站长网赚论坛

 找回密码
 注册
查看: 363|回复: 0

局域网安全设置的几大技巧

[复制链接]

32

主题

1

好友

19

积分

1L 站长

Rank: 1

在线时间
17 小时
积分
19
帖子
35
发表于 2017-10-23 16:01:30 |显示全部楼层
网络分段通常被认为是操控网络播送风暴的一种基本手段(iwoke.cn/),但其实也是确保网络安全的一项重要措施。其意图就是将不合法用户与灵敏的网络资源相互阻隔,然后避免可能的不合法侦听,网络分段可分为物理分段和逻辑分段两种办法。
现在,海关的局域网大多选用以交流机为中心、路由器为鸿沟的网络格式,应要点挖掘中心交流机的拜访操控功用和三层交流功用,归纳运用物理分段与逻辑分段两种办法,来完成对局域网的安全操控。
对局域网的中心交流机进行网络分段后,以太网侦听的风险仍然存在。这是因为网络最终用户的接入往往是经过分支集线器而不是中心交流机,而运用最广泛的分支集线器通常是同享式集线器。这样,当用户与主机进行数据通讯时,两台机器之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所侦听。一种很风险的状况是:用户TELNET到一台主机上,因为TELNET程序自身缺乏加密功用,用户所键入的每一个字符(包含用户名、密码等重要信息),都将被明文发送,这就给黑客供给了时机。 因而,应该以交流式集线器替代同享式集线器,使单播包仅在两个节点之间传送,然后避免不合法侦听。当然,交流式集线器只能操控单播包而无法操控播送包(Broadcast Packet)和多播包(Multicast Packet)。所幸的是,播送包和多播包内的关键信息,要远远少于单播包。为了战胜以太网的播送问题,除了上述办法外,还能够运用VLAN(虚拟局域网)技能,将以太网通讯变为点到点通讯,避免大部分根据网络侦听的侵略。现在的VLAN技能主要有三种:根据交流机端口的VLAN、根据节点MAC地址的VLAN和根据运用协议的VLAN。根据端口的VLAN虽然稍欠灵敏,但却比较老练,在实践运用中效果显著,广受欢迎。根据MAC地址的VLAN为移动计算供给了可能性,但一起也潜藏着遭受MAC诈骗进犯的隐患。而根据协议的VLAN,理论上十分抱负,但实践运用却尚不老练。
在集中式网络环境下,我们通常将中心的一切主机体系集中到一个VLAN里,在这个VLAN里不答应有任何用户节点,然后较好地维护灵敏的主机资源。在分布式网络环境下,我们能够按组织或部分的设置来区分VLAN。各部分内部的一切服务器和用户节点都在各自的VLAN内,互不侵扰。VLAN内部的衔接选用交流完成,而VLAN与VLAN之间的衔接则选用路由完成。现在,大多数的交流机(包含海关内部遍及选用的DEC MultiSwitch 900)都支撑RIP和OSPF这两种国际标准的路由协议。如果有特别需要,有必要运用其他路由协议(如CISCO公司的EIGRP或支撑DECnet的IS-IS),也能够用外接的多以太网口路由器来替代交流机,完成VLAN之间的路由功用。当然,这种状况下,路由转发的功率会有所下降。
无论是交流式集线器还是VLAN交流机,都是以交流技能为中心,它们在操控播送、避免黑客上相当有效,但一起也给一些根据播送原理的侵略监控技能和协议剖析技能带来了麻烦。因而,如果局域网内存在这样的侵略监控设备或协议剖析设备,就有必要选用特别的带有SPAN(Switch Port Analyzer)功用的交流机。这种交流机答应体系管理员将全部或某些交流端口的数据包映射到指定的端口上,供给给接在这一端口上的侵略监控设备或协议剖析设备。
您需要登录后才可以回帖 登录 | 注册

手机版|Archiver|我拉网 ( 闽ICP备16005963号-2

GMT+8, 2018-1-21 04:54

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部