淺談局域網(wǎng)安全內(nèi)部防范

[摘要]隨著越來(lái)越多的企事業(yè)單位建立起自己的局域網(wǎng)絡(luò)，并將公司內(nèi)部的信息在局域網(wǎng)中共享，雖然局域網(wǎng)有著速度快，穩(wěn)定，方便靈活等特性，但是其缺乏安全保障的結(jié)構(gòu)卻使其成為病毒肆虐、資料外泄的首要薄弱環(huán)節(jié)。要更好的解決內(nèi)網(wǎng)的安全問題，需要從各種角度看待內(nèi)網(wǎng)安全。

[關(guān)鍵詞]局域網(wǎng)安全保密

一、邊際設(shè)備保護(hù)

網(wǎng)關(guān)是內(nèi)外網(wǎng)通信的必經(jīng)之路，是外網(wǎng)聯(lián)入內(nèi)網(wǎng)的咽喉。相對(duì)來(lái)說，內(nèi)網(wǎng)的木馬病毒都是比較少的，但是缺乏隔離機(jī)制的內(nèi)網(wǎng)，一旦有一臺(tái)計(jì)算機(jī)被病毒木馬所感染，其它的也就都陷入了非常危險(xiǎn)的境地。

建議在網(wǎng)絡(luò)內(nèi)部使用代理網(wǎng)關(guān)。使用代理網(wǎng)關(guān)的好處在于，網(wǎng)絡(luò)數(shù)據(jù)包的交換不會(huì)直接在內(nèi)外網(wǎng)絡(luò)之間進(jìn)行。內(nèi)部計(jì)算機(jī)必須通過代理網(wǎng)關(guān)，進(jìn)而才能訪問到Internet，這樣操作者便可以比較方便地在代理服務(wù)器上對(duì)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)訪問外部網(wǎng)絡(luò)進(jìn)行限制。

在代理服務(wù)器兩端采用不同協(xié)議標(biāo)準(zhǔn)，也可以阻止外界非法訪問的入侵。還有，代理服務(wù)的網(wǎng)關(guān)可對(duì)數(shù)據(jù)封包進(jìn)行驗(yàn)證和對(duì)密碼進(jìn)行確認(rèn)等安全管制。

所以對(duì)于一個(gè)局域網(wǎng)絡(luò)來(lái)說，在邊際處至少應(yīng)當(dāng)有一個(gè)初具安全防范功能的路由器或是防火墻，以建立第一道防線。防火墻的選擇應(yīng)該適當(dāng)，對(duì)于微小型的企業(yè)網(wǎng)絡(luò)，可從BlackICE、LockDown2000、ZoneAlarm、NortonInternetSecuritv2001、PCcillin2001、天網(wǎng)個(gè)人防火墻等產(chǎn)品中選擇適合于微小型企業(yè)的個(gè)人防火墻。

而對(duì)于具有內(nèi)部網(wǎng)絡(luò)的企業(yè)來(lái)說，最好選擇在路由器上進(jìn)行相關(guān)的設(shè)置或者購(gòu)買更為強(qiáng)大的防火墻產(chǎn)品。對(duì)于幾乎所有的路由器產(chǎn)品而言，都可以通過內(nèi)置的IOS防火墻防范部分的攻擊，而硬件防火墻的應(yīng)用，可以使安全性得到進(jìn)一步加強(qiáng)。對(duì)于擁有數(shù)十臺(tái)、上百臺(tái)甚至以上的企業(yè)，添加域控制器進(jìn)行管理是一個(gè)十分有效的方法。企業(yè)一般通過代理或者路由上網(wǎng)，那么可以使用“網(wǎng)盾IPtrust內(nèi)網(wǎng)安全管理系統(tǒng)”對(duì)內(nèi)部計(jì)算機(jī)的操作行為進(jìn)行監(jiān)控，他可以對(duì)終端操作、網(wǎng)站瀏覽和各類即時(shí)信息軟件進(jìn)行監(jiān)控，并且也可以限制或禁止游戲、多媒體、股票軟件等非工作用的軟件，還能進(jìn)行網(wǎng)站的過濾，限制色情、政治或是其它各類網(wǎng)站。

二、口令安全

現(xiàn)在大部分人都認(rèn)識(shí)到口令安全的重要性了，不過還是要重申一下:口令的位數(shù)要盡可能的長(zhǎng);不要選用生日、門牌號(hào)碼、電話號(hào)碼等容易猜測(cè)的密碼作為口令;不要在每個(gè)系統(tǒng)上都使用同一種口令;最好使用大小寫的字母和數(shù)字混合和沒有規(guī)律的密碼作為口令，并定期改變各系統(tǒng)的口令。另外，個(gè)人私用密碼最好與工作時(shí)使用的密碼分開。

為了保障網(wǎng)絡(luò)的安全，也可以利用網(wǎng)絡(luò)操作系統(tǒng)所提供的保密措施。以Windows為例，進(jìn)行用戶名登錄注冊(cè)，設(shè)置登錄密碼，設(shè)置目錄和文件訪問權(quán)限和密碼，以控制用戶只能操作什么樣的目錄和文件，或設(shè)置用戶級(jí)訪問控制，以及通過主機(jī)訪問Internet等。為了安全起見，還可對(duì)主機(jī)的網(wǎng)絡(luò)屬性進(jìn)行設(shè)置，去掉TCP/IP協(xié)議和其他協(xié)議中的“Microsoft網(wǎng)絡(luò)上的文件與打印機(jī)共享”和“Microsoft網(wǎng)絡(luò)用戶”的綁定，其他計(jì)算機(jī)也可進(jìn)行同樣的設(shè)置，且可去掉TCP/IP協(xié)議中的綁定。若使用Windows2000，可使用其自帶的一個(gè)Routingamp;RemoteAccess工具，設(shè)定輸入ICMP代碼255丟棄可防ICMP的風(fēng)暴攻擊和碎片攻擊。

同時(shí)，可以加強(qiáng)對(duì)數(shù)據(jù)庫(kù)信息的保密防護(hù)。網(wǎng)絡(luò)中的數(shù)據(jù)組織形式有文件和數(shù)據(jù)庫(kù)兩種。文件組織形式的數(shù)據(jù)缺乏共享性，現(xiàn)已成為網(wǎng)絡(luò)存儲(chǔ)數(shù)據(jù)的主要形式。由于操作系統(tǒng)對(duì)數(shù)據(jù)庫(kù)沒有特殊的保密措施，而數(shù)據(jù)庫(kù)的數(shù)據(jù)以可讀的形式存儲(chǔ)其中，所以數(shù)據(jù)庫(kù)的保密需采取另外的方法。針對(duì)計(jì)算機(jī)及其外部設(shè)備和網(wǎng)絡(luò)部件的泄