趙志軍

[摘 要] 當(dāng)今社會網(wǎng)絡(luò)已成為人們信息通信的重要途徑，局域網(wǎng)通信給人類帶來便捷，但伴隨著局域網(wǎng)通信也出現(xiàn)了很多不安全因素，導(dǎo)致局域網(wǎng)通信安全面臨著很多挑戰(zhàn)。分析局域網(wǎng)通信中存在的威脅因素，并總結(jié)提升局域網(wǎng)通信安全的防范措施。

[關(guān) 鍵 詞] 局域網(wǎng)；通信安全；防范措施

[中圖分類號] TP393.1 [文獻標(biāo)志碼] A [文章編號] 2096-0603（2018）17-0128-02

一、局域網(wǎng)通信中存在的主要威脅

由于局域網(wǎng)開放性和自由化的特點，網(wǎng)絡(luò)通信面臨的破壞和攻擊是多方面的，根據(jù)其特點將局域網(wǎng)通信中的威脅分為以下幾類：

（一）計算機病毒入侵

很多人并不知情，多數(shù)的網(wǎng)絡(luò)攻擊、蠕蟲攻擊都來自局域網(wǎng)內(nèi)部，因此不僅局域網(wǎng)需要有防火墻，單機上更需要防火墻，才能更好地防止病毒入侵，對病毒來源認知的缺失也是一個主要的問題，因此普及相關(guān)知識也十分必要。

由于計算機病毒是人為編寫的程序，其具有不可預(yù)測性，不管是何種防病毒軟件都不可能百分百預(yù)防。同時計算機病毒具有隱蔽性和反復(fù)傳播性，使用未經(jīng)病毒檢測的移動設(shè)備或文件操作，很容易感染病毒，特別是網(wǎng)絡(luò)病毒，會迅速傳播至局域網(wǎng)中的所有計算機。這種通過網(wǎng)絡(luò)傳播的計算機病毒，隱蔽性強，傳播速度快，破壞性強，清除難度大，往往清除了一部分計算機上的病毒，又可能會反復(fù)感染。

（二）漏洞攻擊

許多漏洞是由于開發(fā)人員在硬件或軟件設(shè)計時考慮不周而造成的，特別是在網(wǎng)絡(luò)環(huán)境下，只重視網(wǎng)絡(luò)通信功能，而忽視了網(wǎng)絡(luò)安全情況，導(dǎo)致了網(wǎng)絡(luò)漏洞的產(chǎn)生。比如操作系統(tǒng)漏洞（系統(tǒng)模型本身的缺陷，操作系統(tǒng)程序配置不正確等）、網(wǎng)絡(luò)聊天軟件漏洞、瀏覽器漏洞、網(wǎng)絡(luò)硬件設(shè)備漏洞等，致使黑客利用木馬攻擊系統(tǒng)缺陷，造成網(wǎng)絡(luò)通信中斷，通信信息被竊取或監(jiān)聽，甚至?xí)咕W(wǎng)絡(luò)癱瘓。

（三）防火墻配置不當(dāng)

局域網(wǎng)中雖然安裝了硬件或軟件防火墻，但由于配置不當(dāng)，就根本起不到隔離外界訪問的作用。對默寫網(wǎng)絡(luò)應(yīng)用程序，防火墻安全配置不正確，某些端口默認開啟，或者應(yīng)用程序或服務(wù)默認開啟，就給不法分子利用，除非用戶有較高的安全意識，能夠掌握對防火墻進行專業(yè)的配置和管理，否則，防火墻雖有無用。防火墻配置不合理也會導(dǎo)致局域網(wǎng)內(nèi)計算機之間相互訪問受到影響，局域網(wǎng)資源無法共享，甚至用戶對網(wǎng)絡(luò)資源的正常訪問、操作也會受到影響。

（四）用戶安全意識不強

許多用戶使用U盤、SD卡、移動硬盤等移動存儲設(shè)備在局域網(wǎng)內(nèi)的計算機上進行文件操作，或者從互聯(lián)網(wǎng)上下載應(yīng)用軟件，不小心將與該軟件捆綁在一起的流氓軟件同時下載并自動安裝，這些文件沒有經(jīng)過安全檢查就帶入局域網(wǎng)，給木馬、蠕蟲等病毒入侵有機可乘，增強了數(shù)據(jù)泄密的可能性。

同時，一臺電腦在內(nèi)外網(wǎng)之間頻繁切換使用，也極有可能造成病毒的傳遞，因為大多數(shù)用戶在Internet網(wǎng)上使用過之后會在未經(jīng)許可的情況下繼續(xù)連接內(nèi)部網(wǎng)使用，很有可能成為病毒的攜帶者和傳遞者。

（五）環(huán)境威脅

局域網(wǎng)所在的環(huán)境指的是機房或網(wǎng)絡(luò)中心，一些自然或物理因素也會對局域網(wǎng)通信造成影響或干擾。比如，由于計算機設(shè)備帶電工作，只要有電流就會有電磁波，電磁波相互干擾造成通信中斷、網(wǎng)絡(luò)信號不穩(wěn)定、數(shù)據(jù)丟失；網(wǎng)絡(luò)中心服務(wù)器、存儲設(shè)備等需要在一定的物理條件下才能持續(xù)運行，比如溫度、濕度等，如果空調(diào)等設(shè)備出現(xiàn)故障，也會對服務(wù)器、計算機的物理硬件造成影響。甚至自然災(zāi)害，如地震、洪水也會對計算機網(wǎng)絡(luò)安全產(chǎn)生影響。

無論是系統(tǒng)設(shè)備損害，還是數(shù)據(jù)被破壞，都是難以估量的損失，所以環(huán)境威脅也是局域網(wǎng)通信安全面臨的一大主要原因。

二、局域網(wǎng)通信防范措施

（一）連接設(shè)備安全技術(shù)

由于局域網(wǎng)內(nèi)眾多的硬件設(shè)備，它們構(gòu)成了網(wǎng)絡(luò)中的不同節(jié)點，這些設(shè)備的安全連接至關(guān)重要。在局域網(wǎng)內(nèi)，我們可以從以下三方面保障連接設(shè)備的安全性：

安全性能：例如關(guān)閉DHCP服務(wù)功能，IP地址采用綁定模式設(shè)置，或者綁定網(wǎng)卡MAC地址，不允許外帶的計算機接入局域網(wǎng)，阻止非法用戶進入局域網(wǎng)內(nèi)部，對數(shù)據(jù)的訪問采用過濾規(guī)則，合法計算機發(fā)送的數(shù)據(jù)進行轉(zhuǎn)發(fā)，非法發(fā)送的數(shù)據(jù)進行攔截。

安全設(shè)置：（1）在三層交換機上劃分虛擬局域網(wǎng)，根據(jù)通信功能和應(yīng)用因素將局域網(wǎng)化分成多個虛擬子網(wǎng)，通過配置通信規(guī)則限制和隔離非法用戶。（2）將交換機的某些端口劃分為一個邏輯組，配置端口訪問規(guī)則，限定某些MAC地址或IP對該端口的訪問。

安全管理：（1）保障交換機的設(shè)備在必需的工作環(huán)境下運行，規(guī)范放置交換機。（2）對交換機配置不同的密碼，比如Console口密碼、遠程登錄密碼等，并定期更改密碼。（3）備份交換機的相關(guān)配置文件，及時檢查安全日志，并進行備份。

（二）域控制技術(shù)

在“域”模式下，域服務(wù)器負責(zé)驗證每一臺接入局域網(wǎng)的計算機和用戶的合法性，域控制器中存儲了域的賬戶、密碼、屬于這個域的計算機等信息構(gòu)成的數(shù)據(jù)庫。當(dāng)計算機接入局域網(wǎng)時，域控制器會檢查該計算機是否屬于該域，域賬號、密碼是否正確，只有三者全部正確才能訪問服務(wù)器上的網(wǎng)絡(luò)資源。在局域網(wǎng)內(nèi)使用域控制器有以下優(yōu)點：（1）權(quán)限集中管理，所有的網(wǎng)絡(luò)資源、用戶都在域控制器上進行維護，便于統(tǒng)一集中管理。用戶想要登錄到域，必須在域控制器上進行身份驗證。（2）用戶創(chuàng)建的文件和數(shù)據(jù)可以存儲在域服務(wù)器上，在服務(wù)器上進行備份，當(dāng)本機文件丟失時，可以從域服務(wù)器上快速恢復(fù)。（3）可以指定不同賬號對各種網(wǎng)絡(luò)資源的不同訪問權(quán)限，網(wǎng)絡(luò)資源的位置改變不會對用戶訪問造成影響，用戶不必記住要訪問的服務(wù)器名稱。

（三）防火墻技術(shù)

防火墻廣泛用于局域網(wǎng)安全，有效隔離了外界對局域網(wǎng)內(nèi)部的攻擊。采用合理的配置，建立ACL訪問控制列表，只有合法的用戶和數(shù)據(jù)才能訪問局域網(wǎng)，拒絕非法用戶的訪問，有效阻止了黑客的非法入侵，為局域網(wǎng)安裝上了一扇安全大門。為了保障局域網(wǎng)通信的安全，就必須正確安裝防火墻并嚴(yán)格進行配置，才能讓防火墻發(fā)揮更大的作用。

在局域網(wǎng)內(nèi)安裝防火墻有以下優(yōu)點：

（1）將內(nèi)部網(wǎng)和公共網(wǎng)進行隔離，保證內(nèi)部網(wǎng)免受非法用戶的侵入。

（2）防火墻將局域網(wǎng)分成內(nèi)網(wǎng)、外網(wǎng)、隔離區(qū)，方便對整個網(wǎng)絡(luò)進行管理。

（3）通過防火墻設(shè)置過濾機制，實現(xiàn)端口級限制，限制局域網(wǎng)內(nèi)用戶對外網(wǎng)的訪問。

（4）通過流量機制，確保局域網(wǎng)內(nèi)部用戶有線對帶寬的使用。

（四）監(jiān)控技術(shù)

在局域網(wǎng)內(nèi)采用入侵檢測技術(shù)，通過檢測入侵者訪問局域網(wǎng)留下的痕跡，給出相關(guān)的提示或警告。準(zhǔn)確識別網(wǎng)絡(luò)攻擊行為是入侵檢測技術(shù)的關(guān)鍵。入侵檢測系統(tǒng)需要更多的智能化機制，要實現(xiàn)對數(shù)據(jù)的智能分析，統(tǒng)計并分析異常行為，識別違反安全策略的用戶活動。入侵檢測是一種主動的安全防御技術(shù)，提供了對內(nèi)網(wǎng)的實時保護。入侵檢測系統(tǒng)安裝在局域網(wǎng)隔離區(qū)以及托管機房服務(wù)器區(qū)，它具有以下優(yōu)點：

1.及時監(jiān)控局域網(wǎng)內(nèi)的數(shù)據(jù)，檢測網(wǎng)絡(luò)中的異常操作或連接。

2.中斷異常連接，對檢測到的異常訪問，及時斷開該計算機與局域網(wǎng)的連接。

3.警示機制，檢測出異常后，向防火墻發(fā)送指令，限時隔離該機訪問網(wǎng)絡(luò)資源。

總之，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)通信安全技術(shù)也在與時俱進，增強網(wǎng)絡(luò)安全防護意識至關(guān)重要。由于網(wǎng)絡(luò)安全面臨著眾多的挑戰(zhàn)，網(wǎng)絡(luò)防范措施也隨著這些挑戰(zhàn)不斷發(fā)展，在局域網(wǎng)安全管理中，要將這些措施綜合運用，才能構(gòu)建一個安全的防范體系。

參考文獻：

[1]林國慶.淺析計算機網(wǎng)絡(luò)安全與防火墻技術(shù)[J].恩施職業(yè)技術(shù)學(xué)院學(xué)報，2007（1）.

[2]楊朝軍.關(guān)于計算機通信網(wǎng)絡(luò)安全與防護策略的幾點思考[J].硅谷，2008（22）.

[3]陶競立，羅開田.計算機網(wǎng)絡(luò)的安全與保障技術(shù)研究[J].時代教育（教育教學(xué)），2010（4）.