局域网的网络安全

网络安全

局域网基本上都采用以广播为技术基础的以太网，任何两个节点之间的通讯数据包，不只为这两个节点的网卡所接收，也同时为处在同一以太网上的任何一个节点的网卡所截取。所以，黑客只要接入以太网上的任一节点进行侦听，就能够捕获发生在这个以太网上的全部数据包，对其进行解包分析，从而窃取关键信息，这就是以太网所固有的安全隐患。事实上，Interne如SATAN、ISS、NETCAT等等，都把以太网侦听做为其最基本的手段。

当前，局域网安全的解决办法有如下几种：

网络分段

网络分段一般被认

局域网

为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听，网络分段可分为物理分段和逻辑分段两种方式。海关的局域网大多采用以交换机为中心、路由器为边界的网络格局，应重点挖掘中心交换机的访问控制功能和三层交换功能，综合应用物理分段与逻辑分段两种方法，来实现对局域网的安全控制。例如：在海关系统中广泛使用的DEC　MultiSwitch900的入侵检测功能，其实就是一种基于MAC地址的访问控制，也就是上述的基于数据链路层的物理分段。

以交换式集线器代替共享式集线器

对局域网的中心交换机进行网络分段后，以太网侦听的危险仍然存在。这是由于网络最终用户的接入每每是经过分支集线器而不是中心交换机，而使用最普遍的分支集线器一般是共享式集线器。这样，当用户与主机进行数据通讯时，两台机器之间的数据包（称为单播包Unicast　Packet）仍是会被同一台集线器上的其余用户所侦听。一种很危险的状况是：用户TELNET到一台主机上，因为TELNET程序自己缺少加密功能，用户所键入的每个字符（包括用户名、密码等重要信息），都将被明文发送，这就给黑客提供了机会。

所以，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法侦听。固然，交换式集线器只能控制单播　Packet）和多播包（Multicast　Packet）。所幸的是，广播包和多播包内的关键信息，要远远少于单播包。

VLAN的划分

为了克服以太网的广播问题，除了上述方法外，还能够运用VLAN（虚拟局域网）技术，将以太网通讯变为点到点通讯，防止大部分基于网络侦听的入侵。

VLAN技术主要有三种：基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活，但却比较成熟，在实际应用中效果显著，广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性，但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN，理论上很是理想，但实际应用却尚不成熟。

在集中式网络环境下，咱们一般将中心的全部主机系统集中到一个VLAN里，在这个VLAN里不容许有任何用户节点，从而较好地保护敏感的主机资源。在分布式网络环境下，咱们能够按机构或部门的设置来划分VLAN。各部门内部的全部服务器和用户节点都在各自的VLAN内，互不侵扰。

VLAN内部的链接采用交换实现，而VLAN与VLAN之间的链接则采用路由实现。大多数的交换机（包括海关内部广泛采用的DEC MultiSwitch 900）都支持RIP和OSPF这两种国际标准的路由协议。若是有特殊须要，必须使用其余路由协议（如CISCO公司的EIGRP或支持DECnet的IS－IS），也能够用外接的多以太网口路由器来代替交换机，实现VLAN之间的路由功能。固然，这种状况下，路由转发的效率会有所降低。

不管是交换式集线器仍是VLAN交换机，都是以交换技术为核心，它们在控制广播、防止黑客上至关有效，但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。所以，若是局域网内存在这样的入侵监控设备或协议分析设备，就必须选用特殊的带有SPAN（Switch PortAnalyzer）功能的交换机。这种交换机容许系统管理员将所有或某些交换端口的数据包映射到指定的端口上，提供给接在这一端口上的入侵监控设备或协议分析设备。笔者在厦门海关外部网设计中，就选用了Cisco公司的具有SPAN功能的Catalyst系列交换机，既获得了交换技术的好处，又使原有的Sniffer协议分析仪“英雄有用武之地”。