局域网安全(精选12篇)
局域网安全 篇1
无线局域网作为一种无线接入技术, 通过无线信号进行近距离通信, 实现了人们的移动通信梦想, 是现代信息化社会的重要标识。在这个信息主流的时代, 无线宽带犹如异军突起, 一经投入市场立即引起了广大用户的强烈反响, 并逐渐成为现代生活中不可或缺的一部分。但是, 随之而来的无线局域网安全问题时刻困扰着广大用户, 严重影响了他们的网络服务体验, 已然发展成时代性课题。
1 无线局域网安全技术相关简介
无线局域网作为信息化技术发展的产物, 满足了人们愈加复杂化和多样化的通信需求, 与有线网络相搭配, 为用户提供了更加便捷的信息服务体验。在这样的环境下, 无线局域网技术逐步迈入了快速发展轨道。
1.1 技术发展背景
信息化时代背景下, 随着电子政务及电子商务的快速发展, 越来越多的人选择网络传输和处理数据信息。在此过程中, 无线局域网安全问题不断暴露出来, 安全技术成为了无线局域网发展的关键因素。与有线网络传输相同的是, 安全性能亦是广大用户对无线局域网效果的最高追求, 而且缘于其本身特性, 它还面临着更大、更多的安全风险。例如, 有线网络的线缆作为一种物理防御屏障, 当攻击者无法连接网络线路时, 则切断了其窃取网络信息的路径。然而, 无线局域网则有所不同, 它是通过无线电波实现信息传播的, 任何人都可能成为攻击者。除此之外, 一般连接无线局域网的设备计算能力、存储能力以及蓄电能力等都较弱, 容易造成数据传输中断或丢失, 因而无线局域网的安全问题具有很强的特殊性和复杂性。在现实生活中, 人们为了追求信息数据传输便利, 对无线局域网的依赖性越来越高, 同时也面临着严重的安全威胁。因此, 无线局域网安全技术发展备受社会各界关注, 同时面临着机遇和挑战。
1.2 接入认证技术
在无线局域网的应用过程中, 合法用户可以通过无线连接的方式共享计算机资源信息。因此, 如何确认合法用户身份, 是保证无线局域网安全的重要基础。以IEEE 802.11标准支撑的无线局域网系统, 可支持对用户开放式以及共享密钥的认证服务。其中, 开放式认证技术只要求用户提供正确的SSID, 但是根据系统默认值设置, 该SSID会在AP信标力广播, 即使面临关闭的情况, 黑客或入侵者依然可以探测到SSID的相关信息, 从而危险无线局网安全。相比于前者, 共享密钥认证技术的应用较为安全, 用户需要正确使用AP发送的challenge包, 并返回给AP, 进而进入无线局域网络, 但这种虽然操作较为复杂, 但依然存在黑客攻击的危险。在此基础上, EAP认证技术在一定程度上弥补了上述认证技术的不足, 并由此衍生出的SIM、AKA等认证协议满足了3G、4G互通的需求, 在无线局域网领域的应用更为广泛。
1.3 密钥管理技术
认证技术确认安全后就会产生密钥并对密钥进行管理, 无线数据传输保密工作因为密钥管理的参与将会更加安全。密钥管理最初是建立在静态WEP密钥基础之上的, 静态WEP密钥是所有的设备拥有一样的WEP密钥, 这不仅需要管理员耗时耗力地将WEP密钥输入到每一个设备中, 而且如果带有WEP密钥的设备丢失或者被盗时, 黑客可能会通过这个设备侵入无线局域网, 这时管理员是很难发现的。即使管理员发现了并想要阻止, 就需要具有一样的WEP密钥设备并对WEP密钥进行更新。在面对庞大数量的用户时, 这项工作将是对管理员工作的严重考验。而且如果黑客解密出一个新的静态WEP密钥, 管理员也毫不知情。在现行更安全的方案中采取的是动态密钥, 动态密钥是在EAP认证时, RADIUS服务器将与客户生成会话密钥并将密钥发送给AP, 客户和AP同时激活密钥开始会话直到超时, 超时后将会重新发送认证生成新的会话密钥。
2 无线局域网面临的安全威胁因素
由于传输介质的开放性, 无线局域网本身就具有更大的脆弱性, 同时还侵受着外部的恶意威胁。从某种意义上而言, 无线局域网面临的安全威胁取决于其承载的信息资产价值, 大致可以分为以下几种因素, 具体表述如下:
2.1 非法介入
对于广大用户而言, 内部无线局域网上流转的数据包含着十分宝贵的信息资产, 关系到自己的切身利益, 一旦泄露或被窃势必会造成物质或精神上的损伤。对于电信通讯来说, 无线局域网非法介入可能会导致客户信息泄露, 有损自身品牌信誉, 同时还给客户带来了不可挽回的经济损失。近年来, 关于电信诈骗的案件报道比比皆是, 为社会大众所恐慌。以现有的技术条件和水平, 无线局域网的电磁辐射还很难精准地控制在某一范围之内, 攻击者只需架设一座天线即可截获部分数据信息, 而且用户很难发现。在现实生活中, 某些恶作剧者常常热衷于寻找“免费”无线网络资源, 并通过带有无线网卡的笔记本将这些信息在网上公开。在带宽有限的无线局域网上, 所有AP用户共享, 攻击者可产生大量数据包, 从而耗尽网络资源, 导致网络中断或瘫痪, 影响了合法用户的正常网络体验。此外, 与有线网络相比, 无线局域网还容易受到IP重定向及TCP响应等攻击。
2.2 伪造网络
在无线局域网中伪造的AP和网络带来的威胁非常严重, 攻击者可能会通过在计算机上安装Sniffer、ethereal等软件捕获显示网络上的数据包对合法用户的数据进行窃听。其主要是窃听合法用户的业务数据。无线局域网其传输介质是共享的这一原因造成无线局域网上面收发的数据很容易被窃听。另外, 攻击者往往利用这些假冒的网络诱使合法的用户进入访问, 进而骗取合法用户的账号口令对其平时工作用到的业务数据进行篡改造成合法用户的困扰或者将一些合法网络的数据加以篡改以达到欺骗合法用户的目的。甚至利用伪造或者篡改的数据造成系统或者设备无法正常运转或者瘫痪。伪造的AP和网络还可能让攻击者伪造一些网络设备如 (DNS或DHCP服务器) 引导用户进入到其不想进入的网络, 比如一些收费网站或者色情网站等从而对合法用户造成一定的损失或者影响。
2.3 拒绝服务
拒绝服务攻击又被成为Dos攻击, 与其他形式的攻击差异体现为, 它的目的在于破坏计算机或无线局域网络正常服务。目前, 802.11b已经成为了无线局域网市场的主流标准, 在各类用户中的应用十分广泛, 适用于家庭、车站、办公等多个场所。但是, 这种无线局域网络安全技术也存在一定的弊端, 即它与微波炉、无线电话和蓝牙芯片等都使用2.4GHz的ISM开放频段, 而且没有限制授权, 因而很容易受其他生活设备的干扰, 其中存在很大的潜在威胁。在合适的设备和工具支持下, 攻击者完全可以对无线局域网发起flooding攻击, 实现非法业务在无线网络有效频段上的覆盖, 进而阻止用户正常接收合法业务数据, 最终导致整个网络系统瘫痪。在实际的运行系统中, 拒绝服务攻击是最难做好预控和处理的, 既要求全面考虑设计构成要素, 又要有针对性地采取科学的本地策略。
3 提高无线局域网安全性能的策略
时至今日, 无线局域网安全关乎国计民生, 是和谐社会主义构建的重要历程。作者结合上文的分析, 有针对性地提出了以下几种提高无线局域网安全性能的策略, 以供参考和借鉴。
3.1 资源保护
在无线局域网应用中, 两个及以上的设备可以实现多种方式的数据通信, 可以通过对链路层加密的方法提高无线局域网安全性能。虽然无线信号还存在被窃听的危险, 但是如果把无线信号承载的数据信息转化成密文, 并且保证其强度够高的情况下, 这种安全威胁发生的几率则会大大降低。除却这些, 无线局域网还时刻面临着传输信号被伪造或篡改的安全隐患。对此, 用户可以在无线局域网承载的数据中, 融入部分只有内部人员才得以掌握的冗余数据, 从而精准地检测这些数据是否被更改, 在这种情况下基本可以确定无线信号的安全性。同时, 值得肯定的是独有秘密势必会降低伪造数据被认为合法的可能性, 为无线局域网提供了类似于有线网络物理安全的保护屏障。
3.2 密钥管理
密码是接入无线局域网的重要屏障, 通常可由数字、字母及特殊符号共同组成。在无线局域网的应用中, 密码设置强度一般分为三个等级, 并且保证在八个字符以上。根据无线局域网密码破解测试结果显示, 用户应适当提高密码破解难度, 如增加字符长度或增加特殊字符等, 并按照需求定时进行更换。关于无线局域网密钥管理, 现行的还有一种WEP标准方法, 通过动态变化来避免密钥重用。但是, WEP本身对无线局域网的加密保护作用是非常脆弱的, 很容易被黑客攻击和破解, 基于此Wi-Fi联盟开发了WPA新加密标准。根据用户需求的不同, WAP又分为个人版、企业版, 它采用TKIP协议, 使用预共享密钥, 解决了小型无线局域网环境安全威胁。与之相对应的, WAP/WAP2-Enterprise则更加适用于大型无线局域网环境。
3.3 地址绑定
用来定义网络设备位置的MAC地址, 存在于每一台主机当中, 它是一种采用十六进制数标示, 由六个48位字节构成的物理地址, 例如00-28-4E-DA-FC-6A。在OSI模型中, 数据链路层负责MAC地址, 第三层网络层则负责IP地址。为了进一步提高无线局域网的安全性能, 可以在接入设备中进行MAC地址过滤设置, 只准许特定合法MAC地址接入无线局域网, 从而防护攻击者的非法侵入。现阶段, 地址绑定已然成为了无线局域网常用的安全策略之一。此外, 在每一个无线局域网创建中, 都存在专属的服务集标识符即SSID, 它是帮助区分不同无线局域网的重要手段。为了防止黑客攻击, 应将SSID修改成难以被外人辨识的字符串, 同时对其进行隐藏处理, 降低被黑客检测到的几率, 保护无线局域网安全。
3.4 安装软件
随着无线局域网安全技术的进步与发展, 市场上流通的很多软件都可以实现对无线局域网一定程度的安全防护。因此, 用户可以在主机系统上加装合适的查杀软件或病毒卡, 实时检测系统异常, 并对木马数据及非法AP等进行清理, 以免给自身造成更大的经济损害。对于拒绝服务攻击, 用户可以在无线局域网运行的系统上增加一个网关, 使用数据包过滤或其他路由设置有效拦截恶意数据, 隐藏无线局域网接入设备IP地址, 降低安全风险。事实表明, 无线局域网安全威胁不仅仅存于外界, 还可能受到内部攻击, 针对此类状况, 应加强审计分析, 通过有效安全检测手段确定内部攻击来源, 并辅以其他管理机制, 防治无线局域网安全。此外, 对于硬件丢失威胁, 应基于用户身份完成认证, 并通过某种生物或秘密特征将硬件设备与用户紧密联系在一起。
4 结语
总而言之, 无线局域网安全技术发展势在必行。由于个人能力有限, 加之无线局域网环境复杂多变, 本文作出的相关研究可能存在不足之处。因此, 作者希望业界更多学者和专家持续关注无线局域网技术发展, 全面解析无线局域网应用中存在的安全隐患, 并充分利用无线局域网安全技术, 有针对性地提出更多提高无线局域网安全性能的策略, 从而净化无线局域网应用环境, 为广大用户提供更加方便快捷、安全高效的网络服务体验。
参考文献
[1]原锦明.无线局域网常见漏洞及安全策略[J].电脑编程技巧与维护, 2014 (02) :68-69.
[2]郭建峰.无线局域网安全技术研究[J].科技风, 2014 (15) :190.
[3]颜军, 田祎.探析无线局域网的安全技术及应用[J].福建电脑, 2013 (01) :36-37.
[4]刘艳丽.无线局域网安全技术及标准发展探究[J].电脑迷, 2016 (04) :35.
[5]黄祖海.无线局域网安全分析与入侵检测技术研究[J].科技经济导刊, 2016 (12) :27-28.
局域网安全 篇2
局域网是在一个局部的地理范围内,将各种计算机、外部设备等联接起来组成的一个计算机通信网。
局域网可以实现文件管理、软件共享、打印机共享等功能,在很短的时间就深入到各个领域,大大提高了人们的工作效率。
但由于网络的开放性、互联性等特性,数据信息在存储、传输过程中不断受到各种不安全因素的威胁,我们也将会面临越来越多的网络安全问题。
二、局域网存在的不安全因素
(一)硬件因素。
局域网的硬件主要包括计算机、传输线路、网络通信设备等。
计算机存储数据的关键部件是硬盘,硬盘一旦损坏就会丢失数据,而传输线路、通信设备的故障也很容易导致整个局域网的稳定性和可靠性下降。
局域网硬件设备只要一个出现问题,都会给整个局域网带来灾难。
(二)软件因素。
软件因素主要包括操作系统和应用软件两个方面。
操作系统及应用软件的漏洞是病毒、木马程序侵入的重要途径之一。
黑客可以利用这些漏洞对其进行攻击,破坏操作系统、窃取用户数据。
保密性一旦丧失,将会造成不能访问和系统瘫痪等一系列网络安全问题。
对操作系统以软件的漏洞及时进行更新,是提高操作系统及局域网安全的重要方式。
(三)人为因素。
人为因素是防人为的无心失误和故意破坏。
无心失误是指操作人员因操作不够熟练或能力较低,在使用中操作失误而造成局域网出现故障。
故意破坏是指服务器、交换机、路由器、线路等设备被人破坏,为了防止各种设备遭到破坏,网络中心机房要防止非专业人员进入。
局域网安全与对策 篇3
[关键字]安全策略Internet TCP/IPVLAN技术防火墙服务器共享
1威胁局域网安全的因素
1.1物理因素
从物理上讲,局域网络的安全是脆弱的,就如通讯领域所面临的问题一样,网络涉及设备分布极为广泛,任何个人或部门都不可能时刻对这些设备进行全面监控,任何安置在不能上锁的地方的设施,包括通信光缆、电缆、电话线、局域网、远程网等都有可能遭到破坏,从而引起局域网络的瘫痪。如果是包含数据的软盘、光碟、主机等被盗,更会引起数据的丢失和泄露。
1.2技术因素
目前的局域网络大都是利用Intemet技术构造的,同时又与Internet相连。]ntemet网的共享性和开放性使网上信息安全存在先天不足,因为其赖以生存的TCP/IP协议,缺乏相应的安全机制,而且lnlemet最初的设计基本没有考虑安全问题,因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。此外,随着软件交流规模的不断增大,系统中的安全漏洞或“后门”也不可避免地存在,比如我们常用的操作系统,无论是Windows还是Unix儿乎都存在或多或少的安全漏洞,众多的服务器、浏览器、一些桌而软件等等都被发现过存在安全隐患。
1.3管理因素
严格的管理是局域网安全的重要措施。事实上,很多管理部¨都疏于这方面的管理,对网络的管理思想麻痹,对网络安全保护不够重视,舍不得投人必要的人力、财力、物力来加强网络的安全管理。
2局域网安全防范对策
所谓的网络安全是指为了保护网络不受来自网络内外的各种危害而采取的防范措施的总和。网络的安全策略就是针对网络的实际情况(被保护信息价值、被攻击危险性、可投入的资金),在网络管理的整个过程,具体对各种网络安全措施进行取舍,网络的安全策略可以说是在一定条件下的成本和效率的平衡。
2.1服务器的安全设置
2.1.1关闭不必要的服务
每个服务都会占用系统资源。一些服务可能会给系统带来安全漏洞,如Windows 2000的Terminal services(终端服务)、IIS和RAS(远程访问服务)等。并不是每台服务器都需要提供这些服务。所以,请将服务的种类进行细分,不在需要提供相关服务的服务器上,关闭不必要的服务。
2.1.2协议和端口的处理
作为网络服务器,使用TCPflP通讯协议已经足够。不必要的协议放在服务器上没有任何用处,反而会被某些黑客工具利用。而端几作为TCP/IP协议和外部网络相连的逻辑接口,可以说是计算机的一道重要屏障,端口配置正确与否直接影响到主机的安全。当服务器只提供较单一的功能时,可考虑只开往某些端口。
2.1.3设置用户权限
为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,我们还必须非常小心地设置目录和文件的访问权限:Windows2000的访问权限分为:写入、读取、及执行、修改、列目录、完全控制和拒绝。在默认的情况下,大多数的文件夹对所有用户(Everyone)这个组是完全敞开的(Full Contr01),您需要根据应用的需要重新设置权限。
2.2共享文件的安全设置
2.2.1选准系统,增强免疫
也许你会说,选用什么操作系统与共享安全有什么关联呢?其实操作系统的不同,直接决定了计算机在共享安全方而的“免疫”能力的强弱。
2.2.2共享密码,时刻启用
尽管非法攻击者能够利用比较专业的破解工具来轻易获得共享资源的访问密码:不过笔者以为,防范普通用户随意访问共享资源的最有效、最直接的方法,仍然是设置共享密码,一旦为共享资源添加上了访问密码后,那么不借助其他工具,任何人也是无法“偷窥”到共享隐私的。南于设置共享密码的操作已经在很多媒体中都有详细介绍,本文在这里就不述了。当然,我们在设置共享密码时,一定要确保密码设置得足够长,而且要比较复杂。
2.2.3藏好共享,护好隐私
有时为了方便局域网中的数据交流,我们都需要先将文件夹设置为共享:不过,由于局域网中的所有工作站,都可以通过网上邻居访问到该共享文件央,这样一来,一些重要的共享信息,就可能被其他不相关的人所“偷窥”到。为此,我们很有必要,将重要的共享文件夹巧妙地隐藏起来,以便让毫不相干的人,无法“偷窥”到。
2.3配置网络防火墙
网络防火墙作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是不时被允许并监视网络运行状态。
目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)及电路层网关、屏蔽主机防火墙、双宿主机等类型。
2.3.1防火墙的选择
选择防火墙的标准有很多,但最重要的是以下几条:
1)总拥有成本。
2)防火墙本身的安全
3)管理与培训
4)可扩充性
5)防火墙的安全性 2.3.2防火墙的加密技术
2.3.2.1对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的密钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56位密钥对信息进行3次加密,从而使用效密钥长度达到112位。
2.3.2.2非对称加密,公开密钥加密
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题上,是计算机复杂性理论发展的必然结果。最具有代表性的是RSA公钥密码体制。
3结束语
总之,局域网的安全问题是一个较为复杂的系统工程,从严格的意义上来讲,没有绝对安全的网络系统,提高局域网络的安全系统是要以降低网络效率和增加投入为代价的。随着计算机技术的飞速发展,网络的安全有待于在实践中进一步研究和探索。在目前的情况下,我们应当全面考虑综合运用防火墙、加密技术、防毒软件等多项措施,互相配合,加强管理,从中寻找到确保网络安全与网络效率的平衡点,综合提高局域网络的安全性,从而建立起一套真正适合局域网络需要的安全体系。
参考文献:
[1]王相林,服务器安全与设置,北京,清华大学出版社,2001
无线局域网的安全机制及安全措施 篇4
关键词:无线局域网,安全机制,安全措施
0 引言
通常网络的安全性主要体现在两个方面:一是访问控制, 另一个是数据加密。无线局域网相对于有线局域网所增加的安全问题主要是由于其采用了电磁波作为载体来传输数据信号。虽然目前局域网建网的地域变得越来越复杂, 利用无线技术来建设局域网也变得越来越普遍, 但无线网络的这种电磁辐射的传输方式是无线网络安全保密问题尤为突出的主要原因, 也成为制约WLAN快速发展的主要问题。
1 现有安全机制特点及其缺陷
1.1 物理地址 (M AC) 过滤控制
每个无线客户端网卡都有唯一的物理地址标识, 因此可以在AP中手工维护一组答应访问的MAC地址列表, 实现物理地址过滤。物理地址过滤属于硬件认证, 而不是用户认证。这种方式要求AP中的M AC地址列表必需随时更新, 目前都是手工操作;但其扩展能力很差, 因此只适合于小型网络。另外, 非法用户利用网络侦听手段很轻易窃取合法的MAC地址, 而且MAC地址并不难修改, 因此非法用户完全可以盗用合法的MAC地址进行非法接入。
1.2 有线对等保密机制 (WEP)
WEP认证采用共享密钥认证, 通过客户和接入点之间命令和回应信息的交换, 命令文本明码发送到客户, 在客户端使用共享密钥加密, 并发送回接入点。WEP使用RC4流密码进行加密。RC4加密算法是一种对称的流密码, 支持长度可变的密钥。但WEP也存在缺少密钥治理、完整性校验值算法不合适、RC4算法存在弱点等严重安全缺陷。
1.3 无线保护访问 (WPA)
无线保护访问 (WPA) 是WiFi联盟推出的一个过渡性标准, 主要是考虑当前无线局域网发展的现状, 为了兼容有线对等保密机制, 故采用TKIP和AES两种措施进行加密。而随后的WPA2是WiFi联盟在此基础上再次推出的第二代标准, 它推荐使用一种安全性能更高的加密标准, 那就是CCMP, 同时也兼容TKIP, WEP, 当然WPA和WPA2两种标准都是在802.11i的基础上发展起来的。
不过WPA在三个方面存在缺憾:不能为独立基础服务集 (IB-SS) 网络 (即对等无线网络) 提供安全支持;不能在网络上对多个接入点进行预检;不能支持高级加密标准 (AES) , 假如使用AES的话就需要为客户机增加额外的计算能力, 也就意味着增加了成本。
1.4 虚拟专用网络 (VPN)
虚拟专用网络 (Virtual Private Network, VPN) 是一门网络新技术, 它提供一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式, 同时以另外一种强大的加密方式保证数据传输的安全性, 并可与其它的无线安全技术兼容。IP VPN一方面可相当方便地代替租用线以及传统的ATM/帧中继 (FR) VPN来连接计算机或局域网 (LAN) , 另一方面还可提供峰值负载分担、租用线的备份、冗余等, 以此大大降低成本费用, 最后它也支持中央安全管理, 它的缺点是需要在客户机中进行数据的加密和解密, 这会大大增加系统的负担, 实际应用当中还存在无线环境运行脆弱、吞吐量能力存在制约性、网络扩展受局限等诸多问题。
1.5 802.1X端口访问控制机制
802.1X端口访问控制机制是一种基于端口访问控制技术的安全机制, 它被认为是无线局域网的一种加强版的网络安全解决方案。它工作的主要模式是:当一个外来设备发出需接入AP的请求时, 用户得提供一定形式的证明让AP通过一个标准的远程拨号用户认证服务 (RADIUS) 服务器进行鉴别以及授权。一旦无线终端与AP相关联以后, 802.1x标准的认证是用户是否可以使用AP服务的关键。换句话说, 如果802.1x标准认证通过, 则AP为用户打开此逻辑端口, 否则AP不允许该用户接入网络。
802.1X端口访问控制机制除了为无线局域网提供认证和加密外, 还可提供快速重置密钥、密钥管理功能等相关功能。使用802.1x标准可周期性地把这些密钥传送给相关各用户。不过此机制的不足之处是802.1x的客户端认证请求方法仅属于过渡期方法且各厂商在实际运用当中的实现方法又有所不同, 这直接造成兼容问题, 同时另一个问题是该方法还需要专业知识部署和Radius服务器支持, 费用偏高。
2 对无线局域网采取的安全措施
2.1 对无线网络进行加密
对无线网络进行加密是最基本的。就目前来说, 常见的安全类型有WEP、WPA、WPA2三种。WEP是一种运用传统的无线网络加密算法进行加密。如果采用WEP加密, 入侵者就能很容易的利用无线嗅探器直接读取数据, 但如果采用支持128位的WEP进行加密的话, 入侵者要破解128位的WEP是一有定的难度的, 所以建议一是对WEP密钥经常更换, 二是最好使用动态WEP进行加密 (Window s XP系统本身就提供了这种支持, 可选中WEP选项的“自动为我提供这个密钥”) , 有条件的话可以启用独立的认证服务为WEP进行自动分配密钥。WPA是在WEP的基础上改进而来, 采用TKIP和AES进行加密。WPA2则是目前最安全的安全类型, 它提供一种安全性更高的加密标准-CCMP, 其加密算法为AES。但加密并不是万能的, WPA2安全类型在一定的技术和设备条件下已经被破解。
当然, 对无线网络进行加密只是提高网络安全性的第一步而已。
2.2 设置M AC地址过滤
M AC地址即硬件地址, 是网络设备独一无二的标识, 具有全球唯一性。因为无线路由器可追踪经过它们的所有数据包源MAC地址, 所以通过开启无线路由器上的MAC地址过滤功能, 以此来建立允许访问路由器的MAC地址列表, 达到防止非法设备接入网络的目的。
2.3 使用静态IP地址
一般无线路由器默认设置应用DHCP功能, 也就是动态分配IP地址。这样如果入侵者找到了无线网络, 就很方便的通过DHCP获得一个合法的IP地址, 这对无线网络来说是有安全隐患的。因此我们在联网设备比较固定的环境中应关闭无线路由器的DHCP功能, 然后按一定的规则为无线网络中的每一个设备设置一个固定的静态IP地址, 并将这些静态IP地址添加到在无线路由器上设定允许接入的IP地址列表中, 从而大大缩小了可接入无线网络的IP地址范围。
最好的方法是将静态IP地址与其相对应MAC地址同步绑定, 这样即使入侵者得到了合法的IP地址, 也还要验证绑定的MAC地址, 相当于设置了两道关卡, 大大提高网络安全性。
2.4 改变服务集标识符并且禁止SSID广播
SSID是无线访问点使用的识别字符串, 客户端利用它就能建立连接。该标识符由设备制造商设定, 每种标识符使用默认短语。倘若黑客知道了这种口令短语, 即使未经授权, 也很容易使用无线服务。对于部署的每个无线访问而言, 要选择独一无二并且很难猜中的SSID。如果可能的话, 禁止通过无线向外广播该标识符。这样网络仍可使用, 但不会出现可用网络列表上。
2.5 IDS
无线入侵检测系统 (IDS) 相比传统的入侵检测系统来说主要是增加了对无线局域网的检测和对破坏系统反应的特性。无线入侵检测系统是通过分析网络中的传输数据来判断是否是破坏系统和入侵事件。在无线局域网中, IDS主要功能是:监视分析用户的活动, 检测非法的网络行为, 判断入侵事件的类型, 对异常的网络流量进行预警。IDS不但能找出大多数的黑客行为并准确定位黑客的详细地理位置, 还能加强策略, 大大提高无线局域网的安全性。同时它能检测到rogue WAPS, 识别出那些未经加密的802.11标准的数据流量, 也能通过一种顺序分析, 检测到MAC地址欺骗, 找出那些伪装WAP的无线上网用户。不过无线入侵检测系统毕竟是一门新技术, 它有很多优点的同时也存在一些缺陷, 随着入侵检测系统的飞速发展, 相信关于这些缺陷也会被逐一解决的。
2.6 无线网络中VPN技术的应用
目前在大型无线网络中当中, 对工作站的维护、对AP的MAC地址列表设置、对AP的WEP加密密钥等都将是一件相当繁重的工作, 而VPN技术在无线网络中应用则使其成为当今WEP机制和M AC地址过滤机制的最佳代替者。VPN是指在不可信的网络 (Internet) 上提供一条安全、专用的隧道, 其目的主要是保证VPN技术在应用中分组的封装方式及使用的地址与承载网络的封装方式以及使用编址无联系, 同时隧道本身就提供了一定可能的安全性。VPN在客户端与各级组织之间设置了一条动态的加密隧道, 并同时支持用户进行身份验证, 以此来实现高级别的安全。在VPN协议当中它包括了采用数据加密标准 (DES) 、168位三重数据加密标准 (3DES) 及其它数据包鉴权算法来进行数据加密的IPSec协议, 并使用数字证书进行验证公钥。无线局域网的数据用VPN技术加密后再用无线加密技术加密, 这就好像双重门锁, 大大提高了无线局域网的安全性能。
2.7 采用身份验证和授权
如果当入侵者通过一定的途径了解到网络的SSID、MAC地址、WEP密钥等相关信息时, 他们就可据此尝试与AP建立联系, 从而使无线网络出现安全隐患, 所以在用户建立与无线网络的关联前对他们进行身份验证将成为必要的安全措施。身份验证是系统安全的一个基础方面, 它主要是用于确认尝试登录域或访问网络资源的每一位用户的身份。如果我们开放身份验证那就意味着只需要向AP提供SSID或正确的WEP密钥, 而此时的您没有如果其它的保护或身份验证机制, 那么此时你的无线网络对每一位已获知网络SSID、M AC地址、WEP密钥等相关信息的用户来说将会处于完全开放的状态, 后果可想而知。共享机密身份验证机制可以帮助我们在用户建立与无线网络的关联前对他们进行身份验证, 它是一种类似于“口令一响应”身份验证系统, 也是在STA与AP共享同一个WEP密钥时使用的机制。其工作模式是:STA向AP发送申请请求, 然后AP发回口令, 随后STA利用发回的口令和加密的响应来进行回复。不过这种方法的不足之处在于因为口令是通过明文直接传输给STA的, 在此期间如果有人能够同时截取住发回的口令和加密的响应, 那么他们就很可能据此找出用于加密的密钥信息。所以在此基础上建议配置强共享密钥, 并经常对其进行更改, 比如通过使用加密的共享机密信息来认证客户机并处理RADIUS服务器间的事务, 不再通过网络发送机密信息, 从而提高网络安全性。当然也可以使用其它的身份验证和授权机制, 比如802.1x、证书等对无线网络用户进行身份验证和授权, 而实际上使用客户端证书也可以使入侵者达到几乎无法获得访问权限的效果, 大大提高无线网络的安全性能。
2.8 其他
除以上本文叙述的安全措施外, 实际当中还可以采取一些其它的技术手段来加强WLAN的安全性, 比如对用户进行安全教育以提高网络安全防范意识、设置附加的第三方数据加密方案以加强网络安全性、加强企业内部管理、提高技术人员对安全技术措施的重视、加大安全制度建设等。
3 结束语
目前, 无线技术发展越来越普及, 无线网络安全也应随之不断改善。只有通过将用户的认证许可以及数据传输的加密功能等多项安全措施结合起来, 才能保障无线网络内用户的信息和数据传输的安全性和保密性, 有效地维护无线局域网的安全。
参考文献
[1]刘宇苹.无线网络安全体系研究[J].软件导刊.2010, 1.
局域网的安全及对策 篇5
关键词 局域网 网络安全 局域网安全
网络安全从其本质上讲就是网络上的信息安全,指网络系统的硬件、软件及系统中的数据受到保护,避免偶然的或者恶意的原因而遭受到破坏、更改、泄露,确保网络系统连续可靠正常地运行。
局域网的安全主要包括物理安全与逻辑安全。
物理安全主要指网络硬件的维护、使用及管理等;逻辑安全是从软件的角度提出的,主要指数据的保密性、完整性、可用性等。
一、常用局域网的攻击方法
1、ARP欺骗 。
ARP(地址解析协议)是一种将IP地址转化成物理地址的协议。
ARP具体地说就是将网络层地址解析为数据连接层的MAC地址。
在局域网内数据包传输依靠的是MAC地址,IP地址与MAC对应的关系依靠ARP缓存表,在正常情况下这个缓存表能够有效的保证数据传输的一对一性,但是在ARP缓存表的实现机制中存在一个不完善的地方,当主机收到一个ARP的应答包后,它并不会去验证自己是否发送过这个ARP请求,而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。
因此简单点说ARP欺骗的目的就是为了实现全交换环境下的数据监听与篡改。
临时处理对策:
(1)能上网情况下,输入命令arp -a,查看网关IP对应的正确MAC地址,将其记录下来。
如果已经不能上网,则运行一次命令arp -d将arp缓存中的内容删空,计算机可暂时恢复上网,然后立即将网络断掉(禁用网卡或拔掉网线),再运行arp -a。
(2)如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,输入命令:arp -s;但在计算机关机重启后这种绑定会失效,需要再绑定。
可以把该命令放在autoexec.bat中,每次开机即自动运行。
2、网络监听。
网络监听 (Sniffer)是将网络上传输的数据捕获并进行分析的行为。
网络监听在协助网络管理员监测网络传输数据,排除网络故障等方面具有不可替代的作用,因而备受网络管理员的青睐。
然而,在另一方面网络监听也给网络安全带来了极大的隐患,许多的网络入侵往往都伴随着网络监听行为,从而造成口令失窃,敏感数据被截获等连锁性安全事件。
二、局域网病毒及防治
局域网病毒的入侵主要来自蠕虫病毒,同时集病毒、黑客、木马等功能于一身综合型病毒不断涌现。
因此加强局域网病毒防护是保障网络信息安全的关键。
防治网络病毒应重点考虑以下三个部分:
1、基于工作站的防治技术。
(1)软件防治,即定期不定期地用反病毒软件检测工作站的病毒感染情况;(2)在工作站上插防病毒卡,达到实时检测的目的;(3)在网络接口卡上安装防病病毒芯片,可以更加实时有效地保护工作站及通向服务器的桥梁。
2、基于服务器的防治技术。
服务器是网络的核心,是网络的支柱,服务器一旦被病毒感染,便无法启动,整个网络都将陷入瘫痪状态,造成的损失将是灾难性的。
目前市场上基于服务器的病毒防治采用NLM方法,以服务器为基础,提供实时扫描病毒的能力,从而保证服务器不被病毒感染,消除了病毒传播的路径,从根本上杜绝了病毒在网络上的蔓延。
3、加强计算机网络的管理。
(1)从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度,对网络系统管理员及用户加强法制教育和职业道德教育,规范工作程序和操作规程。
(2)加强各级网络管理人员的专业技能学习,提高工作能力,并能及时检查网络系统中出现病毒的症状。
三、局域网安全防范系统
防火墙是设置在不同网络或网络安全域之间的一系列部件的组合。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
防火墙具有以下功能 :
1、数据包过滤技术。
数据包过虑技术是在网络中的适当位置对数据包实施有选择的通过的技术.选择好依据系统内设置的过滤规则后,只有满足过滤规则的数据包才被转发至相应的网络接口,而其余数据包则从数据流中被丢弃。
2、网络地址转换技术 。
网络地址转换是一种用于把IP地址转换成临时的外部的、注册的IP的地址标准,用户必须要为网络中每一台机器取得注册的IP地址 。
在内部网络通过安全网卡访问外部网络时,系统将外出的源地址和源端口映射为一个伪装的地址和端口与外部连接,这样对外就隐藏了真实的内部网络地址。
防火墙根据预先定义好的映射规则来判断某个访问是否安全和接受与否。
3、代理技术 。
代理技术是在应用层实现防火墙功能,代理服务器执行内部网络向外部网络申请时的中转连接作用。
另一种情况是,外部网通过代理访问内部网,当外部网络节点提出服务请求时,代理服务器首先对该用户身份进行验证。
4、全状态检测技术 。
防火墙在包过滤的同时,检测数据包之间的关联性,数据包中动态变化的状态码。
它有一个检测引擎,在网关上执行网络安全策略。
监测引擎采用抽取有关数据的方法对网络通信的各层实施监督测,抽取状态信息,并动态地保存起来,作为以后执行安全策略的参考。
当用户访问请求到达网关是操作系统前,状态监测器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密处理动作。
四、入侵检测系统(IDS)
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
入侵监测系统处于防火墙之后,作为防火墙的延续,对网络活动进行实时监测。
从功能上将IDS 划分为四个基本部分:数据采集子系统、数据分析子系统、控制台子系统、数据库管理子系统。
五、局域网安全防范策略
1、划分VLAN 防止网络侦听 。
运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。
目前的VLAN技术主要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。
2、网络分段。
局域网多采用以广播为基础的以太网,任何两个节点之间的通信数据包,可以被处在同一以太网上的任何一个节点的网卡所截取。
在接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这是以太网所固有的安全隐患。
网络分段就是将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的,所以网络分段是保证局域网安全的一项重要措施。
3、以交换式集线器代替共享式集线器。
对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。
这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。
这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所侦听。
因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。
4、实施IP/MAC 绑定。
启动IP 地址绑定采用上网计算机IP 地址与MCA 地址唯一对应,网络没有空闲IP 地址的策略。
由于采用了无空闲IP 地址策略,可以有效防止IP 地址起的网络中断和移动计算机随意上内部局域网络造成病毒传播和数据泄密。
六、总结
网络安全技术和病毒防护是一个涉及多方面的系统工程,在实际工作中需要综合运用以上方法,还要将安全策略、硬件及软件等方法结合起来,构成一个统一的立体防御系统,同时加强规范和创建必要的安全管理模式、规章制度来约束员工的行为。
只有这样才能确保整个局域网安全、稳定、高效的运行。
参考文献:
[1]张亚平. 计算机网络安全.人民邮电出版社.
[2]刘功申.计算机病毒及其防治技术.清华大学出版社.
校园局域网安全解决方案 篇6
关键词:校园网;安全;网络
中图分类号:TP393.08 文献标识码:A 文章编号:1673-8454(2012)02-0082-02
随着学校教育信息化的不断发展,计算机数量及网络规模越来越大。河北正定中学现在已有计算机1200多台,交换机、路由器等网络设备将近100台,家属院网络也由我校网络中心接入,网络接点更多,2006年我校新校区从主校区接入Internet,而且以后规模逐渐增大,同时网络硬件、软件安全问题越来越突出。
一、物理安全
1.网络中心设备安全
网络中心已安装防盗网,建议外窗也安装上,平时注意窗户和门上锁,定期对网络中心和服务器进行整理和保养,防止服务器受潮和灰尘的污染,定期对电线及各种线路进行检查,以免发生电源故障,平时还要注意防火和防雷,保障机房的安全。
2.办公楼、图书馆等各个交换点的安全
对办公楼、图书馆及各个教学楼的网络设备进行定期检查,对数量进行清查,定期清扫设备,对线路进行整理,防止出现漏电现象的发生;家属院的网络设备每学期进行检查,更要注意上锁,保障设备的安全,还要检查各网络节点,以防止外部环境进入我校网络。
二、网络层安全
我校已有上千台机器,随着网络的不断增大,需要对网络进行划分,划分成多个网络及将网络分出不同的等级,还要对各个网络之间进行访问控制。
1.划分多个子网
我校现已划分18个虚拟局域网,办公楼1个、各个教学楼1个、电教楼和图书馆及后勤3个、学生机房3个、备课室3个、家属院2个、新校区5个,这样可以防止网络广播风暴的发生,还可以在各个Vlan之间进行网络层访问控制。
2.加强各个网络之间的访问控制
在中心交换机上对校园网内各个Vlan只允许必要的协议通过,对于具有威胁性或者易受病毒感染的协议和端口进行屏蔽;对服务器Vlan进行重点设置,只开放必要的端口;在路由器上进行一些设置,对学生教室和机房进行有效控制;还要注意学校内网与Internet之间的访问控制,在路由器和外网之间加上防火墙,对外部的内容进行过滤,这样可有效地解决一些外网对我校的攻击。
3.定期对网络安全进行检测
现在互联网病毒日益泛滥,黑客攻击较多,每天要查看中心交换机、路由器的运行情况,提供快速响应故障的手段,同时还可以具备较好的安全取证,消除网络隐患;定期对交换机和路由器做出备份,以在发生灾难性破坏时对系统进行恢复,保障校园网的正常运行。
三、系统安全
1.服务器端系统安全
现在服务器分为Win2003和Win2000操作系统,服务器划分为独立的Vlan,由于各个服务器承担了不同的功能和资源,对服务器要做出相应的安全策略,对于Win2003系统做出防火墙策略。只开放服务器及软件相应的功能和端口,防止黑客的攻击和病毒的感染,如果出现恶意攻击及时向领导汇报。定时对服务器进行漏洞扫描,及早发现隐患,定时升级和打补丁,以及打好各个软件的补丁。还要注意密码的保护和设置,对服务器整个系统进行备份。
2.客户端系统安全
我校现已达到每人一台计算机,加上各科室计算机,数量较多,这样要求每台计算机使用机主和科室的拼音名字,以防止重名,而且能够快速查出网络故障和安全隐患的根源,有效地防止了对整个网络造成的影响。
四、软件安全
1.服务器资源安全
我校拥有WWW、FTP、CNKI、校信通等多个服务器资源,对于有数据变化的资源,要做到每天对数据库进行备份。服务器资源的访问也要做到不同等级的控制,至于对外公布的WWW服务,每天要注意网页内容,对于反动、不安全因素及时删除,以免造成不良影响。除WWW、FTP以外,所有资源只允许校内访问,对有后台管理页面的只允许管理员进行访问,以防止程序和资源被破坏。
2.杀毒软件的安装
服务器端定时对杀毒软件进行升级,每台计算机要求安装、运行瑞星杀毒软件,对杀毒软件进行防病毒安全策略设置,每天对计算机进行杀毒汇总,及时注意流行病毒的发作,对于一些流行病毒要及时找出专杀工具,放置于学校主页上供客户端下载,防止大规模病毒传染,保障校园网的正常运行。
3.账号和密码保护
首先是服务器账号、密码,设置要复杂,符合密码安全设置要求,只允许微机调教组管理员拥有,注意密码的保密,并且每学期对服务器密码进行修改。其次是FTP应用,由于我校FTP使用量较大,并且对外发布,对FTP有管理权限的账号和密码不能公布于网上,现在很多教师的账号和密码设置过于简单,建议重新设置,或者经常修改,防止黑客进行漏洞攻击,造成数据的丢失。对于网页和软件后台管理的账号和密码,只允许管理员拥有,需要其他非专业教师知道的,使他的权限和功能降至最低,以免发生误操作。
五、管理层安全
1.网络中心管理制度
网络中心由专人负责,非网管人员不得随意进入,在网络中心内不得随意安装其它电器和非服务器工作站。对网络的核心资源实行备份保护(含硬件、软件、数据),存放核心资源的场所要有严密的安全保障措施。未经网络中心许可,各部门不得对现有网络(包括网络设备和软件配置)随意改动。加强对有权限进入网络工作的人员的管理,对网络口令实行分权分级别管理,同级别的口令不得互用,要定期对口令进行修改并备案存档。
2.网络设备及软件的管理
网络设备只允许网络管理员进行管理,管理员需掌握每个网络设备的安装地点和相关配置,对于施工和其他维修人员必须有一位管理员陪同或协助进行管理,在期间注意密码及资料的保密。
在软件光盘管理方面,必须严格其使用和借出程序,只允许管理员进行使用,并且在学校范围内,平时还要注意软件的维护和保养,对一些操作系统和软件正版盘做出备份。
以上从多个层面来构造我校局域网安全解决方案,需要强调的是,网络安全是一个系统工程,不是单一的产品或技术可以完全解决的。这是因为网络安全包含多个层面,既有层次上的划分、结构上的划分,也有防范目标上的差别。在层次上涉及物理层的安全、网络层的安全、传输层的安全、应用层的安全等;在结构上,不同节点考虑的安全是不同的;在目标上,有些系统专注于防范破坏性的攻击,有些系统是用来检查系统的安全漏洞,有些系统用来增强基本的安全环节(如审计),有些系统解决信息的加密、认证问题,有些系统考虑的是防病毒的问题。任何一个产品不可能解决全部层面的问题,这与系统的复杂程度、运行的位置和层次都有很大关系,因而一个完整的安全体系,应该是一个由具有分布性的多种安全技术或产品构成的复杂系统,既有技术的因素,也包含人的因素。用户需要根据自己的实际情况选择适合自己需求的技术、产品、安全解决方案。
参考文献:
[1]李寿廷.计算机网络安全技术[J].才智,2009,(12).
[2]虞坤源.PLC控制技术在横排头闸门控制中的应用[J].安徽水利水电职业技术学院学报,2009,(2).
[3]严有日.论计算机网络安全问题及防范措施[J].赤峰学院学报(自然科学版),2010,(3).
(编辑:鲁利瑞)
局域网安全 篇7
一、局域网的安全威胁
局域网络安全隐患是利用了网络系统本身存在的安全缺点, 而系统在使用和管理过程的疏漏增加了安全问题的严重程度。局域网的安全威胁通常有以下几类:
1. 欺骗性的软件使数据安全性降低
由于局域网很大的一部分用处是资源共享, 而正是由于资源共享的“数据开放性”, 导致数据信息容易被篡改和删除, 数据安全性较低。
2. 服务器区域没有进行独立防护
如果局域网中服务器区域不进行独立保护, 局域网内计算机的数据快速、便捷的传递, 造就了病毒感染的直接性和快速性。
3. 计算机病毒及恶意代码的威胁
网络用户没有及时安装操作系统补丁和防病毒软件、也没有及时更新防病毒软件而造成计算机病毒侵入。
以上特点, 造成局域网内的病毒传播速度快、数据安全性低、电脑相互感染、数据经常丢失。
二、局域网的安全设计
明确了局域网的安全威胁, 首先应从局域网的安全设计来考虑局域网的安全, 主要进行以下几个方面的设计。
1. 网络物理安全设计
网络的物理安全设计, 主要从以下几方面考虑: (1) 服务器后备供电问题
为防止市电突然断电引起硬件损坏和软件系统故障, 服务器配置UPS。
(2) 电脑主机室设计
机房应加装空调、防火、防雷系统, 安装门禁系统, 出入机房严格管理。
(3) 结构布线
数据线和电线分不同的管道辅设, 网络节点全部采用铁盒安装在地板上。
2. 网络结构安全设计
隔离内网与互联网络是网络结构安全设计的主要考虑的, 采用两种方案:
(1) 完善路由器和防火墙组成的第一道隔离带, 加强二者配置。
(2) 引入一种代理软件部署成代理服务器, 形成第二道隔离带。
3. 网络应用系统安全设计
尽可能建立安全系统平台, 利用专业安全工具和及时修补应用系统的漏洞等方法, 提高应用系统的安全性。建议配置一台硬件垃圾邮件防火墙。
4. 网络管理系统安全设计
管理是网络安全中非常重要的部分, 建立可操作性的、健全的网络管理制度与专业的网络管理软件相结合, 保障网络的安全运行。
三、局域网的安全控制
1. 利用桌面管理系统控制用户入网。
用户入网访问控制是保证网络资源不被非法使用, 为网络访问提供了第一层访问控制。
2. 采用防火墙技术
防火墙技术是在两个网络之间实行控制策略的系统, 是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。
3. 杀毒软件强制安装
对所有运行在局域网上的计算机强制安装杀毒软件。
四、病毒防治
防止病毒侵入要比发现和消除病毒更重要, 防毒的重点是控制病毒的传染, 可从以下几个方面考虑:
1. 加强对工作人员的教育, 明确病毒的危害, 增强安全意识和安
全知识, 时常进行病毒监测和扫描, 对不明的文件运行前进行查杀, 有效地防止病毒在网络中的传播。
2. 检测每台计算机的杀毒软件的安装情况和病毒库更新情况,
以及操作系统或者其它应用软件的补丁安装情况, 如发现客户机或服务器存在安全缺陷和漏洞, 拒绝其接入单位网络。
3. 小心使用移动存储设备。
使用U盘、移动硬盘等移动存储设备传递各类数据, 已经成为各类病毒传播的主要途径之一。在使用移动存储设备之前进行病毒的扫描和查杀, 可把病毒拒绝在外。
4. 根据实际情况进行数据加密。
数据加密是不依赖于网络中数据通道的安全性来实现网络的安全, 而是通过对网络数据的的加密来保障网络安全的可靠性。
局域网网络安全一直是信息安全的重点, 本文从网络安全设计、网络安全控制、病毒防治进行了论述, 对于一个安全且运行良好的局域网具有一定的指导意义。
参考文献
[1]张建.川师大校园网安全方案设计与实现[D].四川大学, 2005
[2]陈明.计算机网络设计教程[M].北京清华大学出版社2008
[3]张得太.公司网络安全的规划设计与实践[D].西安电子科技大学, 2006
局域网安全问题探讨 篇8
关键词:网络安全,IP地址,局域网,电子邮件
随着Intemet网络急剧扩大, 企业对Internet的依赖性也在加大, 网络风险变得更加严重和复杂。局域网系统的安全问题对企业活动的影响的广度和深度也将是前所未有的, 本文针对IP盗用、电子邮件为载体的攻击、防火墙攻击等常见网络不安全因素的防范手段及安全策略进行阐述。
1. 网络不安全因素
1.1 IP盗用问题。
局域网内部一般连有数千台电脑, 一部分电脑通过正常的途径申请得到合法的IP地址, 然而实际情况是少数没有IP地址的用户冒用他人合法的IP地址, 造成网络内部地址冲突, 阻碍合法用户正常使用。为有效的防止假冒MAC地址, 以太网交换机中使用了地址绑定技术, 严格控制用户的接入。
1.2 软件的漏洞任何的系统软件和应用软件, 都不可能是百分之百
的无缺陷和无漏洞的, 而这些缺陷和漏洞恰恰是非法用户, 黑客进行窃取机密信息和破坏信息的首选途径。针对固有的安全漏洞进行攻击, 主要在以下几个方面:
a、口令攻击;b、协议漏洞;c、缓冲区溢出
1.3 人为的无意失误。
人为失误造成安全损失的例子非常多, 密码过于简单甚至不设口令、没有及时对系统和应用程序进行升级或打补丁、口令泄漏、执行来历不明的程序、保留缺省账号、企业内不加限制的拨号上网等等都应属于人为失误范畴。减少人为失误的最好办法是进行全员的网络安全培训, 提高员工的网络安全意识, 同时制定严格明确的网络行为守则, 并且配合切实可行的管理手段。
1.4 以电子邮件作为信息隐藏的载体的攻击。
随着Internet的迅猛发展, 电子邮件成为人们相互交流最常用的工具, 于是它也成为新型病毒--电子邮件型病毒的重要载体。近年出现了许多危害极大的邮件型病毒, 如ILOVEYOU病毒Melissa病毒等, 最近又有的“库尔尼科娃”病毒“尼姆达”病毒以及Homerpage病毒等。这些病毒的危害较大, 主要是利用电子邮件作为传播途径, 而且这类病毒专挑Windows平台上最常用的邮件客户端Microsoft Outlook来下手。
1.5 防火墙攻击。
防火墙系统相关技术的发展已经比较成熟, 防火墙系统很坚固, 但这只是对于对外的防护而已, 它对于内部的防护则几乎不起什么作用。一些用户缺乏相应的常识, 有意或无意地对局域网进行各种各样的攻击, 严重影响了局域网的正常使用。
2. 局部安全策略
2.1 身份认证技术。
对于从外部拨号访问总部内部网的用户, 由于使用公共电话网进行数据传输所带来的风险, 必须更加严格控制其安全性。一种常见的做法是采用身份认证技术, 对拨号用户的身份进行验证并记录完备的登录日志。
2.2 VPN技术。
VPN (虚拟专网) 技术的核心是采用隧道技术, 将企业专网的数据加密封装后, 透过虚拟的公网隧道进行传输, 从而防止敏感数据的被窃。VPN可以在Internet服务提供商的IP、帧中继或ATM网上建立。企业通过公网建立VPN, 就如同通过自己的专用网建立内部网一样, 享有较高的安全性、优先性、可靠性和可管理性, 而其建立周期、投入资金和维护费用却大大降低, 同时还为移动计算提供了可能。
2.3 设置入侵检测系统。
根据整个系统的结构, 以及各部分的实现方法不同, 入侵检测系统可以分为基于“滥用检测”和“非规则检测”两种系统。根据数据来源则可分为基于主机审计数据和基于网络流量分析的入侵检测系统。同时由于入侵行为的多样性, 单一检测技术的入侵检测系统已经不能正确判断黑客的入侵, 因此多种检测技术的结合已成趋势。现有的安全技术包括数据加密技术、数字签名技术、防火墙技术。这些技术提供了一种静态的防护措施, 但这种静态的防护措施是不可缺少的。因为这些技术一方面弥补了检测系统的某方面的不足, 另一方面起到了过滤器的作用, 减少了检测系统分析的数据量, 提高了入侵监测系统的性能。
2.4 设置网络安全隔离机制。
如网络安全隔离卡的功能是以物理方式将一台PC机虚拟为两部电脑, 实现两种工作状态, 既可在安全状态又可在公共状态, 两种状态是完全隔离的从而可以是一部工作站可以在完全安全的状态下连接内外网。网络安全隔离卡实际是被设置在PC中最低的物理层上, 通过卡上一边的IDE总线连接主板, 另一边连接IDE硬盘, 内外网的连接均需通过网络安全隔离卡, 从而硬盘被分成两个区域, 任何时候数据只能通往一个分区。安全状态时主机只能使用硬盘的安全与内部网连接, 而此时外部网连接是断开的;在公共状态时, 主机只能使用硬盘的公共区与外部相连, 而此时与内部网是断开的, 且此时硬盘安全区也是封闭的。
3. 结束语
通过以上一系列方法和策略, 基本上可以建立一套相对完整的局域网络安全系统。网络安全是一个系统工程, 不能仅仅依靠防火墙等单个的系统, 而需要仔细考虑整个系统的安全需求, 并将各种安全技术和管理手段结合在一起才能生成一个高效、通用、安全的网络系统。
参考文献
[1]Merike网络安全设计 (Design of network safety) 北京:人民邮电出版社, 2000.
[2]谢希仁计算机网络北京:电子工业出版社, 2001.
局域网的安全策略 篇9
随着国家现代移动通信的迅猛发展和宽带接入的广泛普及, 各国政治、军事、经济、文化和社会生活对通信网和互联网的需求越来越多, 互联网和通信网已成为国家关键基础设施, 获得了迅速发展。互联网具有以下特点:一是开放性强、二是资源庞大、三是传播速度快、四是使用便捷、五是容易泄密。计算机网络本身不能向用户提供安全保密功能, 在网络上传输的信息、入网的计算机及其所存储的信息会被窃取、篡改和破坏, 网络也会遭到攻击, 其硬件、软件、线路、文件系统和信息发送或接收的确认等会被破坏, 无法正常工作, 甚至瘫痪。近年来, 网络信息安全成为突出问题, 在传输、存储、处理过程中经常发生数据信息丢失、泄漏或非法窃取、篡改等事件, 对国家军事、社会和经济生活等产生了严重危害和影响, 已成为现有通信技术和网络安全性迫切需要解决的安全问题。
局域网安全设计是一个系统性工程, 受到主观和客观、确定和不确定、自身和外界等因素的影响。局域网中承载着用户许多重要的信息资产, 这些安全风险将会给国家、社会、企业和个人带来极大的安全隐患, 因此在设计企业局域网安全方案之前, 应首先进行风险评估。风险评估可以委托专业机构进行, 也可以自评估, 形成风险评估报告。根据风险评估结果和企业的网络建设投入寻找一个平衡点, 制定企业的安全策略, 有取舍的选择不同的安全系统, 做好局域网安全设计。本文通过分析局域网安全设计需遵循的原则和涉及的典型安全系统, 为局域网安全建设提供设计依据, 从而有效规避风险, 提高局域网的安全性。
2 设计原则
网络安全设计的目标是选择合适的技术和设备, 进行合适的配置, 但怎样才能做到“合适”呢?这取决于每个人对客户及其安全需求的了解程度。网络建设者可以用不同的方式实现安全设计, 但成功的网络设计都要遵循一些最基本的原则。局域网安全设计时, 应遵循以下原则:
2.1 木桶规则
网络的安全遵循木桶理论, 木桶的最大容积取决于最短的一块木板。网络系统是一个复杂的计算机系统, 本身存在种种漏洞, 网络攻击者总是会找到系统中最薄弱的环节进行攻击, 这就要求我们进行风险评估, 全面、充分地认识到系统的脆弱性以及面临的威胁。
2.2 易用性原则
复杂的系统难于掌握, 对使用人员要求高, 往往会降低系统的安全性。系统应尽可能操作简便, 维护简单。
3 网络安全系统
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护, 不因为偶然的或者恶意的原因而遭到破坏、更改、泄露, 系统连续可靠正常地运行, 网络服务不中断。随着网络技术的快速发展, 原来网络威胁单点叠加式的防护手段已经难以有效抵御日趋严重的混合型安全威胁。构建一个局部安全、全局安全、智能安全的整体安全体系, 为用户提供多层次、全方位的立体防护体系成为信息安全建设的新理念, 局域网安全系统设计图如图1所示。
目前局域网广泛采用的安全系统有以下几种:
3.1 防火墙系统
防火墙系统提供网络边界防护, 也可用于构建不同的安全域, 比如企业财务和其他各个部门, 保护网络免受非法用户的侵入。
3.2 入侵检测系统
入侵检测系统是一种积极主动的安全防护技术, 可以检查网络中是否存在违反安全策略的行为和被攻击的迹象。可以作为防火墙的合理补充。
3.3 监控与审计系统
该系统各个厂家有不同命名, 也称之为防水墙系统, 一般具有以下功能:信息泄露防范、系统资源安全管理、系统实时运行状况监控、信息安全审计等。
随着信息安全技术和理念的发展, 安全监控的关注点已经从设备转向对于设备使用者的行为。对设备使用人行为审计和行为控制的需求越来越明显。
3.4 身份认证系统
身份认证可以限制未经授权的设备通过接入端口访问局域网, 还可以更好地保证应用服务器不被非法访问, 应用系统被身份认证系统隔离在可信网段内, 用户需要通过身份认证系统的认证后才能访问应用。
3.5 漏洞扫描系统
漏洞扫描系统是对接入网络中资产的漏洞进行自动发现、统计分析并提供相应的修补措施的系统, 对利用这些漏洞的攻击起到预防作用。
3.6 网络防病毒系统
网络病毒传播速度快, 危害大, 大规模爆发甚至可以造成局域网瘫痪。部署单机版杀毒软件, 网络管理员难于管理, 很难做到足够的防护。网络版防病毒系统在部署、管理、应用和维护方面都具有很大的优势。
4 结论
随着计算机技术的飞速发展, 信息网络已经成为社会发展的重要保证。网络上存储和传输着大量敏感信息, 甚至有国家机密, 难免会吸引来自世界各地的各种人为攻击 (例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等) 。同时, 网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。
在局域网设计方案中, 安全系统设计是重中之重, 应遵循相应的设计原则。企业和用户需要在风险评估结果和企业的网络建设投入之间寻找一个平衡点, 做出适合企业自身的局域网安全设计并据此进行产品的选择, 从而确保网络的信息安全。
参考文献
[1]http://baike.baidu.comiew/3067.htm
[2]王达, 网络工程方案规划与设计[M].中国水利水电出版社.
局域网安全保密初探 篇10
近几年来伴随着计算机网络功能逐步发展完善, 局域网开始被广泛的应用于社会各个领域之中, 而且, 在人行系统之中的应用也已经较为广泛, 总体来说, 计算机局域网络的发展在很大程度上促进了各项业务的展开推进。但是在看到其作用的同时, 我们也必须注意到, 计算机局域网应用仍然存在着安全方面的隐患, 如果不加以处置, 将会严重影响到单位信息安全工作, 所以说, 对此类安全隐患的防范措施的重视尤为重要。
一般来说, 安全问题在计算机网络诞生之初就已经成为了它的一大软肋, 这一弊病可以说一直困扰着计算机相关网络技术的推广步伐。当今世界, 互联网呈现出急剧扩大的态势, 计算机局域网的用户迅速增加, 而与这一趋势不相符的是广大的计算机用户仍然在对网络安全控制机制与安全政策的认识上存在着很大的漏洞, 这就使得网络安全变得更加严重与复杂, 而这也正是人们当前致力于解决计算机语句王安全问题之所在。
2 对局域网的安全带来威胁的多种因素的分析
2.1 计算机病毒破坏
一般来说, 计算机病毒具有很强的传染性、潜伏性以及破坏性的特点, 它的传播途径很广泛, 包括磁盘、网络、电子邮件等等, 也可以被隐藏在软件包内, 一旦发作病毒就会冲级用户计算机内存, 严重影响系统性能, 甚至会修改数据、删除文件乃至破坏主板、硬盘灯硬件设备, 大大降低计算机网络的运行效率, 严重影响其工作效能。
2.2 网络入侵
网络入侵, 一般包括黑客入侵和蓄意攻击两大类, 掌握的熟练计算机知识和技能的黑客, 能够轻易完成对加密程序的解密与下载, 一旦黑客成功破译局域网口令, 那么他也就成功获得了对局域网的访问权, 作为合法用户肆意进入使用系统, 删除修改网内使用的数据库、资料以及文件等等破坏系统, 瘫痪乃至崩溃整个系统。
2.3 非法及越权操作
一般, 各个单位、部门之间业务上存在着彼此的独立性以及职权上的相互区别, 在建成局域网之后, 各单位内部人员都会对内部人员作出明确规定, 严禁非法操作、越权操作。但是这里需要注意的是, 这些操作规定都是建立在人为因素之上的, 阴帝操作规定在很大程度上要依靠着成员的自觉性, 这就使得当发生窃密时, 窃密者可以借助冒名顶替、长期试探等等多种方法掌握某用户口令与密钥, 一旦发生非法与越权操作行为, 就会造成极为严重的网络工作混乱甚至是严重的泄密事件。
2.4 硬件故障
对于局域网来说, 网络硬件是实现整个局域网运行正常的基础, 当前各个单位的工作人员对计算机的操作大都是一般性应用, 对于硬件故障的处理能力反而是非常低的, 为此, 技术保证就成为了各个单位普遍存在的一大难题, 也成为了局域网的一大安全保密隐患。
3 计算机局域网实体安全的保密与保密措施
所谓的计算机局域网实体通常是指负责实施信息收集、传输、存储、加工、处理、分发以及利用的计算机及其外部设备网络部件。它的泄密渠道可以说主要分为四种, 分别是电磁泄露、非法终端、搭线窃取以及介质的剩磁效应。
对于电磁泄露来说, 一般计算机设备工作时常常会辐射出一些电磁波, 任何人都可以借助仪器设备在一定范围内收到它, 尤其是当具有一些高灵敏度的仪器时, 就更加容易获得计算机正在处理的相关信息了。此外, 网络端口、传输线路等等也都存在着可能因为屏蔽不严甚至未加屏蔽造成的电磁泄露事件, 借助试验我们可以发现, 对于未加控制的一些电脑设施再起开始工作之后使用普通电脑加上接收装置之后就可以在一千米范围内抄手其内容。所谓非法终端, 一些非法用户有可能会在现有终端上并接一个终端, 或者趁合法用户从网上断开的时机接入, 将信息传输至非法终端。搭线窃取是在局域网与外界完成联通之后, 借助不受保护的外部线路可以从外界访问到系统内部相关数据, 当然, 需要注意的是内部通讯的相关线路也存在着被搭线的可能。就最后一项也就是介质剩磁效应来说, 就是指的存储截止至中虽然信息被擦出, 但是有时仍然有可能会留下一下可读信息的痕迹, 而且, 很多的信息系统中, 删除的往往只是文件名, 原文不会被删除, 这部分被容仍会存在存储介质之中, 这也就构成了很大的泄密隐患。
完成以上分析后, 那么我们对于局域网实体, 如何采取有效地保密措施也就有了回答。第一, 应当充分的使用现有的操作系统所提供的保护措施, 是每一个人员配备个人密码, 严格要求登陆局域网的用户必须使用这些用户名与密码, 这也就堵截了外来人员进入的一个可能性, 此外还要对服务器上以及各个保密单位的共享文件设置相关权限, 布局这一权限的人, 即便是内部人员也无权进入并查看, 这里, 对于密码的管理也有必要细说一下, 密码必须要求内部人员不得以文字资料形式记录, 不得外泄, 并建立起相应的责任追究机制, 一旦有问题, 立即追责。第二, 就防止电磁泄露方面, 显示器一般是计算机保密的短板, 而窃取现实的内容已是比较完善的技术, 为此, 可以选用低辐射的显示器, 另外, 距离防护与噪音干扰也可以成为备选项, 力争最大限度降低电磁泄露, 这里还要强化对网络记录媒体的保护与管理。第三, 定期检查工作必须到位, 对于文件服务器、光缆、以及其他外部设备有必要进行保密检查, 验房非法侵入, 对于纸张、磁盘光盘、移动硬盘等妥善保存, 在进行复制等操作时, 必须经过有关部门领导审查方允许进行。
4 小结
综上所述, 网络安全问题不是一个一蹴而就的工作, 必须建立起一套完善的管理模式, 并加以妥善贯彻实施, 唯有如此才能真正的实现网络安全的目标。
摘要:本文在对计算机局域网安全的描述之中, 阐述了计算机局域网络系统在使用中可能存在的一些缺陷, 也就是其脆弱的一面, 并在本文的结束, 就此做了在防范措施方面的初步探索。
关键词:计算机,局域网,安全,保密防范
参考文献
[1]司纪锋.无线局域网安全分析与检测系统的研究和实现.曲阜师范大学, 2006年06期.
[2]朱坤华, 冯云芝.浅析新一代无线局域网安全标准IEEE802.11[J].甘肃科技纵横, 2005年04期.
让无线局域网安全工作到底 篇11
1禁止使用点对点工作模式
一般来说,无线局域网中的普通工作站常常有两种基本的工作传输模式,一种模式就是基础架构模式,另外一种就是点对点工作模式。当无线局域网网络采用基础架构模式工作时,那么局域网中的所有无线工作站都需要通过一个无线路由器设备来进行信号处理;换句话说,无论我们是上网浏览网页内容,还是与相同局域网中的其他工作站进行共享传输交流,无线工作站的所有数据信号都需要经过无线路由器设备。大多数单位的无线局域网网络都属于这种类型的网络。
如果无线局域网网络采用点对点模式工作时,那么无线局域网中工作站与工作站之间的相互通信能够直接进行,而不需借助一个无线路由器设备或其他无线节点设备。在一些特定的场合下,这种工作模式比较有利于工作站快速网络访问,比方说要是我们想与局域网中其他工作站进行共享传输文件时,就可以选用点对点工作模式。不过比较麻烦的是,只要我们启用了点对点这种模式,那么本地无线网络附近的非法用户也能够在我们毫无知情的情况下偷偷访问本地网络中的重要隐私信息,这么一来本地无线局域网的工作安全性就会大大下降。
为了有效避免本地网络中的隐私信息对外泄露,我们强烈建议大家取消使用点对点工作模式,除非在万不得已的情况下,再启用该工作模式,而且一旦完成工作站之间的信息交流任务之后,必须立即再禁用点对点工作模式。
2拒绝广播无线网络标识符
为了方便无线局域网中的普通工作站能够快速地发现连接无线节点设备,每一个无线节点设备基本都有一个网络服务标识名称,这个名称信息一般被叫做无线节点的SSID标识符,普通工作站只有通过该标识符才能与无线节点设备建立正常的无线网络连接,要是不知道SSID标识符,那么普通工作站是无法加入到无线局域网中的。因此,要想阻止非法用户偷偷使用本地的无线网络,我们必须想办法不让非法用户知道本地无线局域网的SSID标识符信息。
目前,市场上推出的许多无线节点设备出厂默认设置都是允许无线网络标识符广播的,一旦启用了该功能后,就相当于无线节点设备会自动向无线覆盖范围内的所有普通工作站发布本地的无线网络标识符名称信息。尽管启用SSID标识符广播功能让大家能够非常方便地加入到本地无线网络中,但是该功能同样也让一些非法用户可以轻松地寻找到本地的无线网络,如此一来本地无线网络的安全性就会受到影响。为了保护本地无线网络的安全,我们强烈建议大家关闭这个SSOD标识符广播功能。
当然,需要提醒各位注意的是,要是非法用户已经知道本地的无线网络SSID标识符时,即使我们日后拒绝无线路由器广播无线网络标识符信息,非法用户也能够偷偷加入到本地网络。
3强化无线节点的管理密码
我们知道,一旦无线局域网网络附近的非法用户搜索到本地无线节点后,他们常常会尝试登录到无线节点的后台管理界面中,去修改它的无线网络参数,要是它们猜中了密码后,那么本地的无线上网参数可能会被非法用户随意修改,从而导致本地无线局域网网络不能正常工作:更为严重的是,这些非法用户一旦更换了无线节点的后台管理密码时,连本地的网络管理员可能都无法进入到无线节点的后台界面,去管理维护无线上网设备了。
由于目前很多无线节点设备在默认状态下设置的后台管理密码都比较简单,比方说将密码设置成“admin”、“0000”、“1234”或“aaaa”等等。要是我们不及时修改这些缺省的后台管理密码就把自己的无线节点设备接入到无线网络中的话,只要有非法用户利用专业工具得知本地的无线节点设备的生产厂家以及具体型号时,那么本地无线节点设备的管理密码无疑就已经被非法用户掌握了,此时本地无线网络的安全性就会受到严重威胁。
有鉴于此,我们在将无线节点设备接入到无线网络中之前,必须参照具体的操作说明书,及时登录到该设备的后台管理界面,找到后台管理密码修改选项,并将缺省密码调整成一个非常强壮的密码,确保非法用户无法猜中无线节点的管理密码,从而保证本地无线局域网的工作安全性。
4采用加密法保护无线信号
除了上面的几种方法能够保护无线局域网的工作安全性外,还有一种比较有效的保护方法,那就是对无线传输信号进行加密,这种方法往往具有很高的安全防范效果。
当前无线节点设备比较常用的加密方法包括两种:一种是WEP加密技术,另外一种就是WPA加密技术。其中WEP技术也叫对等保密技术,该技术一般在网络链路层进行RC4对称加密,无线上网用户的密钥内容一定要与无线节点的密钥内容完全相同,才能正确地访问到网络内容,这样就能有效避免非授权用户通过监听或其他攻击手段来偷偷访问本地无线网络。正常来说,WEP加密技术为我们普通用户提供了40位、128位甚至152位长度的几种密钥算法机制。一旦无线上网信号经过WEP加密后,本地无线网络附近的非法用户即使通过专业工具窃取到上网传输信号,他们也无法看到其中的具体内容,如此一来本地无线上网信号就不容易对外泄密了,那么无线局域网的数据发送安全性和接收安全性就会大大提高。而且WEP加密的选用位数越高,非法用户破解无线上网信号的难度就越大,本地无线网络的安全系数也就越高。
不过WEP加密技术也存在明显缺陷,比方说同一个无线局域网中的所有用户往往都共享使用相同的一个密钥,只要其中一个用户丢失了密钥,那么整个无线局域网网络都将变得不安全。而且考虑到WEP加密技术已经被发现存在明显安全缺陷,非法用户往往能够在有限的几个小时内就能将加密信号破解掉。
在为无线节点设备设置加密密钥时,我们可以使用两种方式来进行:一种方式比较简单,另外一种方式则不那么简单。比较简单的方式就是我们可以使用无线节点设备中自带的密钥生成器来自动生成密钥,另外一种方式就是我们采用手工方法选择合适的加密密钥,比方说我们可以使用字母A-F和数字0-9的组合来混合设置加密密钥。
要对无线上网信号进行加密时,我们可以先从普通无线工作站中运行IE浏览器程序,并在浏览窗口中输入无线节点设备默认的后台管理地址,之后正确输入管理员账号名称以及密码,进入到该设备的后台管理页面,单击该页面中的“首页”选项卡,并在对应选项设置页面的左侧显示区域单击“无线网络”项目,在对应该项目的右侧列表区域,找到“安全方式”设置选项,并用鼠标单击该设置项旁边的下拉按钮,从弹出的下拉列表中我们可以看到无线节点设备一般能够同时支持“WEP”加密协议和“WPA”加密协议。
局域网安全策略研究 篇12
近几年来,随着网络的发展,很多公司企业都建立了内部局域网,网络及信息安全也成为用户关注焦点之一。本文通过小型局域网常见的安全问题,将从黑客外部攻击、内部攻击、病毒攻击等方面入手,给出了安全策略和保护措施。
1 对外部攻击的防御
1.1 防火墙系统
目前,国内已经有多家机构或公司研发了防火墙系统,通过国家公安部等机构测试也有多家。下面简单介绍几种比较先进的防火墙系统性能。
1.1.1 Net Shine TM FW5x00防火墙和虚拟专用网
该防火墙系统可以分为基于包过滤(Packet Filter)的防火墙和代理服务型(Proxy Service)的防火墙。包过滤型防火墙在网络层协议入栈时根据预先设定的安全策略检测原始包,对用户完全透明,具有较高的网络性能和更好的应用程序透明性,但不能防止应用层的攻击;相应地,应用层防火墙使全部网络交换都由运行特定服务(FTP、HTTP、SMTP等)的智能防火墙来代理,这种代理提供应用层控制的功能和防止应用层受攻击的保护。Net Shine系列防火墙把包过滤和应用代理结合起来,形成混合类型的防火墙系统,提供更高的安全性能。
1.1.2 ERCIST防火墙系统
由中科院信息安全中心自行研制的ERCIST(安胜)防火墙是网络安全系统的组合套件,由包过滤路由器、代理服务器以及虚拟专用网VPN三大部分组成。还可完成地址转换、安全审计等功能。包过滤路由器以黑盒子方式工作,管理部件与运作部件分离,两部件之间通过加密方式传送和接收规则信息,接收日志信息,可防止窃取和伪造,又可在远程管理包过滤器的运作而不影响运作部件的正常动行。代理服务器对内部和外部用户访问许可的授权包括允许访问的种类、允许连接的时间区间、访问的级别等。根据访问的许可,对每一次访问中用户的身份及访问权限进行认证,保证内部网络中信息资源的合法使用。虚拟专用网模块则通过建立安全通道,封装IP地址和加密传输等方式,实现跨越公用网的内部用户的安全连接,所使用的由中科院信息安全中心自行研制的加密算法QC-1已得到密码委员会的审核和批准。
1.1.3 方正数码公司的方御防火墙系列产品
与传统的软件防火墙不同,方御防火墙是一体化的硬件产品。它通过与硬件系统的深层结合,比传统的基于软件的防火墙更高效、安全,而且更国中实时化。为了减少由于安装了防火墙的原因而导致的网络流量的降低,方御防火墙采用了3I(Intelligent IP Identifying)技术,能够实现快速匹配,这样能够使一个数据包快速的通过Hash表找到相应的规则列表,而不是顺序匹配,从而使网络流量不受到较大的影响。方御防火墙可以根据数据包的地址、协议和端口进行访问和监控。同时还对任何网络连接和会话的当前状态进行分析和监控。传统的防火墙的包过滤只是与规则表进行匹配,而方御防火墙则对每个连接都作为一个数据流汇总到连接表中,通过规则表与连接表的配合,来完成状态检测的功能。
1.1.4 天网防火墙系统广州众达天网防火墙完全支持高保密
的VPN功能。采用符合IPSEC标准的高保密性虚拟专用系统,系统支持多种加密算法,使系统具有完善的安全特征,保证了数据的真实性、完整性和机密性。天网防火墙采用分布式方案,可以根据服务器的负载情况,包括CPU占用量,系统Load等情况,自动选择负载最小的服务器,将用户的服务请求发送到该机器上。可以自动检测服务器的可用性,当某一台服务器出现故障的时候,分布式系统会自动绕开发生故障的机器,不会将用户的服务请法语发送到该机器上,保证了系统的正常运作。
1.2 操作系统及物理安全措施
防火墙之后是基于网络主机的操作系统安全和物理安全措施。按照级别从低到高,分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线,主要防范部分突破防火墙以及从内部发起的攻击。
1.3 系统备份系统
备份是网络系统的最后防线,用来遭受攻击之后进行系统恢复。它从网络系统中的防火墙、网络主机甚至直接从网络链路层上提取网络状态信息,作为输人提供给入侵检测子系统。入侵检测子系统根据一定的规则判断是否有入侵事件发生,如果有入侵发生,则启动应急处理措施,并产生警告信息。
2 计算机病毒的防御
2.1 安装杀毒软件
在网络上,杀毒软件的安装和管理方式是十分关键的,好的杀毒软件能在几分钟内轻松地安装到组织里的每一个服务器上,并可下载和散布到所有的目的机器上,由网络管理员集中设置和管理,对局域网内的电脑全部安装杀毒软件,并且时时更新,对于网内病毒的防控起到至关重要的作用。
2.2 加密及数字签名技术
加密技术的出现为全球电子商务提供了保证,完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即“公开密钥密码体制”,其中加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道,分别称为“公开密钥”和“秘密密钥”。而在我们日常生活中,对称加密又是较常用的加密方法,这项技术对于网络病毒的防控,对于访问者的权限控制,对于网络资源的配置都发挥重要作用。
2.3 实时杀毒,报警隔离
当计算机病毒对网上资源的应用程序进行攻击时,这样的病毒存在于信息共享的网络介质上,因此就要在网关上设防,在网络前端进行杀毒。基于网络的病毒特点,应该着眼于网络整体来设计防范手段。
3 结语
计算机网络已经深入到方方面面,网络的安全与否对我们每个人都尤为重要,同样网络也是一个复杂多变较难防控的空间,但只要我们能够应用好网络先进技术,明晰安全策略,就能创造一个安全、稳定、强大的网络。
参考文献
[1]余伟,陈保国,孔陶如.网络安全防火墙技术的研究与应用.西安思源学院.高教视窗233页,2009,(7).
【局域网安全】推荐阅读:
局域网安全体系10-02
局域网安全防御设计10-20
无线局域网安全论文07-06
医院局域网安全设计08-10
无线局域网安全概述09-07
校园局域网的安全10-04
无线局域网安全技术10-08
局域网安全防范初探10-18
无线局域网安全与防范05-08
无线局域网及安全技术08-21