浅析加固局域网安全的屏蔽策略

来源:用户上传      作者:

　　摘要：随着网络技术的发展，网络安全备受关注。该文针对中小企业等单位局域网络安全防护设备欠缺，在经费、场所等受限情况下，简要分析了存在的安全问题，并对此探讨了几种加固网络安全的屏蔽策略，以期为此类型单位网络管理工作者提供参考。
　　关键词：局域网;安全;屏蔽策略
　　中图分类号：TP319 文献标识码：A
　　文章编号：1009-3044（2020）10-0046-02
　　网络技术发展日新月异，各种计算机应用系统十分普及，给我们的学习、工作和生活带来了诸多便利，同时伴随着病毒、黑客、网络陷阱等网络安全问题。在日常应用中，中小企业等单位经常受场所、经费、时间、设备等因素制约，不便于部署专用的安全设备，如硬件防火墙、入侵检测、漏洞扫描等设备，一般仅部署杀毒软件和定期修补系统漏洞，还需要立足基本的网络设备、安全策略等来加固网络安全，确保在简易条件下网络基础平台的順畅与安全。
　　1局域网中的安全问题
　　网络安全是指网络系统的硬件、软件及其系统中数据受到保护，不因偶然或恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常运行，服务不中断。对网络安全防护，是解决诸如如何有效进行接入控制和如何保证数据传输的安全性的技术手段，一般我们都会想到防范各类病毒破坏及阻止网络入侵，另外还有其他许多影响网络安全的因素，如软件漏洞、网络接入控制等。而局域网通常存在着黑客人侵、病毒传播、不经认证随意接入、IP地址使用混乱等问题。
　　1.1非法入侵
　　网络黑客通常利用计算机系统、应用程序、配置、协议等漏洞，采取扫描、欺骗、嗅探、炸弹以及植入木马等手段，入侵计算机局域网网络环境，继而由此控制或破坏计算机网络系统，修改敏感信息，盗取单位或个人密级信息，进而使单位或个人间接或直接蒙受损失。
　　1.2网络病毒
　　网络病毒通过计算机网络，利用计算机操作系统的弱点进行攻击感染、传播，在一定程度上严重影响网络运行性能，可能破坏计算机系统操作，盗取个人电脑上的银行卡、个人账号密码、涉密文件数据等用户敏感信息。不安装杀毒软件或未及时升级，访问不安全存储设备，安装来源不明软件等，都可能传播病毒。
　　1.3网络接入安全
　　当前计算机局域网的计算机接入安全问题，常常表现为计算机名相重、IP地址冲突、错误的网关出口、登录系统的账号密码被盗用、随意变更接入点而规避检查等。
　　2加固局域网安全的屏蔽策略
　　2.1屏蔽Cookies记忆
　　Cookie是一种Web浏览器存储在用户机器上的一小段文本，是Web应用程序维护应用程序状态的方法，它们被网站用于身份验证、存储网站信息/首选项、其他浏览信息以及在访问Web服务器时可以帮助Web浏览器的任何其他内容。也就是常常会记忆用户的访问记录、输入的表单信息等，日后再次访问同一页面时，网站就能通过Cookies功能快速调用以前的内容。这对一些安全要求较高的情况，容易出卖用户的上网隐私数据。为了保护上网访问安全，最好屏蔽Cookies的记忆功能。首先是及时清除cookies记录，在Internet属性中，在“常规”标签页面，勾选“退出时删除浏览历史记录”，确定即可。其次是阻止所有Cookies信息，在Internet属性中，地址“隐私”标签页面，将“选择Internet区域设置”滑块移动到最高位置级别，确定即可，该级别阻止来自所有网站的所有Cookie，而且所有站点也不能调用本地已有的Cookies信息，那么Cookies功能就不会被恶意利用。
　　2.2屏蔽地址解析攻击
　　地址解析协议病毒攻击是局域网中最常见的一种方式。当局域网内的计算机遭到ARP攻击时，它就会持续地向局域网内所有的计算机及网络设备发送大量的ARP欺骗数据包，如果不及时处理，便会造成网络通道阻塞、网络设备承载过重、网络通信质量不佳等情况。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，这也决定了数据的传输路径，以确保通信的顺利进行，其所有操作都是在内核中自动完成的，同其他应用程序没有任何关系，仅适用于本网段，它是IPv4中网络层必不可少的协议（在IPv6中不再适用），但也容易被攻击者利用，实施ARP欺骗和攻击。对此，比较可靠的解决方式是：首先是划分安全区域。划分合理的多个VLAN子网，在局域网中隔离广播，缩小感染范围。其次是实施ARP双向绑定。在计算机终端上进行IP+MAC绑定，在接人交换机上采用IP+MAC+端口绑定，并网关也实施IP和MAC绑定。
　　在接人交换机上，通过巧妙配置，可有效屏蔽地址解析攻击实施的欺骗行为。也就是应用dhcp-snooping技术与交换机DAIOynamic arp inspectl配合，防止ARP传播。方法是在交换机端口生成IP地址与MAC地址的绑定表，将其保存在地址池中。当在该端口下的上网终端向网络中发送ARP报文时，其所包含的源IP地址与MAC地址与交换机地址池中的绑定表不一致时，地址解析攻击就会被交换机自动屏蔽。如果是通过DHCP服务器动态分配IP地址，则应在接人层交换机上开启DHCP snooping功能，并配置与DHCP服务器相连的端口为DHCP snooping信任端口;如果是静态分配IP地址，则直接在交换机上配置对应的IP静态绑定表项。对划分了VLAN子网的，需在交换机对应VLAN上开启ARP入侵检测功能，并配置该交换机的上行口为ARP信任端口。对于假网关，可以在核心交换机上的上联口，启用ARP Guard功能，来保护局域网中的网关地址不被恶意利用。
　　2.3屏蔽恶意进程攻击
　　进程是程序在计算机上的一次执行活动，当运行一个程序，就至少启动了一个进程，分为系统进程和用户进程。危害较大的病毒、木马等同样以“进程”形式出现在系统内部，因此，学会查看和管理进程对系统的稳定以及安全都极其重要。当遇到不熟悉的程序进程时，如何判别其是否安全，是否为恶意进程？可以借助安装安全辅助工具来监控并处理，如SecurityProcess Explorer、冰刃IceSword、Wsyscheck等工具软件，其中的进程管理、服务管理、安全检查等中，都用不同颜色来标注安全性，一般全红色的代表的是该进程或服务或许是病毒或木马，其中有详细的参考信息和建议处理方式，基本上按照建议的方式进行处理即可，有些则添加到进程运行屏蔽列表，确保日后不能自动运行。
　　2.4屏蔽非法地址申请
　　在划分Vlan的基础上，使用动态分配IP地址的局域网中，首先需要强制进行域认证。在域控制器的DHCP服务器控制台中，导人可信任DHCP服务器主机名称。这样，特定域中的上网终端系统需上网时会优先向可信任DHCP服务器申请IP地址。接着集中绑定IP地址。在可信任的DHCP服务器中，对合法终端主机的IP地址和MAC地址进行集中绑定。通过网管软件或在终端上运行“ipconfig/all”命令收集到主机的IP地址和MAC地址后，在DHCP服务器的DHCP控制台中逐台对终端主机的IP和MAC地址进行绑定。另外，还需应用DHCP-Snooping的隔离非法DHCP服务器功能，在接入层交换机上启用DHCP监听，屏蔽非信任端口的地址申请。方法同2.2屏蔽地址解析攻击中的接人交换机配置方法。如果是静态分配IP地址，也同样绑定IP+MAC+交换机端口，可以限制用户终端设备的随意更改IP地址或更换接入端口位置而接入网络。
　　3结束语
　　局域网的安全问题事关单位的可持续发展，做好局域网安全防护十分必要，安全防护的加固策略还有很多，需要在应用过程中不断去挖掘。单位可以立足自身实际，长远规划，不断加大投入资金，采取可靠的登录认证方式，从技术层面不断完善安全防护体系，从而确保局域网内的系统安全和信息数据安全。
转载注明来源:https://www.xzbu.com/8/view-15238120.htm