第一篇：局域網(wǎng)安全

局域網(wǎng)安全

目前的局域網(wǎng)基本上都采用以廣播為技術(shù)基礎(chǔ)的以太網(wǎng)，任何兩個節(jié)點(diǎn)之間的通信數(shù)據(jù)包，不僅為這兩個節(jié)點(diǎn)的網(wǎng)卡所接收，也同時為處在同一以太網(wǎng)上的任何一個節(jié)點(diǎn)的網(wǎng)卡所截取。因此，黑客只要接入以太網(wǎng)上的任一節(jié)點(diǎn)進(jìn)行偵聽，就可以捕獲發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包，對其進(jìn)行解包分析，從而竊取關(guān)鍵信息，這就是以太網(wǎng)所固有的安全隱患。

事實(shí)上，Internet上許多免費(fèi)的黑客工具，如SATAN、ISS、NETCAT等等，都把以太網(wǎng)偵聽作為其最基本的手段。

當(dāng)前，局域網(wǎng)安全的解決辦法有以下幾種：

網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段，但其實(shí)也是保證網(wǎng)絡(luò)安全的一項重要措施。其目的就是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法偵聽，網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式。

目前，海關(guān)的局域網(wǎng)大多采用以交換機(jī)為中心、路由器為邊界的網(wǎng)絡(luò)格局，應(yīng)重點(diǎn)挖掘中心交換機(jī)的訪問控制功能和三層交換功能，綜合應(yīng)用物理分段與邏輯分段兩種方法，來實(shí)現(xiàn)對局域網(wǎng)的安全控制。例如：在海關(guān)系統(tǒng)中普遍使用的DEC MultiSwitch 900的入侵檢測功能，其實(shí)就是一種基于MAC地址的訪問控制，也就是上述的基于數(shù)據(jù)鏈路層的物理分段。

2．以交換式集線器代替共享式集線器

對局域網(wǎng)的中心交換機(jī)進(jìn)行網(wǎng)絡(luò)分段后，以太網(wǎng)偵聽的危險仍然存在。這是因?yàn)榫W(wǎng)絡(luò)最終用戶的接入往往是通過分支集線器而不是中心交換機(jī)，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時，兩臺機(jī)器之間的數(shù)據(jù)包（稱為單播包Unicast Packet）還是會被同一臺集線器上的其他用戶所偵聽。一種很危險的情況是：用戶TELNET到一臺主機(jī)上，由于TELNET程序本身缺乏加密功能，用戶所鍵入的每一個字符（包括用戶名、密碼等重要信息），都將被明文發(fā)送，這就給黑客提供了機(jī)會。

因此，應(yīng)該以交換式集線器代替共享式集線器，使單播包僅在兩個節(jié)點(diǎn)之間傳送，從而防止非法偵聽。當(dāng)然，交換式集線器只能控制單播包而無法控制廣播包（Broadcast Packet）和多播包（Multicast Packet）。所幸的是，廣播包和多播包內(nèi)的關(guān)鍵信息，要遠(yuǎn)遠(yuǎn)少于單播包。

3．VLAN的劃分

為了克服以太網(wǎng)的廣播問題，除了上述方法外，還可以運(yùn)用VLAN（虛擬局域網(wǎng)）技術(shù)，將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信，防止大部分基于網(wǎng)絡(luò)偵聽的入侵。

目前的VLAN技術(shù)主要有三種：基于交換機(jī)端口的VLAN、基于節(jié)點(diǎn)MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN?；诙丝诘腣LAN雖然稍欠靈活，但卻比較成熟，在實(shí)際應(yīng)用中效果顯著，廣受歡迎。基于MAC地址的VLAN為移動計算提供了可能性，但同時也潛藏著遭受MAC欺詐攻擊的隱患。而基于協(xié)議的VLAN，理論上非常理想，但實(shí)際應(yīng)用卻尚不成熟。

在集中式網(wǎng)絡(luò)環(huán)境下，我們通常將中心的所有主機(jī)系統(tǒng)集中到一個VLAN里，在這個VLAN里不允許有任何用戶節(jié)點(diǎn)，從而較好地保護(hù)敏感的主機(jī)資源。在分布式網(wǎng)絡(luò)環(huán)境下，我們可以按機(jī)構(gòu)或部門的設(shè)置來劃分VLAN。各部門內(nèi)部的所有服務(wù)器和用戶節(jié)點(diǎn)都在各自的VLAN內(nèi)，互不侵?jǐn)_。

VLAN內(nèi)部的連接采用交換實(shí)現(xiàn)，而VLAN與VLAN之間的連接則采用路由實(shí)現(xiàn)。目前，大多數(shù)的交換機(jī)（包括海關(guān)內(nèi)部普遍采用的DEC MultiSwitch 900）都支持RIP和OSPF這兩種國際標(biāo)準(zhǔn)的路由協(xié)議。如果有特殊需要，必須使用其他路由協(xié)議（如CISCO公司的EIGRP或支持DECnet的IS－IS），也可以用外接的多以太網(wǎng)口路由器來代替交換機(jī)，實(shí)現(xiàn)VLAN之間的路由功能。當(dāng)然，這種情況下，路由轉(zhuǎn)發(fā)的效率會有所下降。

無論是交換式集線器還是VLAN交換機(jī)，都是以交換技術(shù)為核心，它們在控制廣播、防止黑客上相當(dāng)有效，但同時也給一些基于廣播原理的入侵監(jiān)控技術(shù)和協(xié)議分析技術(shù)帶來了麻煩。因此，如果局域網(wǎng)內(nèi)存在這樣的入侵監(jiān)控設(shè)備或協(xié)議分析設(shè)備，就必須選用特殊的帶有SPAN（Switch Port Analyzer）功能的交換機(jī)。這種交換機(jī)允許系統(tǒng)管理員將全部或某些交換端口的數(shù)據(jù)包映射到指定的端口上，提供給接在這一端口上的入侵監(jiān)控設(shè)備或協(xié)議分析設(shè)備。筆者在廈門海關(guān)外部網(wǎng)設(shè)計中，就選用了Cisco公司的具備SPAN功能的Catalyst系列交換機(jī)，既得到了交換技術(shù)的好處，又使原有的Sniffer協(xié)議分析儀“英雄有用武之地”。廣域網(wǎng)安全

由于廣域網(wǎng)大多采用公網(wǎng)來進(jìn)行數(shù)據(jù)傳輸，信息在廣域網(wǎng)上傳輸時被截取和利用的可能性就比局域網(wǎng)要大得多。如果沒有專用的軟件對數(shù)據(jù)進(jìn)行控制，只要使用Internet上免費(fèi)下載的“包檢測”工具軟件，就可以很容易地對通信數(shù)據(jù)進(jìn)行截取和破譯。

因此，必須采取手段，使得在廣域網(wǎng)上發(fā)送和接收信息時能夠保證：

①除了發(fā)送方和接收方外，其他人是無法知悉的（隱私性）；

②傳輸過程中不被篡改（真實(shí)性）；

③發(fā)送方能確知接收方不是假冒的（非偽裝性）；

④發(fā)送方不能否認(rèn)自己的發(fā)送行為（不可抵賴性）。

為了達(dá)到以上安全目的，廣域網(wǎng)通常采用以下安全解決辦法：

1．加密技術(shù)

加密型網(wǎng)絡(luò)安全技術(shù)的基本思想是不依賴于網(wǎng)絡(luò)中數(shù)據(jù)通道的安全性來實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全，而是通過對網(wǎng)絡(luò)數(shù)據(jù)的加密來保障網(wǎng)絡(luò)的安全可靠性。數(shù)據(jù)加密技術(shù)可以分為三類，即對稱型加密、不對稱型加

密和不可逆加密。

其中不可逆加密算法不存在密鑰保管和分發(fā)問題，適用于分布式網(wǎng)絡(luò)系統(tǒng)，但是其加密計算量相當(dāng)可觀，所以通常用于數(shù)據(jù)量有限的情形下使用。計算機(jī)系統(tǒng)中的口令就是利用不可逆加密算法加密的。近年來，隨著計算機(jī)系統(tǒng)性能的不斷提高，不可逆加密算法的應(yīng)用逐漸增加，常用的如RSA公司的MD5和美國國家標(biāo)準(zhǔn)局的SHS。在海關(guān)系統(tǒng)中廣泛使用的Cisco路由器，有兩種口令加密方式：Enable Secret和Enable Password。其中，Enable Secret就采用了MD5不可逆加密算法，因而目前尚未發(fā)現(xiàn)破解方法（除非使用字典攻擊法）。而Enable Password則采用了非常脆弱的加密算法（即簡單地將口令與一個常數(shù)進(jìn)行XOR與或運(yùn)算），目前至少已有兩種破解軟件。因此，最好不用Enable Password。

2．VPN技術(shù)

VPN（虛擬專網(wǎng)）技術(shù)的核心是采用隧道技術(shù)，將企業(yè)專網(wǎng)的數(shù)據(jù)加密封裝后，透過虛擬的公網(wǎng)隧道進(jìn)行傳輸，從而防止敏感數(shù)據(jù)的被竊。VPN可以在Internet、服務(wù)提供商的IP、幀中繼或ATM網(wǎng)上建立。企業(yè)通過公網(wǎng)建立VPN，就如同通過自己的專用網(wǎng)建立內(nèi)部網(wǎng)一樣，享有較高的安全性、優(yōu)先性、可靠性和可管理性，而其建立周期、投入資金和維護(hù)費(fèi)用卻大大降低，同時還為移動計算提供了可能。因此，VPN技術(shù)一經(jīng)推出，便紅遍全球。

但應(yīng)該指出的是，目前VPN技術(shù)的許多核心協(xié)議，如L2TP、IPSec等，都還未形成通用標(biāo)準(zhǔn)。這就使得不同的VPN服務(wù)提供商之間、VPN設(shè)備之間的互操作性成為問題。因此，企業(yè)在VPN建網(wǎng)選型時，一定要慎重選擇VPN服務(wù)提供商和VPN設(shè)備。

3．身份認(rèn)證技術(shù)

對于從外部撥號訪問總部內(nèi)部網(wǎng)的用戶，由于使用公共電話網(wǎng)進(jìn)行數(shù)據(jù)傳輸所帶來的風(fēng)險，必須更加嚴(yán)格控制其安全性。一種常見的做法是采用身份認(rèn)證技術(shù)，對撥號用戶的身份進(jìn)行驗(yàn)證并記錄完備的登錄日志。較常用的身份認(rèn)證技術(shù)，有Cisco公司提出的TACACS＋以及業(yè)界標(biāo)準(zhǔn)的RADIUS。筆者在廈門海關(guān)外部網(wǎng)設(shè)計中，就選用了Cisco公司的CiscoSecure ACS V2．3軟件進(jìn)行RADIUS身份認(rèn)證。外部網(wǎng)安全

海關(guān)的外部網(wǎng)建設(shè)，通常指與Internet的互聯(lián)及與外部企業(yè)用戶的互聯(lián)兩種。無論哪一種外部網(wǎng)，都普遍采用基于TCP／IP的Internet協(xié)議族。Internet協(xié)議族自身的開放性極大地方便了各種計算機(jī)的組網(wǎng)和互聯(lián)，并直接推動了網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展。但是，由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計上對安全問題的忽視，以及Internet在使用和管理上的無政府狀態(tài)，逐漸使Internet自身的安全受到威脅，黑客事件頻頻發(fā)生。

對外部網(wǎng)安全的威脅主要表現(xiàn)在：非授權(quán)訪問、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運(yùn)行、利用網(wǎng)絡(luò)傳播病毒、線路竊聽等。

外部網(wǎng)安全解決辦法主要依靠防火墻技術(shù)、入侵檢測技術(shù)和網(wǎng)絡(luò)防病毒技術(shù)。在實(shí)際的外部網(wǎng)安全設(shè)計中，往往采取上述三種技術(shù)（即防火墻、入侵檢測、網(wǎng)絡(luò)防病毒）相結(jié)合的方法。筆者在廈門海關(guān)外部網(wǎng)設(shè)計中，就選用了NAI公司最新版本的三宿主自適應(yīng)動態(tài)防火墻Gauntlet Active Firewall。該防火墻產(chǎn)品集成了Gauntlet Firewall、CyberCop Scanner、CyberCop Monitor、WebShield for Firewall等套件，將防火墻技術(shù)、入侵檢測技術(shù)與網(wǎng)絡(luò)防病毒技術(shù)融為一體，緊密結(jié)合，相得益彰，性價比比較高。

第二篇：局域網(wǎng)安全畢業(yè)論文

論文關(guān)鍵詞：計算機(jī)網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 局域網(wǎng)安全 廣域網(wǎng)

論文摘要：隨著計算機(jī)網(wǎng)絡(luò)和互聯(lián)網(wǎng)的發(fā)展,局域網(wǎng)安全越來越受到人們的重視和關(guān)注。無論是在局域網(wǎng)還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的潛在威脅和網(wǎng)絡(luò)的脆弱性。故此，局域網(wǎng)的安全措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。為了確保信息的安全與暢通，研究局域網(wǎng)的安全以及防范措施已迫在眉睫。

1.當(dāng)前局域網(wǎng)安全形勢

1.1 計算機(jī)網(wǎng)絡(luò)的定義

計算機(jī)網(wǎng)絡(luò),就是利用通信設(shè)備和線路將地理位置不同的、功能獨(dú)立的多個計算機(jī)系統(tǒng)互連起來,以功能完善的網(wǎng)絡(luò)軟件(即網(wǎng)絡(luò)通信協(xié)議、信息交換方式和網(wǎng)絡(luò)操作系統(tǒng)等)實(shí)現(xiàn)網(wǎng)絡(luò)中資源共享和信息傳遞的系統(tǒng)。[①]

計算機(jī)網(wǎng)絡(luò)由通信子網(wǎng)和資源子網(wǎng)兩部分構(gòu)成。通信子網(wǎng)是計算機(jī)網(wǎng)絡(luò)中負(fù)責(zé)數(shù)據(jù)通信的部分；資源子網(wǎng)是計算機(jī)網(wǎng)絡(luò)中面向用戶的部分，負(fù)責(zé)全網(wǎng)絡(luò)面向應(yīng)用的數(shù)據(jù)處理工作。就局域網(wǎng)而言，通信子網(wǎng)由網(wǎng)卡、線纜、集線器、中繼器、網(wǎng)橋、路由器、交換機(jī)等設(shè)備和相關(guān)軟件組成。資源子網(wǎng)由連網(wǎng)的服務(wù)器、工作站、共享的打印機(jī)和其它設(shè)備及相關(guān)軟件所組成。

1.2 網(wǎng)絡(luò)安全定義

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。[②]

1.3 局域網(wǎng)安全

局域網(wǎng)的安全主要包括物理安全與邏輯安全。物理安全主要指網(wǎng)絡(luò)硬件的維護(hù)、使用及管理等；邏輯安全是從軟件的角度提出的，主要指數(shù)據(jù)的保密性、完整性、可用性等。

1.3.1 來自互聯(lián)網(wǎng)的安全威脅

局域網(wǎng)是與Inernet互連的。由于Internet的開放性、國際性與自由性，局域網(wǎng)將面臨更加嚴(yán)重的安全威脅。如果局域網(wǎng)與外部網(wǎng)絡(luò)間沒有采取一定的安全防護(hù)措施，很容易遭到來自Internet 黑客的各種攻擊。他們可以通過嗅探程序來探測、掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò)I P 地址、應(yīng)用操作系統(tǒng)的類型、開放的T C P 端口號、系統(tǒng)用來保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過相應(yīng)攻擊程序進(jìn)行攻擊。他們還可以通過網(wǎng)絡(luò)監(jiān)聽等手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)絡(luò)中重要信息。還能通過發(fā)送大量數(shù)據(jù)包對網(wǎng)絡(luò)服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作導(dǎo)致拒絕服務(wù)，甚至使系統(tǒng)癱瘓。

1.3.2 來自局域網(wǎng)內(nèi)部的安全威脅

內(nèi)部管理人員把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏；內(nèi)部職工有的可能熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點(diǎn)，利用網(wǎng)絡(luò)開些小玩笑，甚至搞破壞。如，泄漏至關(guān)重要的信息、錯誤地進(jìn)入數(shù)據(jù)庫、刪除數(shù)據(jù)等，這些都將給網(wǎng)絡(luò)造成極大的安全威脅。

1.4 局域網(wǎng)當(dāng)前形勢及面臨的問題

隨著局域網(wǎng)絡(luò)技術(shù)的發(fā)展和社會信息化進(jìn)程的加快,現(xiàn)在人們的生活、工作、學(xué)習(xí)、娛樂和交往都已離不開計算機(jī)網(wǎng)絡(luò)?，F(xiàn)今，全球網(wǎng)民數(shù)量已接近7億，網(wǎng)絡(luò)已經(jīng)成為生活離不開的工具，經(jīng)濟(jì)、文化、軍事和社會活動都強(qiáng)烈地依賴于網(wǎng)絡(luò)。網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性以及信息系統(tǒng)的脆弱性、開放性和易受攻擊性，決定了網(wǎng)絡(luò)安全威脅的客觀存在。盡管計算機(jī)網(wǎng)絡(luò)為人們提供了巨大的方便，但是受技術(shù)和社會因素的各種影響，計算機(jī)網(wǎng)絡(luò)一直存在著多種安全缺陷。攻擊者經(jīng)常利用這些缺陷，實(shí)施攻擊和入侵，給計算機(jī)網(wǎng)絡(luò)造成極大的損害網(wǎng)絡(luò)攻擊、病毒傳播、垃圾郵件等迅速增長，利用網(wǎng)絡(luò)進(jìn)行盜竊、詐騙、敲詐勒索、竊密等案件逐年上升，嚴(yán)重影響了網(wǎng)絡(luò)的正常秩序，嚴(yán)重?fù)p害了網(wǎng)民的利益；網(wǎng)上色情、暴力等不良和有害信息的傳播，嚴(yán)重危害了青少年的身心健康。網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性正在成為世界各國共同關(guān)注的焦點(diǎn)。

根據(jù)中國互聯(lián)網(wǎng)信息中心2006年初發(fā)布的統(tǒng)計報告顯示：我國互聯(lián)網(wǎng)網(wǎng)站近百萬家，上網(wǎng)用戶1億多，網(wǎng)民數(shù)和寬帶上網(wǎng)人數(shù)均居全球第二。同時，網(wǎng)絡(luò)安全風(fēng)險也無處不在，各種網(wǎng)絡(luò)安全漏洞大量存在和不斷被發(fā)現(xiàn)，計算機(jī)系統(tǒng)遭受病毒感染和破壞的情況相當(dāng)嚴(yán)重，計算機(jī)病毒呈現(xiàn)出異常活躍的態(tài)勢。面對網(wǎng)絡(luò)安全的嚴(yán)峻形勢，我國的網(wǎng)絡(luò)安全保障工作尚處于起步階段，基礎(chǔ)薄弱，水平不高，網(wǎng)絡(luò)安全系統(tǒng)在預(yù)測、反應(yīng)、防范和恢復(fù)能力方面存在許多薄弱環(huán)節(jié)，安全防護(hù)能力不僅大大低于美國、俄羅斯和以色列等信息安全強(qiáng)國，而且排在印度、韓國之后。在監(jiān)督管理方面缺乏依據(jù)和標(biāo)準(zhǔn)，監(jiān)管措施不到位，監(jiān)管體系尚待完善，網(wǎng)絡(luò)信息安全保障制度不健全、責(zé)任不落實(shí)、管理不到位。網(wǎng)絡(luò)信息安全法律法規(guī)不夠完善，關(guān)鍵技術(shù)和產(chǎn)品受制于人，網(wǎng)絡(luò)信息安全服務(wù)機(jī)構(gòu)專業(yè)化程度不高，行為不規(guī)范，網(wǎng)絡(luò)安全技術(shù)與管理人才缺乏。

面對網(wǎng)絡(luò)安全的嚴(yán)峻形勢，如何建設(shè)高質(zhì)量、高穩(wěn)定性、高可靠性的安全網(wǎng)絡(luò)成為通信行業(yè)乃至整個社會發(fā)展所要面臨和解決的重大課題。

2.常用局域網(wǎng)的攻擊方法

2.1 ARP欺騙

2.1.1 ARP協(xié)議

ARP（Address Resolution Protocol）是地址解析協(xié)議，是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。ARP具體說來就是將網(wǎng)絡(luò)層（IP層，也就是相當(dāng)于OSI的第三層）地址解析為數(shù)據(jù)連接層（MAC層，也就是相當(dāng)于OSI的第二層）的MAC地址。

ARP原理：某機(jī)器A要向主機(jī)B發(fā)送報文，會查詢本地的ARP緩存表，找到B的IP地址對應(yīng)的MAC地址后，就會進(jìn)行數(shù)據(jù)傳輸。如果未找到，則廣播A一個ARP請求報文（攜帶主機(jī)A的IP地址IA——物理地址PA），請求IP地址為IB的主機(jī)B回答物理地址PB。網(wǎng)上所有主機(jī)包括B都收到ARP請求，但只有主機(jī)B識別自己的IP地址，于是向A主機(jī)發(fā)回一個ARP響應(yīng)報文。其中就包含有B的MAC地址，A接收到B的應(yīng)答后，就會更新本地的ARP緩存。接著使用這個MAC地址發(fā)送數(shù)據(jù)（由網(wǎng)卡附加MAC地址）。因此，本地高速緩存的這個ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ)，而且這個緩存是動態(tài)的。

假如我們有兩個網(wǎng)段、三臺主機(jī)、兩個網(wǎng)關(guān)、分別是：

主機(jī)名 IP地址 MAC地址

網(wǎng)關(guān)1 192.168.1.1 01-01-01-01-01-01

主機(jī)A 192.168.1.2 02-02-02-02-02-02

主機(jī)B 192.168.1.3 03-03-03-03-03-03

網(wǎng)關(guān)2 10.1.1.1 04-04-04-04-04-04

主機(jī)C 10.1.1.2 05-05-05-05-05-05

假如主機(jī)A要與主機(jī)B通訊，它首先會通過網(wǎng)絡(luò)掩碼比對，確認(rèn)出主機(jī)B是否在自己同一網(wǎng)段內(nèi)，如果在它就會檢查自己的ARP緩存中是否有192.168.1.3這個地址對應(yīng)的MAC地址，如果沒有它就會向局域網(wǎng)的廣播地址發(fā)送ARP請求包，即目的MAC地址是全1的廣播詢問幀，0xffffffffffffH 02-02-02-02-02-02 192.168.1.3 192.168.1.2；如果B存在的話，必須作出應(yīng)答，回答―B的MAC地址是…‖的單播應(yīng)答幀，02-02-02-02-02-02 03-03-03-03-03-03 192.168.1.2 192.168.1.3；A收到應(yīng)答幀后，把―192.168.1.3 03-03-03-03-03-03 動態(tài)‖寫入ARP表。這樣的話主機(jī)A就得到了主機(jī)B的MAC地址，并且它會把這個對應(yīng)的關(guān)系存在自己的ARP緩存表中。之后主機(jī)A與主機(jī)B之間的通訊就依靠兩者緩存表里的MAC地址來通訊了，直到通訊停止后兩分鐘，這個對應(yīng)關(guān)系才會被從表中刪除。

如果是非局域網(wǎng)內(nèi)部的通訊過程，假如主機(jī)A需要和主機(jī)C進(jìn)行通訊，它首先會通過比對掩碼發(fā)現(xiàn)這個主機(jī)C的IP地址并不是自己同一個網(wǎng)段內(nèi)的，因此需要通過網(wǎng)關(guān)來轉(zhuǎn)發(fā)，這樣的話它會檢查自己的ARP緩存表里是否有網(wǎng)關(guān)1(192.168.1.1)對應(yīng)的MAC地址，如果沒有就通過ARP請求獲得，如果有就直接與網(wǎng)關(guān)通訊，然后再由網(wǎng)關(guān)1通過路由將數(shù)據(jù)包送到網(wǎng)關(guān)2，網(wǎng)關(guān)2收到這個數(shù)據(jù)包后發(fā)現(xiàn)是送給主機(jī)C（10.1.1.2）的，它就會檢查自己的ARP緩存（沒錯，網(wǎng)關(guān)一樣有自己的ARP緩存），看看里面是否有10.1.1.2對應(yīng)的MAC地址，如果沒有就使用ARP協(xié)議獲得，如果有就是用該MAC地址將數(shù)據(jù)轉(zhuǎn)發(fā)給主機(jī)C。

2.1.2 ARP欺騙原理

在以太局域網(wǎng)內(nèi)數(shù)據(jù)包傳輸依靠的是MAC地址，IP地址與MAC對應(yīng)的關(guān)系依靠ARP表，每臺主機(jī)（包括網(wǎng)關(guān)）都有一個ARP緩存表。在正常情況下這個緩存表能夠有效的保證數(shù)據(jù)傳輸?shù)囊粚σ恍裕簿褪钦f主機(jī)A與主機(jī)C之間的通訊只通過網(wǎng)關(guān)1和網(wǎng)關(guān)2，像主機(jī)B之類的是無法截獲A與C之間的通訊信息的。但是在ARP緩存表的實(shí)現(xiàn)機(jī)制中存在一個不完善的地方，當(dāng)主機(jī)收到一個ARP的應(yīng)答包后，它并不會去驗(yàn)證自己是否發(fā)送過這個ARP請求，而是直接將應(yīng)答包里的MAC地址與IP對應(yīng)的關(guān)系替換掉原有的ARP緩存表里的相應(yīng)信息。

這就導(dǎo)致主機(jī)B截取主機(jī)A與主機(jī)C之間的數(shù)據(jù)通信成為可能。首先主機(jī)B向主機(jī)A發(fā)送一個ARP應(yīng)答包說192.168.1.1的MAC地址是03-03-03-03-03-03，主機(jī)A收到這個包后并沒有去驗(yàn)證包的真實(shí)性而是直接將自己ARP列表中的192.168.1.1的MAC地址替換成03-03-03-03-03-03，同時主機(jī)B向網(wǎng)關(guān)1發(fā)送一個ARP響應(yīng)包說192.168.1.2的MAC是03-03-03-03-03-03，同樣網(wǎng)關(guān)1也沒有去驗(yàn)證這個包的真實(shí)性就把自己ARP表中的192.168.1.2的MAC地址替換成03-03-03-03-03-03。當(dāng)主機(jī)A想要與主機(jī)C通訊時，它直接把應(yīng)該發(fā)送給網(wǎng)關(guān)1(192.168.1.1)的數(shù)據(jù)包發(fā)送到03-03-03-03-03-03這個MAC地址，也就是發(fā)給了主機(jī)B，主機(jī)B在收到這個包后經(jīng)過修改再轉(zhuǎn)發(fā)給真正的網(wǎng)關(guān)1，當(dāng)從主機(jī)C返回的數(shù)據(jù)包到達(dá)網(wǎng)關(guān)1后，網(wǎng)關(guān)1也使用自己ARP表中的MAC，將發(fā)往192.168.1.2這個IP地址的數(shù)據(jù)發(fā)往03-03-03-03-03-03這個MAC地址也就是主機(jī)B，主機(jī)B在收到這個包后再轉(zhuǎn)發(fā)給主機(jī)A完成一次完整的數(shù)據(jù)通訊，這樣就成功的實(shí)現(xiàn)了一次ARP欺騙攻擊。因此簡單點(diǎn)說ARP欺騙的目的就是為了實(shí)現(xiàn)全交換環(huán)境下的數(shù)據(jù)監(jiān)聽與篡改。也就是說欺騙者必須同時對網(wǎng)關(guān)和主機(jī)進(jìn)行欺騙。

2.1.3 ARP病毒清除

感染病毒后，需要立即斷開網(wǎng)絡(luò)，以免影響其他電腦使用。重新啟動到DOS模式下，用殺毒軟件進(jìn)行全面殺毒。

臨時處理對策：

步驟

一、能上網(wǎng)情況下，輸入命令arp –a，查看網(wǎng)關(guān)IP對應(yīng)的正確MAC地址，將其記錄下來。如果已經(jīng)不能上網(wǎng)，則運(yùn)行一次命令arp –d將arp緩存中的內(nèi)容刪空，計算機(jī)可暫時恢復(fù)上網(wǎng)（攻擊如果不停止的話），一旦能上網(wǎng)就立即將網(wǎng)絡(luò)斷掉（禁用網(wǎng)卡或拔掉網(wǎng)線），再運(yùn)行arp –a。

步驟

二、如果已經(jīng)有網(wǎng)關(guān)的正確MAC地址，在不能上網(wǎng)時，手工將網(wǎng)關(guān)IP和正確MAC綁定，可確保計算機(jī)不再被攻擊影響。輸入命令：arp –s，網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC手工綁定在計算機(jī)關(guān)機(jī)重開機(jī)后就會失效，需要再綁定?？梢园言撁罘旁赼utoexec.bat中，每次開機(jī)即自動運(yùn)行。

2.2 網(wǎng)絡(luò)監(jiān)聽

2.2.1 網(wǎng)絡(luò)監(jiān)聽的定義

眾所周知，電話可以進(jìn)行監(jiān)聽，無線電通訊可以監(jiān)聽，而計算機(jī)網(wǎng)絡(luò)使用的數(shù)字信號在線路上傳輸時，同樣也可以監(jiān)聽。網(wǎng)絡(luò)監(jiān)聽也叫嗅探器，其英文名是Sniffer，即將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)捕獲并進(jìn)行分析的行為。[③]

網(wǎng)絡(luò)監(jiān)聽，在網(wǎng)絡(luò)安全上一直是一個比較敏感的話題，作為一種發(fā)展比較成熟的技術(shù)，監(jiān)聽在協(xié)助網(wǎng)絡(luò)管理員監(jiān)測網(wǎng)絡(luò)傳輸數(shù)據(jù)，排除網(wǎng)絡(luò)故障等方面具有不可替代的作用，因而一直備受網(wǎng)絡(luò)管理員的青睞。然而，在另一方面網(wǎng)絡(luò)監(jiān)聽也給網(wǎng)絡(luò)安全帶來了極大的隱患，許多的網(wǎng)絡(luò)入侵往往都伴隨著網(wǎng)絡(luò)監(jiān)聽行為，從而造成口令失竊，敏感數(shù)據(jù)被截獲等連鎖性安全事件。

2.2.2 網(wǎng)絡(luò)監(jiān)聽的基本原理

局域網(wǎng)中的數(shù)據(jù)是以廣播方式發(fā)送的，局域網(wǎng)中的每臺主機(jī)都時刻在監(jiān)聽網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)，主機(jī)中的網(wǎng)卡將監(jiān)聽到的數(shù)據(jù)幀中的MAC地址與自己的MAC地址進(jìn)行比較，如果兩者相同就接收該幀，否則就丟掉該幀。如果把對網(wǎng)卡進(jìn)行適當(dāng)?shù)脑O(shè)置和修改，將它設(shè)置為混雜模式，在這種狀態(tài)下它就能接收網(wǎng)絡(luò)中的每一個信息包。網(wǎng)絡(luò)監(jiān)聽就是依據(jù)這種原理來監(jiān)測網(wǎng)絡(luò)中流動的數(shù)據(jù)。

2.2.3 網(wǎng)絡(luò)監(jiān)聽的檢測

2.2.3.1 在本地計算機(jī)上進(jìn)行檢測

（1）檢查網(wǎng)卡是否處于混雜模式?？梢岳靡恍┈F(xiàn)成的工具軟件來發(fā)現(xiàn)，例如：AntiSniff，ARP 探測技術(shù)。也可以編寫一些程序來實(shí)現(xiàn)。在Linux 下，有現(xiàn)成的函數(shù)，比較容易實(shí)現(xiàn)，而在Windows平臺上，并沒有現(xiàn)成的函數(shù)來實(shí)現(xiàn)這個功能，要自己編寫程序來實(shí)現(xiàn)?？梢岳靡恍┈F(xiàn)成的工具軟件來發(fā)現(xiàn)，例如：AntiSniff，ARP探測技術(shù)。也可以編寫一些程序來實(shí)現(xiàn)。在Linux下，有現(xiàn)成的函數(shù)，比較容易實(shí)現(xiàn)，而在Windows平臺上，并沒有現(xiàn)成的函數(shù)來實(shí)現(xiàn)這個功能，要自己編寫程序來實(shí)現(xiàn)。

（2）搜索法。在本地主機(jī)上搜索所有運(yùn)行的進(jìn)程，就可以知道是否有人在進(jìn)行網(wǎng)絡(luò)監(jiān)聽。在Windows系統(tǒng)下，按下Ctrl+Alt+Del可以得到任務(wù)列表，查看是否有監(jiān)聽程序在運(yùn)行。如果有不熟悉的進(jìn)程，或者通過跟另外一臺機(jī)器比較，看哪些進(jìn)程是有可能是監(jiān)聽進(jìn)程。

2.2.3.2 在其它計算機(jī)上進(jìn)行檢測

（1）觀察法。如果某臺電腦沒有監(jiān)聽的話，無論是信息的傳送還是電腦對信息的響應(yīng)時間等方面都是正常的，如果被監(jiān)聽的話，就會出現(xiàn)異常情況。我們可以通過觀察一些異常情況來判斷電腦是否有被監(jiān)聽。

網(wǎng)絡(luò)通訊掉包率是否反常地高。例如ping命令會顯示掉了百分幾的信息包。如果網(wǎng)絡(luò)中有人在監(jiān)聽，就會攔截每個信息包，從而導(dǎo)致信息包丟包率提高。

網(wǎng)絡(luò)帶寬是否出現(xiàn)反常。如果某臺計算機(jī)長時間的占用了較大的帶寬，對外界的響應(yīng)很慢，這臺計算機(jī)就有可能被監(jiān)聽。

機(jī)器性能是否下降。向網(wǎng)上發(fā)大量不存在的物理地址的包，而監(jiān)聽程序往往就會將這些包進(jìn)行處理，這樣就會導(dǎo)致機(jī)器性能下降，可以用icmp echo delay 來判斷和比較它。

（2）PING 法。這種檢測原理基于以太網(wǎng)的數(shù)據(jù)鏈路層和TCP/IP 網(wǎng)絡(luò)層的實(shí)現(xiàn)，是一種非常有效的測試方法。

ping法的原理：如果一個以太網(wǎng)的數(shù)據(jù)包的目的MAC 地址不屬于本機(jī)，該包會在以太網(wǎng)的數(shù)據(jù)鏈路層上被拋棄，無法進(jìn)入TCP/IP 網(wǎng)絡(luò)層；進(jìn)入TCP/IP 網(wǎng)絡(luò)層的數(shù)據(jù)包，如果解析該包后，發(fā)現(xiàn)這是一個包含本機(jī)ICMP 回應(yīng)請示的TCP 包(PING 包)，則網(wǎng)絡(luò)層向該包的發(fā)送主機(jī)發(fā)送ICMP 回應(yīng)。

我們可以構(gòu)造一個PING 包，包含正確的IP 地址和錯誤的MAC 地址，其中IP 地址是可疑主機(jī)的IP地址，MAC 地址是偽造的，這樣如果可疑主機(jī)的網(wǎng)卡工作在正常模式，則該包將在可疑主機(jī)的以太網(wǎng)的數(shù)據(jù)鏈路層上被丟棄，TCP/IP 網(wǎng)絡(luò)層接收不到數(shù)據(jù)因而也不會有什么反應(yīng)。如果可疑主機(jī)的網(wǎng)卡工作在混雜模式，它就能接收錯誤的MAC 地址，該非法包會被數(shù)據(jù)鏈路層接收而進(jìn)入上層的TCP/IP 網(wǎng)絡(luò)層，TCP/IP 網(wǎng)絡(luò)層將對這個非法的PING 包產(chǎn)生回應(yīng)，從而暴露其工作模式。

使用 PING 方法的具體步驟及結(jié)論如下：

① 假設(shè)可疑主機(jī)的IP 地址為192.168.10.11，MAC 地址是00-E0-4C-3A-4B-A5，檢測者和可疑主機(jī)位于同一網(wǎng)段。

② 稍微修改可疑主機(jī)的MAC 地址，假設(shè)改成00-E0-4C-3A-4B-A4。

③ 向可疑主機(jī)發(fā)送一個PING 包，包含它的IP 和改動后的MAC 地址。

④ 沒有被監(jiān)聽的主機(jī)不能夠看到發(fā)送的數(shù)據(jù)包，因?yàn)檎５闹鳈C(jī)檢查這個數(shù)據(jù)包，比較數(shù)據(jù)包的MAC 地址與自己的MAC 地址不相符，則丟棄這個數(shù)據(jù)包，不產(chǎn)生回應(yīng)。

⑤ 如果看到回應(yīng)，說明數(shù)據(jù)包沒有被丟棄，也就是說，可疑主機(jī)被監(jiān)聽了。

（3）ARP 法。除了使用PING 進(jìn)行監(jiān)測外，還可以利用ARP 方式進(jìn)行監(jiān)測的。這種模式使用ARP數(shù)據(jù)包替代了上述的ICMP 數(shù)據(jù)包。向局域網(wǎng)內(nèi)的主機(jī)發(fā)送非廣播方式的ARP 包，如果局域網(wǎng)內(nèi)的某個主機(jī)以自己的IP 地址響應(yīng)了這個ARP 請求，那么就可以判斷它很可能就處于網(wǎng)絡(luò)監(jiān)聽模式了。

（4）響應(yīng)時間測試法。這種檢測已被證明是最有效的。它能夠發(fā)現(xiàn)網(wǎng)絡(luò)中處于監(jiān)聽模式的機(jī)器，而不管其操作系統(tǒng)是什么。非監(jiān)聽模式的機(jī)器的響應(yīng)時間變化量會很小，而監(jiān)聽模式的機(jī)器的響應(yīng)時間變化量則通常會較大。

2.2.4 網(wǎng)絡(luò)監(jiān)聽的防范措施

為了防止網(wǎng)絡(luò)上的主機(jī)被監(jiān)聽，有多種技術(shù)手段，可以歸納為以下三類。

第一種是預(yù)防，監(jiān)聽行為要想發(fā)生，一個重要的前提條件就是網(wǎng)絡(luò)內(nèi)部的一臺有漏洞的主機(jī)被攻破，只有利用被攻破的主機(jī)，才能進(jìn)行監(jiān)聽，從而收集以網(wǎng)絡(luò)內(nèi)重要的數(shù)據(jù)。因此，要預(yù)防網(wǎng)絡(luò)中的主機(jī)被攻破。這就要求我們養(yǎng)成良好的使用計算機(jī)的習(xí)慣，不隨意下載和使用來歷不明的軟件，及時給計算機(jī)打上補(bǔ)丁程序，安裝防火墻等措施，涉及到國家安全的部門還應(yīng)該有防電輻射技術(shù)，干擾技術(shù)等等，防止數(shù)據(jù)被監(jiān)聽。

二是被動防御，主要是采取數(shù)據(jù)加密技術(shù)，數(shù)據(jù)加密是對付監(jiān)聽的最有效的辦法。網(wǎng)上的信息絕大多數(shù)都是以明文的形式傳輸，容易辨認(rèn)。一旦口令被截獲，入侵者就可以非常容易地登錄到另一臺主機(jī)。對在網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密后，監(jiān)聽器依然可以捕獲傳送的信息，但顯示的是亂碼。使用加密技術(shù)，不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效方法之一，但是它的缺點(diǎn)是速度問題。幾乎所有的加密技術(shù)都將導(dǎo)致網(wǎng)絡(luò)的延遲，加密技術(shù)越強(qiáng)，網(wǎng)絡(luò)速度就越慢。只有很重要的信息才采用加密技術(shù)進(jìn)行保護(hù)。

三是主動防御，主要是使用安全的拓?fù)浣Y(jié)構(gòu)和利用交換機(jī)劃分VLAN，這也是限制網(wǎng)絡(luò)監(jiān)聽的有效方法，這樣的監(jiān)聽行為只能發(fā)生在一個虛擬網(wǎng)中，最大限度地降低了監(jiān)聽的危害，但需要增加硬件設(shè)備的開支，實(shí)現(xiàn)起來要花費(fèi)不少的錢。

3.無線局域網(wǎng)安全威脅

3.1 非授權(quán)訪問

無線網(wǎng)絡(luò)中每個AP覆蓋的范圍都形成了通向網(wǎng)絡(luò)的一個新的入口。所以，未授權(quán)實(shí)體可以從外部或內(nèi)部進(jìn)入網(wǎng)絡(luò)，瀏覽存放在網(wǎng)絡(luò)上的信息；另外，也可以利用該網(wǎng)絡(luò)作為攻擊第三方的出發(fā)點(diǎn)，對移動終端發(fā)動攻擊。而且，IEEE 802.11標(biāo)準(zhǔn)采用單向認(rèn)證機(jī)制，只要求STA向AP進(jìn)行認(rèn)證，不要求AP向STA進(jìn)行認(rèn)證。入侵者可以通過這種協(xié)議上的缺陷對AP進(jìn)行認(rèn)證進(jìn)行攻擊，向AP發(fā)送大量的認(rèn)證請求幀，從而導(dǎo)致AP拒絕服務(wù)。

3.2 敏感信息泄露

WLAN物理層的信號是無線、全方位的空中傳播，開放傳輸使得其物理層的保密性無法保證。WLAN無線信號的覆蓋范圍一般都會超過實(shí)際需求，只要在信號覆蓋范圍內(nèi)入侵者就可以利用無線監(jiān)聽技術(shù)捕獲無線網(wǎng)絡(luò)的數(shù)據(jù)包，對網(wǎng)絡(luò)通信進(jìn)行分析，從而獲取有用信息。目前竊聽已經(jīng)成為無線局域網(wǎng)面臨的最大問題之一。

3.3 WEB缺陷威脅

有線等效保密WEP是IEEE 802.11無線局域網(wǎng)標(biāo)準(zhǔn)的一部分，它的主要作用是為無線網(wǎng)絡(luò)上的信息提供和有線網(wǎng)絡(luò)同一等級的機(jī)密性。IEEE選擇在數(shù)據(jù)鏈路層用RC4算法加密來防止對網(wǎng)絡(luò)進(jìn)行竊聽。WEP在每一個數(shù)據(jù)包中使用完整性校驗(yàn)字段來保證數(shù)據(jù)在傳輸過程中不被竄改，它使用了CRC-32校驗(yàn)。在WEP中明文通過和密鑰流進(jìn)行異或產(chǎn)生密文，為了加密，WEP要求所有無線網(wǎng)絡(luò)連接共享一個密鑰。實(shí)際上，網(wǎng)絡(luò)只使用一個或幾個密鑰，也很少更換。WEP算法根據(jù)密鑰和初始化向量IV產(chǎn)生密鑰流，確保后續(xù)的數(shù)據(jù)包用不同的密鑰流加密。但I(xiàn)V在一個相當(dāng)短的時間內(nèi)重用，使用24位的IV并不能滿足要求。一個24位的字段包含16777216個可能值, 假設(shè)網(wǎng)絡(luò)流量是11M, 傳輸2000字節(jié)的包，在7個小時左右, IV 就會重用。CRC-32不是一個很適合WEP的完整性校驗(yàn), 即使部分?jǐn)?shù)據(jù)以及CRC-32校驗(yàn)碼同時被修改也無法校驗(yàn)出來。

3.4 無線局域網(wǎng)的安全措施

3.4.1 阻止非法用戶的接入

（1）基于服務(wù)設(shè)置標(biāo)識符(SSID)防止非法用戶接入

服務(wù)設(shè)置標(biāo)識符SSID是用來標(biāo)識一個網(wǎng)絡(luò)的名稱，以此來區(qū)分不同的網(wǎng)絡(luò)，最多可以有32個字符。無線工作站設(shè)置了不同的SSID就可以進(jìn)入不同網(wǎng)絡(luò)。無線工作站必須提供正確的SSID與無線訪問點(diǎn)AP的SSID相同，才能訪問AP；如果出示的SSID與AP的SSID不同，那么AP將拒絕它通過本服務(wù)區(qū)上網(wǎng)。因此可以認(rèn)為SSID是一個簡單的口令，從而提供口令認(rèn)證機(jī)制，阻止非法用戶的接入，保障無線局域網(wǎng)的安全。SSID通常由AP廣播出來，例如通過windows XP自帶的掃描功能可以查看當(dāng)前區(qū)域內(nèi)的SSID。出于安全考慮，可禁止AP廣播其SSID號，這樣無線工作站端就必須主動提供正確的SSID號才能與AP進(jìn)行關(guān)聯(lián)。

（2）基于無線網(wǎng)卡物理地址過濾防止非法用戶接入

由于每個無線工作站的網(wǎng)卡都有惟一的物理地址，利用MAC地址阻止未經(jīng)授權(quán)的無限工作站接入。為AP 設(shè)置基于MAC 地址的Access Control（訪問控制表），確保只有經(jīng)過注冊的設(shè)備才能進(jìn)入網(wǎng)絡(luò)。因此可以在AP中手工維護(hù)一組允許訪問的MAC地址列表，實(shí)現(xiàn)物理地址過濾。但是MAC地址在理論上可以偽造，因此這也是較低級別的授權(quán)認(rèn)證。物理地址過濾屬于硬件認(rèn)證，而不是用戶認(rèn)證。這種方式要求AP中的MAC地址列表必需隨時更新，目前都是手工操作。如果用戶增加，則擴(kuò)展能力很差，因此只適合于小型網(wǎng)絡(luò)規(guī)模。

3.4.2 實(shí)行動態(tài)加密

動態(tài)加密技術(shù)是基于對稱加密和非對稱加密的結(jié)合，能有效地保證網(wǎng)絡(luò)傳輸?shù)陌踩?。動態(tài)加密著眼于無線網(wǎng)絡(luò)架構(gòu)中通信雙方本身，認(rèn)為每個通信方都應(yīng)承擔(dān)起會話中網(wǎng)絡(luò)信息傳輸?shù)陌踩?zé)任。會話建立階段，身份驗(yàn)證的安全需要非對稱加密以及對PKI的改進(jìn)來防止非授權(quán)訪問，同時完成初始密鑰的動態(tài)部署和管理工作，會話建立后，大量的數(shù)據(jù)安全傳輸必須通過對稱加密方式，但該系統(tǒng)通過一種動態(tài)加密的模式，摒棄了現(xiàn)有機(jī)制下靜態(tài)加密的若干缺陷，從而使通信雙方的每次―通信回合‖都有安全保證。在一個通信回合中，雙方將使用相同的對稱加密密鑰，是每個通信方經(jīng)過共同了解的信息計算而得到的，在通信回合之間，所使用的密鑰將實(shí)時改變，雖然與上次回合的密鑰有一定聯(lián)系，但外界無法推算出來。

3.4.3 數(shù)據(jù)的訪問控制

訪問控制的目標(biāo)是防止任何資源（如計算資源、通信資源或信息資源）進(jìn)行非授權(quán)的訪問,所謂非授權(quán)訪問包括未經(jīng)授權(quán)的使用、泄露、修改、銷毀以及發(fā)布指令等。用戶通過認(rèn)證，只是完成了接入無線局域網(wǎng)的第一步，還要獲得授權(quán)，才能開始訪問權(quán)限范圍內(nèi)的網(wǎng)絡(luò)資源，授權(quán)主要是通過訪問控制機(jī)制來實(shí)現(xiàn)。訪問控制也是一種安全機(jī)制，它通過訪問BSSID、MAC 地址過濾、控制列表ACL等技術(shù)實(shí)現(xiàn)對用戶訪問網(wǎng)絡(luò)資源的限制。訪問控制可以基于下列屬性進(jìn)行：源MAC地址、目的MAC地址、源IP 地址、目的IP地址、源端口、目的端口、協(xié)議類型、用戶ID、用戶時長等。

4.計算機(jī)局域網(wǎng)病毒及防治

雖然局域網(wǎng)采用的是專網(wǎng)形式，但因管理及使用方面等多種原因，計算機(jī)病毒也開始在局域網(wǎng)出現(xiàn)并迅速泛濫，給網(wǎng)絡(luò)工程安全帶來一定的隱患，對數(shù)據(jù)安全造成極大威脅，妨礙了機(jī)器的正常運(yùn)行，影響了工作的正常開展。如何防范計算機(jī)病毒侵入計算機(jī)局域網(wǎng)和確保網(wǎng)絡(luò)的安全己成為當(dāng)前面臨的一個重要且緊迫的任務(wù)。

4.1 局域網(wǎng)病毒

局域網(wǎng)病毒的入侵主要來自蠕蟲病毒，同時集病毒、黑客、木馬等功能于一身綜合型病毒不斷涌現(xiàn)。計算機(jī)病毒表現(xiàn)出以下特點(diǎn)：傳播方式和途徑多樣化；病毒的欺騙性日益增強(qiáng)病毒的傳播速度極快；病毒的制作成本降低；病毒變種增多；病毒難以控制和根治；病毒傳播更具有不確定性和跳躍性；病毒版本自動在線升級和自我保護(hù)能力；病毒編制采用了集成方式等。局域網(wǎng)病毒的傳播速度快，傳播范圍廣，危害也大。局域網(wǎng)病毒還特別難以清除，只要有一臺工作站的病毒未被徹底清除，整個網(wǎng)絡(luò)就有可能重新感染。

當(dāng)計算機(jī)感染上病毒出現(xiàn)異常時，人們首先想到的是用殺毒軟件來清除病毒。但令人擔(dān)擾的是殺毒工具軟件被廣泛使用的今天，病毒的種類和數(shù)量以及所造成的損失不是逐年減少，反而是逐年增加。這表明殺毒工具軟件作為病毒防范的最主要工具，已顯露出重大缺陷----對病毒的防范始終滯后于病毒的出現(xiàn)。如何加強(qiáng)局域網(wǎng)病毒防護(hù)是保障網(wǎng)絡(luò)信息安全的關(guān)鍵。

4.2 計算機(jī)局域網(wǎng)病毒的防治措施

計算機(jī)局域網(wǎng)中最主要的軟硬件就是服務(wù)器和工作站，所以防治計算機(jī)網(wǎng)絡(luò)病毒應(yīng)該首先考慮這兩個部分，另外要加強(qiáng)各級人員的管理教育及各項制度的督促落實(shí)。

（1）基于工作站的防治技術(shù)。局域網(wǎng)中的每個工作站就像是計算機(jī)網(wǎng)絡(luò)的大門，只有把好這道大門，才能有效防止病毒的侵入。工作站防治病毒的方法有三種：

一、是軟件防治，即定期不定期地用反病毒軟件檢測工作站的病毒感染情況。

二、是在工作站上插防病毒卡，防病毒卡可以達(dá)到實(shí)時檢測的目的，但防病毒卡的升級不方便，從實(shí)際應(yīng)用的效果看，對工作站的運(yùn)行速度有一定的影響。

三、是在網(wǎng)絡(luò)接口卡上安裝防病病毒芯片它將工作站存取控制與病毒防護(hù)合二為一，可以更加實(shí)時有效地保護(hù)工作站及通向服務(wù)器的橋梁。但這種方法同樣也存在芯片上的軟件版本升級不便的問題，而且對網(wǎng)絡(luò)的傳輸速度也會產(chǎn)生一定的影響。上述三種方法都是防病毒的有效手段，應(yīng)根據(jù)網(wǎng)絡(luò)的規(guī)模、數(shù)據(jù)傳輸負(fù)荷等具體情況確定使用哪一種方法。

（2）基于服務(wù)器的防治技術(shù)。服務(wù)器是網(wǎng)絡(luò)的核心，是網(wǎng)絡(luò)的支柱，服務(wù)器一旦被病毒感染，便無法啟動，整個網(wǎng)絡(luò)都將陷入癱瘓狀態(tài)，造成的損失是災(zāi)難性的。難以挽回和無法估量的，目前市場上基于服務(wù)器的病毒防治采用NLM方法，它以NLM模塊方式進(jìn)行程序設(shè)計，以服務(wù)器為基礎(chǔ)，提供實(shí)時掃描病毒的能力，從而保證服務(wù)器不被病毒感染，消除了病毒傳播的路徑，從根本上杜絕了病毒在網(wǎng)絡(luò)上的蔓延。

（3）加強(qiáng)計算機(jī)網(wǎng)絡(luò)的管理。計算機(jī)局域網(wǎng)病毒的防治，單純依靠技術(shù)手段是不可能十分有效地杜絕和防止其蔓延的，只有把技術(shù)手段和管理機(jī)制緊密結(jié)合起來，才有可能從根本上保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。

一、從硬件設(shè)備及軟件系統(tǒng)的使用、維護(hù)、管理、服務(wù)等各個環(huán)節(jié)制定出嚴(yán)格的規(guī)章制度，對網(wǎng)絡(luò)系統(tǒng)的管理員及用戶加強(qiáng)法制教育和職業(yè)道德教育，不損人，不犯法，規(guī)范工作程序和操作規(guī)程，嚴(yán)懲從事非法活動的集體和個人。

二、加強(qiáng)各級網(wǎng)絡(luò)管理人員的專業(yè)技能學(xué)習(xí)，提高工作能力，并能及時檢查網(wǎng)絡(luò)系統(tǒng)中出現(xiàn)病毒的癥狀。匯報出現(xiàn)的新問題、新情況，做到及時發(fā)現(xiàn)問題解決問題，同時在網(wǎng)絡(luò)工作站上經(jīng)常做好病毒檢測的工作，把好網(wǎng)絡(luò)的第一道大門。

4.3 清除網(wǎng)絡(luò)病毒

一旦在局域網(wǎng)上發(fā)現(xiàn)病毒，應(yīng)盡快加以清除，以防網(wǎng)絡(luò)病毒的擴(kuò)散給整個系統(tǒng)造成更大的損失，具體過程為:

（1）立即停止使用受感染的電腦，并停止電腦與網(wǎng)絡(luò)的聯(lián)接,因?yàn)椴《緯S時發(fā)作，繼續(xù)使用受感染的電腦，只會加速該病毒的擴(kuò)散,用broadcast命令通知包括系統(tǒng)管理員在內(nèi)的所有用戶退網(wǎng),關(guān)閉文件服務(wù)器。

（2）用干凈的系統(tǒng)盤啟動系統(tǒng)管理員工作站，并立即清除本機(jī)工作站中含有的病毒。

（3）用干凈的系統(tǒng)盤啟動文件服務(wù)器，系統(tǒng)管理員登錄后，使用disable longin禁止其他用戶登錄。

（4）用防病毒軟件掃描服務(wù)器上所有卷的文件，恢復(fù)或刪除被感染的文件，重新安裝被刪除的文件。

（5）若沒有最新的備份文件，可嘗試使用殺毒軟件把病毒清除，對在已染毒網(wǎng)絡(luò)上存取過的軟盤進(jìn)行消毒。

（6）確信網(wǎng)絡(luò)病毒已全部徹底清除后，重新啟動網(wǎng)絡(luò)及各工作站。

5.局域網(wǎng)安全防范系統(tǒng)

5.1 防火墻系統(tǒng)

5.1.1 防火墻概述

防火墻是一種用來增強(qiáng)內(nèi)部網(wǎng)絡(luò)安全性的系統(tǒng)，它將網(wǎng)絡(luò)隔離為內(nèi)部網(wǎng)和外部網(wǎng)，從某種程度上來說，防火墻是位于內(nèi)部網(wǎng)和外部網(wǎng)之間的橋梁和檢查站，它一般由一臺和多臺計算機(jī)構(gòu)成，它對內(nèi)部網(wǎng)和外部網(wǎng)的數(shù)據(jù)流量進(jìn)行分析、檢測、管理和控制，通過對數(shù)據(jù)的篩選和過濾，來防止未授權(quán)的訪問進(jìn)出內(nèi)部計算機(jī)網(wǎng)，從而達(dá)到保護(hù)內(nèi)部網(wǎng)資源和信息的目的。

防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。

5.1.2 防火墻的體系結(jié)構(gòu)

5.1.2.1 雙重宿主主機(jī)體系結(jié)構(gòu)

雙重宿主主機(jī)體系結(jié)構(gòu)圍繞雙重宿主主機(jī)構(gòu)筑。雙重宿主主機(jī)至少有兩個網(wǎng)絡(luò)接口。這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器；它能夠從一個網(wǎng)絡(luò)到另外一個網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。然而雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送。因此IP數(shù)據(jù)包并不是從一個網(wǎng)絡(luò)（如外部網(wǎng)絡(luò)）直接發(fā)送到另一個網(wǎng)絡(luò)（如內(nèi)部網(wǎng)絡(luò)）。外部網(wǎng)絡(luò)能與雙重宿主主機(jī)通信，內(nèi)部網(wǎng)絡(luò)也能與雙重宿主主機(jī)通信。但是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信，它們之間的通信必須經(jīng)過雙重宿主主機(jī)的過濾和控制。

5.1.2.2 被屏蔽主機(jī)體系結(jié)構(gòu)

雙重宿主主機(jī)體系結(jié)構(gòu)防火墻沒有使用路由器。而被屏蔽主機(jī)體系結(jié)構(gòu)防火墻則使用一個路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開，如圖4所示。在這種體系結(jié)構(gòu)中，主要的安全由數(shù)據(jù)包過濾提供（例如，數(shù)據(jù)包過濾用于防止人們繞過代理服務(wù)器直接相連）。

這種體系結(jié)構(gòu)涉及到堡壘主機(jī)。堡壘主機(jī)是因特網(wǎng)上的主機(jī)能連接到的唯一的內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)。任何外部的系統(tǒng)要訪問內(nèi)部的系統(tǒng)或服務(wù)都必須先連接到這臺主機(jī)。因此堡壘主機(jī)要保持更高等級的主機(jī)安全。數(shù)據(jù)包過濾容許堡壘主機(jī)開放可允許的連接（什么是“可允許連接”將由你的站點(diǎn)的特殊的安全策略決定）到外部世界。

在屏蔽的路由器中數(shù)據(jù)包過濾配置可以按下列方案之一執(zhí)行：

(1)允許其它的內(nèi)部主機(jī)為了某些服務(wù)開放到Internet上的主機(jī)連接（允許那些經(jīng)由數(shù)據(jù)包過濾的服務(wù)）；

(2)不允許來自內(nèi)部主機(jī)的所有連接（強(qiáng)迫那些主機(jī)經(jīng)由堡壘主機(jī)使用代理服務(wù)）。

5.1.2.3 被屏蔽子網(wǎng)體系結(jié)構(gòu)

被屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步的把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開。被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單的形式為，兩個屏蔽路由器，每一個都連接到周邊網(wǎng)。一個位于周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間，另一個位于周邊網(wǎng)與外部網(wǎng)絡(luò)之間。這樣就在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個―隔離帶‖。為了侵入用這種體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，侵襲者必須通過兩個路由器。即使侵襲者侵入堡壘主機(jī)，他將仍然必須通過內(nèi)部路由器。

5.1.3 防火墻的功能

5.1.3.1 數(shù)據(jù)包過濾技術(shù)

數(shù)據(jù)包過慮技術(shù)是在網(wǎng)絡(luò)中的適當(dāng)位置對數(shù)據(jù)包實(shí)施有選擇的通過的技術(shù).選擇好依據(jù)系統(tǒng)內(nèi)設(shè)置的過濾規(guī)則后,只有滿足過濾規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā)至相應(yīng)的網(wǎng)絡(luò)接口，而其余數(shù)據(jù)包則從數(shù)據(jù)流中被丟棄。數(shù)據(jù)包過濾技術(shù)是防火墻中最常用的技術(shù)。對于一個危險的網(wǎng)絡(luò)，用這種方法可以阻塞某些主機(jī)和網(wǎng)絡(luò)連入內(nèi)部網(wǎng)絡(luò)，也可限制內(nèi)部人員對一些站點(diǎn)的訪問。包過濾型防火墻工作在OSI參考模型的網(wǎng)絡(luò)層和傳輸層,它根據(jù)數(shù)據(jù)包頭源地址,目的地址,端口號和協(xié)議類型等標(biāo)志確定是否允許通過,只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)目的地,其余數(shù)據(jù)包則被數(shù)據(jù)流中阻擋丟棄。

5.1.3.2 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)

網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的外部的、注冊的IP的地址標(biāo)準(zhǔn),用戶必須要為網(wǎng)絡(luò)中每一臺機(jī)器取得注冊的IP地址[ 7 ]。在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪

問外部網(wǎng)絡(luò)時,系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口與外部連接,這樣對外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時,它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過一個開放的IP地址和端口來請求訪問7 ]。防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全和接受與否。網(wǎng)絡(luò)地址轉(zhuǎn)換過程對于用戶來說是透明的,不需要用戶進(jìn)行設(shè)置,用戶只要進(jìn)行常規(guī)操作即可。

5.1.3.3 代理技術(shù)

代理技術(shù)是在應(yīng)用層實(shí)現(xiàn)防火墻功能,代理服務(wù)器執(zhí)行內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請時的中轉(zhuǎn)連接作用。

代理偵聽網(wǎng)絡(luò)內(nèi)部客戶的服務(wù)請求,當(dāng)一個連接到來時,首先進(jìn)行身份驗(yàn)證,并根據(jù)安全策略決定是否中轉(zhuǎn)連接。當(dāng)決定轉(zhuǎn)發(fā)時,代理服務(wù)器上的客戶進(jìn)程向真正的服務(wù)器發(fā)出請求,服務(wù)器返回代理服務(wù)器轉(zhuǎn)發(fā)客戶機(jī)的數(shù)據(jù)。

另一種情況是,外部網(wǎng)通過代理訪問內(nèi)部網(wǎng),當(dāng)外部網(wǎng)絡(luò)節(jié)點(diǎn)提出服務(wù)請求時,代理服務(wù)器首先對該用戶身份進(jìn)行驗(yàn)證。若為合法用戶,則把該請求轉(zhuǎn)發(fā)給真正的某個內(nèi)部網(wǎng)絡(luò)的主機(jī)。而在整個服務(wù)過程中,應(yīng)用代理一直監(jiān)控著用戶的操作,一旦用戶進(jìn)行非法操作,就可以進(jìn)行干涉,并對每一個操作進(jìn)行記錄。若為不合法用語,則拒絕訪問。

5.1.3.4 全狀態(tài)檢測技術(shù)

全狀態(tài)檢測防火墻在包過濾的同時，檢測數(shù)據(jù)包之間的關(guān)聯(lián)性，數(shù)據(jù)包中動態(tài)變化的狀態(tài)碼。它有一個檢測引擎，在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略。監(jiān)測引擎采用抽取有關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)督測，抽取狀態(tài)信息，并動態(tài)地保存起來，作為以后執(zhí)行安全策略的參考。當(dāng)用戶訪問請求到達(dá)網(wǎng)關(guān)是操作系統(tǒng)前，狀態(tài)監(jiān)測器要抽取有關(guān)數(shù)據(jù)進(jìn)行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定作出接納、拒絕、身份認(rèn)證、報警或給該通信加密處理動作。

5.2 入侵檢測系統(tǒng)

5.2.1 入侵檢測系統(tǒng)概述

入侵檢測是指通過對行為、安全日志或?qū)徲嫈?shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測到對系統(tǒng)的闖入或闖入的企圖。入侵檢測技術(shù)是為保證計算機(jī)系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)

5.2.2 入侵檢測原理

入侵檢測跟其他檢測技術(shù)有同樣的原理。從一組數(shù)據(jù)中，檢測出符合某一特點(diǎn)的數(shù)據(jù)。攻擊者進(jìn)行攻擊的時候會留下痕跡，這些痕跡和系統(tǒng)正常運(yùn)行的時候產(chǎn)生的數(shù)據(jù)混在一起。入侵檢測系統(tǒng)的任務(wù)是從這些混合的數(shù)據(jù)中找出是否有入侵的痕跡，并給出相關(guān)的提示和警告。

入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。由放置在不同網(wǎng)段的傳感器或不同主機(jī)的代理來收集信息，包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。

第二步是信息分析，收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，被送到檢測引擎，檢測引擎駐留在傳感器中，一般通過三種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計分析和完整性分析。當(dāng)檢測到某種誤用模式時，產(chǎn)生一個告警并發(fā)送給控制臺。

第三步是結(jié)果處理，控制臺按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施，可以是重新配置路由器或防火墻、終止進(jìn)程、切斷連接、改變文件屬性，也可以只是簡單的告警。

5.2.3 局域網(wǎng)入侵檢測系統(tǒng)的構(gòu)建方法

根據(jù)CIDF規(guī)范，從功能上將IDS 劃分為四個基本部分：數(shù)據(jù)采集子系統(tǒng)、數(shù)據(jù)分析子系統(tǒng)、控制臺子系統(tǒng)、數(shù)據(jù)庫管理子系統(tǒng)。具體實(shí)現(xiàn)起來，一般都將數(shù)據(jù)采集子系統(tǒng)和數(shù)據(jù)分析子系統(tǒng)在Linux或Unix平臺上實(shí)現(xiàn)，稱之為數(shù)據(jù)采集分析中心；將控制臺子系統(tǒng)在Windows NT或2000上實(shí)現(xiàn)，數(shù)據(jù)庫管理子系統(tǒng)基于Access或其他功能更強(qiáng)大的數(shù)據(jù)庫如SQL等，多跟控制臺子系統(tǒng)結(jié)合在一起，稱之為控制管理中心。構(gòu)建一個基本的IDS,具體需考慮以下幾個方面的內(nèi)容。

首先，數(shù)據(jù)采集機(jī)制是實(shí)現(xiàn)IDS的基礎(chǔ)，數(shù)據(jù)采集子系統(tǒng)位于IDS的最底層，其主要目的是從網(wǎng)絡(luò)環(huán)境中獲取事件，并向其他部分提供事件。這就需要使用網(wǎng)絡(luò)監(jiān)聽來實(shí)現(xiàn)審計數(shù)據(jù)的獲取，可以通過對網(wǎng)卡工作模式的設(shè)置為―混雜‖模式實(shí)現(xiàn)對某一段網(wǎng)絡(luò)上所有數(shù)據(jù)包的捕獲。然后，需要構(gòu)建并配置探測器，實(shí)現(xiàn)數(shù)據(jù)采集功能。應(yīng)根據(jù)自己網(wǎng)絡(luò)的具體情況，選用合適的軟件及硬件設(shè)備，如果網(wǎng)絡(luò)數(shù)據(jù)流量很小，用一般的PC機(jī)安裝Linux即可，如果所監(jiān)控的網(wǎng)絡(luò)流量非常大，則需要用一臺性能較高的機(jī)器；在服務(wù)器上開出一個日志分區(qū)，用于采集數(shù)據(jù)的存儲；接著應(yīng)進(jìn)行有關(guān)軟件的安裝與配置，至此系統(tǒng)已經(jīng)能夠收集到網(wǎng)絡(luò)數(shù)據(jù)流了。

其次，應(yīng)建立數(shù)據(jù)分析模塊。數(shù)據(jù)分析模塊相當(dāng)于IDS的大腦，它必須具備高度的―智慧‖和―判斷能力‖,所以，在設(shè)計此模塊之前，需要對各種網(wǎng)絡(luò)協(xié)議、系統(tǒng)漏洞、攻擊手法、可疑行為等有一個很清晰、深入地研究，然后制訂相應(yīng)的安全規(guī)則庫和安全策略，再分別建立濫用檢測模型和異常檢測模型，讓機(jī)器模擬自己的分析過程，識別確知特征的攻擊和異常行為，最后將分析結(jié)果形成報警消息，發(fā)送給控制管理中心。設(shè)計數(shù)據(jù)分析模塊的工作量浩大，需要不斷地更新、升級、完善。在這里需要特別注意3個問題。應(yīng)優(yōu)化檢測模型和算法的設(shè)計，確保系統(tǒng)的執(zhí)行效率；安全規(guī)則的制訂要充分考慮包容性和可擴(kuò)展性，以提高系統(tǒng)的伸縮性；報警消息要遵循特定的標(biāo)準(zhǔn)格式，增強(qiáng)其共享與互操作能力，切忌隨意制訂消息格式的不規(guī)范做法。

第三，需要構(gòu)建控制臺子系統(tǒng)?？刂婆_子系統(tǒng)負(fù)責(zé)向網(wǎng)絡(luò)管理員匯報各種網(wǎng)絡(luò)違規(guī)行為，并由管理員對一些惡意行為采取行動（如阻斷、跟蹤等）?？刂婆_子系統(tǒng)的主要任務(wù)有：管理數(shù)據(jù)采集分析中心，以友好、便于查詢的方式顯示數(shù)據(jù)采集分析中心發(fā)送過來的警報消息；根據(jù)安全策略進(jìn)行一系列的響應(yīng)動作，以阻止非法行為，確保網(wǎng)絡(luò)的安全。控制臺子系統(tǒng)的設(shè)計重點(diǎn)是：警報信息查詢、探測器管理、規(guī)則管理及用戶管理。

第四，需要構(gòu)建數(shù)據(jù)庫管理子系統(tǒng)。一個好的入侵檢測系統(tǒng)不僅僅應(yīng)當(dāng)為管理員提供實(shí)時、豐富的警報信息，還應(yīng)詳細(xì)地記錄現(xiàn)場數(shù)據(jù)，以便于日后需要取證時重建某些網(wǎng)絡(luò)事件。數(shù)據(jù)庫管理子系統(tǒng)的前端程序通常與控制臺子系統(tǒng)集成在一起，用Access或其他數(shù)據(jù)庫存儲警報信息和其他數(shù)據(jù)。

第五，完成綜合調(diào)試。以上幾步完成之后，一個IDS的最基本框架已被實(shí)現(xiàn)。但要使這個IDS順利地運(yùn)轉(zhuǎn)起來，還需要保持各個部分之間安全、順暢地通信和交互，這就是綜合調(diào)試工作所要解決的問題，主要包括要實(shí)現(xiàn)數(shù)據(jù)采集分析中心和控制管理中心之間的雙向通信及保證通信的安全性，最好對通信數(shù)據(jù)流進(jìn)行加密操作，以防止被竊聽或篡改。同時，控制管理中心的控制臺子系統(tǒng)和數(shù)據(jù)庫子系統(tǒng)之間也有大量的交互操作，如警報信息查詢、網(wǎng)絡(luò)事件重建等。經(jīng)過綜合調(diào)試后，一個基本的IDS就構(gòu)建完成了，但是此時還不能放松警惕，因?yàn)樵谝院蟮膽?yīng)用中要不斷地對它進(jìn)行維護(hù)，特別是其檢測能力的提高；同時還要注意與防火墻等其它系統(tǒng)安全方面的軟件相配合，以期從整體性能上提高局域網(wǎng)的安全能力。

6.局域網(wǎng)安全防范策略

一個網(wǎng)絡(luò)的防病毒體系是建立在每個局域網(wǎng)的防病毒系統(tǒng)上的，應(yīng)該根據(jù)每個局域網(wǎng)的防病毒要求，建立局域網(wǎng)防病毒控制系統(tǒng)，分別設(shè)置有針對性的防病毒策略。

6.1 劃分VLAN 防止網(wǎng)絡(luò)偵聽

運(yùn)用VLAN（虛擬局域網(wǎng)）技術(shù)，將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信，防止大部分基于網(wǎng)絡(luò)偵聽的入侵。目前的VLAN技術(shù)主要有三種：基于交換機(jī)端口的VLAN、基于節(jié)點(diǎn)MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN?；诙丝诘腣LAN雖然稍欠靈活，但卻比較成熟，在實(shí)際應(yīng)用中效果顯著，廣受歡迎?；贛AC地址的VLAN為移動計算提供了可能性，但同時也潛藏著遭受MAC欺詐攻擊的隱患。

6.2 網(wǎng)絡(luò)分段

局域網(wǎng)大多采用以廣播為基礎(chǔ)的以太網(wǎng)，任何兩個節(jié)點(diǎn)之間的通信數(shù)據(jù)包，不僅為這兩個節(jié)點(diǎn)的網(wǎng)卡所接收，也同時為處在同一以太網(wǎng)上的任何一個節(jié)點(diǎn)的網(wǎng)卡所截取。因此，黑客只要接入以太網(wǎng)上的任一節(jié)點(diǎn)進(jìn)行偵聽，就可以捕獲發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包，對其進(jìn)行解包分析，從而竊取關(guān)鍵信息，這就是以太網(wǎng)所固有的安全隱患。網(wǎng)絡(luò)分段就是將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而達(dá)到限制用戶非法訪問的目的。所以網(wǎng)絡(luò)分段是保證局域網(wǎng)安全的一項重要措施。

6.3 以交換式集線器代替共享式集線器

對局域網(wǎng)的中心交換機(jī)進(jìn)行網(wǎng)絡(luò)分段后，以太網(wǎng)偵聽的危險仍然存在。這是因?yàn)榫W(wǎng)絡(luò)最終用戶的接入往往是通過分支集線器而不是中心交換機(jī)，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時，兩臺機(jī)器之間的數(shù)據(jù)包（稱為單播包Unicast Packet）還是會被同一臺集線器上的其他用戶所偵聽。一種很危險的情況是:用戶TELNET到一臺主機(jī)上，由于TELNET程序本身缺乏加密功能，用戶所鍵入的每一個字符（包括用戶名、密碼等重要信息），都將被明文發(fā)送，這就給黑客提供了機(jī)會。因此，應(yīng)該以交換式集線器代替共享式集線器，使單播包僅在兩個節(jié)點(diǎn)之間傳送，從而防止非法偵聽。當(dāng)然，交換式集線器只能控制單播包而無法控制廣播包（Broadcast Packet）和多播包（Multicast Packet）。所幸的是，廣播包和多播包內(nèi)的關(guān)鍵信息，要遠(yuǎn)遠(yuǎn)少于單播包。

6.4 實(shí)施IP/MAC 綁定

很多網(wǎng)關(guān)軟件實(shí)施流量過濾時都是基于IP或MAC地址，對控制普通用戶起到了很好的效果，但對于高級用戶就顯得無能為力了，因?yàn)椴还苁荌P或是MAC地址都可以隨意修改。要實(shí)施基于IP或MAC地址過濾的訪問控制，就必須進(jìn)行IP/MAC地址的綁定，禁止用戶對IP或MAC的修改。首先通過交換機(jī)實(shí)施用戶與交換機(jī)端口的MAC綁定，再通過服務(wù)器網(wǎng)絡(luò)管理實(shí)施IP/MAC綁定，這樣用戶既不能改網(wǎng)卡的MAC地址，也不能改IP地址。通過IP/MAC綁定后，再實(shí)施流量過濾就顯得有效多了。

7.總結(jié)

網(wǎng)絡(luò)安全技術(shù)和病毒防護(hù)是一個涉及多方面的系統(tǒng)工程，在實(shí)際工作中既需要綜合運(yùn)用以上方法，還要將安全策略、硬件及軟件等方法結(jié)合起來，構(gòu)成一個統(tǒng)一的防御系統(tǒng)，又需要規(guī)范和創(chuàng)建必要的安全管理模式、規(guī)章制度來約束人們的行為。因此，局域網(wǎng)安全不是一個單純的技術(shù)問題，它涉及整個網(wǎng)絡(luò)安全系統(tǒng)，包括防范技術(shù)、規(guī)范管理等多方面因素。只要我們正視網(wǎng)絡(luò)的脆弱性和潛在威脅，不斷健全網(wǎng)絡(luò)的相關(guān)法規(guī)，提高網(wǎng)絡(luò)安全防范的技術(shù)是否被授權(quán)，從而阻止對信息資源的非法用戶使用網(wǎng)絡(luò)系統(tǒng)時所進(jìn)行的所有活動的水平，才能有力地保障網(wǎng)絡(luò)安全。

[①].高傳善，錢松榮.專注.數(shù)據(jù)通信與計算機(jī)網(wǎng)絡(luò)[M].高等教育出版社,2001:8-9

[②].鄧亞平.計算機(jī)網(wǎng)絡(luò)安全[M].人民郵電出版社, 2004:1-10.[③].李成大,張京.計算機(jī)信息安全[M].人民郵電出版社，2004:72-117

第三篇：無線局域網(wǎng)安全論文范文

《寬帶無線接入技術(shù)》課程論文

無線局域網(wǎng)安全

馬歡

631106040118

通信工程專業(yè)1班 1060314488@qq.com

摘要：無線局域網(wǎng)是在有線網(wǎng)絡(luò)上發(fā)展起來的,是無線傳輸技術(shù)在局域網(wǎng)技術(shù)上的運(yùn)用，而其大部分應(yīng)用也是有線局域網(wǎng)的體現(xiàn)。由于無線局域網(wǎng)在諸多領(lǐng)域體現(xiàn)出的巨大優(yōu)勢,因此對無線局域網(wǎng)絡(luò)技術(shù)的研究成為了廣大學(xué)者研究的熱點(diǎn)。無線局域網(wǎng)具有組網(wǎng)靈活、接入簡便和適用范圍廣泛的特點(diǎn),但由于其基于無線路徑進(jìn)行傳播,因此傳播方式的開放性特性給無線局域網(wǎng)的安全設(shè)計和實(shí)現(xiàn)帶來了諸多的問題。無線局域網(wǎng)的安全性有兩個方面的內(nèi)容[1]：一個是信息安全，即保證信息傳輸?shù)目煽啃?、保密性、合法性、和不可篡改性；另一個是人員安全，即電磁波的輻射對人體健康的損害。鑒于此，對無線局域網(wǎng)的安全進(jìn)行研究分析。

關(guān)鍵字：無線局域網(wǎng)技術(shù)；網(wǎng)絡(luò)安全；安全接入控制；保密性

The security of wireless LAN

MA Huan 631106040118 Communication engineering，grade 2011 and 1060314488@qq.com

Abstract: Wireless local area network(LAN)is developed on the cable network, wireless local area network(LAN)is applied to the wireless transmission technology in the local area network(LAN)technology, and most of its application is also the embodiment of the wired LAN.Because of the wireless local area network(LAN), reflect the huge advantage in many fields, so the research of wireless local area network technology become the focus of many scholars study.Wireless local area network(LAN)with flexible networking and access is simple and applicable to a wide range of features, but due to its based on wireless path for transmission, so the openness of the mode of transmission characteristics for safety design and the implementation of the wireless local area network(LAN)has brought many problems.Wireless LAN security has two aspects: one is the information security, namely, to ensure the reliability of information transmission, confidentiality, legitimacy, and do not tamper with the sex;Another is the personnel security, namely the electromagnetic radiation damage to human body health.In view of this, study on analysis of wireless LAN security.Keyword: The technology of wireless LAN;Network security;Security of access control;confidentiality

通信擺脫了時間、地點(diǎn)和對象的束縛，極大地改善了人類的生活質(zhì)量，加快了社會發(fā)展的進(jìn)程.無線網(wǎng)絡(luò)技術(shù)為人們帶來極大方便的同時，安全問題已經(jīng)成為阻礙無線網(wǎng)絡(luò)技術(shù)普及的一個主要障礙。

目前無線局域網(wǎng)的主流標(biāo)準(zhǔn)為IEEE802.11,但其存在設(shè)計缺陷,缺少密鑰管理,存在很多安全漏洞。無線網(wǎng)絡(luò)面臨的威脅越來越多，像蹭網(wǎng)、重要隱私和數(shù)據(jù)遭破壞或竊取等事件也是接連發(fā)生，因此，網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施，否則該網(wǎng)絡(luò)將是個無用、甚至?xí)＜皣野踩木W(wǎng)絡(luò)。無論是在局域網(wǎng)，廣域網(wǎng)還是無線網(wǎng)中，都存在自然與人為等諸多因素的潛在威脅和網(wǎng)絡(luò)的脆弱性，網(wǎng)絡(luò)的安全措施應(yīng)該是

[3]1引言

在以前，計算機(jī)組網(wǎng)的傳輸媒介主要依賴銅纜或光纜，構(gòu)成有線局域網(wǎng)。但有線網(wǎng)絡(luò)在實(shí)施過程中工程量大，破壞性強(qiáng)，網(wǎng)中的各節(jié)點(diǎn)移動性不強(qiáng)。為了解決這些問題，無線網(wǎng)絡(luò)作為有線網(wǎng)絡(luò)的補(bǔ)充和擴(kuò)展，逐漸得到的普及和發(fā)展。近幾年來，隨著我國寬帶接入網(wǎng)建設(shè)熱潮的涌現(xiàn)，在各種寬帶接入技術(shù)中，無線寬帶接入技術(shù)異軍突起，呈現(xiàn)出加速發(fā)展的趨勢。盡管目前無線局域網(wǎng)還不能完全獨(dú)立于有線網(wǎng)絡(luò)，但近年來無線局域網(wǎng)的產(chǎn)品逐漸走向成熟，正以它優(yōu)越的靈活性和便捷性在網(wǎng)絡(luò)應(yīng)用中發(fā)揮日益重要的作用。無線通信技術(shù)的出現(xiàn)使得通信技術(shù)出現(xiàn)了一次飛躍，使人類的[2]

《寬帶無線接入技術(shù)》課程論文

能全方位地針對各種各樣的威脅和網(wǎng)絡(luò)本身的脆弱性，只有這樣才能確保網(wǎng)絡(luò)信息的完整性、保密性和可用性。為了保證信息的安全與暢通，研究網(wǎng)絡(luò)安全及防范措施已迫在眉睫，我們必須采取一定的安全技術(shù)手段來保護(hù)無線網(wǎng)絡(luò)的安全。無線局域網(wǎng)的安全現(xiàn)狀及安全性缺陷

由于無線局域網(wǎng)采用公共的電磁波作為載體,傳輸信息的覆蓋范圍不好控制,因此對越權(quán)存取和竊聽的行為也更不容易防備。具體分析,無線局域網(wǎng)存在如下兩種主要的安全性缺陷:

4.1靜態(tài)密鑰的缺陷

靜態(tài)分配的WEP密鑰一般保存在適配卡的非易失性存儲器中,因此當(dāng)適配卡丟失或者被盜用后,非法用戶都可以利用此卡非法訪問網(wǎng)絡(luò)。除非用戶及時告知管理員,否則將產(chǎn)生嚴(yán)重的安全問題。及時的更新共同使用的密鑰并重新發(fā)布新的密鑰可以避免此問題,但當(dāng)用戶少時,管理員可以定期更新這個靜態(tài)配置的密鑰,而且工作量也不大。但是在用戶數(shù)量可觀時,即便可以通過某些方法對所有AP(接入點(diǎn))上的密鑰一起更新以減輕管理員的配置任務(wù),管理員及時更新這些密鑰的工作量也是難以想像的。

4.2訪問控制機(jī)制的安全缺陷

封閉網(wǎng)絡(luò)訪問控制機(jī)制:幾個管理消息中都包括網(wǎng)絡(luò)名稱或SSID,并且這些消息被接入點(diǎn)和用戶在網(wǎng)絡(luò)中廣播,并不受到任何阻礙。結(jié)果是攻擊者可以很容易地嗅探到網(wǎng)絡(luò)名稱,獲得共享密鑰,從而連接到“受保護(hù)”的網(wǎng)絡(luò)上。

以太網(wǎng)MAC地址訪問控制表:MAC地址很容易的就會被攻擊者嗅探到,如激活了WEP,MAC地址也必須暴露在外;而且大多數(shù)的無線網(wǎng)卡可以用軟件來改變MAC地址。因此,攻擊者可以竊聽到有效的MAC地址,然后進(jìn)行編程將有效地址寫到無線網(wǎng)卡中,從而偽裝一個有效地址,越過訪問控制。

[6]2 網(wǎng)絡(luò)安全概述

國際標(biāo)準(zhǔn)化組織（ISO）將“計算機(jī)安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立與采取的技術(shù)、管理的安全保護(hù)，保護(hù)計算機(jī)硬件、軟件等數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。計算機(jī)安全的定義涵蓋了物理安全和邏輯安全雙方面的內(nèi)容，其邏輯安全的內(nèi)容就可以理解為我們常說的信息安全，也就是指對信息的完整性、保密性和可用性的保護(hù)。而網(wǎng)絡(luò)安全的定義就是信息安全的擴(kuò)展。計算機(jī)的網(wǎng)絡(luò)安全主要是指網(wǎng)絡(luò)系統(tǒng)的硬件設(shè)施、軟件設(shè)施以及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不會因?yàn)榕既坏幕蛘咂渌馔獾脑蚨艿狡茐摹⒏?、泄露，同時要求在系統(tǒng)連續(xù)可靠的正常運(yùn)行中，網(wǎng)絡(luò)服務(wù)不會中斷。在保證計算機(jī)本身安全的同時，也能使各個計算機(jī)用戶的利益有所保障。

[4]3無線局域網(wǎng)安全研究的發(fā)展與研究必要性

無線局域網(wǎng)在帶來巨大應(yīng)用便利的同時,也存在許多安全上的問題。由于局域網(wǎng)通過開放性的無線傳輸線路傳輸高速數(shù)據(jù),很多有線網(wǎng)絡(luò)中的安全策略在無線方式下不再適用,在無線發(fā)射裝置功率覆蓋的范圍內(nèi)任何接入用戶均可接收到數(shù)據(jù)信息,而將發(fā)射功率對準(zhǔn)某一特定用戶在實(shí)際中難以實(shí)現(xiàn)。這種開放性的數(shù)據(jù)傳輸方式在帶來靈便的同時也帶來了安全性方面的新的挑戰(zhàn)。

IEEE標(biāo)準(zhǔn)化組織在發(fā)布802.11標(biāo)準(zhǔn)之后,也已經(jīng)意識到其固有的安全性缺陷,并針對性的提出了加密協(xié)議(如WEP)來實(shí)現(xiàn)對數(shù)據(jù)的加密和完整性保護(hù)。通過此協(xié)議保證數(shù)據(jù)的保密性、完整性和提供對無線局域網(wǎng)的接入控制。但隨后的研究表明,WEP協(xié)議同樣存在致命性的弱點(diǎn)。為了解決802.11中安全機(jī)制存在的嚴(yán)重缺陷,IEEE802.11工作組提出了新的安全體系,并開發(fā)了新的安全標(biāo)準(zhǔn)IEEE802.11i,其針對WEP機(jī)密機(jī)制的各種缺陷作了多方面的改進(jìn),并定義了RSN(Robust Security Network)的概念,增強(qiáng)了無線局域網(wǎng)的數(shù)據(jù)加密和認(rèn)證性能。IEEE802.11i建立了新的認(rèn)證機(jī)制,重新規(guī)定了基于802.1x的認(rèn)證機(jī)制,主要包括TKIP(Temporal Key Integrity Protoco1),CCMP(Counter CBCMAC Protoco1)和WRAP(Wireless RobustAuthenticated Protoco1)等3種加密機(jī)制,同時引入了新的密鑰管理機(jī)制,也提供了密鑰緩存、預(yù)認(rèn)證機(jī)制來支持用戶的漫游功能,從而大幅度提升了網(wǎng)絡(luò)的安全性。[5]WLAN面臨的安全問題

由于無線局域網(wǎng)采用公共的電磁波作為載體，電磁波能夠穿過天花板、玻璃、樓層、磚、墻等物體，因此在一個無線局域網(wǎng)接入點(diǎn)(Access Point)所服務(wù)的區(qū)域中，任何一個無線客戶端都可以接受到此接入點(diǎn)的電磁波信號，這樣就可能包括一些惡意用戶也能接收到其他無線數(shù)據(jù)信號。這樣惡意用戶在無線局域網(wǎng)中相對于在有線局域網(wǎng)當(dāng)中，去竊聽或干擾信息就來得容易得多。

由無線局域網(wǎng)的傳輸介質(zhì)的特殊性，使得信息在傳輸過程中具有更多的不確定性，受到影響更大，主要表現(xiàn)在以下幾類：

5.1 網(wǎng)絡(luò)竊聽

一般說來，大多數(shù)網(wǎng)絡(luò)通信都是以明文（非加密）格式出現(xiàn)的，這就會使處于無線信號覆蓋范圍之內(nèi)的攻擊者可以乘機(jī)監(jiān)視并破解（讀?。┩ㄐ?。這類攻擊是企業(yè)管理員面臨的最大安全問題。如果沒有基于加密的強(qiáng)有力的安全服務(wù)，數(shù)據(jù)就很容易在空氣中傳輸時被他人讀取并利用。

5.2 AP中間人欺騙

[7]

《寬帶無線接入技術(shù)》課程論文

在沒有足夠的安全防范措施的情況下，是很容易受到利用非法AP進(jìn)行的中間人欺騙攻擊。解決這種攻擊的通常做法是采用雙向認(rèn)證方法（即網(wǎng)絡(luò)認(rèn)證用戶，同時用戶也認(rèn)證網(wǎng)絡(luò)）和基于應(yīng)用層的加密認(rèn)證（如HTTPS＋WEB）。

5.3 WEP破解

現(xiàn)在互聯(lián)網(wǎng)上存在一些程序，能夠捕捉位于AP信號覆蓋區(qū)域內(nèi)的數(shù)據(jù)包，收集到足夠的WEP弱密鑰加密的包，并進(jìn)行分析以恢復(fù)WEP密鑰。根據(jù)監(jiān)聽無線通信的機(jī)器速度、WLAN內(nèi)發(fā)射信號的無線主機(jī)數(shù)量，以及由于802.11幀沖突引起的IV重發(fā)數(shù)量，最快可以在兩個小時內(nèi)攻破WEP密鑰。

5.4 MAC地址欺騙

即使AP起用了MAC地址過濾，使未授權(quán)的黑客的無線網(wǎng)卡不能連接AP，這并不意味著能阻止黑客進(jìn)行無線信號偵聽。通過某些軟件分析截獲的數(shù)據(jù)，能夠獲得AP允許通信的STA MAC地址，這樣黑客就能利用MAC地址偽裝等手段入侵網(wǎng)絡(luò)了。

MAC 地址在網(wǎng)上是明碼模式傳送，只要監(jiān)聽網(wǎng)絡(luò)便可從中截取或盜用該MAC 地址，進(jìn)而偽裝使用者潛入企業(yè)或組織內(nèi)部偷取機(jī)密資料。

部分無線網(wǎng)卡允許通過軟件來更改其MAC 地址，可通過編程將想用的地址寫入網(wǎng)卡就可以冒充這個合法的MAC 地址，因此可通過訪問控制的檢查而獲取訪問受保護(hù)網(wǎng)絡(luò)的權(quán)限。

媒體訪問控制屬于硬件認(rèn)證，而不是用戶認(rèn)證。6.3 有線等效保密（WEP）

有線等效保密（WEP）是常見的資料加密措施，WEP安全技術(shù)源自于名為RC4的RSA數(shù)據(jù)加密技術(shù)，以滿足用戶更高層次的網(wǎng)絡(luò)安全需求。在鏈路層采用RC4對稱加密技術(shù)，當(dāng)用戶的加密密鑰與AP的密鑰相同時才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源，從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。

WEP的工作原理是通過一組40位或128位的密鑰作為認(rèn)證口令，當(dāng)WEP功能啟動時，每臺工作站都使用這個密鑰，將準(zhǔn)備傳輸?shù)馁Y料加密運(yùn)算形成新的資料，并透過無線電波傳送，另一工作站在接收到資料時，也利用同一組密鑰來確認(rèn)資料并做解碼動作，以獲得原始資料。

WEP目的是向無線局域網(wǎng)提供與有線網(wǎng)絡(luò)相同級別的安全保護(hù)，它用于保障無線通信信號的安全，即保密性和完整性。但WEP提供了40位長度的密鑰機(jī)制存在許多缺陷，表現(xiàn)在：

位的密鑰現(xiàn)在很容易破解。

密鑰是手工輸入與維護(hù)，更換密鑰費(fèi)時和困難，密鑰通常長時間使用而很少更換，若一個用戶丟失密鑰，則將危及到整個網(wǎng)絡(luò)。

WEP 標(biāo)準(zhǔn)支持每個信息包的加密功能，但不支持對每個信息包的驗(yàn)證。

現(xiàn)在針對WEP的不足之處，對WEP加以擴(kuò)展，提出了動態(tài)安全鏈路技術(shù)（DSL）。DSL采用了128 位動態(tài)分配的密鑰，每一個會話都自動生成一把密鑰，并且在同一個會話期間，對于每256個數(shù)據(jù)包，密鑰將自動改變一次。

6.4 端口訪問控制技術(shù)（IEEE802.1x）

端口訪問控制技術(shù)(802.1x)是 由IEEE 定義的，用于以太網(wǎng)和無線局域網(wǎng)中的端口訪問與控制。該協(xié)議定義了認(rèn)證和授權(quán)，可以用于局域網(wǎng)，也可以用于城域網(wǎng)。802.1x 引入了PPP 協(xié)議定義的擴(kuò)展認(rèn)證協(xié)議EAP。EAP 采用更多的認(rèn)證機(jī)制，如MD5、一次性口令等等，從而提供更高級別的安全。

802.1x是運(yùn)行在無線網(wǎng)設(shè)備關(guān)聯(lián)，其認(rèn)證層次包括兩方面:客戶端到認(rèn)證端，認(rèn)證端到認(rèn)證服務(wù)器。802.1x 定義客戶端到認(rèn)證端采用EAP over LAN 協(xié)議，認(rèn)證端到認(rèn)證服務(wù)器采用EAP over RADIUS 協(xié)議。

802.1x要求無線工作站安裝802.1x客戶端軟件，無線訪問站點(diǎn)要內(nèi)嵌802.1x認(rèn)證代理，同時它還作為Radius客戶無線局域網(wǎng)安全技術(shù)

為了有效保障無線局域網(wǎng)(WLAN)的安全性，針對性的對相應(yīng)的問題做出控制、完善、最終得到解決問題的方法，就必須實(shí)現(xiàn)以下幾個安全目標(biāo)：提供接入控制：驗(yàn)證用戶，授權(quán)他們接入特定的資源，同時拒絕為未經(jīng)授權(quán)的用戶提供接入；確保連接的保密與完好：利用強(qiáng)有力的加密和校驗(yàn)技術(shù)，防止未經(jīng)授權(quán)的用戶竊聽、插入或修改通過無線網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)；防止拒絕服務(wù)（DoS）攻擊：確保不會有用戶占用某個接入點(diǎn)的所有可用帶寬，從而影響其他用戶的正常接入。

下面是業(yè)界常見的無線網(wǎng)絡(luò)安全技術(shù)： 6.1 服務(wù)區(qū)標(biāo)識符(SSID)匹配

服務(wù)集標(biāo)識符（SSID）技術(shù)將一個無線局域網(wǎng)分為幾個需要不同身份驗(yàn)證的子網(wǎng)，每一個子網(wǎng)都需要獨(dú)立的身份驗(yàn)證，只有通過身份驗(yàn)證的用戶才可以進(jìn)入相應(yīng)的子網(wǎng)絡(luò)，防止未被授權(quán)的用戶進(jìn)入本網(wǎng)絡(luò)，同時對資源的訪問權(quán)限進(jìn)行區(qū)別限制。SSID是相鄰的無線接入點(diǎn)（AP）區(qū)分的標(biāo)志，無線接入用戶必須設(shè)定SSID才能和AP通信。通常SSID須事先設(shè)置于所有使用者的無線網(wǎng)卡及A P中。嘗試連接到無線網(wǎng)絡(luò)的系統(tǒng)在被允許進(jìn)入之前必須提供SSID，這是唯一標(biāo)識網(wǎng)絡(luò)的字符串。但是SSID對于網(wǎng)絡(luò)中所有用戶都是相同的字符串，其安全性差，人們可以輕易地從每個信息包的明文里竊取到它。

6.2 無線網(wǎng)卡物理地址（MAC）過濾

每個無線工作站的網(wǎng)卡都有唯一的物理地址，應(yīng)用媒體訪問控制（MAC）技術(shù)，可在無線局域網(wǎng)的每一個AP設(shè)置一個許可接入的用戶的MAC地址清單，MAC地址不在清單中的用戶，接入點(diǎn)將拒絕其接入請求。但媒體訪問控制只適合于小型網(wǎng)絡(luò)規(guī)模。這是因?yàn)椋?/p>

[8]

《寬帶無線接入技術(shù)》課程論文

端，將用戶的認(rèn)證信息轉(zhuǎn)發(fā)給Radius服務(wù)器。當(dāng)無線工作站STA與無線訪問點(diǎn)AP關(guān)聯(lián)后，是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。802.1x除提供端口訪問控制能力之外，還提供基于用戶的認(rèn)證系統(tǒng)及計費(fèi)，特別適合于公共無線接入解決方案。

6.5可擴(kuò)展認(rèn)證協(xié)議（EAP）

802.1x認(rèn)證技術(shù)是針對以太網(wǎng)而提出的基于端口進(jìn)行網(wǎng)絡(luò)訪問控制的安全性標(biāo)準(zhǔn)草案?；诙丝诘木W(wǎng)絡(luò)訪問控制利用物理層特性對連接到LAN端口的設(shè)備進(jìn)行身份認(rèn)證。如果認(rèn)證失敗，則禁止該設(shè)備訪問LAN資源。盡管802.1x標(biāo)準(zhǔn)最初是為有線以太網(wǎng)設(shè)計制定的，但它也適用于符合802.11標(biāo)準(zhǔn)的無線局域網(wǎng)，且被視為是WLAN的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案。

802.1x體系結(jié)構(gòu)包括三個主要的組件：

請求方（Supplicant）：提出認(rèn)證申請的用戶接入設(shè)備，在無線網(wǎng)絡(luò)中，通常指待接入網(wǎng)絡(luò)的無線客戶機(jī)STA。

認(rèn)證方（Authenticator）：允許客戶機(jī)進(jìn)行網(wǎng)絡(luò)訪問的實(shí)體，在無線網(wǎng)絡(luò)中，通常指訪問接入點(diǎn)AP。認(rèn)證服務(wù)器（Authentication Sever）：為認(rèn)證方提供認(rèn)證服務(wù)的實(shí)體。認(rèn)證服務(wù)器對請求方進(jìn)行驗(yàn)證，然后告知認(rèn)證方該請求者是否為授權(quán)用戶。認(rèn)證服務(wù)器可以是某個單獨(dú)的服務(wù)器實(shí)體，也可以不是，后一種情況通常是將認(rèn)證功能集成在認(rèn)證方Authenticator中。

802.1x草案為認(rèn)證方定義了兩種訪問控制端口：即“受控”端口和“非受控”端口?！笆芸囟丝凇狈峙浣o那些已經(jīng)成功通過認(rèn)證的實(shí)體進(jìn)行網(wǎng)絡(luò)訪問；而在認(rèn)證尚未完成之前，所有的通信數(shù)據(jù)流從“非受控端口”進(jìn)出?！胺鞘芸囟丝凇敝辉试S通過802.1X認(rèn)證數(shù)據(jù)，一旦認(rèn)證成功通過，請求方就可以通過“受控端口”訪問LAN資源和服務(wù)。下圖列出802.1x認(rèn)證前后的邏輯示意圖。

與其他認(rèn)證平臺進(jìn)行對接；提供基于用戶的計費(fèi)系統(tǒng)。802.1x認(rèn)證技術(shù)的缺點(diǎn)：只提供用戶接入認(rèn)證機(jī)制。沒有提供認(rèn)證成功之后的數(shù)據(jù)加密；一般只提供單向認(rèn)證；它提供STA與RADIUS服務(wù)器之間的認(rèn)證，而不是與AP之間的認(rèn)證；用戶的數(shù)據(jù)仍然是使用的RC4進(jìn)行加密。

6.6 WPA(Wi-Fi 保護(hù)訪問)技術(shù)

Wi-Fi保護(hù)性接入（WPA）是繼承了WEP 基本原理而又解決了WEP 缺點(diǎn)的一種新技術(shù)。其原理為 根據(jù)通用密鑰，配合表示電腦MAC 地址和分組信息順序號的編號，分別為每個分組信息生成不同的密鑰。然后與WEP 一樣將此密鑰用RC4 加密處理。通過這種處理，所有客戶端的所有分組信息所交換的數(shù)據(jù)將由各不相同的密鑰加密而成。WPA還具有防止數(shù)據(jù)中途被篡改的功能和認(rèn)證功能。

WPA 標(biāo)準(zhǔn)采用了TKIP、EAP 和802.1X 等技術(shù)，在保持Wi-Fi 認(rèn)證產(chǎn)品硬件可用性的基礎(chǔ)上，解決802.11 在數(shù)據(jù)加密、接入認(rèn)證和密鑰管理等方面存在的缺陷。結(jié)語

從本文的分析看來，無線網(wǎng)絡(luò)仍然無法獨(dú)立于有線網(wǎng)而存在，但卻克服了很多有線網(wǎng)絡(luò)中無法解決的問題。由于無線局域網(wǎng)傳輸信息的特殊性，安全問題對其就變成了一個重要的、急待解決的問題[9]。雖然如此，卻并不能限制無線技術(shù)的發(fā)展，甚至超越了現(xiàn)有的固定網(wǎng)絡(luò)。可以預(yù)見，無線局域網(wǎng)的安全研究仍將是一個熱點(diǎn)和重要對象；隨著無線技術(shù)的進(jìn)步和無線局域網(wǎng)絡(luò)應(yīng)用的日趨廣泛，研究者們對無線局域網(wǎng)安全的研究將會投入更多的關(guān)注和探討。針對不同的用戶、用戶環(huán)境給出相應(yīng)的解決方案。為用戶提供更快的速率、更高的安全性、更方便的應(yīng)用性的無線局域網(wǎng)技術(shù)標(biāo)準(zhǔn)也將出現(xiàn)。

[9]

參考文獻(xiàn)

[1] 汪濤.無線網(wǎng)絡(luò)技術(shù)導(dǎo)論[M].北京:清華大學(xué)出版社.2012

[2] 楊慧.網(wǎng)絡(luò)安全技術(shù)的發(fā)展現(xiàn)狀和未來發(fā)展趨勢[J].電腦知識與

技術(shù),2010,35:9991-9993.[3] 嚴(yán)照樓,潘愛民.無線局域網(wǎng)的安全性研究[J].計算機(jī)工程與應(yīng)

802.1x技術(shù)是一種增強(qiáng)型的網(wǎng)絡(luò)安全解決方案。在采用802.1x的無線LAN中，無線用戶端安裝802.1x客戶端軟件作為請求方，無線訪問點(diǎn)AP內(nèi)嵌802.1x認(rèn)證代理作為認(rèn)證方，同時它還作為Radius認(rèn)證服務(wù)器的客戶端，負(fù)責(zé)用戶與Radius服務(wù)器之間認(rèn)證信息的轉(zhuǎn)發(fā)。802.1x認(rèn)證技術(shù)的好處和優(yōu)勢：802.1x協(xié)議僅僅關(guān)注受控端口的打開與關(guān)閉；接入認(rèn)證通過之后，IP數(shù)據(jù)包在二層普通MAC幀上傳送；由于是采用Radius協(xié)議進(jìn)行認(rèn)證，所以可以很方便地

用,2004,05:139-141+203.[4] 趙暉.網(wǎng)絡(luò)安全概述[J].福建電腦,2007,04:75-76.[5] [1]張虎,衛(wèi)克,陳偉鵬,付珂,趙尚弘.無線局域網(wǎng)安全研究的進(jìn)展[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006,02:74-76.[6] 王曼珠,何文才,楊亞濤,魏占禎.無線局域網(wǎng)IEEE802.11的安全缺

陷分析[J].微電子學(xué)與計算機(jī),2005,07:189-192.[7] 趙玉娟.無線局域網(wǎng)安全機(jī)制研究[D].鄭州大學(xué),2006.[8] 趙志飛.無線局域網(wǎng)安全技術(shù)研究[D].西安電子科技大學(xué),2005.[9] 孫浩.無線網(wǎng)絡(luò)安全的解決方案研究[J].河南科技,2014,02:5-6.《寬帶無線接入技術(shù)》課程論文

第四篇：電力企業(yè)局域網(wǎng)的安全管理

摘要：文章分析了局域網(wǎng)的安全管理所涉及的問題，并根據(jù)自己的經(jīng)驗(yàn)提出了相應(yīng)的解決方法。

關(guān)鍵字：系統(tǒng)、防火墻、INTERNET、信息安全、數(shù)據(jù)庫、病毒

隨著計算機(jī)信息技術(shù)的發(fā)展，網(wǎng)絡(luò)已成為我們生活的重要組成部分。但網(wǎng)絡(luò)在應(yīng)用過程中也會帶來許多問題，由于頻繁使用互聯(lián)網(wǎng)，病毒的傳播日益猖獗，黑客的攻擊也越來越多，給局域網(wǎng)數(shù)據(jù)的管理、網(wǎng)絡(luò)的安全帶來很多問題，筆者從事局域網(wǎng)的管理工作多年，結(jié)合自己的工作實(shí)際，提出一些關(guān)于局域網(wǎng)的安全管理方面的經(jīng)驗(yàn)與教訓(xùn)，供大家借鑒。

我們單位的局域網(wǎng)綜合了公司生產(chǎn)管理、經(jīng)營管理、物資管理、安全管理、生產(chǎn)日報、月報等各方面的許多信息，并且這些信息都是每天靠相關(guān)專業(yè)人員寫進(jìn)數(shù)據(jù)庫的，因此在使用中出現(xiàn)了許多問題，但通過我們的努力工作，網(wǎng)絡(luò)運(yùn)行狀況一直良好。經(jīng)驗(yàn)告訴我們：要管好局域網(wǎng)，必須由局域網(wǎng)用戶和管理員共同來努力。

一.網(wǎng)絡(luò)管理員應(yīng)作到的安全措施

1.加強(qiáng)服務(wù)器主機(jī)的獨(dú)立性

局域網(wǎng)中,通常有一臺以上的主服務(wù)器,提供所有計算機(jī)的連結(jié)并控制.這臺計算機(jī)就是黑客攻擊的主要目標(biāo).因此,企業(yè)內(nèi)部應(yīng)對服務(wù)器主機(jī)的安全性加強(qiáng)控制,盡可能將其獨(dú)立,不要將重要資料放置此處,將重要資料獨(dú)立放在內(nèi)部機(jī)器上,這樣可保證資料的安全性、完整性。免費(fèi)論文網(wǎng)[freelw.cn]免費(fèi)畢業(yè)論文下載!

2.網(wǎng)絡(luò)分段

把網(wǎng)絡(luò)上相互間沒有直接關(guān)系的系統(tǒng)分布在不同的網(wǎng)段，由于各網(wǎng)段

間不能直接互訪，從而減少各系統(tǒng)被正面攻擊的機(jī)會。以前，網(wǎng)段分離是

物理概念，組網(wǎng)單位要為各網(wǎng)段單獨(dú)購置集線器等網(wǎng)絡(luò)設(shè)備?，F(xiàn)在有了虛

擬網(wǎng)技術(shù)，網(wǎng)段分離成為邏輯概念，網(wǎng)絡(luò)管理員可以在網(wǎng)絡(luò)控制臺上對網(wǎng)

段做任意劃分。

網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式：

物理分段通常是指將網(wǎng)絡(luò)從物理層和數(shù)據(jù)鏈路層（ISO/OSI）模型中的第一層和第二層）上分為若干網(wǎng)段，各網(wǎng)段相互之間無法進(jìn)行直接通訊。目前，許多交換機(jī)都有一定的訪問控制能力，可實(shí)現(xiàn)對網(wǎng)絡(luò)的物理分段。

邏輯分段則是指將整個系統(tǒng)在網(wǎng)絡(luò)層（ISO/OSI模型中的第三層）上進(jìn)行分段。

例如，對于TCP/IP網(wǎng)絡(luò)，可把網(wǎng)絡(luò)分成若干IP子網(wǎng)，各子網(wǎng)間必須通過路由器、路由交換機(jī)、網(wǎng)關(guān)或防火墻等設(shè)備進(jìn)行連接，利用這些中間設(shè)備（含軟件、硬件）的安全機(jī)制來控制各子網(wǎng)間的訪問。在實(shí)際應(yīng)用過程中，通常采取物理分段與邏輯分段相結(jié)合的方法來實(shí)現(xiàn)對網(wǎng)絡(luò)系統(tǒng)的安全性控制。

3.防火墻技術(shù)

如果網(wǎng)絡(luò)在沒有防火墻的環(huán)境中，網(wǎng)絡(luò)安全性完全依賴主系統(tǒng)的安全性。在一定意義上，所有主系統(tǒng)必須通力協(xié)作來實(shí)現(xiàn)均勻一致的高級安全性。子網(wǎng)越大，把所有主系統(tǒng)保持在相同的安全性水平上的可管理能力就越小，隨著安全性的失策和失誤越來越普遍，入侵就時有發(fā)生。防火墻有助于提高主系統(tǒng)總體安全性。防火墻的基本思想——不是對每臺主機(jī)系統(tǒng)進(jìn)行保護(hù)，而是讓所有對系統(tǒng)的訪問通過某一點(diǎn)，并且保護(hù)這一點(diǎn)，并盡可能地對外界屏蔽保護(hù)網(wǎng)絡(luò)的信息和結(jié)構(gòu)。它是設(shè)置在可信任的內(nèi)部網(wǎng)絡(luò)和不可信任的外界之間的一道屏障，它可以實(shí)施比較廣泛的安全政策來控制信息流，防止不可預(yù)料的潛在的入侵破壞。防火墻系統(tǒng)可以是路由器，也可以是個人機(jī)、主系統(tǒng)或者是一批主系統(tǒng)，專門用于把網(wǎng)點(diǎn)或子網(wǎng)同那些可能被子網(wǎng)外的主系統(tǒng)濫用的協(xié)議和服務(wù)隔絕。防火墻可以從通信協(xié)議的各個層次以及應(yīng)用中獲取、存儲并管理相關(guān)的信息，以便實(shí)施系統(tǒng)的訪問安全決策控制。防火墻的技術(shù)已經(jīng)經(jīng)歷了三個階段，即包過濾技術(shù)、代理技術(shù)和狀態(tài)監(jiān)視技術(shù)。

防火墻是一種用來阻止外面的未經(jīng)授權(quán)的用戶的非法訪問你的網(wǎng)絡(luò)下的設(shè)備的工具，它通常是軟件和硬件的結(jié)合體。

為了更好地理解防火墻的工作原理，我們就使用以前提到過的例子來說明.首先，大多數(shù)網(wǎng)絡(luò)身份驗(yàn)證除了用戶帳號和口令之外的，就是IP地址，IP地址是INTERNET網(wǎng)絡(luò)上最普遍的身份索引，它有動態(tài)和靜態(tài)兩種。

（1）動態(tài)IP地址指每次強(qiáng)制分配給不同上網(wǎng)機(jī)器的主機(jī)的地址。ISP提供的撥號服務(wù)通常是分配動態(tài)IP地址，一個撥號計算機(jī)通常每次撥號都有一個不同的IP但是總有一個范圍。

（2）靜態(tài)IP地址是固定不變的地址，它可以是某臺連入Internet的主機(jī)地址，靜態(tài)IP分幾類，一類是whois可以查詢到的，并且此類IP地址主要是Internet中最高層主機(jī)的地址，這些主機(jī)可以是域名服務(wù)器，httpd服務(wù)器（Web Server)、郵件服務(wù)器、BBS主機(jī)或者網(wǎng)絡(luò)棋類游戲服務(wù)器。另一類靜態(tài)IP地址被分配給Internet網(wǎng)絡(luò)中的第二層和第三層的主機(jī)，這些機(jī)器有固定的物理地址。然而他們不一定有注冊的主機(jī)名。

4.使用企業(yè)級殺毒軟件

在網(wǎng)絡(luò)病毒日益猖獗的今天，不管人們多么小心翼翼，仍然會難免碰翻病毒這個“潘多拉”盒子。在這時候，選擇一個功力高深的網(wǎng)絡(luò)版病毒“殺手”就至關(guān)重要了。一般而言，查殺是否徹底細(xì)致，界面是否友好方便，能否實(shí)現(xiàn)遠(yuǎn)程控制、集中管理是決定一個“殺手”的三大要素?，F(xiàn)在病毒日益猖獗，日常需要寫入服務(wù)器的單機(jī)的安全也特別重要，我建議購買企業(yè)版殺毒軟件，并控制寫入服務(wù)器的客戶端，網(wǎng)管可以隨時殺毒，保證寫入數(shù)據(jù)的安全性，服務(wù)器的安全性。免費(fèi)論文網(wǎng)[freelw.cn]免費(fèi)計算機(jī)論文下載!

最好選擇從事反病毒行業(yè)歷史比較悠久，在市場上有較高知名度企業(yè)研發(fā)的產(chǎn)品，千萬不能貪便宜選擇不知名廠商生產(chǎn)的廉價產(chǎn)品，不僅產(chǎn)品質(zhì)量、售后服務(wù)得不到保證，而且一旦造成損失，將會得不償失。

5.防止黑客攻擊

隨著寬帶網(wǎng)絡(luò)的普及，個人服務(wù)器、家庭局域網(wǎng)如雨后春筍般出現(xiàn)在小區(qū)局域網(wǎng)和校園網(wǎng)中，他們根據(jù)自己的喜好開設(shè)的各種各樣的共享服務(wù)，為廣大網(wǎng)蟲們提供了豐富的共享資源，但由于自身的精力與資金的原因不能建立完善的防護(hù)體系，往往成為黑客和準(zhǔn)黑客們的試驗(yàn)品，造成數(shù)據(jù)的丟失或硬件的損壞。因此如何保證網(wǎng)絡(luò)安全及自身機(jī)器的安全就成了一個越來越重要的問題。

黑客與管理員是兩個互相獨(dú)立又互相了解的對立面，一個好的管理員如果不了解黑客的思路、做法，就無法來設(shè)置安全策略保護(hù)自己的網(wǎng)絡(luò)，而一個黑客如果不熟悉各種安全措施，在面對著種類繁多的防護(hù)措施又會無從下手，雙方為了攻擊與反擊想盡了方法，用盡了手段。正所謂“工欲善其事，必先利其器”，如果我們想要保護(hù)自己防范攻擊就必須先了解對方的想法和思路以及他們使用的方法和工具，這樣我們就可以根據(jù)他們所采用的方式方法來制定自己的安全策略，做到因法而異，準(zhǔn)備以不變應(yīng)萬變，來對抗入侵。黑客入侵常用方法如下：(責(zé)任編輯：免費(fèi)論文網(wǎng)[freelw.cn]

●Data Diddling-------------未經(jīng)授權(quán)刪除檔案，更改其資料（15.5%)●Scanner-------------利用工具尋找暗門漏洞(15.8%)

●Sniffer--------------監(jiān)聽加密之封包(11.2%)●Denial of

Service-------------使其系

●Data Diddling-------------未經(jīng)授權(quán)刪除檔案，更改其資料（15.5%)

●Scanner-------------利用工具尋找暗門漏洞(15.8%)

●Sniffer--------------監(jiān)聽加密之封包(11.2%)

●Denial of Service-------------使其系統(tǒng)癱瘓（16.2%)

●IP Spoofing---------------冒充系統(tǒng)內(nèi)網(wǎng)絡(luò)的IP地址(12.4%)

●Other------------其他

(13.9%)

知道了黑客的入侵方法，我們就可以對癥下藥。

如果要給黑客們分類的話，大致可以分成兩類。一類是偶然攻擊者，他們與前面提到的偶然威脅中的用戶可不一樣，他們往往無目的地攻擊服務(wù)器，試圖搜索里面的信息，這樣做的原因僅僅是為了滿足他們的好奇心，使他們過了一把當(dāng)黑客的癮，這些人一般只會使用已有的黑客軟件，或者從網(wǎng)上照搬來的攻擊方法來試探系統(tǒng)漏洞?？傮w來說，水平一般，很業(yè)余，只要采取一般的保護(hù)措施，比如簡單的防火墻或者升級系統(tǒng)補(bǔ)丁就可以把他們屏蔽在外了。而對付另一類頑固攻擊者就沒有這么簡單了。他們大部分為網(wǎng)絡(luò)及編程高手，熟悉各種程序語言、操作系統(tǒng)及網(wǎng)絡(luò)各層間的協(xié)議，能夠自己編寫攻擊程序，找到系統(tǒng)的漏洞，發(fā)現(xiàn)侵入的方法。而且這些人的目的遠(yuǎn)遠(yuǎn)不只是為滿足一下自己的好奇心，而是為了商業(yè)機(jī)密，報復(fù)等原因。

現(xiàn)在我們再來說一下黑客幾種主要和常見的攻擊類型。拒絕服務(wù)攻擊，這是目前最常見的攻擊方式，一般是通過程序占用了主機(jī)上所有的資源，或者是在短時間內(nèi)向主機(jī)發(fā)送大量數(shù)據(jù)包，影響其它正常數(shù)據(jù)交換，從而造成系統(tǒng)過載或系統(tǒng)癱瘓。網(wǎng)絡(luò)蠕蟲是目前最為常見的影響最大的實(shí)現(xiàn)拒絕攻擊服務(wù)的方法。此外通過中止TCP握手過程和郵件炸彈也可以實(shí)現(xiàn)拒絕服務(wù)攻擊。前門攻擊，這種攻擊方式最為直接，黑客會試圖以系統(tǒng)承認(rèn)的合法用戶的身份登錄系統(tǒng)進(jìn)行訪問。他們會直接試圖利用字母組合去破解合法的用戶名及密碼。由于使用了配置強(qiáng)大的計算機(jī)運(yùn)算的破解程序，前門攻擊對于高級黑客來說也不是什么難事，所以當(dāng)服務(wù)器日志中出現(xiàn)了大量登錄失敗的信息后，就說明很可能已經(jīng)有黑客開始光顧服務(wù)器的前門了。天窗攻擊和特洛伊木馬攻擊很相似，前者是直接利用管理員留下的后門(就是用于系統(tǒng)檢測或故障維護(hù)的特殊用戶通道)侵入系統(tǒng)；而后者是通過一些駐留內(nèi)存的程序(后門病毒，代碼炸彈等)，為非法入侵者打開一個隨時出入的特殊通道。IP欺騙和中間人攻擊是另外兩種類似的攻擊手段，第一種前面已經(jīng)提過，通過新生成的IP報頭非法進(jìn)入合法網(wǎng)絡(luò)進(jìn)行通訊，而中間人攻擊則是首先通過IP欺騙獲得合法身份，然后截取網(wǎng)絡(luò)中的數(shù)據(jù)包獲取其中的數(shù)據(jù)，從這些數(shù)據(jù)竊取合法的用戶名和密碼。

管理員在配置服務(wù)器的安全策略時一定要小心謹(jǐn)慎，比如在配置授權(quán)服務(wù)時，盡量用自己的方式為每個用戶加上詳細(xì)的描述來表述其身份，這樣一旦發(fā)現(xiàn)新出現(xiàn)的用戶沒有描述，或未用你的方法進(jìn)行描述，你可以立刻核對它的合法性，看是否為入侵后留下的額外控制賬號。配置數(shù)據(jù)保護(hù)和數(shù)據(jù)集成可以為主機(jī)上的各種數(shù)據(jù)提供授權(quán)保護(hù)和加密，這樣可以防止用戶在遠(yuǎn)端登錄主機(jī)時，登錄信息被中途監(jiān)聽、截獲，如果已經(jīng)被截獲，可以防止被破解。安全策略是管理員手里最基礎(chǔ)的工具，有效地利用這個工具可以擊退大部分非法入侵。

做為要建立服務(wù)器的管理員，首先要評估和分析自己服務(wù)器會受到哪些入侵，以及自己服務(wù)器上哪些資源數(shù)據(jù)容易被別人攻擊。做好這樣的評析才能方便地建立自己的安全策略，花最小的代價建立好最妥當(dāng)?shù)姆雷o(hù)方法。入侵監(jiān)視軟件

也是管理員必備的武器之一，它替代管理員對流入流出服務(wù)器的數(shù)據(jù)進(jìn)行監(jiān)視，檢測其合法性。這類軟件都還有一個規(guī)則數(shù)據(jù)庫，用來和網(wǎng)絡(luò)中實(shí)時交流的數(shù)據(jù)進(jìn)行檢測比較，通過那些合法的，中止那些非法的。管理員可以自行設(shè)置網(wǎng)絡(luò)規(guī)則和應(yīng)變手段，比如在發(fā)現(xiàn)入侵后進(jìn)行反跟蹤，找到入侵的源頭。或者是直接進(jìn)行反擊，迫使黑客停止攻擊，轉(zhuǎn)入防御(比較常見的監(jiān)聽軟件有ISS RealSecure、Axent Intruder Alert等)。而且在配置服務(wù)器時，盡量避免使用系統(tǒng)的默認(rèn)配置，這些默認(rèn)配置是為了方便普通用戶使用的，但是很多黑客都熟悉默認(rèn)配置的漏洞，能很方便地、從這里侵入系統(tǒng)，所以當(dāng)系統(tǒng)安裝完畢后第一步就是要升級最新的補(bǔ)丁，然后更改系統(tǒng)的默認(rèn)設(shè)置。為用戶建立好詳細(xì)的屬性和權(quán)限，方便確認(rèn)用戶身份以及他能訪問修改的資料。定期修改用戶密碼，這樣可以讓密碼破解的威脅降到最低?？傊煤梅?wù)器自身系統(tǒng)的各種安全策略，就可以占用最小的資源，擋住大部分黑客了。

6.數(shù)據(jù)庫的安全保護(hù)：

服務(wù)器中的程序、數(shù)據(jù)是動態(tài)的，隨時變化，因此要作好備份工作，備份要多留幾份，這樣才使系統(tǒng)崩潰時，可以及時恢復(fù)數(shù)據(jù)，保證工作正常進(jìn)行。

隨時修改口令、密碼，不要將密碼泄露出去，服務(wù)器不用時就進(jìn)入鎖定狀態(tài)，免得由于誤錯做，引起故障，帶來不必要的麻煩。

二.局域網(wǎng)用戶應(yīng)做的安全防護(hù)

許多企業(yè)內(nèi)發(fā)生的網(wǎng)絡(luò)安全危機(jī),有多半來自員工本身沒有具備基本的網(wǎng)絡(luò)安全常識.導(dǎo)致黑客有機(jī)會侵入計算機(jī),達(dá)到破壞的目的.因此企業(yè)或個人加強(qiáng)本身的網(wǎng)絡(luò)保護(hù)知識,有絕對的不要.以下列出幾項,供各位參考.1.保密自己的口令、密碼。嚴(yán)禁帳號,密碼外借，密碼設(shè)置不要過于簡單,平時我們設(shè)定密碼時往往隨便就以簡單的數(shù)字,電話號碼,或單純的英文字母,單詞設(shè)定,這樣很不安全,很容易被輕易獲取.因此設(shè)定密碼愈復(fù)雜,就愈安全.密碼、帳號不要借給他人使用,避免不必要的麻煩.2.安裝在線殺毒軟件,隨時監(jiān)視病毒的侵入，保護(hù)硬盤及系統(tǒng)不受傷害。常見的有KV3000、金山毒霸等，還要記得及時給病毒庫升級。這樣才能加強(qiáng)殺毒軟件的抗病毒能力。

3.瀏覽WEB時不要輕易打開來歷不明的電子郵件.常見黑客入侵的方式,都是先寄發(fā)內(nèi)含入侵程序的電子郵件給對方,使收件人在不知情的情況下打開郵件,入侵程序便悄悄進(jìn)駐你的計算機(jī),這樣不僅會被竊取重要資料,而且會破壞你硬盤的所有資料.也有的黑客將郵件以HTM格式放在WEB頁上寄出,只要上網(wǎng)者輕輕一擊,你的計算機(jī)就種著了.4.不要隨便借你的計算機(jī)給別人使用

黑客會在你的計算機(jī)上種植木馬程序或獲取你的相關(guān)網(wǎng)絡(luò)資源密碼等, 以后他就可以在任何計算機(jī)上隨意獲取你的資源,監(jiān)視你的一舉一動,控制你的計算機(jī),使你的機(jī)器速度下降,甚至死機(jī).(責(zé)任編輯：免費(fèi)論文網(wǎng)[freelw.cn]

第五篇：局域網(wǎng)共享問題

局域網(wǎng)共享問題大全

一般情況

重新設(shè)置一下局域網(wǎng),參照以下步驟:

1、工作組要相同。具體操作： 右鍵 我的電腦 屬性 計算機(jī)名 更改工作組。

2、禁用“GUEST”帳戶。具體操作：右鍵 我的電腦 管理 本地用戶和組 雙擊用戶 點(diǎn) GUEST 右鍵 屬性 賬戶已停用前勾上。

3、更改本地帳戶的安全和共享模式為經(jīng)典。具體操作：開始 設(shè)置 控制面板 性能和維護(hù) 管理工具 本地安全策略 安全選項 網(wǎng)絡(luò)訪問：本地賬號的共享和安全模式 選 “經(jīng)典：本地用戶以自己的身份驗(yàn)證”。

4、若想實(shí)現(xiàn)文件和打印機(jī)共享，要開啟各機(jī)的共享。

你試試，祝你成功！

若還是不行，可以參考

一、首先啟用guest來賓帳戶;

二、控制面板→管理工具→本地安全策略→本地策略→用戶權(quán)利指派里，“從網(wǎng)絡(luò)訪問此計算機(jī)”中加入guest帳戶，而“拒絕從網(wǎng)絡(luò)訪問這臺計算機(jī)”中刪除guest帳戶;

三、我的電腦→工具→文件夾選項→查看→去掉“使用簡單文件共享（推薦）”前的勾;

四、設(shè)置共享文件夾；

五、控制面板→管理工具→本地安全策略→本地策略→安全選項里，把“網(wǎng)絡(luò)訪問：本地帳戶的共享和安全模式”設(shè)為“僅來賓-本地用戶以來賓的身份驗(yàn)證”（可選，此項設(shè)置可去除訪問時要求輸入密碼的對話框，也可視情況設(shè)為“經(jīng)典-本地用戶以自己的身份驗(yàn)證”）；

六、右擊“我的電腦”→“屬性”→“計算機(jī)名”，該選項卡中有沒有出現(xiàn)你的局域網(wǎng)工作組名稱，如“work”等。然后單擊“網(wǎng)絡(luò)

ID”按鈕，開始“網(wǎng)絡(luò)標(biāo)識向?qū)А保簡螕簟跋乱徊健?，選擇“本機(jī)是商業(yè)網(wǎng)絡(luò)的一部分，用它連接到其他工作著的計算機(jī)”；單擊“下一步”，選擇“公司使用沒有域的網(wǎng)絡(luò)”；單擊“下一步”按鈕，然后輸入你的局域網(wǎng)的工作組名，如“work”，再次單擊“下一步”按鈕，最后單擊“完成”按鈕完成設(shè)置。

七、檢查本地連接是否被禁用，右擊“本地連接”→“啟用”；

八、關(guān)閉網(wǎng)絡(luò)防火墻；

九、檢查是否啟用了域，是否加入了該域并檢查域設(shè)置；

十、檢查是否關(guān)閉了server服務(wù)；

十一、檢查本地連接IP、子網(wǎng)掩碼、網(wǎng)關(guān)及DNS設(shè)置是否有誤；

十二、“本地連接”→屬性→常規(guī)，檢查是否安裝了“Microsoft網(wǎng)絡(luò)文件和打印機(jī)共享”、“Microsoft網(wǎng)絡(luò)客戶端”以及TCP/IP協(xié)議；

十三、某些局域網(wǎng)游戲和軟件須安裝NetBEUI協(xié)議。而且網(wǎng)上有文章說，在小型局域網(wǎng)中，微軟在WinXP中只支持的TCP/IP協(xié)議和 NWLinkIPX/SPX/NetBIOS兼容協(xié)議表現(xiàn)不盡如人意，在小型局域網(wǎng)(擁有200臺左右電腦的網(wǎng)絡(luò))中NetBEUI是占用內(nèi)存最少、速度最快的一種協(xié)議。

十四、作為網(wǎng)絡(luò)瀏覽服務(wù)器的電腦由于病毒、配置低運(yùn)行慢以及死機(jī)等原因?qū)е戮W(wǎng)絡(luò)上的計算機(jī)列表得不到更新，使得某些機(jī)器有時候在網(wǎng)上鄰居中找不到。

解決辦法：最簡單的辦法是重啟各種網(wǎng)絡(luò)設(shè)備和電腦，或者關(guān)閉個別有上述問題的電腦上的網(wǎng)絡(luò)瀏覽服務(wù)器功能,方法如下： win2000/XP下禁用Computer Browser服務(wù)

十五、給系統(tǒng)打上補(bǔ)丁。WinXP訪問網(wǎng)上鄰居的速度較慢，這是WinXP的一個Bug，當(dāng)我們打開網(wǎng)上鄰居時，操作系統(tǒng)首先會從計劃任務(wù)中進(jìn)行查找，因此就大大影響了訪問的速度，除非您已經(jīng)安裝了SP1補(bǔ)丁才不會存在這個問題。

可以手工解

決

這，一這問

題里

。有

從

注一

冊個

表

名中

找 為“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerRemoteComputerNameSpace”“{D6277990-4C6A-11CF-8D87-00AA0060F5BF}”的子鍵，該子鍵指向“計劃任務(wù)（ScheduledTasks）”，將它直接刪除即可。

十六、先卸載網(wǎng)卡驅(qū)動，重啟再重裝；

十七、硬件問題，檢查網(wǎng)卡、網(wǎng)線、集線器、路由器等，在檢查之前，最好先重啟一下網(wǎng)絡(luò)設(shè)備(集線器、交換機(jī)、路由器)看能否解決；

十八、病毒(木馬)原因。升級病毒庫安全模式下全盤殺毒。

自學(xué)內(nèi)容

徹底解決XP網(wǎng)上鄰居共享

導(dǎo)致Windows XP網(wǎng)絡(luò)鄰居不能正確瀏覽或?yàn)g覽列表不全的因素很多，解決問題需要對癥下藥，而診斷過程分兩個步驟：測試基本連接、解決文件共享問題。

一、解決基本連接問題。

1、檢查計算機(jī)之間的物理連接。

網(wǎng)卡是網(wǎng)絡(luò)連接的基本設(shè)備，在桌面計算機(jī)中，每個網(wǎng)卡后面的指示燈應(yīng)該是亮的，這表示連接是正常的。如果不亮，請檢查集線器或交換機(jī)是打開的，而且每個客戶端連接的指示燈都是亮的，這表示鏈接是正常的。接下來檢查網(wǎng)線的水晶頭是否接觸良好。

2、確保所有計算機(jī)上都安裝了 TCP/IP，并且工作正常。

在Windows XP 中默認(rèn)安裝了 TCP/IP。但是，如果出了網(wǎng)絡(luò)問題想卸載后重新安裝 TCP/IP 就不容易了：在“本地連接”屬性中顯示的此連接使用下列項目列表中單擊 Internet 協(xié)議(TCP/IP)項，您將發(fā)現(xiàn)卸載按鈕不可用（被禁用）。

這是因?yàn)閭鬏斂刂茀f(xié)議/Internet 協(xié)議(TCP/IP)堆棧是 Microsoft XP/ 2003 的核心組件，不能刪除。在這種情況下，如果需要重新安裝 TCP/IP 以使 TCP/IP 堆?；謴?fù)為原始狀態(tài)?？梢允褂?NetShell 實(shí)用程序重置 TCP/IP 堆棧，使其恢復(fù)到初次安裝操作系統(tǒng)時的狀態(tài)。方法是：在命令提示符后鍵入以下命令，然后按 ENTER 鍵：netsh int ip reset c:resetlog.txt，其中，Resetlog.txt記錄命令結(jié)果的日志文件，一定要指定，這里指定了 Resetlog.txt 日志文件及完整路徑。運(yùn)行此命令的結(jié)果與刪除并重新安裝 TCP/IP 協(xié)議的效果相同。

另外，不會還有人用95吧，WIN95默認(rèn)情況下不自動安裝TCP/IP協(xié)議。

3、檢查IP地址

有幾種情況：

查看不同的計算機(jī)的IP是否在同一范圍內(nèi)，方法是在MSDOS方式下輸入IPCONFIG/ALL。如果一臺計算機(jī)收到的地址在 192.168.0.x 范圍內(nèi)，而另一臺收到的地址在 169.254.x.y 范圍內(nèi)，需要根據(jù)網(wǎng)絡(luò)拓?fù)浯_定哪一個是正確的地址。然后，集中解決地址錯誤的那臺計算機(jī)的問題。

關(guān)于169.254.x.y類IP地址

在不存在 Internet 連接的情況中，或者，每臺計算機(jī)都有一個單獨(dú)的 Internet 連接（撥號連接或?qū)拵нB接）。在這種配置中，計算機(jī)通常給自己分配 169.254.x.y 范圍內(nèi)的 IP 地址（其中 x 和 y 是 1 到 254 之間的數(shù)字）。而將 ISP 提供的地址用于 Internet 連接。

關(guān)于192.168.0.X類IP地址

一臺計算機(jī)通過使用 Internet 連接共享連接到共享的Internet。該連接可以是撥號連接或?qū)拵нB接（一般是 xDSL 或電纜調(diào)制解調(diào)器）。該計算機(jī)也被稱為代理服務(wù)器，常見的代理有SYGATE、WINGATE、NAT、ISA、*****ROXY等。通常是由代理服務(wù)器負(fù)責(zé)為家庭網(wǎng)絡(luò)中的其他計算機(jī)分配 IP 地址。共享連接的計算機(jī)應(yīng)該為連接到家庭網(wǎng)絡(luò)的網(wǎng)卡配置 IP 地址 192.168.0.1。網(wǎng)絡(luò)上其他計算機(jī)的地址應(yīng)在 192.168.0.x 范圍內(nèi)（其中 x 是 2 到 254 之間的數(shù)字）。當(dāng)然，可以在成功共享后修改IP地址，如10.X.Y.Z等。

計算機(jī)連接到集線器，并且集線器通過寬帶連接與 Internet 連接。這種配置也稱為無邊界網(wǎng)絡(luò)。在這種配置中，家庭網(wǎng)絡(luò)中的每臺計算機(jī)都有一個 Internet 服務(wù)提供商(ISP)提供的 IP 地址。使用的地址因 ISP 而異。無邊界網(wǎng)絡(luò)是一種特殊情況。在這種情況下應(yīng)使用 ICF，但必須采取其他措施才能在家庭網(wǎng)絡(luò)啟用連接。

4、使用 ping 命令測試網(wǎng)絡(luò)中兩臺計算機(jī)之間的連接：

ping 其它計算機(jī)IP，在命令提示處，鍵入 ping x.x.x.x（其中 x.x.x.x 是另一臺計算機(jī)的 IP 地址），然后按 ENTER 鍵。應(yīng)該可以看到來自另一臺計算機(jī)的幾個答復(fù)，如：

Reply from x.x.x.x:bytes=32 time<1ms TTL=128

如果沒有看到這些答復(fù)，或者看到“Request timed out”，說明本地計算機(jī)可能有問題。如果 ping 命令成功執(zhí)行，那么您就確定了計算機(jī)可以正確連接，可以跳過下一步。如果沒有看到這些答復(fù)，或者看到“Request timed out”，說明本地計算機(jī)可能有問題。PING 本地IP，如果看到“Request timed out”，說明本地計算機(jī)可能有問題。

5、使用 ping 命令測試網(wǎng)絡(luò)中名稱解析是否正常

ping computername，其中 computername 是遠(yuǎn)程計算機(jī)的名稱。通過 ping 命令用名稱測試計算機(jī)連接。確定計算機(jī)的名稱的方法是：在命令提示處，輸入SYSTEMINFO?；蛘咴谧烂嫔嫌覔粑业碾娔X-屬性，然后單擊計算機(jī)名稱選項卡。如果看到該命令的成功答復(fù)，說明您在計算機(jī)之間具有基本連接和名稱解析。名稱解析跟NETBIOS密切相關(guān)，看下面的步驟。

6、分析日志

檢查“網(wǎng)絡(luò)安裝向?qū)А比罩疚募袥]有成功執(zhí)行的任何步驟中的錯誤。打開該日志的方法是依次單擊開始、運(yùn)行，鍵入 %SystemRoot%nsw.log，然后按 ENTER 鍵。如果 Nsw.log 文件沒有提供有關(guān)該問題的信息，請檢查系統(tǒng)日志中的錯誤并查明錯誤原因。

二、解決文件和打印機(jī)共享問題

1、正確安裝網(wǎng)絡(luò)組件

首先右擊網(wǎng)上鄰居－屬性，選擇要共享的網(wǎng)卡。把IP設(shè)置在局域網(wǎng)的同一個網(wǎng)段上。比如192.168.0.X網(wǎng)段。然后看一下TCP/IP的高級屬性中，是否開啟NETBIOS。在利用WINNT4.0 構(gòu)建的網(wǎng)絡(luò)系統(tǒng)中，對每一臺主機(jī)的唯一標(biāo)識信息是它的NetBIOS名，系統(tǒng)是利用WINS服務(wù)、信息廣播方式及Lmhost文件等多種模式將NetBIOS名解析為相應(yīng)IP地址，從而實(shí)現(xiàn)信息通訊。在內(nèi)部網(wǎng)絡(luò)系統(tǒng)中（也就是通常我們所說的局域網(wǎng)中），利用NetBIOS名實(shí)現(xiàn)信息通訊是非常方便、快捷的。但是在Internet上對一臺主機(jī)的唯一標(biāo)識信息是它的FQDN格式的域名（http://004km.cn/），在Internet是利用DNS標(biāo)準(zhǔn)來實(shí)現(xiàn)將域名解析為相應(yīng)IP地址，WIN2K支持動態(tài)DNS，運(yùn)行活動目錄服務(wù)的機(jī)器可動態(tài)地更新DNS表。WIN2K網(wǎng)絡(luò)中可以不再需要WINS服務(wù)，但是WIN2K仍然支持WINS，這是由于向后兼容的原因。目前，大多數(shù)網(wǎng)絡(luò)是混合網(wǎng)，既有Win98等系統(tǒng)，又有WINXP/WIN2K等系統(tǒng)，因此需要在TCP/IP協(xié)議上捆綁NETBIOS解析計算機(jī)名。

查看是否選定“文件和打印服務(wù)”組件，如果已將其取消選中，“瀏覽服務(wù)”將不綁定到 NetBIOS 接口。成為備份瀏覽器并且沒有啟用“文件和打印共享”的基于 Windows 的計算機(jī)無法將瀏覽列表與客戶機(jī)共享。任何將要包括在瀏覽列表中的計算機(jī)也都必須啟用“文件和打印共享”。

2、啟動“計算機(jī)瀏覽器”服務(wù)

計算機(jī)瀏覽器“服務(wù)在網(wǎng)絡(luò)上維護(hù)一個計算機(jī)更新列表，并將此列表提供給指定為瀏覽器的計算機(jī)。如果停止了此服務(wù)，則既不更新也不維護(hù)該列表。

啟動”計算機(jī)瀏覽器“服務(wù)

單擊開始，右擊我的電腦，然后單擊管理。

在控制臺樹中，展開”服務(wù)和應(yīng)用程序“。

單擊服務(wù)。

在右邊的詳細(xì)信息窗格中，檢查”計算機(jī)瀏覽器“服務(wù)是否已啟動，右擊計算機(jī)瀏覽器，然后單擊啟動。

關(guān)閉”計算機(jī)管理"窗口。

3、查看共享文件夾

請依次單擊開始、運(yùn)行，鍵入 fsmgmt.msc，然后單擊確定。在左窗格中，單擊共享。右窗格中隨即出現(xiàn)共享文件夾列表。記下每臺計算機(jī)的相應(yīng)共享名稱。

4、起用Guest（來賓）帳戶

Windows XP的Guest帳戶允許其他人使用你的電腦，但不允許他們訪問特定的文件，也不允許他們安裝軟件。對 Windows XP Home Edition 計算機(jī)或工作組中的 Windows XP Professional 計算機(jī)的所有網(wǎng)絡(luò)訪問都使用來賓帳戶。使用net user guest確保為網(wǎng)絡(luò)訪問設(shè)置了來賓帳戶，如果該帳戶是活動的，命令輸出中會出現(xiàn)一行類似下面這樣的內(nèi)容：Account active Yes；如果該帳戶不是活動的，請使用下面的命令授予來賓帳戶網(wǎng)絡(luò)訪問：

net user guest /active:yes

5、允許Guest（來賓）帳號從網(wǎng)絡(luò)上訪問。

在運(yùn)行里輸入gpedit.msc，彈出組策略管理器，在?計算機(jī)配置-Windows設(shè)置-本地策略-用戶權(quán)利指派?中，有“拒絕從網(wǎng)絡(luò)訪問這臺計算機(jī)”策略阻止從網(wǎng)絡(luò)訪問這臺計算機(jī)，其中居然有GUEST帳號，誰能訪問這臺計算機(jī)。解決辦法是刪除拒絕訪問中的GUEST帳號。如圖

6、設(shè)置防火墻允許瀏覽服務(wù)

網(wǎng)絡(luò)安全重要，所以最好開啟網(wǎng)絡(luò)防火墻，但是防火墻阻斷正常的網(wǎng)絡(luò)瀏覽服務(wù)通訊，結(jié)果是別人在網(wǎng)上鄰居中看不到你的計算機(jī)，有沒有兩全其美的辦法在開啟防火墻的前提下允許瀏覽服務(wù)。辦法是，如果開啟了ICF，打開屬性，在服務(wù)這欄，選擇添加，添加服務(wù)的對話框共有四個編輯框，最上邊是描述服務(wù)名稱，以便于記憶，從上到下第二個是應(yīng)用服務(wù)的IP地址或名稱，輸入127.0.0.1表示本機(jī)。下面連個是內(nèi)外端口號，旁邊的tcp/udp標(biāo)示這個端口是udp連接還是tcp連接。

按照下面的表格輸入3個服務(wù)

8、設(shè)置帳號和密碼

由于WinNT內(nèi)核的操作系統(tǒng)，在訪問遠(yuǎn)程計算機(jī)的時候，好像總是首先嘗試用本地的當(dāng)前用戶名和密碼來嘗試，可能造成無法訪問，在這里把用戶密碼添加進(jìn)去就可以了。

查看計算機(jī)IBMZB上有哪些共享文件夾，如D。再輸入NET USE Z:IBMZBD將計算機(jī)IBM-ZB共享的文件夾D映射為H：盤，在命令提示符下鍵入“Z:”。你會發(fā)現(xiàn)你已經(jīng)連到IBMZB計算機(jī)上了