANAGING分配的接口IP地址为172.16.60.1/24,网络地址为172.16.60.0
……
如果动态分配IP地址,则设网络上的DHCP服务器IP地址为172.16.1.11
3.5.1 给VLAN所有的节点分配静态IP地址
首先在核心交换机上分别设置各VLAN的接口IP地址。核心交换机将vlan 作为一种接口对待,就象路由器上的一样,如下所示:
COM(config)#interface vlan 10
COM(config-if)#ip address 172.16.58.1255.255.255.0 VLAN10 接口IP
COM(config)#interface vlan 11
COM(config-if)#ip address 172.16.59.1255.255.255.0 VLAN11 接口IP
COM(config)#interface vlan 12
COM(config-if)#ip address 172.16.60.1255.255.255.0 VLAN12 接口IP
……
再在各接入VLAN的计算机上设置与所属VLAN的网络地址一致的IP地址,并且把默认网关设置为该VLAN的接口地址。这样,所有的VLAN也可以互访了。
3.5.2 给VLAN所有的节点分配动态IP地址
首先在核心交换机上分别设置各VLAN的接口IP 地址和同样的DHCP服务器的IP 地址,如下所示:
COM(config)#interface vlan 10
COM(config-if)#ip address 172.16.58.1255.255.255.0VLAN10 接口IP
COM(config-if)#ip helper-address 172.16.1.11 DHCP Server IP
依次配置vlan 11、vlan 12。
……
再在DHCP服务器上设置网络地址分别为172.16.58.0,172.16.59.0,172.16.60.0的作用域,并将这些作用域的“路由器”选项设置为对应VLAN的接口IP地址。这样,可以保证所有的VLAN 也可以访问了。
最后在各接入 VLAN的计算机进行网络设置,将IP地址选设置为自动获得IP地址即可。
4 路由器中对VLAN的配置
router eigrp 1
network 172.16.58.0
network 172.16.59.0
network 172.16.60.0
5 结束语
VLAN有效控制了整个网络中广播信息的流量, 简化网络设备的变更。合理划分VLAN会使网络变得简单。以上是对我校的情况建立的一个VLAN,希望能对大家起到抛砖引玉的作用。
参考文献:
[1]魏大新. Cisco网络技术教程. 北京:电子工业出版社,2004.
[2]王群. 局域管理与维护全接触. 清华大学出版社,2004.
[3]张公忠. 现代网络技术教程,清华大学出版社(第二版),2004.
4.无线局域网的网络安全 篇四
1. 扩频、跳频无线传输技术本身使盗听者难以捕捉到有用的数据;
2. 设置严密的用户口令及认证措施,防止非法用户入侵;
3. 设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容,
4. 采取网络隔离及 措施;
1. 扩展频谱技术
扩展频谱技术在50年前第一次被军方公开介绍,它用来进行保密传输。从一开始它就设计成抗噪音、干扰、阻塞和未授权检测。扩展频储发送器用一个非常弱的功率信号在一个很宽的频率范围内发射出去,与窄带射频相反,它将所有的能量集中到一个单一的频点。扩展濒谱的实现方式有多种,最常用的两种是直接序列和跳频序列。
2. 用户认证---口令控制
我们推荐在无线网的站点上使用口令控制----当然未必要局限于无线网。诸如Novell NetWare和Microsoft NT等网络操作系统和服务器提供了包括口令管理在内的内建多级安全服务。口令应处于严格的控制之下并经常予以变更。由于无线局域网的用户要包括移动用户,而移动用户倾向于把他们的笔记本电脑移来移去,因此,严格的口令策略等于增加了一个安全级别,它有助于确认网站是否正被合法的用户使用。
3. 数据加密
假如您的数据要求极高的安全性,譬如说是商用网或军用网上的数据,那么您可能需要采取一些特殊的措施,
最后也是最高级别的安全措施就是在网络上整体使用加密产品。数据包中的数据在发送到局域网之前要用软件或硬件的方法进行加密。只有那些拥有正确密钥的站点才可以恢复,读取这些数据。如果需要全面的安全保障,加密是最好的方法。一些网络操作系统具有加密能力。基于每个用户或服务器、价位较低的第三方加密产品也可以胜任,象McAfeeAssicoate的NetCrypto或Captial Resour-ces Snare等加密产品能够确保唯有授权用户可以进入网络、读取数据,而每个用户只须为此支付大约50美元。鉴于第三方加密软件开发商致力于加密事务,并可为用户提供最好的性能、质量。服务和技术支持,WLAN赞成使用第三方加密软件。
4. 其他无线网络方面的考虑
无线局域网还有些其他好的安全特性。首先无线接人点会过滤那些对相关无线站点而言毫无用处的网络数据,这就意味着大部分有线网络数据根本不会以电波的形式发射出去;其次,无线网的节点和接入点有个与环境有关的转发范围限制,这个范围一般是几英尺。这使得 者必须处于节点或接人点的附近。最后,无线用户具有流动性,他们可能在一次上网时间内由一个接人点移动至另一个接人点,与之对应,他们进行网络通信所使用的跳频序列也会发生变化,这使得 几乎毫无可能。
结论
5.对局域网的安全管理 篇五
局域网上网行为管理到底是什么呢?简单的来讲局域网上网行为管理就是在我们上局域网的时候会被管理着。一般局域网上网行为管理会在企业和学校应用比较广泛。
在企业,几乎没有不用局域网上网行为管理技术的,为什么局域网上网行为管理在企业会这么的受欢迎?这和企业的商业利益有着密切相关的联系。到底有多大的联系,让我们来一起看看吧。
首先,商业机密是对于企业最重要的一个利益。这关系到企业的重要文件及核心技术。这种重要文件、核心技术是其他有不良动机的企业所梦寐以求的。所以,就不乏有人会盗取这些重要文件和商业机密。最简单的,只需复制一下原文件即可获得这些重要文件和商业机密了。人可以去小心翼翼的监视,但总会有失误或顾及不到的时候。如果有什么软件可以代替人力的话不是更好吗?机器总不会疲劳吧。局域网上网行为管理能有效的监视、监控和记录局域网上的电脑的活动行为,一旦发现有异常的文件调取行为就会立即进行反馈,使我们的工作人员在第一时间内收到消息并做出相应的措施,从而避免企业重大的损失。
其次,就是讲究效率,每一个企业最看重的就是工作效率,因为效率越高就意味着收益越高。可局域网使得公司员工可以拥有一天二十四小时的上网时间,那么这么长的时间是不是大部分时间都会应用在工作上呢?事实总是没有我们期待的那么美好,实际上,有很多员工都会利用上班时间来做一些私人的事情,比如说上网聊QQ、玩网络游戏、看电影、网上购物等等。有太多的工作时间被私人事情所占据着,这就会极大的影响了工作效率。但有了局域网上网行为管理软件就不同了,员工的一切网上行为都可以监视到,在网上炒股、什么时间购的物,与谁谁聊天、聊的什么内容,全都一清二楚。很恐怖吧,这就使得许多员工不敢再用上班时间做一些私人事情了,从而大大的提高了企业的工作效率。
最后就是企业自身的安全性了。一个企业有着庞大的数据系统,那么其内部数据的安全性也是极其重要的一部分,保护内部数据的安全、防止数据的丢失也是局域网上网管理软件的一个重要的作用。员工上班可能会浏览一些不良网站,而这些网站可能会有一些木马病毒。而一但企业计算机中毒就会对其内部数据构成威胁。局域网上网管理却可以严格限制一些不良网站,阻止员工浏览一些不良网站,从而从根本上阻止一些病毒的侵入,保护企业的内部数据不受到病毒的攻击。
6.企业局域网上网行为管理的重要性 篇六
网络应用技术的发展,企业在局域网中的网络安全管理也越来越难,当网络出现故障时,企业网管需要在最短时间内找到问题所在并解决,单纯的靠路由器、杀毒软件并不能满足企业的需求,这就需要用到专业的上网行为管理软件。
那么造成网络瘫痪,带宽堵塞的根本原因是什么呢?核心在于员工工作时间不当使用网络造成的,员工经常利用公司的访问有问题的网站,上班时间下载电影,或者直接看网络电视。
工作比较清闲的员工更是利用上班时间在线看肥皂剧,从而造成了公司网络带宽的极大消耗,导致处理ERP,内部EMAIL的宝贵带宽被占用。
原因非常简单,一旦公司网络更快,导致下载电影比员工家庭网络更快,那么就将导致更多的员工直接在公司网络"蹭网”,也就导致问题更严重,进入增加带宽,导致更多非业务应用的”死亡螺旋”。
传统企业管理比如考勤,比如指纹打卡,等等方式,都是基于以往简单工作情况的管理,我们称之为“静态管理”,而现在企业直接连接互联网后,员工在上班时间购物,看电影,如果企业不予管控,那么所有传统的考勤将失去意义,所以我们必须在上班的8个小时,对员工上网的内容进行管理,这个称之为“动态管理”。现代企业必须补好动态管理这堂课。
要想解决这些问题补好该补的功课,企业首先应该想到的是规范员工上网,通过完善公司内控制度,提高员工安全上网,规范上网的意识,保护公司利益。企业要对员工有上网行为相关的培训,培养其良好的工作上网习惯。
7.局域网的数据安全管理解决方案 篇七
网络安全的威胁有:(1)病毒。目前数据安全的头号大敌是计算机病毒,它是编制者在计算机程序中插入的破坏计算机功能或数据,影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等特点。因此,提高对病毒的防范刻不容缓。(2)黑客。对于计算机数据安全构成威胁的另一个方面是来自电脑黑客。电脑黑客利用系统中的安全漏洞非法进入他人计算机系统,其危害性非常大。
企业网的边界是企业数据安全的第一道防线。子网越大,把所有主系统保持在相同的安全性水平上的可管理能力就越小。随着安全性的失策和失误越来越普遍,入侵就时有发生,给企业的数据安全带来威胁。在网络边缘,也就是不同网络、不同安全域交汇的地方,有必要部署足够的安全措施,以保障网络的安全。在公司的网络边缘,可部署一台统一威胁管理(UTM)设备,来提供互联网接入、网络安全防护等一系列功能。UTM设备不仅仅是防火墙(FW),而且是FW+虚拟专用网(VPN)+入侵防护(IPS)+网关防毒(AV)的结合。它能够提供主动威胁防御,在攻击蔓延于网络前就能及时阻挡攻击,控制网络行为和应用程序流量,有效防范黑客攻击。
二、数据的存储和备份
每个企业都会产生大量的关键数据,这些数据需“备份”,这意味着这些数据要存储在容易访问和检索的地方。每家企业都可能遭遇停电、火灾和意外损坏等情况,如果没有备份关键的数据和信息,将会导致严重的后果,要将丢失的数据恢复需付出较高的成本。
(一)数据的存储
公司数据的存储根据系统功能和重要性的不同,部分数据直接存放在本地硬盘;部分数据(如数据量非常大或增长速度快的数据)存放在磁盘阵列或存储设备(SAN)的硬盘上。
1. 应用独立冗余磁盘阵列(RAID)技术
公司系统全部采用RAID技术对硬盘作阵列。RAID是一种把多块独立的硬盘(物理硬盘)按不同的方式组合起来形成一个硬盘组(逻辑硬盘),从而提供比单个硬盘更好的存储性能,并提供数据备份。用户数据一旦发生损坏后,利用备份信息可以使损坏数据得以恢复,从而保障了用户数据的安全性。在用户看来,组成的磁盘组就像是一个硬盘,用户可以对它进行分区、格式化等。
RAID级别的选择有3个主要因素:可用性(数据冗余)、性能和成本。若不要求可用性,选择RAID0以获得最佳性能。如果可用性和性能是重要的而成本不是一个主要因素,则根据硬盘数量选择RAID 1。如果可用性、成本和性能都同样重要,则根据一般的数据传输和硬盘的数量选择RAID3、RAID5。应用了RAID技术后,系统在任何一块硬盘出现问题的情况下都可以继续工作。
2. 存储区域网络(SAN)技术
SAN是建立在存储协议基础之上的可使服务器与存储设备之间进行“any to any”连接通信的存储网络系统。由于SCSI技术在带宽、安全性、连接柔韧性方面的局限,人们开发了一种新的通道技术———光纤通道技术,利用光纤通道可以创造一个有别于以前的LAN的SAN。
对于数据量大且对读写速度要求较高的系统,将这些系统接入到SAN上,使用SAN上的硬盘。SAN消除了服务器的许多I/O瓶颈,适合大数据量传输、实时数据处理,SAN提供了将来存储需求的突破性技术。
(二)数据的备份
根据公司实际情况,对于数据的备份分成两个方面。公司系统很多,特别是近期部署了多个实时系统。针对这种情况,一方面沿用了过去一直在使用的TSM备份策略;另一方面,对于实时系统和需要并行使用的系统,采用EMC的Time Finder技术来进行备份。
1. TSM备份
对于文件系统或其他非实时系统,采用Tivoli TSM技术来进行备份和恢复。Tivoli TSM是一个企业级的Client/Server结构跨平台网络备份、恢复及存储管理软件。TSM Client主要功能是向TSM-Server提供需要备份的数据,或向TSM Server索取已备份数据及归档数据以便Client恢复数据。TSMServer负责管理TSM Client的备份数据、备份策略及管理连接在TSM Server上的各类存储产品。
TSM备份采用一台服务器作为备份服务器,磁带库通过光纤或SCIS与备份服务器相连。具体备份流程如下:
机房的某服务器通过TSM的Tivoli管理软件发送到TSM备份服务器端,再由服务器端将接收的相关数据传送到磁带库中予以保存管理。若干个备份在服务器端体现为一个个的备份作业进行排队等待,在介质管理和使用上由服务器端统一协调管理。如果需要恢复数据,TSMClient端只要通过非常简单易用的图形界面或由应用程序发出指令指出恢复哪些对象文件,TSMServer自动从磁带库中取出文件,交给TSMClient。
2. SAN的备份
对于SAN上数据的备份采用了EMC的Time Finder技术,它使数据存储系统和存储管理者能够在后台状态下,为主机和开放系统数据存储器创建可独立寻址的BCV卷,这些BCV卷是当前生产卷的镜像。BCV卷建立后,还可与生产镜像卷分割开,一旦BCV卷上的任务完成,又可与生产卷重新同步化,重新指定给另一个生产卷,或为另一个任务保持“现状”。这样,由于备份的原因被关闭或至少慢下来的企业的应用系统能保持正常运行。SAN备份服务器采用Networker数据备份软件。备份服务器和磁带库接入SAN,通过SAN完成备份,指令流走IP网络,数据流走SAN网络,恢复也是同样。利用Time Finder技术,对于使用SAN上的数据做开发工作时也十分高效和便利。由于BCV卷和生产卷同步后可以得到一份完整的生产数据拷贝,使开发和测试用的数据和生产数据卷完全分离开来,大大提高了生产系统在开发新应用时的安全性。由于开发过程使用了真实的生产数据,因此新开发的应用程序具有了更高的代码质量。当BCV卷的内容在开发过程中被修改或被破坏,如果想再使用“干净”的数据继续进行开发和测试,只需要将BCV卷和生产数据进行再同步即可,然后BCV卷的数据就可以继续做开发工作。
(三)数据的恢复
数据备份的主要目的是保证数据的完整性,但是备份是否有效、是否可靠,即系统出问题后能否有效恢复数据是十分关键的。通过对AIX上的Domino和Windows下的文件系统数据做恢复试验,数据备份是可信的。
三、病毒的防范措施
在网络病毒日益猖獗的今天,病毒的攻击甚至会造成系统的崩溃,防范工作必不可少。公司对于网络上的所有服务器都安装了Symantec企业版防病毒软件,并利用公司内部的WSUS服务器进行系统补丁的分发。
四、结语
8.局域网管理的两个侧重方面 篇八
【关键词】配置管理 安全管理
随着网络技术的发展,出现了越来越多的网络,在网络发展的同时,网络用户也在急剧增加,网络的管理工作也日益繁重复杂。管理一个拥有数百、数千,乃至上万、上百万个用户的网络实在是一个令人很头疼的问题,网络如果管理得不好就会引起很大的麻烦,尤其是当今的网络无所不在,一旦网络的某个部分出现故障,说不定就会真的牵一发而动全身,例如证券交易系统是一秒钟都不可以出现故障的,否则整个证券交易就会出现极大的混乱;核武器预警与控制系统更不能允许出现丝毫的网络故障,否则也许会给整个人类带来灾难,以及以前发生的海底电缆故障也给中国众多的网络用户带来了极大的不便,等等。由此可见,网络管理也成了IT行业中一个独立的分支,是一门要求较高的技术,有时可以称作是一门艺术。
保证网络的正常运行是每个网络管理员义不容辞的责任,一个合格的网络管理员不仅要有丰富的硬件和软件知识,还要具备一定的网络管理策略。笔者从配置管理、安全管理两个方面侧重谈下网络管理。
一、网络管理模式和功能
1、网络管理模式。网络管理中一般可以采用管理者——代理的管理模型,管理者通常为网络中的位于网络主干位置的计算机,它负责发出管理网络的操作指令,并从代理那儿接收信息,而代理通常位于网络中被管理者的内部,它负责接收来自管理者的信息并负责转换为被管理者所能理解折指令,完成管理操作,向管理者发送反馈信息。一般情况下,被管理者中的代理只向管理者发送自身的信息。但有时网络中还有另一种转换代理,它可以将管理者发送的管理信息转换成不同类型设备都能理解的信息,同样也能向管理者发送其他被管理者的信息,这样管理者就可以通过使用转换代理来管理网络上的多种不同类型的设备。
2、网络管理的功能。在20世纪80年代出现了许多不同类型的网格体系,各大公司都在推出自已开发的产品,虽然它们各自符合ISO的OSI参考模型或者IEEE的802标准,但是网络的发展使得连在一起的不同类型的网络之间的管理越来越困难。为了能够在不同的网络环境中对网络施行有效地管理,迫切需要制定一套规范的网络管理标准以适应形势的发展,因此ISO就制定了网络管理标准。目前,所有的计算机网络设备都支持ISO标准。在网络管理标准中,ISO定义了网络管理的五大功能,它们是配置管理、安全管理、性能管理、故障管理和计费管理。除此之外,网络有时还需要进行其他方面的管理,例如财产管理、规划管理等等。而且由于网络的用途不同、规模不同,需要管理的,内容和要求也会有所区别,具体情况要具体对待。
二、配置管理
配置管理就是了解网络的用途、要求及具体的网络(网络的结构和设备及其安装位置)的过程。一般情况下,网络管理员对其管理的网络都应有具体的网络分布结构图,从图上可以了解到网络的拓朴结构、网络的规模、网络涉及的范围、网络的布线和网络的节点的情况,以及所采用的访问控制方式、组网方式,是有线还是无线网络,有线网络采用何种电缆和连接设备,无线网络使用的是何种传输介质等。网络管理员手边还应有一份网络设备的清单,从中可以了解网络上的电源、服务器、客户机、HUB等硬件的类别、数量、性能以及它们的各种配置情况,同时还要了解这些设备的位置分布情况,因为这些设备随着网络的拓朴结构和访问控制方式的不同而不同。
除了以上可见的网络部分以外,软件方面的管理也很重要。如网络使用的服务器操作系统的类型及其分布、服务器的配置、网络所使用的协议、每台设备的地址、网关的分布、网络上的服务或代理、网络应用软件等。
三、安全管理
安全管理是在了解网络配置以后最重要的网络管理工作,相对于性能管理、故障管理、计费管理而言,安全管理如果出了问题,造成数据的泄密、丢失或破坏,所引起的风险往往是最大的。一旦数据不安全的话,再好的网络性能、再少的网络故障也会黯然失色。安全管理就是要保证网络的运行安全,它涉及网络的方方面面。
1、供电安全。安全方面所碰到的第一个问题就是供电的安全问题。一个网络如果失去电力供应,就会彻底停止工作。造成供电中断的原因是多种多样的,电厂发电机的故障、供电线路的故障、雷击等都会直接或间接引起电力供应的中断。所以通常网络上的有源设备都配有一个不间断电源(UPS)特别是服务器这类关键设备。UPS在电力供应中断时为设备提供电力,使设备平安度过无电时间直到供电恢复,或者为设备保存数据、备份数据的时间以避免数据丢失。
2、资源安全。网络安全首先是指网络的物理安全。一个物理不安全的网络是毫无意义的,因此所有的网络设备应放在一个能够避免雨淋、雷击等自然灾害和纵火、撞擊等人为破坏的地方,例如服务器应放在一个安全、适宜的位置,最好将服务器锁进机房,不要让无关的人员进入,同时房间内保持适宜的温度和湿度,这样服务器就既不会被人为地故意破坏,也不会受环境的影响而工作不正常;网络的布线也要尽量隐藏在建筑物内,如穿过天花板,排入墙壁、地板等,避开易使网络线受损的位置,避免用户接触网络线。
3、资源安全。网络的物理安全性得到保障之后,就应该考虑网络资源的安全性了。网络管理员必须使网络上的所有资源不受破坏,也不能让非法用户能够访问这些资源,所以就需为网络用户确定网络访问权限和访问密码等策略。目前有两种保护网络资源安全模型:密码保护共享(又称共享级安全性)和访问许可(又称用户级安全性)。
参考文献:
[1] 《局域网组建应用学管理从入门到精通》.一线文化室.电子工业出版社.
9.对局域网的安全管理 篇九
切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以 了。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从安全网关上网,切换过程中用户会再断一次线。
【快速查找】在WebUIà系统状态à系统信息à系统历史记录中,看到大量如下的信息:
MAC SPOOF 192.168.16.200
MAC Old 00:01:6c:36:d1:7f
MAC New 00:05:5d:60:c7:18
这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址)。
同时在安全网关的WebUIà高级配置à用户管理à读ARP表中看到所有用户的MAC地址信息都一样,或者在WebUIà系统状态à用户统计中看到所有用户的MAC地址信息都一样。
如果是在WebUIà系统状态à系统信息à系统历史记录中看到大量MAC Old地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在安全网关上恢复其真实的MAC地址)。
在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址,那么我们就可以使用NBTSCAN(下载地址:www.utt.com.cn/upload/nbtscan.rar)工具来快速查找它。
NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有”传奇木马”在做怪,可以找到装有木马的PC的IP/和MAC地址。
命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192.168.16.137,
输出结果第一列是IP地址,最后一列是MAC地址。
NBTSCAN的使用范例:
假设查找一台MAC地址为“000d870d585f”的病毒主机。
1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。
2)在Windows开始à运行à打开,输入cmd(windows98输入“command”),在出现的DOS窗口中输入:C: btscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回车。
3)通过查询IP--MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。
【解决办法】
采用双向绑定的方法解决并且防止ARP欺骗。
1、在PC上绑定安全网关的IP和MAC地址:
1┦紫龋获得安全网关的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa)。
2)编写一个批处理文件rarp.bat内容如下:
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
将文件中的网关IP地址和MAC地址更改为实际使用的网关IP地址和MAC地址即可。
将这个批处理软件拖到“windowsà开始à程序à启动”中。
3)如果是网吧,可以利用收费软件服务端程序(pubwin或者万象都可以)发送批处理文件rarp.bat到所有客户机的启动目录。Windows的默认启动目录为“C:Documents and SettingsAll Users「开始」菜单程序启动”。
2、在安全网关上绑定用户主机的IP和MAC地址:
10.对局域网的安全管理 篇十
在网络中,我们可以搜索资讯、获取新闻、收发邮件、聊天、游戏、在线电影、购物炒股、网上课堂等,网络已经成为企业发展必不可少的一部分。
据调查显示在办公上网时间过长、遭受仿冒诈骗、办公时间玩网络游戏和因网络安全缺口而带来的工作风险等方面,国内企业的威胁很严峻。要想让公司局域网络能够发挥其最大的功效,局域网员工上网行为已经到了非管不可的地步了。
小草上网行为管理软路由正是企业所急需的专业局域网管理软件,能对企业局域网流量控制管理、员工的上网行为管理等,都非常有效。
小草的上网行为管理功能在控制员工上网方面做的十分精细,管理者可以有选择的设置网络黑白名单,从而把工作和娱乐分的一清二楚,让员工上班时间只能浏览与工作相关的网站,其他的娱乐、新闻和旅游购物网站统统禁止掉,同时如果员工上班开小差的话,而对P2P的管理成为当前局域网网络管理的最紧迫的课题,小草上网行为管理对P2P软件下载管理非常有效,可以限制禁止迅雷、QQ旋风、快车、电驴等下载软件的使用,避免局域网因为个别员工肆无忌惮地下载而变得非常忙,同时也能够限制其下载速度,满足基本的工作下载需求。
控制聊天,限制网络炒股,屏蔽网络游戏方面,小草上网行为管理软路由更是做到了简单智能管理,企业管理者只要勾选要控制的选项就可以轻轻松松一键解决这些问题,网管可以自定义添加所要禁止的网页、程序应用等。
11.局域网的安全攻防测试与分析 篇十一
关键词:局域网安全 局域网安全测试 局域网安全体系
0 引言
随着我国信息化的高速发展,互联网的迅速普及,人们在享受网络带来的便捷的同时,也面临着越来越多的网络安全隐患。因此,局域网安全建设就是在这种背景下提出的。所谓局域网安全就是指在一个局部的地理范围内,如学校、单位、工厂等,将各种计算机、外部设备和数据库等互相联接起来组成的计算机通信网络系统没有被危险虚拟事物侵害的状态。加强局域网安全建设可以切实有效地保护用户系统信息,从而保证信息的完整性和机密性等。
1 局域网安全
局域网只在一个认为选定的区域内,有一个中心网络服务器以及多台电脑共同组成的网络系统。由于在局域网之间不同电脑使用者往往会彼此分享、共用打印机、电子传真、文档、电子邮件以及应用软件等等,在局域网为生活和工作带来极大方便的同时,局域网安全问题也逐步浮上水面。
1.1 当前局域网所受的安全威胁 如今,局域网已经成工作生活之中必不可少的一部分,然而局域网也随着面临着数据泄露、身份冒用、非法入侵等等问题。为此,某些企业、机构建立的自己的局域网安全系统,并且使用了相关的网络安全使用制度,但是,在实际之中,由于用户个人对局域网的安全使用不明确、安全体系有漏洞、安全工具未得到正确的使用以及各种病毒木马的非法入侵,使得局域网并非预计中的那么安全。
1.2 局域网安全威胁类型
1.2.1 物理安全隐患。物理安全是局域网安全的基础,硬件设施的完善才能更好的建设高层建筑。然而,物理安全环节往往是局域网安全体系构建中最容易被忽视的环节。物理安全主要有两个方面构成:一是设备自身安全,二是外围环境安全。设备安全主要指做好基础设施,包括电源的正确使用,良好的硬件设施。外围环境安全则指尽量避免自然灾害,如地震火灾,磁场干扰。
1.2.2 软件漏洞。不管是windows、linux的操作系统,我们日常使用的应用软件漏洞是在所难免的,然而这些漏洞往往会成为被攻击的薄弱环节,攻击者会通过应用软件的本身缺口,以及下载应用软件绑定下载安装过程进行安全攻击,这个时候,我们可以通过安装系统补丁,开启防火墙,在正规网站下载正规官方软件等等措施进行安全防护。防火墙是局域网的一道有效防线,也是第一道主要防线。它是一个小型的个体防御系统,可以有效地保护电脑内部资源,明确界定网络的服务和便捷,也同时授权控制访问内容并进行安全审核。防火墙能够通过过滤不安全的服务来最大可能的降低受侵害的可能性。
1.2.3 病毒以及黑客入侵。在用户使用外网的过程之中,由于用户对病毒的防范意识不强以及使用不当,外网病毒可能会入侵使用外网的电脑用户,进而入侵整个局域网,并造成巨大的损失。计算机病毒感染也是威胁局域网安全的主要因素之一。计算机病毒会严重影响计算机的正常运行,对系统文件和数据造成破坏,导致计算机瘫痪,严重的可以使整个局域网用户造成入侵,是每个局域网用户遭受所有的迫害。由于网络病毒具有感染速度快,执行性强,破坏性强,具有较高的隐藏性,传播形式复杂并具有继续感染能力等等特点,往往会给整个局域网带来不可挽回的破坏。黑客是指对他人电脑和网络进行黑客非法入侵的人,我们一般称其为黑客。黑客会带有目的或者纯属娱乐的进行入侵,主要形式包括盗取数据、篡改数据、破坏网络系统以及监视通信讯号。造成的损失包括数据丢失、系统瘫痪等等问题。
2 局域网的安全攻防策略
2.1 基于Internet的防火墙安全策略 典型的局域网主要通过用户设置的共享的网络或者由路由器来实现内外部的信息通讯,两者之间的数据流控制是计算机网络安全的关键。防火墙是由软件、硬件构成的系统,用来在两个网络之间实施接入控制策略。防火墙可以有效地解决内外部网络安全访问问题。
2.2 局域网系统安全攻防策略 无论是Windows 2000/XP,还是Linux这些操作系统都存在一定的系统漏洞,攻击者往往利用这些漏洞来攻击我们的电脑。攻击手法一般是扫描被攻击电脑有什么漏洞,安装扫描工具后,选择扫描的漏洞类别,进行扫描,根据扫描到的信息,下载攻击软件后选择相应攻击项目即可进行攻击。
2.3 分析构建局域网安全体系 首先,要对用户建立实体的安全认证,局域网的身份认证,必须全面考虑所有参与实体的身份确认,包括服务器、客户端、用户和主要设备等。其中,客户端和用户的身份认证尤其要重点关注,因为他们具有数量大、环境不安全和变化频繁的特点。其次,授权管理是以身份认证为基础的,授权管理的信息资源应该尽可能全面,应该包括终端使用权、外设资源、网络资源、文件资源、服务器资源和存储设备资源等。再次,内部安全管理制度是局域网安全的保障。为确保局域网安全,内容安全制度要先行,要让内部员工明白局域网使用要求,规范自身行为。在现实中企业要积极建立一套完整的内部安全管理机制,同时还要制定出完善的局域网安全技术方案,以保障局域网的安全。
参考文献:
[1]梁晶晶,黄河涛.局域网安全问题的现状及技术分析[J].科技信息SCIENCE & TECHNOLOGY INFORMATION,2008(26):429-430.
[2]李海燕,李袁.局域网的安全攻防测试与分析[J].煤炭技术,2012(2):189-191.
12.局域网的安全防卫 篇十二
关键词:局域网,安全策略,安全中心,访问权限,安全选项
局域网 (Local Area Network, LAN) 是指在某一区域内由多台计算机互联成的计算机组。在讨论局域网安全性方面不仅需要从管理方面着手, 更需要辅以维护措施, 只有做到这两点才能使局域网始终处于安全稳定的状态。
1 配置Windows安全中心
“Windows安全中心”是Microsoft公司从Windows XP2开始提供的一种电脑安全工具。合理配置“Windows安全中心”, 可以降低单台电脑受病毒攻击的机会和风险, 为整个局域网系统的安全提供基础性的保障。
2 控制访问权限
3 设置IE的安全选项
IE是人们使用的最频繁但常受到网络攻击的网络浏览器。我们可以通过设置禁用“自动完成”功能、Cookie安全设置、分级审查设置和IE安全区域设置等项目, 最大限度地避免网络攻击。
4 杜绝恶意软件
恶意软件是对破坏系统正常运行的一类软件的统称。它往往会在没有经过用户许可的情况下强行潜伏到系统中, 且无法正常卸载和删除, 强行删除后还会自动生成。可以借助“瑞星卡卡上往安全助手”、“金山毒霸系统清理专家”、“恶意软件清理助手”等恶意软件查杀工具来检测和清除它们。
5 修补单机系统漏洞
系统漏洞, 也叫系统安全缺陷, 是操作系统在逻辑设计上的缺陷或在编写程序时出现的错误, 这些错误或缺陷一旦被黑客利用, 就可能通过植入木马、病毒等方式来攻击或控制整个电脑, 从而窃取电脑中的重要资料和信息, 甚至破坏系统。为了增强系统的安全性和稳定性, 我们可以利用系统软件生产厂商对已发现的缺陷进行修补的补丁程序来堵住这些“漏洞”。
6 备份重要数据
6.1 备份用户文挡
用户文档是数据备份的重点, 它包括用户在工作过程中创建、编辑和保存的各种信息, 在默认情况下, 大多数用户的文档存放在“我的文档”文件夹中。但为了方便管理, 我们最后在系统盘之外指定专门的文件夹来分类保存各种用户文档, 并经常备份这些文档, 包括备份在网络驱动器或存储器中。
6.2 备份收藏夹
我们在上网浏览网页时, 可以将一些网站的网址添加到IE的收藏夹中, 下次打开这些站点时, 只需在收藏夹列表中选择相应的网站名称即可。在默认情况下, 收藏夹的保存路径是“C:Documents and Settings<登录用户名>Favorites”。重装系统前, 如果没有备份个人的收藏夹, 在安装后只有一个空的收藏夹。如果备份了收藏夹, 只需要将备份文件复制到收藏夹的保存路径下即可。
6.3 备份电子邮件和QQ信息
重装系统前, 我们应将邮箱地址和原来保存的邮件、QQ好友信息与聊天记录等备份下来, 以便在重装系统后进行恢复。
6.4 备份输入法词库
目前, 常用的输入法都有一定的智能特性, 可以自动或半自动地记忆用户形成的个性化词汇。重装系统时没有备份输入法用户词库, 系统重装完毕后, 个性化词汇的积累将从零开始。
6.5 备份驱动程序
虽然大多数驱动程序可以使用随机附送的驱动盘来安装, 多数驱动程序也可以从厂商的网站上下载, 但如果使用一些早期设备, 驱动程序可能无法下载, 驱动盘也有可能损毁。此时, 我们就必须在重装系统前, 将相应的驱动程序备份下来。
7 备份磁盘分区
8 设置强密码
密码是人们登陆电脑并且访问文件、程序及其他资源时使用的验证字符串。在Windows中, 密码由字母、数字、符号和空格组成, 而且区分大小写。通过使用密码, 我们可以确保未经授权的人不能访问系统、特定软件或文件。
9 加密文件和文件夹
电脑中的信息都是以文件形式存储的, 要保护重要文件内容和个人隐私, 我们可以利用EFS、工具软件和软件自身的加密功等方法能对文件或文件夹进行加密。加密后, 必须输入正确的密码才能打开文件。
1 0 清除使用痕迹
Windows操作系统和部分应用软件具有一定的自动记录功能。当我们进行文件编辑、输入密码、聊天和上网等操作时, 都将被系统自动记录下相应的信息, 这些信息很容易将我们的操作暴露给其他人。
电脑系统的使用痕迹主要包括Windows使用痕迹、IE使用痕迹和其他应用软件使用痕迹3大类。我们可以手工清除各种使用痕迹, 也可以使用痕迹清除器 (Eraser) 、Clean Space、Tracks Eraser等专门的工具软件来清除使用过的痕迹。
参考文献
[1]李军锋.基于局域网安全策略的研究[J].武汉船舶职业技术学报.2009 (08) .[1]李军锋.基于局域网安全策略的研究[J].武汉船舶职业技术学报.2009 (08) .
[2]徐诚.浅论局域网安全管理[J].信息与电脑 (理论版) .2010 (01) .[2]徐诚.浅论局域网安全管理[J].信息与电脑 (理论版) .2010 (01) .
13.局域网管理问题 篇十三
答:我们公司的产品推荐使用V8S+定义在30――40台办公和网吧使用带流量控制功能,
局域网管理问题
,
14.局域网管理简历表格 篇十四
局域网管理简历表格
| 个人基本简历 |
| 简历编号: | 更新日期: | 无照片 | ||
| 姓 名: | 大学生个人简历 | 国籍: | 中国 | |
| 目前所在地: | 广州 | 民族: | 汉族 | |
| 户口所在地: | 茂名 | 身材: | 177 cm?65 kg | |
| 婚姻状况: | 未婚 | 年龄: | 21 岁 | |
| 培训认证: | 诚信徽章: |
| 求职意向及工作经历 |
| 人才类型: | 普通求职? | ||||||||||
| 应聘职位: | 市场销售/营销类:销售员、计算机类:局域网管理员、其它类:销售员 | ||||||||||
| 工作年限: | 0 | 职称: | 无职称 | ||||||||
| 求职类型: | 全职 | 可到职日期: | 随时 | ||||||||
| 月薪要求: | 1500-- | 希望工作地区: | 广州 深圳 | ||||||||
| 个人工作经历: |
|
||||||||||
| 公司名称: | 广州阿贝思电子科技有限公司起止年月:-02 ~ 2009-05 |
| 公司性质: | 民营企业所属行业:电器,电子,通信设备 |
| 担任职务: | 技术员 |
| 工作描述: | 对所属该公司客户的监控系统的日常维护及安装。 |
| 离职原因: | 实习期满 |
| 教育背景 |
| 毕业院校: | 私立华联学院 | ||||||||||||||||||
| 最高学历: | 大专 | 毕业日期: | 2009-07-01 | ||||||||||||||||
| 所学专业一: | 网络安全技术 | 所学专业二: | |||||||||||||||||
| 受教育培训经历: |
|
||||||||||||||||||
| 起始年月 | 终止年月 | 学校(机构) | 专 业 | 获得证书 | 证书编号 |
| -09 | 2009-06 | 私立华联学院 | 网络安全技术 | 计算机组装与维护 | 441136810058 |
| -09 | 2007-12 | 清华万博 | CISCO CCNA | 未考证书 |
| 语言能力 |
| 外语: | 英语 一般 | ||
| 国语水平: | 良好 | 粤语水平: | 良好 |
| 工作能力及其他专长 |
| 接受过全方位的`大学基础教育,受到良好的专业训练和能力培养,在局域网组建与维护、网络应用、计算机软硬件以及网格安全技术等相关领域,有扎实的理论基础和实践经验,具备良好的动手能力和研究分析能力。熟悉Windows 与Windows 的服务器搭建、配置与管理。对企业营销有很大兴趣。 | |
| 详细个人自传 |
| 通过高考来到广州,初来广州觉得这个城市很陌生,三年的大学生活使我对这个城市的接触很多,认为广州很适合自己。什么都要尝试,并不断深入,这是我对工作的步骤也是最重要的实践。我具备了一个员工的所有力量,期待与贵公司共同进步。 | |
15.局域网的网络安全 篇十五
随着人们对于信息资源共享以及信息交流的迫切需求, 促使网络技术的产生和快速发展。利用通信设备和线路将处在不同空间位置、相对独立的多个计算机系统互联起来, 并配置完善的网络软件, 在原来独立的计算机之间实现软、硬件资源共享和信息传递, 这个系统就叫计算机网络。
传统上把网络按区域大小划分为局域网LAN (Local Area Network) , 广域网WAN (Wide Area Network) , 城域网MAN (Metropolitan Area Network) 三大类。局域网是构成所有网络的基础。近年来, 网络的飞速发展, 使得网络的速度、网络的安全、以及网络在管理方面的问题已经凸现了出来, 本文从局域网的基础知识入手介绍了局域网的互联和近来由于互联网的发展而出现的网络的速度、网络的安全方面的问题。
2 常用网络硬件
2.1 网卡
网卡 (简称NIC) , 也网络适配卡或网络接口卡, 网卡作为计算机与网络连接的接口, 是不可缺少的网络设备之一。它的工作原理与调制解调器的工作原理类似, 只不过在网卡中的输入与输出信号都是数字信号, 传输速度比调制解调器快得多。每块网卡上都有一个世界惟一的ID号, 也就是MAC (Media Access Control) 地址, 计算机在连入网络之后, 就是依靠这个ID号才能实现在不同计算机之间的通信和信息交换。
2.2 交换机
交换机, 也称交换式集线器, 使各计算机能够相互高速通信的独享带宽的网络设备。由交换机构建的交换式网络系统不仅拥有高速的传输速率, 而且交换延时很小, 使得信息的传输效率大大提高。
2.3 路由器
路由器除了有连接不同的网络物理分支和不同的通信媒介、过滤和隔离网络数据流及建立路由表, 还有控制和管理复杂的路径、控制流量、分组分段、防止网络风暴及在网络分支之间提供安全屏障层等到功能。
2.4 传输介质
网络传输介质为同轴电缆和双绞线以及不常用的光纤, 现较为常用的是三类、五类和超五类双绞线。
2.5 网络服务器
服务器是网络的核心部件, 它协调、处理各个工作站提出的网络服务请求, 影响其性能的主要因素有CPU的类型和速度、内存容量及内存通道的访问速度、缓冲能力以及磁盘存储容量等。
3 局域网的拓扑结构
计算机网络拓扑结构有很多种, 主要有总线型拓扑、环型拓扑和星型拓扑, 此外还有树型结构、网型结构等等。
4 局域网中常见的组织结构
1) 对等网络结构 (peer to peer LAN) 网络中不需要专用的服务器, 不同计算机即使服务器, 又是工作站, 且不同计算机键可实现互访, 进行文件的交换和共享资源。
2) 专用服务器结构 (server based LAN) 。 网络中必须有一台专用文件服务器且所有的工作站都已服务器为中心, 工作站间无法直接进行通信, 工作站端所有的文件读取和数据传输都需通过服务器。
3) 主从式结构 (client/server LAN) 。 客户端既可与服务器端进行通信, 又可在客户间直接进行对话, 不需要服务器的中介与参与。
5 局域网的安全
计算机网络的安全应包含以下3 方面的内容: 保密性: 防止网络中信息泄漏或被非授 权实体使用, 确保信息只能由授权实体访问和使用; 完整性: 系统的数据不能被无意或蓄意删除、修改、伪造、乱序、插入或破坏, 数据只能由授权实体修改; 可用性: 数据和通信服务在需要时允许授权个人或实体使用, 网络资源在需要时即可使用。要实现以上3 方面的内容, 应该采取以下一些安全机制。
5.1 网络安全机制
(1) 采用防火墙技术把网络分成对外服务网段和对内服务网段, 同时重要主机单独设立防火墙, 利用限制访问、代理服务器技术等安全措施抵御来自网络上的攻击。
(2) 所有的操作均建立日记记录, 系统可以通过某一个状态的系统状态备份和自那时起到现在的操作日志构造系统当前状态。
(3) 在网络中心的局域网交换机上, 可根据楼层和处室划分虚拟子网, 从而限制数据的访问, 加强网络管理。
(4) 路由器上设置过滤器, 禁止未经授权的访问。
(5) 局域网交换机也设置过滤装置, 不同子网之间的访问受到限制; 安全级别低的子网不能访问安全级别高的子网。同时, 局域网内部用户通过身份认证来保证其安全。
(6) 通信服务器利用SSL (安全套接字层) 等技术进行信息加密, 保证关键信息传输的安全。
5.2 防火墙安全保障系统
防火墙型网络安全保障系统实施相对简单, 是目前应用较广的网络安全技术。防火墙型安全保障技术假设被保护网络具有明确定义的边界和服务, 并且网络安全的威胁仅来自外部网络, 它通过监视、限制、更改跨越“防火墙”的数据流, 尽可能的对外部网络屏蔽有关被保护网络的信息、结构、实现对网络的安全保护。防火墙有选择地过滤或阻塞网络间的流量。它通常在Intranet和Internet的交接处, 也可以在两个Intranet之间设立防火墙。防火墙一般是基于源地址和目的地址以及每个IP包的端口来作出禁止或允许判断。因此比较适合于相对独立、与外部网络互联途径有限并且网络服务种类相对集中单一的网络系统。对于网络安全性策略建议采用如下措施:
(1) 在信息中心将供外界读取的信息服务器置于防火墙外, 外界节点只能访问此信息服务器, 外界节点对内部网络的访问必须经过防火墙。其与公共服务区如数据服务器、邮件服务器等位于防火墙内, 只接受来自内部网络中具有相应权限的用户的访问与请求。
(2) 每个接入网都应安装防火墙, 基本策略与信息中心原则一致。公共信息服务器同时作为防火墙网关和控制台, 接入网内的其它系统均只接受从公共信息服务器发来的请求。
(3) 防火墙代理服务器能控制进、出网络的访问。它检查从安全网络来的请求并将他们接入到外部网络。代理服务器代表客户与外部网络交互, 提供了控制客户端和外部网络间流量的手段, 同时将内部网结构隐藏起来。同时, 充分利用Proxy Server的SSL (Secure Sockets Layer) 安全特性, 确保数据传输的安全性。
5.3 数据安全策略
(1) 用户身份验证:
用户申请登录进入系统时, 首先由网络操作系统来进行用户身份验证, 没有帐号或密码不对的登录访问将被拒绝。
(2) 用户访问权限确认:
当用户要启动应用系统时, 应用系统再次进行用户身份验证, 同时还要根据用户的访问权限来判别和限制用户的操作范围, 对于普通用户, 仅提供操作界面, 不涉及系统内部功能。
(3) 工作流监控:
采用工作流时间的某个处理环节 (相应的模块) 对用户的权限要求是否一致来确保事件处理和用户身份的一致性。
(4) “防火墙”控制:
广播网络上的用户访问还需要经过“防火墙”系统的安全检查才能访问局域网络中的数据。
(5) 数据加密传输:
对应用系 统中涉及到党政机关和财务处室的部分数据采用RSA 加密技术进行安全控制, 网上数据传输采用密文传输。
5.4 数据维护机制
(1) 每一次数据的修改、删除、索引、备份、恢复等事务, 都在系统日志中进行记载;
(2) 系统的初始运行状态可以通过系统初始化 (缺省参数) 或参数设置来设定或调整; (3) 数据的修改、删除、索引、备份、恢复等操作, 必须经过用户身份和权限确认后才能进行;
(4) 提供灵活的数据备份机制, 包括按记录号码段, 按时间段、按数据库、按数据库的关键字值、按有关条件进行数据的备份与恢复、转贮 (卸载) 与加载。
5.5 数据的备份
不管系统的安全性已经得到如何的保障, 数据的备份都是必要的。
5.6 网络故障排除
局域网的故障主要表现为:服务器瘫痪, 客户机瘫痪, 网络不通, 网速慢等。服务器瘫痪的原因, 除去上文提及的黑客袭击外, 软件本身的原因更是不能忽视。作为服务器, 不提倡安装过多的软件, 但由于硬件设备有限, 往往需要一机多用, 多数服务器同时承载了WEB 服务、邮件服务、视频服务等, 不得不安装大量的服务应用软件, 因此, 在软件安装过程中应尽可能的避免软件冲突。
系统瘫痪, 硬件系统出问题的几率比较大, 大部分是由客户机长时间的运行, 以及客户机本身的不稳定造成的。常见的故障有: CPU风扇因为灰尘的积累而导致转速下降, 芯片温度升高, 导致CPU的电子迁移现象加剧, 甚至导致芯片的损坏;电源老化, 无法提供稳定的的电流, 功率小于额定功率:硬盘因为震动而造成数据丢失或者出现大面积的坏道;内存松动导致开机报警;电子屏蔽差导致部分芯片工作环境干扰大。
网络不通的原因很多, 排查原因应注意先后顺序。如果是全部机房客户机断网, 则检查服务器或者交换机, 如果是单台客户机断网, 则检查客户机的网卡驱动, 网络配置, 最后检查网线。
6 结论
以上所介绍的是局域网和网络安全方面的基础知识, 相信通过以上系统安全措施, 我们的网络数据安全定能得到有效的保障, 但并不能说网络是绝对安全的, 所以还要对安全系统进行不断的维护, 以更有效的保护我们的网路安全。
摘要:从局域网的基本知识入手, 通过局域网的组建与管理, 简单介绍了局域网的互联技术;分析了网络运行速度、安全及管理方面存在的问题, 简要介绍了局域网的组成、防火墙系统等安全机制。
【对局域网的安全管理】推荐阅读:
有效监控管理公司局域网的上网行为10-18
局域网管理制度12-15
局域网监控管理系统08-02
无线局域网与网络安全技术06-14
家庭局域网的组建论文12-19
计算机局域网的维护论文09-13
(沪教版)信息技术说课稿——局域网的构建08-15
虚拟机组建局域网08-09
光纤局域网组建方案10-30
无线局域网规划论文11-02