局域网的安全管理技术分析

刘晓燕

摘要文章通过对校园局域网络日常工作中所涉及的安全管理问题进行分析，结合我校在实际工作中所应用的实际安防防护措施，总结归纳了一些系统的解决办法，即从网络规划，防病毒体系，提高局域网用户的安全防护意识三方面来实现。

关键词校园网；VLAN；补丁管理器；防火墙；防病毒软件

中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2014）12-0096-02

随着计算机、信息网络技术的革新，网络的应用已经成为现代化社会不可分割的重要部分。任何事物都是双面的，网络应用在给我们带来便捷的同时也出现了许多的问题，由于局域网与互联网相连，局域网用户频繁使用互联网，且普通用户的安全意识及行为欠规范，造成局域网出现病毒传播，黑客网络攻击等事件发生，给局域网的数据安全、网络安全带来了很大的威胁，本人结合自己对北京开放大学延庆分校局域网管理的实际情况，归纳了一些网络安全管理工作经验，供大家参鉴。

1局域网规划

1.1 主干网的选择

当前，主干网技术主要有FDDI、FAST ETHERNET、GIGABIT ETHERNET和ATM几种。可以发现FDDI在我校不太适用，而ATM虽然技术显见，但目前标准还未完全形成，根据我校网络的需求原则，我们选择了千兆位以太网作为主干网，并且易向ATM过渡。千兆位以太网采用CSMA/CD协议，帧格式。传输介质可以是光纤，也可以是双绞线。

1.2 网络分段

校园网内部根据不同的需求对整个网络进行必要分段，将校园网分为办公段、机房段和教室段，由于各网段间不能直接互访，从而增强各子网的安全性能。

网络分段可分为物理分段和逻辑分段。

物理分段指的是在网络的最底层将物理层和数据链路层，暨ISO/OSI网络体系中的第一层和第二层分为几个网段，各个网段间无法直接进行通讯。

逻辑分段则指的是在ISO/OSI体系中的第三层，暨网络层上进行分段。例如在TCP/IP网络中，我们实际上把网络分成了若干个子网，各子网因网络掩码不同，不能直接通讯，只能通过路由器、三层交换机、网关、VPN、防火墙等隔离设备进行连接，利用这些软、硬件设备来控制各子网间的网络访问。在我们的实际工作中，通常采用物理与逻辑分段进行结合的方式来对网络的安全性进行控制。

目前，逻辑分段中的VLAN（Virtual local area net）即虚拟网络技术已经成熟，能使对局域网络的内部子网划分更加方便。VLAN的出现可以实现处于不同楼层、甚至是不同建筑里用户加入到同一个逻辑子网中，共享一个广播域。通过对VLAN的创建，可以控制广播风暴的产生，从而提高交换式网络的整体性能和安全性。

对于VLAN的划分，目前有四种策略：1）基于端口的VLAN：该方法只需要对网络设备的交换端口进行重新分配组合在不同的逻辑网段中即可；2）基于MAC地址的VLAN：MAC地址即网卡的标志符，每块网卡的MAC地址都是唯一的，该方法仅适用于小型网络，当网络规模扩大，使用者增多时，会加大管理的难度；3）基于路由的VLAN：路由协议工作在七层协议的第三层，即网络层，该方式允许VLAN跨越多个交换机，也允许一个端口位于多个VLAN中；4）基于策略的VLAN：该方式主要取决于VLAN的规划策略。目前对于VLAN的划分主要是采用1，3两种方式。

根据实际需求，我们采用基于IP地址绑定的VLAN策略将办公区域、机房区域和教室区域划分成相应的子网，即提高了部门内的子网访问速度，又有效的将部门内子网与网络中其他用户进行隔离，使整个网络更高效，可靠运行。

2防病毒体系

2.1 防火墙技术

防火墙分为软件防火墙及硬件防火墙。针对于局域网络的系统安全，这里讲的防火墙指的是硬件防火墙，是一种用来阻止内外网络间进行非法访问的一种重要设备。硬件防火墙的设置不是为了保护局域网内的某一台计算机或服务器，而是对内部一个或多个子网进行防护，尽可能的屏蔽互联网上对内部网段任意地址进行的非法链接。一般来说防火墙默认的设置是全部拒绝内外访问，只有配置了内外认可安全的地址才能进行链接访问，它既是局域网与互联网间访问的桥梁也是信息安全通道上坚实的壁垒，通过设置各种安全策略来防止不可预料的潜在威胁与入侵破坏。

从逻辑上讲，防火墙就是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

2.2 基于网络的入侵检测技术

为了保障局域网络安全，建立一套安全防护体系，进行多手段、全方位的检测与防护也是非常重要的。区别于硬件防火墙等静态防御设备，入侵检测装置具有动态检测、实时性、主动防御等特点，能够在局域网内部实施监测网络中出现的非法入侵行为，并及时进行报警，有效的弥补了防火墙设备的不足。

入侵检测设备具有的主要功能：

1）通过检测识别已知的违反攻击行为，惩罚网络犯罪，防止网络非法入侵事件的发生。

2）操作系统日志管理，识别违反安全策略的攻击或安全违规行为。

3）检查并分析黑客在实施网络攻击前的探测行为，预先给管理员发出警报。

4）评估系统关键资源和系统文件的数据完整性。

5）帮助管理员检测系统配置及漏洞，利于其进行修补。

2.3 补丁管理器

目前，多数病毒都是利用微软操作系统的漏洞来对计算机进行攻击，而且造成的后果非常严重，诸如去冲击波（Worm. Blaster）病毒利用的是系统的RPC DCOM漏洞，病毒攻击系统时会使RPC服务崩溃，该服务是Windows操作系统使用的一种远程过程调用协议；震荡波（Worm.Sasser）病毒利用的是系统的LSASS服务，该服务是操作系统使用的本地安全认证子系统服务，均导致了众多计算机系统崩溃，严重影响到用户资料的安全性和完好性。而实际上微软公司在此事件发生之前即已经针对相应的漏洞发布了补丁，但由于多数用户不能及时更新操作系统，因而没能在这次病毒风暴中幸免，由此可以看出，及时升级操作系统，为操作系统安装系统补丁，其实就系统自身而言，将大大增强其抗击病毒的免疫力。

虽然微软操作系统自身带有自动更新功能，可以搜索最新更新并安装，但由于我校教职工大多数非计算机专业，没有经常下载补丁的习惯，因此多数用户的系统安全仍然得不到保障，对此我们采用了相应的补丁管理器，时时搜索并下载最新的系统补丁，发布命令，使局域网内所有用户计算机系统自动进行更新，确保局域网内所有用户的操作系统工作在最安全可靠的状态下。

2.4 企业级网络版防病毒软件

随着数字技术及Internet技术的日益发展，病毒技术也在不断发展提高。它们的传播途径越来越广，传播速度越来越快，造成的危害越来越大，几乎到了令人防不胜防的地步。因此学校在建立了一个完整的网络平台之后，为确保整个校园网的业务数据不受到病毒的破坏，日常工作不受病毒的侵扰，选择一款性能卓越的网络版防病毒软件也是防病毒体系中至关重要的元素。总之，病毒查杀是否彻底，查杀速度是否快速，操作界面是否便捷，能否实现远程集中管理以及能否及时提供病毒库和扫描引擎的升级，是决定一个好的网络版防病毒软件的关键。

目前比较推崇的防病毒产品诺顿，趋势均来自国外，价格不菲，而瑞星杀毒软件作为国产知名品牌，其性能也得到了广大用户的肯定，我校考虑到售后服务问题，以及以前对瑞星防病毒产品的实际使用情况，采用了瑞星网络版防病毒产品，目前一切运行良好。

endprint

2.5 加强服务器主机的独立性

局域网中，最需要受到保护的就应该数运行各套重要系统的应用服务器，通常这些应用服务器都是局域网络的核心终端，一般会提供所有网络用户节点的连接功能，并与用户有较大的数据交换，控制了服务器则较容易控制网络中的各个用户。因此，各台应用服务器会成为黑客攻击的主要目标。如果要加强局域网内部网络安全控制，应尽快能的减少与服务器相连接的节点，必要时保持其独立运行，并定期对重要资料进行异地备份，这样可保证资料的安全性、完整性。

3终端用户安全防护

经过我校日常的网络风险统计与分析发现，校园内出现的危害网络安全事件大部分是由网络用户的不当行为引起的。使用者的安全防护意识较差，安全知识缺乏，用户随意点击风险链接、广告图片，安装弹窗插件，下载不明程序等行为造成计算机感染网络病毒，安装木马，并通过U盘及局域网内部数据交互植入到其他计算机中，对整个局域网安全造成严重威胁。因此校园局域网内用户加强自身的网络安全防护知识，有绝对的必要。这个问题，我觉得可以从以下几个方面实现。

1）不要随意对客户端防病毒软件进行更改和删除，保证其正常运行。

2）在使用软盘、光盘、U盘、移动硬盘等存储设备时，应先进行查杀毒。

3）浏览互联网时不要轻易打开来历不明的EMAIL（电子邮件），不要浏览黄色网站及广告。

黑客通常利用电子邮件进行入侵。入侵方式是首先向用户发送携带木马程序的电子邮件，接收者在不明情况下随便打开了邮件，木马程序就在打开邮件的同时激活了，悄悄的装入了计算机中，像控制主机不断的传送数据，从而达到窃取重要资料的目的。除此之外，也有的木马程序是绑定到了网络地址链接中，当用户在点击HTML链接的同时也就安装了黑客所设置的木马程序。

4）不要将计算机随便借给陌生人使用。如果使用者在你的计算机上安装木马程序一般的用户是不会轻易察觉的，当用户自己再次将电脑连入互联网时很有可能会被黑客所监视控制，轻则使计算机系统死机、崩溃，重者泄露隐私、密码等重要信息。

5）重要文件最好存放在系统盘以外的分区。对于计算机而言，最重要的应该是硬盘中存储的数据。用户数据不要与系统共用一个分区，万一系统感染病毒，对计算机进行重装时也能避免数据丢失。

参考文献

[1]刘瑞星.计算机网络技术及应用[M].机械工业出版社，2004.

[2]曲景东，钱昆.局域网建设DIY[M].清华大学出版社，2001.

[3]Andrew S. Tanenbaum/著.计算机网络（第三版）[M].熊桂喜，王小虎译.清华大学出版社，1998.

[4]曹元大.入侵检测技术[M].人民邮电出版社，2007.

endprint