作为一个网络管理者,如何解决局域网安全问题?

作为局域网的网络安全管理员，应该从哪些方面来确保整个局域网的安全和可靠？~

综合性、整体性原则：应用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）以及专业措施（识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等）。一个 较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则，根据规定 的安全策略制定出合理的网络安全体系结构。

需求、风险、代价平衡的原则：对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际额研究（包括任务、性能、结构、可靠性、可维护性等），并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。

一致性原则：一致性原则主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计（包括初步或详细设计）及实施计划、网络验证、验收、运行等，都要有安全的内容光焕发及措施， 实际上，在网络建设的开始就考虑网络安全对策，比在网络建设好后再考虑安全措施，不但容易，且花费也小得多。

易操作性原则：安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。

分步实施原则：由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施，即可满足网络系统及信息安全的基本需求，亦可节省费用开支。

多重保护原则：任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。

可评价性原则：如何预先评价一个安全设计并验证其网络的安全性，这需要通过国家有关网络信息安全测评认证机构的评估来实现。

如今企业在更加依赖网络开展业务的同时，网络应用过程中所暴露出来的安全问题也越来越多，企业员工不规范的上网行为带来的安全风险、网络资源浪费、工作效率低下等问题也亟待解决。

针对内网安全上的这些问题，星峰航XHF-GB系列UTM安全网关是一个非常好的解决方案。在内部安全的上网行为管理（网络安全审计）上，为保证企业合理使用Internet资源，防止企业信息资产泄漏，星峰航 AC安全网关提供了完善的访问控制功能。通过合理设置访问权限，能够杜绝对不良网站和危险资源的访问，防止P2P软件对企业网络带来的安全风险。通过带宽管理和访问跟踪技术，能有效防止对Internet资源的滥用。星峰航企业AC安全网关独特的敏感内容拦截和安全审计功能更为防止保密信息泄漏提供了最有效的保证。

根据XX公司的网络环境和实际应用，需要部署如下安全设备：

（1）网络入口部署星峰航统一认证平台，认证通过后不同用户享受不同的网络使用权限，非法用户拒绝入网；
（2）公司网络星峰航企业网关对过往数据进行杀毒；
（3）部署防垃圾邮件设备对垃圾邮件进行过虑；
（4）部署互联网访问星峰航企业行为管理设备，对通过网关发送出去的相关数据、文件进行内容过虑，对内网用户的相关访问行为进行跟踪，以提高对Internet资源的使用效率；
（5）部署客户端安全检查设备（并集成IPS/防DDOS攻击功能），能够对PC客户端的安全性进行检查，对不符合安全的PC机可以自动切断其连接Ineternet，以便整体提高局域网的安全性，另外要能集成IPS及防DDOS攻击功能，能比较有效的防御木马的攻击。

有效实现：
一）访问控制，有效管理用户上网
　　星峰航 AC安全网关不仅可以对员工访问WEB、FTP、MAIL等常用服务的内容进行控制，更可以对QQ、BT、MSN、SKYPE等各种P2P软件的行为进行限制和控制。
二）监控审计，防止机密信息泄漏
　　完善的访问审计和监控功能能够有效防止信息通过Internet泄漏，并建立强大的内部安全的威慑，减少内部泄密的行为。星峰航的访问审计/监控模块为企业构筑了强大的内部安全屏障。
三）数据报表，直观的上网数据统计
　　管理者可分组、用户、规则、协议等多种查询对象，按饼图、柱状图、曲线图等方式进行查询，可直观地查看到网络流量、邮件、网络监控、IPS系统、准入规则、防火墙等详细信息，并可直接打印和导出报表。
四）QOS功能及流量分析
为不同的用户分配不同的带宽和上网权限，使得Internet资源得到有效利用，并大大提高员工的工作效率。 星峰航 AC安全网关可以详细记录和分析所有流量的内容使得企业有限的带宽能得到最充分的利用，提高企业的网络利用率。
五）外网安全保证
　　作为一个UTM整合式设备，除了强大的防火墙模块和VPN模块之外，网关还提供了高效的IPS功能，能有效识别和抵御3000多种攻击，更大范围的保护了企业连接到Internet的安全。

看了你提问，下面我就用比较通俗的方式进行解答，我的解答主要是为了提高你的网络安全的基础认识，而不是应答这个题目

首先局域网是什么？局域网是由服务器或者多台计算机组成的小范围内的互联网络，它的最大好处是：1可以实现局域网内共享 2局域网内各台计算机的传输速度快，所以是现代最为流行的组网方式

局域网的安全威胁个人认为分为两大类：来自internet（外网）的威胁和来自内部的威胁，但是内外的攻击方式可能一样，譬如外部的人可以发一封携带病毒的邮件到内网的邮箱，内部那个人点击了邮件，同样，内网某个用户也可以发一封邮件到另外一个内网人的电子邮箱，而且来自内部的攻击往往难以防范。

下面列举一个攻击的例子让你有个大概的网络攻击的认识：

（1）ICMP协议（icmp协议主要用来主机之间，主机与路由器之间实现信息查询和错误通告的），攻击者可以利用echo reply原理进行ICMP泛洪攻击，他只要想目标一个广播网络发送echo请求，讲源地址伪装成受害者的ip地址，广播网络就会不停的对受害者发送echo应答，导致带宽耗尽，形成Dos（拒绝服务）攻击

                   

其次攻击者还可以利用ICMP隧道机制达到绕过防火墙的目的，如下图：

                 

这种攻击利用 客户端一服务器的模式工作，服务器驻留在防火墙内部被安装了木马程序

(一般通过电子邮件传送的主机上)一旦运行,就可以接收来自驻留在攻击者机器上的客户端的echo请求包，客户端把要执行的命令包裹在echo数据包中,服务器(受害者主机)接收到该数据包,

解出其中包裹的命令,并在受害者的机器上执行它,然后,将结果放人 echo rely数据包中回送给攻击者,一般来说防火墙的具备的功能如下：

a内外网数据必须通过防火墙

b只有被防火墙认可的数据才能通过

c防火墙本身具备抵抗攻击的能力

但是一般防火墙对echo报数据都是“宽大处理”，攻击者通过这种模式可以完全越过没有禁止echo requset 和echo reply数据包的防火墙!!!

（2）TCP/IP规范要求IP报文的长度在一定范围内（比如，0－64K），但有的攻击计算机可能向目标计算机发出大于64K长度的PING报文，导致目标计算机IP协议栈崩溃，不过现在这个bug已经修改了（所以更新操作系统很重要~）

(3)SMTP是目前最常用的邮件协议，也是隐患最大的协议之一。在SMTP中，发件人的地址是通过一个应用层的命令"MAIL  FROM”来传送的，协议本身没有对其作任何验证，这导致了垃圾邮件的发送者可以隐藏他们的真实地址，同时发送的电子邮件可以携带各种病毒文件

（4）ARP（地址解析）协议漏洞，ARP用来将IP地址映射成MAC地址的（以太网中传送数据需要用MAC地址进行寻址），在TCP/IP协议中，A给B发送IP包，在报头中需要填写B的IP为目标地址，但这个IP包在以太网上传输的时候，还需要进行一次以太包的封装，在这个以太包中，目标地址就是B的MAC地址.

计算机A是如何得知B的MAC地址的呢？解决问题的关键就在于ARP协议。

在A不知道B的MAC地址的情况下，A就广播一个ARP请求包，请求包中填有B的IP(192.168.1.2)，以太网中的所有计算机都会接收这个请求(因为是一个广播域，所有主机都可以收到)，而正常的情况下只有B会给出ARP应答包，包中就填充上了B的MAC地址，并回复给A。

A得到ARP应答后，将B的MAC地址放入本机缓存，便于下次使用。

本机MAC缓存是有生存期的，生存期结束后，将再次重复上面的过程。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器A向B发送一个自己伪造的ARP应答，而如果这个应答是A冒充C的，即IP地址为C的IP，而MAC地址是伪造无效的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C！这就是一个简单的ARP欺骗。通理，如果攻击者A将MAC地址设为自己的MAC，那么每次B跟C通信的时候，其实都是在跟A通信，那么A就达到了获取B的消息的目的，而B全然不觉- -！！

以上只是从底层原理让你大概了解攻击者到底是如何进行攻击的，不是什么神秘的事情，其实攻击很简单，无非就是利用系统漏洞或者说钻空子来达到获取信息，破坏的目的，为什么经常要进行系统升级？

举个例子，有人钻法律的空子做一些事，有了这个先例，然后司法机构才补充一条新的法律条文，而并不是说原来的法律就是错误的，而是没有注意到那一点，系统升级也一样，就是根据最新发现的攻击进行一些规则的补充，让攻击者不能再钻这个空子，但是攻击者会去发现新的空子，其实攻击者对我们的网络发展贡献了很大的力量，为我们提供了许多思路，如果没有那些病毒或者攻击，网络安全的发展也停滞不前了。所以作为一个网络管理员，要解决局域网安全问题要注意一下几点：

（1）内外网根据局域网内部的安全等级需要选择适当的防火墙

（2）处于局域网的服务器要进行隔离，局域网内计算机的数据快速、便捷的传递，造就了病毒感染的直接性和快速性，如果局域网中服务器区域不进行独立保护，其中一台电脑感染病毒，并且通过服务器进行信息传递，就会感染服务器，这样局域网中任何一台通过服务器信息传递的电脑，就有可能会感染病毒。虽然在网络出口有防火墙阻断对外来攻击，但无法抵挡来自局域网内部的攻击。

（3）及时安装杀毒软件，更新操作系统，由于网络用户不及时安装防病毒软件和操作系统补丁，或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击，正是利用了用户的这个弱点。

（4）对一个局域网的机器进行vlan分割，实现广播域的隔离

（5）封存所有空闲的IP地址。启动IP地址绑定采用上网计算机IP地址与MCA地址一一对应，网络没有空闲IP地址的策略。由于采用了无空闲IP地址策略，可以有效防止IP地址引起的网络中断和移动计算机随意上内部局域网络造成病毒传播和数据泄密

（6）数据库的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。譬如一个网吧内，必须安装一个还原系统，机器重启就还原

（7）加强安全意识，往往引起的攻击不是外部网络攻击，而是来自内部一些别有用心的人破坏 

平时要多学习网络的一些基础知识和网络的一些常见攻击手段以达到反侦察的目的，纯手打，希望对你有用，QQ137894617

给局域网安装硬件防火墙
局域网的PC终端设置登录密码，安装杀毒软件
设置路由器防火墙设置，将常见的防御打开
绑定局域网PC终端的MAC地址及IP地址

可以试试使用软件，比如Ping32终端安全管理系统，集桌面安全管理、数据防泄漏、网络准入控制系统为一体，全方位防护您的内网安全

可以试试WorkWin网络管理软件。功能还是很全的。

合力天下内网安全监控平台基于系统管理思想和安全实践经验，全面考虑局域网和互联网可能造成信息破坏及外泄的各个方面，保护企业信息不被人为外泄、非法盗取、恶意篡改，帮助企业对信息安全进行系统规划及管理。
合力天下内网安全监控平台 通过灵活有力的管理，在保持企业活力的前提下规范终端行为，提升企业执行力；管理人员通过局域网中单一控制台随时了解各台计算机运行日志及员工工作状态，并进行系统数据安全管理及实时管控。

---

托克逊县13538509153： 如何更好的管理局域网和电脑？
班会妇炎： 看你的局域网规模 常见的局域网的 管理的话 一般 就是杀毒软件以及防火墙的安装 其次就是单个电脑的维护 维护的话 首先 你得给每个机器命名 这样的话 可以方便控制电脑 另外就是要分配IP给每个局域网的电脑 避免自动获取IP导致的局域网内的IP冲突导致的掉线 另外 就是看你的局域网使用的是什么网络 电信还是网通 注意设置DSN 其他的基本还有一些路由器的管理什么的 路由器 一般链接正确后 就没什么好管的了 看你怎么管理好你的局域网了 网络流量什么的 装个P2P管理软件 可以有效的看到每台电脑的使用流量 和上网限制设置

托克逊县13538509153： 如何去管理一个企业的网络 - ？
班会妇炎： 首先,硬件上面要有投入,规模比较大的局域网,防火墙、三层交换机、上网行为管理都不能少.其次,要有行政手段,建立企业内部上网规范.再次,还要有技术手段来进行保障,最佳方案是:1. 内网权限管理用AD域.这样可以用组策略来做很多限制,避免随意安装软件导致局域网安全隐患.2. 外网权限用防火墙、上网行为管理.工作时段进行上网限制,否则只要有1-2个人进行P2P下载、看网络视频,外网就基本上瘫痪了.3. 没有上网行为管理硬件的话,也可以部署上网行为管理软件(比如“超级嗅探狗”、WFilter等).可以通过旁路方式监控流量占用、上网行为、禁止下载等,并且和域控结合.

托克逊县13538509153： 怎样维护好我的局域网络 - ？
班会妇炎： 1.主机要装好安全软件,建议最好装瑞星(现在是免费的)杀毒、防火墙,它最专业,中国的最了解中国,国内安全软件的老大.2.主机的散热要好,确保主机运行正常.3.接路由器后,各电脑用固定IP、DNS更稳定(DNS是电信运营商的,可进入“路由器”界面“运行状态”中找)4.路由器的功能许可,还可进行IP、MAC捆绑.5.路由器每天定时关闭一些时间,运行久会不间断断线.路由器的质量相差好多,便宜40元,贵得数千.

托克逊县13538509153： 怎样解决电脑局域网共享问题？
班会妇炎： 1.每台电脑设置固定的IP(如:192.168.1.1~~~192.168.1.254或者192.168.10.1~~~192.168.10.254); 2.如果局域网内只有一个网段,请把子网掩码设置为:255.255.255.0; 3.如果系统为WINDOWS2000/XP,请开启GUEST账户; 4.设置网络防火墙为允许局域网互访,或者直接关闭网络防火墙; 5.最好把电脑名字设置为英文的名字; 6.如果局域网内有域服务器,部分设置可在域服务器里面自动获取的,前提是你得先设置好你的域服务器.

托克逊县13538509153： 如何建设管理公司局域网 - ？
班会妇炎： 首先确定16台计算机都能互相ping通.设定固定的ip地址,每台计算机都设定一个新账户以及对应的新密码,财务和库管除外(列入计算机1系统管理员账户名A1密码A111 计算机2账户名A2密码A222)在每一台计算机设定一个共享文件夹--权限--Everyone完全控制,组策略中(gpedit.msc)关闭允许空密码访问,意思就是不允许不带密码的访问.财务和仓库设置其他用户名和密码,同样的操作就行了.这个解决办法是最基本的不需要添加新硬件的!如果你是要建一个完善的,就需要添加其他硬件设备,当然你也就需要学习添加的硬件的很多知识!希望对你有用!

托克逊县13538509153： 怎样才能有效避免局域网网络拥堵呢? - ？
班会妇炎： 我们有四个24P的路由器和一个24P的集线器,似乎受网络拥堵困扰的人往往要和3com集线器扯上关系.答:解决网络拥堵的第一步是移除所有的集线器,他们仅仅是问题的源头而已,起不到任何其他作用.当一帧进入一个集线器后它会从所有...

托克逊县13538509153： 怎么组建企业局域网? - ？
班会妇炎： 第一章 总则 本方案为某大型局域网网络安全解决方案,包括原有网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计、等.本安全解决方案的目标是在不影响某大型企业局域网当前业务的前提下,实现对他们局域网全面的安...

托克逊县13538509153： 关于怎么解决局域网共享 - ？
班会妇炎： 首先,这里不考虑物理联接和其它问题,只谈及策略问题.此外,请安装相应的协议并正确的设置IP地址,同时尽量把计算机设置在一个工作组内且具有相同网段的IP地址. 其次,网上对于出现的问题描述较多,这里不再累述.当共享和访问出...

托克逊县13538509153： 局域网故障怎么排除? - ？
班会妇炎：1.当整个网络都不通时,可能是交换机或集线器的问题,要看交换机或集线器是否在正常工作. 2.只有一台电脑网络不通,即打开这台电脑的“网络邻居”时只能看到本地计算机,而看不到其它计算机,可能是网卡和交换机的连接有问题,首先...