【正文】 .............................................. 14 4． 1 內(nèi)部網(wǎng)絡(luò)更容易受到攻擊 .................................... 15 4． 2 內(nèi)部網(wǎng)絡(luò)的安全現(xiàn)狀 ........................................ 16 4． 3 網(wǎng)絡(luò)安全技術(shù)和策略 ........................................ 16 5 局域網(wǎng)的安全防范措施 ............................................ 17 5． 1 安全技術(shù) .................................................. 18 5． 1． 1 防火墻技術(shù) .......................................... 18 5． 1． 2 VPN 技術(shù) ............................................ 19 5． 1． 3 密碼學(xué)技術(shù) .......................................... 25 5． 1． 4 認證技術(shù) ............................ 錯誤 !未定義書簽。 5． 2 局域網(wǎng)安全防范措施和策略 .................................. 26 5． 3 管理層面的網(wǎng)絡(luò)安全防范策略 ................................ 26 參考文獻 ....................................................... 27 致 謝 .......................................................... 28 局域網(wǎng)安全機制分析與保障措施設(shè)計 摘 要 ： 隨著計算機技術(shù)的飛速發(fā)展， 互聯(lián)網(wǎng)的迅速普及， 局域網(wǎng)應(yīng)用已成為企業(yè)發(fā)展中必不可少的一部分。它可以通過數(shù)據(jù)通信網(wǎng)或?qū)Ｓ脭?shù)據(jù)電路，與遠方的局域網(wǎng)、數(shù)據(jù)庫或處理中心相連接，構(gòu)成一個大范圍的信息處理系統(tǒng) ,簡稱 LAN，是指在某一區(qū)域內(nèi)由多臺計算機互聯(lián)成的計算機組。計算機互聯(lián)在一起，當(dāng)然也不可能沒有傳輸媒體，這種媒體可以是同軸電纜、雙絞線、光纜或者輻射性媒體等。 （ 3）通常屬于某一部門、單位或企業(yè)所有。在基帶網(wǎng)上，隨著技術(shù)的迅速進展也逐步能實現(xiàn)語音和靜態(tài)圖像的綜合傳輸，這正是辦公自動化所需求的。 （ 5）提高計算機系統(tǒng)的可靠性 局域網(wǎng)中計算機或站點互為后備，提高了整個系統(tǒng)的可靠性，特別是在自動控制、實時 數(shù)據(jù)數(shù)理等領(lǐng)域中更顯出其優(yōu)越性。 2． 1． 2 數(shù)據(jù)鏈路層 數(shù)據(jù)鏈路層是 OSI參考模型 中的第二層，介乎于物理層和 網(wǎng)絡(luò)層 之間。通信雙方只有在共同的層次間才能相互聯(lián)系 。 VLAN 是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個個 網(wǎng)段 ，從而實現(xiàn)虛擬工作組的新興 數(shù)據(jù)交換技術(shù) 。之所以還稱是局域網(wǎng)，是因為會受到無線連接設(shè)備與電腦之間距離的遠近限制而影 響傳輸范圍，所以必須要在區(qū)域范圍之內(nèi)才可以連上網(wǎng)絡(luò)。相反來自網(wǎng)絡(luò)內(nèi)部的計算機客戶端的安全威脅缺乏必要的安全管理措施，安全威脅較大。 （ 4）硬件故障。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網(wǎng)絡(luò)系統(tǒng)進行違法操作、合法用戶以未授權(quán)方式進行操作等。在網(wǎng)絡(luò)服務(wù)中，網(wǎng)絡(luò)操作系統(tǒng)起著非常重要的組織作用，所以操作系統(tǒng)的安全關(guān)系到網(wǎng)絡(luò)的整體性能。使用人員在使用時，要嚴格按照使用操作程序進行。 4 局域網(wǎng)安全危險分析 局域網(wǎng)是指在小范圍內(nèi)由服務(wù)器和多臺電腦組成的工作組互聯(lián)網(wǎng)絡(luò)。也由于內(nèi)部擁有更多的應(yīng)用和不同的系統(tǒng)平臺，自然有更多的系統(tǒng)漏洞。服務(wù)器對使用者的管理也不是很嚴格，對于那些如記錄鍵盤敲擊的黑客工具比較容易得逞。 積極主動的安全策略把入侵檢測概念提升到了更有效、更合理的入侵者檢測(甚至是內(nèi)部入侵者 )層面。因此對于數(shù)據(jù)的安全保護，理想的辦法是在內(nèi)部網(wǎng)絡(luò)中采用基于密碼技術(shù)的數(shù)字身份認證和高強度的加密數(shù)據(jù)傳輸技術(shù)，同時采用安全的密鑰分發(fā)技術(shù)，這樣既防止用戶對業(yè)務(wù)的否認和抵賴，同時又防止數(shù)據(jù)遭到竊聽后被破解，保證了數(shù)據(jù)在網(wǎng)上傳輸?shù)目煽啃?。包過濾技術(shù)是在網(wǎng)絡(luò)層中對數(shù)據(jù)流中的每個數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標地址、以及包所使用的端口確定是否允許該類數(shù)據(jù)包通過；狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別，與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比，它具有更好的靈活性和安全性；應(yīng)用網(wǎng)關(guān)技術(shù)在應(yīng)用層實現(xiàn)，它使用一個運行特殊的“通信數(shù)據(jù)安全檢查”軟 件的工作站來連接被保護網(wǎng)絡(luò)和其他網(wǎng)絡(luò)，其目的在于隱蔽被保護網(wǎng)絡(luò)的具體細節(jié)，保護其中的主機及其數(shù)據(jù)。應(yīng)用層網(wǎng)關(guān)位于 TCP/IP 協(xié)議的應(yīng)用層，實現(xiàn)對用戶身份的驗證，接收被保護網(wǎng)絡(luò)和外部之間的數(shù)據(jù)流并對之進行檢查。 VPN 架構(gòu)中采用了多種安全機制，如 隧道技術(shù)（ Tunneling ）、加解密技術(shù)（ Encryption ）、 密鑰管理技術(shù) 、 身份認證技術(shù)（ Authentication ）等，通過上述的各項 網(wǎng)絡(luò)安全技術(shù) ，確保資料在公眾網(wǎng)絡(luò)中傳輸時不被竊取，或是即使被竊取了，對方亦無法讀取數(shù)據(jù)包內(nèi)所傳送的資料。 IPSec 基于 IP 網(wǎng)絡(luò)，安全性高，兼容性好，是網(wǎng)絡(luò)互聯(lián)的首選。 （ 2）啟用和配置 Windows 20xx 路由器 1 在 [常規(guī) ]選項卡，確認選中了 [路由器 ]復(fù)選框和 [用于局域網(wǎng)和請求撥號連接 ]單選鈕，如圖 1 所示。 2．在 [接口名稱 ]對話框中，輸入連接分支機構(gòu) A 的接口名稱（以branchvpnserver 為例）。 圖 5 圖 6 (5) 配置路由 創(chuàng)建了請求撥號接口之后，需要添加指向分支機構(gòu) A 的路由，打開 [路由和遠程訪問 ]控制臺，用鼠標右擊 [IP 路由選擇 ]，選擇 [靜態(tài)路由 ]，如圖 7 所示，為 請求撥號接口添加指向分支機構(gòu) A 的路由。 （ 8） 配置總部和分支機構(gòu)內(nèi)部網(wǎng)絡(luò)，將它們的默認網(wǎng)關(guān)設(shè)置為各自的 VPN 路由器的內(nèi)部網(wǎng)卡地址即可。 密碼技術(shù)可以隱藏和保護需要保密的信息，未經(jīng)授權(quán)者不允許 提取信息。 非對稱密鑰加密技術(shù)中，加密和解密使用不同的密鑰，每個用戶有一對密鑰：公開密鑰 PK 和私人密鑰 SK， PK 可以公開， SK 由用戶自己保存。 首先我們必須明確防火墻在網(wǎng)絡(luò)中的位置。為此網(wǎng)絡(luò)安全管理，應(yīng)從以下幾個方面著手： （ 1）提升組織的整體安全意識，加強信息系統(tǒng)的軟硬件建設(shè)的同時，對信息安全管理工作也不能松懈和忽視。多少個日日夜夜，陽老師不僅在學(xué)業(yè)上給我以精心指導(dǎo)，同時還在思想、生活上給我以無微不至的關(guān)懷，除了敬佩陽王東老師的專業(yè)水平外，他的治學(xué)嚴謹和科學(xué)研究的精神也是我永遠學(xué)習(xí)的榜樣，并將積極影響我今后的學(xué)習(xí)和工作。他嚴肅的科學(xué)態(tài)度，嚴謹?shù)闹螌W(xué)精神，精益求精的工作作風(fēng)，深深地感染和激勵著我。因此，信息安全是管理問題，而非單純的技術(shù)問題。 另外，在設(shè)計網(wǎng)絡(luò)結(jié)構(gòu)、制定網(wǎng)絡(luò)安全方案時，盡量采用下面的技術(shù)防范措施：進行 VLAN 的劃分；入侵檢測；漏洞掃描；及時安裝系統(tǒng)補丁程序和應(yīng)用軟件的補丁程序，安裝殺毒軟件和防火墻，并及時更新升級。 對稱密鑰加密技術(shù)中，加密和解密使用相同的密鑰，最常用的是 DES（ Digital Encryption Standard)算法， DES 算法是 公開的。密碼編碼學(xué)和密碼分析學(xué)合起來稱為密碼學(xué)，密碼編碼學(xué)主要實現(xiàn)如何對信息進行編碼，而密碼分析學(xué)則是在未知密鑰的情況下，如何從密文推演出明文或密鑰的技術(shù)。 5．參照上述步驟，設(shè)置 PPTP 輸出篩選器，如圖 9 所示。 8．在 [撥出憑據(jù) ]對話框中，設(shè)置連接到分支機構(gòu) A 的路由器要使用的用戶名和密碼。默認情況下所有端口配置為[請求撥號路由選擇連接（入站和出站），即支持 VPN 請求撥號路由，如圖 4 所示。兩端的ＶＰＮ路由器必須在其路由表中有合適的路由配置，使得各自所連接局域網(wǎng)之間能夠互相訪問。當(dāng) VPN 隧道不能全天 24 小時啟用，需要從任何一端發(fā)起 VPN 連接時，可考慮使用雙向初使化連接。通常， VPN 是對企業(yè)內(nèi)部網(wǎng)的擴展，通過它可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。這樣就通過包過濾實現(xiàn)了防火墻的安全訪問控制策略。在局域網(wǎng)中，我們可以通過各種技術(shù)來保障局域網(wǎng)的安全。 在積極查詢的同時，也應(yīng)該采用必要的攻擊防范手段。同時在安全性和費用問題上形成一個相互對立的局面，如何在其中尋找到一個平衡點，也是眾多企業(yè)中普遍存在的焦點問題。 (6)內(nèi)部網(wǎng)絡(luò)的用戶往往直接面對數(shù)據(jù)庫、直接對服務(wù)器進行操作，利用內(nèi)網(wǎng)速度快的特性，對關(guān)鍵數(shù)據(jù)進行竊取或者破壞。 (2)在對 Inter 嚴防死守和物理隔離的措施下，對網(wǎng)絡(luò)的破壞，大多數(shù)來自網(wǎng) 絡(luò)內(nèi)部的安全空隙。 對于用戶口令安全方面的考慮，建議采用集中管理的方式，在電信網(wǎng)管中心配置訪問控制器，所有設(shè)備的用戶名、口令、權(quán)限控制都統(tǒng)一管理，避免因分散式管理帶來的安全漏洞和管理的復(fù)雜性。 另外，如網(wǎng)上的不可靠站點下載未經(jīng)嚴格驗證的應(yīng)用軟件會帶入一些木馬、病毒，甚至打開匿名郵件都可能被計算機病毒感染。 3． 4 系統(tǒng)安全 系統(tǒng)安全問題是指服務(wù)器或主機的操作系統(tǒng)本身的安全。比如：從用戶（個人、企業(yè)等）的角度來說，他們希望涉及 個人隱私 或商業(yè)利益的信息在網(wǎng)絡(luò)上傳