計算機畢業(yè)論文--局域網(wǎng)安全策略研究

1、<p><b>　　畢業(yè)設計（論文）</b></p><p>　　題目 局域網(wǎng)安全策略研究 </p><p>　　系 名： 信息工程系 </p><p>　　專 業(yè)： 計算機網(wǎng)絡技術 </p><p>　　班 級： 網(wǎng)絡08

2、-1 </p><p>　　學 號： </p><p>　　姓 名： </p><p>　　指導教師： </p><p>　　完成日期： 2011年5月 </

3、p><p><b>　　目 錄</b></p><p>　　摘要 1 </p><p><b>　　第一章 概述1</b></p><p>&l

4、t;b>　　1.1 局域網(wǎng)1</b></p><p>　　1.2無線局域網(wǎng)1</p><p>　　1.3威脅局域網(wǎng)信息系統(tǒng)的因素2</p><p>　　1.3.1 硬件因素2</p><p>　　1.3.2 軟件因素3</p><p>　　1.3.3 計算機病毒3</p>&

5、lt;p>　　1.3.4 管理因素3</p><p>　　1.3.5 設備運行環(huán)境3</p><p>　　第二章 網(wǎng)絡安全4</p><p>　　2.1 網(wǎng)絡安全的定義4</p><p>　　2.2 主要特性5</p><p>　　2.3 它與網(wǎng)絡性能和功能的關系5</p><

6、p>　　2.4 網(wǎng)絡安全分析6</p><p>　　2.4.1 物理安全分析6</p><p>　　2.4.2 網(wǎng)絡結構的安全分析6</p><p>　　2.4.3 系統(tǒng)的安全分析6</p><p>　　2.4.4 應用系統(tǒng)的安全分析7</p><p>　　2.4.5 管理的安全風險分析7</p

7、><p>　　第三章 局域網(wǎng)安全策略9</p><p>　　3.1 網(wǎng)絡安全對策9</p><p>　　3.1.1 強化網(wǎng)絡安全意識9</p><p>　　3.1.2 加強制度建設9</p><p>　　3.2 局域網(wǎng)病毒與ARP攻擊10</p><p>　　3.2.1 局域網(wǎng)病毒特點

8、10</p><p>　　3.2.2 ARP攻擊對網(wǎng)絡的影響11</p><p>　　3.2.3 局域網(wǎng)病毒的防范12</p><p>　　3.3 局域網(wǎng)面對攻擊的安全策略13</p><p>　　3.3.1 包過濾13</p><p>　　3.3.2 防火墻15</p><p>　　

9、3.4 局域網(wǎng)安全十大策略17</p><p>　　3.4.1 注意內網(wǎng)安全與網(wǎng)絡邊界安全的不同17</p><p>　　3.4.2 限制VPN的訪問17</p><p>　　3.4.3 為合作企業(yè)網(wǎng)建立內網(wǎng)型的邊界防護17</p><p>　　3.4.4 自動跟蹤的安全策略18</p><p>　　3.4.

10、5 關掉無用的網(wǎng)絡服務器18</p><p>　　3.4.6 首先保護重要資源18</p><p>　　3.4.7 建立可靠的無線訪問18</p><p>　　3.4.8 建立安全過客訪問18</p><p>　　3.4.9 創(chuàng)建虛擬邊界防護19</p><p>　　3.4.10 可靠的安全決策19<

11、/p><p>　　第四章 無線局域網(wǎng)安全策略設置20</p><p>　　4.1 如何安全部署無線局域網(wǎng)？20</p><p>　　4.1.1 定義用戶基礎20</p><p>　　4.1.2 確定適當?shù)挠猛?0</p><p>　　4.1.3 準備安全安裝20</p><p>　　4.

12、1.4 確定有效的安全設置20</p><p>　　4.1.5 為設備和數(shù)據(jù)丟失設計恢復計劃21</p><p>　　4.1.6 對員工和用戶安排適當?shù)呐嘤?1</p><p>　　4.1.7 為網(wǎng)絡管理和監(jiān)控提供指導方針21</p><p>　　4.2 如何加固已安裝無線局域網(wǎng)安全？21</p><p>　

13、　4.2.1 修改管理員密碼和用戶名21</p><p>　　4.2.2 升級wifi加密22</p><p>　　4.2.3 修改默認系統(tǒng)ID22</p><p>　　4.2.4 MAC地址過濾23</p><p>　　4.2.5 禁止網(wǎng)絡廣播23</p><p>　　4.2.6 對開放wifi網(wǎng)絡的自動連

14、接?23</p><p>　　4.2.7 使用內置防火墻24</p><p>　　4.2.8 路由器或訪問點的配置24</p><p>　　4.2.9 什么時候關閉網(wǎng)絡?25</p><p>　　4.2.10 通過安全測試提升有效性25</p><p><b>　　第五章 總結26</b&g

15、t;</p><p>　　5.1 物理方面26</p><p>　　5.2 軟件方面26</p><p>　　5.3 設備方面27</p><p>　　5.4 互聯(lián)網(wǎng)方面27</p><p><b>　　小結29</b></p><p><b>　　致謝

16、30</b></p><p><b>　　參考資料31</b></p><p><b>　　摘 要</b></p><p>　　隨著信息社會的到來，作為基礎設施的局域網(wǎng)絡部署越來越廣泛，但由于計算機信息的共享及網(wǎng)絡特有的開放性，在局域網(wǎng)絡發(fā)展的同時，伴之而來的信息安全威脅在不斷增加，局域網(wǎng)絡的安全性也正

17、引起人們的重視。</p><p>　　本文通過分析目前威脅網(wǎng)絡安全的種種手段為切入點，側重分析如何使用計算機自帶工具與軟件以及人為的操作來做好網(wǎng)絡安全策略。最后，通過分析影響局域網(wǎng)的安全的因數(shù)，總結一套完整的安全防范策略致力于引導幫助大眾做好局域網(wǎng)的安全防范。</p><p><b>　　關鍵詞：</b></p><p>　　局域網(wǎng)；無線局域網(wǎng)

18、；網(wǎng)絡安全；防火墻；安全策略</p><p><b>　　第一章 概述</b></p><p><b>　　1.1 局域網(wǎng)</b></p><p><b>　　局域網(wǎng)</b></p><p>　　局域網(wǎng)(Local Area Network)是在一個局部的地理范圍內(如一個學校

19、、工廠和機關內)，將各種計算機、外部設備和數(shù)據(jù)庫等互相聯(lián)接起來組成的計算機通信網(wǎng)。它可以通過數(shù)據(jù)通信網(wǎng)或專用數(shù)據(jù)電路，與遠方的局域網(wǎng)、數(shù)據(jù)庫或處理中心相連接，構成一個大范圍的信息處理系統(tǒng)。局域網(wǎng)可以實現(xiàn)文件管理、應用軟件共享、打印機共享、掃描儀共享、工作組內的日程安排、電子郵件和傳真通信服務等功能。局域網(wǎng)是封閉型的，可以由辦公室內的兩臺計算機組成，也可以由一個公司內的上千臺計算機組成。圖1-1即為局域網(wǎng)示意圖： </p>

20、<p>　　圖1-1 局域網(wǎng)示意圖</p><p><b>　　1.2無線局域網(wǎng)</b></p><p>　　計算機局域網(wǎng)是把分布在數(shù)公里范圍內的不同物理位置的計算機設備連在一起，在網(wǎng)絡軟件的支持下可以相互通訊和資源共享的網(wǎng)絡系統(tǒng)。通常計算機組網(wǎng)的傳輸媒介主要依賴銅纜或光纜，構成有線局域網(wǎng)。但有線網(wǎng)絡在某些場合要受到布線的限制：布線、改線工程量大；線路容易損

21、壞；網(wǎng)中的各節(jié)點不可移動。特別是當要把相離較遠的節(jié)點聯(lián)結起來時，敷設專用通訊線路布線施工難度之大，費用、耗時之多，實是令人生畏。這些問題都對正在迅速擴大的聯(lián)網(wǎng)需求形成了嚴重的瓶頸阻塞，限制了用戶聯(lián)網(wǎng)。WLAN就是解決有線網(wǎng)絡以上問題而出現(xiàn)的。WLAN利用電磁波在空氣中發(fā)送和接受數(shù)據(jù)，而無需線纜介質。WLAN的數(shù)據(jù)傳輸速率現(xiàn)在已經能夠達到11Mbps，傳輸距離可遠至20km以上。無線聯(lián)網(wǎng)方式是對有線聯(lián)網(wǎng)方式的一種補充和擴展，使網(wǎng)上的計算機

22、具有可移動性，能快速、方便的解決以有線方式不易實現(xiàn)的網(wǎng)絡聯(lián)通問題。 如圖1-2所示：</p><p>　　圖1-2 無線局域網(wǎng)示意圖</p><p>　　1.3威脅局域網(wǎng)信息系統(tǒng)的因素</p><p>　　由于網(wǎng)絡資源的可共享性和網(wǎng)絡協(xié)議標準的開放性，致使計算機網(wǎng)絡信息系統(tǒng)存在著諸多安全隱患。威脅網(wǎng)絡安全的因素主要包括硬件、軟件、病毒、管理、設備運行環(huán)境及管理因素等

23、幾個方面。</p><p>　　1.3.1 硬件因素</p><p>　　網(wǎng)絡系統(tǒng)的硬件因素主要有三個方面：①用于數(shù)據(jù)傳輸?shù)木W(wǎng)絡交換設備配置是否合理。用于提供各項服務和數(shù)據(jù)存儲的服務器質量是否有保證；②底層線路的穩(wěn)定性，是否存在接觸隱患、磨損、老化等問題、底層交換路由設備的穩(wěn)定性或線路故障容易導致系統(tǒng)整體的可靠性和穩(wěn)定性的下降；③局域網(wǎng)內各類服務器提供服務種類較多，也使得網(wǎng)絡系統(tǒng)安全性存在

24、諸多的隱患。此外存儲磁盤陣列中的硬盤是計算機存儲的關鍵部件，隨著存儲密度和訪問量的增加，硬盤損壞幾率明顯增加，容易造成數(shù)據(jù)丟失的嚴重后果。</p><p>　　1.3.2 軟件因素</p><p>　　軟件因素包括操作系統(tǒng)軟件和應用軟件兩個方面。軟件本身的漏洞導致系統(tǒng)容易遭到計算機病毒或人為因素的破壞。高?，F(xiàn)有的各類管理系統(tǒng)中存在的一些漏洞，黑客可以對保護措施進行“反向工程”，發(fā)現(xiàn)缺陷對其

25、進行攻擊后就會造成數(shù)據(jù)丟失。保密性喪失，造成不能訪問和系統(tǒng)癱瘓等一系列安全問題。</p><p>　　1.3.3 計算機病毒</p><p>　　計算機病毒是指“編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”(《中華人民共和國計算機信息系統(tǒng)安全保護條例》)。計算機病毒以極強的傳染力傳播、擴散有害信息，一旦發(fā)作，就會破壞系

26、統(tǒng)和數(shù)據(jù)，造成嚴重損失和不良后果。</p><p>　　1.3.4 管理因素</p><p>　　管理因素主要包括網(wǎng)絡安全管理意識是否強化、制度是否健全、分工是否明確、督促檢查措施是否得力、經費是否充足等。主要問題如：專業(yè)安全意識不強，缺乏嚴格的管理制度，專業(yè)人員缺乏，隊伍建設滯后等。若管理存在問題，缺乏力度，漏洞較多，網(wǎng)絡系統(tǒng)安全將缺乏很好地保障。</p><p>

27、;　　該因素是對網(wǎng)絡安全影響最大、最不確定的因素。根據(jù)其動機與性質可分為兩類：其一是無意行為，主要是操作人員因專業(yè)素質或操作能力較低或是不夠熟練，在使用過程中操作失誤而造成的系統(tǒng)故障；其二為故意行為。主要是某些網(wǎng)絡黑客的蓄意攻擊而造成的系統(tǒng)故障。其危害主要是竊取數(shù)據(jù)、惡意破壞和非法使用網(wǎng)絡資源等。</p><p>　　1.3.5 設備運行環(huán)境</p><p>　　環(huán)境因素包括中心機房布局是

28、否合理．網(wǎng)絡中心機房和網(wǎng)絡設備的環(huán)境是否符合范要求，尤其是對中心機房的要求更加嚴格。網(wǎng)絡服務器對運行環(huán)境及負荷都有嚴格的要求。如果環(huán)境條件差，或者超負荷工作，都會使得故障發(fā)生頻率增加。</p><p>　　第二章 網(wǎng)絡安全</p><p>　　2.1 網(wǎng)絡安全的定義</p><p>　　網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意

29、的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。 網(wǎng)絡安全從其本質上來講就是網(wǎng)絡上的信息安全。從廣義來說，凡是涉及到網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網(wǎng)絡安全的研究領域。網(wǎng)絡安全是一門涉及計算機科學、網(wǎng)絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。</p><p>　　網(wǎng)絡安全的具體含義會隨著“角度”的變化而變化

30、。比如：從用戶（個人、企業(yè)等）的角度來說，他們希望涉及個人隱私或商業(yè)利益的信息在網(wǎng)絡上傳輸時受到機密性、完整性和真實性的保護，避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私。從網(wǎng)絡運行和管理者角度說，他們希望對本地網(wǎng)絡信息的訪問、讀寫等操作受到保護和控制，避免出現(xiàn)“陷門”、病毒、非法存取、拒絕服務和網(wǎng)絡資源非法占用和非法控制等威脅，制止和防御網(wǎng)絡黑客的攻擊。對安全保密部門來說，他們希望對非法的、有害的或涉及國家機密

31、的信息進行過濾和防堵，避免機要信息泄露，避免對社會產生危害，對國家造成巨大損失。從社會教育和意識形態(tài)角度來講，網(wǎng)絡上不健康的內容，會對社會的穩(wěn)定和人類的發(fā)展造成阻礙，必須對其進行控制。 </p><p>　　隨著計算機技術的迅速發(fā)展，在計算機上處理的業(yè)務也由基于單機的數(shù)學運算、文件處理，基于簡單連接的內部網(wǎng)絡的內部業(yè)務處理、辦公自動化等發(fā)展到基于復雜的內部網(wǎng)（Intranet）、企業(yè)外部網(wǎng)（Extranet）、全

32、球互聯(lián)網(wǎng)（Internet）的企業(yè)級計算機處理系統(tǒng)和世界范圍內的信息共享和業(yè)務處理。在系統(tǒng)處理能力提高的同時，系統(tǒng)的連接能力也在不斷的提高。但在連接能力信息、流通能力提高的同時，基于網(wǎng)絡連接的安全問題也日益突出，整體的網(wǎng)絡安全主要表現(xiàn)在以下幾個方面：網(wǎng)絡的物理安全、網(wǎng)絡拓撲結構安全、網(wǎng)絡系統(tǒng)安全、應用系統(tǒng)安全和網(wǎng)絡管理的安全等。 </p><p>　　因此計算機安全問題，應該像每家每戶的防火防盜問題一樣，做到防范

33、于未然。甚至不會想到你自己也會成為目標的時候，威脅就已經出現(xiàn)了，一旦發(fā)生，常常措手不及，造成極大的損失。</p><p><b>　　2.2 主要特性</b></p><p>　　網(wǎng)絡安全應具有以下五個方面的特征： </p><p>　　保密性：信息不泄露給非授權用戶、實體或過程，或供其利用的特性。 </p><p>　

34、　完整性：數(shù)據(jù)未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。 </p><p>　　可用性：可被授權實體訪問并按需求使用的特性。即當需要時能否存取所需的信息。例如網(wǎng)絡環(huán)境下拒絕服務、破壞網(wǎng)絡和有關系統(tǒng)的正常運行等都屬于對可用性的攻擊； </p><p>　　可控性：對信息的傳播及內容具有控制能力。 </p><p>　　可審

35、查性：出現(xiàn)的安全問題時提供依據(jù)與手段。</p><p>　　2.3 它與網(wǎng)絡性能和功能的關系</p><p>　　通常，系統(tǒng)安全與性能和功能是一對矛盾的關系。如果某個系統(tǒng)不向外界提供任何服務（斷開），外界是不可能構成安全威脅的。但是，企業(yè)接入國際互連網(wǎng)絡，提供網(wǎng)上商店和電子商務等服務，等于將一個內部封閉的網(wǎng)絡建成了一個開放的網(wǎng)絡環(huán)境，各種安全包括系統(tǒng)級的安全問題也隨之產生。 </p&

36、gt;<p>　　構建網(wǎng)絡安全系統(tǒng)，一方面由于要進行認證、加密、監(jiān)聽，分析、記錄等工作，由此影響網(wǎng)絡效率，并且降低客戶應用的靈活性；另一方面也增加了管理費用。 </p><p>　　但是，來自網(wǎng)絡的安全威脅是實際存在的，特別是在網(wǎng)絡上運行關鍵業(yè)務時，網(wǎng)絡安全是首先要解決的問題。 </p><p>　　選擇適當?shù)募夹g和產品，制訂靈活的網(wǎng)絡安全策略，在保證網(wǎng)絡安全的情況下，提供靈

37、活的網(wǎng)絡服務通道。采用適當?shù)陌踩w系設計和管理計劃，能夠有效降低網(wǎng)絡安全對網(wǎng)絡性能的影響并降低管理費用。 </p><p>　　2.4 網(wǎng)絡安全分析</p><p>　　2.4.1 物理安全分析</p><p>　　網(wǎng)絡的物理安全是整個網(wǎng)絡系統(tǒng)安全的前提。在校園網(wǎng)工程建設中，由于網(wǎng)絡系統(tǒng)屬于弱電工程，耐壓值很低。因此，在網(wǎng)絡工程的設計和施工中，必須優(yōu)先考慮保護人和網(wǎng)

38、絡設備不受電、火災和雷擊的侵害；考慮布線系統(tǒng)與照明電線、動力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離；考慮布線系統(tǒng)和絕緣線、裸體線以及接地與焊接的安全；必須建設防雷系統(tǒng)，防雷系統(tǒng)不僅考慮建筑物防雷，還必須考慮計算機及其他弱電耐壓設備的防雷?？傮w來說物理安全的風險主要有，地震、水災、火災等環(huán)境事故；電源故障；人為操作失誤或錯誤；設備被盜、被毀；電磁干擾；線路截獲；高可用性的硬件；雙機多冗余的設計；機房環(huán)境及報警系統(tǒng)、安全意識等，因

39、此要盡量避免網(wǎng)絡的物理安全風險。 </p><p>　　2.4.2 網(wǎng)絡結構的安全分析</p><p>　　網(wǎng)絡拓撲結構設計也直接影響到網(wǎng)絡系統(tǒng)的安全性。假如在外部和內部網(wǎng)絡進行通信時，內部網(wǎng)絡的機器安全就會受到威脅，同時也影響在同一網(wǎng)絡上的許多其他系統(tǒng)。透過網(wǎng)絡傳播，還會影響到連上Internet/Intrant的其他的網(wǎng)絡；影響所及，還可能涉及法律、金融等安全敏感領域。因此，我們在設計

40、時有必要將公開服務器（WEB、DNS、EMAIL等）和外網(wǎng)及內部其它業(yè)務網(wǎng)絡進行必要的隔離，避免網(wǎng)絡結構信息外泄；同時還要對外網(wǎng)的服務請求加以過濾，只允許正常通信的數(shù)據(jù)包到達相應主機，其它的請求服務在到達主機之前就應該遭到拒絕。 </p><p>　　2.4.3 系統(tǒng)的安全分析</p><p>　　所謂系統(tǒng)的安全是指整個網(wǎng)絡操作系統(tǒng)和網(wǎng)絡硬件平臺是否可靠且值得信任。目前恐怕沒有絕對安全的操

41、作系統(tǒng)可以選擇，無論是Microsfot 的Windows NT或者其它任何商用UNIX操作系統(tǒng)，其開發(fā)廠商必然有其Back-Door。因此，我們可以得出如下結論：沒有完全安全的操作系統(tǒng)。不同的用戶應從不同的方面對其網(wǎng)絡作詳盡的分析，選擇安全性盡可能高的操作系統(tǒng)。因此不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺，并對操作系統(tǒng)進行安全配置。而且，必須加強登錄過程的認證（特別是在到達服務器主機之前的認證），確保用戶的合法性；其次應該嚴格限制登錄

42、者的操作權限，將其完成的操作限制在最小的范圍內。 </p><p>　　2.4.4 應用系統(tǒng)的安全分析</p><p>　　應用系統(tǒng)的安全跟具體的應用有關，它涉及面廣。應用系統(tǒng)的安全是動態(tài)的、不斷變化的。應用的安全性也涉及到信息的安全性，它包括很多方面。 </p><p>　　——應用系統(tǒng)的安全是動態(tài)的、不斷變化的。 </p><p>　　應

43、用的安全涉及方面很多，以目前Internet上應用最為廣泛的E-mail系統(tǒng)來說，其解決方案有sendmail、Netscape Messaging Server、SoftwareCom Post.Office、Lotus Notes、Exchange Server、SUN CIMS等不下二十多種。其安全手段涉及LDAP、DES、RSA等各種方式。應用系統(tǒng)是不斷發(fā)展且應用類型是不斷增加的。在應用系統(tǒng)的安全性上，主要考慮盡可能建立安全的系

44、統(tǒng)平臺，而且通過專業(yè)的安全工具不斷發(fā)現(xiàn)漏洞，修補漏洞，提高系統(tǒng)的安全性。 </p><p>　　——應用的安全性涉及到信息、數(shù)據(jù)的安全性。 </p><p>　　信息的安全性涉及到機密信息泄露、未經授權的訪問、 破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。在某些網(wǎng)絡系統(tǒng)中，涉及到很多機密信息，如果一些重要信息遭到竊取或破壞，它的經濟、社會影響和政治影響將是很嚴重的。因此，對用戶使用計算機必須

45、進行身份認證，對于重要信息的通訊必須授權，傳輸必須加密。采用多層次的訪問控制與權限控制手段，實現(xiàn)對數(shù)據(jù)的安全保護；采用加密技術，保證網(wǎng)上傳輸?shù)男畔ⅲòü芾韱T口令與帳戶、上傳信息等）的機密性與完整性。 </p><p>　　2.4.5 管理的安全風險分析</p><p>　　管理是網(wǎng)絡中安全最最重要的部分。責權不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。當網(wǎng)絡出現(xiàn)攻擊

46、行為或網(wǎng)絡受到其它一些安全威脅時（如內部人員的違規(guī)操作等），無法進行實時的檢測、監(jiān)控、報告與預警。同時，當事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對網(wǎng)絡的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄，及時發(fā)現(xiàn)非法入侵行為。 </p><p>　　建立全新網(wǎng)絡安全機制，必須深刻理解網(wǎng)絡并能提供直接的解決方案，因此，最可行的做法是制定健全的管理制度和嚴格管理相結合。保障網(wǎng)絡

47、的安全運行，使其成為一個具有良好的安全性、可擴充性和易管理性的信息網(wǎng)絡便成為了首要任務。一旦上述的安全隱患成為事實，所造成的對整個網(wǎng)絡的損失都是難以估計的。因此，網(wǎng)絡的安全建設是校園網(wǎng)建設過程中重要的一環(huán)。</p><p>　　第三章 局域網(wǎng)安全策略</p><p>　　如何有效的防范和清除計算機病毒？</p><p>　　隨著局域網(wǎng)絡系統(tǒng)的大量使用，針對網(wǎng)絡的病

48、毒種類日益增多，ARP攻擊現(xiàn)象十分突出，對網(wǎng)絡安全構成極大的威脅。如何有效的防范和清除計算機病毒，是保證計算機網(wǎng)絡系統(tǒng)正常運行所面臨的最大問題。</p><p>　　近年來，隨著信息技術的不斷發(fā)展，由于局域網(wǎng)具有網(wǎng)絡資源共享等諸多優(yōu)點，在人們日常的工作和生活中扮演著越來越重要的角色，學校和辦公場所組建局域網(wǎng)的情況越來越多。但是，應該看到，網(wǎng)絡在為人們提供便利的同時，針對局域網(wǎng)的病毒種類日益增多，其安全性面臨很大考

49、驗，嚴重影響了人們正常的工作和生活，甚至可能造成無法挽回的后果，因此，如何預防計算機病毒，保護網(wǎng)絡系統(tǒng)的安全性，是我們所面臨的一個非常重要課題。本文結合作者多年從事計算機網(wǎng)絡管理的經驗，對經常危害局域網(wǎng)安全情況作一些分析，并提出了相應的防范策略。</p><p>　　3.1 網(wǎng)絡安全對策</p><p>　　針對威脅網(wǎng)絡系統(tǒng)安全的種種因素．要把各項防范措施與策略結合起來，以防為主，做到制度

50、落實、管理到位、技術監(jiān)控等相結合。采取一系列管理手段和措施。對網(wǎng)絡安全進行有效的防范與管理。</p><p>　　3.1.1 強化網(wǎng)絡安全意識</p><p>　　建立完善的網(wǎng)絡安全防范體系，必須首先加強網(wǎng)絡安全管理人員安全意識及其對網(wǎng)絡安全知識的學習，提高各級各類人員的網(wǎng)絡安全防范意識和網(wǎng)絡管理意識。通過網(wǎng)絡管理人員加強對計算機信息系統(tǒng)使用人員的計算機病毒防治教育，以提高安全防范意識。加

51、強對系統(tǒng)管理人員實行職業(yè)道德教育，不斷提高他們的事業(yè)心和責任感，盡可能的減少或避免安全隱患對網(wǎng)絡安全運行造成威脅。</p><p>　　3.1.2 加強制度建設</p><p>　　計算機網(wǎng)絡的許多安全問題出自于管理制度上的漏洞。因此，加強網(wǎng)絡安全管理的制度建設刻不容緩。網(wǎng)絡管理機構應制定完整的人員分工管理和培訓制度、機房設備管理制度和軟件數(shù)據(jù)管理制度等，并嚴格執(zhí)行。</p>

52、<p>　　人員職責管理和培訓制度工作人員應職責明確，規(guī)范操作規(guī)程，并定期研討學習，這是網(wǎng)絡制度建設的前提。應該考慮建立以主管館長和技術部主任為核心的分級負責制，負責對整個系統(tǒng)和子系統(tǒng)的安全操作和維護，定期進行網(wǎng)絡安全檢查和操作培訓。</p><p>　　中心機房管理制度建立中心服務器的安全管理制度、磁介質管理制度、外來移動存儲設備使用制度、館內硬件設備外借審批和監(jiān)測制度等。這些制度可以保證各種設備定

53、人、定位管理，做到使用有記錄、故障有登記、保養(yǎng)定期、及時維護。</p><p>　　軟件和數(shù)據(jù)管理制度包括對操作系統(tǒng)軟件、應用軟件和工具軟件的管理制度，數(shù)據(jù)庫質量控制和管理制度、口令保密制度和定期更換制度、技術檔案和有關資料存儲管理制度等。對系統(tǒng)數(shù)據(jù)庫每周進行一次全面索引。以便修正那些因非法操作而被破壞的索引文件。</p><p>　　3.2 局域網(wǎng)病毒與ARP攻擊</p>

54、<p>　　3.2.1 局域網(wǎng)病毒特點</p><p>　　在局域網(wǎng)絡環(huán)境下，網(wǎng)絡病毒除了具有可傳播性、可執(zhí)行性、破壞性、隱蔽性等計算機病毒的共性外，還具有一些新的特點：</p><p><b>　　a．病毒傳染速度快</b></p><p>　　在單機系統(tǒng)環(huán)境下，病毒主要通過移動存儲設備從一臺計算機傳到另一臺計算機。 而在局域網(wǎng)絡環(huán)

55、境中，由于通過服務器把每一臺計算機連接，這不僅給病毒傳播提供了有效的通道，而且病毒傳播速度很快。在正常使用情況下，只要網(wǎng)絡中有一臺計算機存在病毒，通過網(wǎng)絡通訊設備迅速擴散，可以在很短的時間內，導致局域網(wǎng)內計算機相互感染繁殖。</p><p>　　b．對網(wǎng)絡破壞程度大</p><p>　　如果局域網(wǎng)感染病毒，將直接影響到整個網(wǎng)絡系統(tǒng)的工作，輕則降低速度，影響工作效率，重則破壞服務器重要數(shù)據(jù)信

56、息，大量破壞計算機中的數(shù)據(jù)，導致整個網(wǎng)絡系統(tǒng)崩潰，毀壞人們長期以來積累的工作成果，造成難以挽回的損失。對網(wǎng)絡中的計算機破壞程度相當大。</p><p>　　c．網(wǎng)絡病毒不易清除</p><p>　　清除局域網(wǎng)中的計算機病毒，要比清除單機病毒復雜得多。如果單臺微機帶病毒，可以通過刪除帶病毒文件、低級格式化硬盤等措施，將病毒徹底清除。而在網(wǎng)絡環(huán)境中，只要有一臺計算機未能完全消除消毒，就可能使整

57、個網(wǎng)絡重新被病毒感染，即使剛剛完成清除工作的計算機，也很有可能立即被局域網(wǎng)中的另一臺帶病毒計算機所感染。</p><p>　　3.2.2 ARP攻擊對網(wǎng)絡的影響</p><p>　　ARP攻擊主要存在于局域網(wǎng)網(wǎng)絡中，對網(wǎng)絡安全危害極大。</p><p><b>　　a．ARP攻擊特點</b></p><p>　　ARP（

58、Address Resolution Protocol）是地址解析協(xié)議，是一種將IP地址轉化成物理地址的協(xié)議。具體來說，ARP就是將網(wǎng)絡層地址解析為數(shù)據(jù)連接層的MAC地址。如果你的計算機受到ARP攻擊，常常會出現(xiàn)這樣一些現(xiàn)象：屏幕上不斷彈出“本機的0-255段硬件地址與網(wǎng)絡中的0-255段地址沖突”的對話框，局域網(wǎng)速度明顯變慢，有時會突然掉線，但過一段時間后，網(wǎng)絡可能又恢復正常。</p><p><b>

59、;　　b．ARP攻擊原理</b></p><p>　　ARP攻擊就是通過偽造的IP地址和MAC地址，實現(xiàn)ARP欺騙，它能夠在網(wǎng)絡中產生大量的ARP通信數(shù)據(jù)，使網(wǎng)絡系統(tǒng)傳輸發(fā)生阻塞。如果攻擊者持續(xù)不斷的發(fā)出偽造的ARP響應包，就能更改目標主機ARP緩存中的IP-MAC條目，造成網(wǎng)絡遭受攻擊或中斷?；贏RP協(xié)議的工作特性，黑客向對方計算機不斷發(fā)送有欺詐性質的ARP數(shù)據(jù)包，數(shù)據(jù)包內包含有與當前設備重復的M

60、ac地址，使對方在回應報文時，由于簡單的地址重復錯誤，導致不能進行正常的網(wǎng)絡通信。</p><p>　　常見ARP攻擊對象有兩種，一是攻擊網(wǎng)絡網(wǎng)關，或偽造網(wǎng)關，然后廣播出去，讓大家都誤認為它是網(wǎng)關，使得局域網(wǎng)中的用戶都不能上網(wǎng)，ping網(wǎng)關時斷時續(xù)，ping外網(wǎng)時更是糟糕，這就好像發(fā)送錯誤的地址信息給郵遞員，使所有信件無法正常送達；二是攻擊局域網(wǎng)中的計算機，也就是一般用戶。通過偽造IP地址和MAC地址，讓一般用戶

61、把需要的信息傳送給發(fā)動攻擊的計算機。</p><p>　　3.2.3 局域網(wǎng)病毒的防范</p><p>　　a．要防止網(wǎng)絡系統(tǒng)出現(xiàn)病毒，首先要切斷病毒傳播的途徑。</p><p>　　在局域網(wǎng)中，病毒主要通過移動存儲器、電子郵件、瀏覽網(wǎng)頁、下載軟件等形式傳播。因此，我們在計算機上從事每一項操作時，都要考慮到是否會危及到系統(tǒng)的安全，保證傳輸數(shù)據(jù)的存儲設備沒有感染病毒。

62、 </p><p>　　b．安裝最新的防病毒軟件</p><p>　　由于操作系統(tǒng)本身未提供檢測或清除計算機病毒的軟件，所以，局域網(wǎng)應安裝正版殺毒軟件，并且及時對版本進行升級。同時，為了防止ARP攻擊，還應安裝360安全衛(wèi)士等防護軟件，并且開啟360安全衛(wèi)士“實時保護”中的“局域網(wǎng)ARP攻擊攔截”，通過在系統(tǒng)內核攔截ARP攻擊數(shù)據(jù)包，確保網(wǎng)關正確的，MC地址不被篡改。保障數(shù)據(jù)流向正確，通訊

63、數(shù)據(jù)不受第三者控制，從而保證網(wǎng)絡暢通。如果懷疑或確認計算機已經感染了病毒，應立即使用最新的防病毒軟件及時殺毒。</p><p>　　c．綁定MAC地址和IP地址</p><p>　　為了防止局域網(wǎng)中的計算機機亂發(fā)偽造的ARP數(shù)據(jù)包，將IP地止和計算機綁定在一起，是解決ARP攻擊的最好辦法。具體辦法如下：</p><p>　　進入“MS-DOS”方式，在命令提示符下輸

64、入命令：</p><p>　　ARP-s<空格>IP地址<空格>MAC地址</p><p>　　例如，假設有一臺計算機，其IP地址為：172.18.15.10，MAC地址為00-14-5E-F8-E2-E1，將其MAC和IP綁定的命令如下：</p><p>　　ARP-s 172.18.15.10 00-14-5E-F8-E2-E1</

65、p><p>　　使用ARP –a命令查看ARP緩存列表，可以看出IP地址的類型為static.，表明它是靜態(tài)項。通過以上操作，我們將IP地址172.18.15.10和網(wǎng)卡地址為00-14-5E-F8-E2-E1的計算機綁定在一起，從而防止局域網(wǎng)ARP欺騙，有效保護局域網(wǎng)的安全。</p><p><b>　　d．使用防火墻</b></p><p>　

66、　防火墻(firewall)是一種協(xié)助確保信息安全的設備，依照特定的規(guī)則，允許或限制傳輸?shù)臄?shù)據(jù)通過，幫助計算機系統(tǒng)抵御用戶、計算機病毒和蠕蟲的惡意侵入攻擊。防火墻可以是一臺專屬的硬件，也可以是一套軟件，現(xiàn)在針對防火墻的軟件相當多，一般的殺毒軟件都具有防火墻的功能。</p><p>　　e．及時安裝系統(tǒng)補丁</p><p>　　任何一個操作系統(tǒng)發(fā)布以后，如果發(fā)現(xiàn)程序中有些漏洞，會及時發(fā)布一些

67、應用程序來修復這些漏洞，我們把這些應用程序也稱為“補丁程序”。當系統(tǒng)安裝補丁程序后，黑客就不會利用這些漏洞來攻擊用戶。</p><p><b>　　f．做好系統(tǒng)備份</b></p><p>　　為了保證局域網(wǎng)的安全，隨時做好網(wǎng)絡資料的備份是十分重要的。所謂網(wǎng)絡備份，是指在網(wǎng)絡系統(tǒng)發(fā)生黑客攻擊、病毒感染、操作失誤、軟件系統(tǒng)錯誤等意外情況下，應急恢復系統(tǒng)的一種處理方案。目

68、前備份系統(tǒng)的方法有很多種，最簡單實用的如GHOST軟件等。</p><p>　　g．一旦發(fā)現(xiàn)病毒，立即停止使用受病毒感染的計算機，并斷開受感染機器的網(wǎng)絡連接，關閉文件服務器，用最新版本的殺毒軟件掃描服務器上所有的文件，清除病毒；如不能清除，則刪除受到感染的文件; 并用干凈的備份文件恢復系統(tǒng)，當確信網(wǎng)絡中病毒已徹底清除后，重新啟動網(wǎng)絡及各項工作。</p><p>　　3.3 局域網(wǎng)面對攻擊的

69、安全策略</p><p>　　局域網(wǎng)的安全問題經常是面對來自Internet的攻擊，因此你必須時刻防范這些惡意攻擊，關注你局域網(wǎng)的計算機系統(tǒng)安全。</p><p>　　這里我們使用網(wǎng)絡協(xié)議分層模式來分析局域網(wǎng)的安全。從圖3-1可以看到，網(wǎng)絡的七層在不同程度上會遭受到不同方式的攻擊，如果攻擊者取得成功，那將是非常危險的。而我們通常聽到或見到的攻擊往往發(fā)生在應用層，這些攻擊主要是針對Web服務

70、器、瀏覽器和他們訪問到的信息，比較常見的還有攻擊開放的文件系統(tǒng)部分。</p><p>　　下面兩個方法從實踐上來說被認為是非常有用的防范手段。 </p><p>　　3.3.1 包過濾 </p><p>　　圖3-1 七層模型易遭受的安全攻擊</p><p>　　檢查通信數(shù)據(jù)，觀察它的源地址和目的地址。過濾器可以禁止特定的地址或地址范圍傳出或

71、進入，也可以禁止令人懷疑的地址模式。</p><p>　　IP地址由機器地址和標識程序處理消息的端口數(shù)字組成。這個地址/端口組合信息對每個TCP/IP消息都是有效的。包過濾與防火墻相比處理的簡單一些，它僅是觀察TCP/IP地址，而不是端口數(shù)字或消息內容。不過包過濾提供給你的是很好的網(wǎng)絡安全工具。</p><p>　　圖3-2 包過濾器的配置</p><p>　　包過

72、濾器通常使用的是自頂向下的操作原則，下面是它使用的一個典型規(guī)則： </p><p>　　●允許所有傳出通信數(shù)據(jù)通過； </p><p>　　●拒絕建立新的傳入連接； </p><p>　　●其它的數(shù)據(jù)可以全部被接受。</p><p>　　?通過這樣的使用規(guī)則，系統(tǒng)的安全性提高了許多。因為它拒絕了Internet上主動與你的計算機建立新連接的請

73、求。它阻止使用TCP的通信數(shù)據(jù)進入，從而杜絕了對共享驅動器和文件的未授權訪問。</p><p>　　路由器通常的應用是配置在連接你的計算機和Internet的路由器上，如圖3-2所示。在你的局域網(wǎng)和Internet之間放置過濾器后，就可以保證局域網(wǎng)與Internet所有的通信數(shù)據(jù)都要經過過濾器。</p><p>　　濾軟件有能力檢查源地址子網(wǎng)，從子網(wǎng)物理端口傳遞消息到路由器，你就可以制定規(guī)

74、則來避免虛假的TCP/IP地址，就象圖3-2所示的那樣。攻擊者欺騙的方法就是把來自Internet的消息偽裝成來自你局域網(wǎng)的消息。包過濾通過拒收帶有不可能源地址的消息來防御攻擊者的攻擊。例如，假定你在一個裝有Linux的機器上安裝軟件，讓它作為一個Windows網(wǎng)絡文件服務器，你可以配置Linux讓它拒收所有來自你的子網(wǎng)以外的通信數(shù)據(jù)，阻止Internet上的機器看到這個文件服務器。如果攻擊者假裝是你內部的機器，用過濾器就可以阻止攻擊者

75、的攻擊。</p><p>　　包過濾雖然對網(wǎng)絡的安全防范能起到很好的作用，但包過濾也并不是萬能的。它們一般不能防御使用UDP協(xié)議的攻擊，因為過濾器不能拒收開放的消息。包過濾還不能防御低層攻擊，象PING方式的攻擊。</p><p><b>　　3.3.2 防火墻</b></p><p>　　檢查通信數(shù)據(jù)，檢查消息地址中的端口，或檢查特定應用的消

76、息內容。測試失敗的任何通信數(shù)據(jù)將被拒絕。</p><p>　　防火墻軟件可以在一定程度上控制局域網(wǎng)和Internet之間傳遞的數(shù)據(jù)。圖3-3所示是一個TCP/IP數(shù)據(jù)包報頭示意圖，從它上面可以清楚地看到包過濾和防火墻工作原理的不同之處。防火墻不但檢查了包過濾檢查內容的所有部分（TCP/IP的源地址和目的地址），還檢查了源/目的端口數(shù)字和包的內容。</p><p><b>　　?&

77、lt;/b></p><p>　　圖3-3 包過濾器和防火墻的信息源</p><p>　　端口和消息內容這些信息使防火墻比包過濾有更強的防范能力，因為這些信息使防火墻控制特定進/出的主機地址。防火墻的功能有以下幾個方面：</p><p>　　●允許或禁止特定的應用服務，例如：FTP或Web頁面服務；</p><p>　　●允許或禁止訪問

78、基于被傳遞的信息內容的服務。 </p><p>　　防火墻最直接的實施就是使用圖3-2所示的結構，僅把局域網(wǎng)和ISP之間的包過濾器換成防火墻就可以了。這是一個防火墻的最安全的應用，因為它保護了防火墻后面的所有計算機。 </p><p>　　圖3-4 防火墻中使用DMZ</p><p>　　把圖3-2改為圖3-4所示的結構，就可以很好地解決這個問題。圖3-4的結構中有

79、3個端口。第三個端口連接的是另一個局域網(wǎng)，通常叫做DMZ（非軍事區(qū)）。DMZ中的計算機與安全局域網(wǎng)中的計算機相比安全性要差一些，但是這些計算機可以接受來自Internet的訪問。你可以把Web和FTP服務器放在DMZ，從而可以保護其它的計算機。防火墻上的規(guī)則設定為阻止進入安全局域網(wǎng)的通信數(shù)據(jù)，僅允許傳出連接的建立。</p><p>　　你想增強DMZ局域網(wǎng)的安全性，可以使用過濾器，限制局域網(wǎng)中服務器使用的端口，禁

80、止那些來自攻擊站點的訪問。</p><p>　　安全還可以給你的局域網(wǎng)分段，每段設置一個防火墻，每個防火墻使用不同的安全規(guī)則。需要記住的一點是，防火墻本身并沒有保障安全的能力，你需要定期的檢查防火墻對可疑事件做出的日志記錄，還需要去發(fā)現(xiàn)和使用軟件的安全補丁。</p><p>　　你使用Windows 98第二版的Internet共享連接功能，讓你的一臺計算機通過Modem把局域網(wǎng)連接上In

81、ternet。在這種情況下，你的網(wǎng)絡是很不安全的，仍需要改善網(wǎng)絡的安全性。最大的威脅就是你的電腦直接連接在了Internet上，你應該直接在這臺電腦上安裝包過濾器或防火墻產品，或讓你的ISP安裝包過濾器或防火墻來保護你的訪問。</p><p>　　3.4 局域網(wǎng)安全十大策略</p><p>　　3.4.1 注意內網(wǎng)安全與網(wǎng)絡邊界安全的不同 </p><p>　　內網(wǎng)

82、安全的威脅不同于網(wǎng)絡邊界的威脅。網(wǎng)絡邊界安全技術防范來自Internet上的攻擊，主要是防范來自公共的網(wǎng)絡服務器如HTTP或SMTP的攻擊。網(wǎng)絡邊界防范（如邊界防火墻系統(tǒng)等）減小了資深黑客僅僅只需接入互聯(lián)網(wǎng)、寫程序就可訪問企業(yè)網(wǎng)的幾率。內網(wǎng)安全威脅主要源于企業(yè)內部。惡性的黑客攻擊事件一般都會先控制局域網(wǎng)絡內部的一臺Server，然后以此為基地，對Internet上其他主機發(fā)起惡性攻擊。因此，應在邊界展開黑客防護措施，同時建立并加強內網(wǎng)防

83、范策略。 </p><p>　　3.4.2 限制VPN的訪問 </p><p>　　虛擬專用網(wǎng)（VPN）用戶的訪問對內網(wǎng)的安全造成了巨大的威脅。因為它們將弱化的桌面操作系統(tǒng)置于企業(yè)防火墻的防護之外。很明顯VPN用戶是可以訪問企業(yè)內網(wǎng)的。因此要避免給每一位VPN用戶訪問內網(wǎng)的全部權限。這樣可以利用登錄控制權限列表來限制VPN用戶的登錄權限的級別，即只需賦予他們所需要的訪問權限級別即可，如訪問

84、郵件服務器或其他可選擇的網(wǎng)絡資源的權限。 </p><p>　　3.4.3 為合作企業(yè)網(wǎng)建立內網(wǎng)型的邊界防護 </p><p>　　合作企業(yè)網(wǎng)也是造成內網(wǎng)安全問題的一大原因。例如安全管理員雖然知道怎樣利用實際技術來完固防火墻，保護MS-SQL，但是Slammer蠕蟲仍能侵入內網(wǎng)，這就是因為企業(yè)給了他們的合作伙伴進入內部資源的訪問權限。由此，既然不能控制合作者的網(wǎng)絡安全策略和活動，那么就應該

85、為每一個合作企業(yè)創(chuàng)建一個DMZ，并將他們所需要訪問的資源放置在相應的DMZ中，不允許他們對內網(wǎng)其他資源的訪問。 </p><p>　　3.4.4 自動跟蹤的安全策略 </p><p>　　智能的自動執(zhí)行實時跟蹤的安全策略是有效地實現(xiàn)網(wǎng)絡安全實踐的關鍵。它帶來了商業(yè)活動中一大改革，極大的超過了手動安全策略的功效。商業(yè)活動的現(xiàn)狀需要企業(yè)利用一種自動檢測方法來探測商業(yè)活動中的各種變更，因此，安全

86、策略也必須與相適應。例如實時跟蹤企業(yè)員工的雇傭和解雇、實時跟蹤網(wǎng)絡利用情況并記錄與該計算機對話的文件服務器。總之，要做到確保每天的所有的活動都遵循安全策略。 </p><p>　　3.4.5 關掉無用的網(wǎng)絡服務器 </p><p>　　大型企業(yè)網(wǎng)可能同時支持四到五個服務器傳送e－mail，有的企業(yè)網(wǎng)還會出現(xiàn)幾十個其他服務器監(jiān)視SMTP端口的情況。這些主機中很可能有潛在的郵件服務器的攻擊點。

87、因此要逐個中斷網(wǎng)絡服務器來進行審查。若一個程序（或程序中的邏輯單元）作為一個window文件服務器在運行但是又不具有文件服務器作用的，關掉該文件的共享協(xié)議。</p><p>　　3.4.6 首先保護重要資源 </p><p>　　若一個內網(wǎng)上連了千萬臺（例如30000臺）機子，那么要期望保持每一臺主機都處于鎖定狀態(tài)和補丁狀態(tài)是非常不現(xiàn)實的。大型企業(yè)網(wǎng)的安全考慮一般都有擇優(yōu)問題。這樣，首先要

88、對服務器做效益分析評估，然后對內網(wǎng)的每一臺網(wǎng)絡服務器進行檢查、分類、修補和強化工作。必定找出重要的網(wǎng)絡服務器（例如實時跟蹤客戶的服務器）并對他們進行限制管理。這樣就能迅速準確地確定企業(yè)最重要的資產，并做好在內網(wǎng)的定位和權限限制工作。 </p><p>　　3.4.7 建立可靠的無線訪問 </p><p>　　審查網(wǎng)絡，為實現(xiàn)無線訪問建立基礎。排除無意義的無線訪問點，確保無線網(wǎng)絡訪問的強制性

89、和可利用性，并提供安全的無線訪問接口。將訪問點置于邊界防火墻之外，并允許用戶通過VPN技術進行訪問。 </p><p>　　3.4.8 建立安全過客訪問 </p><p>　　對于過客不必給予其公開訪問內網(wǎng)的權限。許多安全技術人員執(zhí)行的“內部無Internet訪問”的策略，使得員工給客戶一些非法的訪問權限，導致了內網(wǎng)實時跟蹤的困難。因此，須在邊界防火墻之外建立過客訪問網(wǎng)絡塊。 </p

90、><p>　　3.4.9 創(chuàng)建虛擬邊界防護 </p><p>　　主機是被攻擊的主要對象。與其努力使所有主機不遭攻擊（這是不可能的），還不如在如何使攻擊者無法通過受攻擊的主機來攻擊內網(wǎng)方面努力。于是必須解決企業(yè)網(wǎng)絡的使用和在企業(yè)經營范圍建立虛擬邊界防護這個問題。這樣，如果一個市場用戶的客戶機被侵入了，攻擊者也不會由此而進入到公司的R&D。因此要實現(xiàn)公司R&D與市場之間的訪問權限

91、控制。大家都知道怎樣建立互聯(lián)網(wǎng)與內網(wǎng)之間的邊界防火墻防護，現(xiàn)在也應該意識到建立網(wǎng)上不同商業(yè)用戶群之間的邊界防護。 </p><p>　　3.4.10 可靠的安全決策 </p><p>　　網(wǎng)絡用戶也存在著安全隱患。有的用戶或許對網(wǎng)絡安全知識非常欠缺，例如不知道RADIUS和TACACS之間的不同，或不知道代理網(wǎng)關和分組過濾防火墻之間的不同等等，但是他們作為公司的合作者，也是網(wǎng)絡的使用者。因

92、此企業(yè)網(wǎng)就要讓這些用戶也容易使用，這樣才能引導他們自動的響應網(wǎng)絡安全策略。</p><p>　　第四章 無線局域網(wǎng)安全策略設置</p><p>　　4.1 如何安全部署無線局域網(wǎng)？</p><p>　　4.1.1 定義用戶基礎</p><p>　　清晰的定義哪些人可以使用無線局域網(wǎng)，哪一種層次的訪問用戶既能使用企業(yè)內部網(wǎng)，也能使用互聯(lián)網(wǎng)。無

93、線局域網(wǎng)通常并不會限制對整個網(wǎng)絡和互聯(lián)網(wǎng)的訪問。但這并不意味著就應該這樣做。的確，需要考慮有的局域網(wǎng)是為客戶提供服務的（例如公司外的用戶），就需要禁止自己的雇員使用這一部分的網(wǎng)絡。有的公司甚至會阻斷企業(yè)內部網(wǎng)和互聯(lián)網(wǎng)之間的無線子網(wǎng)。無論是否選擇允許訪問，確定訪問的范圍都是至關重要的。因此，清晰的定義這一點是策略制定和實施的頭等大事。</p><p>　　4.1.2 確定適當?shù)挠猛?lt;/p><p

94、>　　在確定了用戶范圍之后，可以考慮允許或禁止用戶在無線網(wǎng)絡上流通的信息了。例如，可能不希望無線局域網(wǎng)上出現(xiàn)個人信息或財務記錄。 </p><p>　　此外，禁止一些自建網(wǎng)絡（ad hoc）連接（例如peer-to-peer）也是個好主意。企業(yè)一定不想一些用戶把網(wǎng)絡范圍擴展到那些并未被授權使用WLAN訪問的用戶上。</p><p>　　4.1.3 準備安全安裝</p>

95、<p>　　要清楚地安排哪一個內部部門對部署的無線訪問點以及其他無線設備負責。否則，可能會有用戶在辦公室里自行安裝訪問點，從而造成安全隱患。 </p><p>　　為訪問點提供最低要求的物理安全標準，決定誰可以物理連接到訪問點。理想情況下，應當將訪問點放到建筑物內的訪問控制室。調整這些訪問點的覆蓋范圍，使其完全滿足所需的物理邊界，并盡量做到不會超出。</p><p>　　4.1.

96、4 確定有效的安全設置</p><p>　　在所有的訪問點上面都要定義最小安全保障措施。禁用SSID廣播功能，將默認的SSID改為一些不會泄露公司名稱或業(yè)務范圍的字符。否則，就是給那些可能侵入網(wǎng)絡的黑客們發(fā)送請柬。 </p><p>　　打開無線加密，強制使用WPA協(xié)議或者WPA-AES，也就是WAP2協(xié)議。這兩種加密機制都采用了強悍的加密模型。而AES因為使用了Rijindal加密則更為

97、可靠，并被公認為是可用于機密數(shù)據(jù)系統(tǒng)的安全標準。</p><p>　　4.1.5 為設備和數(shù)據(jù)丟失設計恢復計劃</p><p>　　一旦開始部署無線網(wǎng)絡，就應當料到有人會丟失無線設備。當這些無法避免的丟失現(xiàn)象發(fā)生時，必須立刻改變網(wǎng)絡中所有的安全設置（包括SSID以及加密密鑰），安全策略必須要涵蓋這點。應當將任何設備丟失事件都看作是對網(wǎng)絡安全的威脅，在策略中定義各個步驟來規(guī)避未來可能出現(xiàn)的損

98、害。 </p><p>　　4.1.6 對員工和用戶安排適當?shù)呐嘤?lt;/p><p>　　需要為整個IT部門以及用戶提供培訓，確保每一個人都能部署、使用、管理無線網(wǎng)絡，并具備防范能力和事件響應能力。很多企業(yè)在新的方案部署期間會忽略這個問題，而這正是企業(yè)規(guī)范需要強調的。 </p><p>　　記住，無線局域網(wǎng)同傳統(tǒng)的有線局域網(wǎng)完全不同。需要寫下培訓需求的基本內容，并且根

99、據(jù)現(xiàn)有的成功部署情況為無線網(wǎng)絡的使用提供知識基礎。</p><p>　　4.1.7 為網(wǎng)絡管理和監(jiān)控提供指導方針</p><p>　　一旦成功啟動了一個無線網(wǎng)絡項目并進行了實施，沒有人能保證它不會出問題。企業(yè)的策略應當定義安全措施的實施頻率和范圍（包括對惡意訪問點的探測），這些都需要按照既定的策略來實施，從而保證網(wǎng)絡的持續(xù)安全。</p><p>　　4.2 如何加固

100、已安裝無線局域網(wǎng)安全？</p><p>　　4.2.1 修改管理員密碼和用戶名</p><p>　　在你將路由器拆封，開始設置的時候，這時會彈出一個網(wǎng)頁要求你輸入網(wǎng)絡地址和帳號信息。理論上來說，這一wifi設置是受注冊屏保護的(用戶名和密碼)。</p><p>　　雖然用戶名和密碼的初衷是保證只有你才能進入wifi的設置程序以及你輸入的個人信息，實際上每個人都可以利

101、用同樣的路由器都是使用廠商提供的一樣的注冊。絕大多數(shù)人對此并沒有對此做出任何改變，這樣黑客就輕易侵入了，可以說是不費吹灰之力。</p><p>　　因此在第一次注冊之后就應該馬上修改wifi設置中的用戶名和密碼。如果你打算這樣做的話，盡量設置復雜的密碼。黑客可能會使用一些簡單的信息來猜測，譬如你的姓名，生日，紀念日等。一些黑客經常使用一種叫做“字典劫持”的方法(使用一種程序猜測常用的名字密碼)，因此你得保證你的密

102、碼的復雜性最好是字母、符號與數(shù)字并存。</p><p>　　4.2.2 升級wifi加密</p><p>　　如果你在使用無線網(wǎng)絡接受和發(fā)送信息的時候并沒有采用充分的加密，黑客就可以輕易的進入網(wǎng)絡監(jiān)控你的行為。如果你不幸正輸入你的個人或是銀行信息，黑客就可以借機盜取你的身份認證。</p><p>　　傳統(tǒng)的加密標準是有線等效保密(WEP)協(xié)議，然而黑客在30秒之內就

103、可以將其破解，不管你使用多么復雜的密句。不幸的是，數(shù)以百萬計的wifi用戶使用的正是這種落后的WEP協(xié)議加密信息，我們本該選擇更加先進的WPA2加密技術。(Wi-FiProtectedAccess，Wi-Fi保護訪問， “WPA2”支持“AES”加密方式。老的“WEP”加密方式，在安全上存在著若被第三者惡意截獲信號密碼容易被破解的問題)。</p><p>　　解決這個問題的辦法當然是升級wifi加密到WPA2協(xié)議

104、。但是在升級wifi加密到WPA2協(xié)議之前，還是需要略作一些調整為升級鋪平道路。第一步就是下載安裝Windows XP版的WPA2 hotfix。還有就是要升級無線網(wǎng)卡驅動。這些升級在微軟的Windows升級的“硬件選項”中找得到。</p><p>　　既然你準備將你的電腦和網(wǎng)卡升級，你需要通過網(wǎng)頁瀏覽器打開路由器注冊界面(這就是你第一次設置wifi時的頁面，你可以在說明書中中找到這一URL地址)。注冊成功之后，

105、將安全設置改為“個人WPA2協(xié)議”并且勾選“TKIP+AES”運算法則。最后在“共享密鈅“中輸入密碼，保存修改。</p><p>　　4.2.3 修改默認系統(tǒng)ID</p><p>　　當你買回Linksys 或 D-Link路由器的時候并且安裝的時候，它們都會有一個默認的系統(tǒng)ID叫做SSID或是ESSID。(SSID便是你給自己的無線網(wǎng)絡所取的名字)。</p><p&g

106、t;　　一般來說，生產商都會在他們的設備上分配同樣的SSID，80%的用戶使用的是系統(tǒng)默認設置。也就是說，80%的用戶的wifi網(wǎng)絡的名稱就是出廠的默認設置。默認設置的一個問題就是黑客藉此可以了解一個wifi無線網(wǎng)絡附近的所有網(wǎng)絡，只需要使用默認的名稱即可。盡管知曉SSID不會讓所有的人進入我們的網(wǎng)絡，但是卻意味著這些網(wǎng)絡缺乏有效的保護，因此這些網(wǎng)絡往往成為羔羊。</p><p>　　因此在配置局域網(wǎng)的時候應該馬

107、上改變默認的SSID。雖然這并不意味著你的網(wǎng)絡訪問會受到完全的控制，但是配置你的SSID將會使你區(qū)別于其它的未受保護的網(wǎng)絡，黑客可能會知難而退。還有一個好處就是你的家人或是你不會因此鏈接到其它的網(wǎng)絡之中，從而就不會將你暴露于黑客的槍口之下。</p><p>　　4.2.4 MAC地址過濾</p><p>　　如果你當初設置了不安全的wifi，很可能至少有不止一個網(wǎng)絡鄰居通過你聯(lián)入網(wǎng)絡。我們

108、喜歡友好的鄰居，但是這卻給信息偷盜敞開大門，這時我們就不得不考慮了，更可怕是還會傷害到你的電腦。</p><p>　　想找出使用你的網(wǎng)絡的人，你需要檢查MAC地址。每一個wifi網(wǎng)絡都被分配一個獨一無二的物理地址或是MAC地址。你的wifi系統(tǒng)會自動記錄下所有鏈接到你的設備的MAC地址。雖然找出這些MAC地址并不是完全有效，但是對保護無線局域網(wǎng)還是大有裨益的。</p><p>　　檢查那些

109、渴望進入你的網(wǎng)絡的MAC地址會幫助你快速的找出所有鏈接到你的網(wǎng)絡中的設備。只要不是你的計算機上的，你就可以加以清除。要達到這一目的，首先鍵入你的設備的物理地址。這樣就只有這些設備可以訪問你的網(wǎng)絡，那些附近的網(wǎng)絡就難以進入了。注意：這一方法看起來并不是那么有效。對付業(yè)余的黑客綽綽有余，一些專業(yè)的黑客使用先進的軟件可以偽造MAC地址。</p><p>　　4.2.5 禁止網(wǎng)絡廣播</p><p&g