|
|
当前,保证局域网安全的解决办法有以下几种:
1.网络分段
网络分段通常被认为是控制的一种基本手段,但其实也是保证的一项重要措施。其目的就是将非法用户与敏感的相互隔离,从而防止可能的非法侦听,网络分段可分为物理分段和逻辑分段两种方式。
目前,一般的局域网大多采用以为中心、路由器为边界的网络格局,应重点挖掘中心交换机的功能和功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制。例如:普遍使用的DECMultiSwitch900的功能,其实就是一种基于的访问控制,也就是上述的基于的物理分段。
2.以交换式集线器代替共享式集线器
对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行时,两台机器之间的数据包(称为单播包UnicastPacket)还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是:用户到一台主机上,由于TELNET程序本身缺乏加密功能,用户所键入的每一个字符(包括用户名、密码等重要),都将被明文发送,这就给黑客提供了机会。
因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。当然,交换式集线器只能控制单播包而无法控制广播包(BroadcastPacket)和包(MulticastPacket)。所幸的是,广播包和多播包内的关键,要远远少于单播包。
3.的划分
为了克服以太网的广播问题,除了上述方法外,还可以运用VLAN()技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。
目前的主要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用的VLAN。基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显着,广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN,理论上非常理想,但实际应用却尚不成熟。
在集中式网络环境下,我们通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,我们可以按机构或部门的设置来划分VLAN。各部门内部的所有和用户节点都在各自的VLAN内,互不侵扰。
|
|
发表于 2015-2-4 14:45:30
