局域網安全問題及對策_論文(共19頁)

1、畢業(yè)(b y)論文(lnwn)局域網安全問題(wnt)及對策摘 要隨著(su zhe)計算機網絡和互聯(lián)網的 HYPERLINK /fazhan/ 發(fā)展(fzhn),局域網安全越來越受到人們的重視和關注(gunzh)。無論是在局域網還是在廣域網中，都存在著 HYPERLINK /lixue/ 自然和人為等諸多因素的潛在威脅和網絡的脆弱性。故此，局域網的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網絡信息的保密性、完整性和可用性。為了確保信息的安全與暢通，研究局域網的安全以及防范措施已迫在眉睫。 關鍵詞： HYPERLINK /pc/ 計算機 HYPERLINK /network

2、/ 網絡 網絡安全 局域網安全目 錄 TOC o 1-3 h z u HYPERLINK l _Toc258701205 1 .緒論(xln)1 HYPERLINK l _Toc258701206 1.1計算機網絡的定義(dngy)1 HYPERLINK l _Toc258701207 1.2網絡安全定義(dngy)1 HYPERLINK l _Toc258701208 1.3局域網安全1 HYPERLINK l _Toc258701209 1.3.1來自互聯(lián)網的安全威脅1 HYPERLINK l _Toc258701210 1.3.2來自局域網內部的安全威脅1 HYPERLINK l _To

3、c258701211 1.4局域網當前形勢及面臨的問題1 HYPERLINK l _Toc258701212 2.常用局域網的攻擊方法2 HYPERLINK l _Toc258701213 2.1ARP欺騙2 HYPERLINK l _Toc258701214 2.1.1ARP協(xié)議2 HYPERLINK l _Toc258701215 2.1.2ARP欺騙原理3 HYPERLINK l _Toc258701216 2.1.3ARP病毒清除3 HYPERLINK l _Toc258701217 2.2網絡監(jiān)聽4 HYPERLINK l _Toc258701218 2.2.1網絡監(jiān)聽的定義4 HY

4、PERLINK l _Toc258701219 2.2.2網絡監(jiān)聽的基本原理4 HYPERLINK l _Toc258701220 2.2.3網絡監(jiān)聽的檢測4 HYPERLINK l _Toc258701221 2.2.4網絡監(jiān)聽的防范措施5 HYPERLINK l _Toc258701222 3.無線局域網安全威脅5 HYPERLINK l _Toc258701223 3.1非授權訪問5 HYPERLINK l _Toc258701224 3.2敏感信息泄露6 HYPERLINK l _Toc258701225 3.3WEB缺陷威脅6 HYPERLINK l _Toc258701226 3.

5、4無線局域網的安全措施6 HYPERLINK l _Toc258701227 3.4.1阻止非法用戶的接入6 HYPERLINK l _Toc258701228 3.4.2實行動態(tài)加密6 HYPERLINK l _Toc258701229 3.4.3數據的訪問控制7 HYPERLINK l _Toc258701230 4.計算機局域網病毒及防治7 HYPERLINK l _Toc258701231 4.1局域網病毒(bngd)7 HYPERLINK l _Toc258701232 4.2計算機局域網病毒的防治(fngzh)措施7 HYPERLINK l _Toc258701233 4.3清除(

6、qngch)網絡病毒8 HYPERLINK l _Toc258701234 5.局域網安全防范系統(tǒng)8 HYPERLINK l _Toc258701235 5.1防火墻系統(tǒng)8 HYPERLINK l _Toc258701236 5.1.1防火墻概述8 HYPERLINK l _Toc258701237 5.1.2防火墻的體系結構9 HYPERLINK l _Toc258701238 5.1.3防火墻的功能9 HYPERLINK l _Toc258701239 5.2入侵檢測系統(tǒng) PAGEREF _Toc258701239 h 10 HYPERLINK l _Toc258701240 5.2.1入

7、侵檢測系統(tǒng)概述 PAGEREF _Toc258701240 h 10 HYPERLINK l _Toc258701241 5.2.2入侵檢測原理 PAGEREF _Toc258701241 h 10 HYPERLINK l _Toc258701242 5.2.3局域網入侵檢測系統(tǒng)的構建方法 PAGEREF _Toc258701242 h 10 HYPERLINK l _Toc258701243 6.局域網安全防范策略 PAGEREF _Toc258701243 h 11 HYPERLINK l _Toc258701244 6.1劃分VLAN防止網絡偵聽 PAGEREF _Toc25870124

8、4 h 11 HYPERLINK l _Toc258701245 6.2網絡分段 PAGEREF _Toc258701245 h 12 HYPERLINK l _Toc258701246 6.3以交換式集線器代替共享式集線器 PAGEREF _Toc258701246 h 12 HYPERLINK l _Toc258701247 6.4實施IP/MAC綁定 PAGEREF _Toc258701247 h 12 HYPERLINK l _Toc258701248 總結 PAGEREF _Toc258701248 h 12 HYPERLINK l _Toc258701249 致 謝 PAGEREF

9、 _Toc258701249 h 13 HYPERLINK l _Toc258701250 參考文獻 PAGEREF _Toc258701250 h 141 .緒論(xln)1.1計算機網絡的定義(dngy) 計算機網絡,就是利用通信設備和線路將地理位置不同的、功能獨立(dl)的多個計算機系統(tǒng)互連起來,以功能完善的網絡軟件(即網絡通信協(xié)議、信息交換方式和網絡操作系統(tǒng)等)實現(xiàn)網絡中資源共享和信息傳遞的系統(tǒng)。計算機網絡由通信子網和資源子網兩部分構成。通信子網是計算機網絡中負責數據通信的部分；資源子網是計算機網絡中面向用戶的部分，負責全網絡面向應用的數據處理工作。就局域網而言，通信子網由網卡、線纜、

10、集線器、中繼器、網橋、路由器、交換機等設備和相關軟件組成。資源子網由連網的服務器、工作站、共享的打印機和其它設備及相關軟件所組成。 1.2網絡安全定義網絡安全是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網絡服務不中斷。網絡安全從其本質上來講就是網絡上的信息安全。1.3局域網安全局域網的安全主要包括物理安全與邏輯安全。物理安全主要指網絡硬件的維護、使用及管理等；邏輯安全是從軟件的角度提出的，主要指數據的保密性、完整性、可用性等。1.3.1來自互聯(lián)網的安全威脅局域網是與Inernet互連的。由于Internet的開放性

11、、國際性與自由性，局域網將面臨更加嚴重的安全威脅。如果局域網與外部網絡間沒有采取一定的安全防護措施，很容易遭到來自Internet黑客的各種攻擊。他們可以通過嗅探程序來探測、掃描網絡及操作系統(tǒng)存在的安全漏洞，如網絡IP地址、應用操作系統(tǒng)的類型、開放的TCP端口號、系統(tǒng)用來保存用戶名和口令等安全信息的關鍵文件等，并通過相應攻擊程序進行攻擊。他們還可以通過網絡監(jiān)聽等手段獲得內部網用戶的用戶名、口令等信息，進而假冒內部合法身份進行非法登錄，竊取內部網絡中重要信息。還能通過發(fā)送大量數據包對網絡服務器進行攻擊，使得服務器超負荷工作導致拒絕服務，甚至使系統(tǒng)癱瘓。1.3.2來自局域網內部的安全威脅內部管理人

12、員把內部網絡結構、管理員口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏；內部職工有的可能熟悉服務器、小程序、腳本和系統(tǒng)的弱點，利用網絡開些小玩笑，甚至搞破壞。如，泄漏至關重要的信息、錯誤地進入數據庫、刪除數據等，這些都將給網絡造成極大的安全威脅。1.4局域網當前形勢及面臨的問題 隨著局域網絡技術的發(fā)展和社會信息化進程的加快,現(xiàn)在人們的生活、工作、學習、娛樂和交往都已離不開計算機網絡?，F(xiàn)今，全球網民數量已接近7億，網絡已經成為生活離不開的工具，經濟、文化、軍事和社會活動都強烈地依賴于網絡。網絡環(huán)境的復雜性、多變性以及信息系統(tǒng)的脆弱性、開放性和易受攻擊性，決定了網絡安全威脅的客觀存在。盡管計算機

13、網絡為人們提供了巨大的方便，但是受技術和社會因素的各種影響，計算機網絡一直存在著多種安全缺陷。攻擊者經常利用這些缺陷，實施攻擊和入侵，給計算機網絡造成極大的損害網絡攻擊、病毒傳播、垃圾郵件等迅速增長，利用網絡進行盜竊、詐騙、敲詐勒索、竊密等案件逐年上升，嚴重影響了網絡的正常秩序，嚴重損害了網民的利益；網上色情、暴力等不良和有害信息的傳播，嚴重危害了青少年的身心健康。網絡系統(tǒng)的安全性和可靠性正在成為世界各國共同關注的焦點。 根據中國互聯(lián)網信息中心2006年初發(fā)布的統(tǒng)計報告顯示：我國互聯(lián)網網站近百萬家，上網用戶1億多，網民數和寬帶上網人數均居全球第二。同時，網絡安全風險也無處不在，各種網絡安全漏洞

14、大量存在和不斷被發(fā)現(xiàn)，計算機系統(tǒng)遭受病毒感染和破壞的情況相當嚴重，計算機病毒呈現(xiàn)出異?；钴S的態(tài)勢。面對網絡安全的嚴峻形勢，我國的網絡安全保障工作尚處于起步階段，基礎薄弱，水平不高，網絡安全系統(tǒng)在預測、反應、防范和恢復能力方面存在許多薄弱環(huán)節(jié)，安全防護能力不僅大大低于美國、俄羅斯和以色列等信息安全強國，而且(r qi)排在印度、韓國之后。在監(jiān)督管理方面缺乏依據和標準，監(jiān)管措施不到位，監(jiān)管體系尚待完善，網絡信息安全保障制度不健全、責任不落實、管理不到位。網絡信息安全法律法規(guī)不夠完善，關鍵技術和產品受制于人，網絡信息安全服務機構專業(yè)化程度不高，行為不規(guī)范，網絡安全技術與管理人才缺乏。面對網絡安全的嚴

15、峻形勢，如何建設高質量、高穩(wěn)定性、高可靠性的安全網絡成為通信行業(yè)(hngy)乃至整個社會發(fā)展所要面臨和解決的重大課題。2.常用(chn yn)局域網的攻擊方法2.1ARP欺騙2.1.1ARP協(xié)議ARP（AddressResolutionProtocol）是地址解析協(xié)議，是一種將IP地址轉化成物理地址的協(xié)議。ARP具體說來就是將網絡層（IP層，也就是相當于OSI的第三層）地址解析為數據連接層（MAC層，也就是相當于OSI的第二層）的MAC地址。ARP原理：某機器A要向主機B發(fā)送報文，會查詢本地的ARP緩存表，找到B的IP地址對應的MAC地址后，就會進行數據傳輸。如果未找到，則廣播A一個ARP請求

16、報文（攜帶主機A的IP地址IA物理地址PA），請求IP地址為IB的主機B回答物理地址PB。網上所有主機包括B都收到ARP請求，但只有主機B識別自己的IP地址，于是向A主機發(fā)回一個ARP響應報文。其中就包含有B的MAC地址，A接收到B的應答后，就會更新本地的ARP緩存。接著使用這個MAC地址發(fā)送數據（由網卡附加MAC地址）。因此，本地高速緩存的這個ARP表是本地網絡流通的基礎，而且這個緩存是動態(tài)的。假如我們有兩個網段、三臺主機、兩個網關、分別是：主機名IP地址MAC地址 網關101-01-01-01-01-01 主機A02-02-02-02-02-02 主機B03-03-03-03-03-03網

17、關204-04-04-04-04-04 主機C05-05-05-05-05-05假如主機A要與主機B通訊，它首先會通過網絡掩碼比對，確認出主機B是否在自己同一網段內，如果在它就會檢查自己的ARP緩存中是否有這個地址對應的MAC地址，如果沒有它就會向局域網的廣播地址發(fā)送ARP請求包，即目的MAC地址是全1的廣播詢問幀，0 xffffffffffffH02-02-02-02-02-02；如果B存在的話，必須作出應答，回答“B的MAC地址是”的單播應答幀，02-02-02-02-02-0203-03-03-03-03-03；A收到應答幀后，把“03-03-03-03-03-03動態(tài)”寫入ARP表。這

18、樣的話主機A就得到了主機B的MAC地址，并且它會把這個對應的關系存在自己的ARP緩存表中。之后主機A與主機B之間的通訊就依靠兩者緩存表里的MAC地址來通訊了，直到通訊停止后兩分鐘，這個對應關系才會被從表中刪除。如果是非局域網內部的通訊過程，假如主機A需要和主機C進行通訊，它首先(shuxin)會通過比對掩碼發(fā)現(xiàn)這個主機C的IP地址并不是自己同一個網段內的，因此需要通過網關來轉發(fā)，這樣的話它會檢查自己的ARP緩存表里是否有網關1()對應的MAC地址，如果沒有就通過ARP請求獲得，如果有就直接與網關通訊，然后再由網關1通過路由將數據包送到網關2，網關2收到這個數據包后發(fā)現(xiàn)是送給主機C（）的，它就會

19、檢查自己的ARP緩存（沒錯，網關一樣有自己的ARP緩存），看看里面是否有對應的MAC地址(dzh)，如果沒有就使用ARP協(xié)議獲得，如果有就是用該MAC地址將數據轉發(fā)給主機C。2.1.2ARP欺騙(qpin)原理在以太局域網內數據包傳輸依靠的是MAC地址，IP地址與MAC對應的關系依靠ARP表，每臺主機（包括網關）都有一個ARP緩存表。在正常情況下這個緩存表能夠有效的保證數據傳輸的一對一性，也就是說主機A與主機C之間的通訊只通過網關1和網關2，像主機B之類的是無法截獲A與C之間的通訊信息的。但是在ARP緩存表的實現(xiàn)機制中存在一個不完善的地方，當主機收到一個ARP的應答包后，它并不會去驗證自己是否

20、發(fā)送過這個ARP請求，而是直接將應答包里的MAC地址與IP對應的關系替換掉原有的ARP緩存表里的相應信息。這就導致主機B截取主機A與主機C之間的數據通信成為可能。首先主機B向主機A發(fā)送一個ARP應答包說的MAC地址是03-03-03-03-03-03，主機A收到這個包后并沒有去驗證包的真實性而是直接將自己ARP列表中的的MAC地址替換成03-03-03-03-03-03，同時主機B向網關1發(fā)送一個ARP響應包說的MAC是03-03-03-03-03-03，同樣網關1也沒有去驗證這個包的真實性就把自己ARP表中的的MAC地址替換成03-03-03-03-03-03。當主機A想要與主機C通訊時，它

21、直接把應該發(fā)送給網關1()的數據包發(fā)送到03-03-03-03-03-03這個MAC地址，也就是發(fā)給了主機B，主機B在收到這個包后經過修改再轉發(fā)給真正的網關1，當從主機C返回的數據包到達網關1后，網關1也使用自己ARP表中的MAC，將發(fā)往這個IP地址的數據發(fā)往03-03-03-03-03-03這個MAC地址也就是主機B，主機B在收到這個包后再轉發(fā)給主機A完成一次完整的數據通訊，這樣就成功的實現(xiàn)了一次ARP欺騙攻擊。因此簡單點說ARP欺騙的目的就是為了實現(xiàn)全交換環(huán)境下的數據監(jiān)聽與篡改。也就是說欺騙者必須同時對網關和主機進行欺騙。2.1.3ARP病毒清除 感染病毒后，需要立即斷開網絡，以免影響其他

22、電腦使用。重新啟動到DOS模式下，用殺毒軟件進行全面殺毒。臨時處理對策：步驟一、能上網情況下，輸入命令arpa，查看網關IP對應的正確MAC地址，將其記錄下來。如果已經不能上網，則運行一次命令arpd將arp緩存中的內容刪空，計算機可暫時恢復上網（攻擊如果不停止的話），一旦能上網就立即將網絡斷掉（禁用網卡或拔掉網線），再運行arpa。步驟二、如果已經有網關的正確MAC地址，在不能上網時，手工將網關IP和正確MAC綁定，可確保計算機不再(b zi)被攻擊影響。輸入命令：arps，網關IP網關MAC手工綁定在計算機關機重開機后就會失效，需要再綁定?？梢园言撁罘旁赼utoexec.bat中，每次開

23、機即自動運行。2.2網絡(wnglu)監(jiān)聽2.2.1網絡監(jiān)聽(jin tn)的定義眾所周知，電話可以進行監(jiān)聽，無線電通訊可以監(jiān)聽，而計算機網絡使用的數字信號在線路上傳輸時，同樣也可以監(jiān)聽。網絡監(jiān)聽也叫嗅探器，其英文名是Sniffer，即將網絡上傳輸的數據捕獲并進行分析的行為。網絡監(jiān)聽，在網絡安全上一直是一個比較敏感的話題，作為一種發(fā)展比較成熟的技術，監(jiān)聽在協(xié)助網絡管理員監(jiān)測網絡傳輸數據，排除網絡故障等方面具有不可替代的作用，因而一直備受網絡管理員的青睞。然而，在另一方面網絡監(jiān)聽也給網絡安全帶來了極大的隱患，許多的網絡入侵往往都伴隨著網絡監(jiān)聽行為，從而造成口令失竊，敏感數據被截獲等連鎖性安全事件

24、。2.2.2網絡監(jiān)聽的基本原理局域網中的數據是以廣播方式發(fā)送的，局域網中的每臺主機都時刻在監(jiān)聽網絡中傳輸的數據，主機中的網卡將監(jiān)聽到的數據幀中的MAC地址與自己的MAC地址進行比較，如果兩者相同就接收該幀，否則就丟掉該幀。如果把對網卡進行適當的設置和修改，將它設置為混雜模式，在這種狀態(tài)下它就能接收網絡中的每一個信息包。網絡監(jiān)聽就是依據這種原理來監(jiān)測網絡中流動的數據。2.2.3網絡監(jiān)聽的檢測 在本地計算機上進行檢測 （1）檢查網卡是否處于混雜模式?？梢岳靡恍┈F(xiàn)成的工具軟件來發(fā)現(xiàn)，例如：AntiSniff，ARP探測技術。也可以編寫一些程序來實現(xiàn)。在Linux下，有現(xiàn)成的函數，比較容易實現(xiàn)，而在

25、Windows平臺上，并沒有現(xiàn)成的函數來實現(xiàn)這個功能，要自己編寫程序來實現(xiàn)。可以利用一些現(xiàn)成的工具軟件來發(fā)現(xiàn)，例如：AntiSniff，ARP探測技術。也可以編寫一些程序來實現(xiàn)。在Linux下，有現(xiàn)成的函數，比較容易實現(xiàn)，而在Windows平臺上，并沒有現(xiàn)成的函數來實現(xiàn)這個功能，要自己編寫程序來實現(xiàn)。（2）搜索法。在本地主機上搜索所有運行的進程，就可以知道是否有人在進行網絡監(jiān)聽。在Windows系統(tǒng)下，按下Ctrl+Alt+Del可以得到任務列表，查看是否有監(jiān)聽程序在運行。如果有不熟悉的進程，或者通過跟另外一臺機器比較，看哪些進程是有可能是監(jiān)聽進程。在其它計算機上進行檢測。（1）觀察法。如果某

26、臺電腦沒有監(jiān)聽的話，無論是信息的傳送還是電腦對信息的響應時間等方面都是正常的，如果被監(jiān)聽的話，就會出現(xiàn)異常情況。我們可以通過觀察一些異常情況來判斷電腦是否有被監(jiān)聽。 網絡通訊掉包率是否反常地高。例如ping命令會顯示掉了百分幾的信息包。如果網絡中有人在監(jiān)聽，就會攔截每個信息包，從而導致信息包丟包率提高。網絡帶寬是否出現(xiàn)反常。如果某臺計算機長時間的占用了較大的帶寬，對外界的響應很慢，這臺計算機就有可能被監(jiān)聽。 機器性能是否下降。向網上發(fā)大量不存在的物理地址的包，而監(jiān)聽程序往往就會將這些包進行處理，這樣就會導致機器性能下降，可以用icmpechodelay來判斷和比較它。（2）PING法。這種檢測

27、原理基于以太網的數據(shj)鏈路層和TCP/IP網絡層的實現(xiàn)，是一種非常有效的測試方法。ping法的原理：如果一個(y )以太網的數據包的目的MAC地址不屬于本機，該包會在以太網的數據鏈路層上被拋棄，無法進入TCP/IP網絡層；進入TCP/IP網絡層的數據包，如果解析該包后，發(fā)現(xiàn)這是一個包含本機ICMP回應請示的TCP包(PING包)，則網絡層向該包的發(fā)送主機發(fā)送ICMP回應。 我們可以構造一個PING包，包含正確的IP地址(dzh)和錯誤的MAC地址，其中IP地址是可疑主機的IP地址，MAC地址是偽造的，這樣如果可疑主機的網卡工作在正常模式，則該包將在可疑主機的以太網的數據鏈路層上被丟棄，

28、TCP/IP網絡層接收不到數據因而也不會有什么反應。如果可疑主機的網卡工作在混雜模式，它就能接收錯誤的MAC地址，該非法包會被數據鏈路層接收而進入上層的TCP/IP網絡層，TCP/IP網絡層將對這個非法的PING包產生回應，從而暴露其工作模式。使用PING方法的具體步驟及結論如下：假設可疑主機的IP地址為1，MAC地址是00-E0-4C-3A-4B-A5，檢測者和可疑主機位于同一網段。 稍微修改可疑主機的MAC地址，假設改成00-E0-4C-3A-4B-A4。向可疑主機發(fā)送一個PING包，包含它的IP和改動后的MAC地址。沒有被監(jiān)聽的主機不能夠看到發(fā)送的數據包，因為正常的主機檢查這個數據包，比

29、較數據包的MAC地址與自己的MAC地址不相符，則丟棄這個數據包，不產生回應。如果看到回應，說明數據包沒有被丟棄，也就是說，可疑主機被監(jiān)聽了。（3）ARP法。除了使用PING進行監(jiān)測外，還可以利用ARP方式進行監(jiān)測的。這種模式使用ARP數據包替代了上述的ICMP數據包。向局域網內的主機發(fā)送非廣播方式的ARP包，如果局域網內的某個主機以自己的IP地址響應了這個ARP請求，那么就可以判斷它很可能就處于網絡監(jiān)聽模式了。（4）響應時間測試法。這種檢測已被證明是最有效的。它能夠發(fā)現(xiàn)網絡中處于監(jiān)聽模式的機器，而不管其操作系統(tǒng)是什么。非監(jiān)聽模式的機器的響應時間變化量會很小，而監(jiān)聽模式的機器的響應時間變化量則通

30、常會較大。 2.2.4網絡監(jiān)聽的防范措施 為了防止網絡上的主機被監(jiān)聽，有多種技術手段，可以歸納為以下三類。第一種是預防，監(jiān)聽行為要想發(fā)生，一個重要的前提條件就是網絡內部的一臺有漏洞的主機被攻破，只有利用被攻破的主機，才能進行監(jiān)聽，從而收集以網絡內重要的數據。因此，要預防網絡中的主機被攻破。這就要求我們養(yǎng)成良好的使用計算機的習慣，不隨意下載和使用來歷不明的軟件，及時給計算機打上補丁程序，安裝防火墻等措施，涉及到國家安全的部門還應該有防電輻射技術，干擾技術等等，防止數據被監(jiān)聽。 二是被動防御，主要是采取數據加密技術，數據加密是對付監(jiān)聽的最有效的辦法。網上的信息絕大多數都是以明文的形式傳輸，容易辨認

31、。一旦口令被截獲，入侵者就可以非常容易地登錄到另一臺主機。對在網絡上傳輸的信息進行加密后，監(jiān)聽器依然可以捕獲傳送的信息，但顯示的是亂碼。使用加密技術，不但可以防止非授權用戶的搭線竊聽和入網，而且也是對付惡意軟件的有效方法之一，但是它的缺點是速度問題。幾乎所有的加密技術都將導致網絡的延遲，加密技術越強，網絡速度就越慢。只有很重要的信息才采用加密技術進行保護。三是主動防御，主要是使用安全的拓撲結構和利用交換機劃分VLAN，這也是限制網絡監(jiān)聽的有效方法，這樣的監(jiān)聽行為只能發(fā)生在一個虛擬網中，最大限度地降低了監(jiān)聽的危害，但需要增加硬件設備的開支，實現(xiàn)起來要花費不少的錢。3.無線局域網安全(nqun)威

32、脅3.1非授權(shuqun)訪問無線網絡中每個AP覆蓋的范圍都形成了通向網絡的一個新的入口。所以，未授權實體可以從外部或內部進入網絡，瀏覽存放在網絡上的信息；另外，也可以利用該網絡作為攻擊第三方的出發(fā)點，對移動終端發(fā)動攻擊。而且(r qi)，IEEE802.11標準采用單向認證機制，只要求STA向AP進行認證，不要求AP向STA進行認證。入侵者可以通過這種協(xié)議上的缺陷對AP進行認證進行攻擊，向AP發(fā)送大量的認證請求幀，從而導致AP拒絕服務。3.2敏感信息泄露 WLAN物理層的信號是無線、全方位的空中傳播，開放傳輸使得其物理層的保密性無法保證。WLAN無線信號的覆蓋范圍一般都會超過實際需求，只

33、要在信號覆蓋范圍內入侵者就可以利用無線監(jiān)聽技術捕獲無線網絡的數據包，對網絡通信進行分析，從而獲取有用信息。目前竊聽已經成為無線局域網面臨的最大問題之一。 3.3WEB缺陷威脅有線等效保密WEP是IEEE802.11無線局域網標準的一部分，它的主要作用是為無線網絡上的信息提供和有線網絡同一等級的機密性。IEEE選擇在數據鏈路層用RC4算法加密來防止對網絡進行竊聽。WEP在每一個數據包中使用完整性校驗字段來保證數據在傳輸過程中不被竄改，它使用了CRC-32校驗。在WEP中明文通過和密鑰流進行異或產生密文，為了加密，WEP要求所有無線網絡連接共享一個密鑰。實際上，網絡只使用一個或幾個密鑰，也很少更換

34、。WEP算法根據密鑰和初始化向量IV產生密鑰流，確保后續(xù)的數據包用不同的密鑰流加密。但IV在一個相當短的時間內重用，使用24位的IV并不能滿足要求。一個24位的字段包含16777216個可能值,假設網絡流量是11M,傳輸2000字節(jié)的包，在7個小時左右,IV就會重用。CRC-32不是一個很適合WEP的完整性校驗,即使部分數據以及CRC-32校驗碼同時被修改也無法校驗出來。3.4無線局域網的安全措施 3.4.1阻止非法用戶的接入 （1）基于服務設置標識符(SSID)防止非法用戶接入 服務設置標識符SSID是用來標識一個網絡的名稱，以此來區(qū)分不同的網絡，最多可以有32個字符。無線工作站設置了不同的

35、SSID就可以進入不同網絡。無線工作站必須提供正確的SSID與無線訪問點AP的SSID相同，才能訪問AP；如果出示的SSID與AP的SSID不同，那么AP將拒絕它通過本服務區(qū)上網。因此可以認為SSID是一個簡單的口令，從而提供口令認證機制，阻止非法用戶的接入，保障無線局域網的安全。SSID通常由AP廣播出來，例如通過windowsXP自帶的掃描功能可以查看當前區(qū)域內的SSID。出于安全考慮，可禁止AP廣播其SSID號，這樣無線工作站端就必須主動提供正確的SSID號才能與AP進行關聯(lián)。（2）基于無線網卡物理地址過濾防止非法用戶接入 由于每個無線工作站的網卡都有惟一的物理地址，利用MAC地址阻止未

36、經授權的無限工作站接入。為AP設置基于MAC地址的AccessControl（訪問控制表），確保只有經過注冊的設備才能進入網絡。因此可以在AP中手工維護一組允許訪問的MAC地址列表，實現(xiàn)物理地址過濾。但是MAC地址在理論上可以偽造，因此這也是較低級別的授權認證。物理地址過濾屬于硬件認證，而不是用戶認證。這種方式要求AP中的MAC地址列表必需隨時更新，目前都是手工操作。如果用戶增加，則擴展能力很差，因此只適合于小型網絡規(guī)模。3.4.2實行動態(tài)(dngti)加密動態(tài)加密技術是基于對稱加密和非對稱加密的結合，能有效地保證網絡傳輸的安全。動態(tài)加密著眼于無線網絡架構中通信雙方本身，認為每個通信方都應承擔

37、起會話中網絡信息傳輸的安全責任。會話建立階段，身份驗證的安全需要非對稱加密以及對PKI的改進來防止非授權訪問，同時完成初始密鑰的動態(tài)部署和管理工作，會話建立后，大量的數據安全傳輸必須通過對稱加密方式，但該系統(tǒng)通過一種動態(tài)加密的模式，摒棄了現(xiàn)有機制下靜態(tài)加密的若干(rugn)缺陷，從而使通信雙方的每次“通信回合”都有安全保證。在一個通信回合中，雙方將使用相同的對稱加密密鑰，是每個通信方經過共同了解的信息計算而得到的，在通信回合之間，所使用的密鑰將實時改變，雖然與上次回合的密鑰有一定聯(lián)系，但外界無法推算出來。 3.4.3數據(shj)的訪問控制訪問控制的目標是防止任何資源（如計算資源、通信資源或信

38、息資源）進行非授權的訪問,所謂非授權訪問包括未經授權的使用、泄露、修改、銷毀以及發(fā)布指令等。用戶通過認證，只是完成了接入無線局域網的第一步，還要獲得授權，才能開始訪問權限范圍內的網絡資源，授權主要是通過訪問控制機制來實現(xiàn)。訪問控制也是一種安全機制，它通過訪問BSSID、MAC地址過濾、控制列表ACL等技術實現(xiàn)對用戶訪問網絡資源的限制。訪問控制可以基于下列屬性進行：源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、協(xié)議類型、用戶ID、用戶時長等。 4.計算機局域網病毒及防治雖然局域網采用的是專網形式，但因管理及使用方面等多種原因，計算機病毒也開始在局域網出現(xiàn)并迅速泛濫，給

39、網絡工程安全帶來一定的隱患，對數據安全造成極大威脅，妨礙了機器的正常運行，影響了工作的正常開展。如何防范計算機病毒侵入計算機局域網和確保網絡的安全己成為當前面臨的一個重要且緊迫的任務。4.1局域網病毒 局域網病毒的入侵主要來自蠕蟲病毒，同時集病毒、黑客、木馬等功能于一身綜合型病毒不斷涌現(xiàn)。計算機病毒表現(xiàn)出以下特點：傳播方式和途徑多樣化；病毒的欺騙性日益增強病毒的傳播速度極快；病毒的制作成本降低；病毒變種增多；病毒難以控制和根治；病毒傳播更具有不確定性和跳躍性；病毒版本自動在線升級和自我保護能力；病毒編制采用了集成方式等。局域網病毒的傳播速度快，傳播范圍廣，危害也大。局域網病毒還特別難以清除，只

40、要有一臺工作站的病毒未被徹底清除，整個網絡就有可能重新感染。當計算機感染上病毒出現(xiàn)異常時，人們首先想到的是用殺毒軟件來清除病毒。但令人擔擾的是殺毒工具軟件被廣泛使用的今天，病毒的種類和數量以及所造成的損失不是逐年減少，反而是逐年增加。這表明殺毒工具軟件作為病毒防范的最主要工具，已顯露出重大缺陷對病毒的防范始終滯后于病毒的出現(xiàn)。如何加強局域網病毒防護是保障網絡信息安全的關鍵。 4.2計算機局域網病毒的防治(fngzh)措施 計算機局域網中最主要的軟硬件就是服務器和工作站，所以防治(fngzh)計算機網絡病毒應該首先考慮這兩個部分，另外要加強各級人員的管理教育及各項制度的督促落實。（1）基于工作站

41、的防治技術。局域網中的每個工作站就像是計算機網絡的大門，只有把好這道大門，才能有效防止病毒的侵入。工作站防治病毒的方法有三種：一、是軟件防治，即定期不定期地用反病毒軟件檢測工作站的病毒感染情況。二、是在工作站上插防病毒卡，防病毒卡可以達到實時檢測的目的，但防病毒卡的升級不方便，從實際應用的效果看，對工作站的運行速度有一定的影響。三、是在網絡接口卡上安裝(nzhung)防病病毒芯片它將工作站存取控制與病毒防護合二為一，可以更加實時有效地保護工作站及通向服務器的橋梁。但這種方法同樣也存在芯片上的軟件版本升級不便的問題，而且對網絡的傳輸速度也會產生一定的影響。上述三種方法都是防病毒的有效手段，應根據

42、網絡的規(guī)模、數據傳輸負荷等具體情況確定使用哪一種方法。 （2）基于服務器的防治技術。服務器是網絡的核心，是網絡的支柱，服務器一旦被病毒感染，便無法啟動，整個網絡都將陷入癱瘓狀態(tài)，造成的損失是災難性的。難以挽回和無法估量的，目前市場上基于服務器的病毒防治采用NLM方法，它以NLM模塊方式進行程序設計，以服務器為基礎，提供實時掃描病毒的能力，從而保證服務器不被病毒感染，消除了病毒傳播的路徑，從根本上杜絕了病毒在網絡上的蔓延。（3）加強計算機網絡的管理。計算機局域網病毒的防治，單純依靠技術手段是不可能十分有效地杜絕和防止其蔓延的，只有把技術手段和管理機制緊密結合起來，才有可能從根本上保護網絡系統(tǒng)的安

43、全運行。一、從硬件設備及軟件系統(tǒng)的使用、維護、管理、服務等各個環(huán)節(jié)制定出嚴格的規(guī)章制度，對網絡系統(tǒng)的管理員及用戶加強法制教育和職業(yè)道德教育，不損人，不犯法，規(guī)范工作程序和操作規(guī)程，嚴懲從事非法活動的集體和個人。二、加強各級網絡管理人員的專業(yè)技能學習，提高工作能力，并能及時檢查網絡系統(tǒng)中出現(xiàn)病毒的癥狀。匯報出現(xiàn)的新問題、新情況，做到及時發(fā)現(xiàn)問題解決問題，同時在網絡工作站上經常做好病毒檢測的工作，把好網絡的第一道大門。4.3清除網絡病毒 一旦在局域網上發(fā)現(xiàn)病毒，應盡快加以清除，以防網絡病毒的擴散給整個系統(tǒng)造成更大的損失，具體過程為: （1）立即停止使用受感染的電腦，并停止電腦與網絡的聯(lián)接,因為病毒

44、會隨時發(fā)作，繼續(xù)使用受感染的電腦，只會加速該病毒的擴散,用broadcast命令通知包括系統(tǒng)管理員在內的所有用戶退網,關閉文件服務器。（2）用干凈的系統(tǒng)盤啟動系統(tǒng)管理員工作站，并立即清除本機工作站中含有的病毒。 （3）用干凈的系統(tǒng)盤啟動文件服務器，系統(tǒng)管理員登錄后，使用disablelongin禁止其他用戶登錄。 （4）用防病毒軟件掃描服務器上所有卷的文件，恢復或刪除被感染的文件，重新安裝被刪除的文件。 （5）若沒有最新的備份文件，可嘗試使用殺毒軟件把病毒清除，對在已染毒網絡上存取過的軟盤進行消毒。 （6）確信網絡病毒已全部徹底清除后，重新啟動網絡及各工作站。 5.局域網安全防范(fngfn)

45、系統(tǒng)5.1防火墻系統(tǒng)(xtng)5.1.1防火墻概述(i sh)防火墻是一種用來增強內部網絡安全性的系統(tǒng)，它將網絡隔離為內部網和外部網，從某種程度上來說，防火墻是位于內部網和外部網之間的橋梁和檢查站，它一般由一臺和多臺計算機構成，它對內部網和外部網的數據流量進行分析、檢測、管理和控制，通過對數據的篩選和過濾，來防止未授權的訪問進出內部計算機網，從而達到保護內部網資源和信息的目的。 防火墻是指設置在不同網絡（如可信任的企業(yè)內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網絡的信息流，且本身具

46、有較強的抗攻擊能力。它是提供信息安全服務，實現(xiàn)網絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內部網和Internet之間的任何活動，保證了內部網絡的安全。5.1.2防火墻的體系結構雙重宿主主機體系結構雙重宿主主機體系結構圍繞雙重宿主主機構筑。雙重宿主主機至少有兩個網絡接口。這樣的主機可以充當與這些接口相連的網絡之間的路由器；它能夠從一個網絡到另外一個網絡發(fā)送IP數據包。然而雙重宿主主機的防火墻體系結構禁止這種發(fā)送。因此IP數據包并不是從一個網絡（如外部網絡）直接發(fā)送到另一個網絡（如內部網絡）。外部網絡能與雙重宿主主機通信，內部網絡也能與雙重宿主

47、主機通信。但是外部網絡與內部網絡不能直接通信，它們之間的通信必須經過雙重宿主主機的過濾和控制。 被屏蔽主機體系結構 雙重宿主主機體系結構防火墻沒有使用路由器。而被屏蔽主機體系結構防火墻則使用一個路由器把內部網絡和外部網絡隔離開，如圖4所示。在這種體系結構中，主要的安全由數據包過濾提供（例如，數據包過濾用于防止人們繞過代理服務器直接相連）。這種體系結構涉及到堡壘主機。堡壘主機是因特網上的主機能連接到的唯一的內部網絡上的系統(tǒng)。任何外部的系統(tǒng)要訪問內部的系統(tǒng)或服務都必須先連接到這臺主機。因此堡壘主機要保持更高等級的主機安全。數據包過濾容許堡壘主機開放可允許的連接（什么是可允許連接將由你的站點的特殊的

48、安全策略決定）到外部世界。在屏蔽的路由器中數據包過濾配置可以按下列方案之一執(zhí)行：(1)允許其它的內部主機為了某些服務開放到Internet上的主機連接（允許那些經由數據包過濾的服務）；(2)不允許來自內部主機的所有連接（強迫那些主機經由堡壘主機使用代理服務）。被屏蔽子網體系結構 被屏蔽子網體系結構添加額外的安全層到被屏蔽主機體系結構，即通過添加周邊網絡更進一步的把內部網絡和外部網絡隔離開。被屏蔽子網體系結構的最簡單的形式為，兩個屏蔽路由器，每一個都連接到周邊網。一個位于周邊網與內部網絡之間，另一個位于周邊網與外部網絡之間。這樣就在內部網絡與外部網絡之間形成了一個“隔離帶”。為了侵入用這種體系結

49、構構筑的內部網絡，侵襲者必須通過兩個路由器。即使侵襲者侵入堡壘主機，他將仍然必須通過內部路由器。 5.1.3防火墻的功能 數據包過濾技術 數據包過慮技術是在網絡中的適當(shdng)位置對數據包實施有選擇的通過的技術.選擇好依據系統(tǒng)內設置的過濾規(guī)則后,只有滿足過濾規(guī)則的數據包才被轉發(fā)至相應的網絡接口，而其余數據包則從數據流中被丟棄。數據包過濾技術是防火墻中最常用的技術。對于一個危險的網絡，用這種方法可以阻塞某些主機和網絡連入內部網絡，也可限制內部人員對一些站點的訪問。包過濾型防火墻工作在OSI參考模型的網絡層和傳輸層,它根據數據包頭源地址,目的地址,端口號和協(xié)議類型等標志確定是否允許通過,只有

50、滿足過濾條件的數據包才被轉發(fā)到相應目的地,其余數據包則被數據流中阻擋丟棄。網絡地址轉換(zhunhun)技術網絡地址轉換是一種用于把IP地址轉換成臨時的外部的、注冊的IP的地址標準,用戶必須要為網絡中每一臺機器(j q)取得注冊的IP地址7。在內部網絡通過安全網卡訪問外部網絡時,系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口與外部連接,這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時,它并不知道內部網絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問7。防火墻根據預先定義好的映射規(guī)則來判斷這個訪問是否安全和接受與否。網絡地址轉換過程對于用戶來說是透明的,

51、不需要用戶進行設置,用戶只要進行常規(guī)操作即可。 代理技術 代理技術是在應用層實現(xiàn)防火墻功能,代理服務器執(zhí)行內部網絡向外部網絡申請時的中轉連接作用。代理偵聽網絡內部客戶的服務請求,當一個連接到來時,首先進行身份驗證,并根據安全策略決定是否中轉連接。當決定轉發(fā)時,代理服務器上的客戶進程向真正的服務器發(fā)出請求,服務器返回代理服務器轉發(fā)客戶機的數據。 另一種情況是,外部網通過代理訪問內部網,當外部網絡節(jié)點提出服務請求時,代理服務器首先對該用戶身份進行驗證。若為合法用戶,則把該請求轉發(fā)給真正的某個內部網絡的主機。而在整個服務過程中,應用代理一直監(jiān)控著用戶的操作,一旦用戶進行非法操作,就可以進行干涉,并對

52、每一個操作進行記錄。若為不合法用語,則拒絕訪問。 全狀態(tài)檢測技術全狀態(tài)檢測防火墻在包過濾的同時，檢測數據包之間的關聯(lián)性，數據包中動態(tài)變化的狀態(tài)碼。它有一個檢測引擎，在網關上執(zhí)行網絡安全策略。監(jiān)測引擎采用抽取有關數據的方法對網絡通信的各層實施監(jiān)督測，抽取狀態(tài)信息，并動態(tài)地保存起來，作為以后執(zhí)行安全策略的參考。當用戶訪問請求到達網關是操作系統(tǒng)前，狀態(tài)監(jiān)測器要抽取有關數據進行分析，結合網絡配置和安全規(guī)定作出接納、拒絕、身份認證、報警或給該通信加密處理動作。5.2入侵檢測系統(tǒng) 5.2.1入侵檢測系統(tǒng)概述 入侵檢測是指通過對行為、安全日志或審計數據或其它網絡上可以獲得的信息進行操作，檢測到對系統(tǒng)的闖入或

53、闖入的企圖。入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異?，F(xiàn)象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)。5.2.2入侵檢測原理 入侵檢測跟其他檢測技術有同樣的原理。從一組數據中，檢測出符合某一特點的數據。攻擊者進行攻擊的時候會留下痕跡，這些痕跡和系統(tǒng)正常運行的時候產生的數據混在一起。入侵檢測系統(tǒng)的任務是從這些混合的數據中找出是否有入侵的痕跡，并給出相關的提示和警告。 入侵檢測的第一步是信息收集，收集內容包括系統(tǒng)(xtng)、網絡、數據及用戶活動的狀態(tài)和行為。由放置在不同網段的傳感器或不同

54、主機的代理來收集信息，包括系統(tǒng)和網絡日志文件、網絡流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。第二步是信息分析，收集到的有關系統(tǒng)、網絡(wnglu)、數據及用戶活動的狀態(tài)和行為等信息，被送到檢測引擎，檢測引擎駐留在傳感器中，一般通過三種技術手段進行分析：模式匹配、統(tǒng)計分析和完整性分析。當檢測到某種誤用模式時，產生一個告警并發(fā)送給控制臺。 第三步是結果處理，控制臺按照告警產生預先定義的響應采取相應措施，可以是重新配置路由器或防火墻、終止進程、切斷(qi dun)連接、改變文件屬性，也可以只是簡單的告警。5.2.3局域網入侵檢測系統(tǒng)的構建方法 根據CIDF規(guī)范，從功能上將IDS劃分為四個基本部

55、分：數據采集子系統(tǒng)、數據分析子系統(tǒng)、控制臺子系統(tǒng)、數據庫管理子系統(tǒng)。具體實現(xiàn)起來，一般都將數據采集子系統(tǒng)和數據分析子系統(tǒng)在Linux或Unix平臺上實現(xiàn)，稱之為數據采集分析中心；將控制臺子系統(tǒng)在WindowsNT或2000上實現(xiàn)，數據庫管理子系統(tǒng)基于Access或其他功能更強大的數據庫如SQL等，多跟控制臺子系統(tǒng)結合在一起，稱之為控制管理中心。構建一個基本的IDS,具體需考慮以下幾個方面的內容。 首先，數據采集機制是實現(xiàn)IDS的基礎，數據采集子系統(tǒng)位于IDS的最底層，其主要目的是從網絡環(huán)境中獲取事件，并向其他部分提供事件。這就需要使用網絡監(jiān)聽來實現(xiàn)審計數據的獲取，可以通過對網卡工作模式的設置為

56、“混雜”模式實現(xiàn)對某一段網絡上所有數據包的捕獲。然后，需要構建并配置探測器，實現(xiàn)數據采集功能。應根據自己網絡的具體情況，選用合適的軟件及硬件設備，如果網絡數據流量很小，用一般的PC機安裝Linux即可，如果所監(jiān)控的網絡流量非常大，則需要用一臺性能較高的機器；在服務器上開出一個日志分區(qū)，用于采集數據的存儲；接著應進行有關軟件的安裝與配置，至此系統(tǒng)已經能夠收集到網絡數據流了。其次，應建立數據分析模塊。數據分析模塊相當于IDS的大腦，它必須具備高度的“智慧”和“判斷能力”,所以，在設計此模塊之前，需要對各種網絡協(xié)議、系統(tǒng)漏洞、攻擊手法、可疑行為等有一個很清晰、深入地研究，然后制訂相應的安全規(guī)則庫和安

57、全策略，再分別建立濫用檢測模型和異常檢測模型，讓機器模擬自己的分析過程，識別確知特征的攻擊和異常行為，最后將分析結果形成報警消息，發(fā)送給控制管理中心。設計數據分析模塊的工作量浩大，需要不斷地更新、升級、完善。在這里需要特別注意3個問題。應優(yōu)化檢測模型和算法的設計，確保系統(tǒng)的執(zhí)行效率；安全規(guī)則的制訂要充分考慮包容性和可擴展性，以提高系統(tǒng)的伸縮性；報警消息要遵循特定的標準格式，增強其共享與互操作能力，切忌隨意制訂消息格式的不規(guī)范做法。第三，需要構建控制臺子系統(tǒng)?？刂婆_子系統(tǒng)負責向網絡管理員匯報各種網絡違規(guī)行為，并由管理員對一些惡意行為采取行動（如阻斷、跟蹤等）?？刂婆_子系統(tǒng)的主要任務有：管理數據采

58、集分析中心，以友好、便于查詢的方式顯示數據采集分析中心發(fā)送過來的警報消息；根據安全策略進行一系列的響應動作，以阻止非法行為，確保網絡的安全?？刂婆_子系統(tǒng)的設計重點是：警報信息查詢、探測器管理、規(guī)則管理及用戶管理。第四，需要構建數據庫管理子系統(tǒng)。一個好的入侵檢測系統(tǒng)不僅僅應當為管理員提供實時、豐富的警報信息，還應詳細地記錄現(xiàn)場數據，以便于日后需要取證時重建某些網絡事件。數據庫管理子系統(tǒng)的前端程序通常與控制臺子系統(tǒng)集成在一起，用Access或其他數據庫存儲警報信息和其他數據。第五，完成綜合調試。以上幾步完成之后，一個IDS的最基本框架已被實現(xiàn)。但要使這個IDS順利地運轉起來，還需要保持各個部分之間

59、安全、順暢地通信和交互，這就是綜合調試工作所要解決的問題，主要包括要實現(xiàn)數據采集分析中心和控制管理中心之間的雙向通信及保證通信的安全性，最好對通信數據流進行加密操作，以防止被竊聽或篡改。同時，控制管理中心的控制臺子系統(tǒng)和數據庫子系統(tǒng)之間也有大量的交互操作，如警報信息查詢、網絡事件重建等。經過綜合調試后，一個基本的IDS就構建完成了，但是此時還不能放松警惕，因為在以后的應用中要不斷地對它進行維護，特別是其檢測能力的提高；同時還要注意與防火墻等其它系統(tǒng)安全方面的軟件相配合，以期從整體性能上提高局域網的安全能力。6.局域網安全(nqun)防范策略一個網絡的防病毒體系是建立在每個局域網的防病毒系統(tǒng)上的，應該根據每個局域網的防病毒要求，建立局域網防病毒控制系統(tǒng)，分別(fnbi)設置有針對性的防病毒策略。6.1劃分(hu fn)VLAN防止網絡偵聽運用VLAN（虛擬局域網）技術，將以太網