趙志軍

[摘 要] 當(dāng)今社會(huì)網(wǎng)絡(luò)已成為人們信息通信的重要途徑，局域網(wǎng)通信給人類(lèi)帶來(lái)便捷，但伴隨著局域網(wǎng)通信也出現(xiàn)了很多不安全因素，導(dǎo)致局域網(wǎng)通信安全面臨著很多挑戰(zhàn)。分析局域網(wǎng)通信中存在的威脅因素，并總結(jié)提升局域網(wǎng)通信安全的防范措施。

[關(guān) 鍵 詞] 局域網(wǎng)；通信安全；防范措施

[中圖分類(lèi)號(hào)] TP393.1 [文獻(xiàn)標(biāo)志碼] A [文章編號(hào)] 2096-0603（2018）17-0128-02

一、局域網(wǎng)通信中存在的主要威脅

由于局域網(wǎng)開(kāi)放性和自由化的特點(diǎn)，網(wǎng)絡(luò)通信面臨的破壞和攻擊是多方面的，根據(jù)其特點(diǎn)將局域網(wǎng)通信中的威脅分為以下幾類(lèi)：

（一）計(jì)算機(jī)病毒入侵

很多人并不知情，多數(shù)的網(wǎng)絡(luò)攻擊、蠕蟲(chóng)攻擊都來(lái)自局域網(wǎng)內(nèi)部，因此不僅局域網(wǎng)需要有防火墻，單機(jī)上更需要防火墻，才能更好地防止病毒入侵，對(duì)病毒來(lái)源認(rèn)知的缺失也是一個(gè)主要的問(wèn)題，因此普及相關(guān)知識(shí)也十分必要。

由于計(jì)算機(jī)病毒是人為編寫(xiě)的程序，其具有不可預(yù)測(cè)性，不管是何種防病毒軟件都不可能百分百預(yù)防。同時(shí)計(jì)算機(jī)病毒具有隱蔽性和反復(fù)傳播性，使用未經(jīng)病毒檢測(cè)的移動(dòng)設(shè)備或文件操作，很容易感染病毒，特別是網(wǎng)絡(luò)病毒，會(huì)迅速傳播至局域網(wǎng)中的所有計(jì)算機(jī)。這種通過(guò)網(wǎng)絡(luò)傳播的計(jì)算機(jī)病毒，隱蔽性強(qiáng)，傳播速度快，破壞性強(qiáng)，清除難度大，往往清除了一部分計(jì)算機(jī)上的病毒，又可能會(huì)反復(fù)感染。

（二）漏洞攻擊

許多漏洞是由于開(kāi)發(fā)人員在硬件或軟件設(shè)計(jì)時(shí)考慮不周而造成的，特別是在網(wǎng)絡(luò)環(huán)境下，只重視網(wǎng)絡(luò)通信功能，而忽視了網(wǎng)絡(luò)安全情況，導(dǎo)致了網(wǎng)絡(luò)漏洞的產(chǎn)生。比如操作系統(tǒng)漏洞（系統(tǒng)模型本身的缺陷，操作系統(tǒng)程序配置不正確等）、網(wǎng)絡(luò)聊天軟件漏洞、瀏覽器漏洞、網(wǎng)絡(luò)硬件設(shè)備漏洞等，致使黑客利用木馬攻擊系統(tǒng)缺陷，造成網(wǎng)絡(luò)通信中斷，通信信息被竊取或監(jiān)聽(tīng)，甚至?xí)咕W(wǎng)絡(luò)癱瘓。

（三）防火墻配置不當(dāng)

局域網(wǎng)中雖然安裝了硬件或軟件防火墻，但由于配置不當(dāng)，就根本起不到隔離外界訪(fǎng)問(wèn)的作用。對(duì)默寫(xiě)網(wǎng)絡(luò)應(yīng)用程序，防火墻安全配置不正確，某些端口默認(rèn)開(kāi)啟，或者應(yīng)用程序或服務(wù)默認(rèn)開(kāi)啟，就給不法分子利用，除非用戶(hù)有較高的安全意識(shí)，能夠掌握對(duì)防火墻進(jìn)行專(zhuān)業(yè)的配置和管理，否則，防火墻雖有無(wú)用。防火墻配置不合理也會(huì)導(dǎo)致局域網(wǎng)內(nèi)計(jì)算機(jī)之間相互訪(fǎng)問(wèn)受到影響，局域網(wǎng)資源無(wú)法共享，甚至用戶(hù)對(duì)網(wǎng)絡(luò)資源的正常訪(fǎng)問(wèn)、操作也會(huì)受到影響。

（四）用戶(hù)安全意識(shí)不強(qiáng)

許多用戶(hù)使用U盤(pán)、SD卡、移動(dòng)硬盤(pán)等移動(dòng)存儲(chǔ)設(shè)備在局域網(wǎng)內(nèi)的計(jì)算機(jī)上進(jìn)行文件操作，或者從互聯(lián)網(wǎng)上下載應(yīng)用軟件，不小心將與該軟件捆綁在一起的流氓軟件同時(shí)下載并自動(dòng)安裝，這些文件沒(méi)有經(jīng)過(guò)安全檢查就帶入局域網(wǎng)，給木馬、蠕蟲(chóng)等病毒入侵有機(jī)可乘，增強(qiáng)了數(shù)據(jù)泄密的可能性。

同時(shí)，一臺(tái)電腦在內(nèi)外網(wǎng)之間頻繁切換使用，也極有可能造成病毒的傳遞，因?yàn)榇蠖鄶?shù)用戶(hù)在Internet網(wǎng)上使用過(guò)之后會(huì)在未經(jīng)許可的情況下繼續(xù)連接內(nèi)部網(wǎng)使用，很有可能成為病毒的攜帶者和傳遞者。

（五）環(huán)境威脅

局域網(wǎng)所在的環(huán)境指的是機(jī)房或網(wǎng)絡(luò)中心，一些自然或物理因素也會(huì)對(duì)局域網(wǎng)通信造成影響或干擾。比如，由于計(jì)算機(jī)設(shè)備帶電工作，只要有電流就會(huì)有電磁波，電磁波相互干擾造成通信中斷、網(wǎng)絡(luò)信號(hào)不穩(wěn)定、數(shù)據(jù)丟失；網(wǎng)絡(luò)中心服務(wù)器、存儲(chǔ)設(shè)備等需要在一定的物理?xiàng)l件下才能持續(xù)運(yùn)行，比如溫度、濕度等，如果空調(diào)等設(shè)備出現(xiàn)故障，也會(huì)對(duì)服務(wù)器、計(jì)算機(jī)的物理硬件造成影響。甚至自然災(zāi)害，如地震、洪水也會(huì)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全產(chǎn)生影響。

無(wú)論是系統(tǒng)設(shè)備損害，還是數(shù)據(jù)被破壞，都是難以估量的損失，所以環(huán)境威脅也是局域網(wǎng)通信安全面臨的一大主要原因。

二、局域網(wǎng)通信防范措施

（一）連接設(shè)備安全技術(shù)

由于局域網(wǎng)內(nèi)眾多的硬件設(shè)備，它們構(gòu)成了網(wǎng)絡(luò)中的不同節(jié)點(diǎn)，這些設(shè)備的安全連接至關(guān)重要。在局域網(wǎng)內(nèi)，我們可以從以下三方面保障連接設(shè)備的安全性：

安全性能：例如關(guān)閉DHCP服務(wù)功能，IP地址采用綁定模式設(shè)置，或者綁定網(wǎng)卡MAC地址，不允許外帶的計(jì)算機(jī)接入局域網(wǎng)，阻止非法用戶(hù)進(jìn)入局域網(wǎng)內(nèi)部，對(duì)數(shù)據(jù)的訪(fǎng)問(wèn)采用過(guò)濾規(guī)則，合法計(jì)算機(jī)發(fā)送的數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)，非法發(fā)送的數(shù)據(jù)進(jìn)行攔截。

安全設(shè)置：（1）在三層交換機(jī)上劃分虛擬局域網(wǎng)，根據(jù)通信功能和應(yīng)用因素將局域網(wǎng)化分成多個(gè)虛擬子網(wǎng)，通過(guò)配置通信規(guī)則限制和隔離非法用戶(hù)。（2）將交換機(jī)的某些端口劃分為一個(gè)邏輯組，配置端口訪(fǎng)問(wèn)規(guī)則，限定某些MAC地址或IP對(duì)該端口的訪(fǎng)問(wèn)。

安全管理：（1）保障交換機(jī)的設(shè)備在必需的工作環(huán)境下運(yùn)行，規(guī)范放置交換機(jī)。（2）對(duì)交換機(jī)配置不同的密碼，比如Console口密碼、遠(yuǎn)程登錄密碼等，并定期更改密碼。（3）備份交換機(jī)的相關(guān)配置文件，及時(shí)檢查安全日志，并進(jìn)行備份。

（二）域控制技術(shù)

在“域”模式下，域服務(wù)器負(fù)責(zé)驗(yàn)證每一臺(tái)接入局域網(wǎng)的計(jì)算機(jī)和用戶(hù)的合法性，域控制器中存儲(chǔ)了域的賬戶(hù)、密碼、屬于這個(gè)域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫(kù)。當(dāng)計(jì)算機(jī)接入局域網(wǎng)時(shí)，域控制器會(huì)檢查該計(jì)算機(jī)是否屬于該域，域賬號(hào)、密碼是否正確，只有三者全部正確才能訪(fǎng)問(wèn)服務(wù)器上的網(wǎng)絡(luò)資源。在局域網(wǎng)內(nèi)使用域控制器有以下優(yōu)點(diǎn)：（1）權(quán)限集中管理，所有的網(wǎng)絡(luò)資源、用戶(hù)都在域控制器上進(jìn)行維護(hù)，便于統(tǒng)一集中管理。用戶(hù)想要登錄到域，必須在域控制器上進(jìn)行身份驗(yàn)證。（2）用戶(hù)創(chuàng)建的文件和數(shù)據(jù)可以存儲(chǔ)在域服務(wù)器上，在服務(wù)器上進(jìn)行備份，當(dāng)本機(jī)文件丟失時(shí)，可以從域服務(wù)器上快速恢復(fù)。（3）可以指定不同賬號(hào)對(duì)各種網(wǎng)絡(luò)資源的不同訪(fǎng)問(wèn)權(quán)限，網(wǎng)絡(luò)資源的位置改變不會(huì)對(duì)用戶(hù)訪(fǎng)問(wèn)造成影響，用戶(hù)不必記住要訪(fǎng)問(wèn)的服務(wù)器名稱(chēng)。

（三）防火墻技術(shù)

防火墻廣泛用于局域網(wǎng)安全，有效隔離了外界對(duì)局域網(wǎng)內(nèi)部的攻擊。采用合理的配置，建立ACL訪(fǎng)問(wèn)控制列表，只有合法的用戶(hù)和數(shù)據(jù)才能訪(fǎng)問(wèn)局域網(wǎng)，拒絕非法用戶(hù)的訪(fǎng)問(wèn)，有效阻止了黑客的非法入侵，為局域網(wǎng)安裝上了一扇安全大門(mén)。為了保障局域網(wǎng)通信的安全，就必須正確安裝防火墻并嚴(yán)格進(jìn)行配置，才能讓防火墻發(fā)揮更大的作用。

在局域網(wǎng)內(nèi)安裝防火墻有以下優(yōu)點(diǎn)：

（1）將內(nèi)部網(wǎng)和公共網(wǎng)進(jìn)行隔離，保證內(nèi)部網(wǎng)免受非法用戶(hù)的侵入。

（2）防火墻將局域網(wǎng)分成內(nèi)網(wǎng)、外網(wǎng)、隔離區(qū)，方便對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行管理。

（3）通過(guò)防火墻設(shè)置過(guò)濾機(jī)制，實(shí)現(xiàn)端口級(jí)限制，限制局域網(wǎng)內(nèi)用戶(hù)對(duì)外網(wǎng)的訪(fǎng)問(wèn)。

（4）通過(guò)流量機(jī)制，確保局域網(wǎng)內(nèi)部用戶(hù)有線(xiàn)對(duì)帶寬的使用。

（四）監(jiān)控技術(shù)

在局域網(wǎng)內(nèi)采用入侵檢測(cè)技術(shù)，通過(guò)檢測(cè)入侵者訪(fǎng)問(wèn)局域網(wǎng)留下的痕跡，給出相關(guān)的提示或警告。準(zhǔn)確識(shí)別網(wǎng)絡(luò)攻擊行為是入侵檢測(cè)技術(shù)的關(guān)鍵。入侵檢測(cè)系統(tǒng)需要更多的智能化機(jī)制，要實(shí)現(xiàn)對(duì)數(shù)據(jù)的智能分析，統(tǒng)計(jì)并分析異常行為，識(shí)別違反安全策略的用戶(hù)活動(dòng)。入侵檢測(cè)是一種主動(dòng)的安全防御技術(shù)，提供了對(duì)內(nèi)網(wǎng)的實(shí)時(shí)保護(hù)。入侵檢測(cè)系統(tǒng)安裝在局域網(wǎng)隔離區(qū)以及托管機(jī)房服務(wù)器區(qū)，它具有以下優(yōu)點(diǎn)：

1.及時(shí)監(jiān)控局域網(wǎng)內(nèi)的數(shù)據(jù)，檢測(cè)網(wǎng)絡(luò)中的異常操作或連接。

2.中斷異常連接，對(duì)檢測(cè)到的異常訪(fǎng)問(wèn)，及時(shí)斷開(kāi)該計(jì)算機(jī)與局域網(wǎng)的連接。

3.警示機(jī)制，檢測(cè)出異常后，向防火墻發(fā)送指令，限時(shí)隔離該機(jī)訪(fǎng)問(wèn)網(wǎng)絡(luò)資源。

總之，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)通信安全技術(shù)也在與時(shí)俱進(jìn)，增強(qiáng)網(wǎng)絡(luò)安全防護(hù)意識(shí)至關(guān)重要。由于網(wǎng)絡(luò)安全面臨著眾多的挑戰(zhàn)，網(wǎng)絡(luò)防范措施也隨著這些挑戰(zhàn)不斷發(fā)展，在局域網(wǎng)安全管理中，要將這些措施綜合運(yùn)用，才能構(gòu)建一個(gè)安全的防范體系。

參考文獻(xiàn)：

[1]林國(guó)慶.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)[J].恩施職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2007（1）.

[2]楊朝軍.關(guān)于計(jì)算機(jī)通信網(wǎng)絡(luò)安全與防護(hù)策略的幾點(diǎn)思考[J].硅谷，2008（22）.

[3]陶競(jìng)立，羅開(kāi)田.計(jì)算機(jī)網(wǎng)絡(luò)的安全與保障技術(shù)研究[J].時(shí)代教育（教育教學(xué)），2010（4）.