淺談局域網安全內部防范

淺談局域網安全內部防范

[摘要]隨著越來越多的企事業(yè)單位建立起自己的局域網絡，并將公司內部的信息在局域網中共享，雖然局域網有著速度快，穩(wěn)定，方便靈活等特性，但是其缺乏安全保障的結構卻使其成為病毒肆虐、資料外泄的首要薄弱環(huán)節(jié)。要更好的解決內網的安全問題，需要從各種角度看待內網安全。

[關鍵詞]局域網安全保密

一、邊際設備保護

網關是內外網通信的必經之路，是外網聯入內網的咽喉。相對來說，內網的木馬病毒都是比較少的，但是缺乏隔離機制的內網，一旦有一臺計算機被病毒木馬所感染，其它的也就都陷入了非常危險的境地。

建議在網絡內部使用代理網關。使用代理網關的好處在于，網絡數據包的交換不會直接在內外網絡之間進行。內部計算機必須通過代理網關，進而才能訪問到Internet，這樣操作者便可以比較方便地在代理服務器上對網絡內部的計算機訪問外部網絡進行限制。

在代理服務器兩端采用不同協(xié)議標準，也可以阻止外界非法訪問的入侵。還有，代理服務的網關可對數據封包進行驗證和對密碼進行確認等安全管制。

所以對于一個局域網絡來說，在邊際處至少應當有一個初具安全防范功能的路由器或是防火墻，以建立第一道防線。防火墻的選擇應該適當，對于微小型的企業(yè)網絡，可從BlackICE、LockDown2000、ZoneAlarm、NortonInternetSecuritv2001、PCcillin2001、天網個人防火墻等產品中選擇適合于微小型企業(yè)的個人防火墻。

而對于具有內部網絡的企業(yè)來說，最好選擇在路由器上進行相關的設置或者購買更為強大的防火墻產品。對于幾乎所有的路由器產品而言，都可以通過內置的IOS防火墻防范部分的攻擊，而硬件防火墻的應用，可以使安全性得到進一步加強。對于擁有數十臺、上百臺甚至以上的企業(yè)，添加域控制器進行管理是一個十分有效的方法。企業(yè)一般通過代理或者路由上網，那么可以使用“網盾IPtrust內網安全管理系統(tǒng)”對內部計算機的操作行為進行監(jiān)控，他可以對終端操作、網站瀏覽和各類即時信息軟件進行監(jiān)控，并且也可以限制或禁止游戲、多媒體、股票軟件等非工作用的軟件，還能進行網站的過濾，限制色情、政治或是其它各類網站。

二、口令安全

現在大部分人都認識到口令安全的重要性了，不過還是要重申一下:口令的位數要盡可能的長;不要選用生日、門牌號碼、電話號碼等容易猜測的密碼作為口令;不要在每個系統(tǒng)上都使用同一種口令;最好使用大小寫的字母和數字混合和沒有規(guī)律的密碼作為口令，并定期改變各系統(tǒng)的口令。另外，個人私用密碼最好與工作時使用的密碼分開。

為了保障網絡的安全，也可以利用網絡操作系統(tǒng)所提供的保密措施。以Windows為例，進行用戶名登錄注冊，設置登錄密碼，設置目錄和文件訪問權限和密碼，以控制用戶只能操作什么樣的目錄和文件，或設置用戶級訪問控制，以及通過主機訪問Internet等。為了安全起見，還可對主機的網絡屬性進行設置，去掉TCP/IP協(xié)議和其他協(xié)議中的“Microsoft網絡上的文件與打印機共享”和“Microsoft網絡用戶”的綁定，其他計算機也可進行同樣的設置，且可去掉TCP/IP協(xié)議中的綁定。若使用Windows2000，可使用其自帶的一個Routingamp;RemoteAccess工具，設定輸入ICMP代碼255丟棄可防ICMP的風暴攻擊和碎片攻擊。

同時，可以加強對數據庫信息的保密防護。網絡中的數據組織形式有文件和數據庫兩種。文件組織形式的數據缺乏共享性，現已成為網絡存儲數據的主要形式。由于操作系統(tǒng)對數據庫沒有特殊的保密措施，而數據庫的數據以可讀的形式存儲其中，所以數據庫的保密需采取另外的方法。針對計算機及其外部設備和網絡部件的泄