局域網安全詳細說明

局域網安全

一、回顧常見的***方式

【漏洞掃描與利用】：

通過特定的操作過程，或使用專門地漏洞***程序，利用現有操作系統、應用軟件中的漏洞，來***系統或獲取特殊權限。如網頁***利用了IE等瀏覽器的漏洞、SQL注入利用了網頁代碼的漏洞。

【病毒***植入】：

通過向用戶系統中植入病毒或***程序，破壞用戶數據、竊取用戶信息或者暗中控制用戶系統。如發送帶有病毒的電子郵件、通過網站掛馬等方式都可以將病毒或***安裝到用戶系統中。

【DDoS***】：

DDoS（Distributed Denial of Service）就是分布式拒絕服務，最基本的DoS***就是利用合理的服務請求來占用過多的服務資源，從而使服務器無法處理合法用戶的請求。很多DoS***源一起***某臺服務器就組成了DDoS***。

【網絡釣魚】：

***者利用欺騙性的電子郵件、短信或QQ等引誘用戶訪問偽造的網站來進行網絡詐騙，受害者往往會泄露自己的私密信息，如銀行卡號與密碼、×××號等。從外觀上來看，***者偽造的網站與真正的網站幾乎一模一樣，網站域名也比較相似。如招商銀行的真正網址為wwwNaNbchina.com，***者偽造一個外觀相仿的wwwNaNdchina.com站點，并向受害者發送譬如“您的網銀賬號于x月x日登錄失敗超過15次，為了提高賬號安全性，建議登錄http://wwwNaNdchina.com網站重置密碼……”的郵件，從而誘使其訪問偽造的站點以盜取用戶的網銀賬號和密碼等信息。

除此之外，還有密碼破解、網絡監聽、電子郵件***等***方式。

二、局域網安全防護

（1）、物理安全

存放位置：將關鍵設備集中存放到一個單獨的機房中，并提供良好的通風、消防

電氣設施條件

人員管理：對進入機房的人員進行嚴格管理，盡可能減少能夠直接接觸物理設備

的人員數量

硬件冗余：對關鍵硬件提供硬件冗余，如RAID磁盤陣列、熱備份路由、UPS不

間斷電源等

（2）、網絡安全

端口管理：關閉非必要開放的端口，若有可能，網絡服務盡量使用非默認端口，

如遠程桌面連接所使用的3389端口，最好將其更改為其他端口

加密傳輸：盡量使用加密的通信方式傳輸數據據，如HTTPS、×××，IPsec...，

一般只對TCP協議的端口加密，UDP端口不加密

***檢測：啟用***檢測，對所有的訪問請求進行特征識別，及時丟棄或封鎖攻

擊請求，并發送擊擊警告

（3）、系統安全

系統/軟件漏洞：選用正版應用軟件，并及時安裝各種漏洞及修復補丁

賬號/權限管理：對系統賬號設置高強度的復雜密碼，并定期進行更換，對特定

人員開放其所需的最小權限

軟件/服務管理：卸載無關軟件，關閉非必要的系統服務

病毒/***防護：統一部署防病毒軟件，并啟用實時監控

（4）、數據安全

數據加密：對保密性要求較高的數據據進行加密，如可以使用微軟的EFS

（Encrypting File System）來對文件系統進行加密

用戶管理：嚴格控制用戶對關鍵數據的訪問，并記錄用戶的訪問日志

數據備份：對關鍵數據進行備份，制定合理的備份方案，可以將其備份到遠程

服務器、或保存到光盤、磁帶等物理介質中，并保證備份的可用性

三、部署網絡版防病毒軟件

Ø對局域網安全最大的威脅，其實并不是來自外部的***，而是來自于局域網內部的***

Ø由于終端用戶的安全意識、安全技能的匱乏，加之Internet上病毒、***泛濫成災，導致用戶在瀏覽網頁的時候，很容易在不知不覺中將病毒、***帶入到局域網中

（1）、網絡版防病毒軟件介紹（特點）

可以遠程安裝或卸載客戶端防病毒軟件

可以禁止用戶自行卸載客戶端防病毒軟件

可以在全網范圍內統一制定、分發和執行防病策略

可以遠程監控客戶端的系統健康狀態

提供遠程報警手段，可以自動將病毒信息發送給網絡管理員

允許客戶端用戶自定義防病毒策略

（2）、部署Symantec網絡版防病毒軟件

ØSymantec Endpoint Protection企業版是Symantec公司推出的網絡版殺毒軟件，由管理臺和客戶端組成

Ø它集成了防病毒、反間諜軟件、防火墻和***防御以及設備與應用程序控制功能。通過集中式管理功能，可以幫助物理和虛擬系統防御各種類型***

部署Symantec的相關組件：

該軟件需要IIS功能的支持，所以需要在Server 2008上安裝IIS7.0及相關的ASP.NET、CGI、IIS6.0管理兼容性角色服務

四、防火墻介紹

（1）、防火墻的概念

Ø為了防止******，企業內部網在接入Internet時必須構筑一道安全的“護城河”，通過“護城河”將內部網保護起來，這個“護城河”就是防火墻

Ø防火墻的英文名稱"Fire Wall",它是目前最重要的網絡護護設備之一

ØWindows系統都有一個自帶的防火墻，通過啟用Windows防火墻，可以有效地攔截外界對系統的非法訪問和***，提高計算機系統的安全，如下圖：

（2）、防火墻的主要功能

v強化安全策略

§限制用戶的對內、對外訪問

v記錄用戶的上網活動

§監視局域網用戶的上網行為

v隱藏網絡拓撲

§隱藏內部網絡

§緩解公共IP地址短缺矛盾

v檢查安全策略

§過濾不安全服務，提高網絡安全性

（3）、防火墻的分類

1、按防火墻的功能分類

包過濾型防火墻

Ø硬件防火墻，包過濾技術是防火墻最傳統、最基本的技術

Ø它工作在OSI（Open System Interconnection）參考模型的網絡層

Ø它根據數據包頭源地址、目的地址、端口號和協議類型等標志來確定是否允許數據包通過

應用代理型防火墻

Ø軟件防火墻，它工作在OSI的最高層，即應用層

Ø使用這種防火墻，可以實施較強的數據流監控、過濾、記錄和報告功能

狀態檢測型防火墻

Ø硬件防火墻，該防火墻是由包過濾型防火墻發展而來的

Ø它可以動態地根據實際應用需求，自動生成或刪除相應的包過濾規則，而無需管理員手動干預

Ø這種防火墻不但能夠根據包的源地址、目標地址、協議類型、源端口、目標端口等數據包進行控制，而且能夠記錄通過防火墻的連接狀態，直接對包里的數據進行處理

2、按防火墻的軟硬件形式分類

軟件防火墻

Ø軟件防火墻運行于特定的計算機上，需要預先安裝的操作系統的支持，一般來說這臺計算機就是整個網絡的網關

Ø軟件防火墻就像其他的軟件產口一樣，需要先在計算機上安裝并運行配置后才可以使用，如微軟的TMG防火墻

硬件防火墻

Ø硬件防火墻使用專用芯片處理網絡數據包，CPU只做管理使用

Ø采用專門的操作系統平臺，從而避免了通用操作系統的安全性漏洞，如Cisco Asa防火墻

（4）、常用的風款防火墻

1、NetScreen 系列防火墻

集成了防火墻、×××、***檢測和流量管理功能 （如圖）

2、Cisco ASA 5500系列防火墻

提供了豐富的應用安全、網絡控制、 ×××等功能 （如圖）

3、天融信防火墻

集成了防火墻、防病毒、***檢測、×××等功能（如圖）

4、TMG防火墻（軟件防火墻）

TMG屬于微軟Forefront產品系列中的一款，主要負責網絡邊緣范圍的安全防范與保護，可以與活動目錄、NAP等進行完美的集成，實現更加全面、便捷的安全管控。

除了具有傳統防火墻的主要功能之外，它還具有以下功能。

完美支持64位內存尋址

不受4G內存的尋址限制，在內存讀寫及管理方面得到極大的性能提升。

Web反病毒與過濾

通過URL篩選、惡意軟件檢查、HTTS檢查等方式對Web訪問進行檢查，將病毒、間諜軟件等拒之門外。

緩存

對于需要處理大量Web流量的企業，通過緩存功能，可以大大提升用戶的上網速度，降低帶寬成本