企业局域网安全与防范

企业局域网安全与防范（精选8篇）

企业局域网安全与防范 第1篇

随着信息时代的发展, 计算机网络得到了广泛应用, 网络的安全性已成为不同层次的用户共同关心的问题。广域网的安全防御体系相对而言建立的比较完善, 而企业局域网的客户端的安全威胁问题却日益严重, 且缺乏有效的安全管理手段。用户通过局域网相连接的计算机自动进入企业的内部网络, 这样可能给局域网造成安全隐患。

局域网的安全是一个系统工程, 我们需要周密地设计和部署。它是一项长期的任务, 需要我们建立完善的网络安全制度、树立牢固的安全意识的同时, 建立一个综合性的网络安全防护系统。

目前, 局域网络安全隐患正是利用了网络系统本身存在的安全弱点, 而使系统在使用和管理过程的疏漏增加了安全问题的严重程度。

2 企业局域网安全存在的威胁

2.1 欺骗性的软件使数据安全性降低

局域网用户可以实现资源共享与交互, 而正是由于资源的共享性, 会导致一些信息特别容易被改动, 别有用心的人可能利用网络的这一特性恶意修改重要信息, 给用户造成不必要的麻烦或损失。欺骗性软件是对破坏系统正常运行的一类软件的统称。它既不属于正规商业软件, 也不属于真正意义上的病毒, 它会造成电脑运行变慢、浏览器异常等现象, 还可以造成数据泄密等严重事故。

同时由于用户缺乏数据备份, 因此会造成信息的丢失, 而这些信息很可能是独一无二的。它往往会在没有经过用户许可的情况下强行潜伏到系统中, 且无法正常卸载和删除, 强行删除后还会自动生成。这些欺骗性软件通过大量发送欺骗性垃圾邮件, 试图引诱收信人给出诸如身份证号码、手机号码等敏感信息, 有时甚至冒充一些大的知名网站来骗取用户的重要信息。以往此类攻击的冒名的多是大型或著名的网站, 但由于大型网站反应比较迅速, 而且所提供的安全功能不断增强, 所以这类软件已越来越多地把目光对准了较小的网站。

2.2 计算机病毒

随着信息化社会的发展, 计算机病毒的威胁日益严重。计算机病毒是一段人为编制的计算机程序代码, 这段程序代码一旦进入计算机并得以执行, 它就会搜寻其他符合其传染条件的程序或存储介质, 确定目标后再将自身代码插入其中, 达到自我繁殖的目的。计算机病毒不但本身具有破坏性, 更有害的是具有传染性, 一旦病毒被复制或产生变种, 其速度之快令人难以预防。

有些病毒像定时炸弹一样, 始作俑者事先设定好病毒的发作时间, 定点发作。比如黑色星期五, 这种病毒不到预定时间不会对用户的电脑产生影响, 一旦条件具备马上就发作, 对用户的系统进行破坏, 让人防不胜防。一个编制精巧的计算机病毒程序, 进入系统之后不会马上发作, 在磁盘或磁带里呆上几天, 甚至几年, 一旦得到发作机会, 就会快速繁殖、复制、传播, 并且给用户造成危害。因此, 计算机病毒的泛滥会造成计算机资源的损失和破坏, 不但会造成资源和财富的巨大浪费, 而且有可能造成社会性的灾难。

2.3 用户安全意识不强

笔记本电脑在内外网之间频繁切换使用的情况很普遍, 许多用户将在外网上使用过的笔记本电脑在未经许可的情况下擅自接入内部局域网络使用, 这样很容易造成外网病毒在不经意情况下传入企业局域内网, 还可能导致内部重要信息的泄密。许多用户使用U盘、MP3类似的移动存储设备来传递数据, 经常还未将外部数据经过必要的安全检查程序, 就将信息拷贝到内部局域网的电脑上, 或者将内部数据带出企业局域网, 这给病毒的进入提供了可乘之机, 同时增加了数据泄密的可能性。

2.4 管理制度不健全

局域网安全最为重要的核心保障在于对其严格的管理, 但纵观我国国内局域网络安全管理现状, 其由于各方面因素影响, 很多企业与事业单位在网络安全方面都疏于管理。在相关局域网管理制度及其管理人员配置上方面不达标, 当下局域网网络管理严重缺乏必要的人力、财力、物力资源投入。没有投入, 自然没有相应好的管理成果;在局域网相关技术及其硬件设备配置方面, 很多企业仍旧普遍采用传统的老式网络设施, 这很难满足日常局域网络安全管理的需求;很多企业与事业单位仍采用传统的、局限于某一节点、某一设备的网络管理策略, 这明显无法适应时代与企业经济的发展。

3 企业局域网安全问题的解决办法

3.1 控制访问权限

为了实现网络的高可用性、高安全性、可扩展性, 应采用模块化的方式对整个网络进行安全区域的划分, 从而使连接在网络上的各个业务系统实现一定程度的隔离。通过在局域网第三层设备上要在不同的VLAN间设置访问控制列表, 以实现VLAN之间的访问控制, 对于核心数据区、互联网区、办公区、工业生产区等重要区域间需要通过防火墙隔离。在内外网隔离及访问系统中, 防火墙成为了时兴的保护计算机网络安全的一项重要技术性措施, 同时也是最有效和经济的措施之一。

防火墙技术可以决定哪些内部服务可以被外界访问, 外界的哪些人可以访问内部的哪些服务, 以及哪些外部服务可以被内部人员访问。强调的是, 防火墙是整体安全防护体系的一个重要组成部分, 而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中, 通过以防火墙为中心的安全方案配置, 将所有安全软件配置在防火墙上。

3.2 建立防病毒入侵系统

传统的安全解决方案中, 防火墙和入侵检测系统 (IDS, Intrusion Detection System) 已经被普遍接受, 但仅仅有防火墙和IDS还不足以完全保护网络不受攻击。防火墙作为一个网络层的安全设备, 不能充分地分析应用层协议数据中的攻击信号, 而IDS也不能阻挡检测到的攻击。因此, 即使在网络中已部署了防火墙、IDS等基础网络安全产品, IT部门仍然发现网络的带宽利用率居高不下、应用系统的响应速度越来越慢。产生这个问题的原因并不是当初网络设计不周, 而是近年来蠕虫、P2P、木马等安全威胁日益滋长并演变到应用层面的结果, 必须有相应的技术手段和解决方案来解决针对应用层的安全威胁。

以入侵防御系统 (IPS, Intrusion Prevention System) 为代表的应用层安全设备, 作为防火墙的重要补充, 很好的解决了应用层防御的问题, 并且变革了管理员构建网络防御的方式。通过在线部署, 检测并直接阻断恶意流量。为了应对目前全方位的网络威胁, 选用卡巴斯基防病毒软件, 为企业内部局域网组成一个完整统一的接入端防护体系。启用杀毒软件强迫装置战略, 监测一切运转在局域网内的计算机, 对没有安装杀毒软件的计算机采用正告和阻断的方法强迫运用人安装杀毒软件。

3.3 智能分析与联动, 设立多重保护

对来自于网络、安全、操作系统、数据库、存储等设施的安全信息与事件进行分析, 关联和聚类常见的安全问题, 过滤重复信息, 发现隐藏的安全问题, 使管理员能够轻松了解突发事件的起因、发生位置、被攻击设备和端口, 并能根据预先制定的策略做出快速的响应, 保障网络安全。任何单一的安全保护措施都不能保证网络绝对安全, 都存在被攻破的可能。

因此需要设立多重保护系统, 各层保护相互补充, 当一层保护被破坏时, 其它层继续发挥保护网络安全的功能, 这样可以大大增加信息安全可靠度。基于这点考虑, 在做安全方案的设计时应该考虑采用多重保护机制, 不能单独依赖具体的某一个安全措施或者产品, 这样才能确保企业局域网的安全。

3.4 建立安全防范体系

目前, 现已出现的很多局域网络管理问题中, 其问题出现的根源并非由产品的质量引起, 而是由于不完善、不合理的安全管理制度而造成的。为此, 我们必须对其予以重视, 通过全面安全防范体系的构建及其日常的维护与管理, 真正意义上实现高效、规范、通用的局域网络安全管理与防护。

建立监控设施管理, 确保计算机网络系统实体安全。建立健全安全管理制度, 防止非法用户进入计算机控制室和其它各种非法行为的发生, 在保护计算机系统、打印机、网络服务器等外部设备和通信链路上下大功夫, 并不定期的对运行温度、湿度、清洁度、供电接头、三防措施、设备等进行检查、测试和维护。用网络实现流量的统计、实时流量的监控、系统漏洞检测和网络流量应用管理等功能。如果可以图形化界面和直观全面的展现各种统计信息, 就能够帮助管理人员掌握网络状况, 增强了网络的风险防范能力。

3.5 备份重要数据

系统在崩溃或出现故障时, 可能会彻底破坏原来系统中的信息。因此, 我们应经常性地备份原来系统分区中的重要数据。简单的数据备份只要复制相关数据到非系统分区, 或移动硬盘上, 或刻录光盘备份。如果是与系统有关的数据, 则用引导光盘开机启动GHOST克隆镜像到非系统分区, 最简单的用一键备份克隆一下就可以。个人文件的转移, 是趋利避险的一个行之有效的途径, 把有用的信息转移出来, 就不再担心电脑C盘出现问题。当然, 转移毕竟不是最保险的方法, 因为C盘以外的其他逻辑盘也并不是百分之百保险, 危险还是存在。因此, 最好的万全之策是“文件转移+数据备份”。

4 总结

企业局域网安全控制与病毒防治是一项长期而艰巨的任务, 需要不断的探索。企业局域网安全与网络的发展息息相关, 是一个系统的工程。保障网络安全不能仅靠杀毒软件、防火墙等硬件设备的防护, 也不仅是网络管理员的工作, 还需要每位网络用户的密切配合、群策群力、群防群治保证企业内部网络的安全, 既要做好边界防护, 又要做好内部网络的管理。

目前人们对安全管理的观念已广泛接受, 只有好的管理思想, 加上严格的管理制度, 并且负责的管理人员将管理程序实施到位, 才能保证网络的安全, 才能更好地推进企业信息化建设的进一步深入。

参考文献

[1]赛胜林.局域网的信息安全与病毒防治策略分析[J].黑龙江科技信息, 2010.

[2]李辉.计算机网络安全与对策[J].潍坊学院学报, 2007, (3) .

[3]万国根, 秦志光等.网络内容安全分析及审计技术研究[J].计算机应用研究.2004.1.

[4]金勇.网络信息内容监控技术及应用研究[D].四川大学, 2005.

计算机局域网安全与防范技术分析 第2篇

关键词：计算机局域网；网络化技术；病毒；防范措施

中图分类号：TP393.08

计算机网络为我们的学习、工作和生活带来了极大的便利。然而，伴随着互联网网络信息资源的开放与共享，使用计算机网络也面临着诸多危险和危害。如何提升网络安全防范意识、提高网络安全防护技能，成为广大网络市民高度关注的问题。病毒、黑客、网络犯罪等给我们的信息安全带来了很大的威胁和困扰。基于此，我们应积极应对网络空间新形势，加快建设我国网络安全保障体系，切实可行的做好安全防护措施，使我国计算机局域网络在健康、安全、和谐的友好环境中又好又快的持续发展。

1 计算机网络安全的内涵

如今网络安全相关的问题越来越突出，网络安全内涵也不断的扩展。過去，人们通常把网络基础设施的安全称为网络安全，把数据与内容的安全称为信息安全。然而随着网络信息化新阶段的突破性发展，计算机网络安全不仅仅包括传统的网络基础设施安全，还包括信息层面即数据或内容的安全以及执行决策层面的安全，即与信息化有关的非传统安全的综合。即：凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。计算机局域网安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科交叉的综合性学科。我们应致力于计算机网络安全的研究上，积极开发和使用多种防护手段以此来保证计算机局域网的安全性、可靠性。

2 计算机网络安全的组成

计算机网络安全主要包含了网络设备安全、网络软件安全以及网络信息安全。首先，从网络设备安全来讲：主要包括对计算机的物理条件、物理环境及基础网络设施的安全标准，计算机网络设备的配置与管理及网络传输线路的安装及配置等；其次，网络软件安全：网络系统在安全的环境中有效运行，不被非法侵入或破坏，网络系统软件与应用软件不受病毒的侵害、或黑客等手段的篡改、复制以及侵害；再次，网络信息安全：网络信息安全是计算机网络安全的重中之重，它主要是指网络信息数据不被非法窃取，信息不被泄漏、篡改及破坏，身份不被识别等，保证系统信息的完整性、统一性；最后，网络安全管理：在计算机运行时，可能遇到的突发事件的安全处理等方面，主要包括通过对计算机网络安全建立相应地安全管理制度，开展安全审计，对网络病毒和以及造成网络威胁的可能性进行规避等。

3 加强计算机网络安全的防范技术具体措施

3.1 制定网络安全审计制度，加强网络安全自主可控

将网络信息的安全性审查作为一种制度，不仅大大的加强了网络信息安全的刚性属性，同时还会因审查力度的加大，而增加了网络安全的信息量需求，因此通过制定完整的网络安全审计制度可以行之有效的避免网络信息的潜在影响。审计制度的安全技术主要包括：入侵检测系统（IDS）网络入侵防护系统（NIPS）、安全审计系统以及漏洞扫描系统等等。其中以IDS为例：入侵检测系统（Intrusion Detection System）它是近两年热起来的安全产品，是防火墙的另一延伸和补充。它在网络安全体系中所发挥的主要作用就是能够全方位的检测到非法入侵行为并及时报警。入侵检测是根据计算机网络系统在运行中经对信息数据的采集和分析，检测网络系统中是否有非法入侵或遭到攻击的迹象，并积极地采取应对措施来阻挡对方的非法侵入，从而维护系统的安全性以及完整性的一项安全技术，在一定程度上可以有效的加强网络安全的可控性以及自主维护能力。

3.2 防火墙安全技术

防火墙技术是一种通过在网络系统边界上建立相应的网络通信监控系统，以此来保障计算机网络的安全。它主要是一种控制技术，既可以是一种软件产品，又可以通过制作嵌入到某种硬件产品之中。其最大的优势在于可以对两个网络之间的访问空间进行有效地控制，可以限制所保护的系统与其他不安全因素的网络系统想切割，与此同时所有来自互联网的传输信息以及发出的信息都须经过防火墙这一信息安全子系统，那么防火墙就可以有效地保护来自互联网上的电子邮件、文件传输以及远程控制等在特殊系统中进行信息交换的安全保护作用。当前，实现防火墙技术的主要途径包括：分组过滤和代理服务两部分。分组过滤是一种基于路由器的防火墙。它主要是在路由器中根据网络安全策略配置一张访问表或黑名单，即借助数据分组中的IP地址以此来确定XX类型的信息是否可通过防火墙等等。防火墙的主要职责就是根据访问表（或黑名单）对进出路由器的分组信息进行检查和过滤。这种防火墙简单易行，但不能完全有效地防范非法攻击。

3.3 信息加密技术分析

信息加密技术就是对系统网络信息设置个性的网络编码且不易破解，进而使得所保护的信息被隐藏，使非法用户无法获取信息的真实内容的一种技术手段。在对信息进行加密其主要在密钥的控制下，经过设置复杂的密码程序将重要的机密信息数据变换成不可直观的加密数据库称之为加密。同时对于一些重要的口令、数据、电子邮件用加密软件进行加密之后，再发送或保存，信息即使被非法获取之后，非法者仍然需要耗时耗力去解密，从而为采取补救措施赢得了必要的时间。因此，可以说加密技术是保护信息传输惟一实用的技术方法。数据加密技术按作用不同可分为数据存储，数据传输、数据完整性的鉴别。

3.4 提高创新能力，健全网络法制，保障网络安全

需要进步提高技术自主创新能力。目前，我国所用的PC操作系统和手机操作系统技术几乎都源自国外，就连所使用的核心芯片几乎都是从国外进口，这对我国网络安全带来很大的潜在的隐患。在网络安全方面，一个国家如果没有过硬的技术，就很难实现安全可控的管理。外国的核心技术是买不过来的，也是市场换不来的。基于此，我国急需培育并且自主创新网络新技术以及对网络安全产品的开发势在必行，这就需要积极发挥我国经济市场在资源配置中的决定性作用以及发挥国家政府的宏观调控作用。与此同时，单纯依靠技术水平的提高来保护安全不可能真正遏制网络危险和危害，应该尽快出台相应的法律法规来约束和管理网络的安全问题，每个人都应当从我做起，遵守国家网络安全法律和法规，共同维护、营造和谐的网络环境。

4 结束语

伴随着国际互联网络的高速发展，网络安全和信息化对一个国家很多领域都是牵一发而动全身的。因此，我们需认清现行面临的形势，充分认识做好工作的重要性和紧迫性，它是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题，我们需从国际国内大势出发，统筹各方，创新发展，努力把我国建设成为网络强国。

参考文献：

[1]黄健.计算机局域网安全与防范技术探究[J].中国高新技术企业，2011（31）：69-71.

[2]张莉萍.计算机局域网安全与防范技术研究[J].计算机光盘软件与应用，2013（23）：158+160.

[3]黎敏聪.浅谈计算机局域网安全管理与防范[J].科学之友，2012（02）：113-114.

浅谈企业局域网络信息安全与防范 第3篇

随着信息技术的快速发展, 信息资源的共享性以及普遍性已变得非常广泛, 当今时代, 计算机网络已经遍布到社会的各个领域, 网络化正在不断影响这我们的生活, 也在不断地改变着我们的生活。企业通过建立局域网, 可以实现企业内部资源共享, 可以提高管理效率, 但是局域网在给企业管理带来便利的同时, 也引发了许多安全问题, 如病毒入侵、黑客入侵等。所以, 企业局域网络信息安全防范系统的建立则显得意义重大。

1 企业局域网出现信息安全问题原因分析

在企业内部局域网中, 因为工作上的需要, 企业员工会使用移动硬盘、U盘等外来存储媒体对企业局域网内部的计算机实施数据拷贝、文档编辑等操作, 但是这些移动硬盘或U盘等可能会含有病毒, 而且在进行上述操作前, 没有进行及时的病毒查杀, 这就可能使企业局域网内的单个计算机感染病毒, 进而扩散到整个局域网, 最终可能会导致企业内部一些数据信息丢失, 甚至导致企业整个内部网络系统的崩溃。而且, 企业在对这些病毒进行处理时, 还会耗费大量的人力、物力、财力, 会给企业造成很大的损失。再者就是企业的员工中, 很多的不是计算机专业的, 对计算机网络不是非常的了解, 在工作时, 只会进行一些简单的计算机操作, 有时候操作不当, 也会导致企业局域网感染病毒, 从而给企业带来一定的损失。还有就是企业的一些管理者对企业局域网的安全性没有引起足够的重视, 针对企业内部网络系统存在的一些漏洞, 没能进行及时修补, 这也引发信息安全问题的出现。

一些企业为了方便员工获取内部信息, 为了提高管理效率, 在内网传输的数据通常都不进行加密处理, 这就给入侵者提供了可趁之机, 增加了企业内部信息被窃的风险。一些企业的局域网络比较脆弱, 如果网络速度很快, 也会给入侵者带来可趁之机。企业的一些涉密信息不仅限于服务器, 而且还会在企业局域网中各个计算机上分布, 一些企业在管理过程中, 对个人计算机上的涉密信息没有进行必要的监督与控制管理, 这也会给企业局域网信息的系统造成一定的安全隐患。在企业内部, 计算机使用者的权限不同, 这使得系统更容易遭到越权操作和口令操作的攻击。服务器对使用者的管理也不太严格, 对于那些如记录键盘敲击的黑客工具就比较容易得逞。

2 企业局域网络的安全现状

对于企业局域网系统的安全管理, 大多数企业只是按照相关法律法规的要求或网络系统的要求, 购买一些网络安全产品配置在网络上, 这些网络安全产品包括防火墙以及入侵检测软件、防病毒等软件。通过配置这些产品, 可以对企业局域网信息安全形成一定的保护, 但是其也有一定的局限性。企业内部网络的应用方面很多, 网络性能也较高, 很多企业的涉密信息也比较分散, 这使得企业所购置的安全产品在局域网系统的安全维护上只能解决部分问题, 而无法形成一个严密的、多层次的、相互配合的安全系统。

3 防范措施探究

3.1 企业内部人员管理

为了提高企业局域网络系统的安全性能, 企业在管理过程中, 首先应该提高企业员工的安全防范意识, 企业要设立专门的机构, 然后再派遣专门的人员, 对企业员工进行培训, 尤其针对那些没有进行过专业计算机学习的员工, 通过培训, 提高员工的安全意识, 通过培训也要增强企业员工对相关安全知识的学习, 使他们在日后的实际工作中, 能够正确操作企业局域网内部的个人计算机, 例如, 在培训中要指出, 如果员工要通过U盘、移动硬盘等外来存储设备在局域网内部的计算机上拷贝数据或资料, 在拷贝前要对存储设备进行病毒查杀, 以减少外来病毒对企业局域网络的危害。企业也可以设置局域网内计算机的访问权限, 或是限制局域网内计算机的一些外部操作来隔离一些安全威胁。

3.2 一旦病毒入侵, 及时采取正确有效的处理方法

通常情况下, 如果有外来病毒入侵企业局域网, 其在企业局域网中扩散的速度非常的快, 所以, 当企业面对这种情况时, 应当及时采取正确有效的处理方法, 从而使企业的损失尽量降到最低。例如, 一旦发现企业局域网被黑客攻击或有病毒入侵, 企业应该以最快的速度将企业局域网内部各节点计算机的网络通信断开, 尽可能的阻止病毒的散播, 与此同时, 要对企业局域网的中心服务器进行查看, 检查其是否被病毒感染, 如果发现已被感染要及时作出相应的处理。然后要利用杀毒软件对局域网内各节点的计算机进行进行病毒查杀, 如果杀毒软件无法将入侵的病毒彻底查杀, 或者是进过杀毒处理后的操作系统运行速度变慢, 一些被病毒破坏的文件打不开, 企业则需对整个系统进行重装, 如果病毒破坏情况非常严重, 那么就只有通过硬盘格式化的方式来彻底清除病毒。针对WWW服务器网页安全问题, 企业要实施对Web文件内容的时时监控, 如果检测到有被非法篡改的现象, 企业要进行及时的处理和恢复, 企业还应该建立监控和恢复日志, 而且要设立专门的界面以方便用户进行查看, 从而为保证Web文件的真实性和完整性。

3.3 利用软硬件设备

企业在选择网络安全产品时, 要考虑到这些安全产品的相互协同作用, 即实现防火墙、IDS、病毒防护系统、信息审计系统等的互通与联动, 从而实现最大程度和最快效果的安全保证。当然, 企业也应该在局域网络的服务器安装机构认证的正版操作系统, 要企业局域网中的一些涉密数据信息进行加密处理, 而且要针对企业网络服务器的维护工作者, 进行访问秘钥、访问权限的设置。通过利用这些设备, 以防止黑客或病毒对企业网络系统的攻击, 为企业局域网络系统的安全提供保障。企业还可以在局域网内每个节点的计算机上安装还原卡, 对于一些需要与外部网络连接的工作的计算机安装网络安全隔离卡, 从而实现企业内部网络与外部网络的有效隔离。对于一些大型企业, 可以采用三层网络技术, 通过将企业内部不同层级之间进行隔离, 使得不同层级的局域网形成一个独立的系统, 消除企业内部层级之间的依赖性, 病毒一旦入侵企业局域网, 则可以有效地防止其进行越层扩散感染, 从而提高企业局域网络的安全性。

3.4 做好日常维护工作

为了提高企业局域网络系统的安全性, 企业在日常管理中要做好企业内部网络的安全维护工作。在日常管理过程中, 企业要对一些重要数据信息进行定期备份, 对局域网配置的网络安全产品要进行定期的更新与升级。网络管理员要利用审计和日志管理系统对企业局域网络系统的运行状况进行实时监控, 要对网络用户登记记录进行严格检查, 要对发现的安全隐患进行及时处理, 从而提高企业局域网络的安全性。

3.5 网络安全管理办法及网络安全制度的建立

企业在管理过程中, 除了要对内部员工进行网络安全知识的教育与培训之外, 还应该聘请专门的安全服务供应商来对企业局域网络的安全进行维护, 为企业内部网络系统提供更多的安全保障。针对企业局域网络的安全维护, 国际上以ISO17799/BSI7799为基础的信息安全管理题词已经确立, 而且已经被运用到许多企业中, 企业可以为标准开展安全制度的建立工作。企业应该建立专门的组织机构, 聘用专业的网络安全管理人员, 使其负责企业内部网络安全设备的管理与维护, 并且对其它人员设备安全配置的执行情况进行监督。企业还应该建立局域网安全评审机制, 定期对企业在某一时期的网络安全维护工作进行评定, 从而为企业局域网络的安全管理提供更多的保障。

4 结语

为了提高企业内部网络系统的安全性, 企业要做好多方面的安全防范工作。在日常管理过程中, 企业要认真分析可能引发各类安全问题的原因, 并作出及时的改进和处理。企业在管理过程中, 要对员工进行积极地网络信息安全知识培训, 要正确合理地使用各类安全防护设备, 并且要做好日常维护工作, 以保障企业局域网络信息的安全。一旦发现病毒入侵现象, 企业要积极采取应对措施, 力争将损失降到最低。

参考文献

[1]胡楠楠.图书馆计算机网络的常见故障及维护方法[J].中国新技术新产品.2009 (17) .

[2]金学军.网络信息安全的隐患与防范[J].中国新技术新产品.2010 (02) .

[3]曹苏.谈“尼姆达”病毒对局域网的影响及对策[J].珠江水运.2002 (08) .

[4]陈玉娟.局域网中网络嗅探的检测与防范[J].内蒙古科技与经济.2005 (14) .

[5]杨毅宏.西南电力设计院网络管理经验与成果[J].电力信息化.2010 (08) .

浅谈局域网的维护与安全防范 第4篇

关键词：局域网,维护,安全

1. 引言

随着局域网技术的广泛应用, 局域网的优势也日益彰显, 通过对局域网日常维护与进行安全防范, 使局域网更好地保持信息畅通。

2. 局域网的定义与特点

局域网 (LAN) 是指在小范围内由服务器和多台电脑组成的工作组互联网络。一个局域网可以容纳几台至几千台甚至更多台计算机。

局域网连接的都是数据通信设备, 包含PC、工作站、服务器等终端及外围设备。局域网的特点是所覆盖的地理范围较小;数据传输率高;传输延时小;误码率较低;价格便宜。

3. 局域网的维护与管理

局域网在日常应用中易出现故障主要分为两类, 第一是物理故障, 也就是硬件故障, 一般包括计算机各个零件的故障比如硬盘、内存、显示器等, 以及连接设备的故障如电源线、网卡、网线、路由器等。第二种是软件故障, 主要包含网络协议问题、网络设备的配置、设置问题、病毒问题等。

3.1 物理故障 (1) 网卡

要保证局域网络的正常运行, 首先就是保证网卡驱动的正确安装并与计算机操作系统兼容。现在局域网络通常采用以太网卡。使用时需要配置中断请求 (IRQ) 、基本输入输出 (I/O) 地址及高端内存3个参数。局域网中需要的网卡数量按照网络结构等情况决定, 在前期安装调试时就牵涉网卡的设置。如果网卡设置有误会导致局域网内系统无法正常运行。需要网络维护人员在网卡安装调试时做好网卡的管理, 对网卡有关数据有据可查。因此在维护时, 不论网卡出现何种故障, 都能够快速确定原因及时排除。

(2) 网络连接设备

在组网的过程中最为常用的网络设备。其在工作状态下如果指示灯发生闪烁或者黄灯常亮, 则说明网络发生了堵塞, 这时就要检查网络中是不是有IP地址冲突存在。若是网线与IP地址均正常, 那么我们要对网络设备的地线与零线间的电压进行测量, 看是不是大于3V, 若大于则说明交换机供电系统有问题存在, 导致信号不能够正常传输。路由器是一种可以将多个网络、网段相连接的网络设备, 通常用来将局域网连接到广域网内, 或是将不同结构的子网连接起来。路由器作为一种实现不同网络相互连接的工具, 其系统构成了基于TCP/IP的Internet的重要部分。

(3) 网线连线

网络连线是是连通局域网络的管道。当前广泛应用的是安装容易成本较低的双绞线, 双绞线的正确连接对于局域网非常重要。对于8根4对双绞线的不正确连接会影响局域网通讯效果, 同时还要注意双绞线的防磁干扰, 做好屏蔽等工作。

3.2 软件故障

软件分为网络中服务器及终端电脑使用的软件, 其中特别注意服务器上使用的软件。服务器是局域网核心内容, 重要内容都会放置在里面, 所以要注意保障此类信息的安全。具体包括:

(1) 服务器上软件的维护。所说的软件系统一般包括操作系统和文件服务器等。对于这些软件的运行状况要进行定期的检查。当服务器发生状况时, 工作人员要尽快准确地作出正确的处理, 确保网络正常的运行。

(2) 定期进行病毒查杀。网络和网络之间经常要相互传递信息, 而在传递的过程中不可避免会发生病毒传播, 所以, 操作人员要经常对服务器以及终端电脑进行病毒库的更新, 定期进行杀毒, 确保信息安全。

(3) 定期进行数据备份。不论软件设计的多么完美, 在运行的过程中都会有各种各样的问题出现。所以, 作为维护人员在日常工作中就要定期地对进行软件更新, 将重要数据内容做好备份, 防患未然。

4. 局域网的安全防范策略

由于局域网采取的技术比较简单, 安全措施也较少, 给病毒传播提供了途径和信息安全埋下隐患。当前对网络的安全运行威胁最大的是客户端安全管理。采用安全管理软件加强管理是解决局域网安全的关键。

(1) 采用桌面管理系统控制用户入网。入网访问控制确保网络资源不被非法使用, 也是网络安全防范的主要方法。设置密码策略, 强制要求用户设置符合安全要求的密码, 来防止非法用户修改。设定服务器登录时间限制, 来检测非法访问。

(2) 设置防火墙。防火墙是在应用两个网络之间实行控制策略的系统, 它是建立在现代通信技术与信息安全技术上的安全技术。

(3) 封存起空闲的IP地址, 进行IP地址绑定。上网计算机IP地址应与MCA地址一一对应, 局域网应没有空闲IP地址。能够有效防止IP地址引起的网络中断及移动计算机随意登录内部局域网络, 造成病毒传播和数据泄密。

(4) 属性安全控制。可以防止用户对文件的误删、执行修改、查看目录和文件、显示向某个文件写数据、拷贝、删除目录或者文件、执行文件、隐含文件、共享、系统属性等。

(5) 启用杀毒软件监测局域网络上的所有计算机, 对于没有安装杀毒软件采取警告以及阻断强制其使用安装杀毒软件。

5. 结束语

随着信息技术的发展, 网络渗透到现代生活的各个领域, 逐渐成为社会、国家乃至全世界信息传递的支柱。因此, 采取有效的日常维护与安全防预措施对保障局域网的安全畅通具有十分重要的意义。

参考文献

[1]陈昕, 慕德君著.网络信息安全基础.[M]西北工业大学出版社, 2008:144.

企业局域网安全与防范 第5篇

1计算机局域网存在的安全隐患

随着运用量的增多, 计算机局域网也逐渐暴露出了一些安全隐患, 究其原因, 主要有内、外两因:

1.1内部安全隐患

引起计算机局域网出现安全问题的内部原因主要有网络内部管理员工的疏忽与系统本身管理制度的不健全, 其中尤其以网络管理内部人员的疏忽为主。作为新世纪以来最热门的专业之一, 许多学生在选择专业与就业时更倾心于计算机这门新兴的行业。然而无节制的大规模塑成式培养, 造成了不少从事计算机行业的工作者技术水平与专业素质不足。而对网络安全负有极大责任的网络管理员工在供过于求的市场竞争中, 容易疏忽本职工作监督管理的义务, 甚至有些内部员工会因金钱等利益将内部信息透露给他人, 或因对工作的不满而抓住公司局域网的缺陷肆意攻击、不良应用。无论是安全意识的疏忽, 还是有心的蓄意破坏, 网络内部管理者的行为都在时时刻刻影响着计算机局域网的网络安全。

除了网络管理内部人员的问题外, 局域网系统本身管理制度的不健全也是导致计算机局域网出现安全问题的直接原因之一。由于计算机的便捷性, 运用局域网处理文件、共享资源的单位和公司愈来愈多, 甚至到了普及的地步, 然而不是所有的运用者都有网络安全常识, 大部分的运用者仅仅将局域网当作为工作手段之一, 对其管理多有疏忽, 在计算机利用方面也没有严格的监控手段, 时常发生越位访问、IP随意使用的现象, 同时又没有相应的局域网系统管理制度加以管理与控制, 因此造成了威胁计算机网络安全的现象频频发生。

1.2外部安全隐患

计算机病毒的入侵与互联网黑客的威胁是造成计算机局域网出现安全隐患的两大外部原因。自计算机技术出现以来, 病毒问题便一直如影随形, 熊猫烧香、木马病毒等一直以来都严重地威胁着计算机局域网的安全。如若局域网中的某一台电脑无意间感染了病毒, 当电脑工作运行时, 这种病毒将通过发送文件、资源共享等方式入侵局域网中的其他关联电脑, 从而大规模的传播, 窃取或毁坏计算机信息, 最终导致局域网的全面瘫痪。与之相应的安全问题是互联网带来的威胁。作为一种开放性的网络, 互联网中潜藏着大量以窃取公司数据信息、破坏公司运营为目的的职业性黑客。如果局域网本身的安全系数不高, 这些黑客将通过程序测试、甚至上述制造计算机病毒的手段找到局域网系统的缺陷, 入侵公司系统内部, 冒名窃取重要数据, 严重威胁到局域网的运行安全。

2计算机局域网的安全防护措施

管理制度的不健全、计算机病毒的入侵等内、外部原因造成了计算机局域网出现安全问题。针对这些原因, 笔者尝试提出下面两点建议, 以加强计算机局域网的安全性能。

2.1建立合理的局域网管理制度

加强局域网内部管理人员的安全意识最有效的途径莫过于建立合理的局域网管理制度。合理地人员分配、适当的奖惩措施等都能有效地激发工作人员的管理积极性, 认清网络管理工作者的职责。按照相应的管理制度进行控制工作, 针对越位访问、泄露网络信息的工作人员应依规批评, 倘若情况严重者, 还可明确勒令其停职, 而对严格的管理者给予充分的奖励, 能保证局域网管理者安全意识的提高。

2.2合理完善局域网网络系统

合理完善局域网网络系统是从根本上解决计算机局域网出现安全问题的措施。局域网网络系统完善的方式有很多, 最简单有效的就是防火墙技术的运用。防火墙不仅能及时有效地抵御外部入侵, 还能对局域网的各条运行分支进行随时监控, 以防止黑客、病毒等侵入, 为局域网的安全和公司信息数据的保密提供了保障。除了防火墙之外, 入侵检测和加强账号的安全使用性能也是完善局域网网络系统的措施之一。强大的入侵检测能及时规避不良信息的侵入, 而用户账号的加强举措可以通过限制入网从源头上控制服务器的安全。

针对局域网出现的网络安全问题, 笔者将相应的防范措施列举如表1所示。

3结束语

计算机局域网的安全极大地影响人们的生活与工作, 针对局域网可能出现问题的内、外部原因, 可通过建立合理的局域网管理制度和完善局域网网络系统等防范举措来尝试解决, 以保障计算机局域网的安全运行。

摘要：计算机局域网的运用在给人们的工作生活带来便捷的同时, 也催生了网络犯罪等安全问题的发生。如何提高计算机局域网的安全性, 避免网络安全问题的发生是目前计算机领域需要考虑的一个重要问题。本文辩证地分析了计算机局域网可能出现的安全问题, 并针对其出现的原因尝试提出的防范措施, 旨在为今后计算机局域网的完善与发展提供参考。

关键词：计算机,局域网,安全,防范技术

参考文献

[1]柳继, 龙波.计算机局域网网络的安全现状及对策分析[J].电脑知识与技术, 2014, (20) .

[2]张志国.计算机局域网网络安全问题以及相应对策探析[J].科技风, 2014, (15) .

局域网安全内部防范措施的思考 第6篇

网关是内外网通信的必经之路, 是外网联入内网的咽喉。相对来说, 内网的木马病毒都是比较少的, 但是缺乏隔离机制的内网, 一旦有一台计算机被病毒木马所感染, 其它的也就都陷入了非常危险的境地。

建议在网络内部使用代理网关。使用代理网关的好处在于, 网络数据包的交换不会直接在内外网络之间进行。内部计算机必须通过代理网关, 进而才能访问到Internet, 这样操作者便可以比较方便地在代理服务器上对网络内部的计算机访问外部网络进行限制。

在代理服务器两端采用不同协议标准, 也可以阻止外界非法访问的入侵。还有, 代理服务的网关可对数据封包进行验证和对密码进行确认等安全管制。

所以对于一个局域网络来说, 在边际处至少应当有一个初具安全防范功能的路由器或是防火墙, 以建立第一道防线。防火墙的选择应该适当, 对于微小型的企业网络, 可从Black ICE、Lock Down2000、Zone Alarm、Norton Internet Securitv2001、PCcillin2001、天网个人防火墙等产品中选择适合于微小型企业的个人防火墙。

二、口令安全

现在大部分人都认识到口令安全的重要性了, 不过还是要重申一下:口令的位数要尽可能的长;不要选用生日、门牌号码、电话号码等容易猜测的密码作为口令;不要在每个系统上都使用同一种口令;最好使用大小写的字母和数字混合和没有规律的密码作为口令, 并定期改变各系统的口令。另外, 个人私用密码最好与工作时使用的密码分开。

为了保障网络的安全, 也可以利用网络操作系统所提供的保密措施。以Windows为例, 进行用户名登录注册, 设置登录密码, 设置目录和文件访问权限和密码, 以控制用户只能操作什么样的目录和文件, 或设置用户级访问控制, 以及通过主机访问Internet等。为了安全起见, 还可对主机的网络属性进行设置, 去掉TCP/IP协议和其他协议中的“Microsoft网络上的文件与打印机共享”和“Microsoft网络用户”的绑定, 其他计算机也可进行同样的设置, 且可去掉TCP/IP协议中的绑定。若使用Windows2000, 可使用其自带的一个Routing amp Remote Access工具, 设定输入ICMP代码255丢弃可防ICMP的风暴攻击和碎片攻击。

同时, 可以加强对数据库信息的保密防护。网络中的数据组织形式有文件和数据库两种。文件组织形式的数据缺乏共享性, 现已成为网络存储数据的主要形式。由于操作系统对数据库没有特殊的保密措施, 而数据库的数据以可读的形式存储其中, 所以数据库的保密需采取另外的方法。针对计算机及其外部设备和网络部件的泄密渠道, 可以采取相应的保密措施。

电子邮件是企业传递信息的主要途径, 因此, 必须对电子邮件进行加密处理, 可安装网盾或手写的数码签名on Sign2.0等工具软件。

三、终端计算机防护

一般来说, 终端计算机上必然需要安装的防护软件就是杀毒软件了, 基本要求就是能实时防护 (特别在上外网的时候) 、数据库更新快, 以及占用系统资源小。个人强烈推荐使用kaspersky, 技术实力没的说, 俄国技术, 病毒数据库每天更新两次, 并承诺对新病毒的响应时间为30分钟, 使用起来也比较方便, 又有汉化版, 好处说不完 (唯一缺点就是不是国产的, 使用它不能算支持民族企业了) 。

操作系统绝大多数人用的是微软的windows系列, 主要受影响的就是在安装软件时不小心装上的那些如同“牛皮癣”一般的各类插件了, 不仅占用了大量的系统资源和窗口空间, 影响开机速度, 有时还会引起不知名的错误。值得注意的是系统补丁也要及时打上。

四、防范外部攻击

目前, 计算机网络系统的安全威胁有很大一部分来自拒绝服务 (Do S) 攻击和计算机病毒攻击。为了保护网络安全, 也可以从这几个方面进行。对付“拒绝服务”攻击有效的方法, 是只允许跟整个Web站台有关的网络流量进入, 就可以预防此类的黑客攻击, 尤其对于ICMP封包, 包括ping指令等, 应当进行阻绝处理。

通过安装非法入侵侦测系统, 可以提升防火墙的性能, 达到监控网络、执行立即拦截动作以及分析过滤封包和内容的动作, 当窃取者入侵时可以立刻有效终止服务, 以便有效地预防企业机密信息被窃取。同时应限制非法用户对网络的访问, 规定具有IP地址的工作站对本地网络设备的访问权限, 以防止从外界对网络设备配置的非法修改。

五、重要资料及时进行备份

为了维护企业局域网的安全, 必须对重要资料进行备份, 以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃, 进而蒙受重大损失。

对数据的保护来说, 选择功能完善、使用灵活的备份软件是必不可少的。目前应用中的备份软件是比较多的, 例如ARC Serve、CA的Inocu LAN等, 配合CA的灾难恢复软件, 可以较为全面地保护数据的安全。

六、外部环境安全

浅析无线局域网的安全防范措施 第7篇

1 非法接入无线局域网

无线局域网采用公共的电磁波作为载体,而电磁波能够穿越天花板、玻璃、墙等物体,因此在一个无线局域网接入点的服务区域中,任何一个无线客户端(包括未授权的客户端)都可以接收到此接入点的电磁波信号。也就是说,由于采用电磁波来传输信号,未授权用户在无线局域网(相对于有线局域网)中窃听或干扰信息就容易得多。所以为了阻止这些非授权用户访问无线局域网络,必须在无线局域网引入全面的安全措施。

1.1 非法用户的接入

1)基于服务设置标识符(SSID)防止非法用户接入:服务设置标识符SSID是用来标识一个网络的名称,以此来区分不同的网络,最多可以有32个字符。无线工作站设置了不同的SSID就可以进入不同网络。无线工作站必须提供正确的SSID,与无线访问点AP的SSID相同,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务区上网。因此可以认为SSID是一个简单的口令,从而提供口令认证机制,阻止非法用户的接入,保障无线局域网的安全。SSID通常由AP广播出来,例如通过windows XP自带的扫描功能可以查看当前区域内的SSID。出于安全考虑,可禁止AP广播其SSID号,这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。

2)基于无线网卡物理地址过滤防止非法用户接入:由于每个无线工作站的网卡都有惟一的物理地址,利用MAC地址阻止未经授权的无限工作站接入。为AP设置基于MAC地址的访问控制表,确保只有经过注册的设备才能进入网络。因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。但是MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作。如果用户增加,则扩展能力很差,因此只适合于小型网络规模。

如果网络中的AP数量太多,可以使用802.1x端口认证技术配合后台的RADIUS认证服务器,对所有接入用户的身份进行严格认证,杜绝未经授权的用户接入网络,盗用数据或进行破坏。

3)基于802.1x防止非法用户接入:802.1x技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为无线工作站打开这个逻辑端口,否则不允许用户上网。

1.2 非法AP的接入

无线局域网易于访问和配置简单的特性,增加了无线局域网管理的难度。因为任何人都可以通过自己购买的AP,不经过授权而连入网络,这就给无线局域网带来很大的安全隐患。

1)基于无线网络的入侵检测系统防止非法AP接入

使用入侵检测系统IDS防止非法AP的接入主要有两个步骤,即发现非法AP和清除非法AP。发现非法AP是通过分布于网络各处的探测器完成数据包的捕获和解析,它们能迅速地发现所有无线设备的操作,并报告给管理员或IDS系统。当然通过网络管理软件,比如SNMP,也可以确定AP接入有线网络的具体物理地址。发现AP后,可以根据合法AP认证列表(ACL)判断该AP是否合法,如果列表中没有列出该新检测到的AP的相关参数,那么就是Rogue AP识别每个AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型以及信道。判断新检测到AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型或者信道异常,就可以认为是非法AP。当发现非法AP之后,应该立即采取的措施,阻断该AP的连接,有以下三种方式可以阻断AP连接:

(1)采用Do S攻击的办法,迫使其拒绝对所有客户的无线服务;

(2)网络管理员利用网络管理软件,确定该非法AP的物理连接位置,从物理上断开。

2)检测出非法AP连接在交换机的端口,并禁止该端口:基于802.1x双向验证防止非法AP接入。利用对AP的合法性验证以及定期进行站点审查,防止非法AP的接入。在无线AP接入有线交换设备时,可能会遇到非法AP的攻击,非法安装的AP会危害无线网络的宝贵资源,因此必须对AP的合法性进行验证。AP支持的IEEE802.1x技术提供了一个客户机和网络相互验证的方法,在此验证过程中不但AP需要确认无线用户的合法性,无线终端设备也必须验证AP是否为虚假的访问点,然后才能进行通信。通过双向认证,可以有效地防止非法AP的接入。

3)基于检测设备防止非法AP的接入:在入侵者使用网络之前,通过接收天线找到未被授权的网络。对物理站点的监测,应当尽可能地频繁进行。频繁的监测可增加发现非法配置站点的存在几率。选择小型的手持式检测设备,管理员可以通过手持扫描设备随时到网络的任何位置进行检测,清除非法接入的AP。

2 数据传输的安全性

在无线局域网中可以使用数据加密技术和数据访问控制保障数据传输的安全性。使用先进的加密技术,使得非法用户即使截取无线链路中的数据也无法破译;使用数据访问控制能够减少数据的泄露。

2.1 数据加密

1)IEEE802.11中的WEP:有线对等保密协议(WEP)是由IEEE 802.11标准定义的,用于在无线局域网中保护链路层数据。WEP使用40位钥匙,采用RSA开发的RC4对称加密算法,在链路层加密数据。WEP加密是存在固有的缺陷的。由于它的密钥固定,初始向量仅为24位,算法强度并不算高,于是有了安全漏洞。现在,已经出现了专门的破解WEP加密的程序,其代表是WEPCrack和Air Snort。

2)IEEE802.11i中的WPA:Wi-Fi保护接入(WPA)是由IEEE802.11i标准定义的,用来改进WEP所使用密钥的安全性的协议和算法。它改变了密钥生成方式,更频繁地变换密钥来获得安全。它还增加了消息完整性检查功能来防止数据包伪造。WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能,WEP中的缺点得以解决。

2.2 数据的访问控制

访问控制的目标是防止任何资源(如计算资源、通信资源或信息资源)进行非授权的访问,所谓非授权访问包括未经授权的使用、泄露、修改、销毁以及发布指令等。用户通过认证,只是完成了接入无线局域网的第一步,还要获得授权,才能开始访问权限范围内的网络资源,授权主要是通过访问控制机制来实现。

访问控制也是一种安全机制,它通过访问BSSID、MAC地址过滤、控制列表ACL等技术实现对用户访问网络资源的限制。访问控制可以基于下列属性进行:源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、协议类型、用户ID、用户时长等。

2.3 其他安全性措施

许多安全问题都是由于AP没有处在一个封闭的环境中造成的。所以,首先,应注意合理放置AP的天线。以便能够限制信号在覆盖区以外的传输距离。例如,将天线远离窗户附近,因为玻璃无法阻挡信号。最好将天线放在需要覆盖的区域的中心,尽量减少信号泄露到墙外,必要时要增加屏蔽设备来限制无线局域网的覆盖范围。其次,由于很多无线设备是放置在室外的,因此需要做好防盗、防风、防雨、防雷等措施,保障这些无线设备的物理安全。

综合使用无线和有线策略。无线网络安全不是单独的网络架构,它需要各种不同的程序和协议配合。制定结合有线和无线网络安全策略,能够最大限度提高安全水平。

为了保障无线局域网的安全,除了通过技术手段进行保障之外,制定完善的管理和使用制度也是很有必要的。

摘要：安全问题是自无线局域网诞生以来一直困扰其发展的重要原因,本文研究了现阶段无线局域网面临的主要安全问题,并介绍了相应的解决办法。

关键词：无线局域网,安全问题,802.11

参考文献

[1]王茂才.无线局域网的安全性研究[J].计算机应用研究,2007(01):31-32.

企业无线局域网的威胁与安全防护 第8篇

1、无线局域网面临的威胁

1.1 信号干扰

(1) 周边设备带来的干扰

目前, 一般的无线局域网采用的是ISM (工业、科学、医学) 频段。而常用的IEEE 802.11b/g标准使用的是2.4GHz工作频率 (IEEE 802.11a标准使用5.8GHz工作频率) , 与微波炉、蓝牙、无绳电话等设备使用相同的工作频率。因为微波炉工作在S段频率 (2.4GHz~2.5GHz) , 如果在靠近无线网络设备的地方工作, 就会干扰无线局域网的信号。除此之外, 复印机、防盗装置、等离子灯泡等也可能对其附近的无线局域网产生干扰。

(2) 同类设备带来的干扰

同类设备的干扰主要来自于同楼层、相邻建筑物的无线AP或无线路由器的干扰。如果其他无线AP或无线路由器使用与本无线局域网相同的信道, 就会相互干扰, 导致网络速度下降、信号不稳定。

1.2 无线局域网的非法接入

无线局域网采用公共的电磁波作为载体, 而电磁波能够穿越天花板、玻璃、墙等物体, 因此在一个无线局域网接入点AP (AccessPoint) 的服务区域中, 任何一个无线客户端都可以接收到此接入点的电磁波信号。这样, 未授权的客户端也能接收到信号。也就是说, 由于采用电磁波来传输信号, 未授权用户在无线局域网 (相对于有线局域网) 中窃听或干扰信息就容易得多, 如果不注意安全防范, 就会给无线局域网的非法接入提供便利, 对企业的整个网络安全增加风险。

1.3 地址欺骗、会话拦截

通常情况下, IEEE 802.11系列的无线局域网对数据帧不进行认证操作, 入侵者可以轻易获得网络中站点的MAC地址, 例如, 通过Network Stumbler软件就可以获取信号接收范围内无线网络中的无线网卡的MAC地址, 进而通过修改本机MAC地址, 伪装成合法用户。

此外, 入侵者可以拦截会话帧来发现无线AP中存在的认证漏洞, 通过监测AP发出的广播帧发现AP的存在, 并冒充一个AP进一步获取身份认证信息。

1.4 拒绝服务 (DoS) 攻击

无线局域网与传统的有线局域网一样, 也会面临网络病毒、拒绝服务 (DoS) 攻击等威胁, 而且由于无线AP存在接入方便、带宽窄, 并发数少等缺点, 使得针对无线AP的拒绝服务 (DoS) 攻击更容易更方便实现。

1.5 流量监听

无线网络信号暴露在空中, 任何无线网络分析仪都可以不受阻碍地截获未经加密的信息。此外, 一些网络扫描工具也可以进行流量的监听, 例如, Network Stumbler不仅可以搜索到无线网卡附近的所有无线网络, 还可以显示包括MAC地址、速度、频道、是否加密、信号、连接类型等信息。

2、无线局域网安全防范措施

2.1 信号干扰的防范措施

为了避免信号干扰, 我们应该按照以下原则部署无线网络设备。

(1) 居中原则

在无线局域网中, 无线AP或无线路由器如果处在各无线客户端中心的位置, 则有利于实现更好的网络覆盖效果。例如, 将无线AP或无线路由器放置在几个房间的交会口较高的位置, 并将天线调整到最佳位置。这样还可以避免无线信号的“死角”。

(2) 避让原则

由于微波炉、无绳电话、蓝牙等设备会对无线局域网的信号产生干扰, 那么在部署无线AP或无线路由器时要远离这些设备。另外, 室内的墙壁、门 (尤其是金属门) 、金属障碍物等, 对无线信号的影响非常大。因此, 在部署无线设备时, 要尽量减少无线设备之间的障碍物。

(3) 可视原则

在部署无线网络设备时, 无线AP (或无线路由器) 与无线客户端之间最好在视距范围之内, 而且尽量少地穿越墙壁、障碍物以及其他无线设备, 以保证获得最强的信号。

2.2 无线局域网非法接入的防范措施

为了防止无线局域网的非法接入, 可采取以下措施:

(1) 更改管理密码

无线AP、无线路由器及其他可管理的网络设备, 在出厂时都预设了管理密码和用户名, 一般情况下, 用户名和管理密码都是admin, 应更改其用户名及管理密码, 增加猜测的难度。

(2) 更改SSID值

无线AP和无线路由器在出厂时, 通常预设为开放系统认证状态, 只要安装了无线网卡并使用默认的服务集标识符 (SSID) 的设备, 都可以连接到附近的无线网络。因此, 我们应该修改网络设备预设的SSID值, 并将无线网络的认证方式改为不广播SSID的封闭系统认证方式。

(3) 更改无线AP和无线路由器的IP地址

无线AP和无线路由器出厂时都会预设一个默认的管理页面的IP地址, 这个管理页面的IP地址通常为192.168.1.1。为了防止其他用户轻易猜测到该IP地址而登录管理页面, 应修改无线AP和无线路由器的IP地址, 其他用户只有登录到管理页面才有可能进一步猜测用户名和密码, 加大了非法接入的难度。

2.3 地址欺骗、会话拦截的防范措施

为了防止地址欺骗和会话拦截, 可以采取以下措施来防范这些攻击。

(1) MAC地址过滤

无线局域网中, 可在无线AP或无线路由器内部建立一张MAC地址控制表, 规定只有在MAC地址控制表中列出的MAC地址才是合法的, 才允许接入。

(2) 关闭DHCP服务器

在无线局域网中, 通过DHCP服务器可以自动给网络内部的计算机分配IP地址, 即便是非法入侵者也可以分配到合法的IP地址, 而且可以获得网关地址、服务器名称等信息。所以, 对于规模不大的网络, 最好关闭无线AP或无线路由器的DHCP服务器功能, 采取静态的IP地址配置。

(3) 将MAC地址与IP地址进行绑定

有一些设备可以伪装或克隆合法的MAC地址而非法接入无线网, 如果将MAC地址与IP地址进行绑定, 可以大大提高接入的安全性, 即使你伪装或克隆了一个合法的MAC地址, 然后你设置IP地址, 只要你的IP地址与绑定的IP不同, 也无法接入无线网。

(4) 启用页面认证系统

页面认证系统配合强密码可以较好提高网络接入的安全性, 正是因为如此, 中国移动、中国电信等运营商的无线网络接入全是采用页面认证系统。

2.4 拒绝服务 (DoS) 攻击的防范措施

(1) 启用防火墙

防火墙可以通过一系列的规则在一定程度上防止拒绝服务 (DoS) 攻击, 同时网络管理员通过日志查看网络被攻击的所有记录, 并可以针对性的对防火墙规则进行调整。

(2) 启用网络访问控制列表

通常情况下, 无线AP或无线路由器都提供了网络访问控制功能, 常见的包括IP访问控制、URL访问控制和MAC访问控制。

IP访问控制:通过IP访问控制可以对网络内部计算机服务端口发送的协议数据包进行过滤, 来控制局域网内部计算机对网络服务的使用权限。

URL访问控制:通过URL访问控制功能可以限制无线局域网内部计算机允许或禁止访问的网站。

MAC访问控制:MAC访问控制功能主要限制和控制无线局域网中的某一台或多台计算机访问外网, 进而实现对整个无线局域网的保护。

2.5 流量监听的防范措施

应对网络监听最有效的方法就是网络加密, 当前无线网络加密手段主要包括WEP加密和WPA加密两种。

(1) WEP加密

WEP是IEEE802.11b协议中最基本的无线安全加密措施, 其主要用途包括提供接入控制及防止未授权用户访问网络;对数据进行加密, 防止数据被攻击者窃听;防止数据被攻击者中途恶意篡改或伪造。

(2) WPA加密

WPA是由IEEE802.11i标准定义的, 用来改进WEP所使用密钥的安全性的协议和算法。它改变了密钥生成方式, 更频繁地变换密钥来获得安全。它还增加了消息完整性检查功能, 防止数据包伪造。WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法, 因此即便收集到分组信息并对其进行解析, 也几乎无法计算出通用密钥。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能, WEP中的缺点得以解决。

3、总结

从本文分析看, 企业无线局域网安全是一个复杂的综合性课题, 涉及技术、管理、使用等诸多方面, 既包括网络协议、软件的安全问题, 也有物理的和逻辑的技术措施, 还有用户的安全意识问题。因此, 我们只有综合采取多种防范措施, 并制定严格、明晰的安全策略, 才能确保企业无线局域网的安全稳定。

摘要：随着网络技术的快速发展, 越来越多的企业组建了无线局域网, 无线局域网虽然提供了一种方便灵活的网络接入方式, 但无线局域网的安全问题却一直困扰着企业的管理者。本文研究目前企业无线局域网面临的主要安全问题, 并介绍相应的解决办法。

关键词：企业无线局域网,网络安全

参考文献

[1] (美) Dr.Cyrus Peikari, Seth Fogie.无线网络安全.电子工业出版社, 2004.60-180.

[2]刘元安.宽带无线接入与无线局域网[M].北京:北京邮电大学出版社, 2001.

[3]赵琴.浅谈无线网络的安全性研究[J].机械管理开发, 2008, (01) .

[4][英]爱德尼, (美) 阿尔保著;周正等译.无线局域网安全实务:W PA与802.11i.北京:人民邮电出版社, 2006.