毕业论文-关于局域网的安全与维护17963.doc

毕 业 论 文关于局域网的安全与维护 重庆电子工程职业学院通信工程系二一年四月摘 要人们生活在发展的世界中，越来越多的产品的出现，标志着人们对信息的需要在不断增加。在这个“网络时代”，随着科学技术的进步和经济的迅速发展，网络时代的一个明显特征就是网络技术的广泛应用。从世界范围的全球互联网到几台电脑之间的局域网络。网络的发展使得资源得到更有效的传播和利用，但与此同时，网络安全问题也日益突出。不论是外部网还是内部网的网络都会受到安全的问题。网络攻击是危害网络安全的一大威胁。随着计算机技术的飞速发展，网络攻击技术理论和攻击工具均有了新的发展，伴随网络攻击事件层出不穷，因此通过对网络技术方向的分析与归纳，采取相应的安全措施减少被攻击的可能性具有很强的实用意义。本文讲述的是网络当中局域网的安全及维护，主要是从局域网安全概论、局域网安全结构、局域网安全分类、局域网所面临的危害、局域网安全技术、局域网安全防范措施等方面内容。关键字：局域网、安全技术、防范措施、安全分类contents summarypeople life world in development in, more and more of product of emergence, marking people need information at continuously increment. at this network ages, along with science technique of progress and economy of quick development, network ages of an obvious the characteristic be a network technique of extensive application. the bureau area that is from the world internet of world scope to several of set computer network. the development of network make the resources get more valid of dissemination and make use of, but at the same time, network safety the problem be also outstanding day by day. in spite of is the network of the net of a net still an inner part in the exterior will be subjected to safety of problem. network attack is endanger network safety of a big threat. along with calculator technique of fly soon development, network attack technique theories and attack the tool all had new of development, chaperonage network attack the affairs pile up one after another, so pass to the network technique direction of analysis with induce, adopt correspond of safety measure decrease quilt attack of the possibility have very strong practical meaning.what this text relate is network in the middle bureau area net of safety and maintenance, main from the bureau area net safety general outline, bureau area net safety structure, the bureau area net safety classification, bureau area the net face of endanger, bureau area net safety technique, bureau area net safety guard against measure etc. contents.key word: bureau area net, safety technique, guard against measure, safety classification目 录第一章 概论 61.1 局域网概述61.1.1 局域网的定义61.1.2 局域网的基本部件61.2 局域网的特点61.3 局域网的功能71.4 网络安全的概念8第二章 局域网体系结构及协议 82.1 局域网体系结构92.1.1 物理层92.1.2 数据链路层 102.2 局域网协议 102.3 常见的几种局域网类型 102.3.1传统以太网112.3.2高速局域网112.3.3虚拟局域网112.3.4无线局域网12第三章 局域网安全分类123.1 局域网安全现状 133.2 物理安全 133.3 网络安全 133.3.1非授权访问133.3.2对信息完整性的攻击133.3.3拒绝服务攻击143.4 系统安全 143.5 应用安全 14第四章 局域网安全危险分析164.1欺骗性的软件使数据安全性降低 164.2 服务器区域没有进行独立防护 174.3 计算机病毒及恶意代码的威胁 174.4 局域网用户安全意识不强 174.5 ip地址冲突184.6 局域网的信息安全面临的威胁18第五章 局域网安全防范措施 205.1 软件措施 205.2 硬件措施 265.3 安全技术 265.3.1防火墙技术265.3.2 vpn技术265.3.3网络检测技术275.3.4密码学技术285.3.5认证技术285.3.6智能卡技术295.4 局域网安全防范的综合措施和策略295.5 管理层面的网络安全防范策略30第六章 局域网维护316.1 硬件维护 316.1.1网卡安装与维护316.1.2网络检查与维护326.1.3双绞线的标准使用326.2 软件维护 336.2.1服务器软件的维护336.2.2资料备份33第七章 参考文献34第一章 概论1.1 局域网概述1976年，美国xerox公司palo alto研究中心利用夏威夷大学aloha无线电网络系统原理成功开发了以太网(ethernet)，使之成为第一个共享总线式局域网。1980年美dec公司、intel公司和xerox公司联合公布了局域网dix标准，即以太规范，使局域网的典型代表以太网进入规范阶段。 局域网的安全是内部网络安全的关键，如何保证局域网的安全性成为网络安全研究的一个重点。局域网（local area network, lan）是在小范围内将各种数据通信设备互连起来，进行数据通信和资源共享的计算机网络。局域网的地理范围一般在0.01-20km之间。局域网连网非常灵活，两台计算机就可以连成一个对等局域网。1.1.1 局域网的定义局域网的定义从技术方面来讲，是由特定类型的传输介质(如电缆、光缆、无线介质)和网络适配器(也称为网卡)互联在一起的计算机系统。局域网的定义从功能方面来讲，是一组计算机和其它设备以允许用户互相通信和共享计算机资源的方式互联在一起的系统1.1.2 局域网的基本部件要构成局域网必须有其基本部件：第一部件是计算机，分为服务器和用户工作站；第二部件是介质，可以使同轴电缆，双绞线，光缆或无线介质；第三部件是网卡，也称为网络适配器；第四部件是将计算机与传输介质相连的各种连接设备，如db-15连接器、rj-45连接器等。最后有了局域网的硬件环境，还需要控制和管理局域网正常运行的软件，即网络操作系统。1.2 局域网的特点2局域网络是在高性能微型计算机发展到一顶水平并广泛使用之后才逐渐发展起来的，在这样的网络系统中，用户可以通过个人计算机访问共享数据库和其他的共用资源进行数据处理。一台计算机发生故障时，其他工作站不受影响，因此整个系统的可靠性有了提高。局域网的主要有以下特点：（1） 由于网络覆盖的地理范围不大，一般在0.110km之内，通常属于一个具体单位所有，而不属于公共网络，网络系统的费用不高。（2） 数据传输率较高,通常为10m1000mbit/s,目前正向着更高的速度发展。（3） 通信质量好，误码率低。（4） 支持标准化协议、标准终端接口等。（5） 根据用户需求和网络性能，可选择不同的通信介质。（6） 网络可扩充性好，系统可靠性高。当网络中某一站发生故障时不致影响整个系统的运行。（7） 组建网络周期短，成本低，见效快。1.3 局域网的功能2局域网的功能主要是提供资源共享和网络之间的相互通信。其功能如下：（1）网络硬件资源共享连入局域网中的用户可以共享网络中的各种硬件资源。如：打印机、扫描仪等（2）网络软件资源共享在局域网络中的各个工作站均可各种数据资料、文件信息和各种应用软件。可以避免重复投资和重复工作，建立分布式数据库来实现集中、分析、处理，网络用户可共享这些数据。（3）信息发布局域网中的用户可通过web服务器以有声有色、图文并存的多媒体方式向局域网中发布各种有用信息。（4）电子邮件它是局域网中的一个重要功能，使网络用户可以接受、转发和处理来自局域网内或世界各地网络的电子邮件，真正实现办公自动化，提高办公效率。（5）提高计算机系统的可靠性局域网中计算机或站点互为后备，提高了整个系统的可靠性，特别是在 自动控制、实时数据处理等领域中更显出其优越性。1.4网络安全的概念国际标准化组织将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容，其逻辑安全的内容可理解为我们常说的信息安全，是指对信息的保密性、完整性和可用性的保护，而网络安全性的含义是信息安全的引申，即网络安全是对网络信息保密性、完整性和可用性的保护。计算机网络安全的具体含义会随着使用者的变化而变化，使用者不同，对网络安全的认识和要求也就不同。从普通使用者的角度来说，可能仅仅希望个人隐私或机密信息在网络上传输时受到保护，避免被窃听、篡改和伪造；而网络提供商除了关心这些网络信息安全外，还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏，以及在网络出现异常时如何恢复网络通信，保持网络通信的连续性。 从本质上来讲，网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战14。第二章 局域网体系结构及协议2.1局域网体系结构5局域网大多采用共享信道，当通信局限于一个局域网内部时，任意两个节点之间都有唯一的链路，即网络层的功能可由链路层来完成，所以局域网中不单独设立网络层。在ieee 802标准中，只定义了物理层和数据链路层两层。ieee 802提出的局域网参考模型如图2一l所示。2.1.1.物理层物理层用来建立物理连接是必须的。 图 2-1 ieee 802 局域网模型物理层的主要功能有：信号的编码与译码，进行同步用的前同步码的产生与去除，比特的传输与接收。物理层也要实现电气、机械、功能和规程四大特性的匹配。物理层提供发送和接收信号的能力包括对宽带的频带分配和对基带的信号调制。2.1.2.数据链路层3数据链路层把数据转换成帧来传输，并实现帧的顺序控制、差错控制及流量控制等功能，使不可靠的链路变成可靠的链路。数据链路层分为mac子层和llc子层。mac子层的主要功能是将上层交下来的数据封装成帧进行发送，接收时进行相反的过程：首先将帧拆卸，然后实现和维护mac协议，接着进行比特差错控制，最后寻址。mac子层支持数据链路功能，并为llc子层提供服务。llc子层向高层提供一个或多个逻辑接口(具有帧发和帧收能)。llc子层的主要功能是建立和释放数据链路层的逻辑连接、提供与高层的接口、差错控制、给帧加上序号。局域网对llc子层是透明的。2.2 局域网协议美国电气及电子工程学会（ieee）于1980年2月开始研究并制定局域网标准。ieee 802标准主要包括局域网体系结构、网络互连和网络管理、各种介质访问控制协议以及局域网标准。目前局域网标准包括以下内容2。（1） ieee 802.1：系统结构和网际互连；（2） ieee 802.2：逻辑链路控制（llc）；（3） ieee 802.3：csma/cd总线介质访问控制方法和物理层技术规范；（4） ieee 802.4：token bus令牌总线介质访问控制方法和物理层技术规范；（5） ieee 802.5：token ring令牌环介质访问控制方法和物理技术规范；（6） ieee 802.6 城域网（man）访问控制方法和物理层技术规范；（7） ieee 802.7 宽频带传输标准；（8） ieee 802.8 光导纤维传输标准；（9） ieee 802.9 综合业务数字网（isdn）技术；（10） ieee 802.10 局域网安全技术；（11） ieee 802.11 无线局域网标准；（12） ieee 802.12 100mbit vg-anylan访问控制方法和物理层规范。随着计算机网络技术的不断发展，ieee 802的标准也将会进一步完善。2.3常见的几种局域网类型4随着计算机网络与通信技术的发展，局域网技术也在不断地更新换代。我们常见的局域网类型有以下几种：2.3.1 传统以太网传统以太网分类网络拓扑结构传输介质介质访问控制协议信息编码传输速率最大网段长度标准以太网总线型50的粗同轴电缆rg-11或rg-8csma/cd曼切斯特码10mbit/s500m细缆以太网总线行50的粗同轴电缆rg-58a/u10mbit/s185m双绞线以太网星型非屏蔽双绞线,线直径46mm,阻抗10010-100 mbit/s100m2.3.2 高速局域网随着个人计算机的普及和广泛使用,无论是单位还是居民小区,上网用户是越来越多,网络规模是越来越大,网上信息交通拥挤现象是越来越严重.以校园网为例,各办公区域、各院部办公室都有自己的局域网,使用初期,基本上可以满足使用要求,但要满足现代化信息处理和资源共享的需要,必须将校园内的各个院部的局域网互连起来.在整个校园内构成一个相当规模的校园网。对于低速局域网来说，这是不能满足需求的，为此，就要建一个高速的校园网局域网。为了解决网络信息传输中的问题，克服网络规模与网络性能之间的矛盾，提高网络速率，加大网络带宽。近年来，网络技术研究人员取得了显著的成效，目前成熟的网络技术有交换式局域网、快速以太网、高速局域网、fddi网、吉比特以太网和atm网络。2.3.3 虚拟局域网vlan（virtual local area network）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。采用交换式局域网技术组建的局域网，可以运用vlan(虚拟网络)技术来加强内部网络管理。vlan技术的核心是网络分段，根据不同的部门及不同的安全机制，将网络进行隔离，可以达到限制用户非法访问的目的。在集中式网络环境下，通常将中心的所有主机系统集中到一个vlan里，在这个vlan里不允许有任何用户节点，从而较好地保护敏感的主机资源。vlan内部的连接采用交换实现，而vlan与vlan之间的连接则采用路由实现。2.3.4 无线局域网 wlan是wireless lan的简称，即无线局域网。所谓无线网络，顾名思义就是利用无线电波作为传输媒介而构成的信息网络，由于wlan产品不需要铺设通信电缆，可以灵活机动地应付各种网络环境的设置变化。wian技术为用户提供更好的移动性、灵活性和扩展性，在难以重新布线的区域提供快速而经济有效的局域网接入，无线网桥可用于为远程站点和用户提供局域网接入。但是，当用户对wlan的期望日益升高时，其安全问题随着应用的深入表露无遗，并成为制约wlan发展的主要瓶颈1。第三章 局域网安全分类在信息时代，信息可以帮助团体或个人，使他们受益，同样，信息也可以用来对他们构成威胁，造成破坏。因此网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。 3.1 局域网安全现状局域网络已有了相对完善的安全防御体系，防火墙、漏洞扫描、防病毒、ids等网关级别、网络边界方面的防御，重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。相反来自网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施，安全威胁较大。未经授权的网络设备或用户就可能通过到局域网的网络设备自动进入网络，形成极大的安全隐患。目前，局域网络安全隐患是利用了网络系统本身存在的安全弱点，而系统在使用和管理过程的疏漏增加了安全问题的严重程度。93.2 物理安全局域网物理安全主要包括因为服务器、网络设备硬件、线路和信息存储设备等物理介质造成的信息泄漏、丢失或服务中断，产生原因主要包括以下几种：（1） 电磁辐射与塔线窃听；（2） 盗用；（3） 偷窃；（4） 硬件故障；（5） 超负荷；（6） 火灾及自然灾害。在局域网内，由于网络的物理跨度不大，只要制定健全的安全管理制度，做好备份，并且加强网络设备和机房的管理，这些风险是可以避免的。3.3 网络安全10局域网连网后，就要面临新的危害，安装了网络软件，也将引入新的安全危害。由于大部分软件协议没有进行安全性的设计；同时许多网络服务器程序需要用超级用户特权来执行，这又造成诸多安全问题。网络安全问题主要与如下情况：3.3.1 非授权访问（1）假冒用户（2）假冒主机（3）ip盗用（4）ip诈骗3.3.2 对信息完整性的攻击攻击者通过改变网络中信息流的流向或次序，或修改、重发甚至删除某些重要信息，使被攻击者受骗，做出对攻击者有益的响应；或恶意增加大量无用信息，干扰合法用户的正常使用。3.3.3 拒绝服务攻击通过对网上的服务实体进行连续干扰，或使其忙于执行非服务性操作，短时间内大量消耗内存、cpu或硬盘资源，使系统繁忙以致瘫痪，无法为正常拥护提供服务，称为拒绝服务攻击（dos）。常见的攻击如ping to deat 、邮件炸弹攻击和半连接攻击。3.4 系统安全系统安全问题是指服务器或主机的操作系统本身的安全，如系统中用户帐号和口令设置、文件和目录存取权限设置、系统安全管理设置，以及服务程序使用管理。在网络服务中，网络操作系统起着非常重要的组织作用，所以操作系统的安全关系到网络的整体性能。为了使操作系统达到更好的保护状态，应该更多的关注系统的漏洞，升级系统文件，为系统安装补丁程序等。主要问题有以下几种：（1）系统本身安全性不足。（2）未授权的存取。（3）越权使用。（4）保证文件系统的完整性。另外，由于tcp/ip协议本身的不安全因素，导致网络安全防不胜防。对操作系统安全而言，应该注意以下几个方面6： (1)为操作系统选择一款优秀的杀毒软件和防火墙系统。(2)设置操作系统管理员账号和密码，并且要保证密码足强壮。(3)对系统进行分角色管理，严格控制系统用户。 (4)定期进行系统扫描，及时安装系统补丁程序。 (5)对系统进行备份，定期进行磁盘扫描，检测系统是否出现异常。 (6)可以在系统上安装外壳软件或蜜罐系统进行反跟踪。3.5 应用安全应用安全问题通常是指主机上所安装的应用软件的安全问题以及使用人员的人为因素造成的安全问题。例如：有的web服务器的http就有安全漏洞；在使用自己编写的应用程序时，可能因为程序员对系统安全漏洞认识不足，设计与开发中对安全问题重视不够，造成的本身安全问题。另外，如网上的不可靠站点下载未经严格验证的应用软件会带入一些木马、病毒，甚至打开匿名邮件都可能被计算机病毒感染。使用人员不要进一些不良网站，不明网站；自己不要有意在电脑上、主机上安装非法软件，如盗号软件、黑客攻击软件等。使用人员在使用时，要严格按照使用操作程序进行。局域网管理人员也要具有一定的网络管理安全管理意识。3.5.1网络安全管理意识8系统的安全威胁大部分来自人为的操作失误和故意破坏，因此必须在管理上加强安全意识：提高对机房的环境及检测报警系统的要求，注意工程的配套设计及工程质量控制；加强机房的防盗及操作人员的安全意识培训，避免设备被盗或从终端被入侵。建议在网络中对业务汇聚分流路由器和城域内网络设备本身实现一定的安全考虑：对设备本身的安全保护建议作如下考虑:1）用户口令的认证，本地认证或radius, tacacs2）用户级别的划分，将可进入到设备的管理用户分为多个级别，对不同级别的用户具有不通的访问权限。3）设置log记录，对网络设备的任何有效配置和改动均需要相应的记录。对于用户口令安全方面的考虑：建议采用集中管理的方式，在电信网管中心配置访问控制器，所有设备的用户名、口令、权限控制都统一管理，避免因分散式管理带来的安全漏洞和管理的复杂性。在用户的资格认证方面，有四种常用的认证方式，分别是：1）固定用户名/口令；2）时效用户名/口令；3）一次性口令；4）令牌卡/软令牌。这四种方式中，在资格认证的可靠性方面，以第一种最低，第四种最高，在使用的方便性方面，则以第四种最低，第一种最高。可见安全和易用是一对矛盾体，要获得较高的安全性，就需要牺牲一些易于使用性。通常我们采用安全性较高的令牌卡或软令牌方式，对管理用户，特别是高级管理用户进行严格的资格认证，保证系统的安全性。在资格认证上，为防止他人非法盗用、破坏口令，除采用高可靠性的令牌卡方式外，还可以设置拨入者在输入n次口令仍失败后帐户失效，并及时向系统管理员通知。 第四章 局域网安全危险分析局域网（lan）是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑，因此局域网内信息的传输速率比较高，同时局域网采用的技术比较简单，安全措施较少，同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类15：4.1欺骗性的软件使数据安全性降低由于局域网很大的一部分用处是资源共享，而正是由于共享资源的“数据开放性”，导致数据信息容易被篡改和删除，数据安全性较低。例如“网络钓鱼攻击”，钓鱼工具是通过大量发送声称来自于一些知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息：如用户名、口令、账号id、atm pin码或信用卡详细信息等的一种攻击方式。最常用的手法是冒充一些真正的网站来骗取用户的敏感的数据。以往此类攻击的冒名的多是大型或著名的网站，但由于大型网站反应比较迅速，而且所提供的安全功能不断增强，网络钓鱼已越来越多地把目光对准了较小的网站。同时由于用户缺乏数据备份等数据安全方面的知识和手段，因此会造成经常性的信息丢失等现象发生。4.2 服务器区域没有进行独立防护局域网内计算机的数据快速、便捷的传递，造就了病毒感染的直接性和快速性，如果局域网中服务器区域不进行独立保护，其中一台电脑感染病毒，并且通过服务器进行信息传递，就会感染服务器，这样局域网中任何一台通过服务器信息传递的电脑，就有可能会感染病毒。虽然在网络出口有防火墙阻断对外来攻击，但无法抵挡来自局域网内部的攻击。4.3 计算机病毒及恶意代码的威胁由于网络用户不及时安装防病毒软件和操作系统补丁，或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击，正是利用了用户的这个弱点。寄生软件可以修改磁盘上现有的软件，在自己寄生的文件中注入新的代码。最近几年，随着犯罪软件（crime ware）汹涌而至，寄生软件已退居幕后，成为犯罪软件的助手。2007年，两种软件的结合推动旧有寄生软件变种增长3倍之多。2008年，预计犯罪软件社区对寄生软件的兴趣将继续增长，寄生软件的总量预计将增长20%4.4 局域网用户安全意识不强许多用户使用移动存储设备来进行数据的传递，经常将外部数据不经过必要的安全检查通过移动存储设备带入内部局域网，同时将内部数据带出局域网，这给木马、蠕虫等病毒的进入提供了方便同时增加了数据泄密的可能性。另外一机两用甚至多用情况普遍，笔记本电脑在内外网之间平凡切换使用，许多用户将在internet网上使用过的笔记本电脑在未经许可的情况下擅自接入内部局域网络使用，造成病毒的传入和信息的泄密7。4.5 ip地址冲突局域网用户在同一个网段内，经常造成ip地址冲突，造成部分计算机无法上网。对于局域网来讲，此类ip地址冲突的问题会经常出现，用户规模越大，查找工作就越困难，所以网络管理员必须加以解决。正是由于局域网内应用上这些独特的特点，造成局域网内的病毒快速传递，数据安全性低，网内电脑相互感染，病毒屡杀不尽，数据经常丢失。4.6 局域网的信息安全面临的威胁(1) udp 攻击:udp 攻击的原理是使两个以上的系统之间产生巨大的udp数据包。首先使这两种udp服务都产生输出，然后让这两种udp服务(例如chargen服务和echo服务)之间互相通信，是一方的输出成为另一方的输入。这样会形成很大的数据流量。当多个系统之间互相产生udp数据包时，最终将导致整个个网络的瘫痪。经典的攻击工具如tfn2k、udp flood 这样的工具网上随处可见的，使用起来也非常简单。(2) 网络即时通信窃听：msn是目前使用最广泛的一种聊天工具，然而随着“msn侦察兵”的监控软件在网络上出现后，msn聊天记录就在局域网内成了公开的秘密。任何人只要下载了这种软件，就可以监控同一局域网内的所有用户的聊天记录。qq同样存在被窃听的可能，据新浪网上的一篇关于qicq存在安全隐患的文章称，在对于qicq认证的分析过程中发现了一个严重的安全脆弱性隐患，导致黑客可以简单的通过网络数据抓包，破解整个局域网内的qicq密码。分析发现，qicq在登录过程中，尽管没有密码被子直接传送的过程，整个会话过程密码始终在客户本地和服务端保留。但由于在登陆成功后，服务器返回的一个可以反向解码的加密字符成为了最薄弱的安全环节。在局域网内，如js采用协议分析软件，再加上arp欺骗配合，侦听某个网段内msn，qq聊天内容是一件很轻松的事情。(3) arp 欺骗存在两种情况：一种是欺骗主机作为“中间人”，被欺骗 主机的数据都经过它中转一次，这样欺骗主机可以窃取到被它欺骗的主机之间的通讯数据，另一种让欺骗主机直接断网。(4) 密码嗅探：现在的局域网密码嗅探攻击，无论在集线器(hub)组网环境下，还是基于交换机(switch)组网环境下都有现成的密码嗅探工具；一些好工具可以将两台原先直接通信的ip地址通过本机转接，以从中窃取密码等数据；一些嗅探工具可以破坏局域网内两个ip地址的连接；可以监听局域网内tcpudp数据包，支持嗅探包括pop3、ftp、smtp、nntp、imap、telnet、http、irc协议中的密码。(5) 邮件窃听：网上提供的一类工具可以自动窃听浏览网页、收信、发信甚至任何网络活动数据包中的邮件地址，更利害得是局域网中任何一台计算机的网络数据也能窃听的到，做到别人上网，自己收集邮件，并有自动定时保存地址薄的功能。(6) 基于tcp的攻击：目前黑客利用tcp弱点可以实施多种不同类型的攻击，其中包括：新型的拒绝服务(dos)攻击，即切断单个网络服务器的联络并使应用软件和网络看上去很不稳定。种类型的dos攻击源比以前导致ebay和雅虎网站瘫痪的攻击更为狡诈，因为他不是通过向网络倾斜大量信息而导致其超负荷而实现的；信息投毒攻击，即向准备发布的数据流中插入伪信息，如发表虚假的新闻报道或欺骗性股价信息等；话路劫持，即接管用户与计算机系统的连接，让劫持者以用户的身份进行应用软件的操作，如操纵本应该只允许用户本人使用的财务软件或互联网基础设施管理系统等。(7) 基于voip的攻击 因为前面所提的协议缺陷，voip面临的威胁主要是：拒绝式服务(dos)攻击、非法存取、话费欺骗或窃听等威胁。而voip的协议安全却是无法忽略的。对voip部署不当，互联网电话会受到黑客和恶意代码的攻击，voip可能破坏网络的安全措施。第五章 局域网安全防范措施5.1 软件措施信息技术的发展，软件自身的安全也引起广大用户的关注，软件安全主要分为系统软件、应用软件。目前的系统软件主要有windows操作系统、netware操作系统、unix操作系统、linux操作系统。我们都知道系统常有漏洞补丁，有些不发分子就是利用系统的漏洞进行攻击，盗窃信息，我们要经常关注系统开发公司发布的系统漏洞补丁，并打好漏洞补丁，定时对系统进行升级。我个人建议购买正版系统软件使用。应用软件包括很多种类，我们在下载安装时要从正当软件下载网站，或软件开发公司进行下载安装，不要到不明网站下载。另外，也要对应用软件进行升级，打还软件补丁。5.1.1 杀毒软件的应用（卡巴斯基）（1）从卡巴斯基官方网站下在最新版本的杀度软件到个人电脑上。（2）卡巴斯基杀度软件的安装与安全配置： 请双击打开卡巴斯基安装程序第一步：在卡巴斯基反病毒6.0个人版安装向导界面单击“下一步”第二步：阅读“标准最终用户授权许可协议”并选择“我接受许可协议条款”单击“下一步”第三步：选择安装卡巴斯基反病毒6.0个人版的目标文件夹并单击“下一步”第四步：在选择安装类型界面选择完整安装并单击“下一步”第五步：在准备安装界面点击“安装”第六步：安装完成后单击“下一步”第七步：进入激活界面后选择“使用激活码激活”选项并单击“下一步”第八步：输入激活码并填写相关信息单击“下一步”第九步：当出现“授权许可文件应用成功”提示后单击“下一步”第十步：选择相应的保护方式（默认是基本保护）并单击“下一步”第十一步：选择更新模式并单击“下一步”第十二步：设置扫描方法并单击“下一步”第十三步：根据需求设置密码保护（默认不设置密码保护）并单击“下一步”第十四步：安装完成单击“完成”并重新启动计算机。5.2 硬件措施网络安全在硬件上的措施就是是其网络的物理安全，如设备安全、机房安全等。我们在购买网络硬件设备时，应当选择性能可靠、技术成熟、质量过硬、售后服务好的企业产品， 在选择网络设备时要检查是否夹带非法零件。选择好的硬件也将为网络安全起到一定的安全防范作用。5.3 安全技术网络安全防护技术的出发点是首先划分出明确的网络边界，然后通过在网络边界处对流经的信息利用各种控制方法进行检查，只有符合规定的信息才可以通过网络边界，从而达到阻止对网络攻击、入侵的目的。主要的网络安全防护技术包括13：5.3.1 防火墙技术12防火墙是一种隔离控制技术，通过预定义的安全策略，对内外网通信强制实施访问控制，常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤逻辑，检查数据据流中的每个数据包，根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过；状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别，与传统包过滤防火墙的静态过滤规则表相比，它具有更好的灵活性和安全性；应用网关技术在应用层实现，它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络，其目的在于隐蔽被保护网络的具体细节，保护其中的主机及其数据。5.3.2 vpn技术vpn（virtualprivatenetwork）即虚拟专用网络，它是将物理分布在不同地点的网络通过公用骨干网连接而成的逻辑上的虚拟子网。它可以帮助异地用户、公司分支机构、商业伙伴及供应商与内部网建立可信的安全连接，并保证数据的安全传输。为了保障信息的安全，vpn技术采用了鉴别、访问控制、保密性和完整性等措施，以防止信息被泄露、篡改和复制。vpn技术可以在不同的传输协议层实现，如在应用层有ssl协议，它广泛应用于web浏览程序和web服务器程序，提供对等的身份认证和应用数据的加密；在会话层有socks协议，在该协议中，客户程序通过socks客户端的1080端口透过防火墙发起连接，建立到socks服务器的vpn隧道；在网络层有ipsec协议，它是一种由ietf设计的端到端的确保ip层通信安全的机制，对ip包进行的ipsec处理有ah（authenticationheader）和esp（encapsulatingsecuritypayload）两种方式。5.3.3网络检测技术人们意识到仅仅依靠防护技术是无法挡住所有攻击，于是以检测为主要标志的安全技术应运而生。这类技术的基本思想是通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统，或者更广泛意义上的信息系统的非法攻击。包括检测外界非法入侵者的恶意攻击或试探，以及内部合法用户的超越使用权限的非法活动。主要的网络安全检测技术有：（1）入侵检测 入侵检测系统（intrusiondetectionsystem,ids）是用于检测任何损害或企图损害系统的保密性、完整性或可用性行为的一种网络安全技术。它通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统，包括检测外界非法入侵者的恶意攻击或试探，以及内部合法用户的超越使用权限的非法活动。作为防火墙的有效补充，入侵检测技术能够帮助系统对付已知和未知网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。（2）入侵防御入侵防御系统（intrusionpreventionsystem,ips）则是一种主动的、积极的入侵防范、阻止系统。ips是基于ids的、建立在ids发展的基础上的新生网络安全技术，ips的检测功能类似于ids，防御功能类似于防火墙。ids是一种并联在网络上的设备，它只能被动地检测网络遭到了何种攻击，它的阻断攻击能力非常有限；而ips部署在网络的进出口处，当它检测到攻击企图后，会自动地将攻击包丢掉或采取措施将攻击源阻断。可以认为ips就是防火墙加上入侵检测系统，但并不是说ips可以代替防火墙或入侵检测系统。防火墙是粒度比较粗的访问控制产品，它在基于tcp/ip协议的过滤方面表现出色，同时具备网络地址转换、服务代理、流量统计、vpn等功能。（3）漏洞扫描技术漏洞扫描技术是一项重要的主动防范安全技术，它主要通过以下两种方法来检查目标主机是否存在漏洞：在端口扫描后得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在；通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等，若模拟攻击成功，则表明目标主机系统存在安全漏洞。发现系统漏洞的一种重要技术是蜜罐(honeypot)系统，它是故意让人攻击的目标，引诱黑客前来攻击。通过对蜜罐系统记录的攻击行为进行分析，来发现攻击者的攻击方法及系统存在的漏洞。5.3.4 密码学技术给数据加密是计算机网络安全的一个重要部分。密码编码学和密码分析学合起来称为密码学，密码学是密码体制的是设计学，主要是实现如何对信息进行编码，而密码分析学则是在未知密钥的情况下，如何从密文推演出明文或密钥的技术。加密型网络安全技术的基本思想是不依赖于网络中数据通道的安全性来实现网络系统的安全，而是通过对网络数据的加密来保障网络的安全可靠性。密码技术可以隐藏和保护需要保密的信息，未经授权者不允许提取信息。密码系统一般从下列3个方面进行分类。（1）按由明文转换为密文的操作分为：置换密码和易换密码；（2）按明文的处理方法分为：分组密码和序列密码；（3）按密钥的使用个数分为：对称密码和非对称密码。5.3.5 认证技术认证又称为识别或确认。网络安全系统的一个重要方面是防止他人对系统进行主动攻击，如冒充、篡改等。认证则是防止主动攻击的重要技术，是应用系统保障安全的第一道防线，是用来证实对象是否有效的一种过程。认证技术主要解决通信中双方的身份认可。目前，计算机认证方式有口令、密钥、标识符、帐户名等。一般来说，用人的生理特征如声音、指纹等认证的安全性很高，但这种技术实现起来很困难，成本也很高，难加以普及。目前，认证技术重要有消息认证和身份认证。（1）消息认证消息认证主要是确认被转送的内容是否真实，以及消息是否来自真正的发方，接受者是否准确收到。消息认证的内容包括：消息来源是否正确；消息的内容是否真实，可曾篡改；消息的序号和时间是否正确。（2）身份认证身份认证可分为两类： 口令、帐号口令、帐号是最实用的一种身份认证方法。口令是由数字、字母和一些特殊字符组成的字符串。口令的缺点是易被外部泄漏，还有窃听等。因此为确保口令的安全，应采取一些措施。例如，口令应当定期改变，严格管理和执行口令，长度不易选择太短，不要选择容易被猜想到的口令（如生日、电话号码等）个人特征个人特征包括有指纹、声音、笔迹、血型等。5.3.6 智能卡技术 智能卡是将集成电路芯片嵌到一张塑料基片上，集成电路芯片具有数据存储、数据处理和安全保密的特点。智能卡安全性较高，因为对手难以改变或读出卡中的数据。智能卡被广泛应用。如网络的入网证、部门的出入证、银行的信用卡等。5.4 局域网安全防范措施和策略在技术层面，可以采取以下一些防范措施：通信加密、网络分段、划分vlan、入侵检测、漏洞扫描、安装防火墙和杀毒软件等。在重要和需要保护隐私的场合，优先考虑通信加密。网络本身就不是一种安全的信息传输通道，网络上的任何信息搜是经过重重节点分段传送到目的地的。由于网络信息的传输没有固定路径，且通过哪些节点难以查证，因此任何中介节点均可能拦截、读取，甚至破坏和篡改封包的信息，所以应该利用加密技术确保安全的信息传输。通过加密，可采取的防范措施：(1) 通信链路层加密