關(guān)于局域網(wǎng)的安全與維護(hù)

1、畢 業(yè) 論 文關(guān)于局域網(wǎng)的安全與維護(hù) 重慶電子工程職業(yè)學(xué)院通信工程系二一年四月內(nèi)容摘要人們生活在發(fā)展的世界中，越來(lái)越多的產(chǎn)品的出現(xiàn)，標(biāo)志著人們對(duì)信息的需要在不斷增加。在這個(gè)“網(wǎng)絡(luò)時(shí)代”，隨著科學(xué)技術(shù)的進(jìn)步和經(jīng)濟(jì)的迅速發(fā)展，網(wǎng)絡(luò)時(shí)代的一個(gè)明顯特征就是網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用。從世界范圍的全球互聯(lián)網(wǎng)到幾臺(tái)電腦之間的局域網(wǎng)絡(luò)。網(wǎng)絡(luò)的發(fā)展使得資源得到更有效的傳播和利用，但與此同時(shí)，網(wǎng)絡(luò)安全問(wèn)題也日益突出。不論是外部網(wǎng)還是內(nèi)部網(wǎng)的網(wǎng)絡(luò)都會(huì)受到安全的問(wèn)題。網(wǎng)絡(luò)攻擊是危害網(wǎng)絡(luò)安全的一大威脅。隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)攻擊技術(shù)理論和攻擊工具均有了新的發(fā)展，伴隨網(wǎng)絡(luò)攻擊事件層出不窮，因此通過(guò)對(duì)網(wǎng)絡(luò)技術(shù)方向的分析與

2、歸納，采取相應(yīng)的安全措施減少被攻擊的可能性具有很強(qiáng)的實(shí)用意義。本文講述的是網(wǎng)絡(luò)當(dāng)中局域網(wǎng)的安全及維護(hù)，主要是從局域網(wǎng)安全概論、局域網(wǎng)安全結(jié)構(gòu)、局域網(wǎng)安全分類、局域網(wǎng)所面臨的危害、局域網(wǎng)安全技術(shù)、局域網(wǎng)安全防范措施等方面內(nèi)容。關(guān)鍵字：局域網(wǎng)、安全技術(shù)、防范措施、安全分類contents summarypeople life world in development in, more and more of product of emergence, marking people need information at continuously increment. at this network

3、 ages, along with science technique of progress and economy of quick development, network ages of an obvious the characteristic be a network technique of extensive application. the bureau area that is from the world internet of world scope to several of set computer network. the development of netwo

4、rk make the resources get more valid of dissemination and make use of, but at the same time, network safety the problem be also outstanding day by day. in spite of is the network of the net of a net still an inner part in the exterior will be subjected to safety of problem. network attack is endange

5、r network safety of a big threat. along with calculator technique of fly soon development, network attack technique theories and attack the tool all had new of development, chaperonage network attack the affairs pile up one after another, so pass to the network technique direction of analysis with i

6、nduce, adopt correspond of safety measure decrease quilt attack of the possibility have very strong practical meaning.what this text relate is network in the middle bureau area net of safety and maintenance, main from the bureau area net safety general outline, bureau area net safety structure, the

7、bureau area net safety classification, bureau area the net face of endanger, bureau area net safety technique, bureau area net safety guard against measure etc. contents.key word: bureau area net, safety technique, guard against measure, safety classification目 錄第一章 概論 61.1 局域網(wǎng)概述61.1.1 局域網(wǎng)的定義61.1.2 局

8、域網(wǎng)的基本部件61.2 局域網(wǎng)的特點(diǎn)61.3 局域網(wǎng)的功能71.4 網(wǎng)絡(luò)安全的概念8第二章 局域網(wǎng)體系結(jié)構(gòu)及協(xié)議 82.1 局域網(wǎng)體系結(jié)構(gòu)92.1.1 物理層92.1.2 數(shù)據(jù)鏈路層 102.2 局域網(wǎng)協(xié)議 102.3 常見(jiàn)的幾種局域網(wǎng)類型 102.3.1傳統(tǒng)以太網(wǎng)112.3.2高速局域網(wǎng)112.3.3虛擬局域網(wǎng)112.3.4無(wú)線局域網(wǎng)12第三章 局域網(wǎng)安全分類123.1 局域網(wǎng)安全現(xiàn)狀 133.2 物理安全 133.3 網(wǎng)絡(luò)安全 133.3.1非授權(quán)訪問(wèn)133.3.2對(duì)信息完整性的攻擊133.3.3拒絕服務(wù)攻擊143.4 系統(tǒng)安全 143.5 應(yīng)用安全 14第四章 局域網(wǎng)安全危險(xiǎn)分析164.

9、1欺騙性的軟件使數(shù)據(jù)安全性降低 164.2 服務(wù)器區(qū)域沒(méi)有進(jìn)行獨(dú)立防護(hù) 174.3 計(jì)算機(jī)病毒及惡意代碼的威脅 174.4 局域網(wǎng)用戶安全意識(shí)不強(qiáng) 174.5 ip地址沖突184.6 局域網(wǎng)的信息安全面臨的威脅18第五章 局域網(wǎng)安全防范措施 205.1 軟件措施 205.2 硬件措施 265.3 安全技術(shù) 265.3.1防火墻技術(shù)265.3.2 vpn技術(shù)265.3.3網(wǎng)絡(luò)檢測(cè)技術(shù)275.3.4密碼學(xué)技術(shù)285.3.5認(rèn)證技術(shù)285.3.6智能卡技術(shù)295.4 局域網(wǎng)安全防范的綜合措施和策略295.5 管理層面的網(wǎng)絡(luò)安全防范策略30第六章 局域網(wǎng)維護(hù)316.1 硬件維護(hù) 316.1.1網(wǎng)卡安裝

10、與維護(hù)316.1.2網(wǎng)絡(luò)檢查與維護(hù)326.1.3雙絞線的標(biāo)準(zhǔn)使用326.2 軟件維護(hù) 336.2.1服務(wù)器軟件的維護(hù)336.2.2資料備份33第七章 參考文獻(xiàn)34第一章 概論1.1 局域網(wǎng)概述1976年，美國(guó)xerox公司palo alto研究中心利用夏威夷大學(xué)aloha無(wú)線電網(wǎng)絡(luò)系統(tǒng)原理成功開(kāi)發(fā)了以太網(wǎng)(ethernet)，使之成為第一個(gè)共享總線式局域網(wǎng)。1980年美dec公司、intel公司和xerox公司聯(lián)合公布了局域網(wǎng)dix標(biāo)準(zhǔn)，即以太規(guī)范，使局域網(wǎng)的典型代表以太網(wǎng)進(jìn)入規(guī)范階段。 局域網(wǎng)的安全是內(nèi)部網(wǎng)絡(luò)安全的關(guān)鍵，如何保證局域網(wǎng)的安全性成為網(wǎng)絡(luò)安全研究的一個(gè)重點(diǎn)。局域網(wǎng)（local a

11、rea network, lan）是在小范圍內(nèi)將各種數(shù)據(jù)通信設(shè)備互連起來(lái)，進(jìn)行數(shù)據(jù)通信和資源共享的計(jì)算機(jī)網(wǎng)絡(luò)。局域網(wǎng)的地理范圍一般在0.01-20km之間。局域網(wǎng)連網(wǎng)非常靈活，兩臺(tái)計(jì)算機(jī)就可以連成一個(gè)對(duì)等局域網(wǎng)。1.1.1 局域網(wǎng)的定義局域網(wǎng)的定義從技術(shù)方面來(lái)講，是由特定類型的傳輸介質(zhì)(如電纜、光纜、無(wú)線介質(zhì))和網(wǎng)絡(luò)適配器(也稱為網(wǎng)卡)互聯(lián)在一起的計(jì)算機(jī)系統(tǒng)。局域網(wǎng)的定義從功能方面來(lái)講，是一組計(jì)算機(jī)和其它設(shè)備以允許用戶互相通信和共享計(jì)算機(jī)資源的方式互聯(lián)在一起的系統(tǒng)1.1.2 局域網(wǎng)的基本部件要構(gòu)成局域網(wǎng)必須有其基本部件：第一部件是計(jì)算機(jī)，分為服務(wù)器和用戶工作站；第二部件是介質(zhì)，可以使同軸電纜，

12、雙絞線，光纜或無(wú)線介質(zhì)；第三部件是網(wǎng)卡，也稱為網(wǎng)絡(luò)適配器；第四部件是將計(jì)算機(jī)與傳輸介質(zhì)相連的各種連接設(shè)備，如db-15連接器、rj-45連接器等。最后有了局域網(wǎng)的硬件環(huán)境，還需要控制和管理局域網(wǎng)正常運(yùn)行的軟件，即網(wǎng)絡(luò)操作系統(tǒng)。1.2 局域網(wǎng)的特點(diǎn)2局域網(wǎng)絡(luò)是在高性能微型計(jì)算機(jī)發(fā)展到一頂水平并廣泛使用之后才逐漸發(fā)展起來(lái)的，在這樣的網(wǎng)絡(luò)系統(tǒng)中，用戶可以通過(guò)個(gè)人計(jì)算機(jī)訪問(wèn)共享數(shù)據(jù)庫(kù)和其他的共用資源進(jìn)行數(shù)據(jù)處理。一臺(tái)計(jì)算機(jī)發(fā)生故障時(shí)，其他工作站不受影響，因此整個(gè)系統(tǒng)的可靠性有了提高。局域網(wǎng)的主要有以下特點(diǎn)：（1） 由于網(wǎng)絡(luò)覆蓋的地理范圍不大，一般在0.110km之內(nèi)，通常屬于一個(gè)具體單位所有，而不屬于

13、公共網(wǎng)絡(luò)，網(wǎng)絡(luò)系統(tǒng)的費(fèi)用不高。（2） 數(shù)據(jù)傳輸率較高,通常為10m1000mbit/s,目前正向著更高的速度發(fā)展。（3） 通信質(zhì)量好，誤碼率低。（4） 支持標(biāo)準(zhǔn)化協(xié)議、標(biāo)準(zhǔn)終端接口等。（5） 根據(jù)用戶需求和網(wǎng)絡(luò)性能，可選擇不同的通信介質(zhì)。（6） 網(wǎng)絡(luò)可擴(kuò)充性好，系統(tǒng)可靠性高。當(dāng)網(wǎng)絡(luò)中某一站發(fā)生故障時(shí)不致影響整個(gè)系統(tǒng)的運(yùn)行。（7） 組建網(wǎng)絡(luò)周期短，成本低，見(jiàn)效快。1.3 局域網(wǎng)的功能2局域網(wǎng)的功能主要是提供資源共享和網(wǎng)絡(luò)之間的相互通信。其功能如下：（1）網(wǎng)絡(luò)硬件資源共享連入局域網(wǎng)中的用戶可以共享網(wǎng)絡(luò)中的各種硬件資源。如：打印機(jī)、掃描儀等（2）網(wǎng)絡(luò)軟件資源共享在局域網(wǎng)絡(luò)中的各個(gè)工作站均可各種數(shù)據(jù)資

14、料、文件信息和各種應(yīng)用軟件?？梢员苊庵貜?fù)投資和重復(fù)工作，建立分布式數(shù)據(jù)庫(kù)來(lái)實(shí)現(xiàn)集中、分析、處理，網(wǎng)絡(luò)用戶可共享這些數(shù)據(jù)。（3）信息發(fā)布局域網(wǎng)中的用戶可通過(guò)web服務(wù)器以有聲有色、圖文并存的多媒體方式向局域網(wǎng)中發(fā)布各種有用信息。（4）電子郵件它是局域網(wǎng)中的一個(gè)重要功能，使網(wǎng)絡(luò)用戶可以接受、轉(zhuǎn)發(fā)和處理來(lái)自局域網(wǎng)內(nèi)或世界各地網(wǎng)絡(luò)的電子郵件，真正實(shí)現(xiàn)辦公自動(dòng)化，提高辦公效率。（5）提高計(jì)算機(jī)系統(tǒng)的可靠性局域網(wǎng)中計(jì)算機(jī)或站點(diǎn)互為后備，提高了整個(gè)系統(tǒng)的可靠性，特別是在 自動(dòng)控制、實(shí)時(shí)數(shù)據(jù)處理等領(lǐng)域中更顯出其優(yōu)越性。1.4網(wǎng)絡(luò)安全的概念國(guó)際標(biāo)準(zhǔn)化組織將“計(jì)算機(jī)安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和

15、管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計(jì)算機(jī)安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說(shuō)的信息安全，是指對(duì)信息的保密性、完整性和可用性的保護(hù)，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對(duì)網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。計(jì)算機(jī)網(wǎng)絡(luò)安全的具體含義會(huì)隨著使用者的變化而變化，使用者不同，對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)和要求也就不同。從普通使用者的角度來(lái)說(shuō)，可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù)，避免被竊聽(tīng)、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、軍事打擊等對(duì)網(wǎng)絡(luò)

16、硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時(shí)如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。 從本質(zhì)上來(lái)講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問(wèn)題，也有管理方面的問(wèn)題，兩方面相互補(bǔ)充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)14。第二章 局域網(wǎng)體系結(jié)構(gòu)及協(xié)議2.1局域網(wǎng)體系結(jié)構(gòu)5局域網(wǎng)大多采用共享信道，當(dāng)通信局限于一個(gè)局域網(wǎng)內(nèi)部時(shí)，任意兩個(gè)節(jié)點(diǎn)之間都有唯一的鏈路，即網(wǎng)絡(luò)層的功能可由鏈路層來(lái)完成，所以局域網(wǎng)中不單獨(dú)設(shè)立網(wǎng)絡(luò)層。在ieee 802標(biāo)準(zhǔn)中，只定義了物理層和數(shù)據(jù)鏈路層兩層。ieee 802提出的

17、局域網(wǎng)參考模型如圖2一l所示。2.1.1.物理層物理層用來(lái)建立物理連接是必須的。 圖 2-1 ieee 802 局域網(wǎng)模型物理層的主要功能有：信號(hào)的編碼與譯碼，進(jìn)行同步用的前同步碼的產(chǎn)生與去除，比特的傳輸與接收。物理層也要實(shí)現(xiàn)電氣、機(jī)械、功能和規(guī)程四大特性的匹配。物理層提供發(fā)送和接收信號(hào)的能力包括對(duì)寬帶的頻帶分配和對(duì)基帶的信號(hào)調(diào)制。2.1.2.數(shù)據(jù)鏈路層3數(shù)據(jù)鏈路層把數(shù)據(jù)轉(zhuǎn)換成幀來(lái)傳輸，并實(shí)現(xiàn)幀的順序控制、差錯(cuò)控制及流量控制等功能，使不可靠的鏈路變成可靠的鏈路。數(shù)據(jù)鏈路層分為mac子層和llc子層。mac子層的主要功能是將上層交下來(lái)的數(shù)據(jù)封裝成幀進(jìn)行發(fā)送，接收時(shí)進(jìn)行相反的過(guò)程：首先將幀拆卸，然

18、后實(shí)現(xiàn)和維護(hù)mac協(xié)議，接著進(jìn)行比特差錯(cuò)控制，最后尋址。mac子層支持?jǐn)?shù)據(jù)鏈路功能，并為llc子層提供服務(wù)。llc子層向高層提供一個(gè)或多個(gè)邏輯接口(具有幀發(fā)和幀收能)。llc子層的主要功能是建立和釋放數(shù)據(jù)鏈路層的邏輯連接、提供與高層的接口、差錯(cuò)控制、給幀加上序號(hào)。局域網(wǎng)對(duì)llc子層是透明的。2.2 局域網(wǎng)協(xié)議美國(guó)電氣及電子工程學(xué)會(huì)（ieee）于1980年2月開(kāi)始研究并制定局域網(wǎng)標(biāo)準(zhǔn)。ieee 802標(biāo)準(zhǔn)主要包括局域網(wǎng)體系結(jié)構(gòu)、網(wǎng)絡(luò)互連和網(wǎng)絡(luò)管理、各種介質(zhì)訪問(wèn)控制協(xié)議以及局域網(wǎng)標(biāo)準(zhǔn)。目前局域網(wǎng)標(biāo)準(zhǔn)包括以下內(nèi)容2。（1） ieee 802.1：系統(tǒng)結(jié)構(gòu)和網(wǎng)際互連；（2） ieee 802.2：邏輯

19、鏈路控制（llc）；（3） ieee 802.3：csma/cd總線介質(zhì)訪問(wèn)控制方法和物理層技術(shù)規(guī)范；（4） ieee 802.4：token bus令牌總線介質(zhì)訪問(wèn)控制方法和物理層技術(shù)規(guī)范；（5） ieee 802.5：token ring令牌環(huán)介質(zhì)訪問(wèn)控制方法和物理技術(shù)規(guī)范；（6） ieee 802.6 城域網(wǎng)（man）訪問(wèn)控制方法和物理層技術(shù)規(guī)范；（7） ieee 802.7 寬頻帶傳輸標(biāo)準(zhǔn)；（8） ieee 802.8 光導(dǎo)纖維傳輸標(biāo)準(zhǔn)；（9） ieee 802.9 綜合業(yè)務(wù)數(shù)字網(wǎng)（isdn）技術(shù)；（10） ieee 802.10 局域網(wǎng)安全技術(shù)；（11） ieee 802.11 無(wú)線

20、局域網(wǎng)標(biāo)準(zhǔn)；（12） ieee 802.12 100mbit vg-anylan訪問(wèn)控制方法和物理層規(guī)范。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，ieee 802的標(biāo)準(zhǔn)也將會(huì)進(jìn)一步完善。2.3常見(jiàn)的幾種局域網(wǎng)類型4隨著計(jì)算機(jī)網(wǎng)絡(luò)與通信技術(shù)的發(fā)展，局域網(wǎng)技術(shù)也在不斷地更新?lián)Q代。我們常見(jiàn)的局域網(wǎng)類型有以下幾種：2.3.1 傳統(tǒng)以太網(wǎng)傳統(tǒng)以太網(wǎng)分類網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)傳輸介質(zhì)介質(zhì)訪問(wèn)控制協(xié)議信息編碼傳輸速率最大網(wǎng)段長(zhǎng)度標(biāo)準(zhǔn)以太網(wǎng)總線型50的粗同軸電纜rg-11或rg-8csma/cd曼切斯特碼10mbit/s500m細(xì)纜以太網(wǎng)總線行50的粗同軸電纜rg-58a/u10mbit/s185m雙絞線以太網(wǎng)星型非屏蔽雙絞線,

21、線直徑46mm,阻抗10010-100 mbit/s100m2.3.2 高速局域網(wǎng)隨著個(gè)人計(jì)算機(jī)的普及和廣泛使用,無(wú)論是單位還是居民小區(qū),上網(wǎng)用戶是越來(lái)越多,網(wǎng)絡(luò)規(guī)模是越來(lái)越大,網(wǎng)上信息交通擁擠現(xiàn)象是越來(lái)越嚴(yán)重.以校園網(wǎng)為例,各辦公區(qū)域、各院部辦公室都有自己的局域網(wǎng),使用初期,基本上可以滿足使用要求,但要滿足現(xiàn)代化信息處理和資源共享的需要,必須將校園內(nèi)的各個(gè)院部的局域網(wǎng)互連起來(lái).在整個(gè)校園內(nèi)構(gòu)成一個(gè)相當(dāng)規(guī)模的校園網(wǎng)。對(duì)于低速局域網(wǎng)來(lái)說(shuō)，這是不能滿足需求的，為此，就要建一個(gè)高速的校園網(wǎng)局域網(wǎng)。為了解決網(wǎng)絡(luò)信息傳輸中的問(wèn)題，克服網(wǎng)絡(luò)規(guī)模與網(wǎng)絡(luò)性能之間的矛盾，提高網(wǎng)絡(luò)速率，加大網(wǎng)絡(luò)帶寬。近年來(lái)，網(wǎng)絡(luò)

22、技術(shù)研究人員取得了顯著的成效，目前成熟的網(wǎng)絡(luò)技術(shù)有交換式局域網(wǎng)、快速以太網(wǎng)、高速局域網(wǎng)、fddi網(wǎng)、吉比特以太網(wǎng)和atm網(wǎng)絡(luò)。2.3.3 虛擬局域網(wǎng)vlan（virtual local area network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。采用交換式局域網(wǎng)技術(shù)組建的局域網(wǎng)，可以運(yùn)用vlan(虛擬網(wǎng)絡(luò))技術(shù)來(lái)加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理。vlan技術(shù)的核心是網(wǎng)絡(luò)分段，根據(jù)不同的部門及不同的安全機(jī)制，將網(wǎng)絡(luò)進(jìn)行隔離，可以達(dá)到限制用戶非法訪問(wèn)的目的。在集中式網(wǎng)絡(luò)環(huán)境下，通常將中心的所有主機(jī)系統(tǒng)集中到一個(gè)vlan里，在這個(gè)vlan里不

23、允許有任何用戶節(jié)點(diǎn)，從而較好地保護(hù)敏感的主機(jī)資源。vlan內(nèi)部的連接采用交換實(shí)現(xiàn)，而vlan與vlan之間的連接則采用路由實(shí)現(xiàn)。2.3.4 無(wú)線局域網(wǎng) wlan是wireless lan的簡(jiǎn)稱，即無(wú)線局域網(wǎng)。所謂無(wú)線網(wǎng)絡(luò)，顧名思義就是利用無(wú)線電波作為傳輸媒介而構(gòu)成的信息網(wǎng)絡(luò)，由于wlan產(chǎn)品不需要鋪設(shè)通信電纜，可以靈活機(jī)動(dòng)地應(yīng)付各種網(wǎng)絡(luò)環(huán)境的設(shè)置變化。wian技術(shù)為用戶提供更好的移動(dòng)性、靈活性和擴(kuò)展性，在難以重新布線的區(qū)域提供快速而經(jīng)濟(jì)有效的局域網(wǎng)接入，無(wú)線網(wǎng)橋可用于為遠(yuǎn)程站點(diǎn)和用戶提供局域網(wǎng)接入。但是，當(dāng)用戶對(duì)wlan的期望日益升高時(shí)，其安全問(wèn)題隨著應(yīng)用的深入表露無(wú)遺，并成為制約wlan發(fā)展

24、的主要瓶頸1。第三章 局域網(wǎng)安全分類在信息時(shí)代，信息可以幫助團(tuán)體或個(gè)人，使他們受益，同樣，信息也可以用來(lái)對(duì)他們構(gòu)成威脅，造成破壞。因此網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問(wèn)題，也有管理方面的問(wèn)題，兩方面相互補(bǔ)充，缺一不可。 3.1 局域網(wǎng)安全現(xiàn)狀局域網(wǎng)絡(luò)已有了相對(duì)完善的安全防御體系，防火墻、漏洞掃描、防病毒、ids等網(wǎng)關(guān)級(jí)別、網(wǎng)絡(luò)邊界方面的防御，重要的安全設(shè)施大致集中于機(jī)房或網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴(yán)密監(jiān)控下，來(lái)自網(wǎng)絡(luò)外部的安全威脅大大減小。相反來(lái)自網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)客戶端的安全威脅缺乏必要的安全管理措施

25、，安全威脅較大。未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備或用戶就可能通過(guò)到局域網(wǎng)的網(wǎng)絡(luò)設(shè)備自動(dòng)進(jìn)入網(wǎng)絡(luò)，形成極大的安全隱患。目前，局域網(wǎng)絡(luò)安全隱患是利用了網(wǎng)絡(luò)系統(tǒng)本身存在的安全弱點(diǎn)，而系統(tǒng)在使用和管理過(guò)程的疏漏增加了安全問(wèn)題的嚴(yán)重程度。93.2 物理安全局域網(wǎng)物理安全主要包括因?yàn)榉?wù)器、網(wǎng)絡(luò)設(shè)備硬件、線路和信息存儲(chǔ)設(shè)備等物理介質(zhì)造成的信息泄漏、丟失或服務(wù)中斷，產(chǎn)生原因主要包括以下幾種：（1） 電磁輻射與塔線竊聽(tīng)；（2） 盜用；（3） 偷竊；（4） 硬件故障；（5） 超負(fù)荷；（6） 火災(zāi)及自然災(zāi)害。在局域網(wǎng)內(nèi)，由于網(wǎng)絡(luò)的物理跨度不大，只要制定健全的安全管理制度，做好備份，并且加強(qiáng)網(wǎng)絡(luò)設(shè)備和機(jī)房的管理，這些風(fēng)險(xiǎn)是可以避

26、免的。3.3 網(wǎng)絡(luò)安全10局域網(wǎng)連網(wǎng)后，就要面臨新的危害，安裝了網(wǎng)絡(luò)軟件，也將引入新的安全危害。由于大部分軟件協(xié)議沒(méi)有進(jìn)行安全性的設(shè)計(jì)；同時(shí)許多網(wǎng)絡(luò)服務(wù)器程序需要用超級(jí)用戶特權(quán)來(lái)執(zhí)行，這又造成諸多安全問(wèn)題。網(wǎng)絡(luò)安全問(wèn)題主要與如下情況：3.3.1 非授權(quán)訪問(wèn)（1）假冒用戶（2）假冒主機(jī)（3）ip盜用（4）ip詐騙3.3.2 對(duì)信息完整性的攻擊攻擊者通過(guò)改變網(wǎng)絡(luò)中信息流的流向或次序，或修改、重發(fā)甚至刪除某些重要信息，使被攻擊者受騙，做出對(duì)攻擊者有益的響應(yīng)；或惡意增加大量無(wú)用信息，干擾合法用戶的正常使用。3.3.3 拒絕服務(wù)攻擊通過(guò)對(duì)網(wǎng)上的服務(wù)實(shí)體進(jìn)行連續(xù)干擾，或使其忙于執(zhí)行非服務(wù)性操作，短時(shí)間內(nèi)大

27、量消耗內(nèi)存、cpu或硬盤資源，使系統(tǒng)繁忙以致癱瘓，無(wú)法為正常擁護(hù)提供服務(wù)，稱為拒絕服務(wù)攻擊（dos）。常見(jiàn)的攻擊如ping to deat 、郵件炸彈攻擊和半連接攻擊。3.4 系統(tǒng)安全系統(tǒng)安全問(wèn)題是指服務(wù)器或主機(jī)的操作系統(tǒng)本身的安全，如系統(tǒng)中用戶帳號(hào)和口令設(shè)置、文件和目錄存取權(quán)限設(shè)置、系統(tǒng)安全管理設(shè)置，以及服務(wù)程序使用管理。在網(wǎng)絡(luò)服務(wù)中，網(wǎng)絡(luò)操作系統(tǒng)起著非常重要的組織作用，所以操作系統(tǒng)的安全關(guān)系到網(wǎng)絡(luò)的整體性能。為了使操作系統(tǒng)達(dá)到更好的保護(hù)狀態(tài)，應(yīng)該更多的關(guān)注系統(tǒng)的漏洞，升級(jí)系統(tǒng)文件，為系統(tǒng)安裝補(bǔ)丁程序等。主要問(wèn)題有以下幾種：（1）系統(tǒng)本身安全性不足。（2）未授權(quán)的存取。（3）越權(quán)使用。（4）

28、保證文件系統(tǒng)的完整性。另外，由于tcp/ip協(xié)議本身的不安全因素，導(dǎo)致網(wǎng)絡(luò)安全防不勝防。對(duì)操作系統(tǒng)安全而言，應(yīng)該注意以下幾個(gè)方面6： (1)為操作系統(tǒng)選擇一款優(yōu)秀的殺毒軟件和防火墻系統(tǒng)。(2)設(shè)置操作系統(tǒng)管理員賬號(hào)和密碼，并且要保證密碼足強(qiáng)壯。(3)對(duì)系統(tǒng)進(jìn)行分角色管理，嚴(yán)格控制系統(tǒng)用戶。 (4)定期進(jìn)行系統(tǒng)掃描，及時(shí)安裝系統(tǒng)補(bǔ)丁程序。 (5)對(duì)系統(tǒng)進(jìn)行備份，定期進(jìn)行磁盤掃描，檢測(cè)系統(tǒng)是否出現(xiàn)異常。 (6)可以在系統(tǒng)上安裝外殼軟件或蜜罐系統(tǒng)進(jìn)行反跟蹤。3.5 應(yīng)用安全應(yīng)用安全問(wèn)題通常是指主機(jī)上所安裝的應(yīng)用軟件的安全問(wèn)題以及使用人員的人為因素造成的安全問(wèn)題。例如：有的web服務(wù)器的http就有安

29、全漏洞；在使用自己編寫的應(yīng)用程序時(shí)，可能因?yàn)槌绦騿T對(duì)系統(tǒng)安全漏洞認(rèn)識(shí)不足，設(shè)計(jì)與開(kāi)發(fā)中對(duì)安全問(wèn)題重視不夠，造成的本身安全問(wèn)題。另外，如網(wǎng)上的不可靠站點(diǎn)下載未經(jīng)嚴(yán)格驗(yàn)證的應(yīng)用軟件會(huì)帶入一些木馬、病毒，甚至打開(kāi)匿名郵件都可能被計(jì)算機(jī)病毒感染。使用人員不要進(jìn)一些不良網(wǎng)站，不明網(wǎng)站；自己不要有意在電腦上、主機(jī)上安裝非法軟件，如盜號(hào)軟件、黑客攻擊軟件等。使用人員在使用時(shí)，要嚴(yán)格按照使用操作程序進(jìn)行。局域網(wǎng)管理人員也要具有一定的網(wǎng)絡(luò)管理安全管理意識(shí)。3.5.1網(wǎng)絡(luò)安全管理意識(shí)8系統(tǒng)的安全威脅大部分來(lái)自人為的操作失誤和故意破壞，因此必須在管理上加強(qiáng)安全意識(shí)：提高對(duì)機(jī)房的環(huán)境及檢測(cè)報(bào)警系統(tǒng)的要求，注意工程的配

30、套設(shè)計(jì)及工程質(zhì)量控制；加強(qiáng)機(jī)房的防盜及操作人員的安全意識(shí)培訓(xùn)，避免設(shè)備被盜或從終端被入侵。建議在網(wǎng)絡(luò)中對(duì)業(yè)務(wù)匯聚分流路由器和城域內(nèi)網(wǎng)絡(luò)設(shè)備本身實(shí)現(xiàn)一定的安全考慮：對(duì)設(shè)備本身的安全保護(hù)建議作如下考慮:1）用戶口令的認(rèn)證，本地認(rèn)證或radius, tacacs2）用戶級(jí)別的劃分，將可進(jìn)入到設(shè)備的管理用戶分為多個(gè)級(jí)別，對(duì)不同級(jí)別的用戶具有不通的訪問(wèn)權(quán)限。3）設(shè)置log記錄，對(duì)網(wǎng)絡(luò)設(shè)備的任何有效配置和改動(dòng)均需要相應(yīng)的記錄。對(duì)于用戶口令安全方面的考慮：建議采用集中管理的方式，在電信網(wǎng)管中心配置訪問(wèn)控制器，所有設(shè)備的用戶名、口令、權(quán)限控制都統(tǒng)一管理，避免因分散式管理帶來(lái)的安全漏洞和管理的復(fù)雜性。在用戶的資

31、格認(rèn)證方面，有四種常用的認(rèn)證方式，分別是：1）固定用戶名/口令；2）時(shí)效用戶名/口令；3）一次性口令；4）令牌卡/軟令牌。這四種方式中，在資格認(rèn)證的可靠性方面，以第一種最低，第四種最高，在使用的方便性方面，則以第四種最低，第一種最高?？梢?jiàn)安全和易用是一對(duì)矛盾體，要獲得較高的安全性，就需要犧牲一些易于使用性。通常我們采用安全性較高的令牌卡或軟令牌方式，對(duì)管理用戶，特別是高級(jí)管理用戶進(jìn)行嚴(yán)格的資格認(rèn)證，保證系統(tǒng)的安全性。在資格認(rèn)證上，為防止他人非法盜用、破壞口令，除采用高可靠性的令牌卡方式外，還可以設(shè)置撥入者在輸入n次口令仍失敗后帳戶失效，并及時(shí)向系統(tǒng)管理員通知。 第四章 局域網(wǎng)安全危險(xiǎn)分析局域網(wǎng)

32、（lan）是指在小范圍內(nèi)由服務(wù)器和多臺(tái)電腦組成的工作組互聯(lián)網(wǎng)絡(luò)。由于通過(guò)交換機(jī)和服務(wù)器連接網(wǎng)內(nèi)每一臺(tái)電腦，因此局域網(wǎng)內(nèi)信息的傳輸速率比較高，同時(shí)局域網(wǎng)采用的技術(shù)比較簡(jiǎn)單，安全措施較少，同樣也給病毒傳播提供了有效的通道和數(shù)據(jù)信息的安全埋下了隱患。局域網(wǎng)的網(wǎng)絡(luò)安全威脅通常有以下幾類15：4.1欺騙性的軟件使數(shù)據(jù)安全性降低由于局域網(wǎng)很大的一部分用處是資源共享，而正是由于共享資源的“數(shù)據(jù)開(kāi)放性”，導(dǎo)致數(shù)據(jù)信息容易被篡改和刪除，數(shù)據(jù)安全性較低。例如“網(wǎng)絡(luò)釣魚攻擊”，釣魚工具是通過(guò)大量發(fā)送聲稱來(lái)自于一些知名機(jī)構(gòu)的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息：如用戶名、口令、賬號(hào)id、atm pin碼或信用卡

33、詳細(xì)信息等的一種攻擊方式。最常用的手法是冒充一些真正的網(wǎng)站來(lái)騙取用戶的敏感的數(shù)據(jù)。以往此類攻擊的冒名的多是大型或著名的網(wǎng)站，但由于大型網(wǎng)站反應(yīng)比較迅速，而且所提供的安全功能不斷增強(qiáng)，網(wǎng)絡(luò)釣魚已越來(lái)越多地把目光對(duì)準(zhǔn)了較小的網(wǎng)站。同時(shí)由于用戶缺乏數(shù)據(jù)備份等數(shù)據(jù)安全方面的知識(shí)和手段，因此會(huì)造成經(jīng)常性的信息丟失等現(xiàn)象發(fā)生。4.2 服務(wù)器區(qū)域沒(méi)有進(jìn)行獨(dú)立防護(hù)局域網(wǎng)內(nèi)計(jì)算機(jī)的數(shù)據(jù)快速、便捷的傳遞，造就了病毒感染的直接性和快速性，如果局域網(wǎng)中服務(wù)器區(qū)域不進(jìn)行獨(dú)立保護(hù)，其中一臺(tái)電腦感染病毒，并且通過(guò)服務(wù)器進(jìn)行信息傳遞，就會(huì)感染服務(wù)器，這樣局域網(wǎng)中任何一臺(tái)通過(guò)服務(wù)器信息傳遞的電腦，就有可能會(huì)感染病毒。雖然在網(wǎng)絡(luò)

34、出口有防火墻阻斷對(duì)外來(lái)攻擊，但無(wú)法抵擋來(lái)自局域網(wǎng)內(nèi)部的攻擊。4.3 計(jì)算機(jī)病毒及惡意代碼的威脅由于網(wǎng)絡(luò)用戶不及時(shí)安裝防病毒軟件和操作系統(tǒng)補(bǔ)丁，或未及時(shí)更新防病毒軟件的病毒庫(kù)而造成計(jì)算機(jī)病毒的入侵。許多網(wǎng)絡(luò)寄生犯罪軟件的攻擊，正是利用了用戶的這個(gè)弱點(diǎn)。寄生軟件可以修改磁盤上現(xiàn)有的軟件，在自己寄生的文件中注入新的代碼。最近幾年，隨著犯罪軟件（crime ware）洶涌而至，寄生軟件已退居幕后，成為犯罪軟件的助手。2007年，兩種軟件的結(jié)合推動(dòng)舊有寄生軟件變種增長(zhǎng)3倍之多。2008年，預(yù)計(jì)犯罪軟件社區(qū)對(duì)寄生軟件的興趣將繼續(xù)增長(zhǎng)，寄生軟件的總量預(yù)計(jì)將增長(zhǎng)20%4.4 局域網(wǎng)用戶安全意識(shí)不強(qiáng)許多用戶使用

35、移動(dòng)存儲(chǔ)設(shè)備來(lái)進(jìn)行數(shù)據(jù)的傳遞，經(jīng)常將外部數(shù)據(jù)不經(jīng)過(guò)必要的安全檢查通過(guò)移動(dòng)存儲(chǔ)設(shè)備帶入內(nèi)部局域網(wǎng)，同時(shí)將內(nèi)部數(shù)據(jù)帶出局域網(wǎng)，這給木馬、蠕蟲等病毒的進(jìn)入提供了方便同時(shí)增加了數(shù)據(jù)泄密的可能性。另外一機(jī)兩用甚至多用情況普遍，筆記本電腦在內(nèi)外網(wǎng)之間平凡切換使用，許多用戶將在internet網(wǎng)上使用過(guò)的筆記本電腦在未經(jīng)許可的情況下擅自接入內(nèi)部局域網(wǎng)絡(luò)使用，造成病毒的傳入和信息的泄密7。4.5 ip地址沖突局域網(wǎng)用戶在同一個(gè)網(wǎng)段內(nèi)，經(jīng)常造成ip地址沖突，造成部分計(jì)算機(jī)無(wú)法上網(wǎng)。對(duì)于局域網(wǎng)來(lái)講，此類ip地址沖突的問(wèn)題會(huì)經(jīng)常出現(xiàn)，用戶規(guī)模越大，查找工作就越困難，所以網(wǎng)絡(luò)管理員必須加以解決。正是由于局域網(wǎng)內(nèi)應(yīng)用上

36、這些獨(dú)特的特點(diǎn)，造成局域網(wǎng)內(nèi)的病毒快速傳遞，數(shù)據(jù)安全性低，網(wǎng)內(nèi)電腦相互感染，病毒屢殺不盡，數(shù)據(jù)經(jīng)常丟失。4.6 局域網(wǎng)的信息安全面臨的威脅(1) udp 攻擊:udp 攻擊的原理是使兩個(gè)以上的系統(tǒng)之間產(chǎn)生巨大的udp數(shù)據(jù)包。首先使這兩種udp服務(wù)都產(chǎn)生輸出，然后讓這兩種udp服務(wù)(例如chargen服務(wù)和echo服務(wù))之間互相通信，是一方的輸出成為另一方的輸入。這樣會(huì)形成很大的數(shù)據(jù)流量。當(dāng)多個(gè)系統(tǒng)之間互相產(chǎn)生udp數(shù)據(jù)包時(shí)，最終將導(dǎo)致整個(gè)個(gè)網(wǎng)絡(luò)的癱瘓。經(jīng)典的攻擊工具如tfn2k、udp flood 這樣的工具網(wǎng)上隨處可見(jiàn)的，使用起來(lái)也非常簡(jiǎn)單。(2) 網(wǎng)絡(luò)即時(shí)通信竊聽(tīng)：msn是目前使用最廣泛的

37、一種聊天工具，然而隨著“msn偵察兵”的監(jiān)控軟件在網(wǎng)絡(luò)上出現(xiàn)后，msn聊天記錄就在局域網(wǎng)內(nèi)成了公開(kāi)的秘密。任何人只要下載了這種軟件，就可以監(jiān)控同一局域網(wǎng)內(nèi)的所有用戶的聊天記錄。qq同樣存在被竊聽(tīng)的可能，據(jù)新浪網(wǎng)上的一篇關(guān)于qicq存在安全隱患的文章稱，在對(duì)于qicq認(rèn)證的分析過(guò)程中發(fā)現(xiàn)了一個(gè)嚴(yán)重的安全脆弱性隱患，導(dǎo)致黑客可以簡(jiǎn)單的通過(guò)網(wǎng)絡(luò)數(shù)據(jù)抓包，破解整個(gè)局域網(wǎng)內(nèi)的qicq密碼。分析發(fā)現(xiàn)，qicq在登錄過(guò)程中，盡管沒(méi)有密碼被子直接傳送的過(guò)程，整個(gè)會(huì)話過(guò)程密碼始終在客戶本地和服務(wù)端保留。但由于在登陸成功后，服務(wù)器返回的一個(gè)可以反向解碼的加密字符成為了最薄弱的安全環(huán)節(jié)。在局域網(wǎng)內(nèi)，如js采用協(xié)議分

38、析軟件，再加上arp欺騙配合，偵聽(tīng)某個(gè)網(wǎng)段內(nèi)msn，qq聊天內(nèi)容是一件很輕松的事情。(3) arp 欺騙存在兩種情況：一種是欺騙主機(jī)作為“中間人”，被欺騙 主機(jī)的數(shù)據(jù)都經(jīng)過(guò)它中轉(zhuǎn)一次，這樣欺騙主機(jī)可以竊取到被它欺騙的主機(jī)之間的通訊數(shù)據(jù)，另一種讓欺騙主機(jī)直接斷網(wǎng)。(4) 密碼嗅探：現(xiàn)在的局域網(wǎng)密碼嗅探攻擊，無(wú)論在集線器(hub)組網(wǎng)環(huán)境下，還是基于交換機(jī)(switch)組網(wǎng)環(huán)境下都有現(xiàn)成的密碼嗅探工具；一些好工具可以將兩臺(tái)原先直接通信的ip地址通過(guò)本機(jī)轉(zhuǎn)接，以從中竊取密碼等數(shù)據(jù)；一些嗅探工具可以破壞局域網(wǎng)內(nèi)兩個(gè)ip地址的連接；可以監(jiān)聽(tīng)局域網(wǎng)內(nèi)tcpudp數(shù)據(jù)包，支持嗅探包括pop3、ftp、sm

39、tp、nntp、imap、telnet、http、irc協(xié)議中的密碼。(5) 郵件竊聽(tīng)：網(wǎng)上提供的一類工具可以自動(dòng)竊聽(tīng)瀏覽網(wǎng)頁(yè)、收信、發(fā)信甚至任何網(wǎng)絡(luò)活動(dòng)數(shù)據(jù)包中的郵件地址，更利害得是局域網(wǎng)中任何一臺(tái)計(jì)算機(jī)的網(wǎng)絡(luò)數(shù)據(jù)也能竊聽(tīng)的到，做到別人上網(wǎng)，自己收集郵件，并有自動(dòng)定時(shí)保存地址薄的功能。(6) 基于tcp的攻擊：目前黑客利用tcp弱點(diǎn)可以實(shí)施多種不同類型的攻擊，其中包括：新型的拒絕服務(wù)(dos)攻擊，即切斷單個(gè)網(wǎng)絡(luò)服務(wù)器的聯(lián)絡(luò)并使應(yīng)用軟件和網(wǎng)絡(luò)看上去很不穩(wěn)定。種類型的dos攻擊源比以前導(dǎo)致ebay和雅虎網(wǎng)站癱瘓的攻擊更為狡詐，因?yàn)樗皇峭ㄟ^(guò)向網(wǎng)絡(luò)傾斜大量信息而導(dǎo)致其超負(fù)荷而實(shí)現(xiàn)的；信息投毒攻擊

40、，即向準(zhǔn)備發(fā)布的數(shù)據(jù)流中插入偽信息，如發(fā)表虛假的新聞報(bào)道或欺騙性股價(jià)信息等；話路劫持，即接管用戶與計(jì)算機(jī)系統(tǒng)的連接，讓劫持者以用戶的身份進(jìn)行應(yīng)用軟件的操作，如操縱本應(yīng)該只允許用戶本人使用的財(cái)務(wù)軟件或互聯(lián)網(wǎng)基礎(chǔ)設(shè)施管理系統(tǒng)等。(7) 基于voip的攻擊 因?yàn)榍懊嫠岬膮f(xié)議缺陷，voip面臨的威脅主要是：拒絕式服務(wù)(dos)攻擊、非法存取、話費(fèi)欺騙或竊聽(tīng)等威脅。而voip的協(xié)議安全卻是無(wú)法忽略的。對(duì)voip部署不當(dāng)，互聯(lián)網(wǎng)電話會(huì)受到黑客和惡意代碼的攻擊，voip可能破壞網(wǎng)絡(luò)的安全措施。第五章 局域網(wǎng)安全防范措施5.1 軟件措施信息技術(shù)的發(fā)展，軟件自身的安全也引起廣大用戶的關(guān)注，軟件安全主要分為系統(tǒng)

41、軟件、應(yīng)用軟件。目前的系統(tǒng)軟件主要有windows操作系統(tǒng)、netware操作系統(tǒng)、unix操作系統(tǒng)、linux操作系統(tǒng)。我們都知道系統(tǒng)常有漏洞補(bǔ)丁，有些不發(fā)分子就是利用系統(tǒng)的漏洞進(jìn)行攻擊，盜竊信息，我們要經(jīng)常關(guān)注系統(tǒng)開(kāi)發(fā)公司發(fā)布的系統(tǒng)漏洞補(bǔ)丁，并打好漏洞補(bǔ)丁，定時(shí)對(duì)系統(tǒng)進(jìn)行升級(jí)。我個(gè)人建議購(gòu)買正版系統(tǒng)軟件使用。應(yīng)用軟件包括很多種類，我們?cè)谙螺d安裝時(shí)要從正當(dāng)軟件下載網(wǎng)站，或軟件開(kāi)發(fā)公司進(jìn)行下載安裝，不要到不明網(wǎng)站下載。另外，也要對(duì)應(yīng)用軟件進(jìn)行升級(jí)，打還軟件補(bǔ)丁。5.1.1 殺毒軟件的應(yīng)用（卡巴斯基）（1）從卡巴斯基官方網(wǎng)站下在最新版本的殺度軟件到個(gè)人電腦上。（2）卡巴斯基殺度軟件的安裝與安全配

42、置： 請(qǐng)雙擊打開(kāi)卡巴斯基安裝程序第一步：在卡巴斯基反病毒6.0個(gè)人版安裝向?qū)Ы缑鎲螕簟跋乱徊健钡诙剑洪喿x“標(biāo)準(zhǔn)最終用戶授權(quán)許可協(xié)議”并選擇“我接受許可協(xié)議條款”單擊“下一步”第三步：選擇安裝卡巴斯基反病毒6.0個(gè)人版的目標(biāo)文件夾并單擊“下一步”第四步：在選擇安裝類型界面選擇完整安裝并單擊“下一步”第五步：在準(zhǔn)備安裝界面點(diǎn)擊“安裝”第六步：安裝完成后單擊“下一步”第七步：進(jìn)入激活界面后選擇“使用激活碼激活”選項(xiàng)并單擊“下一步”第八步：輸入激活碼并填寫相關(guān)信息單擊“下一步”第九步：當(dāng)出現(xiàn)“授權(quán)許可文件應(yīng)用成功”提示后單擊“下一步”第十步：選擇相應(yīng)的保護(hù)方式（默認(rèn)是基本保護(hù)）并單擊“下一步”第十一

43、步：選擇更新模式并單擊“下一步”第十二步：設(shè)置掃描方法并單擊“下一步”第十三步：根據(jù)需求設(shè)置密碼保護(hù)（默認(rèn)不設(shè)置密碼保護(hù)）并單擊“下一步”第十四步：安裝完成單擊“完成”并重新啟動(dòng)計(jì)算機(jī)。5.2 硬件措施網(wǎng)絡(luò)安全在硬件上的措施就是是其網(wǎng)絡(luò)的物理安全，如設(shè)備安全、機(jī)房安全等。我們?cè)谫?gòu)買網(wǎng)絡(luò)硬件設(shè)備時(shí)，應(yīng)當(dāng)選擇性能可靠、技術(shù)成熟、質(zhì)量過(guò)硬、售后服務(wù)好的企業(yè)產(chǎn)品， 在選擇網(wǎng)絡(luò)設(shè)備時(shí)要檢查是否夾帶非法零件。選擇好的硬件也將為網(wǎng)絡(luò)安全起到一定的安全防范作用。5.3 安全技術(shù)網(wǎng)絡(luò)安全防護(hù)技術(shù)的出發(fā)點(diǎn)是首先劃分出明確的網(wǎng)絡(luò)邊界，然后通過(guò)在網(wǎng)絡(luò)邊界處對(duì)流經(jīng)的信息利用各種控制方法進(jìn)行檢查，只有符合規(guī)定的信息才可以

44、通過(guò)網(wǎng)絡(luò)邊界，從而達(dá)到阻止對(duì)網(wǎng)絡(luò)攻擊、入侵的目的。主要的網(wǎng)絡(luò)安全防護(hù)技術(shù)包括13：5.3.1 防火墻技術(shù)12防火墻是一種隔離控制技術(shù)，通過(guò)預(yù)定義的安全策略，對(duì)內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問(wèn)控制，常用的防火墻技術(shù)有包過(guò)濾技術(shù)、狀態(tài)檢測(cè)技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)。包過(guò)濾技術(shù)是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)，依據(jù)系統(tǒng)事先設(shè)定好的過(guò)濾邏輯，檢查數(shù)據(jù)據(jù)流中的每個(gè)數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、以及包所使用的端口確定是否允許該類數(shù)據(jù)包通過(guò)；狀態(tài)檢測(cè)技術(shù)采用的是一種基于連接的狀態(tài)檢測(cè)機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過(guò)規(guī)則表與狀態(tài)表的共同配合，對(duì)表中的各個(gè)連接狀態(tài)因素加以識(shí)別

45、，與傳統(tǒng)包過(guò)濾防火墻的靜態(tài)過(guò)濾規(guī)則表相比，它具有更好的靈活性和安全性；應(yīng)用網(wǎng)關(guān)技術(shù)在應(yīng)用層實(shí)現(xiàn)，它使用一個(gè)運(yùn)行特殊的“通信數(shù)據(jù)安全檢查”軟件的工作站來(lái)連接被保護(hù)網(wǎng)絡(luò)和其他網(wǎng)絡(luò)，其目的在于隱蔽被保護(hù)網(wǎng)絡(luò)的具體細(xì)節(jié)，保護(hù)其中的主機(jī)及其數(shù)據(jù)。5.3.2 vpn技術(shù)vpn（virtualprivatenetwork）即虛擬專用網(wǎng)絡(luò)，它是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)連接而成的邏輯上的虛擬子網(wǎng)。它可以幫助異地用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商與內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。為了保障信息的安全，vpn技術(shù)采用了鑒別、訪問(wèn)控制、保密性和完整性等措施，以防止信息被泄露、篡改和復(fù)制

46、。vpn技術(shù)可以在不同的傳輸協(xié)議層實(shí)現(xiàn)，如在應(yīng)用層有ssl協(xié)議，它廣泛應(yīng)用于web瀏覽程序和web服務(wù)器程序，提供對(duì)等的身份認(rèn)證和應(yīng)用數(shù)據(jù)的加密；在會(huì)話層有socks協(xié)議，在該協(xié)議中，客戶程序通過(guò)socks客戶端的1080端口透過(guò)防火墻發(fā)起連接，建立到socks服務(wù)器的vpn隧道；在網(wǎng)絡(luò)層有ipsec協(xié)議，它是一種由ietf設(shè)計(jì)的端到端的確保ip層通信安全的機(jī)制，對(duì)ip包進(jìn)行的ipsec處理有ah（authenticationheader）和esp（encapsulatingsecuritypayload）兩種方式。5.3.3網(wǎng)絡(luò)檢測(cè)技術(shù)人們意識(shí)到僅僅依靠防護(hù)技術(shù)是無(wú)法擋住所有攻擊，于是以檢測(cè)

47、為主要標(biāo)志的安全技術(shù)應(yīng)運(yùn)而生。這類技術(shù)的基本思想是通過(guò)監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)來(lái)識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，或者更廣泛意義上的信息系統(tǒng)的非法攻擊。包括檢測(cè)外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動(dòng)。主要的網(wǎng)絡(luò)安全檢測(cè)技術(shù)有：（1）入侵檢測(cè) 入侵檢測(cè)系統(tǒng)（intrusiondetectionsystem,ids）是用于檢測(cè)任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性行為的一種網(wǎng)絡(luò)安全技術(shù)。它通過(guò)監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)來(lái)識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，包括檢測(cè)外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動(dòng)。作為防火墻的有效補(bǔ)充，入侵檢

48、測(cè)技術(shù)能夠幫助系統(tǒng)對(duì)付已知和未知網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、攻擊識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。（2）入侵防御入侵防御系統(tǒng)（intrusionpreventionsystem,ips）則是一種主動(dòng)的、積極的入侵防范、阻止系統(tǒng)。ips是基于ids的、建立在ids發(fā)展的基礎(chǔ)上的新生網(wǎng)絡(luò)安全技術(shù)，ips的檢測(cè)功能類似于ids，防御功能類似于防火墻。ids是一種并聯(lián)在網(wǎng)絡(luò)上的設(shè)備，它只能被動(dòng)地檢測(cè)網(wǎng)絡(luò)遭到了何種攻擊，它的阻斷攻擊能力非常有限；而ips部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測(cè)到攻擊企圖后，會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷?？梢哉J(rèn)為ips就是

49、防火墻加上入侵檢測(cè)系統(tǒng)，但并不是說(shuō)ips可以代替防火墻或入侵檢測(cè)系統(tǒng)。防火墻是粒度比較粗的訪問(wèn)控制產(chǎn)品，它在基于tcp/ip協(xié)議的過(guò)濾方面表現(xiàn)出色，同時(shí)具備網(wǎng)絡(luò)地址轉(zhuǎn)換、服務(wù)代理、流量統(tǒng)計(jì)、vpn等功能。（3）漏洞掃描技術(shù)漏洞掃描技術(shù)是一項(xiàng)重要的主動(dòng)防范安全技術(shù)，它主要通過(guò)以下兩種方法來(lái)檢查目標(biāo)主機(jī)是否存在漏洞：在端口掃描后得知目標(biāo)主機(jī)開(kāi)啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫(kù)進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；通過(guò)模擬黑客的攻擊手法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測(cè)試弱勢(shì)口令等，若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。發(fā)現(xiàn)系統(tǒng)漏洞

50、的一種重要技術(shù)是蜜罐(honeypot)系統(tǒng)，它是故意讓人攻擊的目標(biāo)，引誘黑客前來(lái)攻擊。通過(guò)對(duì)蜜罐系統(tǒng)記錄的攻擊行為進(jìn)行分析，來(lái)發(fā)現(xiàn)攻擊者的攻擊方法及系統(tǒng)存在的漏洞。5.3.4 密碼學(xué)技術(shù)給數(shù)據(jù)加密是計(jì)算機(jī)網(wǎng)絡(luò)安全的一個(gè)重要部分。密碼編碼學(xué)和密碼分析學(xué)合起來(lái)稱為密碼學(xué)，密碼學(xué)是密碼體制的是設(shè)計(jì)學(xué)，主要是實(shí)現(xiàn)如何對(duì)信息進(jìn)行編碼，而密碼分析學(xué)則是在未知密鑰的情況下，如何從密文推演出明文或密鑰的技術(shù)。加密型網(wǎng)絡(luò)安全技術(shù)的基本思想是不依賴于網(wǎng)絡(luò)中數(shù)據(jù)通道的安全性來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全，而是通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的加密來(lái)保障網(wǎng)絡(luò)的安全可靠性。密碼技術(shù)可以隱藏和保護(hù)需要保密的信息，未經(jīng)授權(quán)者不允許提取信息。密碼系統(tǒng)

51、一般從下列3個(gè)方面進(jìn)行分類。（1）按由明文轉(zhuǎn)換為密文的操作分為：置換密碼和易換密碼；（2）按明文的處理方法分為：分組密碼和序列密碼；（3）按密鑰的使用個(gè)數(shù)分為：對(duì)稱密碼和非對(duì)稱密碼。5.3.5 認(rèn)證技術(shù)認(rèn)證又稱為識(shí)別或確認(rèn)。網(wǎng)絡(luò)安全系統(tǒng)的一個(gè)重要方面是防止他人對(duì)系統(tǒng)進(jìn)行主動(dòng)攻擊，如冒充、篡改等。認(rèn)證則是防止主動(dòng)攻擊的重要技術(shù)，是應(yīng)用系統(tǒng)保障安全的第一道防線，是用來(lái)證實(shí)對(duì)象是否有效的一種過(guò)程。認(rèn)證技術(shù)主要解決通信中雙方的身份認(rèn)可。目前，計(jì)算機(jī)認(rèn)證方式有口令、密鑰、標(biāo)識(shí)符、帳戶名等。一般來(lái)說(shuō)，用人的生理特征如聲音、指紋等認(rèn)證的安全性很高，但這種技術(shù)實(shí)現(xiàn)起來(lái)很困難，成本也很高，難加以普及。目前，認(rèn)證

52、技術(shù)重要有消息認(rèn)證和身份認(rèn)證。（1）消息認(rèn)證消息認(rèn)證主要是確認(rèn)被轉(zhuǎn)送的內(nèi)容是否真實(shí)，以及消息是否來(lái)自真正的發(fā)方，接受者是否準(zhǔn)確收到。消息認(rèn)證的內(nèi)容包括：消息來(lái)源是否正確；消息的內(nèi)容是否真實(shí)，可曾篡改；消息的序號(hào)和時(shí)間是否正確。（2）身份認(rèn)證身份認(rèn)證可分為兩類： 口令、帳號(hào)口令、帳號(hào)是最實(shí)用的一種身份認(rèn)證方法。口令是由數(shù)字、字母和一些特殊字符組成的字符串?？诹畹娜秉c(diǎn)是易被外部泄漏，還有竊聽(tīng)等。因此為確保口令的安全，應(yīng)采取一些措施。例如，口令應(yīng)當(dāng)定期改變，嚴(yán)格管理和執(zhí)行口令，長(zhǎng)度不易選擇太短，不要選擇容易被猜想到的口令（如生日、電話號(hào)碼等）個(gè)人特征個(gè)人特征包括有指紋、聲音、筆跡、血型等。5.3.6

53、 智能卡技術(shù) 智能卡是將集成電路芯片嵌到一張塑料基片上，集成電路芯片具有數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理和安全保密的特點(diǎn)。智能卡安全性較高，因?yàn)閷?duì)手難以改變或讀出卡中的數(shù)據(jù)。智能卡被廣泛應(yīng)用。如網(wǎng)絡(luò)的入網(wǎng)證、部門的出入證、銀行的信用卡等。5.4 局域網(wǎng)安全防范措施和策略在技術(shù)層面，可以采取以下一些防范措施：通信加密、網(wǎng)絡(luò)分段、劃分vlan、入侵檢測(cè)、漏洞掃描、安裝防火墻和殺毒軟件等。在重要和需要保護(hù)隱私的場(chǎng)合，優(yōu)先考慮通信加密。網(wǎng)絡(luò)本身就不是一種安全的信息傳輸通道，網(wǎng)絡(luò)上的任何信息搜是經(jīng)過(guò)重重節(jié)點(diǎn)分段傳送到目的地的。由于網(wǎng)絡(luò)信息的傳輸沒(méi)有固定路徑，且通過(guò)哪些節(jié)點(diǎn)難以查證，因此任何中介節(jié)點(diǎn)均可能攔截、讀取，甚至破壞和篡改封包的信息，所以應(yīng)該利用加密技術(shù)確保安全的信息傳輸。通過(guò)加密，可采取的防范措施：(1) 通