區域網安全策略
現代計算機科技發展已經趨於完善,企業與各事業單位普遍建立起自己的網路體系,那麼你知道嗎?下面是小編整理的一些關於的相關資料,供你參考。
:
區域網的安全問題經常是面對來自Internet的攻擊,因此你必須時刻防範這些惡意攻擊,關注你區域網的計算機系統安全。 在這篇文章裡我們談一談網路攻擊的機制,同時也著重講述一下區域網系統避免遭受攻擊的方法。
這裡我們使用網路協議分層模式來分析區域網的安全。從圖1可以看到,網路的七層在不同程度上會遭受到不同方式的攻擊,如果攻擊者取得成功,那將是非常危險的。而我們通常聽到或見到的攻擊往往發生在應用層,這些攻擊主要是針對Web伺服器、瀏覽器和他們訪問到的資訊,比較常見的還有攻擊開放的檔案系統部分。
下面兩個方法從實踐上來說被認為是非常有用的防範手段。
1.包過濾
圖1 七層模型易遭受的安全攻擊
在網路層檢查通訊資料,觀察它的源地址和目的地址。過濾器可以禁止特定的地址或地址範圍傳出或進入,也可以禁止令人懷疑的地址模式。
2.防火牆
圖2 包過濾器的配置
在應用層檢查通訊資料,檢查訊息地址中的埠,或檢查特定應用的訊息內容。測試失敗的任何通訊資料將被拒絕。
一、路由包過濾
TCP/IP地址由機器地址和標識程式處理訊息的埠數字組成。這個地址/埠組合資訊對每個TCP/IP訊息都是有效的。包過濾與防火牆相比處理的簡單一些,它僅是觀察TCP/IP地址,而不是埠數字或訊息內容。不過包過濾提供給你的是很好的網路安全工具。
包過濾器通常使用的是自頂向下的操作原則,下面是它使用的一個典型規則:
●允許所有傳出通訊資料通過;
●拒絕建立新的傳入連線;
●其它的資料可以全部被接受。
通過這樣的使用規則,系統的安全性提高了許多。因為它拒絕了Internet上主動與你的計算機建立新連線的請求。它阻止使用TCP的通訊資料進入,從而杜絕了對共享驅動器和檔案的未授權訪問。
過濾器通常的應用是配置在連線你的計算機和Internet的路由器上,如圖2所示。在你的區域網和Internet之間放置過濾器後,就可以保證區域網與Internet所有的通訊資料都要經過過濾器。
如果包過濾軟體有能力檢查源地址子網,從子網物理埠傳遞訊息到路由器,你就可以制定規則來避免虛假的TCP/IP地址,就象圖2所示的那樣。攻擊者欺騙的方法就是把來自Internet的訊息偽裝成來自你區域網的訊息。包過濾通過拒收帶有不可能源地址的訊息來防禦攻擊者的攻擊。例如,假定你在一個裝有Linux的機器上安裝軟體,讓它作為一個Windows網路檔案伺服器,你可以配置Linux讓它拒收所有來自你的子網以外的通訊資料,阻止Internet上的機器看到這個檔案伺服器。如果攻擊者假裝是你內部的機器,用過濾器就可以阻止攻擊者的攻擊。
包過濾雖然對網路的安全防範能起到很好的作用,但包過濾也並不是萬能的。它們一般不能防禦使用UDP協議的攻擊,因為過濾器不能拒收開放的訊息。包過濾還不能防禦低層攻擊,象PING方式的攻擊。
二、防火牆
使用防火牆軟體可以在一定程度上控制區域網和Internet之間傳遞的資料。圖3所示是一個TCP/IP資料包報頭示意圖,從它上面可以清楚地看到包過濾和防火牆工作原理的不同之處。防火牆不但檢查了包過濾檢查內容的所有部分***TCP/IP的源地址和目的地址***,還檢查了源/目的埠數字和包的內容。
圖3 包過濾器和防火牆的資訊源
埠和訊息內容這些資訊使防火牆比包過濾有更強的防範能力,因為這些資訊使防火牆控制特定進/出的主機地址。防火牆的功能有以下幾個方面:
●允許或禁止特定的應用服務,例如:FTP或Web頁面服務;
●允許或禁止訪問基於被傳遞的資訊內容的服務。
防火牆最直接的實施就是使用圖2所示的結構,僅把區域網和ISP之間的包過濾器換成防火牆就可以了。這是一個防火牆的最安全的應用,因為它保護了防火牆後面的所有計算機。
圖4 防火牆中使用DMZ
如果我們把圖2改為圖4所示的結構,就可以很好地解決這個問題。圖4的結構中有3個埠。第三個埠連線的是另一個區域網,通常叫做DMZ***非軍事區***。DMZ中的計算機與安全域性域網中的計算機相比安全性要差一些,但是這些計算機可以接受來自Internet的訪問。你可以把Web和FTP伺服器放在DMZ,從而可以保護其它的計算機。防火牆上的規則設定為阻止進入安全域性域網的通訊資料,僅允許傳出連線的建立。
如果你想增強DMZ區域網的安全性,可以使用過濾器,限制區域網中伺服器使用的埠,禁止那些來自攻擊站點的訪問。
為了安全還可以給你的區域網分段,每段設定一個防火牆,每個防火牆使用不同的安全規則。需要記住的一點是,防火牆本身並沒有保障安全的能力,你需要定期的檢查防火牆對可疑事件做出的日誌記錄,還需要去發現和使用軟體的安全補丁。
看過文章“
1.如何簡單設定一個區域網
2.
3.怎麼建立區域網
4.區域網共享設定 詳細圖文設定教程
5.怎樣入侵區域網電腦
6.如何實現區域網內兩臺電腦資源共享
7.如何搭建30臺電腦的區域網
8.區域網的定義
9.區域網入侵如何做到的
10.膝上型電腦與桌上型電腦怎樣連線?