局域网安全
局域网技术将网络资源共享的特性体现的淋漓尽致,越来越多的局域网被应用在写字楼,办公区,作为一个小范围的内部网络。但由于局域网中采用广播方式,因此,若在某个广播域中就可以侦听到所有的信息包,黑客就可以对信息包进行分析,那么本广播域的信息传递都会暴露在黑客面前。局域网采用一些基本措施来进行保护。下面我们分别进行介绍:
预备知识--广播技术:
在我们学习网络技术时,经常遇到“广播"这个概念,如IP地址广播、ARP(AddressResolutionProtocol地址解析协议)广播、广播信道等等。
“广播”在不同的上下文中有不同的具体含义,虽然其表面的意义是一样的,都是在以支持广播的信道上广播消息,让所有的接收者都能收到该消息(更确切地说,是处理该消息)。所以,只有在广播信道上,如以太网,我们才能涉及上述内容。
任一在广播信道上的主机发送消息都是采取广播发送,可以让同一网段上的主机处理。这是广播的最低级形式,存在于TCP/IP的数据链路层。这种广播就是以太网(也都是大多数的局域网)上处理消息的方式,其广播消息能跨越中继器,但不能跨越网桥和路由器。我们经常说的广播域(或冲突域)就是属于这种形式的广播。
Arp/Rarp广播是一种为了获取目标IP地址的Mac地址用的一种机制。属于TCP/IP网络层上的广播。这种广播能跨越网桥进行传播,但不能跨越路由器。
IP地址广播(如广播地址202.120.127.255),这种广播能跨越路由器,但这也是造成广播风暴的一种主要形式。
广播的概念随网络体系结构层次的不同而不同,我们要根据上下文严格区分。
局域网安全的基本措施:
1.网络分段
网络分段是保证安全的一项重要措施,其指导思想在于将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。
网络分段可分为物理分段和逻辑分段两种方式:
物理分段通常是指将网络从物理层和数据链路层(ISO/OSI模型中的第一层和第二层)上分为若干网段,各网段相互之间无法进行直接通讯。目前,许多交换机都有一定的访问控制能力,可实现对网络的物理分段。
逻辑分段则是指将整个系统在网络层(ISO/OSI模型中的第三层)上进行分段。例如,对于TCP/IP网络,可把网络分成若干IP子网,各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接,利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。在实际应用过程中,通常采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制。
2.虚拟网(VLAN)的实现
虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。
以太网从本质上基于广播机制,但应用了交换器和VLAN技术后,实际上转变为点到点通讯,除非设置了监听口,信息交换也不会存在监听和进行修改的问题。
由以上运行机制带来的网络安全的好处是显而易见的:
信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。
通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。
但是,虚拟网技术也带来了新的安全问题:
执行虚拟网交换的设备越来越复杂,从而成为被攻击的对象。基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。基于MAC的VLAN不能防止MAC欺骗攻击。
采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此,VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。
虚拟网之间的划分原则:
虚拟网的划分其目的是保证系统的安全性。因此,可以按照系统的安全性来划分虚拟网:可以将总部中的服务器系统单独划作一个VLAN,如数据库服务器、电子邮件服务器等。也可以按照机构的设置来划分虚拟网,如将领导所在的网络单独作为一个Leader 虚拟网(LVLAN), 其他司局(或下级机构)分别作为一个虚拟网,并且控制LVLAN与其他VLAN之间的单向信息流向,即允许LVLAN查看其他VLAN的相关信息,其他VLAN不能访问LVLAN的信息。虚拟网之内的连接采用交换实现, 虚拟网与虚拟网之间采用路由实现。由于路由控制的能力有限,不能实现LVLAN与其他VLAN之间的单向信息流动,可以在LVLAN与其他VLAN之间设置一个防火墙作为安全隔离设备,控制虚拟网与虚拟网之间的信息交流。
总之,无论采用网络分段还是实现虚拟网都在一定程度上保护了局域网的安全。
