局域网安全的基本常识介绍

这篇具有很好参考价值的文章主要介绍了局域网安全的基本常识介绍。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

局域网安全的基本常识介绍,编程语言,网络协议,安全,网络,服务器

转自:微点阅读  https://www.weidianyuedu.com

目前的局域网基本上都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。那么关于局域网安全我们需要连接哪些知识呢,下面小编就为大家介绍一下,一起来看看吧!

  目前的局域网基本上都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐患。

  事实上,Internet上许多免费的黑客工具,如SATAN、ISS、NETCAT等等,都把以太网侦听作为其最基本的手段。  

   当前,局域网安全的解决办法有以下几种:

  1.网络分段

  网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段可分为物理分段和逻辑分段两种方式。

  目前,海关的局域网大多采用以交换机为中心、路由器为边界的网络格局,应重点挖掘中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制。例如:在海关系统中普遍使用的DEC MultiSwitch 900的入侵检测功能,其实就是一种基于MAC地址的访问控制,也就是上述的基于数据链路层的物理分段。

  2.以交换式集线器代替共享式集线器

  对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是:用户TELNET到一台主机上,由于TELNET程序本身缺乏加密功能,用户所键入的每一个字符(包括用户名、密码等重要信息),都将被明文发送,这就给黑客提供了机会。   因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。当然,交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包(Multicast Packet)。所幸的是,广播包和多播包内的关键信息,要远远少于单播包。

  3.VLAN的划分

  为了克服以太网的广播问题,除了上述方法外,还可以运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。

  目前的VLAN技术主要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN,理论上非常理想,但实际应用却尚不成熟。

  在集中式网络环境下,我们通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。

  VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。目前,大多数的交换机(包括海关内部普遍采用的DEC MultiSwitch 900)都支持RIP和OSPF这两种国际标准的路由协议。如果有特殊需要,必须使用其他路由协议(如CISCO公司的EIGRP或支持DECnet的IS-IS),也可以用外接的多以太网口路由器来代替交换机,实现VLAN之间的路由功能。当然,这种情况下,路由转发的效率会有所下降。

  无论是交换式集线器还是VLAN交换机,都是以交换技术为核心,它们在控制广播、防止黑客上相当有效,但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此,如果局域网内存在这样的入侵监控设备或协议分析设备,就必须选用特殊的带有SPAN(Switch Port Analyzer)功能的交换机。这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上,提供给接在这一端口上的入侵监控设备或协议分析设备。笔者在厦门海关外部网设计中,就选用了Cisco公司的具备SPAN功能的Catalyst系列交换机,既得到了交换技术的好处,又使原有的Sniffer协议分析仪“英雄有用武之地”。

  广域网安全

  由于广域网大多采用公网来进行数据传输,信息在广域网上传输时被截取和利用的可能性就比局域网要大得多。如果没有专用的软件对数据进行控制,只要使用Internet上免费下载的“包检测”工具软件,就可以很容易地对通信数据进行截取和破译。

  因此,必须采取手段,使得在广域网上发送和接收信息时能够保证:

  ①除了发送方和接收方外,其他人是无法知悉的(隐私性);

  ②传输过程中不被篡改(真实性);

  ③发送方能确知接收方不是假冒的(非伪装性);

  ④发送方不能否认自己的发送行为(不可抵赖性)。

  为了达到以上安全目的,广域网通常采用以下安全解决办法:

  1.加密技术

  加密型网络安全技术的基本思想是不依赖于网络中数据通道的安全性来实现网络系统的安全,而是通过对网络数据的加密来保障网络的安全可靠性。数据加密技术可以分为三类,即对称型加密、不对称型加密和不可逆加密。

  其中不可逆加密算法不存在密钥保管和分发问题,适用于分布式网络系统,但是其加密计算量相当可观,所以通常用于数据量有限的情形下使用。计算机系统中的口令就是利用不可逆加密算法加密的。近年来,随着计算机系统性能的不断提高,不可逆加密算法的应用逐渐增加,常用的如RSA公司的MD5和美国国家标准局的SHS。在海关系统中广泛使用的Cisco路由器,有两种口令加密方式:Enable Secret和Enable Password。其中,Enable Secret就采用了MD5不可逆加密算法,因而目前尚未发现破解方法(除非使用字典攻击法)。而Enable Password则采用了非常脆弱的加密算法(即简单地将口令与一个常数进行XOR与或运算),目前至少已有两种破解软件。因此,最好不用Enable Password。

  2.VPN技术

  VPN(虚拟专网)技术的核心是采用隧道技术,将企业专网的数据加密封装后,透过虚拟的公网隧道进行传输,从而防止敏感数据的被窃。VPN可以在Internet、服务提供商的IP、帧中继或ATM网上建立。企业通过公网建立VPN,就如同通过自己的专用网建立内部网一样,享有较高的安全性、优先性、可靠性和可管理性,而其建立周期、投入资金和维护费用却大大降低,同时还为移动计算提供了可能。因此,VPN技术一经推出,便红遍全球。

  但应该指出的是,目前VPN技术的许多核心协议,如L2TP、IPSec等,都还未形成通用标准。这就使得不同的VPN服务提供商之间、VPN设备之间的互操作性成为问题。因此,企业在VPN建网选型时,一定要慎重选择VPN服务提供商和VPN设备。

  3.身份认证技术

  对于从外部拨号访问总部内部网的用户,由于使用公共电话网进行数据传输所带来的风险,必须更加严格控制其安全性。一种常见的做法是采用身份认证技术,对拨号用户的身份进行验证并记录完备的登录日志。较常用的身份认证技术,有Cisco公司提出的TACACS+以及业界标准的RADIUS。笔者在厦门海关外部网设计中,就选用了Cisco公司的CiscoSecure ACS V2.3软件进行RADIUS身份认证。文章来源地址https://www.toymoban.com/news/detail-809255.html

到了这里,关于局域网安全的基本常识介绍的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 局域网搭建https 安全证书

    本地录屏功能要求必须使用https访问,导致本来是内网的应用,必须使用https访问,无奈。 因此使用最简单的https ca安全证书搭建,记录如下。 Linux下生成HTTPS证书申请与颁发方法: (1)生成HTTPS证书,可以使用openssl生成服务器RSA密钥及证书,生成的命令如下: openssl genrsa -des3

    2024年02月16日
    浏览(43)
  • 局域网安全-DHCP欺骗实验

    1.构建网络拓扑结构图 2.路由器配置 3.DHCP服务器配置 4.域名服务器配置 5.web服务器配置 6.配置路由器R0 7.配置路由器R1 8.PC自动获取ip信息 9.修改web服务器主页 10.PC访问web服务器 11.构建伪造web服务器 12.构建伪造DHCP服务器 13.构建伪造DNS服务器 14.PC重新获得网络信息 15.PC访问web服

    2024年01月25日
    浏览(39)
  • 无线局域网标准802.11标准的介绍

    IEEE 802.11是IEEE最初制定的一个无线局域网标准,主要用于解决办公室局域网和校园网中,用户与用户终端的无线接入,业务主要限于数据存取,速率最高只能达到2Mbps。由于802.11在速率和传输距离上都不能满足人们的需要,因此,IEEE小组又相继推出了802.11b和802.11a两个新标准

    2024年02月05日
    浏览(46)
  • 水星路由局域网安全的设置方法

    对于一个局域网来说,是会经常遇到来自外网的病毒攻击,所以我们在设置局域网时,必须考虑到其安全性,在设置路由器时,打开防御恶意攻击的功能,以达到保障局域网安全的目的,本文以水星路由器为例,给大家详细介绍一下。   一般情况下,攻击发生在应用层,主要

    2024年02月05日
    浏览(38)
  • 如何在局域网内抢带宽的图文方法介绍

    事情的起因是最近家里买了一台60寸的智能电视,支持点播(VOD)功能,家里的网络带宽理论上只有4M,在播放的时候,就会占用大量网络带宽,导致我同时上网浏览网页都很困难。 有没有办法给限制局域网内某台主机的流量?首先,还是得从TCP的原理说起。 TCP拥塞控制 TC

    2024年02月05日
    浏览(40)
  • 局域网安全的https协议解决方案

    我们在有域名、有公网ip的情况下通常直接在域名管理中可以申请ssl证书,利用nginx可以做到安全的https协议,有时候我们需要将局域网内的服务地址也要做成https协议,如果直接利用nginx转发443端口,访问时会告警,提示不安全的地址,需要手动点一下才能进入网站,非常不方

    2024年02月14日
    浏览(35)
  • WLAN无线局域网安全防护技巧总结

    无线局域网WLAN安全防护浅析无线局域网的安全技术在不断地发展,研究人员正在将各种已有的和新出现的安全技术尝试应用于WLAN环境,力求找到安全高效的解决方案。 无论是WEP、WPA还是WAPI与802.11i,想必都不能单独解决无线局域网的安全问题,如何与现有的安全技术结合应

    2024年02月06日
    浏览(31)
  • LAN是什么意思?LAN局域网基础知识介绍

    LAN是Local Area Network的简称,中文名称:局域网。从功能上来讲,由一台以上的路由器或者交换机,与多台计算机联网组成的网络,或者直接两台或者两台以上的计算机组成的网络。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真

    2024年02月08日
    浏览(44)
  • 好用、可靠有安全的企业局域网文件传输工具

    在当今商业环境中,企业对于快速、安全的局域网(LAN)文件传输解决方案的需求不断攀升。选择恰当的工具对提升工作效率和保障数据安全至关重要,同时还能降低潜在的信息泄露风险。以下是企业在挑选局域网文件传输解决方案时应考虑的关键因素及其重要性的详细说明。

    2024年04月23日
    浏览(38)
  • 局域网https安全证书解决方案mkcert

    mkcert简介 mkcert是一个简单的工具,用于生成本地可信的开发证书,它不需要配置,极简生成证书。用go语言开发,有跨平台,多平台生成证书。 mkcert会自动在系统根存储中创建和安装本地CA,并生成本地受信任的证书。 mkcert下载 官方下载地址:mkcert包 windows下载 目前的版本

    2024年02月11日
    浏览(34)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包