网络学习室的网络安全防护措施

◆肖静静

网络学习室的网络安全防护措施

◆肖静静

(武警福建总队参谋部综合信息保障中心 福建 350003)

伴随信息浪潮席卷世界，信息化技术不断渗透着人们日常生活，网络学习成为人们获取知识的一个既方便又有效的途径。网络学习室是以计算机终端连接局域网的形式接入，因此做好计算机终端、交换机和路由器的安全防护成为网络信息安全的一个重要环节。

网络学习室；安全防护；措施

0 引言

随着网络时代的到来，网络学习室为人们提供了很好的工作、学习、休闲场所，但因其使用时间和范围有限、网络复杂层度较低，有的单位在网络安全硬件防护方面投入的设备和资金较少，计算机和网络的安全防护手段不得不停留在简单的系统防护上。因为缺乏有效的硬件防护手段，网络管理员对设备状态、信息流转、服务功能、用户操作行为等方面的监控维护往往力不从心，网络安全的防御策略一旦考虑不周全，系统网络容易受到攻击，非常容易导致拒绝服务、非法访问、用户个人信息泄露、数据丢失等安全事件的发生。

1 计算机的安全防护措施

1.1 账号和口令的设置

超级管理员账户因为具有最高的系统权限，要特别对待，应设置强口令密码，必要时可以创建一个伪造的无实际权限的账户起到以假乱真的作用。Guest账户是系统的不设防账户，也是木马病毒青睐的目标，开启Guest账户有很大的危险性，一般在控制面板中将其禁用。口令是计算机鉴别用户、实施访问控制的安全防线，要正确设置BIOS开机密码和用户账户口令，确保密码复杂度，系统用户的账户口令最好在8位以上，并对密码定期进行修改。

1.2 计算机病毒的防范

为防止计算机病毒对终端的侵害，首先要对重要数据进行备份，防止因系统突然崩溃导致数据丢失。网络学习室人员流动性大、用户多，部分用户操作计算机技能水平参差不齐，应设立防病毒服务器，建立网络化病毒防护系统，实现病毒情况监测、安全策略统一制定下发和病毒库网上自动更新。操作系统漏洞是病毒肆无忌惮到处传播的主要原因，因此，防病毒服务器上的系统漏洞补丁要自动更新，做到修复系统漏洞必须及时有效，确保学习室内的所有计算机可以自动更新。在使用计算机时，如果发现计算机存在异常现象，特别是出现网速慢、异常死机、内存突然不足、增加了一些陌生文件等现象时，一定要对问题计算机单独隔离，进行病毒查杀，随后对全网计算机进行全面杀毒。

1.3 系统端口的防护

一般情况下操作系统的许多端口是默认打开的，不少非法用户程序和病毒会利用这些端口进行网络主机进行攻击和破坏。为保证系统安全，主动关闭不需要的端口。例如勒索病毒就是通过445、135、137、138、139等危险端口来传播，而普通用户对这些端口的利用率很低，要及时做关闭处理，以免被非法用户所利用。

2 网络交换机的安全防护措施

2.1 合理划分VLAN

对网络学习室的VLAN进行划分时，可采用最常用的基于端口划分VLAN的方法。其他基于MAC地址、基于IP地址和基于IP子网的VLAN划分方法可以依据个人管理习惯，针对不同类型用户建立相应的VLAN，进行相互隔离，实现分类管理防护，并控制广播风暴。

2.2 交换机端口绑定

通常为交换机端口与主机MAC地址和IP地址进行绑定，主要是限制用户终端设备接入网络，进行IP、MAC、端口绑定，大大降低了IP冲突的可能性。可禁用端口的MAC地址学习功能，采用静态的MAC表，控制非注册计算机终端接入网络。

2.3 ARP防攻击防御

ARP协议有简单、易用的优点，但因其没有安全认证机制容易遭受攻击。在配置交换机时，应有针对性地采取不同的防护策略。

（1）泛洪攻击

攻击者是通过伪造大量源IP地址变化的ARP报文频繁向网络中发送，使得ARP表项溢出，最终导致正常的通信中断。在配置交换机时，可以通过在VLAN中设置限制ARP表项数量，达到防范ARP泛洪攻击的目的。

（2）仿冒网关攻击

攻击者采用伪造ARP报文信息（源IP地址为网关IP地址，源MAC地址为伪造MAC地址）[1]，向被攻击的主机发送ARP报文信息，被攻击主机在更新自身ARP表后，IP地址和MAC地址的对应关系发生错误，造成用户访问网络异常。在配置交换机时，启用基于网关IP/MAC的ARP报文过滤功能，将上行端口和网关IP地址、MAC地址绑定，下行端口和网关IP进行绑定，这样伪造的ARP报文将做丢弃处理，达到防范“防冒网关”攻击的目的。

（3）欺骗网关攻击

攻击者向网关发送伪造网络中其他设备和主机的源IP地址或MAC地址的ARP报文，从而导致网关上的ARP表项更新错误，造成用户访问网络异常。在配置交换机时，启用ARP报文源MAC地址一致性检查功能，通过检查ARP报文中MAC地址是否一致来检验ARP报文的真伪，达到防范ARP攻击的目的。

2.4 访问控制认证

802.1X认证协议是一种对用户进行认证的方法和策略，达到接收合法用户接入和保护网络的目的，用于完成对用户接入的安全审核。在局域网环境下，可以通过开启交换机802.1X认证功能、终端上启用802.1X客户端、架设802.1X服务器端等三种方式实现[2]。

3 路由器的安全防护措施

3.1 访问安全

对路由器进行配置时，要尽可能考虑网络学习室所处环境，根据实际情况关闭一些不必要的功能，例如一些查看信息。还应阻止路由器接收带源路由标记的包，阻止路由器转发广播包等。制定密码安全策略，为各类用户的进入设置复杂、强壮的长口令，启用密码加密服务；同时严格控制Console端口的访问，如果不使用AUX端口的访问，则禁用这个端口。如果需要远程访问路由器，应使用访问控制列表和高强度的密码进行访问控制，并严格控制访问路由器的IP地址范围。合理设置访问控制列表ACL，实现目的地址、源地址、应用程序端口等诸多因素的指定和限制，有针对性地对不安全因素进行控制。防止外部IP地址欺骗，非法用户可能使用内部网络的合法IP地址、回环地址、组播地址作为源地址，对网络进行非法访问，访问控制列表应设置为阻止。防止外部的非法探测，ping、traceroute或其他命令网探测络命令是非法访问者入侵网络的首选命令，访问控制列表应设置为阻止。阻止对关键端口的非法访问，禁止使用RPC远程过程调用服务端口135，提供名称服务端口137、138，提供共享服务端口135、139，禁止使用445和1434端口防蠕虫病毒，禁止使用5554和9996端口防震荡波病毒攻击，禁止使用5800和5900端口防系统被远程控制。做好路由器操作系统的升级备份，保留路由器的用户访问日志以及维护记录日志。

3.2 路由安全

合理使用路由器协议，避免使用路由器信息协议RIP而被欺骗，导致接收不合法的路由更新。路由器端口上禁止发送广播包，禁止使用IP重定向。在动态路由协议中设置一些不需要转发路由信息端口被动接口。校验数据包路径的合法性，使用RPF反向路径转发，检查源IP地址的准确性，对于违法攻击者的地址，丢弃攻击包，从而达到抵御攻击的目的。

3.3 服务安全

禁用不必要的、不使用的服务，如echo、chargen和discard等应用目的不明确的服务。这些服务可以被用来实施拒绝服务攻击和其他攻击。禁用finger服务和cdp服务，禁止BOOTP服务，禁止从网络启动和下载初始配置文件，禁止ICMP服务，禁止Ping包等一些反馈信息以及超出生存时间TTL的ICMP流量进入网络。

4 结束语

网络安全在网络学习室的运行中扮演着举足轻重的作用。随着各种信息新技术的不断出现，网络信息量也在大幅增长，网络学习室面临的非法访问、恶意攻击等威胁也与日俱增，给网络安全防护带来了很大的挑战。这就要求网络管理员不但要做好传统计算机终端、交换机和路由器的防护工作，还要不断学习新的网络安全防护知识和技巧，不断摸索新的网络安全防护手段，确保网络学习室安全正常运行。

[1]薛芳.基于802.1x协议校园网ARP期骗主动防御系统的研究与实现[D].厦门大学，2011.

[2]宋桂建.加固局域网安全“四策”[J].科技致富向导，2014.

[3]金忠伟.基于端口检测的路由器安全防护策略[J].计算机工程，2014.

[4]李新科.计算机终端的安全防护措施[J].通信，2016.

[5]雷晓明.校园网中有效防范ARP攻击[J].建筑工程技术与设计，2016.