IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當前所在位置: 首頁網(wǎng)絡安全安全防護 → 通過巧妙設置確保局域網(wǎng)安全

通過巧妙設置確保局域網(wǎng)安全

時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(3)

  一個企業(yè)網(wǎng)的防病毒體系是建立在每個局域網(wǎng)的防病毒系統(tǒng)上的,應該根據(jù)每個局域網(wǎng)的防病毒要求,建立局域網(wǎng)防病毒控制系統(tǒng),分別設置有針對性的防病毒策略。計算機病毒形式及傳播途徑日趨多樣化,因此,大型企業(yè)網(wǎng)絡系統(tǒng)的防病毒工作已不再像單臺計算機病毒的檢測及清除那樣簡單,而需要建立多層次的、立體的病毒防護體系,而且要具備完善的管理系統(tǒng)來設置和維護對病毒的防護策略。

  如何設置才能確保內(nèi)網(wǎng)安全呢,通常可以從一下四個方面進行設置:

  劃分VLAN防止網(wǎng)絡偵聽

  運用VLAN(虛擬局域網(wǎng))技術,將以太網(wǎng)通信變?yōu)辄c到點通信,防止大部分基于網(wǎng)絡偵聽的入侵。 目前的VLAN技術主要有三種:基于交換機端口的VLAN、基于節(jié)點MAC地址的VLAN和基于應用協(xié)議的VLAN?;诙丝诘腣LAN雖然稍欠靈活,但卻比較成熟,在實際應用中效果顯著,廣受歡迎?;贛AC地址的VLAN為移動計算提供了可能性,但同時也潛藏著遭受MAC欺詐攻擊的隱患。

  在集中式網(wǎng)絡環(huán)境下,我們通常將中心的所有主機系統(tǒng)集中到一個VLAN里,在這個VLAN里不允許有任何用戶節(jié)點,從而較好地保護敏感的主機資源。在分布式網(wǎng)絡環(huán)境下,我們可以按機構或部門的設置來劃分VLAN。各部門內(nèi)部的所有服務器和用戶節(jié)點都在各自的VLAN內(nèi)。VLAN內(nèi)部的連接采用交換實現(xiàn),而VLAN與VLAN之間的連接則采用路由實現(xiàn)。目前,大多數(shù)的交換機(包括海關內(nèi)部普遍采用的DEC MultiSwitch 900)都支持RIP和OSPF這兩種國際標準的路由協(xié)議。如果有特殊需要,必須使用其他路由協(xié)議(如CISCO公司的EIGRP或支持DECnet的IS-IS),也可以用外接的多以太網(wǎng)口路由器來代替交換機,實現(xiàn)VLAN之間的路由功能。當然,這種情況下,路由轉(zhuǎn)發(fā)的效率會有所下降。

  安全設置局域網(wǎng)文件夾

  如今我們所使用的操作系統(tǒng)大多都為Windows XP,可是在安裝Windows XP時缺省項的共享都是"簡單共享",從而導致"開放"的、不安全的文件共享,我們需要進行如下操作來解除這種不安全的隱患:

  首先我們要取消默認的"簡單共享"。打開"我的電腦"依次單擊"工具→文件夾選項",在打開的對話框中選擇"查看"選項卡,取消"使用簡單共享(推薦)"的選中狀態(tài)。

  然后創(chuàng)建共享用戶。單擊"開始→設置→控制面板",打開"用戶賬戶",創(chuàng)建一個又密碼的用戶,假設用戶名為oldforman,需要共享資源的機器必須以該用戶共享資源。

  接下來設置要共享的目錄。假設共享目錄為NTFS分區(qū)上的目錄OLDFORMAN,并設置只有用戶oldforman可以共享該目錄下的資源。用鼠標右鍵單擊要共享的目錄OLDFORMAN,單擊"共享和安全",點擊"權限",單擊刪除按鈕將原來該目錄任何用戶(everyone)都可以共享的權限刪除。再單擊"添加"按鈕,依次單擊"高級→立即查找",選擇用戶oldforman,單擊確定添加用戶oldforman,并選擇用戶oldforman的共享權限。

  以后局域網(wǎng)中的計算機要想查看該共享文件夾中的內(nèi)容,只有輸入正確的用戶名和密碼才能查看或修改共享文件夾中的內(nèi)容了,如圖2。

  以交換式集線器代替共享式集線器

  對局域網(wǎng)的中心交換機進行網(wǎng)絡分段后,以太網(wǎng)偵聽的危險仍然存在。這是因為網(wǎng)絡最終用戶的接入往往是通過分支集線器而不是中心交換機,而使用最廣泛的分支集線器通常是共享式集線器。這樣,當用戶與主機進行數(shù)據(jù)通信時,兩臺機器之間的數(shù)據(jù)包(稱為單播包Unicast Packet)還是會被同一臺集線器上的其他用戶所偵聽。一種很危險的情況是:用戶TELNET到一臺主機上,由于TELNET程序本身缺乏加密功能,用戶所鍵入的每一個字符(包括用戶名、密碼等重要信息),都將被明文發(fā)送,這就給黑客提供了機會。

  因此,應該以交換式集線器代替共享式集線器,使單播包僅在兩個節(jié)點之間傳送,從而防止非法偵聽。當然,交換式集線器只能控制單播包而無法控制廣播包(Broadcast Packet)和多播包(Multicast Packet)。所幸的是,廣播包和多播包內(nèi)的關鍵信息,要遠遠少于單播包。

  不管是交換式集線器還是VLAN交換機,都是以交換技術為核心,它們在控制廣播、防止黑客上相當有效,但同時也給一些基于廣播原理的入侵監(jiān)控技術和協(xié)議分析技術帶來了麻煩。因此,如果局域網(wǎng)內(nèi)存在這樣的入侵監(jiān)控設備或協(xié)議分析設備,就必須選用特殊的帶有SPAN(Switch Port Analyzer)功能的交換機。這種交換機允許系統(tǒng)管理員將全部或某些交換端口的數(shù)據(jù)包映射到指定的端口上,提供給接在這一端口上的入侵監(jiān)控設備或協(xié)議分析設備。加強防范觀念 安全預防局域網(wǎng)病毒

  選擇一個功力高深的網(wǎng)絡版病毒"殺手"就至關重要了。一般而言,查殺是否徹底,界面是否友好、方便,能否實現(xiàn)遠程控制、集中管理是決定一個網(wǎng)絡殺毒軟件的三大要素。杜絕病毒,主觀能動性起到很重要的作用。

  病毒的蔓延,經(jīng)常是由于企業(yè)內(nèi)部員工對病毒的傳播方式不夠了解,病毒傳播的渠道有很多種,可通過網(wǎng)絡、物理介質(zhì)等。查殺病毒,首先要知道病毒到底是什么,它的危害是怎么樣的,知道了病毒危害性,提高了安全意識,杜絕毒瘤的戰(zhàn)役就已經(jīng)成功了一半。平時,企業(yè)要從加強安全意識著手,對日常工作中隱藏的病毒危害增加警覺性,如安裝一種大眾認可的網(wǎng)絡版殺毒軟件,定時更新病毒定義,對來歷不明的文件運行前進行查殺,每周查殺一次病毒,減少共享文件夾的數(shù)量,文件共享的時候盡量控制權限和增加密碼等,都可以很好地防止病毒在網(wǎng)絡中的傳播。

  后記

  盡管這些病毒的傳播原理很簡單,但這塊決非僅僅是技術問題,還應該教育用戶和企業(yè),讓它們采取適當?shù)拇胧?。例如,如果所有的Windows用戶都關閉了VB腳本功能,像庫爾尼科娃這樣的病毒就不可能傳播。只要用戶隨時小心警惕,不要打開值得懷疑的郵件,就可把病毒拒絕在外。

關鍵詞標簽:局域網(wǎng)安全

相關閱讀

文章評論
發(fā)表評論

熱門文章 火絨安全軟件開啟懸浮窗的方法-怎么限制和設置軟件網(wǎng)速 火絨安全軟件開啟懸浮窗的方法-怎么限制和設置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設置廣告攔截的方法 火絨安全軟件怎么攔截廣告-火絨設置廣告攔截的方法 網(wǎng)絡安全管理軟件-PCHunter使用教程 網(wǎng)絡安全管理軟件-PCHunter使用教程 騰訊QQ密碼防盜十大建議 騰訊QQ密碼防盜十大建議

相關下載

    人氣排行 火絨安全軟件開啟懸浮窗的方法-怎么限制和設置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設置廣告攔截的方法 網(wǎng)絡安全管理軟件-PCHunter使用教程 xp系統(tǒng)關閉445端口方法_ 教你如何關閉xp系統(tǒng)445端口 什么是IPS(入侵防御系統(tǒng)) 企業(yè)網(wǎng)絡安全事件應急響應方案 ARP協(xié)議的反向和代理 Windows Server 2008利用組策略的安全設置