网站设计比例,揭阳网站建设工作,久久建筑网会员登录签到,比较好看的网页设计网络安全
局域网基本上都采用以广播为技术基础的以太网#xff0c;任何两个节点之间的通信数据包#xff0c;不仅为这两个节点的网卡所接收#xff0c;也同时为处在同一以太网上的任何一个节点的网卡所截取。因此#xff0c;黑客只要接入以太网上的任一节点进行侦听#…网络安全
局域网基本上都采用以广播为技术基础的以太网任何两个节点之间的通信数据包不仅为这两个节点的网卡所接收也同时为处在同一以太网上的任何一个节点的网卡所截取。因此黑客只要接入以太网上的任一节点进行侦听就可以捕获发生在这个以太网上的所有数据包对其进行解包分析从而窃取关键信息这就是以太网所固有的安全隐患。事实上Interne如SATAN、ISS、NETCAT等等都把以太网侦听作为其最基本的手段。
当前局域网安全的解决办法有以下几种 网络分段
网络分段通常被认
编辑局域网
为是控制网络广播风暴的一种基本手段但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离从而防止可能的非法侦听网络分段可分为物理分段和逻辑分段两种方式。海关的局域网大多采用以交换机为中心、路由器为边界的网络格局应重点挖掘中心交换机的访问控制功能和三层交换功能综合应用物理分段与逻辑分段两种方法来实现对局域网的安全控制。例如在海关系统中普遍使用的DEC MultiSwitch900的入侵检测功能其实就是一种基于MAC地址的访问控制也就是上述的基于数据链路层的物理分段。
以交换式集线器代替共享式集线器
对局域网的中心交换机进行网络分段后以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机而使用最广泛的分支集线器通常是共享式集线器。这样当用户与主机进行数据通信时两台机器之间的数据包称为单播包Unicast Packet还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是用户TELNET到一台主机上由于TELNET程序本身缺乏加密功能用户所键入的每一个字符包括用户名、密码等重要信息都将被明文发送这就给黑客提供了机会。
因此应该以交换式集线器代替共享式集线器使单播包仅在两个节点之间传送从而防止非法侦听。当然交换式集线器只能控制单播 Packet和多播包Multicast Packet。所幸的是广播包和多播包内的关键信息要远远少于单播包。 VLAN的划分
为了克服以太网的广播问题除了上述方法外还可以运用VLAN虚拟局域网技术将以太网通信变为点到点通信防止大部分基于网络侦听的入侵。
VLAN技术主要有三种基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活但却比较成熟在实际应用中效果显著广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN理论上非常理想但实际应用却尚不成熟。
在集中式网络环境下我们通常将中心的所有主机系统集中到一个VLAN里在这个VLAN里不允许有任何用户节点从而较好地保护敏感的主机资源。在分布式网络环境下我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内互不侵扰。
VLAN内部的连接采用交换实现而VLAN与VLAN之间的连接则采用路由实现。大多数的交换机包括海关内部普遍采用的DEC MultiSwitch 900都支持RIP和OSPF这两种国际标准的路由协议。如果有特殊需要必须使用其他路由协议如CISCO公司的EIGRP或支持DECnet的ISIS也可以用外接的多以太网口路由器来代替交换机实现VLAN之间的路由功能。当然这种情况下路由转发的效率会有所下降。
无论是交换式集线器还是VLAN交换机都是以交换技术为核心它们在控制广播、防止黑客上相当有效但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此如果局域网内存在这样的入侵监控设备或协议分析设备就必须选用特殊的带有SPANSwitch PortAnalyzer功能的交换机。这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上提供给接在这一端口上的入侵监控设备或协议分析设备。笔者在厦门海关外部网设计中就选用了Cisco公司的具备SPAN功能的Catalyst系列交换机既得到了交换技术的好处又使原有的Sniffer协议分析仪“英雄有用武之地”。
