局域网环境下的网络安全技术研究

薛劲松 冯仁君

（国网苏州供电公司，江苏 苏州 215004）

1 引言

在社会经济快速发展下，计算机已经走入千家万户，成为我们日常生活和工作中不可或缺的一部分。而网络具备共享性、复杂性、开放性等特征，这致使在局域网与广域网环境下，计算机网络安全难以得到有效保障，进而衍生出很多网络安全问题。本文分析了当前局域网环境下的计算机网络安全威胁，并制定相应的安全措施，进而确保计算机网络信息的保密性、安全性与完整性。

2 局域网环境下的计算机网络安全问题

2.1 计算机病毒的威胁

在网络技术快速发展下，出现了多种计算机病毒，这些病毒破坏性强，传染性强。计算机病毒不但会对计算机内部数据处理系统进行侵扰，而且对计算机指令造成破坏。一旦有网络病毒入侵到局域网，当一台计算机感染病毒，与其进行信息交互的服务器也会被感染，进而病毒会迅速扩散到局域网内与该服务器相连的其他计算机，局域网数据交互的高速性也加快了病毒的传播速度，因此，服务器区域的独立防护是非常有必要的。

2.2 计算机操作人员缺乏安全意识

计算机操作人员安全意识缺乏，是当前局域网安全问题的主要构成因素之一。在通讯技术快速发展下，应用计算机网络人群越发增多，但实际上，人们普遍缺少网络安全意识。很多用户在计算机网络使用中不加密，内网与外网频繁切换，没有对计算机系统及时杀毒，访问不安全网站等等，这些操作往往给计算机病毒创造了侵入的条件，进而造成数据泄密的情况发生。

2.3 局域网管理制度不完善

目前广域网已经有相对完善安全防护体系，如防火墙、入侵检测、包过滤路由等网络边界防护，阻挡来自外网的安全威胁。但是，局域网建设还有很多不足，缺乏完善的网络管理制度和规范，局域网接入管理不严、服务器端口管理不到位、IP地址规划不合理，致使安全威胁较大，加之网络在使用和管理过程中的疏漏也增加了局域网安全的威胁。

3 局域网网络安全技术应用

3.1 防火墙技术在局域网网络安全中的应用

在局域网中，防火墙技术的应用可在内网与外网之间形成一道防护屏障。通过防火墙设置，监测过滤内外网之间的信息交换，记录通信相关日志，将不安全数据以及信息及时隔离，并对重点网段进行有效隔离，保护内网数据不被窃取与破坏。同时，还能够对服务器区域进行独立防护，通过设置双重防火墙划分出两个服务器隔离区域，区域1可以放置只允许内网访问的一类服务器，区域2放置允许内外网访问的一类服务器，实现了内网，服务器区域1，服务器区域2和外网之间的访问控制，既在网络出口处阻断了外网攻击，又在网络入口处抵挡了内网攻击。

3.2 入侵检测技术在局域网网络安全中的应用

入侵检测技术是继防火墙之后的第二道网络防御系统。通过对网络中关键点的信息收集和分析，检测包括安全日志、用户行为、审计信息等内容，发现是否有被攻击的迹象，并适时作出响应。入侵检测技术的应用有助于管理人员对网络系统中的变化情况及时了解，扩展了系统管理员对安全审计、监视、攻击识别和响应方面的安全管理能力，提高了网络安全架构的完整性。

3.3 网络分段技术在局域网网络安全中的应用

网络分段是一种确保系统安全的关键措施，也是一项基本手段，其功能是隔离网络资源与非法用户，进而达到对用户非法访问进行限制。网络分段有两种方式，即：逻辑分段、物理分段。在具体应用中，一般采用逻辑与物理分段相互融合的方式来实现控制网络系统的可靠性与安全性。当前，我国局域网的网络格局主要是以交换机为中心，边界是以路由器为主，应对中心交换机的访问控制功能进行优化，并对物理与逻辑分段综合运用，进而更好地控制局域网的安全。

3.4 交换式集线器在局域网网络安全中的应用

在对局域网中心交换机进行网络分段之后，虽然可以在一定程度上提升网络安全，但依然存在以太网被侦听的风险。导致其安全隐患的主要原因是，终端使用者在接入局域网时经常使用分支集线器进行接入。当前较主流的分支集线器，多数产品都是采用共享的方式。从而，当用户之间进行数据包交换时，处于同一个局域网中的其他用户则能够对其数据进行侦听。所以，要从根本上解决网络安全问题，需要将共享式集线器替换为交换式集线器进行使用，确保在进行单播包数据传送过程中，保持在两个节点中进行数据传送。

3.5 虚拟网技术在局域网网络安全中的应用

随着局域网交换技术的不断发展，基于广播局域网的传统技术已经开始向面向连接的技术发展。局域网维护管理人员可以通过局域网的广播机制进行切入，使用交换器和VLAN技术来实现点对点通讯。通过虚拟网技术在局域网网络安全中的应用，针对相关访问控制进行设置，让处于虚拟网外的网络节点无法对其网内节点进行直接访问，有效提高了局域网网络安全。

3.6 IKE--Internet密钥交换协议在局域网网络安全中的应用

IKE属于一种混合型协议，由Internet安全关联和密钥管理协议（ISAKMP）及两种密钥交换协议OAKLEY与SKEME组成。在进行IKE创建时，需要基于ISAKM框架来进行定义，沿用了OAKLEY的密钥交换模式以及SKEME的共享和密钥更新技术，还定义了它自己的两种密钥交换方式：主要模式和积极模式。

IKE使用了两个阶段的ISAKMP：第一阶段通过协商方式来创建IKE的安全关联，其能够对所创建的通信信道进行认证，从而可以让通信双方的IKE通信更加保密，通信信息更加完整。第二阶段在所创建的IKE安全关联的基础上，为IPsec协商具体的安全关联。对于配置的两个阶段而言，一阶段中可以采用主模式和野蛮模式来进行工作，二阶段中的工作模式只是单纯的快速模式。其中，主模式是为整个信息交换提供相对应的身份保护，需要通过6个消息交换完成IKE SA的建立。在进行预共享密钥主模式认证过程中，双方的身份信息只能以IP地址标识。如果是采用数字证书验证的主模式，可以从所提供的证书中提取相应的公开密钥。在进行野蛮模式工作时，该模式会通过信息交换的方式创建一个新的验证密码，然后使用IKE进行安全协议创建安全关联，其工作模式只需通过3条信息的交换，较主模式能够更快建立IKE SA。因此，对于野蛮工作模式而言，其更加适用于远程访问。两者在进行信息交换时，同时使用共享密码验证模式来创建IKE安全联盟。如果发起者非常熟悉响应者的安全策略，则可以通过快速创建IKE SA方式来进行访问。对于快速模式而言，主要是在创建安全关联的基础上，通过快速模式来与其他IPSEC协议进行交换，并让两者的SA提供IKE安全关联加密，整个加密过程可以对所交换的信息进行验证。

IKE的安全机制主要是以身份验证为主，可以通过对通信双方身份进行验证，系统会自动对其身份进行识别。此外，以DH算法交换与密钥分发安全机制为辅，这种安全机制主要是在进行数据交换过程中，通信对等体并不会进行密钥传送，而且通过计算的方式来获取共享密钥。通过这样的安全机制，一旦某一个密钥出现被破解的问题，其他密钥也不会受到影响。因为在其安全体系中，不同密钥间不存在派生关系，可以最大限度地增强局域网网络安全性。

3.7 加强局域网管理

制定完善的网络管理和监督办法，加强局域网接入管理、服务器端口管理、IP地址分配管理等制度，是确保局域网安全稳定运行的保障。强化信息保密约束、使用者行为约束、管理者行为约束，减少因网络使用者和管理者的各种不当行为造成的网络安全威胁。

4 结语

计算机网络技术的快速发展，在为用户的工作和生活带来许多便利的同时，网络安全问题的出现对用户的影响也是巨大的。人们应树立安全风险意识，做好网络安全防范管理工作，完善计算机的安全使用性，健全有关计算机操作管理制度，切实做好维护和管理局域网网络运行工作。

[1]韩锐．计算机网络安全的主要隐患及管理措施分析[J]．信息通信，2014(01)：152-153．

[2]王涛．浅析计算机网络安全问题及其防范措施[J]．科技创新与应用，2013(02)：45-45．

[3]杨晓红．局域网环境背景下的计算机网络安全技术应用研究[J].电脑知识与技术，2013(4 X)：2572-2574．

[4]杨丽．对局域网环境背景下的计算机网络安全技术应用分析[J].数字技术与应用，2016(4)：213-213．