局域网安全知识.doc

计算机局域网络的安全 1 引言 随着计算机网络的快速发展，网络成为当今人们必不可少的部分。然而，由于计算机网络易受黑客的入侵、病毒的攻击，加上管理上的疏忽，网络安全成为一个至关重要的问题。因计算机局域网系统对于数据的传输更为敏感，为此，网上信息的安全和保密就显得更为重要。因此，为保证网络信息的保密性、完整性和可用性，就必须加强局域网的安全建设。 2 计算机局域网络的安全问题 2.1 黑客的入侵 黑客攻击活动在当前的Internet中日益猖獗，这些黑客技术包括入侵系统攻击、拒绝服务攻击、欺骗攻击、木马程序攻击、对防火墙的攻击、后门攻击等。局域网黑客入侵主要是来自外部网络和网内的入侵。 2.2 病毒的危害 对计算机局域网络安全造成威胁的主要问题在于病毒的危害。因为局域网络在数据共享上给用户提供方便的同时，也便于病毒的传播。近些年来，网络病毒层出不穷，其中蠕虫病毒和木马病毒最为严重，一旦出现蠕虫病毒，整个网络就会陷于瘫痪，无法进行正常的运行，而木马病毒能将用户的各种信息盗窃，致使用户的工作和生活受到严重威胁。此外，另一个影响网络安全的为认证安全的漏洞，随着当前网络规模的不断扩大，IP地址盗用、IP地址冲突、账号盗用等在网络用户中是常有的事。 2.3 管理疏忽 管理是网络安全中最重要的部分，局域网安全需要严格的管理作为保障。然而，由于疏于对网络的管理，管理制度不健全、管理人员安排不到位、权责不明必要的人力、财力、物力投入不够，从而加大了管理安全的风险。例如，由于网络管理员的安全意识不强，在操作系统的设置上、硬件设备和相关软件的配置上处理不当，就造成安全漏洞。 传统的管理理念依然存在：只重视外部的防护，而忽略了内部的防范；重视文档冲亿季，好礼乐相随mini ipad移动硬盘拍立得百度书包安全产品的设置，忽略了网络管理的作用；被动防范的观念。 3 局域网安全性的解决方法 3.1 采用VLAN（虚拟局域网）技术 VLAN是一种不受网络用户的物理位置限制而根据用户需求进行网络分段的虚拟局域网，其具有灵活性和扩张性等特点，利于网络的维护和管理。在局域网中，对VLAN技术进行有效利用，可以为局域网解决冲突域、广播域、宽带问题，从而大大提高网络运行效率。VLAN在划分后，可以缩小广播域，从而大大降低网络中广播包消耗带宽所占的比例，大幅度提高网络的安全性能。由于是通过网络层的路来实现不同VLAN之间的数据传输，因此，采用VLAN技术，结合数据链路层和网络层的交换设备，可以搭建安全可靠的网络。 3.2 采用防火墙技术 在网络的入口处部署防火墙是防范来自外部网络攻击最常用的方法。网络防火墙技术是一种允许外部网络接入，但同时又能够对非授权访问进行识别和抵抗的网络安全技术，其能保护内部网免受非法用户的侵入。防火墙可分为两种：一是外部防火墙，另一个是内部防火墙。外部防火墙是为防止网络入侵者的侵袭，在内部网络和外部网络之间建立一个保护层，对所有进出通道进行监听和限制，对外来的非法信息进行抵御，并对敏感信息被泄露进行控制等是外部防火墙的主要方法；内部网络被内部防火墙分成多个局域网，从而使得外部攻击造成的损失受到限制。 3.3 采用入侵检测系统（IDS） 入侵检测系统IDS是一种对网络传输进行及时监视，当发现可以传输时，会发出警报，或者采取主动反应措施的网络安全设备。入侵检测技术可以弥补防火墙的不足，打个比喻，假若防火墙是一幢大楼的门卫，那么IDS就是这幢大楼里的监视系统。IDS与防火墙不同之处在于，IDS是一个监听设备，不用在任何链路上进行跨接，其工作也不须要网络流量的流经便可运行。在入侵检测系统在利用审计记录时，可以将任何不希望有的活动识别出来，从而达到保护系统安全的目的。采用入侵检测技术，适宜采用混合入侵进行检测，需要从基于网络的入侵检测和基于主机的入侵检测这两方面着手。 3.4 加强数据库的信息保密防护 文件和数据库网络中两种数据组织形式，缺乏共享性的文件组织形式的数据已成为现在网络存储数据的主要形式。由于在对系统的操作过程中，对数据库没有进行特殊的保密措施，而数据库的数据就会以可读的形式存储系统中，因此，须要采取另外的方法进行数据库的保密。例如，可以针对具体的应用直接在应用系统开发时进行加密。 3.5 加强安全管理 针对计算机网络管理的疏忽，所造成的计算机网络的安全问题，要尽快建立全新的网络安全机制，建立机房人员管路制度，以保障系统的安全。网络管理人员要提高网络安全防范意识，对站点的访问活动进行多层次的记录，对于非法侵入行为要及时发现，并采取相应的解决措施。 4 无线局域网安全 4.1 无线局域网概念 无线局域网（WLAN）是无线通信技术与计算机网络相结合的产物。它利用射频（RF）技术进行数据传输，是相当便利的数据传输系统，取代了旧式双绞铜线所构成的局域网，使用户能够随时随地接入网络，利用网络资源。 4.2 无线局域网体系结构 目前较为流行的WLAN协议标准有：IEEE802.11协议簇（Wi- Fi标准）、蓝牙、HomeRF等。IEEE802.11是世界上第一个WLAN标准，它对国际WLAN工作频段、WLAN拓扑结构、物理层及介质访问层安全性，移动漫游等特性都有较具体规定。IEEE802.11最初只是作为一种无线接入协议，而问世后可谓是异军突起，目前，Wi- Fi技术已经被认为是无线网络发展的默认标准与方向。 4.3 无线局域网中的安全性问题 1、非法的AP 无线局域网易于访问和配置简单的特性，使任何人的计算机都可以通过自己购买的AP，不经过授权而连入网络。用户通过非法AP接入给网络带来很大安全隐患。 2、容易侵入 无线局域网非常容易被发现，为了能够使用户发现无线网络的存在，网络必须发送有特定参数的信标帧，这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其它任何地方对网络发起攻击而不需要任何物理方式的侵入。 3、地址欺骗和会话拦截 由于802.11无线局域网对数据帧不进行认证操作，攻击者可以通过欺骗帧，去重定向数据流和使ARP表变得混乱，通过非常简单的方法，攻击者可以轻易获得网络中站点的MAC地址，这些地址可以被用来恶意攻击时使用。 4、高级入侵 一旦攻击者进入无线网络，它将成为进一步入侵其它系统的起点很多网络都有一套经过精心设置的安全设备作为网络的外壳，以防止非法攻击，但是在外壳保护的网络内部确是非常的脆弱容易受到攻击的。无线网络可以通过简单配置就可快速地接入网络主干，但这样会使网络暴露在攻击者面前。即使有一定边界安全设备的网络，同样也会使网络暴露出来从而遭到攻击。 4.4 几种无线局域网安全技术改进方式 1、临时密钥完整性协议TKIP 针对目前WEP加密过程中存在的安全漏洞，IEEE提出了临时密钥完整性协议（TKIP）改进WEP的设计，使TKIP能够增强WLAN的安全性。与WEP比较TKIP增加了四个新的部分：消息完整性编码（MIC）、IV顺序你机制、密钥混合函数、密钥重置机制。 2、AES算法取代RC4算法 AES是对称密钥分组密码，它支持128比特192比特和256比特长度的密钥，越长的密钥代表着越强的安全保证。密码学家认为128比特的密钥对于商业和私人用户在几十年里是足够安全的。因此，192和256比特的密钥只是作为理论的论证而不是实际的应用。分组密码的使用必须遵循操作模式，操作模式是精确的密码使用方法。通常的操作模式有电子码本ECB模式，计数器Counter（CTR）模式和密码块链CBC模式。IEEE802.11i已经接受了两个以AES操作模式为基础的封装提议：一个称为AES-CCM，另一个称为AES-OCB。 3、部署VPN 部署虚拟专用网VPN（Virtual Private Network）结合远程鉴定拨入用户服务 RADILIS（Remote Authentication Dial-in User Service）也是一个良好的解决方案。RADIUS服务器使用的是基于端口的鉴定标准802.1x，通过访问中心数据库对多种服务客户进行鉴定，可实现客户与AP间的相互鉴定，检测和隔离欺诈性AP。同时RADIUS服务器具有中心管理功能，可同时提供VPN服务。 4、应用WAPI技术 WAPI是Wireless LANAuthentication and Privacy Infrastructure（无线局域网鉴别和保密基础结构）的英文缩写，是一种无线局域网（WLAN）安全协议，同时也是中国无线局域网强制性标准中的安全机制。WAPI由我国有关部门掌握着加密的核心技术，它的加密技术比802.11B更为先进，WAPI采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法，实现了设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。此外，WAPI从应用模式上分为单点式和集中式两种，可以彻底扭转目前WLAN采用多种安全机制并存且互不兼容的现状，从根本上解决安全问题和兼容性问题。所以执行 WAPI 标准能更有效地保护数据的安全。 5结论 总之，计算机局部网络安全是一个较为系统的工程，仅仅依靠防火墙等单个的系统不可能完全确保网络的安全，其还须要对系统的安全需求进行认真考虑和分析，结合各种安全技术和加密码技术，这样才能形成一个高效、安全的局域网络系统