1、局域网组网技术 第8章 局域网安全与管理8.1网络安全概述8.2 网络安全技术8.3 局域网安全隐患及措施 8.4 局域网管理工具 本章小结8.1网络安全概述伴随着全球经济高速发展的浪潮,以Internet为代表的全球性信息化也在逐日升温,计算机以及信息网络技术的应用正日益普及和广泛,伴随网络的日益普及,网络安全成为影响网络效能的重要问题。如何使网络信息系统不受黑客和工业间谍等外部威胁的入侵,已成为保障信息化健康发展所要考虑的重要事情之一。8.1.1 什么是网络安全网络环境里的安全指的是一种能够识别和消除网络环境里的安全指的是一种能够识别和消除不安全因素的能力。网络系统的硬件、软件及不安全因素
2、的能力。网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续意的原因而遭到破坏、更改、泄露,系统连续可能正常运行、网络服务不中断。可能正常运行、网络服务不中断。网络安全包括五个基本要素:机密性、完整性、网络安全包括五个基本要素:机密性、完整性、可用性、可控性与可审查性。可用性、可控性与可审查性。8.1.2 安全威胁 一般认为,目前网络存在的威胁主要表现在:一般认为,目前网络存在的威胁主要表现在:非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问。它主要有以下几种形式:假冒、身份攻击、非法
3、用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。8.1.2 安全威胁信息泄漏或丢失:指敏感数据在有意或无意信息泄漏或丢失:指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括,信息在中被泄漏出去或丢失,它通常包括,信息在传输中丢失或泄漏,信息在存储介质中丢失传输中丢失或泄漏,信息在存储介质中丢失或泄漏,通过建立隐蔽隧道等窃取敏感信息或泄漏,通过建立隐蔽隧道等窃取敏感信息等。等。8.1.2 安全威胁破坏数据完整性:以非法手段窃得对数据的使用权,破坏数据完整性:以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有删除、修改、插入或重发某些重要信息,以取得有益于攻
4、击者的响应;恶意添加,修改数据,以干扰益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用。用户的正常使用。拒绝服务攻击:它不断对网络服务系统进行干扰,拒绝服务攻击:它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到用户被排斥而不能进入计算机网络系统或不能得到相应的服务。相应的服务。利用网络传播病毒:通过网络传播计算机病毒,其利用网络传播病毒:通过网络传播计算机病毒,其破坏性大大高于单机系统
5、,而且用户很难防范。破坏性大大高于单机系统,而且用户很难防范。8.1.3 安全策略 安全策略是指在一个特定的环境里,为保证提安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。该供一定级别的安全保护所必须遵守的规则。该安全策略模型包括了建立安全环境的三个重要安全策略模型包括了建立安全环境的三个重要组成部分,即:组成部分,即:威严的法律先进的技术严格的管理8.1.4 安全工作目的安全工作的目的就是为了在安全法律、法规、安全工作的目的就是为了在安全法律、法规、政策的支持与指导下,通过采用合适的安全技政策的支持与指导下,通过采用合适的安全技术与安全管理措施,完成以下任务:术
6、与安全管理措施,完成以下任务:使用访问控制机制,阻止非授权用户进入网络,即“进不来”,从而保证网络系统的可用性。使用授权机制,实现对用户的权限控制,即不该拿走的“拿不走”,同时结合内容审计机制,实现对网络资源及信息的可控性。8.1.4 安全工作目的使用加密机制,确保信息不暴露给未授权的实使用加密机制,确保信息不暴露给未授权的实体或进程,即体或进程,即“看不懂看不懂”,从而实现信息的保,从而实现信息的保密性。密性。使用数据完整性鉴别机制,保证只有得到允许使用数据完整性鉴别机制,保证只有得到允许的人才能修改数据,而其它人的人才能修改数据,而其它人“改不了改不了”,从,从而确保信息的完整性。而确保信
7、息的完整性。使用审计、监控、防抵赖等安全机制,使得攻使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者击者、破坏者、抵赖者“走不脱走不脱”,并进一步,并进一步对网络出现的安全问题提供调查依据和手段,对网络出现的安全问题提供调查依据和手段,实现信息安全的可审查性。实现信息安全的可审查性。8.2 网络安全技术8.2.1 8.2.1 防火墙技术防火墙技术目前在全球连入目前在全球连入InternetInternet的计算机中约有三分之的计算机中约有三分之一是处于防火墙保护之下。一是处于防火墙保护之下。网络防火墙技术是一种用来加强网络之间访问网络防火墙技术是一种用来加强网络之间访问控制,防止外
8、部网络用户以非法手段通过外部控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。内部网络操作环境的特殊网络互联设备。目前的防火墙产品主要有堡垒主机、包过滤路目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关代理服务器以及电路层网关、由器、应用层网关代理服务器以及电路层网关、屏蔽主机防火墙、双宿主机等类型。屏蔽主机防火墙、双宿主机等类型。8.2.1 防火墙技术防火墙的技术实现通常是基于所谓防火墙的技术实现通常是基于所谓“包过滤包过滤”技术,而进行包过滤的标准通常就是根据安全技术,而进行包
9、过滤的标准通常就是根据安全策略制定的。在防火墙中,包过滤的标准一般策略制定的。在防火墙中,包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单是靠网络管理员在防火墙设备的访问控制清单中设定。访问控制一般基于的标准有:包的源中设定。访问控制一般基于的标准有:包的源地址、包的目的地址、连接请求的方向、数据地址、包的目的地址、连接请求的方向、数据包协议以及服务请求的类型等。包协议以及服务请求的类型等。除了基于硬件的包过滤技术,防火墙还可以利除了基于硬件的包过滤技术,防火墙还可以利用代理服务器软件实现。用代理服务器软件实现。8.2.1 防火墙技术防火墙的职责就是根据本单位的安全策略,对防火墙的职责
10、就是根据本单位的安全策略,对外部网络与内部网络之间交流的数据进行检查,外部网络与内部网络之间交流的数据进行检查,符合的予以放行,不符合的拒之门外。符合的予以放行,不符合的拒之门外。虽然防火墙是目前保护网络免遭黑客袭击的有虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的
11、攻击。无法防范数据驱动型的攻击。8.2.2 入侵检测技术入侵检测技术的研究最早可追溯到入侵检测技术的研究最早可追溯到James James AdersoAderson n在在19801980年的工作,他首先提出了入侵检测的概年的工作,他首先提出了入侵检测的概念。念。19871987年年Dorothy E DenningDorothy E Denning提出入侵检测系统的提出入侵检测系统的抽象模型,首次将入侵检测的概念作为一种计算抽象模型,首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出,与传统加密和机系统安全防御问题的措施提出,与传统加密和访问控制的常用方法相比,访问控制的常用方法
12、相比,IDSIDS是全新的计算机是全新的计算机安全措施。安全措施。19881988年的年的Morris InternetMorris Internet蠕虫事件使得蠕虫事件使得InternetInternet近近5 5天无法使用。该事件使得对计算机安全的需要天无法使用。该事件使得对计算机安全的需要迫在眉睫,从而导致了许多迫在眉睫,从而导致了许多IDSIDS系统的开发研制系统的开发研制8.2.2 入侵检测技术入侵检测(入侵检测(Intrusion DetectionIntrusion Detection)的定义为:识)的定义为:识别针对计算机或网络资源的恶意企图和行为,别针对计算机或网络资源的恶意
13、企图和行为,并对此快速作出反应的过程。并对此快速作出反应的过程。IDSIDS能够检测未授能够检测未授权对象针对系统的入侵企图或行为,同时监控权对象针对系统的入侵企图或行为,同时监控授权对象对系统资源的非法操作。具体的功能授权对象对系统资源的非法操作。具体的功能是:是:从系统的不同环节收集信息;分析该信息,试图寻找入侵活动的特征;自动对检测到的行为做出响应;纪录并报告检测过程结果。8.2.2 入侵检测技术入侵检测作为一种积极主动的安全防护技术,入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和失误操作的实提供了对内部攻击、外部攻击和失误操作的实时保护,在网络系统受到危害之前拦截
14、和响应时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好地弥补防火墙的不入侵。入侵检测系统能很好地弥补防火墙的不足,从某种意义上说是防火墙的补充。足,从某种意义上说是防火墙的补充。8.2.3 数据加密技术网络安全的另一个非常重要的手段就是数据加网络安全的另一个非常重要的手段就是数据加密技术,它是对信息进行重新编码,从而达到密技术,它是对信息进行重新编码,从而达到隐藏信息内容,使非法用户无法获得信息真实隐藏信息内容,使非法用户无法获得信息真实内容的一种技术手段。内容的一种技术手段。数据加密是指在数据处理过程中将敏感数据转数据加密是指在数据处理过程中将敏感数据转换为不能识别的乱码,还
15、原的过程则称为解密,换为不能识别的乱码,还原的过程则称为解密,数据加、解密过程是由算法来具体实施的。加数据加、解密过程是由算法来具体实施的。加密的技术主要分两种:密的技术主要分两种:单匙技术双匙技术8.2.3 数据加密技术单匙技术单匙技术这种技术无论加密还是解密都是用同一把钥匙,是较为传统的一种加密方法。发信人用某把钥匙将某重要信息加密,通过网络传给收信人,收信人再用同一把钥匙将加密后的信息解密。这种方法也存在一个问题,即如果收信者和发信者不在同一地理位置,那么他们必须确保有一个安全渠道来传送加密钥匙,以保加密钥匙在传输过程中不会被泄漏。8.2.3 数据加密技术双匙技术双匙技术此技术使用两个相
16、关互补的钥匙:一个称为公用钥匙,另一个称为私人钥匙。公用钥匙是大家被告知的,而私人钥匙则只有所有者自己知道。发信者需用收信人的公用钥匙将重要信息加密,然后通过网络传给收信人。收信人再用自己的私人钥匙将其解密。公用钥匙是公开的,可以通过网络告知发信人,而只知道公用钥匙是无法导出私人钥匙的。8.2.3 数据加密技术数据加密技术主要有两个用途,一是加密信息;数据加密技术主要有两个用途,一是加密信息;另一个是信息数字署名,即发信者用自己的私另一个是信息数字署名,即发信者用自己的私人钥匙将信息加密,这就相当于在这条消息上人钥匙将信息加密,这就相当于在这条消息上署上了名。任何人只有用发信者的公用钥匙,署上
17、了名。任何人只有用发信者的公用钥匙,才能解开这条消息。才能解开这条消息。8.2.3 数据加密技术在实际应用中为了达到更高的安全性,通常既在实际应用中为了达到更高的安全性,通常既需要进行保密又要进行署名,则可以将上面介需要进行保密又要进行署名,则可以将上面介绍的两个步骤联合起来。即发信者先用自己的绍的两个步骤联合起来。即发信者先用自己的私人钥匙署名再用收信者的公用钥匙加密,再私人钥匙署名再用收信者的公用钥匙加密,再发给对方。反过来收信者只需用自己的私人钥发给对方。反过来收信者只需用自己的私人钥匙解密,再用发信者的公用钥匙验证签名。匙解密,再用发信者的公用钥匙验证签名。在网络传输中,数据加密技术是
18、一种效率高而在网络传输中,数据加密技术是一种效率高而又灵活的安全手段,尤其值得在企业局域网应又灵活的安全手段,尤其值得在企业局域网应用中加以推广。用中加以推广。8.3 局域网安全隐患及措施 8.3.1 8.3.1 网络安全隐患网络安全隐患影响局域网安全的因素很多,归结起来,局域影响局域网安全的因素很多,归结起来,局域网所面临的安全隐患主要有三种:网所面临的安全隐患主要有三种:恶意攻击来自病毒的威胁用户安全隐患8.3.1 8.3.1 网络安全隐患网络安全隐患全面可行的安全措施概括地讲,就是先进行网全面可行的安全措施概括地讲,就是先进行网络分段,再利用路由器、防火墙,通过软、硬络分段,再利用路由器
19、、防火墙,通过软、硬件相结合在局域网的内部和外部,在客户端和件相结合在局域网的内部和外部,在客户端和服务器之间,在用户和网络之间筑起道道屏障,服务器之间,在用户和网络之间筑起道道屏障,并加强日常管理工作,做好病毒防治和重要数并加强日常管理工作,做好病毒防治和重要数据的备份工作,把局域网遭受攻击的可能性和据的备份工作,把局域网遭受攻击的可能性和成功率降到最低、确保网络的安全运行。网络成功率降到最低、确保网络的安全运行。网络结构如图所示。结构如图所示。8.3.1 8.3.1 网络安全隐患网络安全隐患8.3.2 8.3.2 安全措施安全措施根据以上安全隐患,可以采取如下一些根据以上安全隐患,可以采取
20、如下一些防治安全隐患的措施:防治安全隐患的措施:1、网络分段2加装防火墙、配置路由器3进行病毒防治4、实行安全管理8.4 局域网管理工具 8.4.1 8.4.1 anyviewanyview(网络警)网络监控系统(网络警)网络监控系统anyviewanyview(网络警)网络监控只要在一台电脑(网络警)网络监控只要在一台电脑上安装即可监控、记录、控制局域网内其他计上安装即可监控、记录、控制局域网内其他计算机的上网行为。主要功能有:算机的上网行为。主要功能有:1.网络行为和内容监视2.上网行为控制3.内容过滤4.IP和MAC绑定5.用户管理6.其他功能8.4.1 8.4.1 anyviewany
21、view(网络警)网络监控系统(网络警)网络监控系统1.1.网络行为和内容监视网络行为和内容监视该功能包括:网站浏览监视、邮件收发监视、该功能包括:网站浏览监视、邮件收发监视、聊天行为监视、游戏行为监视、聊天行为监视、游戏行为监视、FTPFTP监视、流监视、流量监视、自定义监视。量监视、自定义监视。2.2.上网行为控制上网行为控制AnyViewAnyView能控制的上网行为有:网站浏览、邮能控制的上网行为有:网站浏览、邮件收发、聊天行为、游戏行为。还能自定义需件收发、聊天行为、游戏行为。还能自定义需要控制的行为、以及控制的端口级别。所有的要控制的行为、以及控制的端口级别。所有的控制都可针对控制
22、都可针对3 3层对象和指定的时段以及指定层对象和指定的时段以及指定的协议。的协议。8.4.1 8.4.1 anyviewanyview(网络警)网络监控系统(网络警)网络监控系统3.3.内容过滤内容过滤该功能对不需要的监视的象和行为进行过滤,该功能对不需要的监视的象和行为进行过滤,忽略监视。可以将监控设置为全部监视、不监忽略监视。可以将监控设置为全部监视、不监视、只监视部分应用三种。视、只监视部分应用三种。4.IP4.IP和和MACMAC绑定绑定该功能通过禁止该功能通过禁止MACMAC地址和所有地址和所有IPIP地址修改、地址修改、禁止部分禁止部分IPIP地址修改,可以有效防止非法用户地址修改
23、,可以有效防止非法用户访问网络资源。访问网络资源。8.4.1 8.4.1 anyviewanyview(网络警)网络监控系统(网络警)网络监控系统5.5.用户管理用户管理该功能能对分组和用户进行管理,具体表现在:该功能能对分组和用户进行管理,具体表现在:(1)自动搜索局域网内的电脑,并自动解析出机器名,默认以MAC地址区分用户。(2)允许建立分组并允许刷新分组;方便管理以及权限控制。(3)允许用户名修改,方便识别和管理,分组权限移动后自然继承新分组权限。8.4.1 8.4.1 anyviewanyview(网络警)网络监控系统(网络警)网络监控系统6.6.其他功能其他功能(1)采用C/S管理模
24、式,支持分级权限管理。(2)跨平台监控(3)不需要在被监视和管理电脑上安装任何软件,一机运行,整网管理。(4)支持拦截监视内容和配置文件的的备份、恢复;支持无限多个IP网段监视。8.4.1 8.4.1 anyviewanyview(网络警)网络监控系统(网络警)网络监控系统(5)采用连接密码管理禁止非法用户连接,采用控制台密码管理禁止非法用户查看。(6)引擎作为系统服务运行在后台,不需要登陆和用户干预就可监控。(7)脱机浏览监视数据功能,附带自动检测连接设备是否HUB的功能。(8)正式版安装以后,同一网段内,其他机器上的试用版不能正常运行。8.4.28.4.2局域网助手(局域网助手(LanHe
25、lperLanHelper)LanHelperLanHelper是是WindowsWindows平台上强大的局域网管平台上强大的局域网管理、扫描、监视工具。其独特的强力网络扫描理、扫描、监视工具。其独特的强力网络扫描引擎可以扫描到用户所需要的信息,并具有远引擎可以扫描到用户所需要的信息,并具有远程网络唤醒、远程关机、远程重启、远程执行、程网络唤醒、远程关机、远程重启、远程执行、发送消息等功能。同时不需要服务端软件,节发送消息等功能。同时不需要服务端软件,节省用户的时间和金钱,使用户的网络管理更加省用户的时间和金钱,使用户的网络管理更加轻松和安全。轻松和安全。8.4.3 8.4.3 聚生网管(聚
26、生网管(NetsenseNetsense)聚生网管是一款为中小企业量身定做的网络监聚生网管是一款为中小企业量身定做的网络监控系统,该软件针对目前最困扰企业的问题提控系统,该软件针对目前最困扰企业的问题提供了控制功能,从而也降低了系统的成本。供了控制功能,从而也降低了系统的成本。聚生网管主要提供以下网络监控功能:聚生网管主要提供以下网络监控功能:1.1.下载控制下载控制2.2.带宽(流速)、流量管理带宽(流速)、流量管理3.3.聊天管理聊天管理4.WWW4.WWW访问管理访问管理8.4.3 8.4.3 聚生网管(聚生网管(NetsenseNetsense)1.1.下载控制下载控制(1 1)P2P
27、P2P下载完全控制功能下载完全控制功能(2 2)P2PP2P下载智能带宽抑制功能下载智能带宽抑制功能(3 3)HTTPHTTP、FTPFTP下载控制功能下载控制功能8.4.3 8.4.3 聚生网管(聚生网管(NetsenseNetsense)2.2.带宽(流速)、流量管理带宽(流速)、流量管理(1 1)实时查看局域网主机带宽占用)实时查看局域网主机带宽占用(2 2)针对特定主机分配公网带宽)针对特定主机分配公网带宽(3 3)主机报文数据分析功能)主机报文数据分析功能(4 4)系统可以为局域网主机设定上行、下行)系统可以为局域网主机设定上行、下行流量和总流量,超过设定流量,自动断开其公流量和总流
28、量,超过设定流量,自动断开其公网连接。网连接。8.4.3 8.4.3 聚生网管(聚生网管(NetsenseNetsense)3.3.聊天管理聊天管理聚生网管能够对QQ、MSN、新浪UC、网易泡泡等聊天软件进行控制。4.WWW4.WWW访问管理访问管理(1)WWW访问完全控制(2)黑白名单规则(3)色情网址过滤(4)局域网主机充当代理服务器控制(5)局域网使用WWW代理控制本章小节本章小节随着网络的日益发展,网络存在非授权访问、随着网络的日益发展,网络存在非授权访问、信息泄漏或丢失、破坏数据完整性、拒绝服务信息泄漏或丢失、破坏数据完整性、拒绝服务攻击、计算机病毒等安全威胁,人们对网络安攻击、计算机病毒等安全威胁,人们对网络安全提出了更高的要求。针对网络安全隐患和安全提出了更高的要求。针对网络安全隐患和安全威胁,可以采用划分网段、安装防火墙和设全威胁,可以采用划分网段、安装防火墙和设置路由器、进行病毒防护、实施安全管理等解置路由器、进行病毒防护、实施安全管理等解决措施。同时可以根据局域网的类型选择合适决措施。同时可以根据局域网的类型选择合适的管理工具。学完本章,读者能掌握一整套局的管理工具。学完本章,读者能掌握一整套局域网安全与管理的相关知识,并能针对具体的域网安全与管理的相关知识,并能针对具体的局域网类型制定相应的网络安全措施。局域网类型制定相应的网络安全措施。
