如何保障局域网安全
来源:图书馆 & 信息技术中心
发布时间:2013-07-16
点击量:
黑客攻击现在是层出不穷,以商业利益和经济利益为主的非法攻击正大行其道,其利用的攻击技术也是让人眼花缭乱,例如:恶意用户使用网络监听技术来截获内网用户的登录账号信息,并冒充内网的合法用户进行恶意登录,获取内网中的重要数据信息;恶意用户通过网络嗅探工具来扫描测试内网客户端系统和网络设备存在的安全漏洞和关键信息,如开放的TCP端口、网络IP地址、操作系统类型、保存登录账号的系统文件,并利用这些信息尝试进行内网攻击;恶意用户通过对内网的重要服务器进行不停地ping攻击,造成目标服务器系统有限的系统资源被过度消耗,最终使得服务器系统不能正常工作,甚至发生瘫痪现象等。
由于单位内部网络常常会涉及到单位的许多隐私信息,甚至会涉及到重大的商业秘密,防范黑客进行恶意攻击,保护重要数据的安全显得更加重要、更加迫切:
1、保护边界安全
单位内部网络与外部网络进行数据交换传输是单位日常办公的必然要求,因此,任何严格的安全防范措施也难保证内网不存在安全漏洞,所以我们有必要在单位内网的边界位置处设立信息安全岛。借助信息安全岛,来将单位内网中的信息与外网中的信息实现物理隔离,确保内、外网在交换、传输数据信息时能够安全地进行。
所谓信息安全岛,其实就是一个独立的过渡网络,它既不属于单位内部网络,也不属于外部网络,它所处的位置就在内、外网的交界处,它的作用就是既要将单位内网与外网物理隔离开来,避免黑客直接入侵到单位内网系统,又要保证内、外网的数据信息能够正常地进行交换传输。信息安全岛在工作的时候,会通过一定的技术把来自外网的信息进行提取,之后将提取出来的信息通过数据摆渡技术发送到单位内网中,完成数据的交换传输,在这一过程中内网与外网在物理上是隔离断开的,这样一来就能防止黑客的长驱直入。
此外,为了进一步保护网络边界的安全,我们可以结合其他技术手段进行安全防护,例如进行访问控制、进行入侵检测、进行认证授权、进行地址转换、进行数据过滤、进行恶意代码防护、进行病毒入侵测试等等。
2、保护服务器安全
在单位内部网络中,服务器系统通常扮演一个非常重要的角色,因为它是整个内网稳定运行的基础,同时也是内网重要数据的存储中心,所以对服务器系统的运行环境进行保护,避免黑客直接入侵服务器应该是单位内网安全防护的重点。我们可以根据服务器的重要程度,采用分级保护的办法,来构建服务器的安全运行环境,安全保护等级最高的应该是专业的服务器系统,其次是内网中的加密服务器系统,之后就是内网中的普通服务器系统,最后就是公共服务器系统。
对于那些非常重要,有着特别要求的专业服务器系统,我们可以在该系统所在工作子网的边界位置处使用专业保密设备配合硬件防火墙的办法,来禁止来历不明的用户对其进行随意访问,并且对进出服务器系统的任何数据信息进行自动加密。对于那些相对重要的加密服务器系统来说,我们可以将它们连接到三层交换机上,并将其划分到一个独立的虚拟工作子网中,确保加密服务器系统与其他子网全部逻辑隔离,同时采用访问控制技术来让有权限的用户进行访问,同时禁止那些没有授权的用户进行访问。对于那些重要性一般的普通服务器系统来说,我们只要在三层交换机上设置适当的权限规则,控制来自外网的用户随意访问就行了。而对于那些直接对外发布的服务器系统来说,我们能做的就是采用一般的入侵防护技术以及网络防火墙或杀毒软件来保护就行了。
对病毒传播进行设防
现在的网络病毒疯狂肆虐,它主要是通过网络传输通道进行非法传播、扩散的,传染的对象就是网络中的一些重要可执行文件,这些病毒通常破坏力大,传染性强,它们常常会利用网络中各个系统的漏洞实施非法攻击,来窃取网络中重要系统的控制权。所以,单位内网的安全防护系统很重要的任务,拒绝网络病毒的攻击。
1、使用防病毒网关
防病毒网关是一个基于安全操作系统平台的在网关处具有防病毒功能的硬件设备,该设备可以对进出内网的数据信息进行分析过滤,阻止病毒代码从该设备穿过渗透到单位内部网络,同时能够有效预防蠕虫病毒攻击,以及垃圾邮件对单位内网正常办公的干扰。在单位内部网络中,防病毒网关是一个很重要的安全防线,能够抑制来自外网的病毒入侵内网。例如:流扫描技术在收到文件的一部分时就开始扫描,大大减少总的处理时间。在传统的使用随机存取算法的防病毒系统中,只有当整个文件都被收到的时候才开始扫描,总的扫描时间比较长,性能较低。防病毒网关实现了真正的即插即用,不需要改动现有网络的任何设置。在单位内网部署好防病毒网关后,只需要连接上网线,开启电源,并进行合适的配置,就可以对进出内网的数据信息进行病毒扫描测试,而且这是单位内网与外网直接联系的唯一桥梁,能够在很大程度上抑制外网病毒的疯狂入侵。
2、部署补丁服务器
预防网络病毒,最主要的就是预防蠕虫病毒,而蠕虫病毒很多时候都是利用内网系统中的漏洞进行传播、扩散的,为此我们需要在内网中对各个应用系统的漏洞补丁程序进行强化管理,确保各种漏洞能够被及时堵住。有鉴于此,我们有必要在内网中安装部署补丁分发服务器,让单位内网中的应用系统直接连到服务器上下载补丁,使得更新补丁时间大大缩短,提高了安全性。另外对于没有连到外网的应用系统只要在内网中可以访问这台补丁服务器,也能随时安装最新的补丁,这样就可以有效地防止漏洞型病毒在内网的疯狂传播。
3、部署防病毒服务器
除了要做好上面的安全防范措施外,我们还需要在内网中安装部署防病毒服务器,来强制内网中的所有客户端系统自动在线更新病毒库,同时我们也要定期通过外网对防病毒服务器进行更新病毒库,至少要保证每周一次,通过不断升级病毒库,保证防病毒程序可以及时发现内网中的新型病毒。有了防病毒系统的保障,那么整个内网的病毒入侵就能得到有效监控、管理,同时对出现在内网中的网络病毒能够及时测试、查杀。
