網(wǎng)際網(wǎng)絡(luò)安全技術(shù)分析和對策

　　內(nèi)部網(wǎng)

　　目前的局域網(wǎng)基本上都采用以廣播為技術(shù)基礎(chǔ)的以太網(wǎng)，任何兩個節(jié)點之間的通信數(shù)據(jù)包，不僅為這兩個節(jié)點的網(wǎng)卡所接收，也同時為處在同一以太網(wǎng)上的任何一個節(jié)點的網(wǎng)卡所截取。因此，黑客只要接入以太網(wǎng)上的任一節(jié)點進行偵聽，就可以捕獲發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包，對其進行解包分析，從而竊取關(guān)鍵信息，這就是以太網(wǎng)所固有的安全隱患。

　　A.局域網(wǎng)安全

　　事實上，Internet上許多免費的黑客工具，如SATAN、ISS、NETCAT等等，都把以太網(wǎng)偵聽作為其最基本的手段。

　　當(dāng)前，局域網(wǎng)安全的解決辦法有以下幾種：

　　1．網(wǎng)絡(luò)分段

　　網(wǎng)絡(luò)分段通常被認為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段，但其實也是保證網(wǎng)絡(luò)安全的一項重要措施。其目的就是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法偵聽，網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式。

　　目前，海關(guān)的局域網(wǎng)大多采用以交換機為中心、路由器為邊界的網(wǎng)絡(luò)格局，應(yīng)重點挖掘中心交換機的訪問控制功能和三層交換功能，綜合應(yīng)用物理分段與邏輯分段兩種方法，來實現(xiàn)對局域網(wǎng)的安全控制。例如：在海關(guān)系統(tǒng)中普遍使用的DEC MultiSwitch 900的入侵檢測功能，其實就是一種基于MAC地址的訪問控制，也就是上述的基于數(shù)據(jù)鏈路層的物理分段。

　　2．以交換式集線器代替共享式集線器

　　對局域網(wǎng)的中心交換機進行網(wǎng)絡(luò)分段后，以太網(wǎng)偵聽的危險仍然存在。這是因為網(wǎng)絡(luò)最終用戶的接入往往是通過分支集線器而不是中心交換機，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當(dāng)用戶與主機進行數(shù)據(jù)通信時，兩臺機器之間的數(shù)據(jù)包（稱為單播包Unicast Packet）還是會被同一臺集線器上的其他用戶所偵聽。一種很危險的情況是：用戶TELNET到一臺主機上，由于TELNET程序本身缺乏加密功能，用戶所鍵入的每一個字符（包括用戶名、密碼等重要信息），都將被明文發(fā)送，這就給黑客提供了機會。

　　因此，應(yīng)該以交換式集線器代替共享式集線器，使單播包僅在兩個節(jié)點之間傳送，從而防止非法偵聽。當(dāng)然，交換式集線器只能控制單播包而無法控制廣播包（Broadcast Packet）和多播包（Multicast Packet）。所幸的是，廣播包和多播包內(nèi)的關(guān)鍵信息，要遠遠少于單播包。

　　3．VLAN的劃分

　　為了克服以太網(wǎng)的廣播問題，除了上述方法外，還可以運用VLAN（虛擬局域網(wǎng)）技術(shù)，將以太網(wǎng)通信變?yōu)辄c到點通信，防止大部分基于網(wǎng)絡(luò)偵聽的入侵。

　　目前的VLAN技術(shù)主要有三種：基于交換機端口的VLAN、基于節(jié)點MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN。基于端口的VLAN雖然稍欠靈活，但卻比較成熟，在實際應(yīng)用中效果顯著，廣受歡迎�；�于MAC地址的VLAN為移動計算提供了可能性，但同時也潛藏著遭受MAC欺詐攻擊的隱患。而基于協(xié)議的VLAN，理論上非常理想，但實際應(yīng)用卻尚不成熟。

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]