計(jì)算機(jī)畢業(yè)論文--局域網(wǎng)安全策略研究

1、<p><b>　　畢業(yè)設(shè)計(jì)（論文）</b></p><p>　　題目 局域網(wǎng)安全策略研究 </p><p>　　系 名： 信息工程系 </p><p>　　專 業(yè)： 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù) </p><p>　　班 級(jí)： 網(wǎng)絡(luò)08

2、-1 </p><p>　　學(xué) 號(hào)： </p><p>　　姓 名： </p><p>　　指導(dǎo)教師： </p><p>　　完成日期： 2011年5月 </

3、p><p><b>　　目 錄</b></p><p>　　摘要 1 </p><p><b>　　第一章 概述1</b></p><p>&l

4、t;b>　　1.1 局域網(wǎng)1</b></p><p>　　1.2無(wú)線局域網(wǎng)1</p><p>　　1.3威脅局域網(wǎng)信息系統(tǒng)的因素2</p><p>　　1.3.1 硬件因素2</p><p>　　1.3.2 軟件因素3</p><p>　　1.3.3 計(jì)算機(jī)病毒3</p>&

5、lt;p>　　1.3.4 管理因素3</p><p>　　1.3.5 設(shè)備運(yùn)行環(huán)境3</p><p>　　第二章 網(wǎng)絡(luò)安全4</p><p>　　2.1 網(wǎng)絡(luò)安全的定義4</p><p>　　2.2 主要特性5</p><p>　　2.3 它與網(wǎng)絡(luò)性能和功能的關(guān)系5</p><

6、p>　　2.4 網(wǎng)絡(luò)安全分析6</p><p>　　2.4.1 物理安全分析6</p><p>　　2.4.2 網(wǎng)絡(luò)結(jié)構(gòu)的安全分析6</p><p>　　2.4.3 系統(tǒng)的安全分析6</p><p>　　2.4.4 應(yīng)用系統(tǒng)的安全分析7</p><p>　　2.4.5 管理的安全風(fēng)險(xiǎn)分析7</p

7、><p>　　第三章 局域網(wǎng)安全策略9</p><p>　　3.1 網(wǎng)絡(luò)安全對(duì)策9</p><p>　　3.1.1 強(qiáng)化網(wǎng)絡(luò)安全意識(shí)9</p><p>　　3.1.2 加強(qiáng)制度建設(shè)9</p><p>　　3.2 局域網(wǎng)病毒與ARP攻擊10</p><p>　　3.2.1 局域網(wǎng)病毒特點(diǎn)

8、10</p><p>　　3.2.2 ARP攻擊對(duì)網(wǎng)絡(luò)的影響11</p><p>　　3.2.3 局域網(wǎng)病毒的防范12</p><p>　　3.3 局域網(wǎng)面對(duì)攻擊的安全策略13</p><p>　　3.3.1 包過(guò)濾13</p><p>　　3.3.2 防火墻15</p><p>　　

9、3.4 局域網(wǎng)安全十大策略17</p><p>　　3.4.1 注意內(nèi)網(wǎng)安全與網(wǎng)絡(luò)邊界安全的不同17</p><p>　　3.4.2 限制VPN的訪問(wèn)17</p><p>　　3.4.3 為合作企業(yè)網(wǎng)建立內(nèi)網(wǎng)型的邊界防護(hù)17</p><p>　　3.4.4 自動(dòng)跟蹤的安全策略18</p><p>　　3.4.

10、5 關(guān)掉無(wú)用的網(wǎng)絡(luò)服務(wù)器18</p><p>　　3.4.6 首先保護(hù)重要資源18</p><p>　　3.4.7 建立可靠的無(wú)線訪問(wèn)18</p><p>　　3.4.8 建立安全過(guò)客訪問(wèn)18</p><p>　　3.4.9 創(chuàng)建虛擬邊界防護(hù)19</p><p>　　3.4.10 可靠的安全決策19<

11、/p><p>　　第四章 無(wú)線局域網(wǎng)安全策略設(shè)置20</p><p>　　4.1 如何安全部署無(wú)線局域網(wǎng)？20</p><p>　　4.1.1 定義用戶基礎(chǔ)20</p><p>　　4.1.2 確定適當(dāng)?shù)挠猛?0</p><p>　　4.1.3 準(zhǔn)備安全安裝20</p><p>　　4.

12、1.4 確定有效的安全設(shè)置20</p><p>　　4.1.5 為設(shè)備和數(shù)據(jù)丟失設(shè)計(jì)恢復(fù)計(jì)劃21</p><p>　　4.1.6 對(duì)員工和用戶安排適當(dāng)?shù)呐嘤?xùn)21</p><p>　　4.1.7 為網(wǎng)絡(luò)管理和監(jiān)控提供指導(dǎo)方針21</p><p>　　4.2 如何加固已安裝無(wú)線局域網(wǎng)安全？21</p><p>　

13、　4.2.1 修改管理員密碼和用戶名21</p><p>　　4.2.2 升級(jí)wifi加密22</p><p>　　4.2.3 修改默認(rèn)系統(tǒng)ID22</p><p>　　4.2.4 MAC地址過(guò)濾23</p><p>　　4.2.5 禁止網(wǎng)絡(luò)廣播23</p><p>　　4.2.6 對(duì)開(kāi)放wifi網(wǎng)絡(luò)的自動(dòng)連

14、接?23</p><p>　　4.2.7 使用內(nèi)置防火墻24</p><p>　　4.2.8 路由器或訪問(wèn)點(diǎn)的配置24</p><p>　　4.2.9 什么時(shí)候關(guān)閉網(wǎng)絡(luò)?25</p><p>　　4.2.10 通過(guò)安全測(cè)試提升有效性25</p><p><b>　　第五章 總結(jié)26</b&g

15、t;</p><p>　　5.1 物理方面26</p><p>　　5.2 軟件方面26</p><p>　　5.3 設(shè)備方面27</p><p>　　5.4 互聯(lián)網(wǎng)方面27</p><p><b>　　小結(jié)29</b></p><p><b>　　致謝

16、30</b></p><p><b>　　參考資料31</b></p><p><b>　　摘 要</b></p><p>　　隨著信息社會(huì)的到來(lái)，作為基礎(chǔ)設(shè)施的局域網(wǎng)絡(luò)部署越來(lái)越廣泛，但由于計(jì)算機(jī)信息的共享及網(wǎng)絡(luò)特有的開(kāi)放性，在局域網(wǎng)絡(luò)發(fā)展的同時(shí)，伴之而來(lái)的信息安全威脅在不斷增加，局域網(wǎng)絡(luò)的安全性也正

17、引起人們的重視。</p><p>　　本文通過(guò)分析目前威脅網(wǎng)絡(luò)安全的種種手段為切入點(diǎn)，側(cè)重分析如何使用計(jì)算機(jī)自帶工具與軟件以及人為的操作來(lái)做好網(wǎng)絡(luò)安全策略。最后，通過(guò)分析影響局域網(wǎng)的安全的因數(shù)，總結(jié)一套完整的安全防范策略致力于引導(dǎo)幫助大眾做好局域網(wǎng)的安全防范。</p><p><b>　　關(guān)鍵詞：</b></p><p>　　局域網(wǎng)；無(wú)線局域網(wǎng)

18、；網(wǎng)絡(luò)安全；防火墻；安全策略</p><p><b>　　第一章 概述</b></p><p><b>　　1.1 局域網(wǎng)</b></p><p><b>　　局域網(wǎng)</b></p><p>　　局域網(wǎng)(Local Area Network)是在一個(gè)局部的地理范圍內(nèi)(如一個(gè)學(xué)校

19、、工廠和機(jī)關(guān)內(nèi))，將各種計(jì)算機(jī)、外部設(shè)備和數(shù)據(jù)庫(kù)等互相聯(lián)接起來(lái)組成的計(jì)算機(jī)通信網(wǎng)。它可以通過(guò)數(shù)據(jù)通信網(wǎng)或?qū)Ｓ脭?shù)據(jù)電路，與遠(yuǎn)方的局域網(wǎng)、數(shù)據(jù)庫(kù)或處理中心相連接，構(gòu)成一個(gè)大范圍的信息處理系統(tǒng)。局域網(wǎng)可以實(shí)現(xiàn)文件管理、應(yīng)用軟件共享、打印機(jī)共享、掃描儀共享、工作組內(nèi)的日程安排、電子郵件和傳真通信服務(wù)等功能。局域網(wǎng)是封閉型的，可以由辦公室內(nèi)的兩臺(tái)計(jì)算機(jī)組成，也可以由一個(gè)公司內(nèi)的上千臺(tái)計(jì)算機(jī)組成。圖1-1即為局域網(wǎng)示意圖： </p>

20、<p>　　圖1-1 局域網(wǎng)示意圖</p><p><b>　　1.2無(wú)線局域網(wǎng)</b></p><p>　　計(jì)算機(jī)局域網(wǎng)是把分布在數(shù)公里范圍內(nèi)的不同物理位置的計(jì)算機(jī)設(shè)備連在一起，在網(wǎng)絡(luò)軟件的支持下可以相互通訊和資源共享的網(wǎng)絡(luò)系統(tǒng)。通常計(jì)算機(jī)組網(wǎng)的傳輸媒介主要依賴銅纜或光纜，構(gòu)成有線局域網(wǎng)。但有線網(wǎng)絡(luò)在某些場(chǎng)合要受到布線的限制：布線、改線工程量大；線路容易損

21、壞；網(wǎng)中的各節(jié)點(diǎn)不可移動(dòng)。特別是當(dāng)要把相離較遠(yuǎn)的節(jié)點(diǎn)聯(lián)結(jié)起來(lái)時(shí)，敷設(shè)專用通訊線路布線施工難度之大，費(fèi)用、耗時(shí)之多，實(shí)是令人生畏。這些問(wèn)題都對(duì)正在迅速擴(kuò)大的聯(lián)網(wǎng)需求形成了嚴(yán)重的瓶頸阻塞，限制了用戶聯(lián)網(wǎng)。WLAN就是解決有線網(wǎng)絡(luò)以上問(wèn)題而出現(xiàn)的。WLAN利用電磁波在空氣中發(fā)送和接受數(shù)據(jù)，而無(wú)需線纜介質(zhì)。WLAN的數(shù)據(jù)傳輸速率現(xiàn)在已經(jīng)能夠達(dá)到11Mbps，傳輸距離可遠(yuǎn)至20km以上。無(wú)線聯(lián)網(wǎng)方式是對(duì)有線聯(lián)網(wǎng)方式的一種補(bǔ)充和擴(kuò)展，使網(wǎng)上的計(jì)算機(jī)

22、具有可移動(dòng)性，能快速、方便的解決以有線方式不易實(shí)現(xiàn)的網(wǎng)絡(luò)聯(lián)通問(wèn)題。 如圖1-2所示：</p><p>　　圖1-2 無(wú)線局域網(wǎng)示意圖</p><p>　　1.3威脅局域網(wǎng)信息系統(tǒng)的因素</p><p>　　由于網(wǎng)絡(luò)資源的可共享性和網(wǎng)絡(luò)協(xié)議標(biāo)準(zhǔn)的開(kāi)放性，致使計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)存在著諸多安全隱患。威脅網(wǎng)絡(luò)安全的因素主要包括硬件、軟件、病毒、管理、設(shè)備運(yùn)行環(huán)境及管理因素等

23、幾個(gè)方面。</p><p>　　1.3.1 硬件因素</p><p>　　網(wǎng)絡(luò)系統(tǒng)的硬件因素主要有三個(gè)方面：①用于數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)交換設(shè)備配置是否合理。用于提供各項(xiàng)服務(wù)和數(shù)據(jù)存儲(chǔ)的服務(wù)器質(zhì)量是否有保證；②底層線路的穩(wěn)定性，是否存在接觸隱患、磨損、老化等問(wèn)題、底層交換路由設(shè)備的穩(wěn)定性或線路故障容易導(dǎo)致系統(tǒng)整體的可靠性和穩(wěn)定性的下降；③局域網(wǎng)內(nèi)各類服務(wù)器提供服務(wù)種類較多，也使得網(wǎng)絡(luò)系統(tǒng)安全性存在

24、諸多的隱患。此外存儲(chǔ)磁盤(pán)陣列中的硬盤(pán)是計(jì)算機(jī)存儲(chǔ)的關(guān)鍵部件，隨著存儲(chǔ)密度和訪問(wèn)量的增加，硬盤(pán)損壞幾率明顯增加，容易造成數(shù)據(jù)丟失的嚴(yán)重后果。</p><p>　　1.3.2 軟件因素</p><p>　　軟件因素包括操作系統(tǒng)軟件和應(yīng)用軟件兩個(gè)方面。軟件本身的漏洞導(dǎo)致系統(tǒng)容易遭到計(jì)算機(jī)病毒或人為因素的破壞。高校現(xiàn)有的各類管理系統(tǒng)中存在的一些漏洞，黑客可以對(duì)保護(hù)措施進(jìn)行“反向工程”，發(fā)現(xiàn)缺陷對(duì)其

25、進(jìn)行攻擊后就會(huì)造成數(shù)據(jù)丟失。保密性喪失，造成不能訪問(wèn)和系統(tǒng)癱瘓等一系列安全問(wèn)題。</p><p>　　1.3.3 計(jì)算機(jī)病毒</p><p>　　計(jì)算機(jī)病毒是指“編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”(《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》)。計(jì)算機(jī)病毒以極強(qiáng)的傳染力傳播、擴(kuò)散有害信息，一旦發(fā)作，就會(huì)破壞系

26、統(tǒng)和數(shù)據(jù)，造成嚴(yán)重?fù)p失和不良后果。</p><p>　　1.3.4 管理因素</p><p>　　管理因素主要包括網(wǎng)絡(luò)安全管理意識(shí)是否強(qiáng)化、制度是否健全、分工是否明確、督促檢查措施是否得力、經(jīng)費(fèi)是否充足等。主要問(wèn)題如：專業(yè)安全意識(shí)不強(qiáng)，缺乏嚴(yán)格的管理制度，專業(yè)人員缺乏，隊(duì)伍建設(shè)滯后等。若管理存在問(wèn)題，缺乏力度，漏洞較多，網(wǎng)絡(luò)系統(tǒng)安全將缺乏很好地保障。</p><p>

27、;　　該因素是對(duì)網(wǎng)絡(luò)安全影響最大、最不確定的因素。根據(jù)其動(dòng)機(jī)與性質(zhì)可分為兩類：其一是無(wú)意行為，主要是操作人員因?qū)I(yè)素質(zhì)或操作能力較低或是不夠熟練，在使用過(guò)程中操作失誤而造成的系統(tǒng)故障；其二為故意行為。主要是某些網(wǎng)絡(luò)黑客的蓄意攻擊而造成的系統(tǒng)故障。其危害主要是竊取數(shù)據(jù)、惡意破壞和非法使用網(wǎng)絡(luò)資源等。</p><p>　　1.3.5 設(shè)備運(yùn)行環(huán)境</p><p>　　環(huán)境因素包括中心機(jī)房布局是

28、否合理．網(wǎng)絡(luò)中心機(jī)房和網(wǎng)絡(luò)設(shè)備的環(huán)境是否符合范要求，尤其是對(duì)中心機(jī)房的要求更加嚴(yán)格。網(wǎng)絡(luò)服務(wù)器對(duì)運(yùn)行環(huán)境及負(fù)荷都有嚴(yán)格的要求。如果環(huán)境條件差，或者超負(fù)荷工作，都會(huì)使得故障發(fā)生頻率增加。</p><p>　　第二章 網(wǎng)絡(luò)安全</p><p>　　2.1 網(wǎng)絡(luò)安全的定義</p><p>　　網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意

29、的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。 網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全。從廣義來(lái)說(shuō)，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全是一門(mén)涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。</p><p>　　網(wǎng)絡(luò)安全的具體含義會(huì)隨著“角度”的變化而變化

30、。比如：從用戶（個(gè)人、企業(yè)等）的角度來(lái)說(shuō)，他們希望涉及個(gè)人隱私或商業(yè)利益的信息在網(wǎng)絡(luò)上傳輸時(shí)受到機(jī)密性、完整性和真實(shí)性的保護(hù)，避免其他人或?qū)κ掷酶`聽(tīng)、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私。從網(wǎng)絡(luò)運(yùn)行和管理者角度說(shuō)，他們希望對(duì)本地網(wǎng)絡(luò)信息的訪問(wèn)、讀寫(xiě)等操作受到保護(hù)和控制，避免出現(xiàn)“陷門(mén)”、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等威脅，制止和防御網(wǎng)絡(luò)黑客的攻擊。對(duì)安全保密部門(mén)來(lái)說(shuō)，他們希望對(duì)非法的、有害的或涉及國(guó)家機(jī)密

31、的信息進(jìn)行過(guò)濾和防堵，避免機(jī)要信息泄露，避免對(duì)社會(huì)產(chǎn)生危害，對(duì)國(guó)家造成巨大損失。從社會(huì)教育和意識(shí)形態(tài)角度來(lái)講，網(wǎng)絡(luò)上不健康的內(nèi)容，會(huì)對(duì)社會(huì)的穩(wěn)定和人類的發(fā)展造成阻礙，必須對(duì)其進(jìn)行控制。 </p><p>　　隨著計(jì)算機(jī)技術(shù)的迅速發(fā)展，在計(jì)算機(jī)上處理的業(yè)務(wù)也由基于單機(jī)的數(shù)學(xué)運(yùn)算、文件處理，基于簡(jiǎn)單連接的內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務(wù)處理、辦公自動(dòng)化等發(fā)展到基于復(fù)雜的內(nèi)部網(wǎng)（Intranet）、企業(yè)外部網(wǎng)（Extranet）、全

32、球互聯(lián)網(wǎng)（Internet）的企業(yè)級(jí)計(jì)算機(jī)處理系統(tǒng)和世界范圍內(nèi)的信息共享和業(yè)務(wù)處理。在系統(tǒng)處理能力提高的同時(shí)，系統(tǒng)的連接能力也在不斷的提高。但在連接能力信息、流通能力提高的同時(shí)，基于網(wǎng)絡(luò)連接的安全問(wèn)題也日益突出，整體的網(wǎng)絡(luò)安全主要表現(xiàn)在以下幾個(gè)方面：網(wǎng)絡(luò)的物理安全、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全、網(wǎng)絡(luò)系統(tǒng)安全、應(yīng)用系統(tǒng)安全和網(wǎng)絡(luò)管理的安全等。 </p><p>　　因此計(jì)算機(jī)安全問(wèn)題，應(yīng)該像每家每戶的防火防盜問(wèn)題一樣，做到防范

33、于未然。甚至不會(huì)想到你自己也會(huì)成為目標(biāo)的時(shí)候，威脅就已經(jīng)出現(xiàn)了，一旦發(fā)生，常常措手不及，造成極大的損失。</p><p><b>　　2.2 主要特性</b></p><p>　　網(wǎng)絡(luò)安全應(yīng)具有以下五個(gè)方面的特征： </p><p>　　保密性：信息不泄露給非授權(quán)用戶、實(shí)體或過(guò)程，或供其利用的特性。 </p><p>　

34、　完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在存儲(chǔ)或傳輸過(guò)程中保持不被修改、不被破壞和丟失的特性。 </p><p>　　可用性：可被授權(quán)實(shí)體訪問(wèn)并按需求使用的特性。即當(dāng)需要時(shí)能否存取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊； </p><p>　　可控性：對(duì)信息的傳播及內(nèi)容具有控制能力。 </p><p>　　可審

35、查性：出現(xiàn)的安全問(wèn)題時(shí)提供依據(jù)與手段。</p><p>　　2.3 它與網(wǎng)絡(luò)性能和功能的關(guān)系</p><p>　　通常，系統(tǒng)安全與性能和功能是一對(duì)矛盾的關(guān)系。如果某個(gè)系統(tǒng)不向外界提供任何服務(wù)（斷開(kāi)），外界是不可能構(gòu)成安全威脅的。但是，企業(yè)接入國(guó)際互連網(wǎng)絡(luò)，提供網(wǎng)上商店和電子商務(wù)等服務(wù)，等于將一個(gè)內(nèi)部封閉的網(wǎng)絡(luò)建成了一個(gè)開(kāi)放的網(wǎng)絡(luò)環(huán)境，各種安全包括系統(tǒng)級(jí)的安全問(wèn)題也隨之產(chǎn)生。 </p&

36、gt;<p>　　構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)，一方面由于要進(jìn)行認(rèn)證、加密、監(jiān)聽(tīng)，分析、記錄等工作，由此影響網(wǎng)絡(luò)效率，并且降低客戶應(yīng)用的靈活性；另一方面也增加了管理費(fèi)用。 </p><p>　　但是，來(lái)自網(wǎng)絡(luò)的安全威脅是實(shí)際存在的，特別是在網(wǎng)絡(luò)上運(yùn)行關(guān)鍵業(yè)務(wù)時(shí)，網(wǎng)絡(luò)安全是首先要解決的問(wèn)題。 </p><p>　　選擇適當(dāng)?shù)募夹g(shù)和產(chǎn)品，制訂靈活的網(wǎng)絡(luò)安全策略，在保證網(wǎng)絡(luò)安全的情況下，提供靈

37、活的網(wǎng)絡(luò)服務(wù)通道。采用適當(dāng)?shù)陌踩w系設(shè)計(jì)和管理計(jì)劃，能夠有效降低網(wǎng)絡(luò)安全對(duì)網(wǎng)絡(luò)性能的影響并降低管理費(fèi)用。 </p><p>　　2.4 網(wǎng)絡(luò)安全分析</p><p>　　2.4.1 物理安全分析</p><p>　　網(wǎng)絡(luò)的物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。在校園網(wǎng)工程建設(shè)中，由于網(wǎng)絡(luò)系統(tǒng)屬于弱電工程，耐壓值很低。因此，在網(wǎng)絡(luò)工程的設(shè)計(jì)和施工中，必須優(yōu)先考慮保護(hù)人和網(wǎng)

38、絡(luò)設(shè)備不受電、火災(zāi)和雷擊的侵害；考慮布線系統(tǒng)與照明電線、動(dòng)力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離；考慮布線系統(tǒng)和絕緣線、裸體線以及接地與焊接的安全；必須建設(shè)防雷系統(tǒng)，防雷系統(tǒng)不僅考慮建筑物防雷，還必須考慮計(jì)算機(jī)及其他弱電耐壓設(shè)備的防雷?？傮w來(lái)說(shuō)物理安全的風(fēng)險(xiǎn)主要有，地震、水災(zāi)、火災(zāi)等環(huán)境事故；電源故障；人為操作失誤或錯(cuò)誤；設(shè)備被盜、被毀；電磁干擾；線路截獲；高可用性的硬件；雙機(jī)多冗余的設(shè)計(jì)；機(jī)房環(huán)境及報(bào)警系統(tǒng)、安全意識(shí)等，因

39、此要盡量避免網(wǎng)絡(luò)的物理安全風(fēng)險(xiǎn)。 </p><p>　　2.4.2 網(wǎng)絡(luò)結(jié)構(gòu)的安全分析</p><p>　　網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)也直接影響到網(wǎng)絡(luò)系統(tǒng)的安全性。假如在外部和內(nèi)部網(wǎng)絡(luò)進(jìn)行通信時(shí)，內(nèi)部網(wǎng)絡(luò)的機(jī)器安全就會(huì)受到威脅，同時(shí)也影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過(guò)網(wǎng)絡(luò)傳播，還會(huì)影響到連上Internet/Intrant的其他的網(wǎng)絡(luò)；影響所及，還可能涉及法律、金融等安全敏感領(lǐng)域。因此，我們?cè)谠O(shè)計(jì)

40、時(shí)有必要將公開(kāi)服務(wù)器（WEB、DNS、EMAIL等）和外網(wǎng)及內(nèi)部其它業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行必要的隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時(shí)還要對(duì)外網(wǎng)的服務(wù)請(qǐng)求加以過(guò)濾，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機(jī)，其它的請(qǐng)求服務(wù)在到達(dá)主機(jī)之前就應(yīng)該遭到拒絕。 </p><p>　　2.4.3 系統(tǒng)的安全分析</p><p>　　所謂系統(tǒng)的安全是指整個(gè)網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺(tái)是否可靠且值得信任。目前恐怕沒(méi)有絕對(duì)安全的操

41、作系統(tǒng)可以選擇，無(wú)論是Microsfot 的Windows NT或者其它任何商用UNIX操作系統(tǒng)，其開(kāi)發(fā)廠商必然有其Back-Door。因此，我們可以得出如下結(jié)論：沒(méi)有完全安全的操作系統(tǒng)。不同的用戶應(yīng)從不同的方面對(duì)其網(wǎng)絡(luò)作詳盡的分析，選擇安全性盡可能高的操作系統(tǒng)。因此不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺(tái)，并對(duì)操作系統(tǒng)進(jìn)行安全配置。而且，必須加強(qiáng)登錄過(guò)程的認(rèn)證（特別是在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄

42、者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。 </p><p>　　2.4.4 應(yīng)用系統(tǒng)的安全分析</p><p>　　應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān)，它涉及面廣。應(yīng)用系統(tǒng)的安全是動(dòng)態(tài)的、不斷變化的。應(yīng)用的安全性也涉及到信息的安全性，它包括很多方面。 </p><p>　　——應(yīng)用系統(tǒng)的安全是動(dòng)態(tài)的、不斷變化的。 </p><p>　　應(yīng)

43、用的安全涉及方面很多，以目前Internet上應(yīng)用最為廣泛的E-mail系統(tǒng)來(lái)說(shuō)，其解決方案有sendmail、Netscape Messaging Server、SoftwareCom Post.Office、Lotus Notes、Exchange Server、SUN CIMS等不下二十多種。其安全手段涉及LDAP、DES、RSA等各種方式。應(yīng)用系統(tǒng)是不斷發(fā)展且應(yīng)用類型是不斷增加的。在應(yīng)用系統(tǒng)的安全性上，主要考慮盡可能建立安全的系

44、統(tǒng)平臺(tái)，而且通過(guò)專業(yè)的安全工具不斷發(fā)現(xiàn)漏洞，修補(bǔ)漏洞，提高系統(tǒng)的安全性。 </p><p>　　——應(yīng)用的安全性涉及到信息、數(shù)據(jù)的安全性。 </p><p>　　信息的安全性涉及到機(jī)密信息泄露、未經(jīng)授權(quán)的訪問(wèn)、 破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。在某些網(wǎng)絡(luò)系統(tǒng)中，涉及到很多機(jī)密信息，如果一些重要信息遭到竊取或破壞，它的經(jīng)濟(jì)、社會(huì)影響和政治影響將是很嚴(yán)重的。因此，對(duì)用戶使用計(jì)算機(jī)必須

45、進(jìn)行身份認(rèn)證，對(duì)于重要信息的通訊必須授權(quán)，傳輸必須加密。采用多層次的訪問(wèn)控制與權(quán)限控制手段，實(shí)現(xiàn)對(duì)數(shù)據(jù)的安全保護(hù)；采用加密技術(shù)，保證網(wǎng)上傳輸?shù)男畔ⅲòü芾韱T口令與帳戶、上傳信息等）的機(jī)密性與完整性。 </p><p>　　2.4.5 管理的安全風(fēng)險(xiǎn)分析</p><p>　　管理是網(wǎng)絡(luò)中安全最最重要的部分。責(zé)權(quán)不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊

46、行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)（如內(nèi)部人員的違規(guī)操作等），無(wú)法進(jìn)行實(shí)時(shí)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警。同時(shí)，當(dāng)事故發(fā)生后，也無(wú)法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對(duì)網(wǎng)絡(luò)的可控性與可審查性。這就要求我們必須對(duì)站點(diǎn)的訪問(wèn)活動(dòng)進(jìn)行多層次的記錄，及時(shí)發(fā)現(xiàn)非法入侵行為。 </p><p>　　建立全新網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案，因此，最可行的做法是制定健全的管理制度和嚴(yán)格管理相結(jié)合。保障網(wǎng)絡(luò)

47、的安全運(yùn)行，使其成為一個(gè)具有良好的安全性、可擴(kuò)充性和易管理性的信息網(wǎng)絡(luò)便成為了首要任務(wù)。一旦上述的安全隱患成為事實(shí)，所造成的對(duì)整個(gè)網(wǎng)絡(luò)的損失都是難以估計(jì)的。因此，網(wǎng)絡(luò)的安全建設(shè)是校園網(wǎng)建設(shè)過(guò)程中重要的一環(huán)。</p><p>　　第三章 局域網(wǎng)安全策略</p><p>　　如何有效的防范和清除計(jì)算機(jī)病毒？</p><p>　　隨著局域網(wǎng)絡(luò)系統(tǒng)的大量使用，針對(duì)網(wǎng)絡(luò)的病

48、毒種類日益增多，ARP攻擊現(xiàn)象十分突出，對(duì)網(wǎng)絡(luò)安全構(gòu)成極大的威脅。如何有效的防范和清除計(jì)算機(jī)病毒，是保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行所面臨的最大問(wèn)題。</p><p>　　近年來(lái)，隨著信息技術(shù)的不斷發(fā)展，由于局域網(wǎng)具有網(wǎng)絡(luò)資源共享等諸多優(yōu)點(diǎn)，在人們?nèi)粘５墓ぷ骱蜕钪邪缪葜絹?lái)越重要的角色，學(xué)校和辦公場(chǎng)所組建局域網(wǎng)的情況越來(lái)越多。但是，應(yīng)該看到，網(wǎng)絡(luò)在為人們提供便利的同時(shí)，針對(duì)局域網(wǎng)的病毒種類日益增多，其安全性面臨很大考

49、驗(yàn)，嚴(yán)重影響了人們正常的工作和生活，甚至可能造成無(wú)法挽回的后果，因此，如何預(yù)防計(jì)算機(jī)病毒，保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全性，是我們所面臨的一個(gè)非常重要課題。本文結(jié)合作者多年從事計(jì)算機(jī)網(wǎng)絡(luò)管理的經(jīng)驗(yàn)，對(duì)經(jīng)常危害局域網(wǎng)安全情況作一些分析，并提出了相應(yīng)的防范策略。</p><p>　　3.1 網(wǎng)絡(luò)安全對(duì)策</p><p>　　針對(duì)威脅網(wǎng)絡(luò)系統(tǒng)安全的種種因素．要把各項(xiàng)防范措施與策略結(jié)合起來(lái)，以防為主，做到制度

50、落實(shí)、管理到位、技術(shù)監(jiān)控等相結(jié)合。采取一系列管理手段和措施。對(duì)網(wǎng)絡(luò)安全進(jìn)行有效的防范與管理。</p><p>　　3.1.1 強(qiáng)化網(wǎng)絡(luò)安全意識(shí)</p><p>　　建立完善的網(wǎng)絡(luò)安全防范體系，必須首先加強(qiáng)網(wǎng)絡(luò)安全管理人員安全意識(shí)及其對(duì)網(wǎng)絡(luò)安全知識(shí)的學(xué)習(xí)，提高各級(jí)各類人員的網(wǎng)絡(luò)安全防范意識(shí)和網(wǎng)絡(luò)管理意識(shí)。通過(guò)網(wǎng)絡(luò)管理人員加強(qiáng)對(duì)計(jì)算機(jī)信息系統(tǒng)使用人員的計(jì)算機(jī)病毒防治教育，以提高安全防范意識(shí)。加

51、強(qiáng)對(duì)系統(tǒng)管理人員實(shí)行職業(yè)道德教育，不斷提高他們的事業(yè)心和責(zé)任感，盡可能的減少或避免安全隱患對(duì)網(wǎng)絡(luò)安全運(yùn)行造成威脅。</p><p>　　3.1.2 加強(qiáng)制度建設(shè)</p><p>　　計(jì)算機(jī)網(wǎng)絡(luò)的許多安全問(wèn)題出自于管理制度上的漏洞。因此，加強(qiáng)網(wǎng)絡(luò)安全管理的制度建設(shè)刻不容緩。網(wǎng)絡(luò)管理機(jī)構(gòu)應(yīng)制定完整的人員分工管理和培訓(xùn)制度、機(jī)房設(shè)備管理制度和軟件數(shù)據(jù)管理制度等，并嚴(yán)格執(zhí)行。</p>

52、<p>　　人員職責(zé)管理和培訓(xùn)制度工作人員應(yīng)職責(zé)明確，規(guī)范操作規(guī)程，并定期研討學(xué)習(xí)，這是網(wǎng)絡(luò)制度建設(shè)的前提。應(yīng)該考慮建立以主管館長(zhǎng)和技術(shù)部主任為核心的分級(jí)負(fù)責(zé)制，負(fù)責(zé)對(duì)整個(gè)系統(tǒng)和子系統(tǒng)的安全操作和維護(hù)，定期進(jìn)行網(wǎng)絡(luò)安全檢查和操作培訓(xùn)。</p><p>　　中心機(jī)房管理制度建立中心服務(wù)器的安全管理制度、磁介質(zhì)管理制度、外來(lái)移動(dòng)存儲(chǔ)設(shè)備使用制度、館內(nèi)硬件設(shè)備外借審批和監(jiān)測(cè)制度等。這些制度可以保證各種設(shè)備定

53、人、定位管理，做到使用有記錄、故障有登記、保養(yǎng)定期、及時(shí)維護(hù)。</p><p>　　軟件和數(shù)據(jù)管理制度包括對(duì)操作系統(tǒng)軟件、應(yīng)用軟件和工具軟件的管理制度，數(shù)據(jù)庫(kù)質(zhì)量控制和管理制度、口令保密制度和定期更換制度、技術(shù)檔案和有關(guān)資料存儲(chǔ)管理制度等。對(duì)系統(tǒng)數(shù)據(jù)庫(kù)每周進(jìn)行一次全面索引。以便修正那些因非法操作而被破壞的索引文件。</p><p>　　3.2 局域網(wǎng)病毒與ARP攻擊</p>

54、<p>　　3.2.1 局域網(wǎng)病毒特點(diǎn)</p><p>　　在局域網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)病毒除了具有可傳播性、可執(zhí)行性、破壞性、隱蔽性等計(jì)算機(jī)病毒的共性外，還具有一些新的特點(diǎn)：</p><p><b>　　a．病毒傳染速度快</b></p><p>　　在單機(jī)系統(tǒng)環(huán)境下，病毒主要通過(guò)移動(dòng)存儲(chǔ)設(shè)備從一臺(tái)計(jì)算機(jī)傳到另一臺(tái)計(jì)算機(jī)。 而在局域網(wǎng)絡(luò)環(huán)

55、境中，由于通過(guò)服務(wù)器把每一臺(tái)計(jì)算機(jī)連接，這不僅給病毒傳播提供了有效的通道，而且病毒傳播速度很快。在正常使用情況下，只要網(wǎng)絡(luò)中有一臺(tái)計(jì)算機(jī)存在病毒，通過(guò)網(wǎng)絡(luò)通訊設(shè)備迅速擴(kuò)散，可以在很短的時(shí)間內(nèi)，導(dǎo)致局域網(wǎng)內(nèi)計(jì)算機(jī)相互感染繁殖。</p><p>　　b．對(duì)網(wǎng)絡(luò)破壞程度大</p><p>　　如果局域網(wǎng)感染病毒，將直接影響到整個(gè)網(wǎng)絡(luò)系統(tǒng)的工作，輕則降低速度，影響工作效率，重則破壞服務(wù)器重要數(shù)據(jù)信

56、息，大量破壞計(jì)算機(jī)中的數(shù)據(jù)，導(dǎo)致整個(gè)網(wǎng)絡(luò)系統(tǒng)崩潰，毀壞人們長(zhǎng)期以來(lái)積累的工作成果，造成難以挽回的損失。對(duì)網(wǎng)絡(luò)中的計(jì)算機(jī)破壞程度相當(dāng)大。</p><p>　　c．網(wǎng)絡(luò)病毒不易清除</p><p>　　清除局域網(wǎng)中的計(jì)算機(jī)病毒，要比清除單機(jī)病毒復(fù)雜得多。如果單臺(tái)微機(jī)帶病毒，可以通過(guò)刪除帶病毒文件、低級(jí)格式化硬盤(pán)等措施，將病毒徹底清除。而在網(wǎng)絡(luò)環(huán)境中，只要有一臺(tái)計(jì)算機(jī)未能完全消除消毒，就可能使整

57、個(gè)網(wǎng)絡(luò)重新被病毒感染，即使剛剛完成清除工作的計(jì)算機(jī)，也很有可能立即被局域網(wǎng)中的另一臺(tái)帶病毒計(jì)算機(jī)所感染。</p><p>　　3.2.2 ARP攻擊對(duì)網(wǎng)絡(luò)的影響</p><p>　　ARP攻擊主要存在于局域網(wǎng)網(wǎng)絡(luò)中，對(duì)網(wǎng)絡(luò)安全危害極大。</p><p><b>　　a．ARP攻擊特點(diǎn)</b></p><p>　　ARP（

58、Address Resolution Protocol）是地址解析協(xié)議，是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。具體來(lái)說(shuō)，ARP就是將網(wǎng)絡(luò)層地址解析為數(shù)據(jù)連接層的MAC地址。如果你的計(jì)算機(jī)受到ARP攻擊，常常會(huì)出現(xiàn)這樣一些現(xiàn)象：屏幕上不斷彈出“本機(jī)的0-255段硬件地址與網(wǎng)絡(luò)中的0-255段地址沖突”的對(duì)話框，局域網(wǎng)速度明顯變慢，有時(shí)會(huì)突然掉線，但過(guò)一段時(shí)間后，網(wǎng)絡(luò)可能又恢復(fù)正常。</p><p><b>

59、;　　b．ARP攻擊原理</b></p><p>　　ARP攻擊就是通過(guò)偽造的IP地址和MAC地址，實(shí)現(xiàn)ARP欺騙，它能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信數(shù)據(jù)，使網(wǎng)絡(luò)系統(tǒng)傳輸發(fā)生阻塞。如果攻擊者持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包，就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)遭受攻擊或中斷?；贏RP協(xié)議的工作特性，黑客向?qū)Ψ接?jì)算機(jī)不斷發(fā)送有欺詐性質(zhì)的ARP數(shù)據(jù)包，數(shù)據(jù)包內(nèi)包含有與當(dāng)前設(shè)備重復(fù)的M

60、ac地址，使對(duì)方在回應(yīng)報(bào)文時(shí)，由于簡(jiǎn)單的地址重復(fù)錯(cuò)誤，導(dǎo)致不能進(jìn)行正常的網(wǎng)絡(luò)通信。</p><p>　　常見(jiàn)ARP攻擊對(duì)象有兩種，一是攻擊網(wǎng)絡(luò)網(wǎng)關(guān)，或偽造網(wǎng)關(guān)，然后廣播出去，讓大家都誤認(rèn)為它是網(wǎng)關(guān)，使得局域網(wǎng)中的用戶都不能上網(wǎng)，ping網(wǎng)關(guān)時(shí)斷時(shí)續(xù)，ping外網(wǎng)時(shí)更是糟糕，這就好像發(fā)送錯(cuò)誤的地址信息給郵遞員，使所有信件無(wú)法正常送達(dá)；二是攻擊局域網(wǎng)中的計(jì)算機(jī)，也就是一般用戶。通過(guò)偽造IP地址和MAC地址，讓一般用戶

61、把需要的信息傳送給發(fā)動(dòng)攻擊的計(jì)算機(jī)。</p><p>　　3.2.3 局域網(wǎng)病毒的防范</p><p>　　a．要防止網(wǎng)絡(luò)系統(tǒng)出現(xiàn)病毒，首先要切斷病毒傳播的途徑。</p><p>　　在局域網(wǎng)中，病毒主要通過(guò)移動(dòng)存儲(chǔ)器、電子郵件、瀏覽網(wǎng)頁(yè)、下載軟件等形式傳播。因此，我們?cè)谟?jì)算機(jī)上從事每一項(xiàng)操作時(shí)，都要考慮到是否會(huì)危及到系統(tǒng)的安全，保證傳輸數(shù)據(jù)的存儲(chǔ)設(shè)備沒(méi)有感染病毒。

62、 </p><p>　　b．安裝最新的防病毒軟件</p><p>　　由于操作系統(tǒng)本身未提供檢測(cè)或清除計(jì)算機(jī)病毒的軟件，所以，局域網(wǎng)應(yīng)安裝正版殺毒軟件，并且及時(shí)對(duì)版本進(jìn)行升級(jí)。同時(shí)，為了防止ARP攻擊，還應(yīng)安裝360安全衛(wèi)士等防護(hù)軟件，并且開(kāi)啟360安全衛(wèi)士“實(shí)時(shí)保護(hù)”中的“局域網(wǎng)ARP攻擊攔截”，通過(guò)在系統(tǒng)內(nèi)核攔截ARP攻擊數(shù)據(jù)包，確保網(wǎng)關(guān)正確的，MC地址不被篡改。保障數(shù)據(jù)流向正確，通訊

63、數(shù)據(jù)不受第三者控制，從而保證網(wǎng)絡(luò)暢通。如果懷疑或確認(rèn)計(jì)算機(jī)已經(jīng)感染了病毒，應(yīng)立即使用最新的防病毒軟件及時(shí)殺毒。</p><p>　　c．綁定MAC地址和IP地址</p><p>　　為了防止局域網(wǎng)中的計(jì)算機(jī)機(jī)亂發(fā)偽造的ARP數(shù)據(jù)包，將IP地止和計(jì)算機(jī)綁定在一起，是解決ARP攻擊的最好辦法。具體辦法如下：</p><p>　　進(jìn)入“MS-DOS”方式，在命令提示符下輸

64、入命令：</p><p>　　ARP-s<空格>IP地址<空格>MAC地址</p><p>　　例如，假設(shè)有一臺(tái)計(jì)算機(jī)，其IP地址為：172.18.15.10，MAC地址為00-14-5E-F8-E2-E1，將其MAC和IP綁定的命令如下：</p><p>　　ARP-s 172.18.15.10 00-14-5E-F8-E2-E1</

65、p><p>　　使用ARP –a命令查看ARP緩存列表，可以看出IP地址的類型為static.，表明它是靜態(tài)項(xiàng)。通過(guò)以上操作，我們將IP地址172.18.15.10和網(wǎng)卡地址為00-14-5E-F8-E2-E1的計(jì)算機(jī)綁定在一起，從而防止局域網(wǎng)ARP欺騙，有效保護(hù)局域網(wǎng)的安全。</p><p><b>　　d．使用防火墻</b></p><p>　

66、　防火墻(firewall)是一種協(xié)助確保信息安全的設(shè)備，依照特定的規(guī)則，允許或限制傳輸?shù)臄?shù)據(jù)通過(guò)，幫助計(jì)算機(jī)系統(tǒng)抵御用戶、計(jì)算機(jī)病毒和蠕蟲(chóng)的惡意侵入攻擊。防火墻可以是一臺(tái)專屬的硬件，也可以是一套軟件，現(xiàn)在針對(duì)防火墻的軟件相當(dāng)多，一般的殺毒軟件都具有防火墻的功能。</p><p>　　e．及時(shí)安裝系統(tǒng)補(bǔ)丁</p><p>　　任何一個(gè)操作系統(tǒng)發(fā)布以后，如果發(fā)現(xiàn)程序中有些漏洞，會(huì)及時(shí)發(fā)布一些

67、應(yīng)用程序來(lái)修復(fù)這些漏洞，我們把這些應(yīng)用程序也稱為“補(bǔ)丁程序”。當(dāng)系統(tǒng)安裝補(bǔ)丁程序后，黑客就不會(huì)利用這些漏洞來(lái)攻擊用戶。</p><p><b>　　f．做好系統(tǒng)備份</b></p><p>　　為了保證局域網(wǎng)的安全，隨時(shí)做好網(wǎng)絡(luò)資料的備份是十分重要的。所謂網(wǎng)絡(luò)備份，是指在網(wǎng)絡(luò)系統(tǒng)發(fā)生黑客攻擊、病毒感染、操作失誤、軟件系統(tǒng)錯(cuò)誤等意外情況下，應(yīng)急恢復(fù)系統(tǒng)的一種處理方案。目

68、前備份系統(tǒng)的方法有很多種，最簡(jiǎn)單實(shí)用的如GHOST軟件等。</p><p>　　g．一旦發(fā)現(xiàn)病毒，立即停止使用受病毒感染的計(jì)算機(jī)，并斷開(kāi)受感染機(jī)器的網(wǎng)絡(luò)連接，關(guān)閉文件服務(wù)器，用最新版本的殺毒軟件掃描服務(wù)器上所有的文件，清除病毒；如不能清除，則刪除受到感染的文件; 并用干凈的備份文件恢復(fù)系統(tǒng)，當(dāng)確信網(wǎng)絡(luò)中病毒已徹底清除后，重新啟動(dòng)網(wǎng)絡(luò)及各項(xiàng)工作。</p><p>　　3.3 局域網(wǎng)面對(duì)攻擊的

69、安全策略</p><p>　　局域網(wǎng)的安全問(wèn)題經(jīng)常是面對(duì)來(lái)自Internet的攻擊，因此你必須時(shí)刻防范這些惡意攻擊，關(guān)注你局域網(wǎng)的計(jì)算機(jī)系統(tǒng)安全。</p><p>　　這里我們使用網(wǎng)絡(luò)協(xié)議分層模式來(lái)分析局域網(wǎng)的安全。從圖3-1可以看到，網(wǎng)絡(luò)的七層在不同程度上會(huì)遭受到不同方式的攻擊，如果攻擊者取得成功，那將是非常危險(xiǎn)的。而我們通常聽(tīng)到或見(jiàn)到的攻擊往往發(fā)生在應(yīng)用層，這些攻擊主要是針對(duì)Web服務(wù)

70、器、瀏覽器和他們?cè)L問(wèn)到的信息，比較常見(jiàn)的還有攻擊開(kāi)放的文件系統(tǒng)部分。</p><p>　　下面兩個(gè)方法從實(shí)踐上來(lái)說(shuō)被認(rèn)為是非常有用的防范手段。 </p><p>　　3.3.1 包過(guò)濾 </p><p>　　圖3-1 七層模型易遭受的安全攻擊</p><p>　　檢查通信數(shù)據(jù)，觀察它的源地址和目的地址。過(guò)濾器可以禁止特定的地址或地址范圍傳出或

71、進(jìn)入，也可以禁止令人懷疑的地址模式。</p><p>　　IP地址由機(jī)器地址和標(biāo)識(shí)程序處理消息的端口數(shù)字組成。這個(gè)地址/端口組合信息對(duì)每個(gè)TCP/IP消息都是有效的。包過(guò)濾與防火墻相比處理的簡(jiǎn)單一些，它僅是觀察TCP/IP地址，而不是端口數(shù)字或消息內(nèi)容。不過(guò)包過(guò)濾提供給你的是很好的網(wǎng)絡(luò)安全工具。</p><p>　　圖3-2 包過(guò)濾器的配置</p><p>　　包過(guò)

72、濾器通常使用的是自頂向下的操作原則，下面是它使用的一個(gè)典型規(guī)則： </p><p>　　●允許所有傳出通信數(shù)據(jù)通過(guò)； </p><p>　　●拒絕建立新的傳入連接； </p><p>　　●其它的數(shù)據(jù)可以全部被接受。</p><p>　　?通過(guò)這樣的使用規(guī)則，系統(tǒng)的安全性提高了許多。因?yàn)樗芙^了Internet上主動(dòng)與你的計(jì)算機(jī)建立新連接的請(qǐng)

73、求。它阻止使用TCP的通信數(shù)據(jù)進(jìn)入，從而杜絕了對(duì)共享驅(qū)動(dòng)器和文件的未授權(quán)訪問(wèn)。</p><p>　　路由器通常的應(yīng)用是配置在連接你的計(jì)算機(jī)和Internet的路由器上，如圖3-2所示。在你的局域網(wǎng)和Internet之間放置過(guò)濾器后，就可以保證局域網(wǎng)與Internet所有的通信數(shù)據(jù)都要經(jīng)過(guò)過(guò)濾器。</p><p>　　濾軟件有能力檢查源地址子網(wǎng)，從子網(wǎng)物理端口傳遞消息到路由器，你就可以制定規(guī)

74、則來(lái)避免虛假的TCP/IP地址，就象圖3-2所示的那樣。攻擊者欺騙的方法就是把來(lái)自Internet的消息偽裝成來(lái)自你局域網(wǎng)的消息。包過(guò)濾通過(guò)拒收帶有不可能源地址的消息來(lái)防御攻擊者的攻擊。例如，假定你在一個(gè)裝有Linux的機(jī)器上安裝軟件，讓它作為一個(gè)Windows網(wǎng)絡(luò)文件服務(wù)器，你可以配置Linux讓它拒收所有來(lái)自你的子網(wǎng)以外的通信數(shù)據(jù)，阻止Internet上的機(jī)器看到這個(gè)文件服務(wù)器。如果攻擊者假裝是你內(nèi)部的機(jī)器，用過(guò)濾器就可以阻止攻擊者

75、的攻擊。</p><p>　　包過(guò)濾雖然對(duì)網(wǎng)絡(luò)的安全防范能起到很好的作用，但包過(guò)濾也并不是萬(wàn)能的。它們一般不能防御使用UDP協(xié)議的攻擊，因?yàn)檫^(guò)濾器不能拒收開(kāi)放的消息。包過(guò)濾還不能防御低層攻擊，象PING方式的攻擊。</p><p><b>　　3.3.2 防火墻</b></p><p>　　檢查通信數(shù)據(jù)，檢查消息地址中的端口，或檢查特定應(yīng)用的消

76、息內(nèi)容。測(cè)試失敗的任何通信數(shù)據(jù)將被拒絕。</p><p>　　防火墻軟件可以在一定程度上控制局域網(wǎng)和Internet之間傳遞的數(shù)據(jù)。圖3-3所示是一個(gè)TCP/IP數(shù)據(jù)包報(bào)頭示意圖，從它上面可以清楚地看到包過(guò)濾和防火墻工作原理的不同之處。防火墻不但檢查了包過(guò)濾檢查內(nèi)容的所有部分（TCP/IP的源地址和目的地址），還檢查了源/目的端口數(shù)字和包的內(nèi)容。</p><p><b>　　?&

77、lt;/b></p><p>　　圖3-3 包過(guò)濾器和防火墻的信息源</p><p>　　端口和消息內(nèi)容這些信息使防火墻比包過(guò)濾有更強(qiáng)的防范能力，因?yàn)檫@些信息使防火墻控制特定進(jìn)/出的主機(jī)地址。防火墻的功能有以下幾個(gè)方面：</p><p>　　●允許或禁止特定的應(yīng)用服務(wù)，例如：FTP或Web頁(yè)面服務(wù)；</p><p>　　●允許或禁止訪問(wèn)

78、基于被傳遞的信息內(nèi)容的服務(wù)。 </p><p>　　防火墻最直接的實(shí)施就是使用圖3-2所示的結(jié)構(gòu)，僅把局域網(wǎng)和ISP之間的包過(guò)濾器換成防火墻就可以了。這是一個(gè)防火墻的最安全的應(yīng)用，因?yàn)樗Ｗo(hù)了防火墻后面的所有計(jì)算機(jī)。 </p><p>　　圖3-4 防火墻中使用DMZ</p><p>　　把圖3-2改為圖3-4所示的結(jié)構(gòu)，就可以很好地解決這個(gè)問(wèn)題。圖3-4的結(jié)構(gòu)中有

79、3個(gè)端口。第三個(gè)端口連接的是另一個(gè)局域網(wǎng)，通常叫做DMZ（非軍事區(qū)）。DMZ中的計(jì)算機(jī)與安全局域網(wǎng)中的計(jì)算機(jī)相比安全性要差一些，但是這些計(jì)算機(jī)可以接受來(lái)自Internet的訪問(wèn)。你可以把Web和FTP服務(wù)器放在DMZ，從而可以保護(hù)其它的計(jì)算機(jī)。防火墻上的規(guī)則設(shè)定為阻止進(jìn)入安全局域網(wǎng)的通信數(shù)據(jù)，僅允許傳出連接的建立。</p><p>　　你想增強(qiáng)DMZ局域網(wǎng)的安全性，可以使用過(guò)濾器，限制局域網(wǎng)中服務(wù)器使用的端口，禁

80、止那些來(lái)自攻擊站點(diǎn)的訪問(wèn)。</p><p>　　安全還可以給你的局域網(wǎng)分段，每段設(shè)置一個(gè)防火墻，每個(gè)防火墻使用不同的安全規(guī)則。需要記住的一點(diǎn)是，防火墻本身并沒(méi)有保障安全的能力，你需要定期的檢查防火墻對(duì)可疑事件做出的日志記錄，還需要去發(fā)現(xiàn)和使用軟件的安全補(bǔ)丁。</p><p>　　你使用Windows 98第二版的Internet共享連接功能，讓你的一臺(tái)計(jì)算機(jī)通過(guò)Modem把局域網(wǎng)連接上In

81、ternet。在這種情況下，你的網(wǎng)絡(luò)是很不安全的，仍需要改善網(wǎng)絡(luò)的安全性。最大的威脅就是你的電腦直接連接在了Internet上，你應(yīng)該直接在這臺(tái)電腦上安裝包過(guò)濾器或防火墻產(chǎn)品，或讓你的ISP安裝包過(guò)濾器或防火墻來(lái)保護(hù)你的訪問(wèn)。</p><p>　　3.4 局域網(wǎng)安全十大策略</p><p>　　3.4.1 注意內(nèi)網(wǎng)安全與網(wǎng)絡(luò)邊界安全的不同 </p><p>　　內(nèi)網(wǎng)

82、安全的威脅不同于網(wǎng)絡(luò)邊界的威脅。網(wǎng)絡(luò)邊界安全技術(shù)防范來(lái)自Internet上的攻擊，主要是防范來(lái)自公共的網(wǎng)絡(luò)服務(wù)器如HTTP或SMTP的攻擊。網(wǎng)絡(luò)邊界防范（如邊界防火墻系統(tǒng)等）減小了資深黑客僅僅只需接入互聯(lián)網(wǎng)、寫(xiě)程序就可訪問(wèn)企業(yè)網(wǎng)的幾率。內(nèi)網(wǎng)安全威脅主要源于企業(yè)內(nèi)部。惡性的黑客攻擊事件一般都會(huì)先控制局域網(wǎng)絡(luò)內(nèi)部的一臺(tái)Server，然后以此為基地，對(duì)Internet上其他主機(jī)發(fā)起惡性攻擊。因此，應(yīng)在邊界展開(kāi)黑客防護(hù)措施，同時(shí)建立并加強(qiáng)內(nèi)網(wǎng)防

83、范策略。 </p><p>　　3.4.2 限制VPN的訪問(wèn) </p><p>　　虛擬專用網(wǎng)（VPN）用戶的訪問(wèn)對(duì)內(nèi)網(wǎng)的安全造成了巨大的威脅。因?yàn)樗鼈儗⑷趸淖烂娌僮飨到y(tǒng)置于企業(yè)防火墻的防護(hù)之外。很明顯VPN用戶是可以訪問(wèn)企業(yè)內(nèi)網(wǎng)的。因此要避免給每一位VPN用戶訪問(wèn)內(nèi)網(wǎng)的全部權(quán)限。這樣可以利用登錄控制權(quán)限列表來(lái)限制VPN用戶的登錄權(quán)限的級(jí)別，即只需賦予他們所需要的訪問(wèn)權(quán)限級(jí)別即可，如訪問(wèn)

84、郵件服務(wù)器或其他可選擇的網(wǎng)絡(luò)資源的權(quán)限。 </p><p>　　3.4.3 為合作企業(yè)網(wǎng)建立內(nèi)網(wǎng)型的邊界防護(hù) </p><p>　　合作企業(yè)網(wǎng)也是造成內(nèi)網(wǎng)安全問(wèn)題的一大原因。例如安全管理員雖然知道怎樣利用實(shí)際技術(shù)來(lái)完固防火墻，保護(hù)MS-SQL，但是Slammer蠕蟲(chóng)仍能侵入內(nèi)網(wǎng)，這就是因?yàn)槠髽I(yè)給了他們的合作伙伴進(jìn)入內(nèi)部資源的訪問(wèn)權(quán)限。由此，既然不能控制合作者的網(wǎng)絡(luò)安全策略和活動(dòng)，那么就應(yīng)該

85、為每一個(gè)合作企業(yè)創(chuàng)建一個(gè)DMZ，并將他們所需要訪問(wèn)的資源放置在相應(yīng)的DMZ中，不允許他們對(duì)內(nèi)網(wǎng)其他資源的訪問(wèn)。 </p><p>　　3.4.4 自動(dòng)跟蹤的安全策略 </p><p>　　智能的自動(dòng)執(zhí)行實(shí)時(shí)跟蹤的安全策略是有效地實(shí)現(xiàn)網(wǎng)絡(luò)安全實(shí)踐的關(guān)鍵。它帶來(lái)了商業(yè)活動(dòng)中一大改革，極大的超過(guò)了手動(dòng)安全策略的功效。商業(yè)活動(dòng)的現(xiàn)狀需要企業(yè)利用一種自動(dòng)檢測(cè)方法來(lái)探測(cè)商業(yè)活動(dòng)中的各種變更，因此，安全

86、策略也必須與相適應(yīng)。例如實(shí)時(shí)跟蹤企業(yè)員工的雇傭和解雇、實(shí)時(shí)跟蹤網(wǎng)絡(luò)利用情況并記錄與該計(jì)算機(jī)對(duì)話的文件服務(wù)器?？傊?，要做到確保每天的所有的活動(dòng)都遵循安全策略。 </p><p>　　3.4.5 關(guān)掉無(wú)用的網(wǎng)絡(luò)服務(wù)器 </p><p>　　大型企業(yè)網(wǎng)可能同時(shí)支持四到五個(gè)服務(wù)器傳送e－mail，有的企業(yè)網(wǎng)還會(huì)出現(xiàn)幾十個(gè)其他服務(wù)器監(jiān)視SMTP端口的情況。這些主機(jī)中很可能有潛在的郵件服務(wù)器的攻擊點(diǎn)。

87、因此要逐個(gè)中斷網(wǎng)絡(luò)服務(wù)器來(lái)進(jìn)行審查。若一個(gè)程序（或程序中的邏輯單元）作為一個(gè)window文件服務(wù)器在運(yùn)行但是又不具有文件服務(wù)器作用的，關(guān)掉該文件的共享協(xié)議。</p><p>　　3.4.6 首先保護(hù)重要資源 </p><p>　　若一個(gè)內(nèi)網(wǎng)上連了千萬(wàn)臺(tái)（例如30000臺(tái)）機(jī)子，那么要期望保持每一臺(tái)主機(jī)都處于鎖定狀態(tài)和補(bǔ)丁狀態(tài)是非常不現(xiàn)實(shí)的。大型企業(yè)網(wǎng)的安全考慮一般都有擇優(yōu)問(wèn)題。這樣，首先要

88、對(duì)服務(wù)器做效益分析評(píng)估，然后對(duì)內(nèi)網(wǎng)的每一臺(tái)網(wǎng)絡(luò)服務(wù)器進(jìn)行檢查、分類、修補(bǔ)和強(qiáng)化工作。必定找出重要的網(wǎng)絡(luò)服務(wù)器（例如實(shí)時(shí)跟蹤客戶的服務(wù)器）并對(duì)他們進(jìn)行限制管理。這樣就能迅速準(zhǔn)確地確定企業(yè)最重要的資產(chǎn)，并做好在內(nèi)網(wǎng)的定位和權(quán)限限制工作。 </p><p>　　3.4.7 建立可靠的無(wú)線訪問(wèn) </p><p>　　審查網(wǎng)絡(luò)，為實(shí)現(xiàn)無(wú)線訪問(wèn)建立基礎(chǔ)。排除無(wú)意義的無(wú)線訪問(wèn)點(diǎn)，確保無(wú)線網(wǎng)絡(luò)訪問(wèn)的強(qiáng)制性

89、和可利用性，并提供安全的無(wú)線訪問(wèn)接口。將訪問(wèn)點(diǎn)置于邊界防火墻之外，并允許用戶通過(guò)VPN技術(shù)進(jìn)行訪問(wèn)。 </p><p>　　3.4.8 建立安全過(guò)客訪問(wèn) </p><p>　　對(duì)于過(guò)客不必給予其公開(kāi)訪問(wèn)內(nèi)網(wǎng)的權(quán)限。許多安全技術(shù)人員執(zhí)行的“內(nèi)部無(wú)Internet訪問(wèn)”的策略，使得員工給客戶一些非法的訪問(wèn)權(quán)限，導(dǎo)致了內(nèi)網(wǎng)實(shí)時(shí)跟蹤的困難。因此，須在邊界防火墻之外建立過(guò)客訪問(wèn)網(wǎng)絡(luò)塊。 </p

90、><p>　　3.4.9 創(chuàng)建虛擬邊界防護(hù) </p><p>　　主機(jī)是被攻擊的主要對(duì)象。與其努力使所有主機(jī)不遭攻擊（這是不可能的），還不如在如何使攻擊者無(wú)法通過(guò)受攻擊的主機(jī)來(lái)攻擊內(nèi)網(wǎng)方面努力。于是必須解決企業(yè)網(wǎng)絡(luò)的使用和在企業(yè)經(jīng)營(yíng)范圍建立虛擬邊界防護(hù)這個(gè)問(wèn)題。這樣，如果一個(gè)市場(chǎng)用戶的客戶機(jī)被侵入了，攻擊者也不會(huì)由此而進(jìn)入到公司的R&D。因此要實(shí)現(xiàn)公司R&D與市場(chǎng)之間的訪問(wèn)權(quán)限

91、控制。大家都知道怎樣建立互聯(lián)網(wǎng)與內(nèi)網(wǎng)之間的邊界防火墻防護(hù)，現(xiàn)在也應(yīng)該意識(shí)到建立網(wǎng)上不同商業(yè)用戶群之間的邊界防護(hù)。 </p><p>　　3.4.10 可靠的安全決策 </p><p>　　網(wǎng)絡(luò)用戶也存在著安全隱患。有的用戶或許對(duì)網(wǎng)絡(luò)安全知識(shí)非常欠缺，例如不知道RADIUS和TACACS之間的不同，或不知道代理網(wǎng)關(guān)和分組過(guò)濾防火墻之間的不同等等，但是他們作為公司的合作者，也是網(wǎng)絡(luò)的使用者。因

92、此企業(yè)網(wǎng)就要讓這些用戶也容易使用，這樣才能引導(dǎo)他們自動(dòng)的響應(yīng)網(wǎng)絡(luò)安全策略。</p><p>　　第四章 無(wú)線局域網(wǎng)安全策略設(shè)置</p><p>　　4.1 如何安全部署無(wú)線局域網(wǎng)？</p><p>　　4.1.1 定義用戶基礎(chǔ)</p><p>　　清晰的定義哪些人可以使用無(wú)線局域網(wǎng)，哪一種層次的訪問(wèn)用戶既能使用企業(yè)內(nèi)部網(wǎng)，也能使用互聯(lián)網(wǎng)。無(wú)

93、線局域網(wǎng)通常并不會(huì)限制對(duì)整個(gè)網(wǎng)絡(luò)和互聯(lián)網(wǎng)的訪問(wèn)。但這并不意味著就應(yīng)該這樣做。的確，需要考慮有的局域網(wǎng)是為客戶提供服務(wù)的（例如公司外的用戶），就需要禁止自己的雇員使用這一部分的網(wǎng)絡(luò)。有的公司甚至?xí)钄嗥髽I(yè)內(nèi)部網(wǎng)和互聯(lián)網(wǎng)之間的無(wú)線子網(wǎng)。無(wú)論是否選擇允許訪問(wèn)，確定訪問(wèn)的范圍都是至關(guān)重要的。因此，清晰的定義這一點(diǎn)是策略制定和實(shí)施的頭等大事。</p><p>　　4.1.2 確定適當(dāng)?shù)挠猛?lt;/p><p

94、>　　在確定了用戶范圍之后，可以考慮允許或禁止用戶在無(wú)線網(wǎng)絡(luò)上流通的信息了。例如，可能不希望無(wú)線局域網(wǎng)上出現(xiàn)個(gè)人信息或財(cái)務(wù)記錄。 </p><p>　　此外，禁止一些自建網(wǎng)絡(luò)（ad hoc）連接（例如peer-to-peer）也是個(gè)好主意。企業(yè)一定不想一些用戶把網(wǎng)絡(luò)范圍擴(kuò)展到那些并未被授權(quán)使用WLAN訪問(wèn)的用戶上。</p><p>　　4.1.3 準(zhǔn)備安全安裝</p>

95、<p>　　要清楚地安排哪一個(gè)內(nèi)部部門(mén)對(duì)部署的無(wú)線訪問(wèn)點(diǎn)以及其他無(wú)線設(shè)備負(fù)責(zé)。否則，可能會(huì)有用戶在辦公室里自行安裝訪問(wèn)點(diǎn)，從而造成安全隱患。 </p><p>　　為訪問(wèn)點(diǎn)提供最低要求的物理安全標(biāo)準(zhǔn)，決定誰(shuí)可以物理連接到訪問(wèn)點(diǎn)。理想情況下，應(yīng)當(dāng)將訪問(wèn)點(diǎn)放到建筑物內(nèi)的訪問(wèn)控制室。調(diào)整這些訪問(wèn)點(diǎn)的覆蓋范圍，使其完全滿足所需的物理邊界，并盡量做到不會(huì)超出。</p><p>　　4.1.

96、4 確定有效的安全設(shè)置</p><p>　　在所有的訪問(wèn)點(diǎn)上面都要定義最小安全保障措施。禁用SSID廣播功能，將默認(rèn)的SSID改為一些不會(huì)泄露公司名稱或業(yè)務(wù)范圍的字符。否則，就是給那些可能侵入網(wǎng)絡(luò)的黑客們發(fā)送請(qǐng)柬。 </p><p>　　打開(kāi)無(wú)線加密，強(qiáng)制使用WPA協(xié)議或者WPA-AES，也就是WAP2協(xié)議。這兩種加密機(jī)制都采用了強(qiáng)悍的加密模型。而AES因?yàn)槭褂昧薘ijindal加密則更為

97、可靠，并被公認(rèn)為是可用于機(jī)密數(shù)據(jù)系統(tǒng)的安全標(biāo)準(zhǔn)。</p><p>　　4.1.5 為設(shè)備和數(shù)據(jù)丟失設(shè)計(jì)恢復(fù)計(jì)劃</p><p>　　一旦開(kāi)始部署無(wú)線網(wǎng)絡(luò)，就應(yīng)當(dāng)料到有人會(huì)丟失無(wú)線設(shè)備。當(dāng)這些無(wú)法避免的丟失現(xiàn)象發(fā)生時(shí)，必須立刻改變網(wǎng)絡(luò)中所有的安全設(shè)置（包括SSID以及加密密鑰），安全策略必須要涵蓋這點(diǎn)。應(yīng)當(dāng)將任何設(shè)備丟失事件都看作是對(duì)網(wǎng)絡(luò)安全的威脅，在策略中定義各個(gè)步驟來(lái)規(guī)避未來(lái)可能出現(xiàn)的損

98、害。 </p><p>　　4.1.6 對(duì)員工和用戶安排適當(dāng)?shù)呐嘤?xùn)</p><p>　　需要為整個(gè)IT部門(mén)以及用戶提供培訓(xùn)，確保每一個(gè)人都能部署、使用、管理無(wú)線網(wǎng)絡(luò)，并具備防范能力和事件響應(yīng)能力。很多企業(yè)在新的方案部署期間會(huì)忽略這個(gè)問(wèn)題，而這正是企業(yè)規(guī)范需要強(qiáng)調(diào)的。 </p><p>　　記住，無(wú)線局域網(wǎng)同傳統(tǒng)的有線局域網(wǎng)完全不同。需要寫(xiě)下培訓(xùn)需求的基本內(nèi)容，并且根

99、據(jù)現(xiàn)有的成功部署情況為無(wú)線網(wǎng)絡(luò)的使用提供知識(shí)基礎(chǔ)。</p><p>　　4.1.7 為網(wǎng)絡(luò)管理和監(jiān)控提供指導(dǎo)方針</p><p>　　一旦成功啟動(dòng)了一個(gè)無(wú)線網(wǎng)絡(luò)項(xiàng)目并進(jìn)行了實(shí)施，沒(méi)有人能保證它不會(huì)出問(wèn)題。企業(yè)的策略應(yīng)當(dāng)定義安全措施的實(shí)施頻率和范圍（包括對(duì)惡意訪問(wèn)點(diǎn)的探測(cè)），這些都需要按照既定的策略來(lái)實(shí)施，從而保證網(wǎng)絡(luò)的持續(xù)安全。</p><p>　　4.2 如何加固

100、已安裝無(wú)線局域網(wǎng)安全？</p><p>　　4.2.1 修改管理員密碼和用戶名</p><p>　　在你將路由器拆封，開(kāi)始設(shè)置的時(shí)候，這時(shí)會(huì)彈出一個(gè)網(wǎng)頁(yè)要求你輸入網(wǎng)絡(luò)地址和帳號(hào)信息。理論上來(lái)說(shuō)，這一wifi設(shè)置是受注冊(cè)屏保護(hù)的(用戶名和密碼)。</p><p>　　雖然用戶名和密碼的初衷是保證只有你才能進(jìn)入wifi的設(shè)置程序以及你輸入的個(gè)人信息，實(shí)際上每個(gè)人都可以利

101、用同樣的路由器都是使用廠商提供的一樣的注冊(cè)。絕大多數(shù)人對(duì)此并沒(méi)有對(duì)此做出任何改變，這樣黑客就輕易侵入了，可以說(shuō)是不費(fèi)吹灰之力。</p><p>　　因此在第一次注冊(cè)之后就應(yīng)該馬上修改wifi設(shè)置中的用戶名和密碼。如果你打算這樣做的話，盡量設(shè)置復(fù)雜的密碼。黑客可能會(huì)使用一些簡(jiǎn)單的信息來(lái)猜測(cè)，譬如你的姓名，生日，紀(jì)念日等。一些黑客經(jīng)常使用一種叫做“字典劫持”的方法(使用一種程序猜測(cè)常用的名字密碼)，因此你得保證你的密

102、碼的復(fù)雜性最好是字母、符號(hào)與數(shù)字并存。</p><p>　　4.2.2 升級(jí)wifi加密</p><p>　　如果你在使用無(wú)線網(wǎng)絡(luò)接受和發(fā)送信息的時(shí)候并沒(méi)有采用充分的加密，黑客就可以輕易的進(jìn)入網(wǎng)絡(luò)監(jiān)控你的行為。如果你不幸正輸入你的個(gè)人或是銀行信息，黑客就可以借機(jī)盜取你的身份認(rèn)證。</p><p>　　傳統(tǒng)的加密標(biāo)準(zhǔn)是有線等效保密(WEP)協(xié)議，然而黑客在30秒之內(nèi)就

103、可以將其破解，不管你使用多么復(fù)雜的密句。不幸的是，數(shù)以百萬(wàn)計(jì)的wifi用戶使用的正是這種落后的WEP協(xié)議加密信息，我們本該選擇更加先進(jìn)的WPA2加密技術(shù)。(Wi-FiProtectedAccess，Wi-Fi保護(hù)訪問(wèn)， “WPA2”支持“AES”加密方式。老的“WEP”加密方式，在安全上存在著若被第三者惡意截獲信號(hào)密碼容易被破解的問(wèn)題)。</p><p>　　解決這個(gè)問(wèn)題的辦法當(dāng)然是升級(jí)wifi加密到WPA2協(xié)議

104、。但是在升級(jí)wifi加密到WPA2協(xié)議之前，還是需要略作一些調(diào)整為升級(jí)鋪平道路。第一步就是下載安裝Windows XP版的WPA2 hotfix。還有就是要升級(jí)無(wú)線網(wǎng)卡驅(qū)動(dòng)。這些升級(jí)在微軟的Windows升級(jí)的“硬件選項(xiàng)”中找得到。</p><p>　　既然你準(zhǔn)備將你的電腦和網(wǎng)卡升級(jí)，你需要通過(guò)網(wǎng)頁(yè)瀏覽器打開(kāi)路由器注冊(cè)界面(這就是你第一次設(shè)置wifi時(shí)的頁(yè)面，你可以在說(shuō)明書(shū)中中找到這一URL地址)。注冊(cè)成功之后，

105、將安全設(shè)置改為“個(gè)人WPA2協(xié)議”并且勾選“TKIP+AES”運(yùn)算法則。最后在“共享密鈅“中輸入密碼，保存修改。</p><p>　　4.2.3 修改默認(rèn)系統(tǒng)ID</p><p>　　當(dāng)你買(mǎi)回Linksys 或 D-Link路由器的時(shí)候并且安裝的時(shí)候，它們都會(huì)有一個(gè)默認(rèn)的系統(tǒng)ID叫做SSID或是ESSID。(SSID便是你給自己的無(wú)線網(wǎng)絡(luò)所取的名字)。</p><p&g

106、t;　　一般來(lái)說(shuō)，生產(chǎn)商都會(huì)在他們的設(shè)備上分配同樣的SSID，80%的用戶使用的是系統(tǒng)默認(rèn)設(shè)置。也就是說(shuō)，80%的用戶的wifi網(wǎng)絡(luò)的名稱就是出廠的默認(rèn)設(shè)置。默認(rèn)設(shè)置的一個(gè)問(wèn)題就是黑客藉此可以了解一個(gè)wifi無(wú)線網(wǎng)絡(luò)附近的所有網(wǎng)絡(luò)，只需要使用默認(rèn)的名稱即可。盡管知曉SSID不會(huì)讓所有的人進(jìn)入我們的網(wǎng)絡(luò)，但是卻意味著這些網(wǎng)絡(luò)缺乏有效的保護(hù)，因此這些網(wǎng)絡(luò)往往成為羔羊。</p><p>　　因此在配置局域網(wǎng)的時(shí)候應(yīng)該馬

107、上改變默認(rèn)的SSID。雖然這并不意味著你的網(wǎng)絡(luò)訪問(wèn)會(huì)受到完全的控制，但是配置你的SSID將會(huì)使你區(qū)別于其它的未受保護(hù)的網(wǎng)絡(luò)，黑客可能會(huì)知難而退。還有一個(gè)好處就是你的家人或是你不會(huì)因此鏈接到其它的網(wǎng)絡(luò)之中，從而就不會(huì)將你暴露于黑客的槍口之下。</p><p>　　4.2.4 MAC地址過(guò)濾</p><p>　　如果你當(dāng)初設(shè)置了不安全的wifi，很可能至少有不止一個(gè)網(wǎng)絡(luò)鄰居通過(guò)你聯(lián)入網(wǎng)絡(luò)。我們

108、喜歡友好的鄰居，但是這卻給信息偷盜敞開(kāi)大門(mén)，這時(shí)我們就不得不考慮了，更可怕是還會(huì)傷害到你的電腦。</p><p>　　想找出使用你的網(wǎng)絡(luò)的人，你需要檢查MAC地址。每一個(gè)wifi網(wǎng)絡(luò)都被分配一個(gè)獨(dú)一無(wú)二的物理地址或是MAC地址。你的wifi系統(tǒng)會(huì)自動(dòng)記錄下所有鏈接到你的設(shè)備的MAC地址。雖然找出這些MAC地址并不是完全有效，但是對(duì)保護(hù)無(wú)線局域網(wǎng)還是大有裨益的。</p><p>　　檢查那些

109、渴望進(jìn)入你的網(wǎng)絡(luò)的MAC地址會(huì)幫助你快速的找出所有鏈接到你的網(wǎng)絡(luò)中的設(shè)備。只要不是你的計(jì)算機(jī)上的，你就可以加以清除。要達(dá)到這一目的，首先鍵入你的設(shè)備的物理地址。這樣就只有這些設(shè)備可以訪問(wèn)你的網(wǎng)絡(luò)，那些附近的網(wǎng)絡(luò)就難以進(jìn)入了。注意：這一方法看起來(lái)并不是那么有效。對(duì)付業(yè)余的黑客綽綽有余，一些專業(yè)的黑客使用先進(jìn)的軟件可以偽造MAC地址。</p><p>　　4.2.5 禁止網(wǎng)絡(luò)廣播</p><p&g