巧妙设置确保企业局域网安全

on 2010-5-18 in 安全 | 0 Comment
    个企业网防病毒体系是建立在每个局域网防病毒系统上应该根据每个局域网防病毒要求建立局域网防病毒控制系统分别设置有针对性防病毒策略计算机病毒形式及传播途径日趋多样化因此大型企业网络系统防病毒工作已不再像单台计算机病毒检测及清除那样简单而需要建立多层次、立体病毒防护体系而且要具备完善管理系统来设置和维护对病毒防护策略

    如何设置才能确保内网安全呢通常可以从下几个方面进行设置:

    划分VLAN防止网络侦听

    运用VLAN(虚拟局域网)技术将以太网通信变为点到点通信防止大部分基于网络侦听入侵 目前VLAN技术主要有 3种:基于交换机端口VLAN、基于节点MAC地址VLAN和基于应用协议VLAN基于端口VLAN虽然稍欠灵活但却比较成熟在实际应用中效果显着广受欢迎基于MAC地址VLAN为移动计算提供了可能性但同时也潜藏着遭受MAC欺诈攻击隐患

    在集中式网络环境下我们通常将中心所有主机系统集中到个VLAN里在这个VLAN里不允许有任何用户节点从而较好地保护敏感主机资源在分布式网络环境下我们可以按机构或部门设置来划分VLAN各部门内部所有服务器和用户节点都在各自VLAN内VLAN内部连接采用交换实现而 VLAN和VLAN的间连接则采用路由实现目前大多数交换机(包括海关内部普遍采用DEC MultiSwitch 900)都支持RIP和OSPF这两种国际标准路由协议如果有特殊需要必须使用其他路由协议(如CISCO公司EIGRP或支持DECnet IS-IS)也可以用外接多以太网口路由器来代替交换机实现VLAN的间路由功能当然这种情况下路由转发效率会有所下降

    如今我们所使用操作系统大多都为Windows XP可是在安装Windows XP时缺省项共享都是“简单共享”从而导致“开放”、不安全文件共享我们需要进行如下操作来解除这种不安全隐患:

    首先我们要取消默认“简单共享”打开“我电脑”依次单击“工具→文件夹选项”在打开对话框中选择“查看”选项卡取消“使用简单共享(推荐)”选中状态

    然后创建共享用户单击“开始→设置→控制面板”打开“用户账户”创建个又密码用户假设用户名为oldforman需要共享资源机器必须以该用户共享资源

    接下来设置要共享目录假设共享目录为NTFS分区上目录OLDFORMAN,并设置只有用户oldforman可以共享该目录下资源用鼠标右键单击要共享目录OLDFORMAN单击“共享和安全”点击“权限”单击删除按钮将原来该目录任何用户 (everyone)都可以共享权限删除再单击“添加”按钮依次单击“高级→立即查找”选择用户oldforman单击确定添加用户 oldforman并选择用户oldforman共享权限

    以后局域网中计算机要想查看该共享文件夹中内容只有输入正确用户名和密码才能查看或修改共享文件夹中内容了

    以交换式集线器代替共享式集线器

    对局域网中心交换机进行网络分段后以太网侦听危险仍然存在这是网络最终用户接入往往是通过分支集线器而不是中心交换机而使用最广泛分支集线器通常是共享式集线器这样当用户和主机进行数据通信时两台机器的间数据包(称为单播包Unicast Packet)还是会被同台集线器上其他用户所侦听种很危险情况是:用户TELNET到台主机上由于TELNET本身缺乏加密功能用户所键入(包括用户名、密码等重要信息)都将被明文发送这就给黑客提供了机会

    因此应该以交换式集线器代替共享式集线器使单播包仅在两个节点的间传送从而防止非法侦听当然交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包(Multicast Packet)所幸广播包和多播包内关键信息要远远少于单播包

    不管是交换式集线器还是VLAN交换机都是以交换技术为核心它们在控制广播、防止黑客上相当有效但同时也给些基于广播原理入侵监控技术和协议分析技术带来了麻烦因此如果局域网内存在这样入侵监控设备或协议分析设备就必须选用特殊带有SPAN(Switch Port Analyzer)功能交换机这种交换机允许系统管理员将全部或某些交换端口数据包映射到指定端口上提供给接在这端口上入侵监控设备或协议分析设备加强防范观念 安全预防局域网病毒

    选择个功力高深网络版病毒“杀手”就至关重要了般而言查杀是否彻底界面是否友好、方便能否实现远程控制、集中管理是决定个网络杀毒软件Software 3大要素杜绝病毒主观能动性起到很重要作用

    病毒蔓延经常是由于企业内部员工对病毒传播方式不够了解病毒传播渠道有很多种可通过网络、物理介质等查杀病毒首先要知道病毒到底是什么危害是如何样知道了病毒危害性提高了安全意识杜绝毒瘤战役就已经成功了平时企业要从加强安全意识着手对日常工作中隐藏病毒危害增加警觉性如安装种大众认可网络版杀毒软件Software定时更新病毒定义对来历不明文件运行前进行查杀每周查杀次病毒减少共享文件夹数量文件共享时候尽量控制权限和增加密码等都可以很好地防止病毒在网络中传播

    后记

    尽管这些病毒传播原理很简单但这块决非仅仅是技术问题还应该教育用户和企业让它们采取适当措施例如如果所有Windows用户都关闭了VB脚本功能像库尔尼科娃这样病毒就不可能传播只要用户随时小心警惕不要打开值得怀疑邮件就可把病毒拒绝在外

Tags: 

延伸阅读

最新评论

发表评论