1、课程介绍局域网概述局域网(Local Area Network,LAN)是在小范围内将各种数据通信设备互连起来,进行数据通信和资源共享的计算机网络。局域网的地理范围一般在.01-20km 之间。局域网连网非常灵活,两台计算机就可以连成一个对等局域网。局域网的安全是内部网络安全的关键,如何保证局域网的安全性成为网络安全研究的一个重点。网络安全组成网络安全目标通俗地说,网络信息安全主要是指保护网络信息系统,使其没有危险、不受威胁、不出事故。从技术角度来说,网络信息安全的目标主要表现在系统的保密性、完整性、真实性、可靠性、可用性、不可抵赖性等方面。网络安全威胁1.3.1 物理威胁物理威胁在网络中是最
2、难控制的,它可能来源于外界的有意无意的破坏。物理威胁有时可以造成致命的系统破坏,如系统的硬件措施遭到严重的破坏。物理威胁的防治虽然很重要,然而在网络中很多物理威胁往往被忽略,如网络设备被盗等。在更换磁盘时,必须经格式化处理,因为反删除软件很容易获取仅从磁盘上删除的文件。1.3.2 系统漏洞威胁1.端口威胁端口威胁是系统漏洞的重要方面,在用户上网的时候,网络病毒和黑客可以通过这些端口连接到用户的计算机上潜在的端口开放相当于给系统开了一个后门,病毒和网络攻击者可以通过开放的端口入侵系统。为防止端口威胁,用户应该使用端口扫描软件来查看系统已经开启的服务端口,并将不安全的端口关闭。2.不安全服务操作系
3、统的部分服务不需要进行安全认证服务就可以登录,这些程序一般都是基于 UDP 协议的,它的无认证服务导致系统很有可能被病毒和网络攻击者控制。此类服务在作用后应该立即停止,否则将造成系统不可挽回的损失。3.配置和初始化有些系统提供认证和匿名两种方式,所以如何区分服务方式和如何进行系统的初始化配置非常关键。1.3.3 身份鉴别威胁1.假冒假冒的身份通常是用一个模仿的程序代替真正的程序登录界面,设置口令圈套,以窃取口令。2.密码暴力破解按照密码学的观点,任何密码都可以被破解出来,任何密码都只能在一段时间内保持系统的安全性。1.3.4 病毒和黑客威胁病毒是一段可执行的恶意程序,它可以对计算机的软件和硬件
4、资源进行破坏。计算机病毒寄生在系统内部,不易被发现,具有很强的的传染性,一但病毒被激活,就可能对系统造成巨大的危害。由于 TCP/IP 协议的脆弱性和Internet 的管理问题,目前,互联网成为病毒的最重要的传播途径。计算机病毒已成为计算机与网络安全的重要因素。黑客威胁是目前网络的又一大威胁,黑客是指非法入侵别人计算机系统的人,他们通常带有某种目的,通过系统漏洞非法入侵。【实例 1-1】简述物理防护在计算机系统安全方面的作用。解析 物理防护主要是针对计算机硬件上的弱点进行防护,防止人为因素或自然因素造成计算机系统的损坏,预防措施如下:(1)防止计算机设备丢失。(2)防止非授权人员和破坏者进入
5、计算机的工作环境。(3)规划对外通信的出口,阻止非法接线。(4)防止设备或数据损失。(5)防止电磁辐射。局域网的安全措施局域网基于广播技术构建。由于广播原理,局域网的数据截取和窃取成了安全的主要问题,另外,ARP 地址欺骗、泛洪等很多问题,还有 TCPIP 协议固有的不安全因素,网络操作系统的安全缺陷等,都使得基于局域网的安全防范非常关键。2.2.1 网络本身的安全设置1.网络分段网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。如:192.168.1.0 与 192.168.2.0,其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听。
6、2.组建交换式局域网对局域网的中心交换机进行网络分段后,由于使用共享式集线器,当用户与主机进行数据通信时,两台计算机之间的数据包会被同一台集线器上的其他用户所侦听。因此,应该以交换式集线器代替共享式集线器,建立交换式局域网,可以使单播包仅在两个节点之间传送,从而防止非法侦听。3.虚拟局域网采用交换式局域网技术组建的局域网,可以运用 VIAN(虚拟网络)技术来加强内部网络管理。4.网络访问权限设置如果不对局域网中的主机访问进行权限和用户身份设置,则可以完全被网络中的其他用户访问,所以在局域网中设置访问权限,实现数据的加密服务非常重要。权限控制是针对网络非法操作所提出的一种安全保护措施,对用户和用
7、户组赋予一定的权限,可以限制用户和用户组对目录、子目录、文件、打印机和其他共享资源的访问,可以限制用户对共享文件、目录和共享设备的操作。5.网络设备安全控制局域网中的路由器和三层交换机基本上都内置防火墙功能,且可通过设置IP 访问列表与 MAC 地址绑定等方案对网络中的数据进行过滤,限制出入网络的数据,从而增强网络安全性。6.防火墙控制防火墙是目前最为流行也是使用最广泛的一种网络安全技术,防火墙作为一个分离器、限制器和分析器,用于执行两个网络之间的访问控制策略,有效地监控了内部网和 Internet。之间的任何活动,既可为内部网络提供必要的访问控制,又不会造成网络瓶颈,并通过安全策略控制进出系
8、统的数据,保护网络内部的关键资源。2.2.2 网络操作系统的安全1.安全密码控制操作系统安装完成后,设置一个足够强壮的账号和密码非常关键,并最好将不用的匿名用户都删除。windows XP 操作系统是通过用户级别来设置用户的操作权限,所以配置安全策略十分必要。配置安全策略的步骤如下:(1)在“控制面板”中打开“管理工具”窗口,双击“计算机 管理”图标,打开“计算机管理”窗口,依次展开“系统工具”一“本地用户和组”一“用户”,在右边窗口中的空白处右击,弹出一个快捷菜单。(2)在该快捷菜单中选择“新用户”命令,弹出“新用户”对话框,如图23 所示。在该对话框中输入用户名和密码等信息,并选中“密码永
9、不过期”复选框,单击“创建”按钮,即可添加一个新用户。添加新用户2.安全漏洞扫描和补丁安装目前的网络操作系统,每隔一段时问就会出现新的漏洞和安全威胁,所以用户要经常关注它的官方站点,下载系统补丁程序。另外,选择一款系统漏洞扫描工具比较重要。对于 windows 的操作系统,可以登录微软官方网站http:/ 更新大部分的系统组件,修补漏洞。瑞星杀毒软件 2008 版也集成了一款比较完美的漏洞检测和修复工具。3.防火墙和杀毒软件在局域网的构建中,安装一款优秀的杀毒软件十分重要。对杀毒软件的要求是该杀毒软件必须要有足够强大的病毒库,并且容易升级,同时,对于一些未知病毒应该具有一定的预测能力。目前,病
10、毒和反病毒技术都在发展,任何杀毒软件都不能保证操作系统是绝对安全的。防火墙可以选择硬件或者软件类型的,硬件类型的价格高、安全性好,但是设置和配置都比较麻烦。软件防火墙的价格较低,但是安全性相对差一些。局域网故障检测技术局域网的故障分为软件故障和硬件故障,正确进行故障的处理和维护是网络安全非常重要的方面。硬件故障主要表现在系统元件的损坏,如主板的烧毁、硬盘的损坏等,其解决办法一般是更换设备,对于部分硬件的损坏可以使用逻辑方式临时修复,如硬盘的划伤等,还可以使用屏蔽技术将坏道隐藏起来,但是这些方式都不是非常可靠的。网络关注的是可靠性和稳定性,可以做临时的处理,但从长远来看,更换设备是非常有必要的。
11、近年来,计算机硬件技术的发展速度远远超过软件的发展速度,硬件在可靠性上大大增强了,同时,其价格在不断下降。因此,硬件故障基本上构不成网络故障威胁,所以在网络故障中应首先考虑软件故障。况且硬件故障的表现一般是十分明显的,而软件故障的表现却比较隐蔽。2.5.1 网络连通性的检测如果网络不通,应该考虑网卡是否安装正确,是否与其他设备有冲突或者网络是否损坏。这时应该首先查看网络协议是否安装,设置的网络参数是否正确,如果没有这些问题,再检查网络线缆是否损坏。当出现一种网络应用故障时,若无法接入 Internet,首先尝试其他网络应用,如果其他网络应用可正常进行,可以排除连通性故障问题,而判定是网络的问题
12、。什么是 IP 和 MAC,如何查找?MAC 地址也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部。只要你不去更改自己的 MAC 地址,那么你的 MAC 地址在世界是惟一的。无论是局域网,还是广域网中的计算机之间的通信,最终都表现为将数据包从某种形式的链路上的初始节点出发,从一个节点传递到另一个节点,最终传送到目的节点。数据包在这些节点之间的移动都是由 ARP(Address Resolution Protocol:地址解析协议)负责将 IP 地址映射到 MAC 地址上来完成的。其实人类社会和网络也是类似的,试想在人际关系网络中,甲要捎个口信给丁,就会通过乙和丙中转一下,最
13、后由丙 转告给丁。在网络中,这个口信就好比是一个网络中的一个数据包。数据包在传送过程中会不断询问相邻节点的 MAC 地址,这个过程就好比是人类社会的口信传送过程。ip 是指你上网的一个网络地址,IP 是唯一的,用于识别你于网络上的位置. 每台接入互联网的电脑都会根据 tcp/ip 协议分配一个唯一的协议地址,用来与其它的主机区分开,这个编号就是 ip 地址。如 192.168.0.1mac 地址也是用来将一台电脑和其他电脑区别开,但是和 ip 的协议分配不同,mac 地址是固化在硬件上的,不可更改的,如:如何解决 MAC 地址带来的安全问题 我们可以将 IP 地址和 MAC 地址捆绑起来来解决
14、这个问题。进入“MS-DOS 方式”或“命令提示符”,在命令提示符下输入命令:ARP -s 10.88.56.72 00-10-5C-AD-72-E3,即可把 MAC 地址和 IP 地址捆绑在一起。这样,就不会出现 IP 地址被盗用而不能正常使用网络的情况,可以有效保证小区网络的安全和用户的应用。 查找本机 IP 及 MAC: 运行-MSCONFIG/ALL2.5.2 网络检测Windows XP 操作系统中提供了 ping、tracert、netstat、pathping 等相关的网络测试命令,灵活使用这些命令,实现对网络的检测和管理是比较方便的。1、ping 命令ping 命令用于测试本地
15、主机和远程主机是否可以连通。查看 ping 命令返回的信息参数,用户就可以推断网络是否连通,根据网络参数也可以了解远程主机的其他特征。使用 ping 命令根据反馈报文信息推测远程主机信息,可以作为网络基本故障排除的方法。通过 ping 命令测试苯地网络是否连通,可以 ping 、localhost 或者本机的名称,图 2-10 所示的是连通的测试过程,如果不通,则如图 2-11 所示。2、tracert 命令tracert 命令是实现网络路由跟踪的命令,它把数据包所走的全部路径、节点的 IP 以及花费的时间都显示出来,图 2-12 所示的是 tracert 命令的测试过程。3、netstat
16、命令netstat 命令用于检测网络上的连接情况,可以告知用户所有的连接及其详细的端口。用户可以使用该命令实现实时监控,可以很清晰地排除网络上所有非法进程和用户的连接。netstat 命令用于显示与 IP、TCP、UDP 和 ICMP 协议相关的统计数据,图 2-13 所示的是 netstat 命令的运行情况,图 2-14 报增的上扫描系统中所有端口的情况。4pathping 命令pathping 命令用于跟踪数据包到达目标网络所采用的路由,并显示路径中每个路由器的数据包损失的信息。该命令只有在安装了 TcPIP 协议后才可使用。pathping 命令结合了 ping 和 tracert 命令
17、所共有的一些功能,可以对数据包进行跟踪,并且在一段时间内探测路由上的每个跃点,可以显示数据包的延迟与丢失。图 215 所示的是 pathping 命令的运行结果。实例解析1.ARP 协议的基本概念ARP 协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的 MAC 地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC 地址。但这个目标 MAC 地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标 IP 地址转换成目标 MAC 地址的过程。ARP 协议的基本功能就是通过目标设备的 IP 地址,查询目标设备的MAC 地址,以保证通信的顺利进行。
