论局域网安全管理策略

论局域网的安全管理策略

摘要：随着计算机网络技术的广泛应用，计算机网络改变了传统的通讯方式给人类带来了极大的方便、与此同时计算机网络安全问题变

得尤其重要，因此不论在局域网还是在广域网中，网络的安全措施能全方位地应对各种不同的威胁和脆弱性，能确保网络信息的保密性、完整性和可用性。

关键词网络安全局域网安全策略

如何在安全的计算机网络环境下办公成为计算机网络技术的一个重要领域，尤其是局域网安全问题，现在的企事业单位都有自己的局域网，企事业单位的核心数据也在局域网上，核心数据关系着企事业单位的生死存亡，一旦出现问题后果不堪设想，该文从局域网安全管理出发提出了基于局域网安全的策略。

1、局域网安全方案设计

安全策略包括两个部分：一个总的策略和具体的规则策略用于阐明企业安全政策的总体思想，而具体规则用于说明什么活动是被允许的，什么活动是被禁止的。网络的完全安全是不可能的，但是，我们却可以根据威胁网络安全的源头不同，及时调整网络安全策略，所以总的说来，网络安全方案设计的原则就是因时而变。

2、局域网安全机制

2.1物理隔离

常见的各种安全保护方式是安装防火墙，入侵检测系统、网络

安全管理软件等安全软件，但是这类的“软”保护具有不确定性，谁也不能保证这些软件中没有后门、没有错误，而被黑客利用攻入内部系统。最安全的办法，就是让局域网内部重要的数据和外部的互联网没有物理的连接，把用户可以上网的信息和不可以上网的信息隔离开来，让黑客无机可乘。

目前，物理隔离的实现模型，一般是包括客户端选择设备和网络选择器，用户通过开关设备，或通过键盘选择，控制客户端选择不同的存储介质，在需要的情况下，网络选择端还要同时进行相应的网络连接跳转。现在的物理隔离产品，主要采用基于单网线的安全隔离卡技术加上网络选择器方法，即客户端依然采用类似第二代双网线安全隔离卡的技术。

2.2远程访问控制

对于远程拨号用户，已经配置了用户身份认证服务器。在技术上有一定的安全保障。另外还可以从自身条件优势上考虑，由于都

同属一个电话局，这样就可以在电话局的程控交换机上控制，只允

许内部的电话号码访问本地的网络。同时对于拨号用户采用动态地

址分配，并对所有在用的机器mac地址进行注册，采用ip地址与

mac地址的动态绑定。

2.3 防火墙

在原理上，防火墙更像是物理隔离的软件实现手段。由于要与互联网连接，所以防火墙是必不可少的。防火墙规则动态的修改在

大型网络中已经是必不可少的了。

2. 4防病毒

防病毒基本上可以分为单机版和网络版。选择单机版和网络版要权衡代价和效率的关系。如果全部选用网络版那么造价很高，而且网络版的安装也相对复杂，势必要牵扯大量的人力。所以如果要节约费用，建议安装单机版防毒软件。而如果要求更高的安全性，并且局域网频繁的与internet交换数据，被病毒感染的机会很高，所以病毒代码的更新也要求较高，建议采用网络版的防毒软件。

3加强局域网安全的管理对策

3.1及时修补漏洞

要及时更新系统、数据库等漏洞补丁。漏洞已成为病毒、木马以及黑客进行攻击的主要途径，可以通过360安全卫士来检查系统的漏洞并打上补丁，一些防火墙软件也具有检查系统的漏洞的功能，做到定期检查和更新。

3.2关闭系统默认共享以及其它目录共享

默认共享是局域网里存在的一个安全隐患，很多病毒和黑客利用系统的默认共享进行传播和攻击的，威金蠕虫和funlove病毒等都是利用局域网里的共享进行传播的，所以要关闭默认共享。如果

业务需

要共享数据，那么要将共享方式设为只读或将共享目录隐藏，在共享

名后加上“$”符号即可隐藏共享资源。最好是建立文件服务器、存

储设备或局域网邮件系统来收发文件，这样可以大大地降低局域网中

受攻击和感染的风险。

3.3关闭危险的系统服务

有的系统服务的启用不仅会占用系统资源，而且还会对我们的系

统带来严重的安全隐患，为黑客和病毒开启了方便之门，在不需要这

些服务的情况下可以关闭。

4、加强局域网安全的技术策略

4.1基于internet的防火墙安全策略

典型的局域网要通过路由器来实现内部和外部信息的通讯，两者之间的数据流控制是计算机网络安全的关键。如何保证外部合法数据进入到局域网及局域网内部核心，数据安全将由防火墙(firewall)来实现。防火是由软件、硬件构成的系统，用来在两个网络之间实施接入控制策略。防火墙内的网络称为可信赖的网络(trusted network)，而将外部的因特网称为不可信赖的网络

(untrusted network)。防火墙可用来解决内联网和外联网的安全问题。

防火墙系统的主要目标是对进出所有数据进行分析，并对用户进行认证，从而防止有害信息进入受保护的网络系统，为网络提供安全保障，可以用硬件或软件实现，也可以是两者的结合。主要功能包括：安全警报；重新部署网络地址转换(nat)；监视internet 的使用；防火墙也是审查和记录内部人员对internet使用的一个最佳位置，可以在此对内部访问internet的情况进行记录，向外发布信息；防火墙除了起到安全屏障作用外，也是部署www服务器和ftp服务器的理想位置；允许internet访问上述服务器，而禁止对内部受保护的其他系统进行访问。

4.2vlan技术安全策略

vlan又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个vlan组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。

4.3捆绑技术安全策略

l) ip与mac地址捆绑技术安全策略

在实际的局域网安全管理中会经常出现ip地址被盗用的现象，这不仅对计算机网络的正常使用造成影响，同时也会由于被盗用的地