局域网网络安全策略分析

郑剑彬

[摘 要]当今社会，计算机网络已深入到我们日常生活的各个方面并成为不可或缺的一部分。但由于计算机网络具有联结形式多样性，终端分布不均匀性和网络的开放性，互连性等特征，致使网络易受黑客，怪客，恶意软件的攻击。这些威胁不仅仅只是威胁了互联网，也同样威胁着局域网，因此局域网安全已经成为信息安全的新热点，其技术和标准也在成熟和演进过程中。本文首先使大家对局域网有个初步的了解，然后阐述威胁局域网的各个因素，并就局域网网络安全策略进行分析。

[关键词]局域网 威胁 防火墙 病毒 安全

一、局域网概述

我们大家可能都了解互联网，但提到局域网，可能会很少有人指出其明确含义，那么先让我们了解一下何为局域网。局域网（Local Area Network），简称LAN，是指在某一区域内由多台计算机互联成的计算机组。“某一区域”指的是同一办公室，同一建筑物，同一公司和同一学校等，一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。局域网是封闭型的，可以由办公室内的两台计算机组成，也可以由一个公司内的上千台计算机组成。目前局域网常见的拓扑结构有星型结构、环型结构、总线型拓扑结构和混合型拓扑结构。[1]

二、当今局域网的安全现状

由于IPV4地址的有限，使得很多地方都通过建立局域网来上网，如许多大中型企业和学校，这样就有局域网内很多台电脑的一个网络通过一个端口连接都在互联网上，这也就使得对局域网内的网络安全变得尤其重要。在许多年前，局域网还是十分安全的，大多数的公司也常常习惯于直接在局域网共享各种常用软件和资料，但是现在很多病毒开发者打起了局域网的主意。例如由于网游产生了APR病毒。这是一种欺骗性质的病毒，虽然它的目的并不是破坏局域网，但为了达到它盗号盗宝的目的，会严重影响其它局域网用户的正常上网活动。所谓APR攻击其实就是内网某台主机伪装成网关，欺骗内网其它主机将所有发往网关的信息发到这台主机上。由于此台主机的数据处理转发能力远远低于网关，因此导致大量信息堵塞，网速越来越慢，威胁到局域网用户的信息安全。有一种针对服务器的SYN攻击也会令局域网电脑全体“掉线”：SYN攻击属于DOS攻击的一种，它利用TCP协议三次握手的等待确认缺陷，通过发送大量的半连接请求，耗费CPU的内存资源。SYN攻击除了能影响主机外，还可以危害路由器，防火墙等网络系统，事实上SYN攻击并不管目标是什么系统，只要这些系统打开TCP服务就可以实施。配合IP欺骗，SYN攻击能达到良好的效果，通常感染SYN病毒的客户端在短时间内伪造大量不存在的IP地址，向服务器不断地发送SYN包，服务器回复确认包，并等待客户的确认，由于源地址是不存在的，服务器需要不断的重发直至超时，这些伪造的SYN包将长时间占用未连接队列，正常的SYN请求被丢弃，目标系统和路由器运行缓慢，严重的时候就直接引起整个局域网的网络堵塞甚至系统瘫痪。

面对日益严重的内网攻击和整网掉线问题，很多路由器和防火墙开发商也在产品中加入了相关技术，例如加入了IP-MAC绑定功能可以防止局域网的ARP欺骗，但是这些设备由于以太网工作原理的关系，其实还是无法全面解决内网安全问题。例如DDOS攻击，虽然路由器和防火墙可以利用一些设定好的规则判断出哪些数据包带有DDOS攻击的特征，但是它必须在收到这些数据包之后才能对数据包进行分析，而这些数据包在收过来的时候其实就已经占用了LAN口的带宽资源，由于路由器和防火墙都在局域网的最外端，这样的网络结构已经决定了它们无法在攻击数据包产生的时候就进行封堵，而且这些设备大部分还是采用100MB的带宽与LAN交换机相连，加上大部分的局域网交换机都是线速转发的二层交换机，受感染客户端发送的大量数据包可以很快用完这些带宽，因此网络数据传输的压力都加载在路由器的LAN端口，这时候很多正常的请求都无法顺利通过LAN口提交过去，因此即使路由器知道哪些是正常的请求也无济于事。

三、局域网面临的威胁

对计算机局域网造成威胁的因素很多，有些可能是有意的，也可能是无意的，可能是人为的，也可能是非人为的，可能是外来黑客对网络系统资源的非法使用。归结起来有以下几点：

（一）人为因素

人为的无意失误：如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的帐号随意转借他们或与别人共享等都会对网络安全带来威胁。

人为的恶意攻击：这是局域网网络所面临的最大威胁，敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获，窃取，破译以及获得重要机密信息。这两种攻击均可以对局域网网络造成极大的危害，并导致数据的泄露。

（二）内网的攻击

由于使用局域网的大部分是有计算机知识的人，他们的好奇心都是相当强的，而且现在各种攻击手段的教材随处都可以看得到，所以有少数局域网用户就把局域网作为攻击的对象。他们选择攻击局域网网络是因为局域网网络对于他们来说是内网，IP地址基本是在内部公开的，这样可以很方便的隐藏自己的IP地址，对局域网进行泛洪等的基本攻击，并可以很快见到他们攻击所带来的危害。在内网中根据IP地址很容易找到局域网的网段，这样就很容易运用ARP欺骗等攻击手段。

现在互联网上第三方黑客的攻击软件也越来越多，方法也越来越复杂，为局域网络的网络安全带来了严峻的考验[2]

（三）外网的攻击

“黑客”来自于英文单词HACKER，原来是指那些具有很高水平的计算机程序员，后来指那些企图非法入侵别人计算机系统，肆意破坏的人。黑客的目的一般都是窃取机密数据或破坏系统运行，黑客会对局域网网络设备进行信息轰炸，致使服务中断，也可能入侵WEB 或其它文件服务器，删除或篡改数据，致命系统瘫痪甚至完全崩溃，此外黑客还有可能向局域网网络传附带病毒的文件，达到间接破坏的目的，因此黑客的攻击不仅杀伤力大，而且隐蔽性强。[3]局域网由于其是一个为网内用户实现连接到互联网的手段，因此也就具备了网络信息系统所应该有的致命的脆弱性，开放性和易受攻击性。

（四）计算机病毒

为了获得一些非正当的利益，很多病毒开发者打起了局域网的主意，因此局域网也成为了病毒的高发地区。例如我们之前提到过的针对网游热火而产生的ARP病毒和针对网私服的DDOS 以及针对服务器的SYN 等都是病毒。这些都是开发者们为了盗取一些资料或一些利益而研制的。它们严重的时候可以直接引起整个局域网的网络堵塞甚至系统瘫痪。2006年年底的“熊猫烧香”病毒就给我们国家带来了巨大的损失和烦恼，就在2007年年初又出现了“熊猫烧香”的变种“金猪拜年”，可见病毒的变种能力非常强，并且计算机病毒的破坏力也是无法估计的。有很多病毒在计算机感染后并不发作，要等到条件成熟才会进行破坏，有的是时间，有的是是否安装了什么服务。而病毒的主要传播途径主要是通过网络下载，移动存储设备，而且病毒都是自动传播的，一旦局域网内一台计算机感染，局域网内所有计算机都会受到威胁。

四、局域网网络安全策略

（一）应用防火墙

防火墙是近期发展起来的一种保护计算机网络安全的技术性措施，它是一个用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制进出两个方向通信的门槛。它是将内网和外网进行分离，对经过它的网络数据进行扫描，过滤掉非法数据，从而禁止非授权用户访问数据，但是却允许合法用户透明地访问网络资源。当前防火墙的主要类型有：监测型，代理型，网络地址转化NAT，包过滤型等，应用好防火墙并对防火墙进行正确的设置将对局域网网络的安全起着十分重要的作用。目前多数路由器，交换机等都内嵌数据包过滤功能，管理员可在其中设置访问列表来实现包过滤功能。在INTERNET网关处安装一个含有数据包过滤功能的路由器，即可实现数据包过滤防火墙。这种应用模式不必使用专业的防火墙产品。具备成本低，速度快，实现方便等特点。但容易出现配置不当错误，也无法处理应用层发起的攻击，数据包过滤防火墙的安全防御能力较差。难以实现复杂的安全策略。实用中还有必要在桌面系统中配备防病毒软件。在各种类型的局域网中，服务器是最容易受到攻击的，为了保证服务器的安全，需要在服务器与路由器之间设置防火墙，并设置合理的安全策略，有效防范来自公隗的攻击。[4]

（二）用交换机解决局域网攻击问题。

要解决局域网的安全问题，交换机就不能再纯粹完成转发工作了事，还需要判断数封堵一些常见病毒所使用的端口，以及进行端口速率限制。如果这些功能转移到交换机上，就可以防止这些病毒端口发送的数据包到达路由器，从而减轻路由器的负担，保证局域网其他用户的正常上网。而为了能够识别各种恶意数据流量，交换机上就必须使用一款智能芯片，使其具有以下特点：

（1）支持基于IP，MAC应用的访问控制列表功能（ACL）；

（2）支持常见病毒端口过滤功能；

（3）支持基于端口，IP，MAC，应用的速率限制；

（4）支持基于端口，IP，MAC，802.1P和应用的优先级控制（QOS）；

（5）支持基于MAC+IP+VLAN+端口的绑定；

（6）支持ARP攻击和DDOS攻击事件记录日志。

（三）系统补丁程序的安装

及时地安装补丁程序也是很好的维护网络安全方法。有很多病毒就是应用了系统的漏洞，对计算机达到破坏作用。黑客也能通过系统漏洞侵入对方计算机，对其计算机进行破坏。例如尼姆达病毒正是利用了WINDOWS的一系列网络安全漏洞进行传播，它的破坏力也是有目共睹的。IS6.0版服务器不容易感染上尼姆达病毒。同尼姆达病毒同样臭名昭著的红色代码也是如此，可以打上微软的Q300972补丁，或者可以给整个操作系统打上最新的WINDOWS2000 ADVA NCE SP3补丁，但请注意有些数据库并不支持最新的SP3，我们只能下载单独补丁补上安全漏洞。另外，补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换或修改某些系统文件，如果先安装补丁饵安装应用程序有可能导致补丁不能起到就有的效果。

五、结束语

对于大中型企业网络来说，关于局域网内部的管理一直是一个非常复杂的问题，一个用户哪怕只是不小心点击一个恶意网站的链接，就会在几秒钟之内感染病毒，然后立刻影响到整个局域网的安全和稳定，加上现在恶意网站非常泛滥，病毒传播手段花样叠出，局域网安全必须受到广大网络管理人员的重视。因此，认清局域网的脆弱和潜在的威胁，采取强有力的安全策略，对于保障网络的安全性将变得十分重要。

参考文献

[1]方美琪 王宁 《全国计算机等级考试一级教程》2004，53

[2]钟平。校园网安全防范技术研究[DB]CNKI系列数据库，2007

[3]王秀和，杨明。计算机网络安全技术浅析[J]中国教育技术设备，2007(5)

[4]李辉。计算机网络安全与对策[J]潍坊学院学报，2007(3)