【正文】 Tel 代理等。每條包過濾的準則包括兩個部分：執(zhí)行動作和選擇準則，執(zhí)行動作包括拒絕和準許，分別表示拒絕或者允許數(shù)據(jù)包通 行；選擇準則包括數(shù)據(jù)包的源地址和目的地址、源端口和目的端口、協(xié)議和傳輸方向等。我們可以通過一系列的安全技術(shù)來做到這些。真正的安全策略的最佳工具應包括實時審查目錄和服務器的功能，具體包括：不斷地自動監(jiān)視目錄，檢查用戶權(quán)限和用戶組帳戶有無變更；警惕地監(jiān)視服務器，檢查有無可疑的文件活動。 在網(wǎng)絡安全方面系統(tǒng)內(nèi)大多企業(yè)或是根據(jù)自己對安全的認識，或是根據(jù)國家和系統(tǒng)內(nèi)部的相關規(guī)定，購置部分網(wǎng)絡安全產(chǎn)品，如 防火墻、防病毒、入侵檢測等產(chǎn)品來配置在網(wǎng)絡上，然而這些產(chǎn)品主要是針對外部網(wǎng)絡可能遭受到安全威脅而采取的措施，在內(nèi)部網(wǎng)絡上的使用雖然針對性強，但往往有很大的局限性。由于網(wǎng)絡速度快，百兆甚至千兆的帶寬，能讓黑客工具大顯身手。來自內(nèi)部的數(shù)據(jù)失竊和破壞，遠遠高 于外部黑客的攻擊！事實上，來自內(nèi)部的攻擊更易奏效！ 4． 1 內(nèi)部網(wǎng)絡更容易受到攻擊 為什么內(nèi)部網(wǎng)絡更容易受到攻擊呢 ?主要原因如下： (1)信息網(wǎng)絡技術(shù)的應用正日益普及，應用層次正在深入，應用領域從傳統(tǒng)的、小型業(yè)務系統(tǒng)逐漸向大型、關鍵業(yè)務系統(tǒng)擴展。 （ 2） 用戶級別的劃分，將可進入到設備的管理用戶分為多個級別，對不同級別的用戶具有不同的訪問權(quán)限。 3． 5 應用安全 應用安全問題通常是指主機上所安裝的應用軟件的安全問題以及使用人員的人為因素造成的安全問題 。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡，使得所有可用網(wǎng)絡資源都被消耗殆盡，最后導致合法的用戶請求就無法通過。 3． 3 網(wǎng)絡安全 網(wǎng)絡的安全是指通過采用各種技術(shù)和管理措施，使網(wǎng)絡系統(tǒng)正常運行，從而確保網(wǎng)絡數(shù)據(jù)的可用性、完整性和保密性。局域網(wǎng)物理安全主要包括因為服務器、網(wǎng)絡設備硬件、線路和信息存儲設備等物理介質(zhì)造成的信息泄露、丟失或服務中斷。只是無線局域網(wǎng)采用的傳輸介質(zhì)不是雙絞線或者光纖，而是紅外或者無線電波，且以后者使用較多。 （ 2） 可以控制廣播活動 。 2． 3 常見的幾種局域網(wǎng)類型 隨著計算機網(wǎng)絡與通信技術(shù)的高速發(fā)展，局域網(wǎng)技術(shù)也在不停的發(fā)展，不斷地更新?lián)Q代，我們常見的局域網(wǎng)類型主要有以下幾種： 2． 3． 1 傳統(tǒng)以太網(wǎng) 傳統(tǒng)以太網(wǎng)分類見下表 1 傳統(tǒng)以太網(wǎng)分類圖 表 1 傳統(tǒng)以太網(wǎng)分類圖 傳統(tǒng)以太網(wǎng)分類 網(wǎng)絡拓撲結(jié)構(gòu) 傳輸介質(zhì) 介質(zhì)訪問控制協(xié)議 信息編碼 傳輸速率 最大網(wǎng)段長度 標準以太網(wǎng) 總線型 50Ω的粗同軸電纜 RG11或 RG8 CSMA/CD 曼切斯特編碼 10Mbit/s 500M 細纜以太網(wǎng) 總線型 50Ω的粗同軸電纜RG58A/U 10Mbit/s 185M 雙絞線以太網(wǎng) 星型 非屏蔽雙絞線，線直徑46mm，阻抗100Ω 10100Mbit/s 100M 2． 3． 2 高速局域網(wǎng) 隨著個人計算機處理能力的增強，計算機網(wǎng)絡應用的普及，用戶對計算機網(wǎng)絡的需求日益增加，現(xiàn)在常規(guī)局域網(wǎng)已經(jīng)遠遠不能滿足要求。在物理層中這些 情況 都可能發(fā)生，在數(shù)據(jù)鏈 路層中必須用糾錯碼來檢錯與糾錯。 2 局域網(wǎng)體系結(jié)構(gòu)及協(xié)議 2． 1 局域網(wǎng)體 系結(jié)構(gòu) 局域網(wǎng)大多采用共享通道，當通信局限于一個局域網(wǎng)內(nèi)部時，任意二個節(jié)點之間都有唯一的鏈路，即網(wǎng)絡層的功能可由鏈路層來完成，所以局域網(wǎng)中不單獨設立網(wǎng)絡層。 （ 2）網(wǎng)絡軟件資源共享 在局域網(wǎng)絡中的各個工作站均可共享各種數(shù)據(jù)資料和各種應用軟件。 （ 5）局域網(wǎng)絡成本低，安裝、擴充 及維護方便。 1． 2 局域網(wǎng)的特點 局域網(wǎng)與廣域網(wǎng)（ WAN）不同，它一般限制在一定距離區(qū)域內(nèi)。 1． 1． 1 局 域網(wǎng)的定義 局域網(wǎng)的定義從技術(shù)方面來講是由特定類型的傳輸介質(zhì)（如電纜，光纜，無線介質(zhì)等）和網(wǎng)絡適配器（也叫網(wǎng)卡）互聯(lián)在一起的系統(tǒng)。 關 鍵詞 ： 局域網(wǎng)；安全技術(shù)；防范措施；安全分類 LAN security mechannism analysis and safeguard measures design Abstract: As puter technology in recent years. The rapid spread of lan application, has bee an indispensable part of the enterprise development. But in actual usage, the user to use the configure security policy operating system and various technological options is ambiguous, security tools is not correct, violations of the software system vulnerabilities and malicious code, viruses, etc, in which the user39。 畢 業(yè) 設 計 （論 文）任 務 書 課題名稱 局域網(wǎng)安全機制分析與保障措施設計 姓 名 周雄偉 學 號 070640329 院 系 計算機科學系 專 業(yè) 計算機科學與技術(shù) 指導教師 陽王東 副教授 20xx 年 5 月 10日 ※ ※ ※ ※ ※ ※ ※ ※ ※ ※※ ※ ※ ※ ※ ※ ※ ※ ※ ※ 20xx 屆學生 畢業(yè)設計 (論文 )材料 （四） 湖南城市學院本科畢業(yè)設計（論文）誠信聲明 本人鄭重聲明：所呈交的本科畢業(yè)設計（論文），是本人在指導老師的指導下，獨立進行研究工作所取得的成果，成果不存在知識產(chǎn)權(quán)爭議，除文中已經(jīng)注明引用的內(nèi)容外，本設計（論文）不含任何其他個人或集體已經(jīng)發(fā)表或撰寫過的作品成果。本論文主要講述的是網(wǎng)絡當中局域網(wǎng)的安全性分析及如何保障及安全，主要是從域網(wǎng)安全概論、局域網(wǎng)的安全結(jié)構(gòu)、局域網(wǎng)的安全機制分析、局域網(wǎng)所面臨的危害、局域網(wǎng)安全技術(shù)、局域網(wǎng)安全保障措施等方面內(nèi)容。局域網(wǎng)是封閉型的，可以由辦公室內(nèi)的兩臺計算機組成，也可以由一個公司內(nèi)的上千臺計算機組成。最后有了局域網(wǎng)的硬件環(huán)境，還需要控制和管理局域網(wǎng)正常運行的軟件，即網(wǎng)絡操作系統(tǒng)。根據(jù)網(wǎng)絡本身的性能要求，局域網(wǎng)中可使用多種通信介質(zhì)，例如電纜（細纜、粗纜、雙絞線）、光纖及無線傳輸?shù)取Ｈ纾捍蛴C、掃描儀等。比如：從用戶（個人、企業(yè)等）的角度來說，他們希望涉及 個人隱私 或商業(yè)利益的信息在網(wǎng)絡上傳輸時受到機密性、完整性和真實性的保護。透明性是指該層上傳輸?shù)臄?shù)據(jù)的內(nèi)容、格式及編碼沒有限制，也沒有必要解釋信息結(jié)構(gòu)的意義；可靠的傳輸使用戶免去對丟失 信息 、干擾信息及順序不正確等的擔心。 用戶如果訪問Inter，則必須在網(wǎng)絡協(xié)議中添加 TCP/IP協(xié)議。 與傳統(tǒng)的 局域網(wǎng)技術(shù) 相比較， VLAN 技術(shù)更加靈活，它具 有以下優(yōu)點： （ 1） 網(wǎng)絡設備的移動、添加和修改的管理開銷減少 。與有線網(wǎng)絡一樣，無線局域網(wǎng)同樣也需要傳送介質(zhì)。 3． 2 物理安全 物理安全主要是指通過物理隔離實現(xiàn)網(wǎng)絡安全 。 在局域網(wǎng)內(nèi)，由于網(wǎng)絡的物理跨度不大，只要制定健全的安全管理制度，做 好備份，并且加強網(wǎng)絡設備和機房的管理，這些風險是可以避免的。最常見的DoS 攻擊有計算機網(wǎng)絡帶寬攻擊和連通性攻擊。并且把系統(tǒng)安全活動貫穿于生命整個系統(tǒng)生命周期，直到系統(tǒng)報廢為止。對設備本身的安全保護建議作如下考慮： （ 1） 用戶口令的認證，本地認證或 Radius,TACACS。但是，各種計算機網(wǎng)絡、存儲數(shù)據(jù)遭受的攻擊和破壞， 80%是內(nèi)部人員所為！ (Computer World， January 20xx)。 (4)內(nèi)部網(wǎng)絡更脆弱。 4． 2 內(nèi)部網(wǎng)絡的安全現(xiàn)狀 目前很多企事業(yè)單位都加快了企業(yè)信息化的進程，在網(wǎng)絡平臺上建立了內(nèi)部網(wǎng)絡和外部網(wǎng)絡，并按照國家有關規(guī)定實行內(nèi)部網(wǎng)絡和外部網(wǎng)絡的物理隔離；在應用上從傳統(tǒng)的、小型業(yè)務系統(tǒng)逐漸向大型、關鍵業(yè)務系統(tǒng)擴展，典型的應用如財務系統(tǒng)、 PDM 系統(tǒng)甚至到計算機集成制造 (CIMS)或企業(yè)資源計劃 (ERP)，逐步實現(xiàn)企業(yè)信息的高度集成，構(gòu)成完善的企事業(yè)問題解決鏈。如果不知道破壞者是誰，就無法解決問題。因此我們必須采取相應的安全措施杜絕安全隱患，其中應該做到：公開服務器的 安全保護；防止黑客從外部攻擊；入侵檢測與監(jiān)控；信息審計與記錄；病毒防護；數(shù)據(jù)安全保護；數(shù)據(jù)備份與恢復；網(wǎng)絡的安全管理。防火墻管理員在配置防火墻時根據(jù)安全控制策略建立包過濾的準則，也可以在建立防火墻之后，根據(jù)安全策略的變化對這些準則進行相應的修改、增加或者刪除。同樣，從 Inter到內(nèi)部網(wǎng)絡的數(shù)據(jù)流也由代理服務器代為接收，在檢查之后再發(fā)送到相應的用戶。確定 VPN 路由器之間是采用單向初始化連接還是雙向初始化連接。 （ 3）確定 IP 地址配置方案。 4 在 [PPP]選項卡上選中 [連接控制協(xié)議（ LCP）擴展 ]和 [軟件壓縮 ]復選框 。 5．在 [目標地址 ]對話框中，輸入分支機構(gòu) A 的寬帶網(wǎng) IP 地址（ ）。 2．用鼠標右擊該接口，然后單擊 [屬性 ]按鈕，打開設置對話框。凡是能在局域網(wǎng)上開展的業(yè)務，都可考慮在 VPN 應。 （ 3） 按密鑰的使用個數(shù)分為：對稱密碼和非對稱密碼。 在重要和需要保護隱私的場合，優(yōu)先考慮通信加密。許多部門盡管擁有先進而昂貴的信息安全設備，但“政策”或“人”往往無法配合，產(chǎn)生很大的問題。 （ 4）對員工實施安全培訓，提高員工個人的安全意識，教會員工常用的安全技能。