局域网安全问题及对策_论文.doc

1、摘 要随着计算机网络和互联网的发展,局域网安全越来越受到人们的重视和关注。无论是在局域网还是在广域网中，都存在着自然和人为等诸多因素的潜在威胁和网络的脆弱性。故此，局域网的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。为了确保信息的安全与畅通，研究局域网的安全以及防范措施已迫在眉睫。 关键词：计算机网络 网络安全 局域网安全目 录1 .绪论11.1计算机网络的定义11.2网络安全定义11.3局域网安全11.3.1来自互联网的安全威胁11.3.2来自局域网内部的安全威胁11.4局域网当前形势及面临的问题12.常用局域网的攻击方法22.1ARP欺骗

2、22.1.1ARP协议22.1.2ARP欺骗原理32.1.3ARP病毒清除32.2网络监听42.2.1网络监听的定义42.2.2网络监听的基本原理42.2.3网络监听的检测42.2.4网络监听的防范措施53.计算机局域网病毒及防治73.1局域网病毒73.2计算机局域网病毒的防治措施73.3清除网络病毒84.局域网安全防范系统84.1防火墙系统84.1.1防火墙概述84.1.2防火墙的体系结构94.1.3防火墙的功能94.2入侵检测系统104.2.1入侵检测系统概述104.2.2入侵检测原理104.2.3局域网入侵检测系统的构建方法105.园区网的构架和分析135.1企业网规模回顾135.2层次

3、化网络设计135.3模块化网络设计136.校园网安全设计136.1校园网用户需求136.2方案设计书和网络拓扑图136.3设备上架和配置136.4测试和维护13总结13致 谢13参考文献141 .绪论1.1计算机网络的定义 计算机网络,就是利用通信设备和线路将地理位置不同的、功能独立的多个计算机系统互连起来,以功能完善的网络软件(即网络通信协议、信息交换方式和网络操作系统等)实现网络中资源共享和信息传递的系统。计算机网络由通信子网和资源子网两部分构成。通信子网是计算机网络中负责数据通信的部分；资源子网是计算机网络中面向用户的部分，负责全网络面向应用的数据处理工作。就局域网而言，通信子网由网卡、

4、线缆、集线器、中继器、网桥、路由器、交换机等设备和相关软件组成。资源子网由连网的服务器、工作站、共享的打印机和其它设备及相关软件所组成。 1.2网络安全定义网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。1.3局域网安全局域网的安全主要包括物理安全与逻辑安全。物理安全主要指网络硬件的维护、使用及管理等；逻辑安全是从软件的角度提出的，主要指数据的保密性、完整性、可用性等。1.3.1来自互联网的安全威胁局域网是与Inernet互连的。由于Internet的

5、开放性、国际性与自由性，局域网将面临更加严重的安全威胁。如果局域网与外部网络间没有采取一定的安全防护措施，很容易遭到来自Internet黑客的各种攻击。他们可以通过嗅探程序来探测、扫描网络及操作系统存在的安全漏洞，如网络IP地址、应用操作系统的类型、开放的TCP端口号、系统用来保存用户名和口令等安全信息的关键文件等，并通过相应攻击程序进行攻击。他们还可以通过网络监听等手段获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网络中重要信息。还能通过发送大量数据包对网络服务器进行攻击，使得服务器超负荷工作导致拒绝服务，甚至使系统瘫痪。1.3.2来自局域网内部的安全威胁内部

6、管理人员把内部网络结构、管理员口令以及系统的一些重要信息传播给外人带来信息泄漏；内部职工有的可能熟悉服务器、小程序、脚本和系统的弱点，利用网络开些小玩笑，甚至搞破坏。如，泄漏至关重要的信息、错误地进入数据库、删除数据等，这些都将给网络造成极大的安全威胁。1.4局域网当前形势及面临的问题 随着局域网络技术的发展和社会信息化进程的加快,现在人们的生活、工作、学习、娱乐和交往都已离不开计算机网络。现今，全球网民数量已接近7亿，网络已经成为生活离不开的工具，经济、文化、军事和社会活动都强烈地依赖于网络。网络环境的复杂性、多变性以及信息系统的脆弱性、开放性和易受攻击性，决定了网络安全威胁的客观存在。尽管

7、计算机网络为人们提供了巨大的方便，但是受技术和社会因素的各种影响，计算机网络一直存在着多种安全缺陷。攻击者经常利用这些缺陷，实施攻击和入侵，给计算机网络造成极大的损害网络攻击、病毒传播、垃圾邮件等迅速增长，利用网络进行盗窃、诈骗、敲诈勒索、窃密等案件逐年上升，严重影响了网络的正常秩序，严重损害了网民的利益；网上色情、暴力等不良和有害信息的传播，严重危害了青少年的身心健康。网络系统的安全性和可靠性正在成为世界各国共同关注的焦点。 根据中国互联网信息中心2006年初发布的统计报告显示：我国互联网网站近百万家，上网用户1亿多，网民数和宽带上网人数均居全球第二。同时，网络安全风险也无处不在，各种网络安

8、全漏洞大量存在和不断被发现，计算机系统遭受病毒感染和破坏的情况相当严重，计算机病毒呈现出异常活跃的态势。面对网络安全的严峻形势，我国的网络安全保障工作尚处于起步阶段，基础薄弱，水平不高，网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节，安全防护能力不仅大大低于美国、俄罗斯和以色列等信息安全强国，而且排在印度、韩国之后。在监督管理方面缺乏依据和标准，监管措施不到位，监管体系尚待完善，网络信息安全保障制度不健全、责任不落实、管理不到位。网络信息安全法律法规不够完善，关键技术和产品受制于人，网络信息安全服务机构专业化程度不高，行为不规范，网络安全技术与管理人才缺乏。面对网络安全的严峻形势

9、，如何建设高质量、高稳定性、高可靠性的安全网络成为通信行业乃至整个社会发展所要面临和解决的重大课题。2.常用局域网的攻击方法2.1ARP欺骗2.1.1ARP协议ARP（AddressResolutionProtocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址IA物理

10、地址PA），请求IP地址为IB的主机B回答物理地址PB。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。假如我们有两个网段、三台主机、两个网关、分别是：主机名IP地址MAC地址 网关1192.168.1.101-01-01-01-01-01 主机A192.168.1.202-02-02-02-02-02 主机B192.168.1.303

11、-03-03-03-03-03网关210.1.1.104-04-04-04-04-04 主机C10.1.1.205-05-05-05-05-05假如主机A要与主机B通讯，它首先会通过网络掩码比对，确认出主机B是否在自己同一网段内，如果在它就会检查自己的ARP缓存中是否有192.168.1.3这个地址对应的MAC地址，如果没有它就会向局域网的广播地址发送ARP请求包，即目的MAC地址是全1的广播询问帧，0xffffffffffffH02-02-02-02-02-02192.168.1.3192.168.1.2；如果B存在的话，必须作出应答，回答“B的MAC地址是”的单播应答帧，02-02-02-

12、02-02-0203-03-03-03-03-03192.168.1.2192.168.1.3；A收到应答帧后，把“192.168.1.303-03-03-03-03-03动态”写入ARP表。这样的话主机A就得到了主机B的MAC地址，并且它会把这个对应的关系存在自己的ARP缓存表中。之后主机A与主机B之间的通讯就依靠两者缓存表里的MAC地址来通讯了，直到通讯停止后两分钟，这个对应关系才会被从表中删除。如果是非局域网内部的通讯过程，假如主机A需要和主机C进行通讯，它首先会通过比对掩码发现这个主机C的IP地址并不是自己同一个网段内的，因此需要通过网关来转发，这样的话它会检查自己的ARP缓存表里是否

13、有网关1(192.168.1.1)对应的MAC地址，如果没有就通过ARP请求获得，如果有就直接与网关通讯，然后再由网关1通过路由将数据包送到网关2，网关2收到这个数据包后发现是送给主机C（10.1.1.2）的，它就会检查自己的ARP缓存（没错，网关一样有自己的ARP缓存），看看里面是否有10.1.1.2对应的MAC地址，如果没有就使用ARP协议获得，如果有就是用该MAC地址将数据转发给主机C。2.1.2ARP欺骗原理在以太局域网内数据包传输依靠的是MAC地址，IP地址与MAC对应的关系依靠ARP表，每台主机（包括网关）都有一个ARP缓存表。在正常情况下这个缓存表能够有效的保证数据传输的一对一性

14、，也就是说主机A与主机C之间的通讯只通过网关1和网关2，像主机B之类的是无法截获A与C之间的通讯信息的。但是在ARP缓存表的实现机制中存在一个不完善的地方，当主机收到一个ARP的应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。这就导致主机B截取主机A与主机C之间的数据通信成为可能。首先主机B向主机A发送一个ARP应答包说192.168.1.1的MAC地址是03-03-03-03-03-03，主机A收到这个包后并没有去验证包的真实性而是直接将自己ARP列表中的192.168.1.1的MAC地址替换成03-0

15、3-03-03-03-03，同时主机B向网关1发送一个ARP响应包说192.168.1.2的MAC是03-03-03-03-03-03，同样网关1也没有去验证这个包的真实性就把自己ARP表中的192.168.1.2的MAC地址替换成03-03-03-03-03-03。当主机A想要与主机C通讯时，它直接把应该发送给网关1(192.168.1.1)的数据包发送到03-03-03-03-03-03这个MAC地址，也就是发给了主机B，主机B在收到这个包后经过修改再转发给真正的网关1，当从主机C返回的数据包到达网关1后，网关1也使用自己ARP表中的MAC，将发往192.168.1.2这个IP地址的数据发

16、往03-03-03-03-03-03这个MAC地址也就是主机B，主机B在收到这个包后再转发给主机A完成一次完整的数据通讯，这样就成功的实现了一次ARP欺骗攻击。因此简单点说ARP欺骗的目的就是为了实现全交换环境下的数据监听与篡改。也就是说欺骗者必须同时对网关和主机进行欺骗。2.1.3ARP病毒清除 感染病毒后，需要立即断开网络，以免影响其他电脑使用。重新启动到DOS模式下，用杀毒软件进行全面杀毒。临时处理对策：步骤一、能上网情况下，输入命令arpa，查看网关IP对应的正确MAC地址，将其记录下来。如果已经不能上网，则运行一次命令arpd将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不

17、停止的话），一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arpa。步骤二、如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。输入命令：arps，网关IP网关MAC手工绑定在计算机关机重开机后就会失效，需要再绑定。可以把该命令放在autoexec.bat中，每次开机即自动运行。2.2网络监听2.2.1网络监听的定义众所周知，电话可以进行监听，无线电通讯可以监听，而计算机网络使用的数字信号在线路上传输时，同样也可以监听。网络监听也叫嗅探器，其英文名是Sniffer，即将网络上传输的数据捕获并进行分析的行为。网络监听，在网络安全上一

18、直是一个比较敏感的话题，作为一种发展比较成熟的技术，监听在协助网络管理员监测网络传输数据，排除网络故障等方面具有不可替代的作用，因而一直备受网络管理员的青睐。然而，在另一方面网络监听也给网络安全带来了极大的隐患，许多的网络入侵往往都伴随着网络监听行为，从而造成口令失窃，敏感数据被截获等连锁性安全事件。2.2.2网络监听的基本原理局域网中的数据是以广播方式发送的，局域网中的每台主机都时刻在监听网络中传输的数据，主机中的网卡将监听到的数据帧中的MAC地址与自己的MAC地址进行比较，如果两者相同就接收该帧，否则就丢掉该帧。如果把对网卡进行适当的设置和修改，将它设置为混杂模式，在这种状态下它就能接收网

19、络中的每一个信息包。网络监听就是依据这种原理来监测网络中流动的数据。2.2.3网络监听的检测 2.2.3.1在本地计算机上进行检测 （1）检查网卡是否处于混杂模式。可以利用一些现成的工具软件来发现，例如：AntiSniff，ARP探测技术。也可以编写一些程序来实现。在Linux下，有现成的函数，比较容易实现，而在Windows平台上，并没有现成的函数来实现这个功能，要自己编写程序来实现。可以利用一些现成的工具软件来发现，例如：AntiSniff，ARP探测技术。也可以编写一些程序来实现。在Linux下，有现成的函数，比较容易实现，而在Windows平台上，并没有现成的函数来实现这个功能，要自己

20、编写程序来实现。（2）搜索法。在本地主机上搜索所有运行的进程，就可以知道是否有人在进行网络监听。在Windows系统下，按下Ctrl+Alt+Del可以得到任务列表，查看是否有监听程序在运行。如果有不熟悉的进程，或者通过跟另外一台机器比较，看哪些进程是有可能是监听进程。2.2.3.2在其它计算机上进行检测。（1）观察法。如果某台电脑没有监听的话，无论是信息的传送还是电脑对信息的响应时间等方面都是正常的，如果被监听的话，就会出现异常情况。我们可以通过观察一些异常情况来判断电脑是否有被监听。 网络通讯掉包率是否反常地高。例如ping命令会显示掉了百分几的信息包。如果网络中有人在监听，就会拦截每个信

21、息包，从而导致信息包丢包率提高。网络带宽是否出现反常。如果某台计算机长时间的占用了较大的带宽，对外界的响应很慢，这台计算机就有可能被监听。 机器性能是否下降。向网上发大量不存在的物理地址的包，而监听程序往往就会将这些包进行处理，这样就会导致机器性能下降，可以用icmpechodelay来判断和比较它。（2）PING法。这种检测原理基于以太网的数据链路层和TCP/IP网络层的实现，是一种非常有效的测试方法。ping法的原理：如果一个以太网的数据包的目的MAC地址不属于本机，该包会在以太网的数据链路层上被抛弃，无法进入TCP/IP网络层；进入TCP/IP网络层的数据包，如果解析该包后，发现这是一个

22、包含本机ICMP回应请示的TCP包(PING包)，则网络层向该包的发送主机发送ICMP回应。 我们可以构造一个PING包，包含正确的IP地址和错误的MAC地址，其中IP地址是可疑主机的IP地址，MAC地址是伪造的，这样如果可疑主机的网卡工作在正常模式，则该包将在可疑主机的以太网的数据链路层上被丢弃，TCP/IP网络层接收不到数据因而也不会有什么反应。如果可疑主机的网卡工作在混杂模式，它就能接收错误的MAC地址，该非法包会被数据链路层接收而进入上层的TCP/IP网络层，TCP/IP网络层将对这个非法的PING包产生回应，从而暴露其工作模式。使用PING方法的具体步骤及结论如下：假设可疑主机的IP

23、地址为192.168.10.11，MAC地址是00-E0-4C-3A-4B-A5，检测者和可疑主机位于同一网段。 稍微修改可疑主机的MAC地址，假设改成00-E0-4C-3A-4B-A4。向可疑主机发送一个PING包，包含它的IP和改动后的MAC地址。没有被监听的主机不能够看到发送的数据包，因为正常的主机检查这个数据包，比较数据包的MAC地址与自己的MAC地址不相符，则丢弃这个数据包，不产生回应。如果看到回应，说明数据包没有被丢弃，也就是说，可疑主机被监听了。（3）ARP法。除了使用PING进行监测外，还可以利用ARP方式进行监测的。这种模式使用ARP数据包替代了上述的ICMP数据包。向局域网

24、内的主机发送非广播方式的ARP包，如果局域网内的某个主机以自己的IP地址响应了这个ARP请求，那么就可以判断它很可能就处于网络监听模式了。（4）响应时间测试法。这种检测已被证明是最有效的。它能够发现网络中处于监听模式的机器，而不管其操作系统是什么。非监听模式的机器的响应时间变化量会很小，而监听模式的机器的响应时间变化量则通常会较大。 2.2.4网络监听的防范措施 为了防止网络上的主机被监听，有多种技术手段，可以归纳为以下三类。第一种是预防，监听行为要想发生，一个重要的前提条件就是网络内部的一台有漏洞的主机被攻破，只有利用被攻破的主机，才能进行监听，从而收集以网络内重要的数据。因此，要预防网络中

25、的主机被攻破。这就要求我们养成良好的使用计算机的习惯，不随意下载和使用来历不明的软件，及时给计算机打上补丁程序，安装防火墙等措施，涉及到国家安全的部门还应该有防电辐射技术，干扰技术等等，防止数据被监听。 二是被动防御，主要是采取数据加密技术，数据加密是对付监听的最有效的办法。网上的信息绝大多数都是以明文的形式传输，容易辨认。一旦口令被截获，入侵者就可以非常容易地登录到另一台主机。对在网络上传输的信息进行加密后，监听器依然可以捕获传送的信息，但显示的是乱码。使用加密技术，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一，但是它的缺点是速度问题。几乎所有的加密技术都将导致

26、网络的延迟，加密技术越强，网络速度就越慢。只有很重要的信息才采用加密技术进行保护。三是主动防御，主要是使用安全的拓扑结构和利用交换机划分VLAN，这也是限制网络监听的有效方法，这样的监听行为只能发生在一个虚拟网中，最大限度地降低了监听的危害，但需要增加硬件设备的开支，实现起来要花费不少的钱。3.计算机局域网病毒及防治虽然局域网采用的是专网形式，但因管理及使用方面等多种原因，计算机病毒也开始在局域网出现并迅速泛滥，给网络工程安全带来一定的隐患，对数据安全造成极大威胁，妨碍了机器的正常运行，影响了工作的正常开展。如何防范计算机病毒侵入计算机局域网和确保网络的安全己成为当前面临的一个重要且紧迫的任务

27、。3.1局域网病毒 局域网病毒的入侵主要来自蠕虫病毒，同时集病毒、黑客、木马等功能于一身综合型病毒不断涌现。计算机病毒表现出以下特点：传播方式和途径多样化；病毒的欺骗性日益增强病毒的传播速度极快；病毒的制作成本降低；病毒变种增多；病毒难以控制和根治；病毒传播更具有不确定性和跳跃性；病毒版本自动在线升级和自我保护能力；病毒编制采用了集成方式等。局域网病毒的传播速度快，传播范围广，危害也大。局域网病毒还特别难以清除，只要有一台工作站的病毒未被彻底清除，整个网络就有可能重新感染。当计算机感染上病毒出现异常时，人们首先想到的是用杀毒软件来清除病毒。但令人担扰的是杀毒工具软件被广泛使用的今天，病毒的种类

28、和数量以及所造成的损失不是逐年减少，反而是逐年增加。这表明杀毒工具软件作为病毒防范的最主要工具，已显露出重大缺陷-对病毒的防范始终滞后于病毒的出现。如何加强局域网病毒防护是保障网络信息安全的关键。 3.2计算机局域网病毒的防治措施 计算机局域网中最主要的软硬件就是服务器和工作站，所以防治计算机网络病毒应该首先考虑这两个部分，另外要加强各级人员的管理教育及各项制度的督促落实。（1）基于工作站的防治技术。局域网中的每个工作站就像是计算机网络的大门，只有把好这道大门，才能有效防止病毒的侵入。工作站防治病毒的方法有三种：一、是软件防治，即定期不定期地用反病毒软件检测工作站的病毒感染情况。二、是在工作站

29、上插防病毒卡，防病毒卡可以达到实时检测的目的，但防病毒卡的升级不方便，从实际应用的效果看，对工作站的运行速度有一定的影响。三、是在网络接口卡上安装防病病毒芯片它将工作站存取控制与病毒防护合二为一，可以更加实时有效地保护工作站及通向服务器的桥梁。但这种方法同样也存在芯片上的软件版本升级不便的问题，而且对网络的传输速度也会产生一定的影响。上述三种方法都是防病毒的有效手段，应根据网络的规模、数据传输负荷等具体情况确定使用哪一种方法。 （2）基于服务器的防治技术。服务器是网络的核心，是网络的支柱，服务器一旦被病毒感染，便无法启动，整个网络都将陷入瘫痪状态，造成的损失是灾难性的。难以挽回和无法估量的，目

30、前市场上基于服务器的病毒防治采用NLM方法，它以NLM模块方式进行程序设计，以服务器为基础，提供实时扫描病毒的能力，从而保证服务器不被病毒感染，消除了病毒传播的路径，从根本上杜绝了病毒在网络上的蔓延。（3）加强计算机网络的管理。计算机局域网病毒的防治，单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的，只有把技术手段和管理机制紧密结合起来，才有可能从根本上保护网络系统的安全运行。一、从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度，对网络系统的管理员及用户加强法制教育和职业道德教育，不损人，不犯法，规范工作程序和操作规程，严惩从事非法活动的集体和个人。二、加强各级网

31、络管理人员的专业技能学习，提高工作能力，并能及时检查网络系统中出现病毒的症状。汇报出现的新问题、新情况，做到及时发现问题解决问题，同时在网络工作站上经常做好病毒检测的工作，把好网络的第一道大门。3.3清除网络病毒 一旦在局域网上发现病毒，应尽快加以清除，以防网络病毒的扩散给整个系统造成更大的损失，具体过程为: （1）立即停止使用受感染的电脑，并停止电脑与网络的联接,因为病毒会随时发作，继续使用受感染的电脑，只会加速该病毒的扩散,用broadcast命令通知包括系统管理员在内的所有用户退网,关闭文件服务器。（2）用干净的系统盘启动系统管理员工作站，并立即清除本机工作站中含有的病毒。 （3）用干净

32、的系统盘启动文件服务器，系统管理员登录后，使用disablelongin禁止其他用户登录。 （4）用防病毒软件扫描服务器上所有卷的文件，恢复或删除被感染的文件，重新安装被删除的文件。 （5）若没有最新的备份文件，可尝试使用杀毒软件把病毒清除，对在已染毒网络上存取过的软盘进行消毒。 （6）确信网络病毒已全部彻底清除后，重新启动网络及各工作站。 4.局域网安全防范系统4.1防火墙系统4.1.1防火墙概述防火墙是一种用来增强内部网络安全性的系统，它将网络隔离为内部网和外部网，从某种程度上来说，防火墙是位于内部网和外部网之间的桥梁和检查站，它一般由一台和多台计算机构成，它对内部网和外部网的数据流量进行

33、分析、检测、管理和控制，通过对数据的筛选和过滤，来防止未授权的访问进出内部计算机网，从而达到保护内部网资源和信息的目的。 防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。4.1.2防火墙的体系结构4.1.2.1双重宿主主机体系结

34、构双重宿主主机体系结构围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器；它能够从一个网络到另外一个网络发送IP数据包。然而双重宿主主机的防火墙体系结构禁止这种发送。因此IP数据包并不是从一个网络（如外部网络）直接发送到另一个网络（如内部网络）。外部网络能与双重宿主主机通信，内部网络也能与双重宿主主机通信。但是外部网络与内部网络不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制。 4.1.2.2被屏蔽主机体系结构 双重宿主主机体系结构防火墙没有使用路由器。而被屏蔽主机体系结构防火墙则使用一个路由器把内部网络和外部网络隔离开，如图4

35、所示。在这种体系结构中，主要的安全由数据包过滤提供（例如，数据包过滤用于防止人们绕过代理服务器直接相连）。这种体系结构涉及到堡垒主机。堡垒主机是因特网上的主机能连接到的唯一的内部网络上的系统。任何外部的系统要访问内部的系统或服务都必须先连接到这台主机。因此堡垒主机要保持更高等级的主机安全。数据包过滤容许堡垒主机开放可允许的连接（什么是可允许连接将由你的站点的特殊的安全策略决定）到外部世界。在屏蔽的路由器中数据包过滤配置可以按下列方案之一执行：(1)允许其它的内部主机为了某些服务开放到Internet上的主机连接（允许那些经由数据包过滤的服务）；(2)不允许来自内部主机的所有连接（强迫那些主机经

36、由堡垒主机使用代理服务）。4.1.2.3被屏蔽子网体系结构 被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步的把内部网络和外部网络隔离开。被屏蔽子网体系结构的最简单的形式为，两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部网络之间，另一个位于周边网与外部网络之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。为了侵入用这种体系结构构筑的内部网络，侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机，他将仍然必须通过内部路由器。 4.1.3防火墙的功能 4.1.3.1数据包过滤技术 数据包过虑技术是在网络中的适当位置对数据包实施有选择的通过的技术.选

37、择好依据系统内设置的过滤规则后,只有满足过滤规则的数据包才被转发至相应的网络接口，而其余数据包则从数据流中被丢弃。数据包过滤技术是防火墙中最常用的技术。对于一个危险的网络，用这种方法可以阻塞某些主机和网络连入内部网络，也可限制内部人员对一些站点的访问。包过滤型防火墙工作在OSI参考模型的网络层和传输层,它根据数据包头源地址,目的地址,端口号和协议类型等标志确定是否允许通过,只有满足过滤条件的数据包才被转发到相应目的地,其余数据包则被数据流中阻挡丢弃。4.1.3.2网络地址转换技术网络地址转换是一种用于把IP地址转换成临时的外部的、注册的IP的地址标准,用户必须要为网络中每一台机器取得注册的IP

38、地址7。在内部网络通过安全网卡访问外部网络时,系统将外出的源地址和源端口映射为一个伪装的地址和端口与外部连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问7。防火墙根据预先定义好的映射规则来判断这个访问是否安全和接受与否。网络地址转换过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。 4.1.3.3代理技术 代理技术是在应用层实现防火墙功能,代理服务器执行内部网络向外部网络申请时的中转连接作用。代理侦听网络内部客户的服务请求,当一个连接到来时,首先进行身份验证,并根据

39、安全策略决定是否中转连接。当决定转发时,代理服务器上的客户进程向真正的服务器发出请求,服务器返回代理服务器转发客户机的数据。 另一种情况是,外部网通过代理访问内部网,当外部网络节点提出服务请求时,代理服务器首先对该用户身份进行验证。若为合法用户,则把该请求转发给真正的某个内部网络的主机。而在整个服务过程中,应用代理一直监控着用户的操作,一旦用户进行非法操作,就可以进行干涉,并对每一个操作进行记录。若为不合法用语,则拒绝访问。 4.1.3.4全状态检测技术全状态检测防火墙在包过滤的同时，检测数据包之间的关联性，数据包中动态变化的状态码。它有一个检测引擎，在网关上执行网络安全策略。监测引擎采用抽取

40、有关数据的方法对网络通信的各层实施监督测，抽取状态信息，并动态地保存起来，作为以后执行安全策略的参考。当用户访问请求到达网关是操作系统前，状态监测器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密处理动作。4.2入侵检测系统 4.2.1入侵检测系统概述 入侵检测是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测

41、系统。4.2.2入侵检测原理 入侵检测跟其他检测技术有同样的原理。从一组数据中，检测出符合某一特点的数据。攻击者进行攻击的时候会留下痕迹，这些痕迹和系统正常运行的时候产生的数据混在一起。入侵检测系统的任务是从这些混合的数据中找出是否有入侵的痕迹，并给出相关的提示和警告。 入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息，包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。第二步是信息分析，收集到的有关系统、网络、数据及用户活动的状态和行为等信息，被送到检测引擎，检测引擎驻留在传感器中，一般

42、通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。当检测到某种误用模式时，产生一个告警并发送给控制台。 第三步是结果处理，控制台按照告警产生预先定义的响应采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。4.2.3局域网入侵检测系统的构建方法 根据CIDF规范，从功能上将IDS划分为四个基本部分：数据采集子系统、数据分析子系统、控制台子系统、数据库管理子系统。具体实现起来，一般都将数据采集子系统和数据分析子系统在Linux或Unix平台上实现，称之为数据采集分析中心；将控制台子系统在WindowsNT或2000上实现，数据库管理子系统基

43、于Access或其他功能更强大的数据库如SQL等，多跟控制台子系统结合在一起，称之为控制管理中心。构建一个基本的IDS,具体需考虑以下几个方面的内容。 首先，数据采集机制是实现IDS的基础，数据采集子系统位于IDS的最底层，其主要目的是从网络环境中获取事件，并向其他部分提供事件。这就需要使用网络监听来实现审计数据的获取，可以通过对网卡工作模式的设置为“混杂”模式实现对某一段网络上所有数据包的捕获。然后，需要构建并配置探测器，实现数据采集功能。应根据自己网络的具体情况，选用合适的软件及硬件设备，如果网络数据流量很小，用一般的PC机安装Linux即可，如果所监控的网络流量非常大，则需要用一台性能较

44、高的机器；在服务器上开出一个日志分区，用于采集数据的存储；接着应进行有关软件的安装与配置，至此系统已经能够收集到网络数据流了。其次，应建立数据分析模块。数据分析模块相当于IDS的大脑，它必须具备高度的“智慧”和“判断能力”,所以，在设计此模块之前，需要对各种网络协议、系统漏洞、攻击手法、可疑行为等有一个很清晰、深入地研究，然后制订相应的安全规则库和安全策略，再分别建立滥用检测模型和异常检测模型，让机器模拟自己的分析过程，识别确知特征的攻击和异常行为，最后将分析结果形成报警消息，发送给控制管理中心。设计数据分析模块的工作量浩大，需要不断地更新、升级、完善。在这里需要特别注意3个问题。应优化检测模

45、型和算法的设计，确保系统的执行效率；安全规则的制订要充分考虑包容性和可扩展性，以提高系统的伸缩性；报警消息要遵循特定的标准格式，增强其共享与互操作能力，切忌随意制订消息格式的不规范做法。第三，需要构建控制台子系统。控制台子系统负责向网络管理员汇报各种网络违规行为，并由管理员对一些恶意行为采取行动（如阻断、跟踪等）。控制台子系统的主要任务有：管理数据采集分析中心，以友好、便于查询的方式显示数据采集分析中心发送过来的警报消息；根据安全策略进行一系列的响应动作，以阻止非法行为，确保网络的安全。控制台子系统的设计重点是：警报信息查询、探测器管理、规则管理及用户管理。第四，需要构建数据库管理子系统。一个

46、好的入侵检测系统不仅仅应当为管理员提供实时、丰富的警报信息，还应详细地记录现场数据，以便于日后需要取证时重建某些网络事件。数据库管理子系统的前端程序通常与控制台子系统集成在一起，用Access或其他数据库存储警报信息和其他数据。第五，完成综合调试。以上几步完成之后，一个IDS的最基本框架已被实现。但要使这个IDS顺利地运转起来，还需要保持各个部分之间安全、顺畅地通信和交互，这就是综合调试工作所要解决的问题，主要包括要实现数据采集分析中心和控制管理中心之间的双向通信及保证通信的安全性，最好对通信数据流进行加密操作，以防止被窃听或篡改。同时，控制管理中心的控制台子系统和数据库子系统之间也有大量的交

47、互操作，如警报信息查询、网络事件重建等。经过综合调试后，一个基本的IDS就构建完成了，但是此时还不能放松警惕，因为在以后的应用中要不断地对它进行维护，特别是其检测能力的提高；同时还要注意与防火墙等其它系统安全方面的软件相配合，以期从整体性能上提高局域网的安全能力。6.1企业网模型回顾6.2层次化网络设计 大约在10年前，思科为网络设计人员提供了一种分层网络设计模型，该模型允许设计人员从物理、逻辑和功能等多种角度去设计网络；6.2.1接入层业务分析及规划接入层安全需求分析及解决方案：未授权用户对网络的访问 、端口接入控制 、802.1X端口安全、 MAC地址认证 访问控制：安全访问控制列表ACL（IPACL、MAC ACL）、NAC/EAD（端口准入防御）用户对网络的违规使用 ：STP安全 接入层语音业务需求及解决方案：接入速率控制、基于策略的分类、数据包标记等Voice vlan 6.2.2汇聚层业务分析及规划接入层数