網(wǎng)絡安全技巧：五大技巧保障網(wǎng)絡安全

申請免費試用、咨詢電話：400-8352-114

網(wǎng)絡安全技巧1．網(wǎng)絡分段

網(wǎng)絡分段通常被認為是控制網(wǎng)絡廣播風暴的一種基本手段，但其實也是保證網(wǎng)絡安全的一項重要措施。其目的就是將非法用戶與敏感的網(wǎng)絡資源相互隔離，從而防止可能的非法偵聽，網(wǎng)絡分段可分為物理分段和邏輯分段兩種方式。

目前，海關的局域網(wǎng)大多采用以交換機為中心、路由器為邊界的網(wǎng)絡格局，應重點挖掘中心交換機的訪問控制功能和三層交換功能，綜合應用物理分段與邏輯分段兩種方法，來實現(xiàn)對局域網(wǎng)的安全控制。例如：在海關系統(tǒng)中普遍使用的DEC MultiSwitch 900的入侵檢測功能，其實就是一種基于MAC地址的訪問控制，也就是上述的基于數(shù)據(jù)鏈路層的物理分段。

網(wǎng)絡安全技巧2．以交換式集線器代替共享式集線器

對局域網(wǎng)的中心交換機進行網(wǎng)絡分段后，以太網(wǎng)偵聽的危險仍然存在。這是因為網(wǎng)絡最終用戶的接入往往是通過分支集線器而不是中心交換機，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當用戶與主機進行數(shù)據(jù)通信時，兩臺機器之間的數(shù)據(jù)包（稱為單播包Unicast Packet）還是會被同一臺集線器上的其他用戶所偵聽。

一種很危險的情況是：用戶TELNET到一臺主機上，由于TELNET程序本身缺乏加密功能，用戶所鍵入的每一個字符（包括用戶名、密碼等重要信息），都將被明文發(fā)送，這就給黑客提供了機會。 因此，應該以交換式集線器代替共享式集線器，使單播包僅在兩個節(jié)點之間傳送，從而防止非法偵聽。當然，交換式集線器只能控制單播包而無法控制廣播包（Broadcast Packet）和多播包（Multicast Packet）。所幸的是，廣播包和多播包內(nèi)的關鍵信息，要遠遠少于單播包。

網(wǎng)絡安全技巧3．VLAN的劃分

為了克服以太網(wǎng)的廣播問題，除了上述方法外，還可以運用VLAN（虛擬局域網(wǎng)）技術，將以太網(wǎng)通信變?yōu)辄c到點通信，防止大部分基于網(wǎng)絡偵聽的入侵。

目前的VLAN技術主要有三種：基于交換機端口的VLAN、基于節(jié)點MAC地址的VLAN和基于應用協(xié)議的VLAN?；诙丝诘腣LAN雖然稍欠靈活，但卻比較成熟，在實際應用中效果顯著，廣受歡迎?；贛AC地址的VLAN為移動計算提供了可能性，但同時也潛藏著遭受MAC欺詐攻擊的隱患。而基于協(xié)議的VLAN，理論上非常理想，但實際應用卻尚不成熟。

在集中式網(wǎng)絡環(huán)境下，我們通常將中心的所有主機系統(tǒng)集中到一個VLAN里，在這個VLAN里不允許有任何用戶節(jié)點，從而較好地保護敏感的主機資源。在分布式網(wǎng)絡環(huán)境下，我們可以按機構或部門的設置來劃分VLAN。各部門內(nèi)部的所有服務器和用戶節(jié)點都在各自的VLAN內(nèi)，互不侵擾。

VLAN內(nèi)部的連接采用交換實現(xiàn)，而VLAN與VLAN之間的連接則采用路由實現(xiàn)。目前，大多數(shù)的交換機（包括海關內(nèi)部普遍采用的DEC MultiSwitch 900）都支持RIP和OSPF這兩種國際標準的路由協(xié)議。如果有特殊需要，必須使用其他路由協(xié)議（如CISCO公司的EIGRP或支持DECnet的IS－IS），也可以用外接的多以太網(wǎng)口路由器來代替交換機，實現(xiàn)VLAN之間的路由功能。當然，這種情況下，路由轉(zhuǎn)發(fā)的效率會有所下降。

無論是交換式集線器還是VLAN交換機，都是以交換技術為核心，它們在控制廣播、防止黑客上相當有效，但同時也給一些基于廣播原理的入侵監(jiān)控技術和協(xié)議分析技術帶來了麻煩。因此，如果局域網(wǎng)內(nèi)存在這樣的入侵監(jiān)控設備或協(xié)議分析設備，就必須選用特殊的帶有SPAN（Switch Port Analyzer）功能的交換機。這種交換機允許系統(tǒng)管理員將全部或某些交換端口的數(shù)據(jù)包映射到指定的端口上，提供給接在這一端口上的入侵監(jiān)控設備或協(xié)議分析設備。筆者在廈門海關外部網(wǎng)設計中，就選用了Cisco公司的具備SPAN功能的Catalyst系列交換機，既得到了交換技術的好處，又使原有的Sniffer協(xié)議分析儀“英雄有用武之地”。

網(wǎng)絡安全技巧4.廣域網(wǎng)安全

由于廣域網(wǎng)大多采用公網(wǎng)來進行數(shù)據(jù)傳輸，信息在廣域網(wǎng)上傳輸時被截取和利用的可能性就比局域網(wǎng)要大得多。如果沒有專用的軟件對數(shù)據(jù)進行控制，只要使用Internet上免費下載的“包檢測”工具軟件，就可以很容易地對通信數(shù)據(jù)進行截取和破譯。

因此，必須采取手段，使得在廣域網(wǎng)上發(fā)送和接收信息時能夠保證：

①除了發(fā)送方和接收方外，其他人是無法知悉的（隱私性）；

②傳輸過程中不被篡改（真實性）；

③發(fā)送方能確知接收方不是假冒的（非偽裝性）；

④發(fā)送方不能否認自己的發(fā)送行為（不可抵賴性）。

為了達到以上安全目的，廣域網(wǎng)通常采用以下安全解決辦法：

網(wǎng)絡安全技巧5.加密技術

加密型網(wǎng)絡安全技術的基本思想是不依賴于網(wǎng)絡中數(shù)據(jù)通道的安全性來實現(xiàn)網(wǎng)絡系統(tǒng)的安全，而是通過對網(wǎng)絡數(shù)據(jù)的加密來保障網(wǎng)絡的安全可靠性。數(shù)據(jù)加密技術可以分為三類，即對稱型加密、不對稱型加密和不可逆加密。

其中不可逆加密算法不存在密鑰保管和分發(fā)問題，適用于分布式網(wǎng)絡系統(tǒng)，但是其加密計算量相當可觀，所以通常用于數(shù)據(jù)量有限的情形下使用。計算機系統(tǒng)中的口令就是利用不可逆加密算法加密的。近年來，隨著計算機系統(tǒng)性能的不斷提高，不可逆加密算法的應用逐漸增加，常用的如RSA公司的MD5和美國國家標準局的SHS。

在海關系統(tǒng)中廣泛使用的Cisco路由器，有兩種口令加密方式：Enable Secret和Enable Password。其中，Enable Secret就采用了MD5不可逆加密算法，因而目前尚未發(fā)現(xiàn)破解方法（除非使用字典攻擊法）。而Enable Password則采用了非常脆弱的加密算法（即簡單地將口令與一個常數(shù)進行XOR與或運算），目前至少已有兩種破解軟件。因此，最好不用Enable Password。

網(wǎng)絡安全的設置技巧主要就是這幾個要點，除此之外，還需要廣大的網(wǎng)民在應用網(wǎng)絡時加倍的小心，不要因為一點誘惑或是疏忽就為自己惹禍上身。

 【推薦閱讀】

◆上網(wǎng)行為運維管理專區(qū)

◆怎樣才算是一個合格的上網(wǎng)行為運維工程師

◆上網(wǎng)行為運維工作師需要什么樣的技能及素質(zhì)

◆網(wǎng)站上網(wǎng)行為運維管理經(jīng)驗探討和心得分享

◆網(wǎng)管軟件專區(qū)