1、1摘要: 随着 Internet、网络信息技术的迅速发展及各种应用的日益普及,各单位计算机局域网已成为重要的基础设施,但随之而来的网络安全问题也显得尤为重要,本文章重点介绍了局域网安全控制与病毒防治的一些策略。 关键词: 局域网安全;VLAN;病毒防治;防火墙Summary:With the Internet, the rapid development of information technology networks and the increasing popularity of various applications, the units have become important
2、 computer local area network infrastructure, but the attendant problem of network security is very important, this article focuses on local area network security control and virus control some of the strategies.Keywords: local area network security; VLAN; Virus Prevention; Firewall2目 录摘要.1前言.2第一章 局域
3、网安全.31.1 局域网安全现状.31.2 局域网安全威胁分析.31.3 局域网安全解决方法.41.3.1 网络分段 .41.3.2 以交换式集线器代替共享式集线器.41.3.3 VLAN的划分.4第二章 局域网病毒防治.52.1三大新威胁.52.1.1Spyware(间谍软件) .52.1.2Adware(广告软件) .52.1.3Phishing(网络钓鱼软件,又称电子黑饵) .52.2害人四大新趋势.52.2.1盗取个人资料.62.2.2“僵尸”入侵.62.2.3Adware、Spyware偷袭.62.2.4垃圾邮件改头换面.62.3只防病毒不安全.6第三章 防火墙与路由器.73.1 防
4、火墙与路由器的区别.73.1.1 两种设备产生的根源不同.73.1.2 根本目的不同.83.2核心技术的不同.83.2.1 IP/TCP欺骗.83.3安全策略制定的复杂程度不同.83.4对性能的影响不同.93.5审计功能的强弱差异巨大.93.6防范攻击的能力不同.10第四章 防火墙的作用.10第五章 网络使用人员的安全培训.11第六章 结束语.12参考文献.12致谢.133前 言近年来各种网络安全问题接踵而至:计算机病毒、操作系统漏洞、黑客攻击等屡见不鲜,如何使信息网络系统不受黑客和病毒的入侵,如何保障数据传输的安全性、可靠性,也是建设局域网网络安全过程中所必须考虑的重要事情之一。本文依据自己
5、在信息安全领域的经验,从安全角度出发,并结合自己知识向局域网安全控制与病毒防治作出研究。 第一章 局域网安全1.1 局域网安全现状 广域网络已有了相对完善的安全防御体系,防火墙、漏洞扫描、防病毒、IDS等网关级别、网络边界方面的防御,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。相反来自网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施,安全威胁较大。未经授权的网络设备或用户就可能通过到局域网的网络设备自动进入网络,形成极大的安全隐患。目前,局域网络安全隐患是利用了网络系统本身存在的安全弱点,而系统在使用和管理过程的疏漏增加了安全问题的严
6、重程度。 1.2 局域网安全威胁分析 局域网(LAN)是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑,因此局域网内信息的传输速率比较高,同时局域网采用的技术比较简单,安全措施较少,同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类:(1)欺骗性的软件使数据安全性降低;(2)计算机病毒及恶意代码的威胁;(3)服务器区域没有进行独立防护;4(4)IP 地址冲突;(5)局域网用户安全意识不强;正是由于局域网内应用上这些独特的特点,造成局域网内的病毒快速传递,数据安全性低,网内电脑相互感染,病毒屡杀不尽,数据经
7、常丢失。 1.3 局域网安全解决办法当前,保证局域网安全的解决办法有以下几种: 1.3.1 网络分段 网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段可分为物理分段和逻辑分段两种方式。 目前,一般的局域网大多采用以交换机为中心、路由器为边界的网络格局,应重点挖掘中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制。例如:普遍使用的 DEC MultiSwitch 900 的入侵检测功能,其实就是一种基于 MAC 地址的访问控制,
8、也就是上述的基于数据链路层的物理分段。 1.3.2 以交换式集线器代替共享式集线器 对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包 Unicast Packet)还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是:用户 TELNET 到一台主机上,由于 TELNET 程序本身缺乏加密功能,用户所键入的每一个字符(包括用户名、密码等重要信息),都将被明文发送,这就给黑客提供了机会。 因此,应该以交换式
9、集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。当然,交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包(Multicast Packet)。所幸的是,广播包和多播包内的关键信息,要远远少于单播包。 1.3.3VLAN 的划分 为了克服以太网的广播问题,除了上述方法外,还可以运用 VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。 目前的 VLAN 技术主要有三种:基于交换机端口的 VLAN、基于节点 MAC 地址的VLAN 和基于应用协议的 VLAN。基于端口的 VLAN 虽然稍欠灵活,但却比较成
10、熟,在实际应用中效果显著,广受欢迎。基于 MAC 地址的 VLAN 为移动计算提供了可能性,但同时也潜藏着遭受 MAC 欺诈攻击的隐患。而基于协议的 VLAN,理论上非常理想,但实际应用却尚不成熟。 在集中式网络环境下,我们通常将中心的所有主机系统集中到一个 VLAN 里,在这个 VLAN 里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,我们可以按机构或部门的设置来划分 VLAN。各部门内部的所有服务器和用户节点都在各自的 VLAN 内,互不侵扰。 5VLAN 内部的连接采用交换实现,而 VLAN 与 VLAN 之间的连接则采用路由实现。目前,大多数的交换机(包括普遍
11、采用的 DEC MultiSwitch 900)都支持 RIP 和OSPF 这两种国际标准的路由协议。如果有特殊需要,必须使用其他路由协议(如CISCO 公司的 EIGRP 或支持 DECnet 的 ISIS),也可以用外接的多以太网口路由器来代替交换机,实现 VLAN 之间的路由功能。当然,这种情况下,路由转发的效率会有所下降。 无论是交换式集线器还是 VLAN 交换机,都是以交换技术为核心,它们在控制广播、防止黑客上相当有效,但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此,如果局域网内存在这样的入侵监控设备或协议分析设备,就必须选用特殊的带有 SPAN(Switch
12、Port Analyzer)功能的交换机。这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上,提供给接在这一端口上的入侵监控设备或协议分析设备。第二章 局域网病毒防治上网的人中,很少有谁没被病毒侵害过。但在大多数人将注意力放在对付病毒上时,要想保证上网安全,必须对以下这三种威胁同时设防。第一是以传统宏病毒、蠕虫等为代表的入侵性病毒;第二是以间谍软件、广告软件、网络钓鱼软件、木马程序为代表的扩展类威胁;第三是以黑客为首的有目标的专门攻击或无目标的随意攻击为代表的网络侵害。 2.1 三大新威胁 2.1.1Spyware(间谍软件):主要是用作偷取用户个人资料的恶意程序,如用户使
13、用网上银行、网上购物等电子商务应用时,如果没有相关的防御措施与意识,那么用户的网银账号和密码就很容易被窃取。 2.1.2Adware(广告软件):是一种软件,一般表现为用户点击网站后就一连出现好多叠加着的网页,非常不好关。它通常都跟某些工具软件绑在一起,当你安装这些软件后,也就跟着进入你的电脑了。它不但占用系统资源,还常常连着一些色情网站。除强行向用户做广告外,更会刺探用户的个人隐私资料,例如姓名、邮箱、银行资料、电话、地址等,因此隐藏着不小的危害性,需要尽快清除。 2.1.3Phishing(网络钓鱼软件,又称电子黑饵):是 fishing 和 phone 的缩写。是指盗取他人个人资料、银行
14、及财务账户资料的网络相关诱骗行为,可分为诱骗式及技术式两种。诱骗式是利用特制的电邮,引导收件人连接到特制的网页,这些网页通常会伪装成真正的银行或理财网页,令登录者信以为真,输入信用卡或银行卡号码、账户名称及密码等;技术性的 Phishing 则是将程序安装到受害者的电脑中,直接盗取个人资料或使用木马程序、按键记录程序等。2.2 害人四大新趋势 6总体来说,以前的黑客攻击和犯罪的目的性不很明确,他们大多出于好奇、出风头的目的。而现在多是有组织、有目的的经济犯罪。据我们分析,黑客的攻击大致有如下四大趋势: 2.2.1 盗取个人资料 近年来利用 Phishing 攻击的犯罪增长非常快,主要出现在电子
15、商务应用中。黑客假借银行之名给银行用户发电子邮件,提示银行系统升级要求用户重新注册,用户一旦轻信进行注册,银行账号即落入黑客掌中,与此伴随的将是你的银行存款不翼而飞。 2.2.2“僵尸”入侵 从全球来看,僵尸即机器人(BOT)程序在中国的增长最快,而整个亚太区也居于全球前十名。BOT 类似于木马程序,它执行的是预先没有设置好的程序,通过所有被程序控制的“僵尸”电脑一同对某一目标发起攻击。这种攻击的危险性最大,因为它不像病毒可以提前监控。 2.2.3Adware、Spyware 偷袭 Symantec 的技术中心曾在用户送修的笔记本电脑中发现,其已经被植入了多达近百种的 Adware 或 Spy
16、ware 软件。它们一般通过小的用户在下载 Flash 和小游戏时安装,由于它们不像病毒和蠕虫那么敏感,于是得以在不知不觉中入侵你的电脑。现在一些正规的软件厂商也在应用这些软件来搜集用户的资料。尽管目前这类软件不见得都有害,但它们搜集的毕竟是你的个人隐私信息。这也将成为未来防范的重点。 2.2.4 垃圾邮件改头换面 从当前来看,垃圾邮件的总量虽然呈下降态势,但其逃避技术却越来越强。这类邮件中携带着大量的病毒、Phishing、蠕虫、木马及额外的风险。 2.3 只防病毒不安全 目前众多网民已不再是简单地上网浏览网页及收发电邮,随着网上银行、网上购物等电子商务应用的出现,来自网上的威胁不仅仅是传统
17、的病毒了。 中国目前已经成黑客首选的攻击目标,每天有 3 万台 PC 机处于随时可能被攻击的失控状态。业内人士指出,未来对电脑及电脑用户造成最大威胁的并不是我们惯常认为的电脑病毒(Virus),而是一些 Spyware(间谍软件)、Adware(广告软件)、Phishing(网络钓鱼软件)、Trojan(木马程序)、Worms(蠕虫)。原因是大部分用户7及商业机构对一般的电脑病毒已有一定的防范,譬如安装防毒程序等,再新的病毒也能在短时间内被解决,可是对于 Spyware、Trojan 及 Worms 绝大多数网民防范意识较为薄弱。虽然一般的电脑上也安装了防毒程序,但实际上单一的防毒程序并不能阻
18、挡来自网上的侵袭。 现在的网络安全威胁主要来自病毒攻击、木马攻击、黑客攻击以及间谍软件等攻击。杀毒软件发展了十几年,依然是停留在被动杀毒的层面,而国外的调查表明,当今全球杀毒软件对 80%的病毒无法起到识别作用,也就是说,杀毒软件之所以能杀毒,纯粹是根据病毒样本的代码特征来识别他是否是病毒,就如警察抓住一个小偷,这个小偷留着大胡子,于是警察就天天在街上盯着大胡子的人。这样的杀毒效果可想而知。同样的道理,杀毒软件对于木马、间谍软件的防范也是基于这种方式。现在病毒、木马的更新很快,从全球范围内来看,能造成较大损失的病毒木马,大部分都是新出现的,或者是各类变种,由于这些病毒木马的特征并没有被杀毒软件
19、掌握,因此杀毒软件对它们是既不能报警,也无法剿杀。难道我们就任病毒木马宰割了吗?当然不!高手岂能向几个病毒木马低头!虽然杀毒软件只能干瞪眼,可是我们还有严守大门的防火墙呢! 第三章 防火墙与路由器3.1 防火墙与路由器的区别防火墙为什么就能挡住病毒木马甚至是最新的病毒木马变种呢?但有很多用户,认为网络中已经有了路由器,可以实现一些简单的包过滤功能,所以,为什么还要用防火墙呢? 以下我们针对 NetEye 防火墙与业界应用最多、最具代表性的 Cisco路由器在安全方面的对比,来阐述为什么用户网络中有了路由器还需要防火墙。3.1.1 两种设备产生的根源不同路由器的产生是基于对网络数据包路由而产生的
20、。路由器需要完成的是将不同网络的数据包进行有效的路由,至于为什么路由、是否应该路由、路由过后是否有8问题等根本不关心,所关心的是:能否将不同的网段的数据包进行路由从而进行通。 防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个数据包是否应该通过、通过后是否会对网络造成危害。 3.1.2 根本目的不同 路由器的根本目的是:保持网络和数据的通。 防火墙根本的的目的是:保证任何非允许的数据包不通。 3.2 核心技术的不同 Cisco 路由器核心的 ACL 列表是基于简单的包过滤,从防火墙技术实现的角度来说,NetEye 防火墙是基于状态包
21、过滤的应用级信息流过滤。 下图是一个最为简单的应用:企业内网的一台主机,通过路由器对内网提供服务。为了保证安全性,在路由器上需要配置成:外-内 只允许 client server 的 tcp 1455 端口,其他拒绝。 针对现在的配置,存在的安全脆弱性 3.2.1 IP/TCP 欺骗 存在上述隐患的原因是,路由器不能监测 TCP 的状态。如果在内网的 client 和路由器之间放上 NetEye 防火墙,由于 NetEye 防火墙能够检测 TCP 的状态,并且可以重新随机生成 TCP 的序列号,则可以彻底消除这样的脆弱性。同时,NetEye 防火墙的一次性口令认证客户端功能,能够实现在对应用完
22、全透明的情况下,实现对用户的控制,其认证支持标准的 Radius 协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。 9虽然,路由器的 Lock-and-Key 功能能够通过动态控制列表的方式,实现对用户的认证,但该特性需要路由器提供 Telnet 服务,用户在使用使也需要先 Telnet 到路由器上,使用起来不很方便,同时也不够安全。 3.3 安全策略制定的复杂程度不同 路由器的默认配置对安全性的考虑不够,需要一些高级配置才能达到一些防范攻击的作用,安全策略的制定绝大多数都是基于命令行的,其针对安全性的规则的制定相对比较复杂,配置出错的概率较高。 NetEy
23、e 防火墙的默认配置既可以防止各种攻击,达到既用既安全,安全策略的制定是基于全中文的 GUI 的管理工具,其安全策略的制定人性化,配置简单、出错率低。 3.4 对性能的影响不同 路由器是被设计用来转发数据包的,而不是专门设计作为全特性防火墙的,所以用于进行包过滤时,需要进行的运算非常大,对路由器的 CPU 和内存的需要都非常大,而路由器由于其硬件成本比较高,其高性能配置时硬件的成本都比较大。 NetEye 防火墙的硬件配置非常高,其软件也为数据包的过滤进行了专门的优化,其主要模块运行在操作系统的内核模式下,设计之时特别考虑了安全问题,其进行数据包过滤的性能非常高。中 华 考 试 网 由于路由器
24、是简单的包过滤,包过滤的规则条数的增加,NAT 规则的条数的增加,对路由器性能的影响都相应的增加,而 NetEye 防火墙采用的是状态包过滤,规则条数,NAT 的规则数对性能的影响接近于零。 3.5 审计功能的强弱差异巨大 路由器本身没有日志、事件的存储介质,只能通过采用外部的日志服务器等来完成对日志、事件的存储;路由器本身没有审计分析工具,对日志、事件的描述采用的是不太容易理解的语言;路由器对攻击等安全事件的相应不完整,对于很多的攻击10、扫描等操作不能够产生准确及时的事件。审计功能的弱化,使管理员不能够对安全事件进行及时、准确的响应。 NetEye 防火墙的日志存储介质有两种,包括本身的硬
25、盘存储,和单独的日志服务器;针对这两种存储,NetEye 防火墙都提供了强大的审计分析工具,使管理员可以非常容易分析出各种安全隐患;NetEye 防火墙对安全事件的响应的及时性,还体现在他的多种报警方式上,包括蜂鸣、trap、邮件、日志;NetEye 防火墙还具有实时监控功能,可以在线监控通过防火墙的连接,同时还可以捕捉数据包进行分析,非分析网络运行情况,排除网络故障提供了方便。 3.6 防范攻击的能力不同 对于像 Cisco 这样的路由器,其普通版本不具有应用层的防范功能,不具有入侵实时检测等功能,如果需要具有这样的功能,就需要生级升级 IOS 为防火墙特性集,此时不单要承担软件的升级费用,
26、同时由于这些功能都需要进行大量的运算,还需要进行硬件配置的升级,进一步增加了成本,而且很多厂家的路由器不具有这样的高级安全功能。第四章 防火墙的作用这就要从防火墙的防御机制说起了。防火墙是根据连接网络的数据包来进行监控的,也就是说,防火墙就相当于一个严格的门卫,掌管系统的各扇门(端口) ,它负责对进出的人进行身份核实,每个人都需要得到最高长官的许可才可以出入,而这个最高长官,就是你自己了。每当有不明的程序想要进入系统,或者连出网络,防火墙都会在第一时间拦截,并检查身份,如果是经过你许可放行的(比如在应用规则设置中你允许了某一个程序连接网络) ,则防火墙会放行该程序所发出的所有数据包,如果检测到这个程序并没有被许可放行,则自动报警,并发出提示是否允许这个程序放行,这时候就需要你这个“最高统帅”做出判断了。一般来说,自己没有运行或者不太了解的程序,我们一律阻拦,并通过搜索引擎或者防火墙的提示确认该软件的性质。 写到这里,大家估计对杀毒软件和防火墙的区别有一定了解了,举个直观的例子:你的系统就好比一座城堡,你是这个城堡的最高统帅,杀毒软件和防火墙是
