局域网安全管理及优化

孟英杰，曲晶晶

（山东丝绸纺织职业学院，山东 淄博 255300）

互联网络体系中，遍布于各类公司、企业的局域网成为社会生产生活的重要组成部分。随着信息化的不断扩展，各类网络版应用软件推广应用，计算机网络在提高数据传输效率、实现数据集中、数据共享等方面发挥着越来越重要的作用，网络与信息系统建设已逐步成为各项工作的重要基础设施。为了确保各项工作的安全高效运行，保证网络信息安全以及网络硬件及软件系统的正常顺利运转是基本前提，因此计算机网络和系统安全建设就显得尤为重要。

1 局域网安全现状

广域网络已有了相对完善的安全防御体系，防火墙、漏洞扫描、防病毒、IDS等网关级别、网络边界方面的防御，重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。相反，来自网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施，安全威胁较大。未经授权的网络设备或用户就有可能通过局域网的网络设备自动进入网络，形成极大的安全隐患。

2 局域网安全问题的形成原因

局域网（LAN）是指在小范围内由服务器和多台电脑组成的工作组互联网络。目前绝大多数的局域网通信使用TCP/IP协议，由于局域网中采用广播方式，黑客通过对信息包的分析，广播域传递的信息就会暴露在黑客面前。网络的开放性和自由性产生私有信息和数据被破坏或侵犯的可能性。

2.1 TCP/IP的脆弱性

因特网的基石是TCP/IP协议，但不幸的是该协议对于网络的安全性考虑得并不多，并且由于TCP/IP协议是公布于众的，如果人们对TCP/IP很熟悉，就可以利用它的安全缺陷来实施网络攻击。

2.2 网络结构的不安全性

因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当一台主机与另一局域网的主机进行通信时，它们之间互相传送的数据流要经过很多机器重重转发，如果攻击者利用一台处于用户的数据流传输路径上的主机，他就有可能劫持用户的数据包。

2.3 易被窃听

由于因特网上大多数数据流都没有加密，因此人们利用一些工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。黑客通常借用系统漏洞非法侵入重要信息系统，窃听、获取、攻击侵入网的有关敏感性重要信息，修改和破坏信息网络的正常使用状态，造成数据丢失或系统瘫痪，给国家和个人造成重大政治影响和经济损失。

2.4 缺乏安全意识

虽然部分网络中设置了许多安全保障，但人们普遍缺乏信息安全意识，从而使这些保护措施形同虚设。如人们为了避开防火墙代理服务器的额外证，进行直接的PPP连接，从而失去了防火墙的保护。钓鱼工具就是通过伪装为一些知名机构，发送大量欺骗性垃圾邮件引诱收信人给出隐秘信息的一种攻击方式。冒充大型门户网站来骗取用户信任，盗取他人财产。同时由于用户缺乏数据备份等数据安全方面的知识和手段，因而经常引起信息丢失等现象发生。

3 局域网安全保障

通常有效的无线局域网安全技术包括：物理地址（MAC）过滤：每个无线工作站网卡都由唯一的物理地址标示，该物理地址编码方式类似于以太网物理地址，是48位。可在无线访问点AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。

3.1 分级多重防护的网络结构调整

局域网网络结构主要特点是混网，最大的优点是成本低，在现有网络结构基础上，尽可能地降低网络结构造成的安全风险。服务区标识符（SSID）匹配：无线工作站必需出示正确的SSID，与无线访问点AP的SSID相同，才能访问AP；如果出示的SSID与AP的SSID不同，那么AP将拒绝他通过本服务区上网。因此，可以认为 SSID是一个简单的口令，从而提供口令认证机制，实现一定的安全。非可信终端往往是病毒和蠕虫重要的传播途径，对不可信终端的控制可以采取两种措施进行网络控制：一是禁止接入网络；另一种是限制对网络的访问，如分配到客户VLAN，只允许访问有限的资源。

3.2 服务器区进行独立防护，划分安全级别

局域网内计算机的数据快速、便捷的传递，造就了病毒感染的直接性和快速性，如果局域网中服务器区域不进行独立保护，其中一台电脑感染病毒，并通过服务器进行信息传递，就会感染服务器，这样局域网中任何一台通过服务器信息传递的电脑，就有可能会感染病毒。虽然在网络出口有防火墙阻断对外来攻击，但无法抵挡来自局域网内部的攻击。按照不同的分支机构的安全等级和网络级别设定独特的安全策略，便于网络管理员进行管理。做好安全域划分。安全域的划分将保护划分等级。合理的VLAN规划，对安全域的划分提供有力的支撑。应用环境安全包括操作系统安全、应用程序安全、数据安全等。

3.3 构建主机入侵防御系统（HIPS）

在安全局域网 HIPS系统中，对需要宿主程序的和不需要宿主程序的两类恶意软件均可进行防范。HIPS系统会在创建进程前与白名单中的进程名和进程校验进行比对，因此恶意进程即使想要伪装成白名单中的进程，也会因为无法通过校验和匹配而失败。HIPS系统也能够通过白名单的扩展信息判断出该宿主程序违反了既定的安全行为规则，实现实时阻止恶意软件访问操作系统的关键文件和注册表的关键区域，防止机密文件泄密和系统遭到毁灭性破坏。该安全局域网结构可以对终端的文件访问、进程创建和注册表读写等操作进行监控，并通过事先建立的安全行为规则来判断当前系统调用是否是入侵攻击行为；该框架还可防范针对安全局域网特点的拒绝服务攻击。实验结果证明，该主机入侵防御系统框架能够阻止恶意软件运行，在合适的参数设置情况下，也能较为准确的阻止利用安全局域网机制进行的拒绝服务攻击。

1 王秀和、杨明.计算机网络安全技术浅析［J］.中国教育技术设备，2007（5）