浅谈局域网络的入侵与防范

汪钦

摘要：网络有着开放，互联，传播等特性，黑客入侵、ARP攻击、拒绝服务攻击DoS行为、恶意代码，终端盗取等欺骗，各种攻击行为屡见不鲜，网络安全成为信息社会重中之重。本文从局域网络入侵和攻击常见的方法入手，谈谈如何通过防火墙、入侵检测IDS、入侵防护IPS、日常管理等防范局域网络遭受入侵和攻击，确保信息和商务的安全。

关键词：网络安全；网络入侵；DoS；入侵检测；防火墙；ARP攻击

一、前言

近年来，随着计算机技术和通讯技术的迅猛发展，网络技术也得到飞跃，当今世界，无疑是一个网络的世界，人们通过网络全天候的通讯，搜集信息，发现和交易。

各个企业在这个世界里也嗅到商机，开始搭建自己的网络，进行网络办公，网络交易，刚开始在这种开放的环境中，很多企业在得到网络给我们带来好处的同时，也引来了困惑，我们的信息被别人获取，信息的内容被他人篡改，我们的网络经常瘫痪，服务器经常崩溃，资源被耗尽，我们经常遭受到不明身份的入侵。怎么办？本文将从系统漏洞、局域网的入侵和如何防御展开论述。

二、安全漏洞简述

网络的便利、高效、开放、共享等特性，决定了网络遭受威胁攻击不可避免，大到国家机密信息窃取，小到一个公司和个人主机网络服务中断，数据破坏等，网络存在安全漏洞给了黑客有机可乘。

1.系统本身的漏洞

如今的计算机操作系统几乎都是多用户交互式平台，功能越来越多，对各种接口进行多方位的支持，开放的端口也跟越来越多，漏洞也跟着多起来，给攻击者带来了入侵的机会，有些平台服务年久，像WINXP为我们服务了十余年，暴露的漏洞也就更多，攻击研究的时间也越长，也就越容易受到攻击。

2.TCP/IP协议的漏洞

TCP/IP协议栈是应用于现实的网络体系架构，网络通信离不开它，但TCP/IP也有漏洞，它不能对IP源地址进行判别，IP只是一个实干家，它只负责寻址和路由，至于有没有发错，它从不关心，这样就有可能被黑客利用侦听方式窃取数据，篡改路由。另外TCP/IP上层协议的应用都依赖于响应端口，需要把相应的端口开放，如HTTP的80端口，FTP的21端口，SMTP的25端口，远程桌面的3389端口等，端口的开放给了网络攻击者入侵的机会。

三、常见的入侵防御

从计算机网络安全技术来看，入侵防御重点要从防火墙，防病毒，入侵检测和入侵防护着手，甚至要进行技术策略组合才能防范入侵，确保网络安全。较常用的技术有防火墙技术，安全扫描技术，防病技术。

1.防火墙技术

1.1、防火墙简介

防火墙是为了保护网络安全而使用的技术，它采用隔离控制技术，在某个企业的网络和不安全的公共网络（像Internet）之间设置屏障，按照指定的安全控制策略，阻止外网用户对内部网络信息资源的非法访问，当然也可以阻止内部信息向外泄露。表现形式可以是一个硬件防火墙，路由器，一台电脑，也可以是有安全策略的防火墙软件。

1.2、防火墙的关键技术

（1）包过滤防火墙

包过滤技术是防火墙中一项重要的安全技术，像一个开关电路，通过在网络边界上对进出网络的数据包进行过滤控制，管理员可以配置若干规则，对流入和流出的地址，端口、方向、服务、访问时间设定允许还是拦截，它是一种基于网络层的防火墙技术。

（2）代理技术

代理服务型是一种基于应用层的防火墙。代理服务型防火墙最突出的优点是安全，工作在最高层。可以对网络中任何一层的数据进行过虑筛选保护，而包过滤只能对网络层的数据进行过滤。但是代理型速度慢，对网关的吞吐量要求高。

1.3、防火墙配置策略

外部屏蔽路由区的访问策略：允许外网用户访问DMZ区的WEB服务器和邮件服务器，其他禁止。

内部屏蔽路由器的访问策略：允许内部用户访问外网，不允许外网用户访问内网；允许内部网用户访问DMZ区，不允许DMZ区网络用户访问内部网络。

2.入侵检测系统IDS

入侵检测（Intrusion Detection System）是指发现、跟踪并记录或复制计算机系统或计算机网络事的非授权，不可信任的行为，发现并调查系统中可能为试图入侵或病毒感染而带来的异常活动。是一种积极主动安全防护技术，使网络和系統免遭非法攻击的网络安全技术，IDS具有较好的安全规则，并监视系统运行，网络运行状况，对有攻击企图，攻击行为，攻击结果进行检测，保护网络系统数据的保密性、不可篡改以及可用和有效性。IDS产品一般在网络中是旁路式工作，部署在网络内部的监控点比较合适。

3.设备配置防御

今天的防火墙、路由器、交换机带有部分的抵御入侵攻击的功能，只要做好相应的命令配置就可以。像ARP病毒的传播，DHCP欺骗等，如DHCP欺骗，就是通过非信任端口的DHCP服务器获得IP信息，我们可以在接入层交换机上启用DHCP Snooping 监听机制隔离非法的DHCP服务器，通过DHCP Snooping 建立和维护DHCP Snooping绑定表并过滤掉不可信任的DHCP信息来防止DHCP欺骗。

4.网络管理员日常管理要有防御

4.1、更新系统补丁，封堵系统漏洞

如最新的系统补丁打上后，当收到大于65535个字节的数据包时，系统就会丢弃该数据包，能有效防止Ping of Death。可以用系统自带的Windows Update，也可以用防毒软件等扫描软件帮我们的系统更新。

4.2、关闭不安全的服务和端口

WINDOWS下开放的端口很多，病毒和黑客很容易通过这些端口连上你的主机，如TCP 135，139，445，593，1025端口，UDP 135，137，138，445，远程端口3389等，如不是特殊的应用，可以关闭这些端口。关闭方法很多，我常用两种：

（1）管理工具—服务（或者直接运行services.msc），找到不要的服务禁止启动；

（2）配置IPSEC。管理工具-本地策略-IP安全策略-创建IP安全策略-创建新的IP安全策略，可以将不同协议（如TCP，UDP）中不需要的服务所对应开放的端口禁止。

4.3、漏洞扫描

漏洞扫描是基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用的漏洞百的一种安全检测行为，常与防火墙，入侵检测系统结合使用，能有效提高网络安全性，能有效评估网络安全系数，在黑客攻击前进行防范。

4.4、病毒入侵防治技术

安装网络版查杀毒软件，启用病毒实时监控，如上面的ARP病毒入侵，我们可安排一个网络版的ARP防毒软件进行实时监控；防毒软件要定时升级病毒库；进行漏洞扫描，给系统打上安全补丁；对邮件进行监控。

五、结束语

防火墙技术、入侵检测系统、日常系统漏洞扫描和升级补丁、IP安全策略的配置、病毒防治技术以及他们的组合可以用效的防止内外不明用户的威胁，以上讲述的更多的是一种技术的防范，但实际上我们经常遇到内部人为的攻击行为，还需要制定日常安全管理制度，如机房人员管理制度、保密制度、跟踪审计制度、网络系统日常维护制度、数据备份制度、病毒防范制度等。

参考文献：

[1] 黄传河. 网络规划设计师教程[M].清华大学出版社.2009-6.

[2] 谢垂民.朱国麟.电子商务师[M].广东世界图书出版公司.2012-7.

[3] 朱秀锋.浅谈计算机校园网络安全漏洞及防范措施[D].衡州市技术工程学校，2011.endprint