鄭劍彬

[摘 要]當今社會，計算機網(wǎng)絡(luò)已深入到我們?nèi)粘Ｉ畹母鱾€方面并成為不可或缺的一部分。但由于計算機網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性，終端分布不均勻性和網(wǎng)絡(luò)的開放性，互連性等特征，致使網(wǎng)絡(luò)易受黑客，怪客，惡意軟件的攻擊。這些威脅不僅僅只是威脅了互聯(lián)網(wǎng)，也同樣威脅著局域網(wǎng)，因此局域網(wǎng)安全已經(jīng)成為信息安全的新熱點，其技術(shù)和標準也在成熟和演進過程中。本文首先使大家對局域網(wǎng)有個初步的了解，然后闡述威脅局域網(wǎng)的各個因素，并就局域網(wǎng)網(wǎng)絡(luò)安全策略進行分析。

[關(guān)鍵詞]局域網(wǎng) 威脅 防火墻 病毒 安全

一、局域網(wǎng)概述

我們大家可能都了解互聯(lián)網(wǎng)，但提到局域網(wǎng)，可能會很少有人指出其明確含義，那么先讓我們了解一下何為局域網(wǎng)。局域網(wǎng)（Local Area Network），簡稱LAN，是指在某一區(qū)域內(nèi)由多臺計算機互聯(lián)成的計算機組。“某一區(qū)域”指的是同一辦公室，同一建筑物，同一公司和同一學(xué)校等，一般是方圓幾千米以內(nèi)。局域網(wǎng)可以實現(xiàn)文件管理、應(yīng)用軟件共享、打印機共享、工作組內(nèi)的日程安排、電子郵件和傳真通信服務(wù)等功能。局域網(wǎng)是封閉型的，可以由辦公室內(nèi)的兩臺計算機組成，也可以由一個公司內(nèi)的上千臺計算機組成。目前局域網(wǎng)常見的拓撲結(jié)構(gòu)有星型結(jié)構(gòu)、環(huán)型結(jié)構(gòu)、總線型拓撲結(jié)構(gòu)和混合型拓撲結(jié)構(gòu)。[1]

二、當今局域網(wǎng)的安全現(xiàn)狀

由于IPV4地址的有限，使得很多地方都通過建立局域網(wǎng)來上網(wǎng)，如許多大中型企業(yè)和學(xué)校，這樣就有局域網(wǎng)內(nèi)很多臺電腦的一個網(wǎng)絡(luò)通過一個端口連接都在互聯(lián)網(wǎng)上，這也就使得對局域網(wǎng)內(nèi)的網(wǎng)絡(luò)安全變得尤其重要。在許多年前，局域網(wǎng)還是十分安全的，大多數(shù)的公司也常常習(xí)慣于直接在局域網(wǎng)共享各種常用軟件和資料，但是現(xiàn)在很多病毒開發(fā)者打起了局域網(wǎng)的主意。例如由于網(wǎng)游產(chǎn)生了APR病毒。這是一種欺騙性質(zhì)的病毒，雖然它的目的并不是破壞局域網(wǎng)，但為了達到它盜號盜寶的目的，會嚴重影響其它局域網(wǎng)用戶的正常上網(wǎng)活動。所謂APR攻擊其實就是內(nèi)網(wǎng)某臺主機偽裝成網(wǎng)關(guān)，欺騙內(nèi)網(wǎng)其它主機將所有發(fā)往網(wǎng)關(guān)的信息發(fā)到這臺主機上。由于此臺主機的數(shù)據(jù)處理轉(zhuǎn)發(fā)能力遠遠低于網(wǎng)關(guān)，因此導(dǎo)致大量信息堵塞，網(wǎng)速越來越慢，威脅到局域網(wǎng)用戶的信息安全。有一種針對服務(wù)器的SYN攻擊也會令局域網(wǎng)電腦全體“掉線”：SYN攻擊屬于DOS攻擊的一種，它利用TCP協(xié)議三次握手的等待確認缺陷，通過發(fā)送大量的半連接請求，耗費CPU的內(nèi)存資源。SYN攻擊除了能影響主機外，還可以危害路由器，防火墻等網(wǎng)絡(luò)系統(tǒng)，事實上SYN攻擊并不管目標是什么系統(tǒng)，只要這些系統(tǒng)打開TCP服務(wù)就可以實施。配合IP欺騙，SYN攻擊能達到良好的效果，通常感染SYN病毒的客戶端在短時間內(nèi)偽造大量不存在的IP地址，向服務(wù)器不斷地發(fā)送SYN包，服務(wù)器回復(fù)確認包，并等待客戶的確認，由于源地址是不存在的，服務(wù)器需要不斷的重發(fā)直至超時，這些偽造的SYN包將長時間占用未連接隊列，正常的SYN請求被丟棄，目標系統(tǒng)和路由器運行緩慢，嚴重的時候就直接引起整個局域網(wǎng)的網(wǎng)絡(luò)堵塞甚至系統(tǒng)癱瘓。

面對日益嚴重的內(nèi)網(wǎng)攻擊和整網(wǎng)掉線問題，很多路由器和防火墻開發(fā)商也在產(chǎn)品中加入了相關(guān)技術(shù)，例如加入了IP-MAC綁定功能可以防止局域網(wǎng)的ARP欺騙，但是這些設(shè)備由于以太網(wǎng)工作原理的關(guān)系，其實還是無法全面解決內(nèi)網(wǎng)安全問題。例如DDOS攻擊，雖然路由器和防火墻可以利用一些設(shè)定好的規(guī)則判斷出哪些數(shù)據(jù)包帶有DDOS攻擊的特征，但是它必須在收到這些數(shù)據(jù)包之后才能對數(shù)據(jù)包進行分析，而這些數(shù)據(jù)包在收過來的時候其實就已經(jīng)占用了LAN口的帶寬資源，由于路由器和防火墻都在局域網(wǎng)的最外端，這樣的網(wǎng)絡(luò)結(jié)構(gòu)已經(jīng)決定了它們無法在攻擊數(shù)據(jù)包產(chǎn)生的時候就進行封堵，而且這些設(shè)備大部分還是采用100MB的帶寬與LAN交換機相連，加上大部分的局域網(wǎng)交換機都是線速轉(zhuǎn)發(fā)的二層交換機，受感染客戶端發(fā)送的大量數(shù)據(jù)包可以很快用完這些帶寬，因此網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)膲毫Χ技虞d在路由器的LAN端口，這時候很多正常的請求都無法順利通過LAN口提交過去，因此即使路由器知道哪些是正常的請求也無濟于事。

三、局域網(wǎng)面臨的威脅

對計算機局域網(wǎng)造成威脅的因素很多，有些可能是有意的，也可能是無意的，可能是人為的，也可能是非人為的，可能是外來黑客對網(wǎng)絡(luò)系統(tǒng)資源的非法使用。歸結(jié)起來有以下幾點：

（一）人為因素

人為的無意失誤：如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的帳號隨意轉(zhuǎn)借他們或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。

人為的惡意攻擊：這是局域網(wǎng)網(wǎng)絡(luò)所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進行截獲，竊取，破譯以及獲得重要機密信息。這兩種攻擊均可以對局域網(wǎng)網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致數(shù)據(jù)的泄露。

（二）內(nèi)網(wǎng)的攻擊

由于使用局域網(wǎng)的大部分是有計算機知識的人，他們的好奇心都是相當強的，而且現(xiàn)在各種攻擊手段的教材隨處都可以看得到，所以有少數(shù)局域網(wǎng)用戶就把局域網(wǎng)作為攻擊的對象。他們選擇攻擊局域網(wǎng)網(wǎng)絡(luò)是因為局域網(wǎng)網(wǎng)絡(luò)對于他們來說是內(nèi)網(wǎng)，IP地址基本是在內(nèi)部公開的，這樣可以很方便的隱藏自己的IP地址，對局域網(wǎng)進行泛洪等的基本攻擊，并可以很快見到他們攻擊所帶來的危害。在內(nèi)網(wǎng)中根據(jù)IP地址很容易找到局域網(wǎng)的網(wǎng)段，這樣就很容易運用ARP欺騙等攻擊手段。

現(xiàn)在互聯(lián)網(wǎng)上第三方黑客的攻擊軟件也越來越多，方法也越來越復(fù)雜，為局域網(wǎng)絡(luò)的網(wǎng)絡(luò)安全帶來了嚴峻的考驗[2]

（三）外網(wǎng)的攻擊

“黑客”來自于英文單詞HACKER，原來是指那些具有很高水平的計算機程序員，后來指那些企圖非法入侵別人計算機系統(tǒng)，肆意破壞的人。黑客的目的一般都是竊取機密數(shù)據(jù)或破壞系統(tǒng)運行，黑客會對局域網(wǎng)網(wǎng)絡(luò)設(shè)備進行信息轟炸，致使服務(wù)中斷，也可能入侵WEB 或其它文件服務(wù)器，刪除或篡改數(shù)據(jù)，致命系統(tǒng)癱瘓甚至完全崩潰，此外黑客還有可能向局域網(wǎng)網(wǎng)絡(luò)傳附帶病毒的文件，達到間接破壞的目的，因此黑客的攻擊不僅殺傷力大，而且隱蔽性強。[3]局域網(wǎng)由于其是一個為網(wǎng)內(nèi)用戶實現(xiàn)連接到互聯(lián)網(wǎng)的手段，因此也就具備了網(wǎng)絡(luò)信息系統(tǒng)所應(yīng)該有的致命的脆弱性，開放性和易受攻擊性。

（四）計算機病毒

為了獲得一些非正當?shù)睦妫芏嗖《鹃_發(fā)者打起了局域網(wǎng)的主意，因此局域網(wǎng)也成為了病毒的高發(fā)地區(qū)。例如我們之前提到過的針對網(wǎng)游熱火而產(chǎn)生的ARP病毒和針對網(wǎng)私服的DDOS 以及針對服務(wù)器的SYN 等都是病毒。這些都是開發(fā)者們?yōu)榱吮I取一些資料或一些利益而研制的。它們嚴重的時候可以直接引起整個局域網(wǎng)的網(wǎng)絡(luò)堵塞甚至系統(tǒng)癱瘓。2006年年底的“熊貓燒香”病毒就給我們國家?guī)砹司薮蟮膿p失和煩惱，就在2007年年初又出現(xiàn)了“熊貓燒香”的變種“金豬拜年”，可見病毒的變種能力非常強，并且計算機病毒的破壞力也是無法估計的。有很多病毒在計算機感染后并不發(fā)作，要等到條件成熟才會進行破壞，有的是時間，有的是是否安裝了什么服務(wù)。而病毒的主要傳播途徑主要是通過網(wǎng)絡(luò)下載，移動存儲設(shè)備，而且病毒都是自動傳播的，一旦局域網(wǎng)內(nèi)一臺計算機感染，局域網(wǎng)內(nèi)所有計算機都會受到威脅。

四、局域網(wǎng)網(wǎng)絡(luò)安全策略

（一）應(yīng)用防火墻

防火墻是近期發(fā)展起來的一種保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施，它是一個用以阻止網(wǎng)絡(luò)中的黑客訪問某個機構(gòu)網(wǎng)絡(luò)的屏障，也可稱之為控制進出兩個方向通信的門檻。它是將內(nèi)網(wǎng)和外網(wǎng)進行分離，對經(jīng)過它的網(wǎng)絡(luò)數(shù)據(jù)進行掃描，過濾掉非法數(shù)據(jù)，從而禁止非授權(quán)用戶訪問數(shù)據(jù)，但是卻允許合法用戶透明地訪問網(wǎng)絡(luò)資源。當前防火墻的主要類型有：監(jiān)測型，代理型，網(wǎng)絡(luò)地址轉(zhuǎn)化NAT，包過濾型等，應(yīng)用好防火墻并對防火墻進行正確的設(shè)置將對局域網(wǎng)網(wǎng)絡(luò)的安全起著十分重要的作用。目前多數(shù)路由器，交換機等都內(nèi)嵌數(shù)據(jù)包過濾功能，管理員可在其中設(shè)置訪問列表來實現(xiàn)包過濾功能。在INTERNET網(wǎng)關(guān)處安裝一個含有數(shù)據(jù)包過濾功能的路由器，即可實現(xiàn)數(shù)據(jù)包過濾防火墻。這種應(yīng)用模式不必使用專業(yè)的防火墻產(chǎn)品。具備成本低，速度快，實現(xiàn)方便等特點。但容易出現(xiàn)配置不當錯誤，也無法處理應(yīng)用層發(fā)起的攻擊，數(shù)據(jù)包過濾防火墻的安全防御能力較差。難以實現(xiàn)復(fù)雜的安全策略。實用中還有必要在桌面系統(tǒng)中配備防病毒軟件。在各種類型的局域網(wǎng)中，服務(wù)器是最容易受到攻擊的，為了保證服務(wù)器的安全，需要在服務(wù)器與路由器之間設(shè)置防火墻，并設(shè)置合理的安全策略，有效防范來自公隗的攻擊。[4]

（二）用交換機解決局域網(wǎng)攻擊問題。

要解決局域網(wǎng)的安全問題，交換機就不能再純粹完成轉(zhuǎn)發(fā)工作了事，還需要判斷數(shù)封堵一些常見病毒所使用的端口，以及進行端口速率限制。如果這些功能轉(zhuǎn)移到交換機上，就可以防止這些病毒端口發(fā)送的數(shù)據(jù)包到達路由器，從而減輕路由器的負擔，保證局域網(wǎng)其他用戶的正常上網(wǎng)。而為了能夠識別各種惡意數(shù)據(jù)流量，交換機上就必須使用一款智能芯片，使其具有以下特點：

（1）支持基于IP，MAC應(yīng)用的訪問控制列表功能（ACL）；

（2）支持常見病毒端口過濾功能；

（3）支持基于端口，IP，MAC，應(yīng)用的速率限制；

（4）支持基于端口，IP，MAC，802.1P和應(yīng)用的優(yōu)先級控制（QOS）；

（5）支持基于MAC+IP+VLAN+端口的綁定；

（6）支持ARP攻擊和DDOS攻擊事件記錄日志。

（三）系統(tǒng)補丁程序的安裝

及時地安裝補丁程序也是很好的維護網(wǎng)絡(luò)安全方法。有很多病毒就是應(yīng)用了系統(tǒng)的漏洞，對計算機達到破壞作用。黑客也能通過系統(tǒng)漏洞侵入對方計算機，對其計算機進行破壞。例如尼姆達病毒正是利用了WINDOWS的一系列網(wǎng)絡(luò)安全漏洞進行傳播，它的破壞力也是有目共睹的。IS6.0版服務(wù)器不容易感染上尼姆達病毒。同尼姆達病毒同樣臭名昭著的紅色代碼也是如此，可以打上微軟的Q300972補丁，或者可以給整個操作系統(tǒng)打上最新的WINDOWS2000 ADVA NCE SP3補丁，但請注意有些數(shù)據(jù)庫并不支持最新的SP3，我們只能下載單獨補丁補上安全漏洞。另外，補丁的安裝應(yīng)該在所有應(yīng)用程序安裝完之后，因為補丁程序往往要替換或修改某些系統(tǒng)文件，如果先安裝補丁餌安裝應(yīng)用程序有可能導(dǎo)致補丁不能起到就有的效果。

五、結(jié)束語

對于大中型企業(yè)網(wǎng)絡(luò)來說，關(guān)于局域網(wǎng)內(nèi)部的管理一直是一個非常復(fù)雜的問題，一個用戶哪怕只是不小心點擊一個惡意網(wǎng)站的鏈接，就會在幾秒鐘之內(nèi)感染病毒，然后立刻影響到整個局域網(wǎng)的安全和穩(wěn)定，加上現(xiàn)在惡意網(wǎng)站非常泛濫，病毒傳播手段花樣疊出，局域網(wǎng)安全必須受到廣大網(wǎng)絡(luò)管理人員的重視。因此，認清局域網(wǎng)的脆弱和潛在的威脅，采取強有力的安全策略，對于保障網(wǎng)絡(luò)的安全性將變得十分重要。

參考文獻

[1]方美琪 王寧 《全國計算機等級考試一級教程》2004，53

[2]鐘平。校園網(wǎng)安全防范技術(shù)研究[DB]CNKI系列數(shù)據(jù)庫，2007

[3]王秀和，楊明。計算機網(wǎng)絡(luò)安全技術(shù)淺析[J]中國教育技術(shù)設(shè)備，2007(5)

[4]李輝。計算機網(wǎng)絡(luò)安全與對策[J]濰坊學(xué)院學(xué)報，2007(3)