【正文】 拼一個春夏秋冬！贏一個無悔人生！早安！—————獻(xiàn)給所有努力的人.學(xué)習(xí)參考。不奮斗就是每天都很容易，可一年一年越來越難。是狼就要練好牙，是羊就要練好腿。2004:110. 　　[②].鄧亞平.因此，局域網(wǎng)安全不是一個單純的技術(shù)問題，它涉及整個網(wǎng)絡(luò)安全系統(tǒng)，包括防范技術(shù)、規(guī)范管理等多方面因素。 　　通過IP/MAC綁定后，再實施流量過濾就顯得有效多了。要實施基于IP或MAC地址過濾的訪問控制，就必須進(jìn)行IP/MAC地址的綁定，禁止用戶對IP或MAC的修改。綁定 　　所幸的是，廣播包和多播包內(nèi)的關(guān)鍵信息，要遠(yuǎn)遠(yuǎn)少于單播包。Packet）和多播包（Multicast因此，應(yīng)該以交換式集線器代替共享式集線器，使單播包僅在兩個節(jié)點之間傳送，從而防止非法偵聽。Packet）還是會被同一臺集線器上的其他用戶所偵聽。這是因為網(wǎng)絡(luò)最終用戶的接入往往是通過分支集線器而不是中心交換機，而使用最廣泛的分支集線器通常是共享式集線器。以交換式集線器代替共享式集線器網(wǎng)絡(luò)分段就是將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而達(dá)到限制用戶非法訪問的目的。 　　局域網(wǎng)大多采用以廣播為基礎(chǔ)的以太網(wǎng)，任何兩個節(jié)點之間的通信數(shù)據(jù)包，不僅為這兩個節(jié)點的網(wǎng)卡所接收，也同時為處在同一以太網(wǎng)上的任何一個節(jié)點的網(wǎng)卡所截取。 　　基于MAC地址的VLAN為移動計算提供了可能性，但同時也潛藏著遭受MAC欺詐攻擊的隱患。目前的VLAN技術(shù)主要有三種：基于交換機端口的VLAN、基于節(jié)點MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN。防止網(wǎng)絡(luò)偵聽 　　 　　一個網(wǎng)絡(luò)的防病毒體系是建立在每個局域網(wǎng)的防病毒系統(tǒng)上的，應(yīng)該根據(jù)每個局域網(wǎng)的防病毒要求，建立局域網(wǎng)防病毒控制系統(tǒng)，分別設(shè)置有針對性的防病毒策略。同時，控制管理中心的控制臺子系統(tǒng)和數(shù)據(jù)庫子系統(tǒng)之間也有大量的交互操作，如警報信息查詢、網(wǎng)絡(luò)事件重建等。以上幾步完成之后，一個IDS的最基本框架已被實現(xiàn)。一個好的入侵檢測系統(tǒng)不僅僅應(yīng)當(dāng)為管理員提供實時、豐富的警報信息，還應(yīng)詳細(xì)地記錄現(xiàn)場數(shù)據(jù)，以便于日后需要取證時重建某些網(wǎng)絡(luò)事件?？刂婆_子系統(tǒng)的主要任務(wù)有：管理數(shù)據(jù)采集分析中心，以友好、便于查詢的方式顯示數(shù)據(jù)采集分析中心發(fā)送過來的警報消息；根據(jù)安全策略進(jìn)行一系列的響應(yīng)動作，以阻止非法行為，確保網(wǎng)絡(luò)的安全。 　　第三，需要構(gòu)建控制臺子系統(tǒng)。應(yīng)優(yōu)化檢測模型和算法的設(shè)計，確保系統(tǒng)的執(zhí)行效率；安全規(guī)則的制訂要充分考慮包容性和可擴展性，以提高系統(tǒng)的伸縮性；報警消息要遵循特定的標(biāo)準(zhǔn)格式，增強其共享與互操作能力，切忌隨意制訂消息格式的不規(guī)范做法。設(shè)計數(shù)據(jù)分析模塊的工作量浩大，需要不斷地更新、升級、完善。 　　其次，應(yīng)建立數(shù)據(jù)分析模塊。應(yīng)根據(jù)自己網(wǎng)絡(luò)的具體情況，選用合適的軟件及硬件設(shè)備，如果網(wǎng)絡(luò)數(shù)據(jù)流量很小，用一般的PC機安裝Linux即可，如果所監(jiān)控的網(wǎng)絡(luò)流量非常大，則需要用一臺性能較高的機器；在服務(wù)器上開出一個日志分區(qū)，用于采集數(shù)據(jù)的存儲；接著應(yīng)進(jìn)行有關(guān)軟件的安裝與配置，至此系統(tǒng)已經(jīng)能夠收集到網(wǎng)絡(luò)數(shù)據(jù)流了。這就需要使用網(wǎng)絡(luò)監(jiān)聽來實現(xiàn)審計數(shù)據(jù)的獲取，可以通過對網(wǎng)卡工作模式的設(shè)置為“混雜”模式實現(xiàn)對某一段網(wǎng)絡(luò)上所有數(shù)據(jù)包的捕獲。NT或2000上實現(xiàn)，數(shù)據(jù)庫管理子系統(tǒng)基于Access或其他功能更強大的數(shù)據(jù)庫如SQL等，多跟控制臺子系統(tǒng)結(jié)合在一起，稱之為控制管理中心。劃分為四個基本部分：數(shù)據(jù)采集子系統(tǒng)、數(shù)據(jù)分析子系統(tǒng)、控制臺子系統(tǒng)、數(shù)據(jù)庫管理子系統(tǒng)。局域網(wǎng)入侵檢測系統(tǒng)的構(gòu)建方法 　　第二步是信息分析，收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，被送到檢測引擎，檢測引擎駐留在傳感器中，一般通過三種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計分析和完整性分析。由放置在不同網(wǎng)段的傳感器或不同主機的代理來收集信息，包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。攻擊者進(jìn)行攻擊的時候會留下痕跡，這些痕跡和系統(tǒng)正常運行的時候產(chǎn)生的數(shù)據(jù)混在一起。 　　入侵檢測跟其他檢測技術(shù)有同樣的原理。 　　入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測系統(tǒng)概述入侵檢測系統(tǒng)監(jiān)測引擎采用抽取有關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實施監(jiān)督測，抽取狀態(tài)信息，并動態(tài)地保存起來，作為以后執(zhí)行安全策略的參考。 　　全狀態(tài)檢測防火墻在包過濾的同時，檢測數(shù)據(jù)包之間的關(guān)聯(lián)性，數(shù)據(jù)包中動態(tài)變化的狀態(tài)碼。 　　若為不合法用語,則拒絕訪問。若為合法用戶,則把該請求轉(zhuǎn)發(fā)給真正的某個內(nèi)部網(wǎng)絡(luò)的主機。 　　代理偵聽網(wǎng)絡(luò)內(nèi)部客戶的服務(wù)請求,當(dāng)一個連接到來時,首先進(jìn)行身份驗證,并根據(jù)安全策略決定是否中轉(zhuǎn)連接。 　　代理技術(shù)是在應(yīng)用層實現(xiàn)防火墻功能,代理服務(wù)器執(zhí)行內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請時的中轉(zhuǎn)連接作用。 　　網(wǎng)絡(luò)地址轉(zhuǎn)換過程對于用戶來說是透明的,不需要用戶進(jìn)行設(shè)置,用戶只要進(jìn)行常規(guī)操作即可。] 　　問外部網(wǎng)絡(luò)時,系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口與外部連接,這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址。] 　　網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的外部的、注冊的IP的地址標(biāo)準(zhǔn),用戶必須要為網(wǎng)絡(luò)中每一臺機器取得注冊的IP地址[ 　　包過濾型防火墻工作在OSI參考模型的網(wǎng)絡(luò)層和傳輸層,它根據(jù)數(shù)據(jù)包頭源地址,目的地址,端口號和協(xié)議類型等標(biāo)志確定是否允許通過,只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)目的地,其余數(shù)據(jù)包則被數(shù)據(jù)流中阻擋丟棄。數(shù)據(jù)包過濾技術(shù)是防火墻中最常用的技術(shù)。數(shù)據(jù)包過濾技術(shù)防火墻的功能為了侵入用這種體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，侵襲者必須通過兩個路由器。一個位于周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間，另一個位于周邊網(wǎng)與外部網(wǎng)絡(luò)之間。 　　被屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步的把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開。 　　 　　(2)不允許來自內(nèi)部主機的所有連接（強迫那些主機經(jīng)由堡壘主機使用代理服務(wù)）。 　　在屏蔽的路由器中數(shù)據(jù)包過濾配置可以按下列方案之一執(zhí)行：數(shù)據(jù)包過濾容許堡壘主機開放可允許的連接（什么是可允許連接將由你的站點的特殊的安全策略決定）到外部世界。任何外部的系統(tǒng)要訪問內(nèi)部的系統(tǒng)或服務(wù)都必須先連接到這臺主機。 　　這種體系結(jié)構(gòu)涉及到堡壘主機。在這種體系結(jié)構(gòu)中，主要的安全由數(shù)據(jù)包過濾提供（例如，數(shù)據(jù)包過濾用于防止人們繞過代理服務(wù)器直接相連）。 　　雙重宿主主機體系結(jié)構(gòu)防火墻沒有使用路由器。 　　但是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信，它們之間的通信必須經(jīng)過雙重宿主主機的過濾和控制。因此IP數(shù)據(jù)包并不是從一個網(wǎng)絡(luò)（如外部網(wǎng)絡(luò)）直接發(fā)送到另一個網(wǎng)絡(luò)（如內(nèi)部網(wǎng)絡(luò)）。這樣的主機可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器；它能夠從一個網(wǎng)絡(luò)到另外一個網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。 　　雙重宿主主機體系結(jié)構(gòu)圍繞雙重宿主主機構(gòu)筑。 　　　在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。防火墻概述防火墻系統(tǒng) 　　 　?。?）確信網(wǎng)絡(luò)病毒已全部徹底清除后，重新啟動網(wǎng)絡(luò)及各工作站。 　?。?）若沒有最新的備份文件，可嘗試使用殺毒軟件把病毒清除，對在已染毒網(wǎng)絡(luò)上存取過的軟盤進(jìn)行消毒。 　?。?）用防病毒軟件掃描服務(wù)器上所有卷的文件，恢復(fù)或刪除被感染的文件，重新安裝被刪除的文件。longin禁止其他用戶登錄。 　　一旦在局域網(wǎng)上發(fā)現(xiàn)病毒，應(yīng)盡快加以清除，以防網(wǎng)絡(luò)病毒的擴散給整個系統(tǒng)造成更大的損失，具體過程為: 　　匯報出現(xiàn)的新問題、新情況，做到及時發(fā)現(xiàn)問題解決問題，同時在網(wǎng)絡(luò)工作站上經(jīng)常做好病毒檢測的工作，把好網(wǎng)絡(luò)的第一道大門。一、從硬件設(shè)備及軟件系統(tǒng)的使用、維護、管理、服務(wù)等各個環(huán)節(jié)制定出嚴(yán)格的規(guī)章制度，對網(wǎng)絡(luò)系統(tǒng)的管理員及用戶加強法制教育和職業(yè)道德教育，不損人，不犯法，規(guī)范工作程序和操作規(guī)程，嚴(yán)懲從事非法活動的集體