區域網面對攻擊的安全策略

　　區域網的安全問題經常是面對來自Internet的攻擊，因此你必須時刻防範這些惡意攻擊，關注你區域網的計算機系統安全，那麼你知道嗎?下面是小編整理的一些關於的相關資料，供你參考。

　　下面兩個方法從實踐上來說被認為是非常有用的防範手段：

　　1.包過濾

　　圖1 七層模型易遭受的安全攻擊

　　在網路層檢查通訊資料，觀察它的源地址和目的地址。過濾器可以禁止特定的地址或地址範圍傳出或進入，也可以禁止令人懷疑的地址模式。

　　2.防火牆

　　圖2 包過濾器的配置

　　在應用層檢查通訊資料，檢查訊息地址中的埠，或檢查特定應用的訊息內容。測試失敗的任何通訊資料將被拒絕。

　　一、路由包過濾

　　TCP/IP地址由機器地址和標識程式處理訊息的埠數字組成。這個地址/埠組合資訊對每個TCP/IP訊息都是有效的。包過濾與防火牆相比處理的簡單一些，它僅是觀察TCP/IP地址，而不是埠數字或訊息內容。不過包過濾提供給你的是很好的網路安全工具。

　　包過濾器通常使用的是自頂向下的操作原則，下面是它使用的一個典型規則：

　　●允許所有傳出通訊資料通過;

　　●拒絕建立新的傳入連線;

　　●其它的資料可以全部被接受。

　　通過這樣的使用規則，系統的安全性提高了許多。因為它拒絕了Internet上主動與你的計算機建立新連線的請求。它阻止使用TCP的通訊資料進入，從而杜絕了對共享驅動器和檔案的未授權訪問。

　　過濾器通常的應用是配置在連線你的計算機和Internet的路由器上，如圖2所示。在你的區域網和Internet之間放置過濾器後，就可以保證區域網與Internet所有的通訊資料都要經過過濾器。

　　如果包過濾軟體有能力檢查源地址子網，從子網物理埠傳遞訊息到路由器，你就可以制定規則來避免虛假的TCP/IP地址，就象圖2所示的那樣。攻擊者欺騙的方法就是把來自Internet的訊息偽裝成來自你區域網的訊息。包過濾通過拒收帶有不可能源地址的訊息來防禦攻擊者的攻擊。例如，假定你在一個裝有Linux的機器上安裝軟體，讓它作為一個Windows網路檔案伺服器，你可以配置Linux讓它拒收所有來自你的子網以外的通訊資料，阻止Internet上的機器看到這個檔案伺服器。如果攻擊者假裝是你內部的機器，用過濾器就可以阻止攻擊者的攻擊。

　　包過濾雖然對網路的安全防範能起到很好的作用，但包過濾也並不是萬能的。它們一般不能防禦使用UDP協議的攻擊，因為過濾器不能拒收開放的訊息。包過濾還不能防禦低層攻擊，象PING方式的攻擊。

　　二、防火牆

　　使用防火牆軟體可以在一定程度上控制區域網和Internet之間傳遞的資料。圖3所示是一個TCP/IP資料包報頭示意圖，從它上面可以清楚地看到包過濾和防火牆工作原理的不同之處。防火牆不但檢查了包過濾檢查內容的所有部分***TCP/IP的源地址和目的地址***，還檢查了源/目的埠數字和包的內容。

　　圖3 包過濾器和防火牆的資訊源

　　埠和訊息內容這些資訊使防火牆比包過濾有更強的防範能力，因為這些資訊使防火牆控制特定進/出的主機地址。防火牆的功能有以下幾個方面：

　　●允許或禁止特定的應用服務，例如：FTP或Web頁面服務;

　　●允許或禁止訪問基於被傳遞的資訊內容的服務。

　　防火牆最直接的實施就是使用圖2所示的結構，僅把區域網和ISP之間的包過濾器換成防火牆就可以了。這是一個防火牆的最安全的應用，因為它保護了防火牆後面的所有計算機。

　　圖4 防火牆中使用DMZ

　　如果我們把圖2改為圖4所示的結構，就可以很好地解決這個問題。圖4的結構中有3個埠。第三個埠連線的是另一個區域網，通常叫做DMZ***非軍事區***。DMZ中的計算機與安全域性域網中的計算機相比安全性要差一些，但是這些計算機可以接受來自Internet的訪問。你可以把Web和FTP伺服器放在DMZ，從而可以保護其它的計算機。防火牆上的規則設定為阻止進入安全域性域網的通訊資料，僅允許傳出連線的建立。

　　如果你想增強DMZ區域網的安全性，可以使用過濾器，限制區域網中伺服器使用的埠，禁止那些來自攻擊站點的訪問。

　　為了安全還可以給你的區域網分段，每段設定一個防火牆，每個防火牆使用不同的安全規則。需要記住的一點是，防火牆本身並沒有保障安全的能力，你需要定期的檢查防火牆對可疑事件做出的日誌記錄，還需要去發現和使用軟體的安全補丁。

　　如果你使用Windows 98第二版的Internet共享連線功能，讓你的一臺計算機通過Modem把區域網連線上Internet。在這種情況下，你的網路是很不安全的，仍需要改善網路的安全性。最大的威脅就是你的電腦直接連線在了Internet上，你應該直接在這臺電腦上安裝包過濾器或防火牆產品，或讓你的ISP安裝包過濾器或防火牆來保護你的訪問。

　　看過文章“

　　1.區域網安全策略

　　2.怎麼建立區域網

　　3.如何簡單設定一個區域網

　　4.區域網共享設定 詳細圖文設定教程

　　5.如何進行區域網共享

　　6.如何實現區域網內兩臺電腦資源共享

　　7.如何搭建30臺電腦的區域網

　　8.區域網的定義

　　9.區域網入侵如何做到的

　　10.如何建立區域網