局域网安全测试

局域网安全测试（精选3篇）

局域网安全测试 第1篇

随着中小型网络的迅速发展, 局域网应用逐渐成为人们学习、工作和生活的重要组成部分, 局域网也就成为单位必建的基础设施, 搞好局域网建设, 提供稳定、快捷的网络环境, 是单位培训、无纸化办公、现代化管理和资源共享的重要条件, 是推进信息化的核心基础。在局域网的建设、应用和维护过程中, 存在网线质量参差不齐或布线不合理、网络设备配置不佳和故障难以判断等因素, 这些都会给局域网的运行带来极大影响。在局域网建设到终止服务的周期中, 本文根据国际通用网络性能测试标准, 提出测试参考模型, 设定测试指标, 从局域网组建、应用到维护等不同阶段的网络性能测试, 检测局域网中网络线路和设备的性能指标, 利用之判断和排除局域网故障和隐患。

2 网络性能测试分类

网络性能测试是通过自动化的测试工具在网络中模拟多种正常、峰值以及异常负载条件来对网络电路和网元设备的各项性能指标进行测试。在局域网中的测试主要是针对三层 (网络层) 以下的网络进行, 且测试之前先对测试进行分类和建立测试参考模型。

2.1 网络测试分类

局域网测试分为物理设备测试和网络性能测试。设备测试主要是对网络中的网络电路和网元设备 (如交换机、路由器等) 进行测试, 主要考察网络线路正常、峰值等是否达到标准, 网元设备的性能是否满足既定需求;网络性能测试主要是在网络层对网络进行测试, 检测网络端到端性能和局部网性能, 在网络性能测试之前, 先完成网元设备测试。

2.2 网络性能测试参考模型

局域网从建设到应用分成三个阶段:1) 局域网综合布线2) 网络业务割接3) 局域网运行维护。根据以上三个阶段, 在局域网中的网络性能测试过程分为三个测试步聚:1) 基础网络竣工测试2) 网络业务割接测试3) 运行维护测试, 因此局域网整体网络性测试参考模型如下图1所示:

3 网络性能测试标准与测试指标

为使局域网接入互联网畅通不阻, 测试局域网的标准也应和互联网的测试标准接轨, 设定测试指标, 通过测试的内容和数据能准确的找出问题的原因与判断问题根源, 以下提出局域网中测试依据的标准和测试的指标。

3.1 测试标准

在IP网络环境中, 网络性能测试标准采用国际广泛使用的RFC标准, 包括:

1) 网络设备测试遵循RFC2889、RFC1771和RFC2328等标准;

2) 网络性能测试遵循RFC1242, RFC2544, RFC2885, RFC2889等标准。

3.2 测试指标

根据RFC标准和局域网的特点, 尤其是RFC2544还定义了网络性能测试的最基本指标, 具体测试指标是:

(1) 吞吐量

吞吐量是指数据在保持零丢帧的情况下从来源传输到目标位置的最高速率。该项指标测试主要用来检测链路传输所能承载数据的峰值, 通过测试网络链路中的吞吐量, 判断被测网络链路是否符合预期设计要求和业务需求, 但在测试中可能会着重强调速率精度, 从而导致由于仅为获得测试精度中微不足道的一点差异而使测试过程持续时间较长且不可预测。例如某项网络业务的最低带宽要求为10M, 可以通过吞吐量测试验证被测链路能否达到要求。

(2) 丢帧率

丢帧率是指在网络线路过载情况下, 导致不能正确转发的帧占所发送帧的百分比值, 也称过载丢帧率。数据在网络链路中传输时, 不管是局域网和广域网, 发生数据拥塞就会出现数据帧的丢失, 利用网络链路的丢帧率测试结果, 判断数据帧的丢失原因及位置, 如网络链路的性能、网络设备、客户端等造成, 该指标主要应用于快速区分故障原因。

有人认为已测试过系统吞吐量就没必要再测试丢帧率, 这种观点不是很准确。当吞吐量和端口速率一样时, 因为无法再增加流量, 故丢帧率理应为0, 这种情况下对丢帧率测试的意义不是很大。但大多数情况下, 吞吐量小于端口速率时, 端口流量可能大于吞吐量, 这时应该进行丢帧率测试, 用来反应系统在超负荷情况下的转发能力。通常系统超负荷的程度不同, 其所对应的转发能力也不同, 有时过大的负荷可能使系统拒绝服务, 出现“假死”的状态。例如对于一个端对端的链路, 两端的端口速率为100M的以太网口, 吞吐量为40Mbit/s, 当数据速率在40 Mbit/s以下时, 链路的丢帧率应该为0, 而随着速率从40 Mbit/s逐步增加到端口速率 (100Mbit/s) , 丢包率也会逐步增加。同等测试条件下, 丢帧率越低的线路, 抗冲击性越好。

(3) 时延

时延是指一个报文或分组从网络的一端传送到另一个端所需要的时间, 它包括发送时延、传播时延、处理时延、排队时延 (时延=发送时延+传播时延+处理时延+排队时延) 。在进行时延测试时, 主要考虑发送时延与传播时延, 对于报文长度较大的情况, 发送时延是主要矛盾, 报文长度较小的情况, 传播时延是主要矛盾。时延对于视频会议等对实时性要求较高的应用而言非常重要, 需要满足一定的时延要求才能正常的进行这些应用。如果链路的时延达不到此类应用的要求, 又没有专门对链路进行时延测试, 这类应用的故障将很难正确定位和排查。

(4) 时延抖动

时延抖动是指沿同一路径传输的一个数据流 (Stream) 中, 不同分组传输时延的变化。时延抖动对语音和视频业务的影响非常大。一般这些运行这类实时业务的设备大多采用缓存排队的办法来平滑数据包的时延抖动, 但假如网络本身的抖动较大, 目前普遍采用设备缓存来抵消时延抖动方法的效果将大大降低, 如果继续加大缓存数量来试图抵消时延抖动, 将带来更大的缓存时延, 导致系统时延增加, 从而影响该类业务的无法应用, 所以数据包抖动本身对实时业务的影响与丢帧率的影响是相同的。因此, 掌握系统的时延抖动指标对于实时业务的开通、故障的定位是十分必要的。

(5) 误码率

由于在信号传输中, 衰变改变了信号的电压, 致使信号在传输中遭到破坏, 产生误码, 误码率 (别称平均误码率) 是指接收出现差错的信号比特数与总发送的信号比特数的比值, 是衡量数据在规定时间内数据传输精确性的指标。此参数主要用来在物理层来验证链路的性能, 是在链路应用之前应进行测试的重要参数, 只有在物理层测试结果通过的情况下, 才能保证给予上层的业务提供良好的支持。

4 局域网各阶段网络性能测试

根据局域网性能测试参考模型, 通过设定的测试指标, 对测试结果进行网络性能应用分析、网络性应用监控和网络预测。从局域网的建设、运行和维护不同阶段中进行不同步聚的测试, 即基础网络竣工测试、网络业务割接测试和运行维护测试三个步聚。

4.1 基础网络竣工测试

基础网络竣工测试是指在网络刚建成时对网络进行的测试, 主要考察网络设备是否运行正常、布线系统是否能够正常运作, 这个阶段所做的测试应当充分结合物理设备测试和网络性能测试, 将测试重点放检验新建成网络的健壮性上, 其中物理设备测试应包括设备性能测试和综合布线系统测试;网络性能测试应涵盖端到端的链路性能测试和全网性能测试等, 具体阐述如下:

(1) 测试衡量标准:该阶段的测试应当以国家、行业或地方公开发布的测试标准 (例如:GB/T21671-2008《基于以太网技术的局域网系统验收测评规范》) 测试衡量标准。

(2) 设备性能测试:主要考察设备的包转发性能、稳定性等方面是否满足用户需求文档中的要求。

(3) 综合布线系统测试:主要对工程的综合布线系统的质量考察, 主要的参考指标应该是线路端到端的误码率、丢帧率、延时和延时抖动。

(4) 端到端的链路性能测试:该项测试除了要测试链路的吞吐量、丢帧率、时延、时延抖动和误码率外, 还应该对链路进行压力测试, 掌握单条链路所能承受的极限条件。

(5) 全网性能测试:这里所说的全网性能测试主要是压力测试, 可以采用往网络中输入流量不断增大的广播包, 直到网络性能明显下降 (例如端到端ping包延时明显加大甚至不通) 的情况出现, 全面掌握网络承载的极限性能。

案例1:某单位新建的局域网投入使用后一直故障不断, 主要表现为局域网的网速缓慢, 经常在上班时间, 局域网网络性能突然大幅下降, 整个网络陷入瘫痪状态。经过对该局域网络进行测试后发现, 该局域网楼层综合布线速率采用最高速率只有10兆的3类线, 核心交换机的100兆端口能提供的有效吞吐量仅在25到30兆之间, 同时丢包率达到了5%--10% (测试结果如图2所示) , 这种硬件条件远远不能满足该单位网络业务的要求, 经了解, 该局域网络在建成时并没有进行相关测试, 导致本该在该阶段排除的问题对日后的网络应用造成了不良的影响。

局域网基础网络建设竣工阶段所做的测试是网络承载业务前的一次全面体检, 所涉及的测试内容应该尽可能的详实测试强度应尽可能提高, 尽量将网络存在的问题和基本性能在这个阶段检测出来, 为下一步网络业务的承载提供一个稳定可靠的平台, 同时测试的测试方法、步骤和结果都应该详细记录在案, 为日后运行维护提供依据。

4.2 网络业务割接测试

网络业务割接测试是指在网络业务割接之前对即将承载业务的链路进行的测试, 主要考察承载业务的网段性能是否满足即将割接上来的网络业务的要求, 由于该阶段的测试针对性比较强, 所以应当根据业务的特点制定的测试方案, 具体阐述如下:

(1) 测试衡量标准:该阶段的测试应当以即将割接业务的物理设备最高需求为主要衡量标准, 以国家、行业或地方公开发布的测试标准为辅。例如, 一条链路准备承载视频会议业务, 该业务的视频终端设备要求通信链路的时延为20毫秒, 吞吐量为4兆, 时延抖动为5毫秒;MCU (多点控制单元) 设备的要求为时延15毫秒, 吞吐量20M, 时延抖动为10毫秒, 则该链路的测试通过标准应当设定为:时延不超过15毫秒、吞吐量不少于20M、时延抖动不超过5毫秒, 其他的测试指标参照国家、行业或地方公开发布的测试标准进行制定。

(2) 链路性能测试:该项测试内容建议至少包括前面提到的5个常见的链路测试指标 (吞吐量、丢帧率、时延、时延抖动和误码率) , 又根据业务类型的不同有所倚重, 例如电子邮件业务对链路时延和时延抖动不敏感, 则这两项指标的测试值仅供日后运行维护作为参考, 不作为衡量标准。

(3) 网络配置测试:该项测试主要是对网络中的网络设备配置进行检验, 例如VLAN设置、路由协议配置、IP地址配置等。

案例2:某单位局域网因网络资源短缺, 将原来正常承载数据业务的部分线路用来承载校内远程视频培训业务, 结果视频培训业务的效果很不理想, 不仅图像带有“马赛克”现象, 同时有严重的唇音不同步现象, 经测试得知, 该部分线路的吞吐量和延时均不能满足视频业务的需求, 再用网络工具对该部分网络的通信包进行分析后, 确认该部分线路存在大量的广播包, 占据了线路带宽的20%-70%, 原来该局域网采用2层交换机作为核心交换设备, 所有的业务均处于同一个广播域内, 网内有部分计算机感染病毒, 产生大量的广播包, 因之前承载的数据业务对吞吐量和延迟的要求不高, 所以基本上没有太大影响, 而视频业务对网络的各方面指标要求都要高得多, 所以用来承载视频业务显然能满足要求。经过对该网络进行VLAN划分, 将数据网和视频网进行逻辑分离, 同时对网内的计算机进行病毒查杀后, 视频业务得以正常使用, 数据业务的运行速度也较之前有明显的提升。

网络业务割接阶段的测试不仅仅是对即将承载网络业务链路进行评价, 对网络日后网络增加新的网络业务和运行维护也具有积极的意义, 因为网络瓶颈或故障发生的时候, 往往体现在相关技术指标的变化上 (通常是变差) , 而网络业务割接阶段的测试结果就是参考依据。

4.3 运行维护测试

运行维护阶段进行的网络测试往往用来排除网络中存在的瓶颈或隐式故障 (导致网络性能下降, 而不是致使网络瘫痪的故障, 例如机器部分缓存故障, 以下所说的故障均指此类故障) , 该阶段因网络上承载有网络业务, 所以应当尽量不影响业务的情况下进行测试, 具体阐述如下:

(1) 测试衡量标准:该阶段的测试衡量标准主要以基础网络建设竣工阶段和网络业务割接阶段的测试结果作为参考标准, 通过将测试值和参考标准进行比较, 可以为判断网络中是否存在瓶颈或故障提供依据。例如一条链路新增加一个网络业务后延时显著增长, 在检查网络配置无误的情况下, 则怀疑这条链路的性能存在瓶颈, 应做进一步测试以定位瓶颈点, 以便对网络进行升级改造。

(2) 测试内容:这个阶段的测试内容以参考标准中的指标为准, 例如一条链路中在基础网络建设竣工阶段和网络业务割接阶段所做的测试指标包括时延、吞吐量和丢帧率, 则测试内容主要针对这三个指标进行测试。

运行维护阶段的测试结果仅仅是作为一种判断依据, 需辅以有效的测试方法 (例如排除法) , 才能做到在最短的时间内排除瓶颈或故障。

案例3:某单位的局域网网络覆盖大楼A和大楼B (网络拓扑图如图3所示) 。两栋楼之间采用两台路由器上的1000兆多模光纤互联, 中心机房设在大楼A, 该局域网网络承载有视均摆放在中心机房, 业务服务器均采用100兆以太口接入路由器提供服务, 经过一次中心机房断电以后, 出现了视频会议效果非常不理想, 有很严重的“马赛克”和停顿现象, 而数据业务却正常使用的情况。

测试分析:由于之前视频业务和数据业务均正常使用, 基本排除综合布线系统故障的可能, 断电后数据业务仍然能正常使用, 排除路由器等网络设备的硬件故障的可能, 用以太网测试仪替代掉大楼B的PC终端b, 分别对视频服务器和数据服务器进行测试 (测试拓扑示意图如图4所示) , 将两条链路的测试结果和业务割接阶段测试结果进行对比, 发现数据服务器的链路的测试结果前后基本一致, 而视频服务器的测试结果中的吞吐量为业务割接阶段的测试结果中的吞吐量测试结果的一半、延迟则为2倍, 由于两条链路从PC终端b到路由器A这一段是一样的, 由此排除PC终端b到路由器A这段链路存在故障的可能, 至此, 将故障点定位在路由器到视频服务器这段链路上。经过对视频服务器、路由器配置和两者的互联网线仔细检查后发现, 服务器上的网口速率配置为强制百兆全双工模式, 而路由器的端口则为自适应模式, 而经查阅设备配置记录得知, 为了保证服务器的链路带宽, 之前将服务器和路由器之间的端口速率都配置为强制百兆全双工, 由此判断, 由于断电造成路由器配置丢失, 路由器连接视频服务器的端口速率变成自适应模式, 和服务器端口之间适配的链路通信模式为半双工通信, 链路性能下降导致业务应用异常, 将路由器端口模式改成强制百兆全双工后故障得以排除。

5 结语

网络技术的飞速发展, 给人们的学习、工作和生活再来了极大的方便, 特别是网络应用业务系统将越来越依赖于局域网, 对局域网提出更高要求, 本文根据局域网的典型建设阶段, 并结合多种测试标准、实际案例及方法, 阐述了基于局域网建设及使用各个阶段的测试方法, 为单位解决局域网故障和隐患提供了基本的思路及方法, 为网络稳定运行提供了行之有效的手段。

摘要：随着中小型网络的迅速发展, 局域网应用逐渐成为人们学习、工作和生活的重要组成部分, 在局域网建成后, 为实现资源共享的最大化, 大量上网络应用系统, 容易造成局域网运行中网络阻塞, 网络设备故障频发, 甚至灾难性的瘫痪, 针对这一问题, 根据国际通用网络性能测试标准, 提出测试参考模型, 设定测试指标, 从局域网组建、应用到维护等不同阶段的网络性能测试, 检测局域网中网络线路和设备的性能指标, 利用之判断和排除局域网中的故障和隐患。

局域网安全测试 第2篇

关键词：无线局域网；安全机制；；IEEE802.11

中图分类号：TN925 文献标识码：A 文章编号：1674-7712（2012）20-0028-01

一、无线局域网接入技术

WLAN是一种宽带无线接入技术，是计算机网络与无线通信技术结合的产物。以无线多址信道作为传输媒介，利用电磁波完成数据交互，实现传统有线局域网的功能。

（一）无线局域网特点和标准

具有如下特点：易安装，免去大量布线工作；高可移动性，无线访问点（AccessPoint，AP）支持范围10～300m；易扩展与维护，多种配置方式，每个AP支持5～30多个用户接入；可靠性，使用与以太网类似的连接协议和数据包形式传送数据。

无线局域网使用的标准是IEEE802.11系列，主要包括21个标准。常用的有：IEEE802.11，无线局域网物理层和介质访问控制层规范；IEEE802.11b，无线局域网物理层和介质访问控制层规范—2.4GHz频段高速物理层扩展；IEEE802.11g，2.4GHz频段高速物理层扩展；IEEE802.11i，无线局域网介质访问控制层安全性增强规范等。

（二）无线局域网的结构

无线局域网可以在普通局域网基础上通过无线Hub、无线接入站（AP）、无线网桥、无线Modem及无线网卡等来实现，其中以无线网卡最为普遍，使用最多。一般来说，WLAN由两部分组成：从无线网卡到接入点、从接入点到局域网。

WLAN的拓扑结构可分为两种方式：无中心拓扑网络，终端数相对较少；有中心拓扑网络，终端数相对较多。

二、WLAN中存在的安全问题分析

无线网络不但要受到基于传统TCP/IP架构的有线网络方式的攻击，由于其自身特点存在的安全问题有，一般分为两大类，一类是关于网络访问控制、数据机密性保护和数据完整性保护进行的攻击。这类攻击在有线环境下也会发生。另一类则是由无线介质本身的特性决定的，基于无线通信网络设计、部署和维护的独特方式而进行的攻击。总体来说，无线网络所面临的威胁主要表现在以下几个方面：

（一）网络易被窃听

无线局域网络主要采用无线通信方式，其数据包更容易被截获。

（二）IEEE802.11系列标准本身的安全问题

802.11b标准里定义的协议WEP，静态分配的WEP密钥一般保存在适配卡的非易失性存储器中，因此当适配卡丢失或者被盗用后，非法用户都可以利用此卡非法访问网络。

（三）网络易受干扰问题

由于WLAN使用的时公共频段，因此，相邻WLAN之间或其他电子产品也都可能使用这个波段，从而存在潜在干扰问题且不易被查明来源。

（四）MAC地址欺骗

在WLAN信号覆盖范围内的任何无线设备都可以接收到WLAN的服务信号，所以攻击者可轻松获得合法站点的MAC地址，并编程实现伪装一个有效地址写到无线网卡中，从而越过访问控制。

（五）访问控制机制的安全缺陷

无线局域网的管理消息中都包含网络名称或服务设置标志号（SSID），这些消息被接人点和用户在网络中不受到任何阻碍地广播。结果是网络名称很容易被攻击者嗅探和获取，从而得到共享密钥。非法连接到无线局域网络中。

三、WLAN安全保障机制

（一）访问控制

如利用WLAN入侵检测技术检测MAC地址欺骗，静态IP地址与MAC地址绑定。对于服务集标识符（ServiceSetIdentifier，SSID）的使用，对于不相同的无线接入点设置不相同的SSID号，另外要求只有无线工作站出示正确的SSID号，才可以访问无线访问点。

（二）数据加密

由于WEP的脆弱性，目前采用的新标准有两种，一种是Wi-Fi联盟推出的基于IEEE802.11i标准的WPA2。这种方案支持更好的AES加密方式来解决无线网络的安全问题。另一种是中国的WAPI（无限局域网鉴别和保密基础结构）无线标准。WAPI安全机制由无线局域网鉴别基础结构WAI和无线局域网保密基础结构WPI两部分组成，采用基于椭圆曲线的公钥证书体制和对称密码算法进行加密和解密算法分别实现对用户身份的鉴别和数据加密。

（三）运用VPN技术

VPN（VirtualPrivateNetwork，虚拟专用网络）是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性，是在现有的网络上组建的虚拟的、加密的网络。适用于企业或单位内部网络。

（四）采用802.1x基于端口的认证协议

其认证机制是由用户端设备、接入设备、后台RADIUS认证服务器三方完成。802.1x不仅实现端口访问控制，还用于用户的认证系统及计费，更适合公共无线网络的接入。

（五）使用防火墙及病毒检测系统

防火墙布置在局域网和外网的交界处，阻止外部的入侵，保障内网安全。网络数据流经过防火墙的扫描，可以过滤掉一些攻击，以免在目标计算机上执行。病毒和木马是窃取网络个人信息的主要手段，为防止计算机病毒和木马，要限制U盘、光盘的数据拷贝，用集中式防病毒管理模式，通过各种检测方法对病毒进行检测，自动进行更新特征码，实时清除病毒。

四、结束语

虽然针对WLAN的固有物理特性和组网结构研究出了很多的安全技术与策略，然而安全没有绝对的，只有相对的安全，对其技术的研究与安全机制的应用也将是持久的。局域网的安全固然重要，但在一些公共场所应该无偿提供无线网络，符合网络的共享精神。

参考文献：

[1]徐春桥.无线局域网安全及防护技术分析[J].计算机安全，2012，（5）：74-76.

[2]王颖天.浅谈无线局域网安全解决方案[J].计算机光盘软件与应用，2012，（2）：135-136.

[3]林烈青.无线局域网通信安全机制的研究[J].实验室研究与探索，2012，31（8）：257-284.

局域网安全之我见 第3篇

关键词：局域网 安全防治

中图分类号：TP 文献标识码：A 文章编号：1008-925X(2012)O9-0141-01

随着信息化建设的不断深入，各类网络版应用软件推广应用，计算机网络在提高数据传输效率，实现数据集中、数据共享等方面发挥着越来越重要的作用，网络与信息系统建设已逐步成为各项工作的重要基础设施。而伴随而来的病毒侵略也在局域网内横行，为了确保网络安全高效运行，保证网络信息安全以及网络硬件及软件系统的正常运转是基本前提，因此计算机网络和系统安全及病毒防治工作建设就显得尤为重要。

一、局域网安全现状

目前，广域网络已有了相对完善的安全防御体系，防火墙、漏洞扫描、防病毒、IDS等网关级别、网络边界方面的防御，重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。相反局域网内部的计算机客户端的安全威胁缺乏必要的安全管理措施，安全威胁较大。未经授权的网络设备或用户就可能通过到局域网的网络设备自动进入网络，形成极大的安全隐患，这也为病毒在网络内滋生蔓延创造了条件，造成局域网病毒爆发，导致网络瘫痪，从而影响了正常业务工作的开展。

二、局域网安全控制与病毒防治策略

（一）加强人员的网络安全培训

安全是个过程，它是一个汇集了硬件、软件、网络、人员以及他们之间互相关系和接口的系统。从行业和组织的业务角度看，主要涉及管理、技术和应用三个层面。要确保信息安全工作的顺利进行，必须注重把每个环节落实到每个层次上，而进行这种具体操作的是人，人正是网络安全中最薄弱的环节，然而这个环节的加固又是见效最快的。所以必须加强对使用网络的人员的管理，注意管理方式和实现方法。从而加强工作人员的安全培训。增强内部人员的安全防范意识，提高内部管理人员整体素质。同时要加强法制建设， 进一步完善关于网络安全的法律，以便更有利地打击不法分子。

（二）局域网安全控制策略

安全管理保护网络用户资源与设备以及网络管理系统本身不被未经授权的用户访问。目前网络管理工作量最大的部分是客户端安全部分，对网络的安全运行威胁最大的也同样是客户端安全管理。只有解决网络内部的安全问题，才可以排除网络中最大的安全隐患，对于内部网络终端安全管理主要从终端状态、行为、事件三个方面进行防御。利用现有的安全管理软件加强对以上三个方面的管理是当前解决局域网安全的关键所在。

1、采用防火墙技术。防火墙技术是通常安装在单独的计算机上，与网络的其余部分隔开，它使内部网络与Internet之间或与其他外部网络互相隔离，限制网络互访，用来保护内部网络资源免遭非法使用者的侵入，执行安全管制措施，记录所有可疑事件。它是在两个网络之间实行控制策略的系统，是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。

2、封存所有空闲的IP地址，启动IP地址绑定，采用上网计算机IP地址与MCA地址唯一对应，网络没有空闲IP地址的策略。由于采用了无空闲IP地址策略，可以有效防止IP地址引起的网络中断和移动计算机随意上内部局域网络造成病毒传播和数据泄密。

3、启用杀毒软件强制安装策略，监测所有运行在局域网络上的计算机，对没有安装杀毒软件的计算机采用警告和阻断的方式强制使用人安装杀毒软件。

（三）病毒防治

病毒的侵入必将对系统资源构成威胁，影响系统的正常运行。特别是通过网络传播的计算机病毒，能在很短的时间内使整个计算机网络处于瘫痪状态，从而造成巨大的损失。因此，防止病毒的侵入要比发现和消除病毒更重要。防毒的重点是控制病毒的传染。防毒的关键是对病毒行为的判断，如何有效辨别病毒行为与正常程序行为是防毒成功与否的重要因素。防病毒体系是建立在每个局域网的防病毒系统上的，主要从以下几个方面制定有针对性的防病毒策略：

1、增加安全意识。 杜绝病毒，主观能动性起到很重要的作用。病毒的蔓延，经常是由于企业内部员工对病毒的传播方式不够了解，病毒传播的渠道有很多种，可通过网络、物理介质等。查杀病毒，首先要知道病毒到底是什么，它的危害是怎么样的，知道了病毒危害性，提高了安全意识，杜绝毒瘤的战役就已经成功了一半。平时，企业要从加强安全意识着手，对日常工作中隐藏的病毒危害增加警觉性，如安装一种大众认可的网络版杀毒软件，定时更新病毒定义，对来历不明的文件运行前进行查杀，每周查杀一次病毒，减少共享文件夹的数量，文件共享的时候尽量控制权限和增加密码等，都可以很好地防止病毒在网络中的传播。

2、小心邮件。 随着网络的普及，电子信箱成了人们工作中不可缺少的一种媒介。它方便快捷在提高了人们的工作效率的同时，也无意之中成为了病毒的帮凶。有数据显示，如今有超过90％的病毒通过邮件进行传播。尽管这些病毒的传播原理很简单，但这块决非仅仅是技术问题，还应该教育用户和企业，让它们采取适当的措施。例如，如果所有的Windows用户都关闭了VB脚本功能，像库尔尼科娃这样的病毒就不可能传播。只要用户随时小心警惕，不要打开值得怀疑的邮件，就可把病毒拒绝在外。

3、小心使用移动存储设备。在使用移动存储设备之前进行病毒的扫描和查杀，也可把病毒拒绝在外。

4、挑选网络版杀毒软件。选择一个功力高深的网络版病毒“杀手”就至关重要了。一般而言，查杀是否彻底，界面是否友好、方便，能否实现远程控制、集中管理是决定一个网络杀毒软件的三大要素。

三、结束语

局域网安全控制与病毒防治是一项长期而艰巨的任务，需要不断的探索。随着网络应用的发展计算机病毒形式及传播途径日趋多样化，安全问题日益复杂化，网络安全建设已不再像单台计算安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系，要具备完善的管理系统来设置和维护对安全的防护策略。

参考文献：

[1]陈斌.计算机网络安全于防御[J].2006.04