① 區域網的網路安全
區域網的安全:1、物理安全:是指機房的網路環境安全,機房規范化部署,保持溫度和濕度,防止灰塵,抗電磁干擾等,可預防火災等情況發生。
2、網路結構/系統安全:網路拓撲上考慮冗餘鏈路,設置防火牆,設置入侵檢測,設置實時監控系統。①設置嚴格內外網隔離 ②內網不同區域物理隔離,劃分多個不同廣播域。③網路安全檢測 ④網路監控和管控(上網行為管理軟體)
以上簡單列了一些區域網安全的注意事項,還有需要注意的非常多,題主可以多搜搜。我個人感覺這塊比較簡單一點,防火牆裝一個,上網行為管理軟體裝一個 就差不多了。
防火牆 推薦華為或者思科的防火牆,上網行為管理軟體 推薦Lanecat網貓
② 如何做好區域網的安全維護
維護區域網安全1、預防地址沖突
DHCP監聽技 術可以防止非信任DHCP伺服器通過地址沖突的方式,干擾信任DHCP伺服器的工作穩定性。在實際管理網路的時候,我們經常會發現在相同的工作子網中,可 能同時有多台DHCP伺服器存在,這其中有的是網路管理員專門架設的,也有的是無意中接入到網路中的。比方說,ADSL撥號設備可能就內置有DHCP服務 功能,一旦將該設備接入到區域網中後,那麼該設備內置的DHCP伺服器就會自動為客戶端系統分配IP地址。這個時候,經過網路管理員授權的合法DHCP服 務器,就可能與ADSL撥號設備內置的DHCP伺服器發生地址上的沖突,從而可能會對整個區域網的安全性帶來威脅。這種威脅行為往往比較隱蔽,一時半會很 難找到。一旦使用了DHCP監聽技術,我們就可以在區域網的核心交換機後台系統修改IP源綁定表中的參數,並以此綁定表作為每個上網埠接受數據包的檢測 過濾標准,來將沒有授權的DHCP伺服器發送的數據報文自動過濾掉,那樣一來就能有效預防非法DHCP伺服器引起的地址沖突問題了。
維護區域網安全2、預防Dos攻擊
大家知道,一些非常陰險的攻擊者往往會單獨使用Dos攻擊,襲擊區域網或網路中的重要主機系統;要是不幸遭遇Dos攻擊的話,那麼區域網的寶貴帶寬資源 或重要主機的系統資源,就會被迅速消耗,輕則導致網路傳輸速度緩慢或系統反應遲鈍,重則出現癱瘓現象。而要是在核心交換機中使用了DHCP監聽技術的話, 那麼區域網就可以有效抵禦Dos攻擊了,因為Dos攻擊主要是用大量的連接請求沖擊區域網或重要主機系統,來消耗帶寬資源或系統資源的,而DHCP監聽技 術恰好具有報文限速功能,利用這個功能我們可以合理配置許可的每秒數據包流量,這樣就能實現抵禦Dos攻擊的目的了。
維護區域網安全3、及時發現隱患
大家知道,在默認狀態下核心交換機會自動對第二層Vlan域中的DHCP數據報文進行攔截,具體地說,就是在選用中級代理信息選項的情況下,交換機在將客 戶端的上網請求轉發給特定的DHCP伺服器之前,它會自動將埠號碼、入站模塊、MAC地址、Vlan號等信息插入到上網請求數據包中。這個時候,如果結 合介面跟蹤功能,DHCP監聽技術就能夠自動跟蹤DHCP伺服器中地址池裡的所有上網地址,而不會受到單位區域網中跨網段訪問的限制,這么一來就能及時發 現區域網中的一些安全隱患,對於跨網段的DHCP伺服器運行安全也能起到一定程度的防護作用。
維護區域網安全4、控制非法接入
由於任何一種形 式的數據報文,都是通過交換埠完成發送與接收操作的,顯然交換埠的工作狀態與DHCP監聽的效果息息相關。一般來說,我們會將網路管理員授權的合法 DHCP伺服器所連的交換埠設置為DHCP監聽信任埠,或者是將分布層交換機之間的上行鏈路埠設置為DHCP監聽信任埠。對於信任埠來說,交換 機會允許它正常發送或接收所有的DHCP數據報文,這么一來交換機就會只允許合法的DHCP伺服器對客戶端系統的上網請求進行響應,而非法的DHCP服務 器則不能向區域網發送或接收DHCP數據報文。很明顯,通過這種技術手段,就能控制非法的DHCP伺服器接入到單位區域網中了。
區域網安全維護配置
為了有效使用DHCP監聽功能,防護區域網的運行安全,我們需要對該功能進行正確配置,讓其按照實際安全運行需求進行工作。由於DHCP監聽功能主要是通 過建立埠信任關系實現數據過濾目的的,為此我們需要重點配置究竟哪些交換埠是信任埠,哪些交換埠是非信任埠。具體的說,我們需要在交換機中進行 下面幾項安全維護配置操作:
維護區域網安全5、信任配置
這種配置主要就是在合法DHCP伺服器所連交換埠上啟用信任,或者是在分布層或接入層交換機之間的互連埠上啟用信任。如果不對上述重要埠建立信任配 置,那麼普通客戶端系統將無法正常從合法DHCP伺服器那裡接受到有效的上網參數。當然,為了防止普通員工私下搭建DHCP伺服器,威脅合法DHCP服務 器的運行安全,我們有必要將普通客戶端系統所連的交換埠設置為非信任的埠,那樣一來交換機會將來自客戶端系統的提供響應報文自動丟棄掉,此時區域網中 的其他客戶端系統不知道有這台非法DHCP伺服器的存在。
③ 有關中小型區域網的網路安全解決方案
企業網路安全管理方案
大致包括: 1) 企業網路安全漏洞分析評估2) 網路更新的拓撲圖、網路安全產品采購與報價3) 管理制度制定、員工安全教育與安全知識培訓計劃4) 安全建設方案5) 網管設備選擇與網路管理軟體應用6) 網路維護與數據災難備份計劃7) 企業防火牆應用管理與策略8) 企業網路病毒防護9) 防內部攻擊方案10) 企業VPN設計
網路安全要從兩方面來入手
第一、管理層面。包括各種網路安全規章制度的建立、實施以及監督
第二、技術層面。包括各種安全設備實施,安全技術措施應用等
按照你的描述 首先我提醒你一點
安全是要花錢的 如果不想花錢就你現有的這些設備
我認為應該從以下幾點入手
一、制定並實施網路安全管理制度 包括伺服器以及個人主機安全管理、包括個級別許可權管理等等
二、制定並實施網路安全日常工作程序,包括監測上網行為、包括入侵監測
三、從技術層面上,你那裡估計是一根專線接入後用交換機或者無線路由器DHCP分配IP地址供大家上網,這樣的話你做不到上網行為管理,你需要一台防火牆進行包過濾以及日誌記錄 或者作一台代理伺服器進行上網行為管理並進行日誌記錄。
四、區域網內計算機系統管理 包括操作系統防病毒 更新補丁等工作 堡壘往往是從內部攻破 內部計算機中毒主動向外發送數據,造成泄密 這已經是很常見的事情 所以做好主機防護很重要。
當然 如果您有錢 黑洞系統 入侵監測 漏洞掃描 多級防火牆 審計系統都可以招呼
最後提醒一點 那就是 沒有絕對的安全 安全都是相對的
你需要什麼級別的安全 就配套做什麼級別的安全措施
管理永遠大於技術 技術只是輔助手段
④ 怎樣確保區域網安全
1.右鍵我的電腦。管理。組策略,禁止從網路訪問我的計算機里添加USER用戶。從網路訪問我的計算機里刪除USER用戶。右鍵我的電腦。管理。用戶帳戶。禁用guest用戶。並且給administrator加上密碼。
2.打開IE。點工具。INTERNET選項。清除歷史記錄。刪除臨時文件。COOKIES文件。
3.登錄QQ的時候選擇網吧模式。
4.將信箱的密碼設置為大寫+小寫+符號。
1,安裝防火牆屏蔽共享
2,使用上網助手之類的ie插件或超級兔子,會自帶痕跡清理功能。
3,qq第一次登陸時會出現模式選擇,選擇網吧模式,等你退出的時候會提示你是否刪除。原來已有的記錄可在登陸界面點高級設置,下面會出現清除記錄。(最好使用新版的QQ2006)
4,一般網管不會,除非他變態。你可以使用郵箱客戶端+代理的方式,這樣很難截獲你得資料。
如何設置才能確保內網安全呢,通常可以從一下四個方面進行設置:
劃分VLAN防止網路偵聽
運用VLAN(虛擬區域網)技術,將乙太網通信變為點到點通信,防止大部分基於網路偵聽的入侵。 目前的VLAN技術主要有三種:基於交換機埠的VLAN、基於節點MAC地址的VLAN和基於應用協議的VLAN。基於埠的VLAN雖然稍欠靈活,但卻比較成熟,在實際應用中效果顯著,廣受歡迎。基於MAC地址的VLAN為移動計算提供了可能性,但同時也潛藏著遭受MAC欺詐攻擊的隱患。
在集中式網路環境下,我們通常將中心的所有主機系統集中到一個VLAN里,在這個VLAN里不允許有任何用戶節點,從而較好地保護敏感的主機資源。在分布式網路環境下,我們可以按機構或部門的設置來劃分VLAN。各部門內部的所有伺服器和用戶節點都在各自的VLAN內。VLAN內部的連接採用交換實現,而VLAN與VLAN之間的連接則採用路由實現。目前,大多數的交換機(包括海關內部普遍採用的DEC MultiSwitch 900)都支持RIP和OSPF這兩種國際標準的路由協議。如果有特殊需要,必須使用其他路由協議(如CISCO公司的EIGRP或支持DECnet的IS-IS),也可以用外接的多乙太網口路由器來代替交換機,實現VLAN之間的路由功能。當然,這種情況下,路由轉發的效率會有所下降。
安全設置區域網文件夾
如今我們所使用的操作系統大多都為Windows XP,可是在安裝Windows XP時預設項的共享都是「簡單共享」,從而導致「開放」的、不安全的文件共享,我們需要進行如下操作來解除這種不安全的隱患:
首先我們要取消默認的「簡單共享」。打開「我的電腦」依次單擊「工具→文件夾選項」,在打開的對話框中選擇「查看」選項卡,取消「使用簡單共享(推薦)」的選中狀態。
然後創建共享用戶。單擊「開始→設置→控制面板」,打開「用戶賬戶」,創建一個又密碼的用戶,假設用戶名為oldforman,需要共享資源的機器必須以該用戶共享資源。
接下來設置要共享的目錄。假設共享目錄為NTFS分區上的目錄OLDFORMAN,並設置只有用戶oldforman可以共享該目錄下的資源。用滑鼠右鍵單擊要共享的目錄OLDFORMAN,單擊「共享和安全」,點擊「許可權」,單擊刪除按鈕將原來該目錄任何用戶(everyone)都可以共享的許可權刪除。再單擊「添加」按鈕,依次單擊「高級→立即查找」,選擇用戶oldforman,單擊確定添加用戶oldforman,並選擇用戶oldforman的共享許可權。
以後區域網中的計算機要想查看該共享文件夾中的內容,只有輸入正確的用戶名和密碼才能查看或修改共享文件夾中的內容了,如圖2。
以交換式集線器代替共享式集線器
對區域網的中心交換機進行網路分段後,乙太網偵聽的危險仍然存在。這是因為網路最終用戶的接入往往是通過分支集線器而不是中心交換機,而使用最廣泛的分支集線器通常是共享式集線器。這樣,當用戶與主機進行數據通信時,兩台機器之間的數據包(稱為單播包Unicast Packet)還是會被同一台集線器上的其他用戶所偵聽。一種很危險的情況是:用戶TELNET到一台主機上,由於TELNET程序本身缺乏加密功能,用戶所鍵入的每一個字元(包括用戶名、密碼等重要信息),都將被明文發送,這就給黑客提供了機會。
因此,應該以交換式集線器代替共享式集線器,使單播包僅在兩個節點之間傳送,從而防止非法偵聽。當然,交換式集線器只能控制單播包而無法控制廣播包(Broadcast Packet)和多播包(Multicast Packet)。所幸的是,廣播包和多播包內的關鍵信息,要遠遠少於單播包。
不管是交換式集線器還是VLAN交換機,都是以交換技術為核心,它們在控制廣播、防止黑客上相當有效,但同時也給一些基於廣播原理的入侵監控技術和協議分析技術帶來了麻煩。因此,如果區域網內存在這樣的入侵監控設備或協議分析設備,就必須選用特殊的帶有SPAN(Switch Port Analyzer)功能的交換機。這種交換機允許系統管理員將全部或某些交換埠的數據包映射到指定的埠上,提供給接在這一埠上的入侵監控設備或協議分析設備。加強防範觀念 安全預防區域網病毒
選擇一個功力高深的網路版病毒"殺手"就至關重要了。一般而言,查殺是否徹底,界面是否友好、方便,能否實現遠程式控制制、集中管理是決定一個網路殺毒軟體的三大要素。杜絕病毒,主觀能動性起到很重要的作用。
病毒的蔓延,經常是由於企業內部員工對病毒的傳播方式不夠了解,病毒傳播的渠道有很多種,可通過網路、物理介質等。查殺病毒,首先要知道病毒到底是什麼,它的危害是怎麼樣的,知道了病毒危害性,提高了安全意識,杜絕毒瘤的戰役就已經成功了一半。平時,企業要從加強安全意識著手,對日常工作中隱藏的病毒危害增加警覺性,如安裝一種大眾認可的網路版殺毒軟體,定時更新病毒定義,對來歷不明的文件運行前進行查殺,每周查殺一次病毒,減少共享文件夾的數量,文件共享的時候盡量控制許可權和增加密碼等,都可以很好地防止病毒在網路中的傳播。
後記
盡管這些病毒的傳播原理很簡單,但這塊決非僅僅是技術問題,還應該教育用戶和企業,讓它們採取適當的措施。例如,如果所有的Windows用戶都關閉了VB腳本功能,像庫爾尼科娃這樣的病毒就不可能傳播。只要用戶隨時小心警惕,不要打開值得懷疑的郵件,就可把病毒拒絕在外。
⑤ 作為區域網的網路安全管理員,應該從哪些方面來確保整個區域網的安全和可靠
綜合性、整體性原則:應用系統工程的觀點、方法,分析網路的安全及具體措施。安全措施主要包括:行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業措施(識別技術、存取控制、密碼、低輻射、容錯、防病毒、採用高安全產品等)。一個 較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網路,包括個人、設備、軟體、數據等。這些環節在網路中的地位和影響作用,也只有從系統綜合整體的角度去看待、分析,才能取得有效、可行的措施。即計算機網路安全應遵循整體安全性原則,根據規定 的安全策略制定出合理的網路安全體系結構。
需求、風險、代價平衡的原則:對任一網路,絕對安全難以達到,也不一定是必要的。對一個網路進行實際額研究(包括任務、性能、結構、可靠性、可維護性等),並對網路面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然後制定規范和措施,確定本系統的安全策略。
一致性原則:一致性原則主要是指網路安全問題應與整個網路的工作周期(或生命周期)同時存在,制定的安全體系結構必須與網路的安全需求相一致。安全的網路系統設計(包括初步或詳細設計)及實施計劃、網路驗證、驗收、運行等,都要有安全的內容光煥發及措施, 實際上,在網路建設的開始就考慮網路安全對策,比在網路建設好後再考慮安全措施,不但容易,且花費也小得多。
易操作性原則:安全措施需要人為去完成,如果措施過於復雜,對人的要求過高,本身就降低了安全性。其次,措施的採用不能影響系統的正常運行。
分步實施原則:由於網路系統及其應用擴展范圍廣闊,隨著網路規模的擴大及應用的增加,網路脆弱性也會不斷增加。一勞永逸地解決網路安全問題是不現實的。同時由於實施信息安全措施需相當的費用支出。因此分步實施,即可滿足網路系統及信息安全的基本需求,亦可節省費用開支。
多重保護原則:任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
可評價性原則:如何預先評價一個安全設計並驗證其網路的安全性,這需要通過國家有關網路信息安全測評認證機構的評估來實現。
⑥ 如何做好網路安全管理
第一、物理安全
除了要保證要有電腦鎖之外,我們更多的要注意防火,要將電線和網路放在比較隱蔽的地方。我們還要准備UPS,以確保網路能夠以持續的電壓運行,在電子學中,峰值電壓是一個非常重要的概念,峰值電壓高的時候可以燒壞電器,迫使網路癱瘓,峰值電壓最小的時候,網路根本不能運行。使用UPS可以排除這些意外。另外我們要做好防老鼠咬壞網線。
第二、系統安全(口令安全)
我們要盡量使用大小寫字母和數字以及特殊符號混合的密碼,但是自己要記住,我也見過很多這樣的網管,他的密碼設置的的確是復雜也安全,但是經常自己都記不來,每次都要翻看筆記本。另外我們最好不要使用空口令或者是帶有空格的,這樣很容易被一些黑客識破。
我們也可以在屏保、重要的應用程序上添加密碼,以確保雙重安全。
第三、打補丁
我們要及時的對系統補丁進行更新,大多數病毒和黑客都是通過系統漏洞進來的,例如今年五一風靡全球臭名昭著的振盪波就是利用了微軟的漏洞ms04-011進來的。還有一直殺不掉的SQLSERVER上的病毒slammer也是通過SQL的漏洞進來的。所以我們要及時對系統和應用程序打上最新的補丁,例如IE、OUTLOOK、SQL、OFFICE等應用程序。
另外我們要把那些不需要的服務關閉,例如TELNET,還有關閉Guset帳號等。
第四、安裝防病毒軟體
病毒掃描就是對機器中的所有文件和郵件內容以及帶有.exe的可執行文件進行掃描,掃描的結果包括清除病毒,刪除被感染文件,或將被感染文件和病毒放在一台隔離文件夾裡面。所以我們要對全網的機器從網站伺服器到郵件伺服器到文件伺服器知道客戶機都要安裝殺毒軟體,並保持最新的病毒定義碼。我們知道病毒一旦進入電腦,他會瘋狂的自我復制,遍布全網,造成的危害巨大,甚至可以使得系統崩潰,丟失所有的重要資料。所以我們要至少每周一次對全網的電腦進行集中殺毒,並定期的清除隔離病毒的文件夾。
現在有很多防火牆等網關產品都帶有反病毒功能,例如netscreen總裁謝青旗下的美國飛塔Fortigate防火牆就是,她具有防病毒的功能。
第五、應用程序
我們都知道病毒有超過一半都是通過電子郵件進來的,所以除了在郵件伺服器上安裝防病毒軟體之外,還要對PC機上的outlook防護,我們要提高警惕性,當收到那些無標題的郵件,或是你不認識的人發過來的,或是全是英語例如什麼happy99,money,然後又帶有一個附件的郵件,建議您最好直接刪除,不要去點擊附件,因為百分之九十以上是病毒。我前段時間就在一個政府部門碰到這樣的情況,他們單位有三個人一直收到郵件,一個小時竟然奇跡般的收到了2000多封郵件,致使最後郵箱爆破,起初他們懷疑是黑客進入了他們的網路,最後當問到這幾個人他們都說收到了一封郵件,一個附件,當去打開附件的時候,便不斷的收到郵件了,直至最後郵箱撐破。最後查出還是病毒惹的禍。
除了不去查看這些郵件之外,我們還要利用一下outlook中帶有的黑名單功能和郵件過慮的功能。
很多黑客都是通過你訪問網頁的時候進來的,你是否經常碰到這種情況,當你打開一個網頁的時候,會不斷的跳出非常多窗口,你關都關不掉,這就是黑客已經進入了你的電腦,並試圖控制你的電腦。
所以我們要將IE的安全性調高一點,經常刪除一些cookies和離線文件,還有就是禁用那些Active X的控制項。
第六、代理伺服器
代理伺服器最先被利用的目的是可以加速訪問我們經常看的網站,因為代理伺服器都有緩沖的功能,在這里可以保留一些網站與IP地址的對應關系。
要想了解代理伺服器,首先要了解它的工作原理:
環境:區域網裡面有一台機器裝有雙網卡,充當代理伺服器,其餘電腦通過它來訪問網路。
1、內網一台機器要訪問新浪,於是將請求發送給代理伺服器。
2、代理伺服器對發來的請求進行檢查,包括題頭和內容,然後去掉不必要的或違反約定的內容。
3、代理伺服器重新整合數據包,然後將請求發送給下一級網關。
4、新浪網回復請求,找到對應的IP地址。
5、代理伺服器依然檢查題頭和內容是否合法,去掉不適當的內容。
6、重新整合請求,然後將結果發送給內網的那台機器。
由此可以看出,代理伺服器的優點是可以隱藏內網的機器,這樣可以防止黑客的直接攻擊,另外可以節省公網IP。缺點就是每次都要經由伺服器,這樣訪問速度會變慢。另外當代理伺服器被攻擊或者是損壞的時候,其餘電腦將不能訪問網路。
第七、防火牆
提到防火牆,顧名思義,就是防火的一道牆。防火牆的最根本工作原理就是數據包過濾。實際上在數據包過濾的提出之前,都已經出現了防火牆。
數據包過濾,就是通過查看題頭的數據包是否含有非法的數據,我們將此屏蔽。
舉個簡單的例子,假如體育中心有一場劉德華演唱會,檢票員坐鎮門口,他首先檢查你的票是否對應,是否今天的,然後撕下右邊的一條,將剩餘的給你,然後告訴你演唱會現場在哪裡,告訴你怎麼走。這個基本上就是數據包過濾的工作流程吧。
你也許經常聽到你們老闆說:要增加一台機器它可以禁止我們不想要的網站,可以禁止一些郵件它經常給我們發送垃圾郵件和病毒等,但是沒有一個老闆會說:要增加一台機器它可以禁止我們不願意訪問的數據包。實際意思就是這樣。接下來我們推薦幾個常用的數據包過濾工具。
⑦ 作為一個網路管理者,如何解決區域網安全問題
看了你提問,下面我就用比較通俗的方式進行解答,我的解答主要是為了提高你的網路安全的基礎認識,而不是應答這個題目
首先區域網是什麼?區域網是由伺服器或者多台計算機組成的小范圍內的互聯網路,它的最大好處是:1可以實現區域網內共享 2區域網內各台計算機的傳輸速度快,所以是現代最為流行的組網方式
區域網的安全威脅個人認為分為兩大類:來自internet(外網)的威脅和來自內部的威脅,但是內外的攻擊方式可能一樣,譬如外部的人可以發一封攜帶病毒的郵件到內網的郵箱,內部那個人點擊了郵件,同樣,內網某個用戶也可以發一封郵件到另外一個內網人的電子郵箱,而且來自內部的攻擊往往難以防範。
下面列舉一個攻擊的例子讓你有個大概的網路攻擊的認識:
(1)ICMP協議(icmp協議主要用來主機之間,主機與路由器之間實現信息查詢和錯誤通告的),攻擊者可以利用echo reply原理進行ICMP泛洪攻擊,他只要想目標一個廣播網路發送echo請求,講源地址偽裝成受害者的ip地址,廣播網路就會不停的對受害者發送echo應答,導致帶寬耗盡,形成Dos(拒絕服務)攻擊
這種攻擊利用 客戶端一伺服器的模式工作,伺服器駐留在防火牆內部被安裝了木馬程序
(一般通過電子郵件傳送的主機上)一旦運行,就可以接收來自駐留在攻擊者機器上的客戶端的echo請求包,客戶端把要執行的命令包裹在echo數據包中,伺服器(受害者主機)接收到該數據包,
解出其中包裹的命令,並在受害者的機器上執行它,然後,將結果放人 echo rely數據包中回送給攻擊者,一般來說防火牆的具備的功能如下:
a內外網數據必須通過防火牆
b只有被防火牆認可的數據才能通過
c防火牆本身具備抵抗攻擊的能力
但是一般防火牆對echo報數據都是「寬大處理」,攻擊者通過這種模式可以完全越過沒有禁止echo requset 和echo reply數據包的防火牆!!!
(2)TCP/IP規范要求IP報文的長度在一定范圍內(比如,0-64K),但有的攻擊計算機可能向目標計算機發出大於64K長度的PING報文,導致目標計算機IP協議棧崩潰,不過現在這個bug已經修改了(所以更新操作系統很重要~)
(3)SMTP是目前最常用的郵件協議,也是隱患最大的協議之一。在SMTP中,發件人的地址是通過一個應用層的命令"MAIL FROM」來傳送的,協議本身沒有對其作任何驗證,這導致了垃圾郵件的發送者可以隱藏他們的真實地址,同時發送的電子郵件可以攜帶各種病毒文件
(4)ARP(地址解析)協議漏洞,ARP用來將IP地址映射成MAC地址的(乙太網中傳送數據需要用MAC地址進行定址),在TCP/IP協議中,A給B發送IP包,在報頭中需要填寫B的IP為目標地址,但這個IP包在乙太網上傳輸的時候,還需要進行一次以太包的封裝,在這個以太包中,目標地址就是B的MAC地址.
計算機A是如何得知B的MAC地址的呢?解決問題的關鍵就在於ARP協議。
在A不知道B的MAC地址的情況下,A就廣播一個ARP請求包,請求包中填有B的IP(192.168.1.2),乙太網中的所有計算機都會接收這個請求(因為是一個廣播域,所有主機都可以收到),而正常的情況下只有B會給出ARP應答包,包中就填充上了B的MAC地址,並回復給A。
A得到ARP應答後,將B的MAC地址放入本機緩存,便於下次使用。
本機MAC緩存是有生存期的,生存期結束後,將再次重復上面的過程。
ARP協議並不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候,就會對本地的ARP緩存進行更新,將應答中的IP和MAC地址存儲在ARP緩存中。因此,當區域網中的某台機器A向B發送一個自己偽造的ARP應答,而如果這個應答是A冒充C的,即IP地址為C的IP,而MAC地址是偽造無效的,則當A接收到B偽造的ARP應答後,就會更新本地的ARP緩存,這樣在A看來C的IP地址沒有變,而它的MAC地址已經不是原來那個了。由於區域網的網路流通不是根據IP地址進行,而是按照MAC地址進行傳輸。所以,那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址,這樣就會造成網路不通,導致A不能Ping通C!這就是一個簡單的ARP欺騙。通理,如果攻擊者A將MAC地址設為自己的MAC,那麼每次B跟C通信的時候,其實都是在跟A通信,那麼A就達到了獲取B的消息的目的,而B全然不覺- -!!
以上只是從底層原理讓你大概了解攻擊者到底是如何進行攻擊的,不是什麼神秘的事情,其實攻擊很簡單,無非就是利用系統漏洞或者說鑽空子來達到獲取信息,破壞的目的,為什麼經常要進行系統升級?
舉個例子,有人鑽法律的空子做一些事,有了這個先例,然後司法機構才補充一條新的法律條文,而並不是說原來的法律就是錯誤的,而是沒有注意到那一點,系統升級也一樣,就是根據最新發現的攻擊進行一些規則的補充,讓攻擊者不能再鑽這個空子,但是攻擊者會去發現新的空子,其實攻擊者對我們的網路發展貢獻了很大的力量,為我們提供了許多思路,如果沒有那些病毒或者攻擊,網路安全的發展也停滯不前了。所以作為一個網路管理員,要解決區域網安全問題要注意一下幾點:
(1)內外網根據區域網內部的安全等級需要選擇適當的防火牆
(2)處於區域網的伺服器要進行隔離,區域網內計算機的數據快速、便捷的傳遞,造就了病毒感染的直接性和快速性,如果區域網中伺服器區域不進行獨立保護,其中一台電腦感染病毒,並且通過伺服器進行信息傳遞,就會感染伺服器,這樣區域網中任何一台通過伺服器信息傳遞的電腦,就有可能會感染病毒。雖然在網路出口有防火牆阻斷對外來攻擊,但無法抵擋來自區域網內部的攻擊。
(3)及時安裝殺毒軟體,更新操作系統,由於網路用戶不及時安裝防病毒軟體和操作系統補丁,或未及時更新防病毒軟體的病毒庫而造成計算機病毒的入侵。許多網路寄生犯罪軟體的攻擊,正是利用了用戶的這個弱點。
(4)對一個區域網的機器進行vlan分割,實現廣播域的隔離
(5)封存所有空閑的IP地址。啟動IP地址綁定採用上網計算機IP地址與MCA地址一一對應,網路沒有空閑IP地址的策略。由於採用了無空閑IP地址策略,可以有效防止IP地址引起的網路中斷和移動計算機隨意上內部區域網絡造成病毒傳播和數據泄密
(6)資料庫的備份與恢復。資料庫的備份與恢復是資料庫管理員維護數據安全性和完整性的重要操作。備份是恢復資料庫最容易和最能防止意外的保證方法。恢復是在意外發生後利用備份來恢復數據的操作。譬如一個網吧內,必須安裝一個還原系統,機器重啟就還原
(7)加強安全意識,往往引起的攻擊不是外部網路攻擊,而是來自內部一些別有用心的人破壞
平時要多學習網路的一些基礎知識和網路的一些常見攻擊手段以達到反偵察的目的,純手打,希望對你有用,QQ137894617
⑧ 區域網組建中,我們怎樣才能保證整個區域網的網路安全
做好以下三個方面的工作,來確保區域網的安全:
物理安全、網路結構安全、網路系統安全
一、物理安全
保證計算機信息系統各種設備的物理安全是整個計算機信息系統安全的前提,物理安全是保護計算機網路設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。 它主要包括三個方面:
1、環境安全:對系統所在環境的安全保護,如區域保護和災難保護;(參見國家標准GB50173-93《電子計算機機房設計規范》、國標GB2887-89《計算站場地技術條件》、GB9361-88《計算站場地安全要求》
2、設備安全:主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等
3、媒體安全:包括媒體數據的安全及媒體本身的安全。
在網路的安全方面,主要考慮兩個大的層次,一是整個網路結構成熟化,主要是優化網路結構,二是整個網路系統的安全。
二、網路結構安全
安全系統是建立在網路系統之上的,網路結構的安全是安全系統成功建立的基礎。在整個網路結構的安全方面,主要考慮網路結構、系統和路由的優化。 網路結構的建立要考慮環境、設備配置與應用情況、遠程聯網方式、通信量的估算、網路維護管理、網路應用與業務定位等因素。成熟的網路結構應具有開放性、標准化、可靠性、先進性和實用性,並且應該有結構化的設計,充分利用現有資源,具有運營管理的簡便性,完 善的安全保障體系。網路結構採用分層的體系結構,利於維護管理,利於更高的安全控制和業務發展。
網路結構的優化,在網路拓撲上主要考慮到冗餘鏈路;防火牆的設置和入侵檢測的實時監控等。
三、網路系統安全
1、 訪問控制及內外網的隔離
訪問控制
訪問控制可以通過如下幾個方面來實現:
a.制訂嚴格的管理制度:可制定的相應:《用戶授權實施細則》、《口令字及帳戶管理規范》、《許可權管理制度》。
b.配備相應的安全設備:在內部網與外部網之間,設置防火牆實現內外網的隔離與訪問控制是保護內部網安全的最主要、同時也是最有效、最經濟的措施之一。防火牆設置在不同網路或網路安全域之間信息的唯一出入口。
防火牆主要的種類是包過濾型,包過濾防火牆一般利用IP和TCP包的頭信息對進出被保護網路的IP包信息進行過濾,能根據企業的安全政策來控制(允許、拒絕、監測)出入網路的信息流。同時可實現網路地址轉換(NAT)、審記與實時告警等功能。由於這種防火 牆安裝在被保護網路與路由器之間的通道上,因此也對被保護網路和外部網路起到隔離作用。
防火牆具有以下五大基本功能:過濾進、出網路的數據;管理進、出網路的訪問行為;封堵某些禁止的業務;記錄通過防火牆的信息內容和活動;對網路攻擊的檢測和告警。
2、 內部網不同網路安全域的隔離及訪問控制
在這里,主要利用VLAN技術來實現對內部子網的物理隔離。通過在交換機上劃分VLAN可以將整個網路劃分為幾個不同的廣播域,實現內部一個網段與另一個網段的物理隔離。這樣,就能防止影響一個網段的問題穿過整個網路傳播。針對某些網路,在某些情況下,它的一些區域網的某個網段比另一個網段更受信任,或者某個網段比另一個更敏感。通過將信任網段與不信任網段劃分在不同的LAN段內,就可以限制局部網路安全問題對全局網路造成的影響。
3、 網路安全檢測
網路系統的安全性取決於網路系統中最薄弱的環節。如何及時發現網路系統中最薄弱的環節?如何最大限度地保證網路系統的安全?最有效的方法是定期對網路系統進行安全性分析,及時發現並修正存在的弱點和漏洞。網路安全檢測工具通常是一個網路安全性評估分析軟體,其功能是用實踐性的方法掃描分析網路系統,檢查報告系統存在的弱點和漏洞,建議補救措施和安全策略,達到增強網路安全性的目的。檢測工具應具備以下功能:
具備網路監控、分析和自動響應功能
找出經常發生問題的根源所在;
建立必要的循環過程確保隱患時刻被糾正;控制各種網路安全危險。
漏洞分析和響應、配置分析和響應、漏洞形勢分析和響應
認證和趨勢分析
具體體現在以下方面:
a.防火牆得到合理配置
b.內外WEB站點的安全漏洞減為最低
c.網路體系達到強壯的耐攻擊性
d.各種伺服器操作系統,如E_MIAL伺服器、WEB伺服器、應用伺服器、,將受黑客攻擊的可能降為最低
e.對網路訪問做出有效響應,保護重要應用系統(如財務系統)數據安全不受黑客攻擊和內部人員誤操作的侵害。
⑨ 區域網的安全管理
從網吧ARP欺騙看區域網的安全管理 在「網吧ARP欺騙的原理及危害」一文中為大家介紹了ARP欺騙攻擊的原理以及危害程度,相信各位網路管理員讀者都對ARP欺騙深表痛恨,希望能夠徹底的禁止該現象的發生。雖然筆者不是網吧管理員,但是也在單位負責五個機房共200台計算機。所以下面就根據筆者的經驗為大家介紹如何來防止ARP欺騙,文章所說的這些方法對網吧或普通區域網都是適用的。
企業可以通過發布網路管理制度來禁止ARP欺騙問題的發生,發現有欺騙者和獎金等效益掛鉤。但是網吧不同於企業,來使用計算機和網路的都是顧客,也就是「上帝」,我們不可能對他們的行為做過多的約束,所以唯一能做的就是從技術上盡最大可能約束和檢查ARP欺騙的來源。
一,sniffer檢測法:
sniffer是網路管理的好工具,網路中傳輸的所有數據包都可以通過sniffer來檢測。同樣arp欺騙數據包也逃不出sniffer的監測范圍。
一般來說ARP欺騙數據包沒有留下發送虛假信息的主機地址,但是承載這個ARP包的ethernet幀卻包含了他的源地址。而且正常情況下ethernet數據幀中,幀頭里的MAC源地址/目標地址應該和幀數據包中ARP信息配對,這樣的ARP包才算是正確的。如果不正確,肯定是假冒的包,當然如果匹配的話,我們也不能過於放鬆,一樣不能代表是正確的,另外通過檢測到的數據包再結合網關這里擁有的本網段所有MAC地址網卡資料庫,看看哪個和Mac資料庫中數據不匹配,這樣就可以找到假冒的ARP數據包,並進一步找到兇手了。
關於MAC地址網卡資料庫可以在第一次裝系統的時候進行記錄,將網吧座位號與MAC地址等信息做一個對應表格。查看MAC地址的方法是通過「開始->運行」,進入命令提示窗口,然後輸入ipconfig /all。在physical address的右邊就是相應網卡的MAC地址。(如圖1)
圖1
二,DHCP結合靜態捆綁法:
要想徹底避免ARP欺騙的發生,我們需要讓各個計算機的MAC地址與IP地址唯一且相對應。雖然我們可以通過為每台計算機設置IP地址的方法來管理網路,但是遇到那些通過ARP欺騙非法攻擊的用戶來說,他可以事先自己手動更改IP地址,這樣檢查起來就更加復雜了,所以說保證每台計算機的MAC地址與IP地址唯一是避免ARP欺騙現象發生的前提。
(1)建立DHCP伺服器保證MAC地址與IP地址唯一性:
首先我們可以在windows 2000 server或其他伺服器版操作系統上啟用DHCP服務,為網吧建立一個DHCP伺服器,一般來說建議在網關上搭建。因為DHCP不佔用多少CPU,而且ARP欺騙攻擊一般總是先攻擊網關,攻擊網關的同時由於網關這里有監控程序,所以可以在第一時間發現攻擊行為。當然為了減少攻擊的發生機率我們也可以把網關地址設置為網段的第二個地址,例如192.168.1.2,把192.168.1.1留這些常用的網關地址空置,這樣用戶攻擊時也會選擇錯誤對象。
另外所有客戶機的IP地址及其相關主機信息,只能由網關這里取得,網關這里開通DHCP服務,但是要給每個網卡,綁定固定唯一IP地址。一定要保持網內的機器IP/MAC一一對應的關系。這樣客戶機雖然是DHCP取地址,但每次開機的IP地址都是一樣的。以上這些綁定關系可以通過DHCP的地址池來解決,或者將客戶端獲得IP等網路參數信息的租約設置為一個非常長的時間,例如一年或者無限時間,這樣在此時間段里只要MAC地址不變,客戶端獲得的IP地址也是不變的。(如圖2)
圖2
(2)建立MAC地址資料庫:
把網吧內所有網卡的MAC地址記錄下來,每個MAC和IP、地理位置統統裝入資料庫,以便及時查詢備案。可以以EXCEL表格的形式,也可是保存成資料庫文件。
(3)禁止ARP動態更新:
為了防止網關被隨意攻擊,我們還需要在網關機器上關閉ARP動態刷新功能,這樣的話,即使非法用戶使用ARP欺騙攻擊網關的話,對網關是無效的,從而確保主機安全。在網關上建立靜態IP/MAC捆綁的方法如下。
第一步:建立/etc/ethers文件,其中包含正確的IP/MAC對應關系,格式為192.168.2.32 08:00:4E:B0:24:47。
第二步:然後在/etc/rc.d/rc.local最後添加arp -f生效即可。
上面這個禁止ARP動態更新的方法是針對Linux系統而言的。
(4)網關監測:
在網關上面使用TCPDUMP程序截取每個ARP程序包,弄一個腳本分析軟體分析這些ARP協議。ARP欺騙攻擊的包一般有以下兩個特點,滿足之一就可以視為攻擊包報警,第一是乙太網數據包頭的源地址、目標地址和ARP數據包的協議地址不匹配。第二是ARP數據包的發送和目標地址不在自己網路網卡MAC資料庫內,或者與自己網路MAC資料庫MAC/IP不匹配。我們也可以通過腳本分析軟體實現自動報警功能,最後查這些數據包(乙太網數據包)的源地址就大致知道那台機器在發起攻擊了。
三,總結:
ARP欺騙是目前網路管理,特別是區域網管理中最讓人頭疼的攻擊,他的攻擊技術含量低,隨便一個人都可以通過攻擊軟體來完成ARP欺騙攻擊。同時防範ARP欺騙也沒有什麼特別有效的方法。目前只能通過被動的亡羊補牢形式的措施了。本文介紹的兩個方法都是針對ARP欺騙防範的,希望對讀者有所幫助。當然很多網路管理軟體開發公司都推出了自己的防範ARP欺騙的產品,這些產品良莠不齊,大家選擇時更要仔細
http://cisco.chinaitlab.com/safety/520315.html