局域网的网络安全

局域网组建中，我们怎样才能保证整个局域网的网络安全~

做好以下三个方面的工作，来确保局域网的安全：
物理安全、网络结构安全、网络系统安全
一、物理安全
　　保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提，物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。 它主要包括三个方面：
　　1、环境安全：对系统所在环境的安全保护，如区域保护和灾难保护；（参见国家标准GB50173－93《电子计算机机房设计规范》、国标GB2887－89《计算站场地技术条件》、GB9361－88《计算站场地安全要求》
　　2、设备安全：主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等
　　3、媒体安全：包括媒体数据的安全及媒体本身的安全。
　　在网络的安全方面，主要考虑两个大的层次，一是整个网络结构成熟化，主要是优化网络结构，二是整个网络系统的安全。
二、网络结构安全
　　安全系统是建立在网络系统之上的，网络结构的安全是安全系统成功建立的基础。在整个网络结构的安全方面，主要考虑网络结构、系统和路由的优化。 网络结构的建立要考虑环境、设备配置与应用情况、远程联网方式、通信量的估算、网络维护管理、网络应用与业务定位等因素。成熟的网络结构应具有开放性、标准化、可靠性、先进性和实用性，并且应该有结构化的设计，充分利用现有资源，具有运营管理的简便性，完 善的安全保障体系。网络结构采用分层的体系结构，利于维护管理，利于更高的安全控制和业务发展。
　　网络结构的优化，在网络拓扑上主要考虑到冗余链路；防火墙的设置和入侵检测的实时监控等。
三、网络系统安全
1、 访问控制及内外网的隔离
　　访问控制
　　访问控制可以通过如下几个方面来实现：
　　a.制订严格的管理制度:可制定的相应：《用户授权实施细则》、《口令字及帐户管理规范》、《权限管理制度》。
　　b.配备相应的安全设备：在内部网与外部网之间，设置防火墙实现内外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。防火墙设置在不同网络或网络安全域之间信息的唯一出入口。
　　防火墙主要的种类是包过滤型，包过滤防火墙一般利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤，能根据企业的安全政策来控制（允许、拒绝、监测）出入网络的信息流。同时可实现网络地址转换（NAT）、审记与实时告警等功能。由于这种防火 墙安装在被保护网络与路由器之间的通道上，因此也对被保护网络和外部网络起到隔离作用。
　　防火墙具有以下五大基本功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。
2、 内部网不同网络安全域的隔离及访问控制
　　在这里，主要利用VLAN技术来实现对内部子网的物理隔离。通过在交换机上划分VLAN可以将整个网络划分为几个不同的广播域，实现内部一个网段与另一个网段的物理隔离。这样，就能防止影响一个网段的问题穿过整个网络传播。针对某些网络，在某些情况下，它的一些局域网的某个网段比另一个网段更受信任，或者某个网段比另一个更敏感。通过将信任网段与不信任网段划分在不同的LAN段内，就可以限制局部网络安全问题对全局网络造成的影响。
3、 网络安全检测
　　网络系统的安全性取决于网络系统中最薄弱的环节。如何及时发现网络系统中最薄弱的环节？如何最大限度地保证网络系统的安全？最有效的方法是定期对网络系统进行安全性分析，及时发现并修正存在的弱点和漏洞。网络安全检测工具通常是一个网络安全性评估分析软件，其功能是用实践性的方法扫描分析网络系统，检查报告系统存在的弱点和漏洞，建议补救措施和安全策略，达到增强网络安全性的目的。检测工具应具备以下功能：
具备网络监控、分析和自动响应功能
　　找出经常发生问题的根源所在；
　　建立必要的循环过程确保隐患时刻被纠正；控制各种网络安全危险。

　　漏洞分析和响应、配置分析和响应、漏洞形势分析和响应
　　认证和趋势分析
　　具体体现在以下方面：
　a.防火墙得到合理配置
　　b.内外WEB站点的安全漏洞减为最低
　　c.网络体系达到强壮的耐攻击性
　　d.各种服务器操作系统，如E_MIAL服务器、WEB服务器、应用服务器、，将受黑客攻击的可能降为最低
　　e.对网络访问做出有效响应，保护重要应用系统（如财务系统）数据安全不受黑客攻击和内部人员误操作的侵害。

因为有代理服务器这防火墙，理论上是不能找到子网的机器

如果一定要找到的话，可以做个透通模式，也就是说，把服务器的IP地址转发给子网的机器，或是者是某一个端口，也可以是全部的端口

而外网攻击一台机器，是用的服务器端程序，也就是说发一个小程序，让这台机器运行，这样，这台机器就成为了服务器，它会不断的发送数据到外网的客户端，那些人就可以通过客户端来破坏或是使用这台机器了

局域网基本上都采用以广播为技术基础的以太网，任何两个节点之间的通信数据包，不仅为这两个节点的网卡所接收，也同时为处在同一以太网上的任何一个节点的网卡所截取。因此，黑客只要接入以太网上的任一节点进行侦听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息，这就是以太网所固有的安全隐患。事实上，Interne如SATAN、ISS、NETCAT等等，都把以太网侦听作为其最基本的手段。
当前，局域网安全的解决办法有以下几种： 网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听，网络分段可分为物理分段和逻辑分段两种方式。海关的局域网大多采用以交换机为中心、路由器为边界的网络格局，应重点挖掘中心交换机的访问控制功能和三层交换功能，综合应用物理分段与逻辑分段两种方法，来实现对局域网的安全控制。例如：在海关系统中普遍使用的DEC　MultiSwitch900的入侵检测功能，其实就是一种基于MAC地址的访问控制，也就是上述的基于数据链路层的物理分段。
以交换式集线器代替共享式集线器
对局域网的中心交换机进行网络分段后，以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包（称为单播包Unicast　Packet）还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是：用户TELNET到一台主机上，由于TELNET程序本身缺乏加密功能，用户所键入的每一个字符（包括用户名、密码等重要信息），都将被明文发送，这就给黑客提供了机会。
因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法侦听。当然，交换式集线器只能控制单播　Packet）和多播包（Multicast　Packet）。所幸的是，广播包和多播包内的关键信息，要远远少于单播包。 为了克服以太网的广播问题，除了上述方法外，还可以运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，防止大部分基于网络侦听的入侵。
VLAN技术主要有三种：基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活，但却比较成熟，在实际应用中效果显著，广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性，但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN，理论上非常理想，但实际应用却尚不成熟。
在集中式网络环境下，我们通常将中心的所有主机系统集中到一个VLAN里，在这个VLAN里不允许有任何用户节点，从而较好地保护敏感的主机资源。在分布式网络环境下，我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内，互不侵扰。
VLAN内部的连接采用交换实现，而VLAN与VLAN之间的连接则采用路由实现。大多数的交换机（包括海关内部普遍采用的DEC MultiSwitch 900）都支持RIP和OSPF这两种国际标准的路由协议。如果有特殊需要，必须使用其他路由协议（如CISCO公司的EIGRP或支持DECnet的IS－IS），也可以用外接的多以太网口路由器来代替交换机，实现VLAN之间的路由功能。当然，这种情况下，路由转发的效率会有所下降。
无论是交换式集线器还是VLAN交换机，都是以交换技术为核心，它们在控制广播、防止黑客上相当有效，但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此，如果局域网内存在这样的入侵监控设备或协议分析设备，就必须选用特殊的带有SPAN（Switch PortAnalyzer）功能的交换机。这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上，提供给接在这一端口上的入侵监控设备或协议分析设备。笔者在厦门海关外部网设计中，就选用了Cisco公司的具备SPAN功能的Catalyst系列交换机，既得到了交换技术的好处，又使原有的Sniffer协议分析仪“英雄有用武之地”。

局域网的安全：1、物理安全：是指机房的网络环境安全，机房规范化部署，保持温度和湿度，防止灰尘，抗电磁干扰等，可预防火灾等情况发生。
2、网络结构/系统安全：网络拓扑上考虑冗余链路，设置防火墙，设置入侵检测，设置实时监控系统。①设置严格内外网隔离 ②内网不同区域物理隔离，划分多个不同广播域。③网络安全检测 ④网络监控和管控（上网行为管理软件）
以上简单列了一些局域网安全的注意事项，还有需要注意的非常多，题主可以多搜搜。我个人感觉这块比较简单一点，防火墙装一个，上网行为管理软件装一个 就差不多了。
防火墙 推荐华为或者思科的防火墙，上网行为管理软件 推荐Lanecat网猫

这个直接看电脑管家安全报告更直观，会发现现在网络环境并不好
所以我们需要平时多注意保护电脑的安全
而专门对局域网产生危害的病毒就是ARP病毒了
可以通过电脑管家工具箱的ARP防火墙来加强防护

---

丹寨县13744353042： 局域网的网络安全 - ？
威隶聚磺： 原发布者:龙源期刊网 [摘要]近些年,越来越多的企事业单位建立了自己的局域网,局域网的建立为他们带来了便利,但由于网络病毒、木马等多方面因素的存在,对局域网的安全又构成了很大的威胁.所以必须提高对网络安全问题的重视,根...

丹寨县13744353042： 局域网的网络安全是什么? ？
威隶聚磺： 还可以运用VLAN(虚拟局域网)技术,把以太网通信变为点到点通信,防止大部分基于网络侦听的入侵

丹寨县13744353042： 什么是局域网的网络安全呢? ？
威隶聚磺： 事实上,Interne如SATAN、ISS、NETCAT等等,都把以太网侦听作为其最基本的手段

丹寨县13744353042： 局域网面临的最大的网络安全问题是什么 - ？
威隶聚磺： 1、欺骗性的软件使数据安全性降 2、服务器区域没有进行独立防 3、计算机病毒及恶意代码的威 4、局域网用户安全意识不强

丹寨县13744353042： 局域网内的安全误区有哪些? ？
威隶聚磺： 局域网技术将网络资源共享的特性体现得淋漓尽致,它不仅能提供软件资源、硬件资源共享,还提供Internet连接共享等各种网络共享服务.越来越多的局域网被应用在学...

丹寨县13744353042： 怎样确保局域网安全? - ？
威隶聚磺： 禁止外来设备接入——让别人进不来;资料加密——外泄了也不能看;这些内网安全管理软件可以做的到,有需要的话可以试试IP-guard.

丹寨县13744353042： 作为局域网的网络安全管理员,应该从哪些方面来确保整个局域网的安全和可靠? - ？
威隶聚磺： 展开全部1、没事的时候用纸把网络拓布图画出来,并在上面标注好每台路由,交换机,电脑的ip地址.2、制作一个应急方案,比如,对关键的路由器,配置出一个一样的来放起备用.为每台电脑做系统备份.并把备份编号收集起来,以备不时之需.3、如果公司电脑比较固定,那就把ip和mac做绑定.4、ip地址的管理,公司内部的ip地址要合理分配,并有预留.最好制作一份ip地址分配方案5、根据需要,做好防火墙和杀毒软件的安装.等等.跟据具体情况,你可以再想想.希望帮到你

丹寨县13744353042： 局域网组建中,我们怎样才能保证整个局域网的网络安全 - ？
威隶聚磺： 做好以下三个方面的工作,来确保局域网的安全: 物理安全、网络结构安全、网络系统安全一、物理安全保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提,物理安全是保护计算机网络设备、设施以及其它媒体免遭地...

丹寨县13744353042： 请教高人:关于局域网安全的问题.？
威隶聚磺： 的确这是一件麻烦的事情 呵呵 你的这种情况 可以看出 你的电脑没有对系统安全方面加强设置 要解决这个问题也是有办法的 第一 用工具或修改注册表 把默认共享删除 在网...