局域網的網絡安全

網絡安全

局域網基本上都採用以廣播爲技術基礎的以太網，任何兩個節點之間的通訊數據包，不只爲這兩個節點的網卡所接收，也同時爲處在同一以太網上的任何一個節點的網卡所截取。所以，黑客只要接入以太網上的任一節點進行偵聽，就能夠捕獲發生在這個以太網上的全部數據包，對其進行解包分析，從而竊取關鍵信息，這就是以太網所固有的安全隱患。事實上，Interne如SATAN、ISS、NETCAT等等，都把以太網偵聽做爲其最基本的手段。

當前，局域網安全的解決辦法有如下幾種：

網絡分段

網絡分段一般被認

局域網

爲是控制網絡廣播風暴的一種基本手段，但其實也是保證網絡安全的一項重要措施。其目的就是將非法用戶與敏感的網絡資源相互隔離，從而防止可能的非法偵聽，網絡分段可分爲物理分段和邏輯分段兩種方式。海關的局域網大多采用以交換機爲中心、路由器爲邊界的網絡格局，應重點挖掘中心交換機的訪問控制功能和三層交換功能，綜合應用物理分段與邏輯分段兩種方法，來實現對局域網的安全控制。例如：在海關係統中廣泛使用的DEC　MultiSwitch900的入侵檢測功能，其實就是一種基於MAC地址的訪問控制，也就是上述的基於數據鏈路層的物理分段。

以交換式集線器代替共享式集線器

對局域網的中心交換機進行網絡分段後，以太網偵聽的危險仍然存在。這是由於網絡最終用戶的接入每每是經過分支集線器而不是中心交換機，而使用最普遍的分支集線器一般是共享式集線器。這樣，當用戶與主機進行數據通訊時，兩臺機器之間的數據包（稱爲單播包Unicast　Packet）仍是會被同一臺集線器上的其餘用戶所偵聽。一種很危險的狀況是：用戶TELNET到一臺主機上，因爲TELNET程序自己缺少加密功能，用戶所鍵入的每個字符（包括用戶名、密碼等重要信息），都將被明文發送，這就給黑客提供了機會。

所以，應該以交換式集線器代替共享式集線器，使單播包僅在兩個節點之間傳送，從而防止非法偵聽。固然，交換式集線器只能控制單播　Packet）和多播包（Multicast　Packet）。所幸的是，廣播包和多播包內的關鍵信息，要遠遠少於單播包。

VLAN的劃分

爲了克服以太網的廣播問題，除了上述方法外，還能夠運用VLAN（虛擬局域網）技術，將以太網通訊變爲點到點通訊，防止大部分基於網絡偵聽的入侵。

VLAN技術主要有三種：基於交換機端口的VLAN、基於節點MAC地址的VLAN和基於應用協議的VLAN。基於端口的VLAN雖然稍欠靈活，但卻比較成熟，在實際應用中效果顯著，廣受歡迎。基於MAC地址的VLAN爲移動計算提供了可能性，但同時也潛藏着遭受MAC欺詐攻擊的隱患。而基於協議的VLAN，理論上很是理想，但實際應用卻尚不成熟。

在集中式網絡環境下，咱們一般將中心的全部主機系統集中到一個VLAN裏，在這個VLAN裏不容許有任何用戶節點，從而較好地保護敏感的主機資源。在分佈式網絡環境下，咱們能夠按機構或部門的設置來劃分VLAN。各部門內部的全部服務器和用戶節點都在各自的VLAN內，互不侵擾。

VLAN內部的鏈接採用交換實現，而VLAN與VLAN之間的鏈接則採用路由實現。大多數的交換機（包括海關內部廣泛採用的DEC MultiSwitch 900）都支持RIP和OSPF這兩種國際標準的路由協議。若是有特殊須要，必須使用其餘路由協議（如CISCO公司的EIGRP或支持DECnet的IS－IS），也能夠用外接的多以太網口路由器來代替交換機，實現VLAN之間的路由功能。固然，這種狀況下，路由轉發的效率會有所降低。

不管是交換式集線器仍是VLAN交換機，都是以交換技術爲核心，它們在控制廣播、防止黑客上至關有效，但同時也給一些基於廣播原理的入侵監控技術和協議分析技術帶來了麻煩。所以，若是局域網內存在這樣的入侵監控設備或協議分析設備，就必須選用特殊的帶有SPAN（Switch PortAnalyzer）功能的交換機。這種交換機容許系統管理員將所有或某些交換端口的數據包映射到指定的端口上，提供給接在這一端口上的入侵監控設備或協議分析設備。筆者在廈門海關外部網設計中，就選用了Cisco公司的具有SPAN功能的Catalyst系列交換機，既獲得了交換技術的好處，又使原有的Sniffer協議分析儀「英雄有用武之地」。