局域网环境下若干安全问题及对策(11)

　　6.1 划分VLAN 防止网络侦听 
　　运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，防止大部分基于网络侦听的入侵。目前的VLAN技术主要有三种：基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活，但却比较成熟，在实际应用中效果显著，广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性，但同时也潜藏着遭受MAC欺诈攻击的隐患。 
　　6.2 网络分段 
　　局域网大多采用以广播为基础的以太网，任何两个节点之间的通信数据包，不仅为这两个节点的网卡所接收，也同时为处在同一以太网上的任何一个节点的网卡所截取。因此，黑客只要接入以太网上的任一节点进行侦听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息，这就是以太网所固有的安全隐患。网络分段就是将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。所以网络分段是保证局域网安全的一项重要措施。 
　　6.3 以交换式集线器代替共享式集线器 
　　对局域网的中心交换机进行网络分段后，以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包（称为单播包Unicast Packet）还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是:用户TELNET到一台主机上，由于TELNET程序本身缺乏加密功能，用户所键入的每一个字符（包括用户名、密码等重要信息），都将被明文发送，这就给黑客提供了机会。因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法侦听。当然，交换式集线器只能控制单播包而无法控制广播包（Broadcast Packet）和多播包（Multicast Packet）。所幸的是，广播包和多播包内的关键信息，要远远少于单播包。 
　　6.4 实施IP/MAC 绑定 
　　很多网关软件实施流量过滤时都是基于IP或MAC地址，对控制普通用户起到了很好的效果，但对于高级用户就显得无能为力了，因为不管是IP或是MAC地址都可以随意修改。要实施基于IP或MAC地址过滤的访问控制，就必须进行IP/MAC地址的绑定，禁止用户对IP或MAC的修改。首先通过交换机实施用户与交换机端口的MAC绑定，再通过服务器网络管理实施IP/MAC绑定，这样用户既不能改网卡的MAC地址，也不能改IP地址。通过IP/MAC绑定后，再实施流量过滤就显得有效多了。 
　　7.总结 
　　网络安全技术和病毒防护是一个涉及多方面的系统工程，在实际工作中既需要综合运用以上方法，还要将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，又需要规范和创建必要的安全管理模式、规章制度来约束人们的行为。因此，局域网安全不是一个单纯的技术问题，它涉及整个网络安全系统，包括防范技术、规范管理等多方面因素。只要我们正视网络的脆弱性和潜在威胁，不断健全网络的相关法规，提高网络安全防范的技术是否被授权，从而阻止对信息资源的非法用户使用网络系统时所进行的所有活动的水平，才能有力地保障网络安全。 


　　[①].高传善，钱松荣.专注.数据通信与计算机网络[M].高等教育出版社,2001:8-9 
　　[②].邓亚平. 计算机网络安全[M].人民邮电出版社, 2004:1-10. 
　　[③].李成大,张京.计算机信息安全[M].人民邮电出版社，2004:72-117