局域网的安全管理
1、所有接入网络的用户必须遵守国家有关法律、法规,严格执行安全保密制度,并对所提供的信息负责。任何单位和个人不得利用连网计算机从事危害城域网及校园网防火墙、路由器、交换机、服务器等网络设备的活动。
2、在网站上发现大量有害信息,以及遭到黑客攻击后,必须在12小时内向三门县教育局现代教育中心及公安机关报告,并协助查处。在保留有关上网信息和日志记录的前题下,及时删除有关信息。问题严重、情况紧急时,应关闭交换机或相关服务器。
3、任何单位和个人不得在校园网及其连网的计算机上收阅下载传递有政治问题和淫秽色情内容的信息。
4、所有接入网络的用户必须对提供的信息负责,网络上信息、资源、软件等的使用应遵守知识产权的有关法律法规。对于运行无合法版权的网络软件而引起的版权纠纷由使用部门(个人)承担全部责任。
5、严禁在网络上使用来历不明、引发病毒传染的软件,对于来历不明的可能引发计算机病毒的软件应使用公安部门推荐的杀毒软件检查、杀毒。
6、认真执行各项管理制度和技术规范,监控、封堵、清除网上有害信息。为有效地防范网上非法活动、各子网站要加强出口管理和用户管理。重要网络设备必须保持日志记录,时间不少于180天。
用360绑定网关,瑞星防火墙也行,或者用dos命令自己绑定,不过每次开机都要这么做,还是推荐用360
从网吧ARP欺骗看局域网的安全管理 在“网吧ARP欺骗的原理及危害”一文中为大家介绍了ARP欺骗攻击的原理以及危害程度,相信各位网络管理员读者都对ARP欺骗深表痛恨,希望能够彻底的禁止该现象的发生。虽然笔者不是网吧管理员,但是也在单位负责五个机房共200台计算机。所以下面就根据笔者的经验为大家介绍如何来防止ARP欺骗,文章所说的这些方法对网吧或普通局域网都是适用的。企业可以通过发布网络管理制度来禁止ARP欺骗问题的发生,发现有欺骗者和奖金等效益挂钩。但是网吧不同于企业,来使用计算机和网络的都是顾客,也就是“上帝”,我们不可能对他们的行为做过多的约束,所以唯一能做的就是从技术上尽最大可能约束和检查ARP欺骗的来源。
一,sniffer检测法:
sniffer是网络管理的好工具,网络中传输的所有数据包都可以通过sniffer来检测。同样arp欺骗数据包也逃不出sniffer的监测范围。
一般来说ARP欺骗数据包没有留下发送虚假信息的主机地址,但是承载这个ARP包的ethernet帧却包含了他的源地址。而且正常情况下ethernet数据帧中,帧头里的MAC源地址/目标地址应该和帧数据包中ARP信息配对,这样的ARP包才算是正确的。如果不正确,肯定是假冒的包,当然如果匹配的话,我们也不能过于放松,一样不能代表是正确的,另外通过检测到的数据包再结合网关这里拥有的本网段所有MAC地址网卡数据库,看看哪个和Mac数据库中数据不匹配,这样就可以找到假冒的ARP数据包,并进一步找到凶手了。
关于MAC地址网卡数据库可以在第一次装系统的时候进行记录,将网吧座位号与MAC地址等信息做一个对应表格。查看MAC地址的方法是通过“开始->运行”,进入命令提示窗口,然后输入ipconfig /all。在physical address的右边就是相应网卡的MAC地址。(如图1)
图1
二,DHCP结合静态捆绑法:
要想彻底避免ARP欺骗的发生,我们需要让各个计算机的MAC地址与IP地址唯一且相对应。虽然我们可以通过为每台计算机设置IP地址的方法来管理网络,但是遇到那些通过ARP欺骗非法攻击的用户来说,他可以事先自己手动更改IP地址,这样检查起来就更加复杂了,所以说保证每台计算机的MAC地址与IP地址唯一是避免ARP欺骗现象发生的前提。
(1)建立DHCP服务器保证MAC地址与IP地址唯一性:
首先我们可以在windows 2000 server或其他服务器版操作系统上启用DHCP服务,为网吧建立一个DHCP服务器,一般来说建议在网关上搭建。因为DHCP不占用多少CPU,而且ARP欺骗攻击一般总是先攻击网关,攻击网关的同时由于网关这里有监控程序,所以可以在第一时间发现攻击行为。当然为了减少攻击的发生机率我们也可以把网关地址设置为网段的第二个地址,例如192.168.1.2,把192.168.1.1留这些常用的网关地址空置,这样用户攻击时也会选择错误对象。
另外所有客户机的IP地址及其相关主机信息,只能由网关这里取得,网关这里开通DHCP服务,但是要给每个网卡,绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址,但每次开机的IP地址都是一样的。以上这些绑定关系可以通过DHCP的地址池来解决,或者将客户端获得IP等网络参数信息的租约设置为一个非常长的时间,例如一年或者无限时间,这样在此时间段里只要MAC地址不变,客户端获得的IP地址也是不变的。(如图2)
图2
(2)建立MAC地址数据库:
把网吧内所有网卡的MAC地址记录下来,每个MAC和IP、地理位置统统装入数据库,以便及时查询备案。可以以EXCEL表格的形式,也可是保存成数据库文件。
(3)禁止ARP动态更新:
为了防止网关被随意攻击,我们还需要在网关机器上关闭ARP动态刷新功能,这样的话,即使非法用户使用ARP欺骗攻击网关的话,对网关是无效的,从而确保主机安全。在网关上建立静态IP/MAC捆绑的方法如下。
第一步:建立/etc/ethers文件,其中包含正确的IP/MAC对应关系,格式为192.168.2.32 08:00:4E:B0:24:47。
第二步:然后在/etc/rc.d/rc.local最后添加arp -f生效即可。
上面这个禁止ARP动态更新的方法是针对Linux系统而言的。
(4)网关监测:
在网关上面使用TCPDUMP程序截取每个ARP程序包,弄一个脚本分析软件分析这些ARP协议。ARP欺骗攻击的包一般有以下两个特点,满足之一就可以视为攻击包报警,第一是以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。第二是ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内,或者与自己网络MAC数据库MAC/IP不匹配。我们也可以通过脚本分析软件实现自动报警功能,最后查这些数据包(以太网数据包)的源地址就大致知道那台机器在发起攻击了。
三,总结:
ARP欺骗是目前网络管理,特别是局域网管理中最让人头疼的攻击,他的攻击技术含量低,随便一个人都可以通过攻击软件来完成ARP欺骗攻击。同时防范ARP欺骗也没有什么特别有效的方法。目前只能通过被动的亡羊补牢形式的措施了。本文介绍的两个方法都是针对ARP欺骗防范的,希望对读者有所帮助。当然很多网络管理软件开发公司都推出了自己的防范ARP欺骗的产品,这些产品良莠不齐,大家选择时更要仔细
http://cisco.chinaitlab.com/safety/520315.html
局域网管理软件有哪些?
回答:用域之盾、安企神、中科安企之类的软件都可以进行局域网管理。以域之盾为例说明一下。域之盾局域网电脑监控软件可以实现对公司任意局域网和外网电脑进行监控、聊天记录监控、上网行为管理、终端安全管控、U盘管控,为企业提供局域网监控软件、远程监控软件等。可以实现对局域网的全面安全管理,对公司所有硬...
如何加强网络信息安全
三、建立信息安全组织体系,落实安全管理责任制,是做好政务信息安全保障工作的关键 调查显示,在实际的...>> 问题二:如何提升网络信息安全保障能力 健全的网络与信息安全保障措施 随着企业网络的普及和网络开放性,共享性,互连程度的扩大,网络的信息安全问题也越来越引起人们的重视。一个安全的计算机网络应该具有可靠...
武汉市洪山区教育局|覆盖58所中小学,靠谱的教育城域网这样建
首先,一个靠谱的教育城域网应具备四大基石:强健的接入控制:确保安全,一旦发生安全事件,能够迅速定位并解决用户问题,避免影响教学进程。用户行为管理:对网络行为进行有效监控,保障学生和教师的网络使用合规,提升网络安全意识。设备兼容性:支持多厂商设备无缝接入,确保所有教学设施的网络连接畅通无阻。...
毕业论文<局域网内网安全设计与实现>
其实不然,政府和企业因信息被窃取所造成的损失远远超过病毒破坏和黑客攻击所造成的损失,据权威机构调查:三分之二以上的安全威胁来自泄密和内部人员犯罪,而非病毒和外来黑客引起。 目前,政府、企业等社会组织在网络安全防护建设中,普遍采用传统的内网边界安全防护技术,即在组织网络的边缘设置网关型边界防火墙、AAA认证、...
公安让公司弄好网络安全管理制度怎么写?
其他任何人不得私自更改网络配置。第五条 接入集团局域网的客户端计算机的网络配置由网络维 护中心部署的服务器统一管理分配,包括:用户计算机的IP 地址、网关、DNS 和WINS 服务器地址等信息。未经许可,任何人不得更 改网络配置。第六条 网络安全:严格执行国家《网络安全管理制度》。对在 集团...
关于互联网使用管理规定
互联网对于现在的时代来说基本上是男女老少皆知晓,下面是我为你整理的关于互联网使用管理规定,希望对你有用! 关于互联网使用管理规定1 一、内容和适用范围 为了加强公司计算机软、硬件及网络的管理,确保计算机软、硬件及网络正常使用,特制定本制度,公司各级员工使用计算机软、硬件及网络,均应遵守本制度涉及的各项规定...
网络安全技术主要有哪些?
3、文件加密和数字签名技术 与防火墙结合使用的安全技术包括文件加密和数字签名技术,其目的是提高信息系统和数据的安全性和保密性。防止秘密数据被外界窃取、截获或破坏的主要技术手段之一。随着信息技术的发展,人们越来越关注网络安全和信息保密。目前,各国除了在法律和管理上加强数据安全保护外,还分别在...
公司局域网管理
2、在已连接网络的适配器上,右键选择“属性”,找到“Microsoft网络的文件和打印机共享”这一项,给它打上勾,然后点“确定”。3、然后,我们再打开开始菜单,点“运行”。在运行命令框里,输入“gpedit.msc”,点“确定”。4、在弹出的本地组策略编辑器里,依次展开“Windows设置”-“安全设置”-“...
如何确保家庭无线网络安全?
在“无线设置”标签下切换到“无线安全设置”,此页面设置无线网络的安全密码,根据系统提示,选择WPA-PSK\/WPA2-PSK加密类型,在PSK密码处设置密码(不少于8位),确定。此操作是为了加密无线网络,提高安全性,不知道密码的用户,即是知道了SSID也不能和路由建立连接 经过以上步骤的设置,你的无线网络已经...
网络安全管理员岗位职责网络安全管理员岗位职责
8、热心网络安全管理工作,能及时向主控中心反映本人对网络安全管理工作的意见、建议等。 网络安全管理员岗位职责 篇6 一、组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》,提高工作人员的维护网络安全的警惕性和自觉性。 二、负责对本网络用户进行安全教育和培训,使用户自觉遵守和维护《计算机信息网络...
藤静金力: 原发布者:龙源期刊网 [摘要]近些年,越来越多的企事业单位建立了自己的局域网,局域网的建立为他们带来了便利,但由于网络病毒、木马等多方面因素的存在,对局域网的安全又构成了很大的威胁.所以必须提高对网络安全问题的重视,根...
都匀市17568314570: 常见的局域网安全措施有哪些? - ?
藤静金力: 防火墙,杀毒软件,服务的开放与关闭,端口的选择性开放等好多呢!
都匀市17568314570: 作为局域网的网络安全管理员,应该从哪些方面来确保整个局域网的安全和可靠? - ?
藤静金力: 展开全部1、没事的时候用纸把网络拓布图画出来,并在上面标注好每台路由,交换机,电脑的ip地址.2、制作一个应急方案,比如,对关键的路由器,配置出一个一样的来放起备用.为每台电脑做系统备份.并把备份编号收集起来,以备不时之需.3、如果公司电脑比较固定,那就把ip和mac做绑定.4、ip地址的管理,公司内部的ip地址要合理分配,并有预留.最好制作一份ip地址分配方案5、根据需要,做好防火墙和杀毒软件的安装.等等.跟据具体情况,你可以再想想.希望帮到你
都匀市17568314570: 如何更好的管理好网络,让局域网安全、快速. - ?
藤静金力: 合理规划,严格管理,密切监控
都匀市17568314570: 如何做好局域网安全与维护工作 - ?
藤静金力: 一、安全 共享问题:局域网的优势就是共享数据,数据的传输与保存面对的一个问题就是网络连通性,当然,保持网络连通性的前提是信息安全,数据安全,所以可以通过域或者用户权限等来保证共享数据的安全使用和有效传输;联网问题:部分计算机需要连接网络,网络是一个巨大的数据库,当然也存在很多的风险,做好系统防护,需要定时安装补丁,安装好杀毒软件,防火墙等,同时可以利用管理软件或者条件允许的话采用硬件管理网络;二、维护 定期清除系统垃圾,安装系统补丁,除尘等
都匀市17568314570: 如何实现企业局域网的安全有效管理 - ?
藤静金力: 而从企业网络安全与应用的角度来看,在更加依赖网络开展业务的同时,网络应用过程中所暴露出来的安全问题更为严重.与此同时,企业员工不规范的上网行为带来的安全风险、网络资源浪费、工作效率低下等问题也亟待解决.就像分析机构...
都匀市17568314570: 局域网的安全措施有哪些方法 - ?
藤静金力: 安装网络版本杀毒软件,增加上网行为管理硬件,配置好路由器的安全功能等等
都匀市17568314570: 局域网内怎么管理终端安全?
藤静金力: 1. 使用微软的“域控”. 2. 安装“WFilter上网行为管理软件”进行管理.
都匀市17568314570: 如何保证内网的安全和管理? - ?
藤静金力: 你分析的很对啊!要想解决网络问题需要网络解决!那看一下网络方面都是什么问题呢?目前局域网内有大量的网络攻击和欺骗.造成网络问题的原因主要是:(1) 局域网内有大量网络协议欺骗,这样会导致你的服务器和主机被虚假的信息欺...
