汪欽

摘要：網(wǎng)絡(luò)有著開(kāi)放，互聯(lián)，傳播等特性，黑客入侵、ARP攻擊、拒絕服務(wù)攻擊DoS行為、惡意代碼，終端盜取等欺騙，各種攻擊行為屢見(jiàn)不鮮，網(wǎng)絡(luò)安全成為信息社會(huì)重中之重。本文從局域網(wǎng)絡(luò)入侵和攻擊常見(jiàn)的方法入手，談?wù)勅绾瓮ㄟ^(guò)防火墻、入侵檢測(cè)IDS、入侵防護(hù)IPS、日常管理等防范局域網(wǎng)絡(luò)遭受入侵和攻擊，確保信息和商務(wù)的安全。

關(guān)鍵詞：網(wǎng)絡(luò)安全；網(wǎng)絡(luò)入侵；DoS；入侵檢測(cè)；防火墻；ARP攻擊

一、前言

近年來(lái)，隨著計(jì)算機(jī)技術(shù)和通訊技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)技術(shù)也得到飛躍，當(dāng)今世界，無(wú)疑是一個(gè)網(wǎng)絡(luò)的世界，人們通過(guò)網(wǎng)絡(luò)全天候的通訊，搜集信息，發(fā)現(xiàn)和交易。

各個(gè)企業(yè)在這個(gè)世界里也嗅到商機(jī)，開(kāi)始搭建自己的網(wǎng)絡(luò)，進(jìn)行網(wǎng)絡(luò)辦公，網(wǎng)絡(luò)交易，剛開(kāi)始在這種開(kāi)放的環(huán)境中，很多企業(yè)在得到網(wǎng)絡(luò)給我們帶來(lái)好處的同時(shí)，也引來(lái)了困惑，我們的信息被別人獲取，信息的內(nèi)容被他人篡改，我們的網(wǎng)絡(luò)經(jīng)常癱瘓，服務(wù)器經(jīng)常崩潰，資源被耗盡，我們經(jīng)常遭受到不明身份的入侵。怎么辦？本文將從系統(tǒng)漏洞、局域網(wǎng)的入侵和如何防御展開(kāi)論述。

二、安全漏洞簡(jiǎn)述

網(wǎng)絡(luò)的便利、高效、開(kāi)放、共享等特性，決定了網(wǎng)絡(luò)遭受威脅攻擊不可避免，大到國(guó)家機(jī)密信息竊取，小到一個(gè)公司和個(gè)人主機(jī)網(wǎng)絡(luò)服務(wù)中斷，數(shù)據(jù)破壞等，網(wǎng)絡(luò)存在安全漏洞給了黑客有機(jī)可乘。

1.系統(tǒng)本身的漏洞

如今的計(jì)算機(jī)操作系統(tǒng)幾乎都是多用戶(hù)交互式平臺(tái)，功能越來(lái)越多，對(duì)各種接口進(jìn)行多方位的支持，開(kāi)放的端口也跟越來(lái)越多，漏洞也跟著多起來(lái)，給攻擊者帶來(lái)了入侵的機(jī)會(huì)，有些平臺(tái)服務(wù)年久，像WINXP為我們服務(wù)了十余年，暴露的漏洞也就更多，攻擊研究的時(shí)間也越長(zhǎng)，也就越容易受到攻擊。

2.TCP/IP協(xié)議的漏洞

TCP/IP協(xié)議棧是應(yīng)用于現(xiàn)實(shí)的網(wǎng)絡(luò)體系架構(gòu)，網(wǎng)絡(luò)通信離不開(kāi)它，但TCP/IP也有漏洞，它不能對(duì)IP源地址進(jìn)行判別，IP只是一個(gè)實(shí)干家，它只負(fù)責(zé)尋址和路由，至于有沒(méi)有發(fā)錯(cuò)，它從不關(guān)心，這樣就有可能被黑客利用偵聽(tīng)方式竊取數(shù)據(jù)，篡改路由。另外TCP/IP上層協(xié)議的應(yīng)用都依賴(lài)于響應(yīng)端口，需要把相應(yīng)的端口開(kāi)放，如HTTP的80端口，F(xiàn)TP的21端口，SMTP的25端口，遠(yuǎn)程桌面的3389端口等，端口的開(kāi)放給了網(wǎng)絡(luò)攻擊者入侵的機(jī)會(huì)。

三、常見(jiàn)的入侵防御

從計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)來(lái)看，入侵防御重點(diǎn)要從防火墻，防病毒，入侵檢測(cè)和入侵防護(hù)著手，甚至要進(jìn)行技術(shù)策略組合才能防范入侵，確保網(wǎng)絡(luò)安全。較常用的技術(shù)有防火墻技術(shù)，安全掃描技術(shù)，防病技術(shù)。

1.防火墻技術(shù)

1.1、防火墻簡(jiǎn)介

防火墻是為了保護(hù)網(wǎng)絡(luò)安全而使用的技術(shù)，它采用隔離控制技術(shù)，在某個(gè)企業(yè)的網(wǎng)絡(luò)和不安全的公共網(wǎng)絡(luò)（像Internet）之間設(shè)置屏障，按照指定的安全控制策略，阻止外網(wǎng)用戶(hù)對(duì)內(nèi)部網(wǎng)絡(luò)信息資源的非法訪問(wèn)，當(dāng)然也可以阻止內(nèi)部信息向外泄露。表現(xiàn)形式可以是一個(gè)硬件防火墻，路由器，一臺(tái)電腦，也可以是有安全策略的防火墻軟件。

1.2、防火墻的關(guān)鍵技術(shù)

（1）包過(guò)濾防火墻

包過(guò)濾技術(shù)是防火墻中一項(xiàng)重要的安全技術(shù)，像一個(gè)開(kāi)關(guān)電路，通過(guò)在網(wǎng)絡(luò)邊界上對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行過(guò)濾控制，管理員可以配置若干規(guī)則，對(duì)流入和流出的地址，端口、方向、服務(wù)、訪問(wèn)時(shí)間設(shè)定允許還是攔截，它是一種基于網(wǎng)絡(luò)層的防火墻技術(shù)。

（2）代理技術(shù)

代理服務(wù)型是一種基于應(yīng)用層的防火墻。代理服務(wù)型防火墻最突出的優(yōu)點(diǎn)是安全，工作在最高層?？梢詫?duì)網(wǎng)絡(luò)中任何一層的數(shù)據(jù)進(jìn)行過(guò)慮篩選保護(hù)，而包過(guò)濾只能對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行過(guò)濾。但是代理型速度慢，對(duì)網(wǎng)關(guān)的吞吐量要求高。

1.3、防火墻配置策略

外部屏蔽路由區(qū)的訪問(wèn)策略：允許外網(wǎng)用戶(hù)訪問(wèn)DMZ區(qū)的WEB服務(wù)器和郵件服務(wù)器，其他禁止。

內(nèi)部屏蔽路由器的訪問(wèn)策略：允許內(nèi)部用戶(hù)訪問(wèn)外網(wǎng)，不允許外網(wǎng)用戶(hù)訪問(wèn)內(nèi)網(wǎng)；允許內(nèi)部網(wǎng)用戶(hù)訪問(wèn)DMZ區(qū)，不允許DMZ區(qū)網(wǎng)絡(luò)用戶(hù)訪問(wèn)內(nèi)部網(wǎng)絡(luò)。

2.入侵檢測(cè)系統(tǒng)IDS

入侵檢測(cè)（Intrusion Detection System）是指發(fā)現(xiàn)、跟蹤并記錄或復(fù)制計(jì)算機(jī)系統(tǒng)或計(jì)算機(jī)網(wǎng)絡(luò)事的非授權(quán)，不可信任的行為，發(fā)現(xiàn)并調(diào)查系統(tǒng)中可能為試圖入侵或病毒感染而帶來(lái)的異常活動(dòng)。是一種積極主動(dòng)安全防護(hù)技術(shù)，使網(wǎng)絡(luò)和系統(tǒng)免遭非法攻擊的網(wǎng)絡(luò)安全技術(shù)，IDS具有較好的安全規(guī)則，并監(jiān)視系統(tǒng)運(yùn)行，網(wǎng)絡(luò)運(yùn)行狀況，對(duì)有攻擊企圖，攻擊行為，攻擊結(jié)果進(jìn)行檢測(cè)，保護(hù)網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的保密性、不可篡改以及可用和有效性。IDS產(chǎn)品一般在網(wǎng)絡(luò)中是旁路式工作，部署在網(wǎng)絡(luò)內(nèi)部的監(jiān)控點(diǎn)比較合適。

3.設(shè)備配置防御

今天的防火墻、路由器、交換機(jī)帶有部分的抵御入侵攻擊的功能，只要做好相應(yīng)的命令配置就可以。像ARP病毒的傳播，DHCP欺騙等，如DHCP欺騙，就是通過(guò)非信任端口的DHCP服務(wù)器獲得IP信息，我們可以在接入層交換機(jī)上啟用DHCP Snooping 監(jiān)聽(tīng)機(jī)制隔離非法的DHCP服務(wù)器，通過(guò)DHCP Snooping 建立和維護(hù)DHCP Snooping綁定表并過(guò)濾掉不可信任的DHCP信息來(lái)防止DHCP欺騙。

4.網(wǎng)絡(luò)管理員日常管理要有防御

4.1、更新系統(tǒng)補(bǔ)丁，封堵系統(tǒng)漏洞

如最新的系統(tǒng)補(bǔ)丁打上后，當(dāng)收到大于65535個(gè)字節(jié)的數(shù)據(jù)包時(shí)，系統(tǒng)就會(huì)丟棄該數(shù)據(jù)包，能有效防止Ping of Death。可以用系統(tǒng)自帶的Windows Update，也可以用防毒軟件等掃描軟件幫我們的系統(tǒng)更新。

4.2、關(guān)閉不安全的服務(wù)和端口

WINDOWS下開(kāi)放的端口很多，病毒和黑客很容易通過(guò)這些端口連上你的主機(jī)，如TCP 135，139，445，593，1025端口，UDP 135，137，138，445，遠(yuǎn)程端口3389等，如不是特殊的應(yīng)用，可以關(guān)閉這些端口。關(guān)閉方法很多，我常用兩種：

（1）管理工具—服務(wù)（或者直接運(yùn)行services.msc），找到不要的服務(wù)禁止啟動(dòng)；

（2）配置IPSEC。管理工具-本地策略-IP安全策略-創(chuàng)建IP安全策略-創(chuàng)建新的IP安全策略，可以將不同協(xié)議（如TCP，UDP）中不需要的服務(wù)所對(duì)應(yīng)開(kāi)放的端口禁止。

4.3、漏洞掃描

漏洞掃描是基于漏洞數(shù)據(jù)庫(kù)，通過(guò)掃描等手段對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用的漏洞百的一種安全檢測(cè)行為，常與防火墻，入侵檢測(cè)系統(tǒng)結(jié)合使用，能有效提高網(wǎng)絡(luò)安全性，能有效評(píng)估網(wǎng)絡(luò)安全系數(shù)，在黑客攻擊前進(jìn)行防范。

4.4、病毒入侵防治技術(shù)

安裝網(wǎng)絡(luò)版查殺毒軟件，啟用病毒實(shí)時(shí)監(jiān)控，如上面的ARP病毒入侵，我們可安排一個(gè)網(wǎng)絡(luò)版的ARP防毒軟件進(jìn)行實(shí)時(shí)監(jiān)控；防毒軟件要定時(shí)升級(jí)病毒庫(kù)；進(jìn)行漏洞掃描，給系統(tǒng)打上安全補(bǔ)?。粚?duì)郵件進(jìn)行監(jiān)控。

五、結(jié)束語(yǔ)

防火墻技術(shù)、入侵檢測(cè)系統(tǒng)、日常系統(tǒng)漏洞掃描和升級(jí)補(bǔ)丁、IP安全策略的配置、病毒防治技術(shù)以及他們的組合可以用效的防止內(nèi)外不明用戶(hù)的威脅，以上講述的更多的是一種技術(shù)的防范，但實(shí)際上我們經(jīng)常遇到內(nèi)部人為的攻擊行為，還需要制定日常安全管理制度，如機(jī)房人員管理制度、保密制度、跟蹤審計(jì)制度、網(wǎng)絡(luò)系統(tǒng)日常維護(hù)制度、數(shù)據(jù)備份制度、病毒防范制度等。

參考文獻(xiàn)：

[1] 黃傳河. 網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師教程[M].清華大學(xué)出版社.2009-6.

[2] 謝垂民.朱國(guó)麟.電子商務(wù)師[M].廣東世界圖書(shū)出版公司.2012-7.

[3] 朱秀鋒.淺談?dòng)?jì)算機(jī)校園網(wǎng)絡(luò)安全漏洞及防范措施[D].衡州市技術(shù)工程學(xué)校，2011.endprint