局城网安全管理技术浅析
【网学提醒】:本文主要为网上学习者提供局城网安全管理技术浅析,希望对需要局城网安全管理技术浅析网友有所帮助,学习一下吧!
资料包括: 论文(3页1509字)
说明:
当前,局域网普遍采用以广播技术为基础的以太网网络,而广播技术导致任何通讯双方的数据包不但被双方网卡接收到,同时也容易为处在同一以太网的第三方网卡所接收。由此可见,只要接人以太网的任意瑞点进行侦听,就能捕获发生在这个以太网的所有数据包,对其加以解包分析,便能获取其中的关键信息,这便是以太网的安全漏洞。更为可怕的是,互联网上众多黑客软件,如:ISS、NET—CAT、SATAN等,都把对以太网侦听作为它们基本功能之一。据笔者所了解,目前局域网的安全管理应采取以下措施:
一、整个网络划分为不同的网段
网段的划分通常被认为是控制网络广播风暴的基本手段,但同时也是保证网络安全的一项重要措施。其作用就是将普通用户与重要的网络资源之间进行隔离,从而防止可能的侦听。网络分段有物理和逻辑两种。物理分段通常是指将网络从物理层和数据链路层(IS0/0SI模型中的第一层和第二层)上分为若干网段,各网段相互之间无法进行直接通讯。逻辑分段则是指将整个系统在网络层(IS0/0SI模型中的第三层)上进行分段。例如,对于TCP/IP网络,可把网络分成若干贩子网,各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接,利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。在实际应用过程中,通常采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制。
二、以交换式集线器联接终端用户
在对局域网的中心交换机进行网络分段后,以太网侦听的危险依然不可避免。这是因为用户接人网络往往是通过分支集线器而非中心交换机,而分支集线器通常是共享式的,当用户与主机进行通信时,双方的数据包(单播包Uni—cast Packet)还是会被同一集线器上的其他用户所侦听到。因此,应该以交换式集线器取代共享式集线器。使单播包仅在两瑞点之间传送,防止非法侦听。虽然交换式集线器只能控制单播包而不能控制广播包(BIDadcast PacLet)和多播包(Mumcast Packet)。事实是,广播包和多播包的关键信息要远远少于单播包。
三、VLAN(虚拟局域网)技术的应用
为防止以太网络的广播风暴除上述方法外,还可以运用VLAN技术,将以太网通信变为点到点通信,防止大多数基于网络侦听的人侵。
目前的VLAN技术主要有以下四种:基于瑞口的VLAN、基于MAC地址的VlAN、基于路由的VLAN和基于策略的VLAN。基于瑞口的VLAN简单有效,其缺点是用户在转换断口后,网络管理员必须进行重新配置。基于MAC地址的VLAN允许用户自由移动到局域网的其他网段,但同时存在MAC欺诈攻击的可能,且随着网络规模的扩大,网络设备、用户的增加,会大大加大管理的难度。基于路由协议的VlAN允许一个VLAN跨越多个交换机,或一个断口可位于多个VlAN中。基于策略的VLAN是一种比较有效而直接的方式,主要取决于在VlAN的划分中采用的策略。
目录:
一、整个网络划分为不同的网段
二、以交换式集线器联接终端用户
三、VLAN(虚拟局域网)技术的应用
资料包括: 论文(3页1509字)
说明:
当前,局域网普遍采用以广播技术为基础的以太网网络,而广播技术导致任何通讯双方的数据包不但被双方网卡接收到,同时也容易为处在同一以太网的第三方网卡所接收。由此可见,只要接人以太网的任意瑞点进行侦听,就能捕获发生在这个以太网的所有数据包,对其加以解包分析,便能获取其中的关键信息,这便是以太网的安全漏洞。更为可怕的是,互联网上众多黑客软件,如:ISS、NET—CAT、SATAN等,都把对以太网侦听作为它们基本功能之一。据笔者所了解,目前局域网的安全管理应采取以下措施:
一、整个网络划分为不同的网段
网段的划分通常被认为是控制网络广播风暴的基本手段,但同时也是保证网络安全的一项重要措施。其作用就是将普通用户与重要的网络资源之间进行隔离,从而防止可能的侦听。网络分段有物理和逻辑两种。物理分段通常是指将网络从物理层和数据链路层(IS0/0SI模型中的第一层和第二层)上分为若干网段,各网段相互之间无法进行直接通讯。逻辑分段则是指将整个系统在网络层(IS0/0SI模型中的第三层)上进行分段。例如,对于TCP/IP网络,可把网络分成若干贩子网,各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接,利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。在实际应用过程中,通常采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制。
二、以交换式集线器联接终端用户
在对局域网的中心交换机进行网络分段后,以太网侦听的危险依然不可避免。这是因为用户接人网络往往是通过分支集线器而非中心交换机,而分支集线器通常是共享式的,当用户与主机进行通信时,双方的数据包(单播包Uni—cast Packet)还是会被同一集线器上的其他用户所侦听到。因此,应该以交换式集线器取代共享式集线器。使单播包仅在两瑞点之间传送,防止非法侦听。虽然交换式集线器只能控制单播包而不能控制广播包(BIDadcast PacLet)和多播包(Mumcast Packet)。事实是,广播包和多播包的关键信息要远远少于单播包。
三、VLAN(虚拟局域网)技术的应用
为防止以太网络的广播风暴除上述方法外,还可以运用VLAN技术,将以太网通信变为点到点通信,防止大多数基于网络侦听的人侵。
目前的VLAN技术主要有以下四种:基于瑞口的VLAN、基于MAC地址的VlAN、基于路由的VLAN和基于策略的VLAN。基于瑞口的VLAN简单有效,其缺点是用户在转换断口后,网络管理员必须进行重新配置。基于MAC地址的VLAN允许用户自由移动到局域网的其他网段,但同时存在MAC欺诈攻击的可能,且随着网络规模的扩大,网络设备、用户的增加,会大大加大管理的难度。基于路由协议的VlAN允许一个VLAN跨越多个交换机,或一个断口可位于多个VlAN中。基于策略的VLAN是一种比较有效而直接的方式,主要取决于在VlAN的划分中采用的策略。
目录:
一、整个网络划分为不同的网段
二、以交换式集线器联接终端用户
三、VLAN(虚拟局域网)技术的应用