區域網安全策略

  現代計算機科技發展已經趨於完善,企業與各事業單位普遍建立起自己的網路體系,那麼你知道嗎?下面是小編整理的一些關於的相關資料,供你參考。

  : 

  區域網的安全問題經常是面對來自Internet的攻擊,因此你必須時刻防範這些惡意攻擊,關注你區域網的計算機系統安全。 在這篇文章裡我們談一談網路攻擊的機制,同時也著重講述一下區域網系統避免遭受攻擊的方法。

  這裡我們使用網路協議分層模式來分析區域網的安全。從圖1可以看到,網路的七層在不同程度上會遭受到不同方式的攻擊,如果攻擊者取得成功,那將是非常危險的。而我們通常聽到或見到的攻擊往往發生在應用層,這些攻擊主要是針對Web伺服器、瀏覽器和他們訪問到的資訊,比較常見的還有攻擊開放的檔案系統部分。

  下面兩個方法從實踐上來說被認為是非常有用的防範手段。

  1.包過濾

  圖1 七層模型易遭受的安全攻擊

  在網路層檢查通訊資料,觀察它的源地址和目的地址。過濾器可以禁止特定的地址或地址範圍傳出或進入,也可以禁止令人懷疑的地址模式。

  2.防火牆

  圖2 包過濾器的配置

  在應用層檢查通訊資料,檢查訊息地址中的埠,或檢查特定應用的訊息內容。測試失敗的任何通訊資料將被拒絕。

  一、路由包過濾

  TCP/IP地址由機器地址和標識程式處理訊息的埠數字組成。這個地址/埠組合資訊對每個TCP/IP訊息都是有效的。包過濾與防火牆相比處理的簡單一些,它僅是觀察TCP/IP地址,而不是埠數字或訊息內容。不過包過濾提供給你的是很好的網路安全工具。

  包過濾器通常使用的是自頂向下的操作原則,下面是它使用的一個典型規則:

  ●允許所有傳出通訊資料通過;

  ●拒絕建立新的傳入連線;

  ●其它的資料可以全部被接受。

  通過這樣的使用規則,系統的安全性提高了許多。因為它拒絕了Internet上主動與你的計算機建立新連線的請求。它阻止使用TCP的通訊資料進入,從而杜絕了對共享驅動器和檔案的未授權訪問。

  過濾器通常的應用是配置在連線你的計算機和Internet的路由器上,如圖2所示。在你的區域網和Internet之間放置過濾器後,就可以保證區域網與Internet所有的通訊資料都要經過過濾器。

  如果包過濾軟體有能力檢查源地址子網,從子網物理埠傳遞訊息到路由器,你就可以制定規則來避免虛假的TCP/IP地址,就象圖2所示的那樣。攻擊者欺騙的方法就是把來自Internet的訊息偽裝成來自你區域網的訊息。包過濾通過拒收帶有不可能源地址的訊息來防禦攻擊者的攻擊。例如,假定你在一個裝有Linux的機器上安裝軟體,讓它作為一個Windows網路檔案伺服器,你可以配置Linux讓它拒收所有來自你的子網以外的通訊資料,阻止Internet上的機器看到這個檔案伺服器。如果攻擊者假裝是你內部的機器,用過濾器就可以阻止攻擊者的攻擊。

  包過濾雖然對網路的安全防範能起到很好的作用,但包過濾也並不是萬能的。它們一般不能防禦使用UDP協議的攻擊,因為過濾器不能拒收開放的訊息。包過濾還不能防禦低層攻擊,象PING方式的攻擊。

  二、防火牆

  使用防火牆軟體可以在一定程度上控制區域網和Internet之間傳遞的資料。圖3所示是一個TCP/IP資料包報頭示意圖,從它上面可以清楚地看到包過濾和防火牆工作原理的不同之處。防火牆不但檢查了包過濾檢查內容的所有部分***TCP/IP的源地址和目的地址***,還檢查了源/目的埠數字和包的內容。

  圖3 包過濾器和防火牆的資訊源

  埠和訊息內容這些資訊使防火牆比包過濾有更強的防範能力,因為這些資訊使防火牆控制特定進/出的主機地址。防火牆的功能有以下幾個方面:

  ●允許或禁止特定的應用服務,例如:FTP或Web頁面服務;

  ●允許或禁止訪問基於被傳遞的資訊內容的服務。

  防火牆最直接的實施就是使用圖2所示的結構,僅把區域網和ISP之間的包過濾器換成防火牆就可以了。這是一個防火牆的最安全的應用,因為它保護了防火牆後面的所有計算機。

  圖4 防火牆中使用DMZ

  如果我們把圖2改為圖4所示的結構,就可以很好地解決這個問題。圖4的結構中有3個埠。第三個埠連線的是另一個區域網,通常叫做DMZ***非軍事區***。DMZ中的計算機與安全域性域網中的計算機相比安全性要差一些,但是這些計算機可以接受來自Internet的訪問。你可以把Web和FTP伺服器放在DMZ,從而可以保護其它的計算機。防火牆上的規則設定為阻止進入安全域性域網的通訊資料,僅允許傳出連線的建立。

  如果你想增強DMZ區域網的安全性,可以使用過濾器,限制區域網中伺服器使用的埠,禁止那些來自攻擊站點的訪問。

  為了安全還可以給你的區域網分段,每段設定一個防火牆,每個防火牆使用不同的安全規則。需要記住的一點是,防火牆本身並沒有保障安全的能力,你需要定期的檢查防火牆對可疑事件做出的日誌記錄,還需要去發現和使用軟體的安全補丁。

 

 

  看過文章“

  1.如何簡單設定一個區域網

  2.

  3.怎麼建立區域網

  4.區域網共享設定 詳細圖文設定教程

  5.怎樣入侵區域網電腦

  6.如何實現區域網內兩臺電腦資源共享

  7.如何搭建30臺電腦的區域網

  8.區域網的定義

  9.區域網入侵如何做到的

  10.膝上型電腦與桌上型電腦怎樣連線?