局域网面临安全问题有哪些

作为一个网络管理者,如何解决局域网安全问题?~

看了你提问，下面我就用比较通俗的方式进行解答，我的解答主要是为了提高你的网络安全的基础认识，而不是应答这个题目

首先局域网是什么？局域网是由服务器或者多台计算机组成的小范围内的互联网络，它的最大好处是：1可以实现局域网内共享 2局域网内各台计算机的传输速度快，所以是现代最为流行的组网方式

局域网的安全威胁个人认为分为两大类：来自internet（外网）的威胁和来自内部的威胁，但是内外的攻击方式可能一样，譬如外部的人可以发一封携带病毒的邮件到内网的邮箱，内部那个人点击了邮件，同样，内网某个用户也可以发一封邮件到另外一个内网人的电子邮箱，而且来自内部的攻击往往难以防范。
下面列举一个攻击的例子让你有个大概的网络攻击的认识：
（1）ICMP协议（icmp协议主要用来主机之间，主机与路由器之间实现信息查询和错误通告的），攻击者可以利用echo reply原理进行ICMP泛洪攻击，他只要想目标一个广播网络发送echo请求，讲源地址伪装成受害者的ip地址，广播网络就会不停的对受害者发送echo应答，导致带宽耗尽，形成Dos（拒绝服务）攻击

其次攻击者还可以利用ICMP隧道机制达到绕过防火墙的目的，如下图：


这种攻击利用 客户端一服务器的模式工作，服务器驻留在防火墙内部被安装了木马程序
(一般通过电子邮件传送的主机上)一旦运行,就可以接收来自驻留在攻击者机器上的客户端的echo请求包，客户端把要执行的命令包裹在echo数据包中,服务器(受害者主机)接收到该数据包,
解出其中包裹的命令,并在受害者的机器上执行它,然后,将结果放人 echo rely数据包中回送给攻击者,一般来说防火墙的具备的功能如下：
a内外网数据必须通过防火墙
b只有被防火墙认可的数据才能通过
c防火墙本身具备抵抗攻击的能力
但是一般防火墙对echo报数据都是“宽大处理”，攻击者通过这种模式可以完全越过没有禁止echo requset 和echo reply数据包的防火墙!!!

（2）TCP/IP规范要求IP报文的长度在一定范围内（比如，0－64K），但有的攻击计算机可能向目标计算机发出大于64K长度的PING报文，导致目标计算机IP协议栈崩溃，不过现在这个bug已经修改了（所以更新操作系统很重要~）

(3)SMTP是目前最常用的邮件协议，也是隐患最大的协议之一。在SMTP中，发件人的地址是通过一个应用层的命令"MAIL FROM”来传送的，协议本身没有对其作任何验证，这导致了垃圾邮件的发送者可以隐藏他们的真实地址，同时发送的电子邮件可以携带各种病毒文件

（4）ARP（地址解析）协议漏洞，ARP用来将IP地址映射成MAC地址的（以太网中传送数据需要用MAC地址进行寻址），在TCP/IP协议中，A给B发送IP包，在报头中需要填写B的IP为目标地址，但这个IP包在以太网上传输的时候，还需要进行一次以太包的封装，在这个以太包中，目标地址就是B的MAC地址.
计算机A是如何得知B的MAC地址的呢？解决问题的关键就在于ARP协议。
在A不知道B的MAC地址的情况下，A就广播一个ARP请求包，请求包中填有B的IP(192.168.1.2)，以太网中的所有计算机都会接收这个请求(因为是一个广播域，所有主机都可以收到)，而正常的情况下只有B会给出ARP应答包，包中就填充上了B的MAC地址，并回复给A。
A得到ARP应答后，将B的MAC地址放入本机缓存，便于下次使用。
本机MAC缓存是有生存期的，生存期结束后，将再次重复上面的过程。
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器A向B发送一个自己伪造的ARP应答，而如果这个应答是A冒充C的，即IP地址为C的IP，而MAC地址是伪造无效的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C！这就是一个简单的ARP欺骗。通理，如果攻击者A将MAC地址设为自己的MAC，那么每次B跟C通信的时候，其实都是在跟A通信，那么A就达到了获取B的消息的目的，而B全然不觉- -！！

以上只是从底层原理让你大概了解攻击者到底是如何进行攻击的，不是什么神秘的事情，其实攻击很简单，无非就是利用系统漏洞或者说钻空子来达到获取信息，破坏的目的，为什么经常要进行系统升级？
举个例子，有人钻法律的空子做一些事，有了这个先例，然后司法机构才补充一条新的法律条文，而并不是说原来的法律就是错误的，而是没有注意到那一点，系统升级也一样，就是根据最新发现的攻击进行一些规则的补充，让攻击者不能再钻这个空子，但是攻击者会去发现新的空子，其实攻击者对我们的网络发展贡献了很大的力量，为我们提供了许多思路，如果没有那些病毒或者攻击，网络安全的发展也停滞不前了。所以作为一个网络管理员，要解决局域网安全问题要注意一下几点：
（1）内外网根据局域网内部的安全等级需要选择适当的防火墙
（2）处于局域网的服务器要进行隔离，局域网内计算机的数据快速、便捷的传递，造就了病毒感染的直接性和快速性，如果局域网中服务器区域不进行独立保护，其中一台电脑感染病毒，并且通过服务器进行信息传递，就会感染服务器，这样局域网中任何一台通过服务器信息传递的电脑，就有可能会感染病毒。虽然在网络出口有防火墙阻断对外来攻击，但无法抵挡来自局域网内部的攻击。
（3）及时安装杀毒软件，更新操作系统，由于网络用户不及时安装防病毒软件和操作系统补丁，或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击，正是利用了用户的这个弱点。
（4）对一个局域网的机器进行vlan分割，实现广播域的隔离
（5）封存所有空闲的IP地址。启动IP地址绑定采用上网计算机IP地址与MCA地址一一对应，网络没有空闲IP地址的策略。由于采用了无空闲IP地址策略，可以有效防止IP地址引起的网络中断和移动计算机随意上内部局域网络造成病毒传播和数据泄密
（6）数据库的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。譬如一个网吧内，必须安装一个还原系统，机器重启就还原
（7）加强安全意识，往往引起的攻击不是外部网络攻击，而是来自内部一些别有用心的人破坏

平时要多学习网络的一些基础知识和网络的一些常见攻击手段以达到反侦察的目的，纯手打，希望对你有用，QQ137894617

利用空密码和简单密码的问题；随便开共享文件夹引起病毒传播和文件不安全问题；局域网内木马病毒利用系统漏洞传播的问题。arp攻击类病毒木马程序的问题；p2p终结者等恶意软件的使用问题。p2p软件大量使用造成网络拥堵的问题。

用域管理，注意路由器日志和流量纪录，杀毒软件常更新，在防火墙设置安全规则，禁止限制p2p类软件，流量限制

面临的安全如下：
一，设置权限以保证数据安全
为文件或者文件夹指定合适的权限，可极大地保证数据的安全。
1，只授予用户最低级别的权限。如某用户只需要读一个文件，那么仅给其授予对该文件的“读取”权限。这可以在一定程度上避免无意修改或删除重要文件的可能；
2，为个人数据和应用程序文件夹指定权限时，可以授予“读取及运行”权限，可以在一定程度上避免应用程序及数据被无意破坏；

二，用户安全设置
1，删除不必要的用户，去掉所有的Duplicate User 用户、测试用户、共享用户等等。用户组策略设置相应的权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口；
2，把共享文件权限从everyone 组改成授权用户：任何时候都不要把共享文件的用户设置成“everyone”组，包括打印共享，默认的属性就是“everyone”组的，一定不要忘了改。

三，密码安全设置
1，使用安全密码：注意密码的复杂性，不要过于简单，还要记住经常修改密码；
2，设置屏幕保护密码：这是一个很简单也很有必要的操作。也是防止内部人员破坏服务器的一个屏障；
3，开启密码策略；注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为6位，设置强制密码历史为5次，时间为42天；
4，考虑使用智能卡来代替密码：对于密码，总是使管理员进退两难，密码设置简单容易收到黑客的攻击，设置太复杂又容易忘记。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。

四，系统安全设置
1，使用NTFS格式分区：最好把服务器的所有分区都改成NTFS格式，NTFS文件系统比FAT、FAT32的文件系统安全得多；
2，运行杀毒软件：杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序，要注意经常运行程序并升级病毒库；
3，到微软网站下载最新的补丁程序：很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出现很久了，还放着服务器的漏洞不补，给人家当靶子用。访问安全站点，下载最新的Service Park 和补丁漏洞是保障服务器的长久安全的唯一方法；
4，关闭默认共享：Windows XP系统安装好后系统会创建一些隐藏的共享，可以在Cmd下打“NetShare”查看它们。网上有很多关于IPC入侵的文章，都利用默认共享连接。要禁止这些共享，打开“管理工具计算机管理共享文件夹共享”在相应的共享文件夹上按右键，点“停止共享”；
5，禁止用户从软盘和光驱启动系统：一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高，可以考虑使用可移动硬盘和光驱。当然，把机箱锁起来仍不失为一个好方法.
6，利用Windows XP 的安全设置工具来配置安全策略：微软提供了一套基于MMC（管理控制台）安全配置和分析工具，利用它们可以很方便地配置你的服务器以满足你的要求。

五，服务安全设置
1，关闭不必要的端口，用端口扫描器扫描系统已开放的端口，确定系统开放的哪些服务可能引起黑客的入侵。具体方法：打开“网上邻居――属性――本地连接――属性――Internet协议(TCP/IP)――属性――高级――选项――TCP/IP筛选――属性”打开“TCP/IP筛选”，添加需要的TCP、UDP协议即可；
2，设置好安全记录的访问权限；安全记录在默认情况下是没有保护的，把它设置成只有Administrators和系统帐户才有权访问；
3，把敏感文件存放在另外的文件服务器中：虽然现在服务器的硬盘容量都很大，还是应该考虑是否有必要把一些重要的用户数据（文件、数据表、项目文件等）存放在另外一个安全的服务器中，并且经常备份它们；
4，禁止建立空连接：默认情况下，任何用户都可以通过空连接连上服务器，进而枚举出帐号，猜测密码，可以通过修改注册表来禁止建立空连接：即把“HKEY_LOCAL_MACHINE\SYSTERM\CurrentControlSet/Control/Lsa”的RestrictAnonymous值改成“1”即可。

六，关闭缩略图的缓存
对于安全性至关重要的共享企业工作站或计算机，必须启用该设置以关闭缩略图视图缓存，因为缩略图缓存可以被任何人读取。打开注册表编辑器：找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\,在右侧窗口中新建或编辑名为“NoThumbnailCache”的DWORD值，将键值设置为“1”，关闭缩略图的缓存；如将键值设置为“0”，则打开缩略图的缓存。

七，设置用户对软驱及CD-ROM的访问权限
打开注册表编辑器，找到：HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon,在右侧窗格中新建或编辑名为“AllocateCDRoms"的DOWORD值，将键值设为“1”，仅仅本地登录可以使用CDRom驱动器；如将键值设置为“0”，则只可以被域中的管理员所使用。
在右侧中窗格中新建或编辑名为“AllocateFloppies"的DWOED值，将键值设置为“1”，仅仅本地登录可以使用软盘驱动器；如将键值设置为“0”，则只可以被域中的管理员所使用。

八，设置其他用户对移动存储器的访问权限
打开注册表编辑器，找到：HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon,在右侧窗格中新建或编辑名为“AllocateDASD”的DWOD值，如将键值设为“0”，只允许系统管理员可以访问；如将键值设置为“1”，则只允许系统管理员及有权限的用户可以访问；如将键值设置为“2”，则只允许系统管理员及交互式用户可以访问。

---

胶州市17090335278： 局域网面临的最大的网络安全问题是什么 - ？
阮滢红药： 1、欺骗性的软件使数据安全性降 2、服务器区域没有进行独立防 3、计算机病毒及恶意代码的威 4、局域网用户安全意识不强

胶州市17090335278： 无线局域网的不安全因素有哪些,请逐一例出并进行说明 - ？
阮滢红药： 1、WLAN是以无线电波作为上网的传输媒介,因此存在着难以限制网络资源的物理访问,无线网络信号可以传播到预期方位以外的地域,具体情况要根据建筑材料和环境而定,这样就使得在网络覆盖范围内都成为了WLAN的接入点,开放的信...

胶州市17090335278： 企业局域网有哪些常见的安全问题 - ？
阮滢红药： 利用空密码和简单密码的问题;随便开共享文件夹引起病毒传播和文件不安全问题;局域网内木马病毒利用系统漏洞传播的问题.arp攻击类病毒木马程序的问题;p2p终结者等恶意软件的使用问题.p2p软件大量使用造成网络拥堵的问题.用域管理,注意路由器日志和流量纪录,杀毒软件常更新,在防火墙设置安全规则,禁止限制p2p类软件,流量限制

胶州市17090335278： 现在局域网的安全存在什么问题? 还暂时不能解决的?有哪些? - ？
阮滢红药： 局域网的安全应该从以下几点入手一、制定并实施网络安全管理制度 包括服务器以及个人主机安全管理、包括个级别权限管理等等二、制定并实施网络安全日常工作程序,包括监测上网行为、包括入侵监测三、从技术层面上,你那里估计是一根...

胶州市17090335278： 目前办公室局域网主要存在的安全有哪些.？
阮滢红药： 1、防病毒软件 2、漏洞升级 3、ARP攻击 4、弱口令密码问题 5、默认共享问题 ^_^

胶州市17090335278： 无线局域网存在的安全问题与对策 - ？
阮滢红药： 无线局域网最大的安全问题就是信号是广播出去的,要用一定的手段来限制信号的接受,给固定的机子.使别人不能随意的进入无线局域网内. 方法:1、iP绑定(在无线路由器上手动设置IP地址表,只有这些IP地址才能接受到广播信号)但这种可以用伪造IP的方法来破解,不是很安全. 2、WEP、WPA-WEP加密,WPA加密 无线网络加密是通过对无线电波里的数据加密提供安全性,主要用于无线局域网中链路层信息数据的保密.现在大多数的无线设备具有WEP加密和WAP加密功能,那么我们使用WEP加密,还是WAP加密呢?显然WEP出现得比WAP早,WAP比WEP安全性更好一些.接收方需用相应的密钥去解密才能进入广播范围.(是在无线路由器上设置)

胶州市17090335278： 局域网安全问题 - ？
阮滢红药： 1最好的办法,用支持划分vlan的路由器,绑定可上网的mac,并分到一个vlan里,不能上网的分到另一个vlan里,指定禁止访问路由器.2安装企业版的网管软件或网吧软件

胶州市17090335278： 设置局域网后有什么安全问题么 - ？
阮滢红药： 我的电脑属性里面的计算机名称,里面的工作组改下,只要和别人不一样就可以了随便改个,怕局域网攻击的话可以装arp防火墙,不想连局域网的话改下ip,不在一个ip段就OK了!

胶州市17090335278： 企业内部网面临的安全问题有哪些? ？
阮滢红药： 企业内部网面临的安全问题主要在于: (1) 如何控制网络不同部门之间的互相访问; (2) 如何对不断变更的用户进行有效的管理; (3) 如何防止网络广播风暴影响系统关键业务的正常运转,甚至导致系统的崩溃; (4) 如何加强远程拨号用户的安全认证管理.

胶州市17090335278： 网络安全问题有哪些,怎么防护比较好? - ？
阮滢红药： 为了保护网络安全,常用的技术手段主要有以下几个方面:1、用备份技术来提高数据恢复时的完整性.备份工作可以手工完成,也可以自动完成.现有的操作系统一般都带有比较初级的备份系统,如果对备份要求高,应购买专用的系统备份产...