摘要：文章分析了局域網的安全管理所涉及的問題，并根據自己的經驗提出了相應的解決方法。

關鍵字：系統 防火墻 INTERNET 信息安全 數據庫 病毒

隨著計算機信息技術的發展，網絡已成為我們生活的重要組成部分。但網絡在應用過程中也會帶來許多問題，由于頻繁使用互聯網，病毒的傳播日益猖獗，黑客的攻擊也越來越多，給局域網數據的管理、網絡的安全帶來很多問題，筆者從事局域網的管理工作多年，結合自己的工作實際，提出一些關于局域網的安全管理方面的經驗與教訓，供大家借鑒。

我們單位的局域網綜合了公司生產管理、經營管理、物資管理、安全管理、生產日報、月報等各方面的許多信息，并且這些信息都是每天靠相關專業人員寫進數據庫的，因此在使用中出現了許多問題，但通過我們的努力工作，網絡運行狀況一直良好。經驗告訴我們：要管好局域網，必須由局域網用戶和管理員共同來努力。

一、網絡管理員應作到的安全措施

1.加強服務器主機的獨立性

局域網中,通常有一臺以上的主服務器,提供所有計算機的連結并控制.這臺計算機就是黑客攻擊的主要目標.因此,企業內部應對服務器主機的安全性加強控制,盡可能將其獨立,不要將重要資料放置此處,將重要資料獨立放在內部機器上,這樣可保證資料的安全性、完整性。

2.網絡分段

把網絡上相互間沒有直接關系的系統分布在不同的網段，由于各網段

間不能直接互訪，從而減少各系統被正面攻擊的機會。以前，網段分離是

物理概念，組網單位要為各網段單獨購置集線器等網絡設備。現在有了虛

擬網技術，網段分離成為邏輯概念，網絡管理員可以在網絡控制臺上對網

段做任意劃分。

網絡分段可分為物理分段和邏輯分段兩種方式：

物理分段通常是指將網絡從物理層和數據鏈路層(ISO/OSI)模型中的第一層和第二層)上分為若干網段，各網段相互之間無法進行直接通訊。目前，許多交換機都有一定的訪問控制能力，可實現對網絡的物理分段。

邏輯分段則是指將整個系統在網絡層(ISO/OSI模型中的第三層)上進行分段。例如，對于TCP/IP網絡，可把網絡分成若干IP子網，各子網間必須通過路由器、路由交換機、網關或防火墻等設備進行連接，利用這些中間設備(含軟件、硬件)的安全機制來控制各子網間的訪問。在實際應用過程中，通常采取物理分段與邏輯分段相結合的方法來實現對網絡系統的安全性控制。

3.防火墻技術

如果網絡在沒有防火墻的環境中，網絡安全性完全依賴主系統的安全性。在一定意義上，所有主系統必須通力協作來實現均勻一致的高級安全性。子網越大，把所有主系統保持在相同的安全性水平上的可管理能力就越小，隨著安全性的失策和失誤越來越普遍，入侵就時有發生。防火墻有助于提高主系統總體安全性。 防火墻的基本思想——不是對每臺主機系統進行保護，而是讓所有對系統的訪問通過某一點，并且保護這一點，并盡可能地對外界屏蔽保護網絡的信息和結構。它是設置在可信任的內部網絡和不可信任的外界之間的一道屏障，它可以實施比較廣泛的安全政策來控制信息流，防止不可預料的潛在的入侵破壞。防火墻系統可以是路由器，也可以是個人機、主系統或者是一批主系統，專門用于把網點或子網同那些可能被子網外的主系統濫用的協議和服務隔絕。 防火墻可以從通信協議的各個層次以及應用中獲取、存儲并管理相關的信息，以便實施系統的訪問安全決策控制。防火墻的技術已經經歷了三個階段，即包過濾技術、代理技術和狀態監視技術。

防火墻是一種用來阻止外面的未經授權的用戶的非法訪問你的網絡下的設備的工具，它通常是軟件和硬件的結合體。

為了更好地理解防火墻的工作原理，我們就使用以前提到過的例子來說明.首先，大多數網絡身份驗證除了用戶帳號和口令之外的，就是IP地址，IP地址是INTERNET網絡上最普遍的身份索引，它有動態和靜態兩種。

(1)動態IP地址指每次強制分配給不同上網機器的主機的地址。ISP提供的撥號服務通常是分配動態IP地址，一個撥號計算機通常每次撥號都有一個不同的IP但是總有一個范圍。

(2)靜態IP地址是固定不變的地址，它可以是某臺連入Internet的主機地址，靜態IP分幾類，一類是whois可以查詢到的，并且此類IP地址主要是Internet中最高層主機的地址，這些主機可以是域名服務器，httpd服務器(Web Server)、郵件服務器、BBS主機或者網絡棋類游戲服務器。另一類靜態IP地址被分配給Internet網絡中的第二層和第三層的主機，這些機器有固定的物理地址。然而他們不一定有注冊的主機名。

4.使用企業級殺毒軟件

在網絡病毒日益猖獗的今天，不管人們多么小心翼翼，仍然會難免碰翻病毒這個“潘多拉”盒子。在這時候，選擇一個功力高深的網絡版病毒“殺手”就至關重要了。一般而言，查殺是否徹底細致，界面是否友好方便，能否實現遠程控制、集中管理是決定一個“殺手”的三大要素。現在病毒日益猖獗，日常需要寫入服務器的單機的安全也特別重要，我建議購買企業版殺毒軟件，并控制寫入服務器的客戶端，網管可以隨時殺毒，保證寫入數據的安全性，服務器的安全性。

最好選擇從事反病毒行業歷史比較悠久，在市場上有較高知名度企業研發的產品，千萬不能貪便宜選擇不知名廠商生產的廉價產品，不僅產品質量、售后服務得不到保證，而且一旦造成損失，將會得不償失。

5.防止黑客攻擊

隨著寬帶網絡的普及，個人服務器、家庭局域網如雨后春筍般出現在小區局域網和校園網中，他們根據自己的喜好開設的各種各樣的共享服務，為廣大網蟲們提供了豐富的共享資源，但由于自身的精力與資金的原因不能建立完善的防護體系，往往成為黑客和準黑客們的試驗品，造成數據的丟失或硬件的損壞。因此如何保證網絡安全及自身機器的安全就成了一個越來越重要的問題。

黑客與管理員是兩個互相獨立又互相了解的對立面，一個好的管理員如果不了解黑客的思路、做法，就無法來設置安全策略保護自己的網絡，而一個黑客如果不熟悉各種安全措施，在面對著種類繁多的防護措施又會無從下手，雙方為了攻擊與反擊想盡了方法，用盡了手段。正所謂“工欲善其事，必先利其器”，如果我們想要保護自己防范攻擊就必須先了解對方的想法和思路以及他們使用的方法和工具，這樣我們就可以根據他們所采用的方式方法來制定自己的安全策略，做到因法而異，準備以不變應萬變，來對抗入侵。黑客入侵常用方法

●Data Diddling-------------未經授權刪除檔案，更改其資料(15.5%)

●Scanner-------------利用工具尋找暗門漏洞(15.8%)

●Sniffer--------------監聽加密之封包(11.2%)

●Denial of Service-------------使其系統癱瘓(16.2%)

●IP Spoofing---------------冒充系統內網絡的IP地址(12.4%)

●Other------------其他(13.9%)

知道了黑客的入侵方法，我們就可以對癥下藥。

如果要給黑客們分類的話，大致可以分成兩類。一類是偶然攻擊者，他們與前面提到的偶然威脅中的用戶可不一樣，他們往往無目的地攻擊服務器，試圖搜索里面的信息，這樣做的原因僅僅是為了滿足他們的好奇心，使他們過了一把當黑客的癮，這些人一般只會使用已有的黑客軟件，或者從網上照搬來的攻擊方法來試探系統漏洞。總體來說，水平一般，很業余，只要采取一般的保護措施，比如簡單的防火墻或者升級系統補丁就可以把他們屏蔽在外了。而對付另一類頑固攻擊者就沒有這么簡單了。他們大部分為網絡及編程高手，熟悉各種程序語言、操作系統及網絡各層間的協議，能夠自己編寫攻擊程序，找到系統的漏洞，發現侵入的方法。而且這些人的目的遠遠不只是為滿足一下自己的好奇心，而是為了商業機密，報復等原因。

現在我們再來說一下黑客幾種主要和常見的攻擊類型。拒絕服務攻擊，這是目前最常見的攻擊方式，一般是通過程序占用了主機上所有的資源，或者是在短時間內向主機發送大量數據包，影響其它正常數據交換，從而造成系統過載或系統癱瘓。網絡蠕蟲是目前最為常見的影響最大的實現拒絕攻擊服務的方法。此外通過中止TCP握手過程和郵件炸彈也可以實現拒絕服務攻擊。前門攻擊，這種攻擊方式最為直接，黑客會試圖以系統承認的合法用戶的身份登錄系統進行訪問。他們會直接試圖利用字母組合去破解合法的用戶名及密碼。由于使用了配置強大的計算機運算的破解程序，前門攻擊對于高級黑客來說也不是什么難事，所以當服務器日志中出現了大量登錄失敗的信息后，就說明很可能已經有黑客開始光顧服務器的前門了。天窗攻擊和特洛伊木馬攻擊很相似，前者是直接利用管理員留下的后門(就是用于系統檢測或故障維護的特殊用戶通道)侵入系統;而后者是通過一些駐留內存的程序(后門病毒，代碼炸彈等)，為非法入侵者打開一個隨時出入的特殊通道。IP欺騙和中間人攻擊是另外兩種類似的攻擊手段，第一種前面已經提過，通過新生成的IP報頭非法進入合法網絡進行通訊，而中間人攻擊則是首先通過IP欺騙獲得合法身份，然后截取網絡中的數據包獲取其中的數據，從這些數據竊取合法的用戶名和密碼。

管理員在配置服務器的安全策略時一定要小心謹慎，比如在配置授權服務時，盡量用自己的方式為每個用戶加上詳細的描述來表述其身份，這樣一旦發現新出現的用戶沒有描述，或未用你的方法進行描述，你可以立刻核對它的合法性，看是否為入侵后留下的額外控制賬號。配置數據保護和數據集成可以為主機上的各種數據提供授權保護和加密，這樣可以防止用戶在遠端登錄主機時，登錄信息被中途監聽、截獲，如果已經被截獲，可以防止被破解。安全策略是管理員手里最基礎的工具，有效地利用這個工具可以擊退大部分非法入侵。

做為要建立服務器的管理員，首先要評估和分析自己服務器會受到哪些入侵，以及自己服務器上哪些資源數據容易被別人攻擊。做好這樣的評析才能方便地建立自己的安全策略，花最小的代價建立好最妥當的防護方法。入侵監視軟件也是管理員必備的武器之一，它替代管理員對流入流出服務器的數據進行監視，檢測其合法性。這類軟件都還有一個規則數據庫，用來和網絡中實時交流的數據進行檢測比較，通過那些合法的，中止那些非法的。管理員可以自行設置網絡規則和應變手段，比如在發現入侵后進行反跟蹤，找到入侵的源頭。或者是直接進行反擊，迫使黑客停止攻擊，轉入防御(比較常見的監聽軟件有ISS RealSecure、Axent Intruder Alert等)。而且在配置服務器時，盡量避免使用系統的默認配置，這些默認配置是為了方便普通用戶使用的，但是很多黑客都熟悉默認配置的漏洞，能很方便地、從這里侵入系統，所以當系統安裝完畢后第一步就是要升級最新的補丁，然后更改系統的默認設置。為用戶建立好詳細的屬性和權限，方便確認用戶身份以及他能訪問修改的資料。定期修改用戶密碼，這樣可以讓密碼破解的威脅降到最低。總之要利用好服務器自身系統的各種安全策略，就可以占用最小的資源，擋住大部分黑客了。

6.數據庫的安全保護：

服務器中的程序、數據是動態的，隨時變化，因此要作好備份工作，備份要多留幾份，這樣才使系統崩潰時，可以及時恢復數據，保證工作正常進行。

隨時修改口令、密碼， 不要將密碼泄露出去，服務器不用時就進入鎖定狀態，免得由于誤錯做，引起故障，帶來不必要的麻煩。