局域網(wǎng)的維護(hù)之網(wǎng)絡(luò)安全

2019-11-05 03:06:23

字體：大中小

供稿：網(wǎng)友

　　計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自黑客攻擊、計算機(jī)病毒和拒絕服務(wù)攻擊三個方面。網(wǎng)絡(luò)的安全威脅方向也分為外部和內(nèi)部。黑客攻擊早在主機(jī)終端時代就已經(jīng)出現(xiàn)，隨著因特網(wǎng)的發(fā)展，現(xiàn)代黑客則從以系統(tǒng)為主的攻擊轉(zhuǎn)變到以網(wǎng)絡(luò)為主的攻擊。
　　
　　1．黑客攻擊類型
　　
　　---- 任何系統(tǒng)的安全都是相對的，沒有一個網(wǎng)絡(luò)操作系統(tǒng)是絕對安全的。局域網(wǎng)上網(wǎng)即使有防火墻的保護(hù)，由于防火墻錯誤配置等其他原因，仍很難保證百分之百的安全。網(wǎng)絡(luò)攻擊主要類型如下。
　　--- ⑴Data Diddling 未經(jīng)授權(quán)刪除檔案，更改其資料。
　　--- ⑵Scanner 利用工具尋找暗門漏洞。
　　-- ⑶Sniffer 監(jiān)聽加密之封包。
　　---- ⑷Denial of Service 拒絕服務(wù)，使系統(tǒng)癱瘓。
　　---- ⑸ip Spoofing 冒充系統(tǒng)內(nèi)網(wǎng)絡(luò)的IP地址。
　　---- ⑹其他。
　　
　　2．防范黑客的措施
　　
　　---- ⑴選用安全的口令。據(jù)統(tǒng)計，大約80%的安全隱患是由于口令設(shè)置不當(dāng)引起的。
　　
　　---- ⑵用戶口令應(yīng)包含大小寫，最好能加上字符串和數(shù)字，綜合使用能夠達(dá)到更好的保密效果。不要使用用戶姓名、常用單詞、生日和電話號碼作為口令。根據(jù)黑客軟件的工作原理，口令長度設(shè)置時應(yīng)遵循7位或14位的整數(shù)倍原則?？诹顟?yīng)定期修改。
　　
　　---- ⑶建立賬號鎖定機(jī)制，一旦同一賬號密碼校驗(yàn)錯誤若干次即斷開連接，并鎖定該賬號，至一段時間才解鎖再次開放使用。
　　
　　---- ⑷實(shí)施存取控制。主要是針對網(wǎng)絡(luò)操作系統(tǒng)的文件系統(tǒng)的存取控制。存取控制是內(nèi)部網(wǎng)絡(luò)安全理論的重要方面，它包括人員權(quán)限、數(shù)據(jù)標(biāo)識、權(quán)限控制、控制類型和風(fēng)險分析等內(nèi)容。
　　
　　--⑸確保數(shù)據(jù)安全。完整性是在數(shù)據(jù)處理過程中，在原有數(shù)據(jù)和現(xiàn)行數(shù)據(jù)之間保持完全一致的證實(shí)手段。一般常用數(shù)字簽名和數(shù)據(jù)加密算法來保證。您可以參照以下幾個加密站點(diǎn)：http://Word.std.com/~franl/crypto/crypto.Html（規(guī)定公共密鑰加密），http://www.rsa.com.faq(RSA加密專利公司）。
　　
　　---- ⑹使用安全的服務(wù)器系統(tǒng)。雖然沒有一種網(wǎng)絡(luò)操作系統(tǒng)是絕對安全的，但Unix經(jīng)過幾十年來的發(fā)展已相當(dāng)成熟，以其穩(wěn)定性和安全性成為要害性應(yīng)用的首選。
　　
　　---- ⑺謹(jǐn)慎開放缺乏安全保障的應(yīng)用和端口。很多黑客攻擊程序是針對特定服務(wù)和特定服務(wù)端口的，所以關(guān)閉不必要的服務(wù)和服務(wù)端口，能大大降低遭受黑客攻擊的風(fēng)險。
　　
　　---- ⑻定期分析系統(tǒng)日志。日志文件不僅在調(diào)查網(wǎng)絡(luò)入侵時十分重要的，它們也是用最少代價來阻止攻擊的辦法之一。這里提供給大家一些比較有用的日志文件分析工具，具體如下。
　　
　　---- NestWatch能從所有主Web服務(wù)器和許多防火墻中導(dǎo)入日志文件。它運(yùn)行在Windows NT機(jī)器上，能夠以HTML格式輸出報告，并將它們分發(fā)到選定的服務(wù)器上。
　　
　　---- LogSurfer是一個綜合日志分析工具。根據(jù)它發(fā)現(xiàn)的內(nèi)容，能夠執(zhí)行各種動作，包括告警、執(zhí)行外部程序，甚至將日志文件數(shù)據(jù)分塊并將它們送給外部命令或進(jìn)程處理等。
　　
　　---- ⑼不斷完善服務(wù)器系統(tǒng)的安全性能。無論是Unix還是Windows NT的操作系統(tǒng)都存在安全漏洞，他們的站點(diǎn)會不定期發(fā)布系統(tǒng)補(bǔ)丁，系統(tǒng)治理員應(yīng)定期下載補(bǔ)丁，及時堵住系統(tǒng)漏洞。
　　
　　---- ⑽排除人為因素。要制定一整套完整的網(wǎng)絡(luò)安全治理操作規(guī)范。
　　
　　---- ⑾利用網(wǎng)絡(luò)治理軟件對整個局域網(wǎng)進(jìn)行動態(tài)站點(diǎn)監(jiān)控，發(fā)現(xiàn)問題及時解決。
　　
　　---- ⑿掃描、攻擊自己的站點(diǎn)。
　　
　　---- ⒀請第三方評估機(jī)構(gòu)或?qū)＜襾硗瓿删W(wǎng)絡(luò)安全的評估。
　　
　　---- ⒁謹(jǐn)慎利用共享軟件。
　　
　　---- ⒂做好數(shù)據(jù)的備份工作。有了完整的數(shù)據(jù)備份，我們在遭到攻擊或系統(tǒng)出現(xiàn)故障時才可能迅速恢復(fù)系統(tǒng)。
　　
　　---- ⒃使用防火墻。
　　
　　---- 防火墻分為網(wǎng)絡(luò)級防火墻和應(yīng)用網(wǎng)關(guān)防火墻。網(wǎng)絡(luò)級防火墻一般是具有很強(qiáng)報文過濾能力的路由器，可以通過改變參數(shù)來答應(yīng)或拒絕外部環(huán)境對站點(diǎn)的訪問，但其對欺騙性攻擊的保護(hù)很脆弱。應(yīng)用代理防火墻的優(yōu)勢是它們能阻止IP報文無限制地進(jìn)入網(wǎng)絡(luò)，缺點(diǎn)是它們的開銷比較大且影響內(nèi)部網(wǎng)絡(luò)的工作。
　　
　　關(guān)于防火墻的安全問題：
　　
　　---- Cisco PIX DES漏洞: Cisco PRivate Link使用一個48位DES（Date Encryption Standard）密碼，被認(rèn)為較輕易被解密（補(bǔ)丁程序下載地址為：http://www.cisco.com/warp/public/770/pixkey-pub.shtml）。
　　
　　---- FireWall-1保留要害字漏洞：FireWall-1有許多保留要害字，當(dāng)用它們描述網(wǎng)絡(luò)對象時會打開一個安全漏洞，使得已命名的對象成為“未定義”，可被任何地址訪問。

上一篇：虛擬局域網(wǎng)入門(下)

下一篇：部署新一代企業(yè)級城域網(wǎng)和局域網(wǎng)的核心技術(shù)