區域網面對攻擊的安全策略
區域網的安全問題經常是面對來自Internet的攻擊,因此你必須時刻防範這些惡意攻擊,關注你區域網的計算機系統安全,那麼你知道嗎?下面是小編整理的一些關於的相關資料,供你參考。
下面兩個方法從實踐上來說被認為是非常有用的防範手段:
1.包過濾
圖1 七層模型易遭受的安全攻擊
在網路層檢查通訊資料,觀察它的源地址和目的地址。過濾器可以禁止特定的地址或地址範圍傳出或進入,也可以禁止令人懷疑的地址模式。
2.防火牆
圖2 包過濾器的配置
在應用層檢查通訊資料,檢查訊息地址中的埠,或檢查特定應用的訊息內容。測試失敗的任何通訊資料將被拒絕。
一、路由包過濾
TCP/IP地址由機器地址和標識程式處理訊息的埠數字組成。這個地址/埠組合資訊對每個TCP/IP訊息都是有效的。包過濾與防火牆相比處理的簡單一些,它僅是觀察TCP/IP地址,而不是埠數字或訊息內容。不過包過濾提供給你的是很好的網路安全工具。
包過濾器通常使用的是自頂向下的操作原則,下面是它使用的一個典型規則:
●允許所有傳出通訊資料通過;
●拒絕建立新的傳入連線;
●其它的資料可以全部被接受。
通過這樣的使用規則,系統的安全性提高了許多。因為它拒絕了Internet上主動與你的計算機建立新連線的請求。它阻止使用TCP的通訊資料進入,從而杜絕了對共享驅動器和檔案的未授權訪問。
過濾器通常的應用是配置在連線你的計算機和Internet的路由器上,如圖2所示。在你的區域網和Internet之間放置過濾器後,就可以保證區域網與Internet所有的通訊資料都要經過過濾器。
如果包過濾軟體有能力檢查源地址子網,從子網物理埠傳遞訊息到路由器,你就可以制定規則來避免虛假的TCP/IP地址,就象圖2所示的那樣。攻擊者欺騙的方法就是把來自Internet的訊息偽裝成來自你區域網的訊息。包過濾通過拒收帶有不可能源地址的訊息來防禦攻擊者的攻擊。例如,假定你在一個裝有Linux的機器上安裝軟體,讓它作為一個Windows網路檔案伺服器,你可以配置Linux讓它拒收所有來自你的子網以外的通訊資料,阻止Internet上的機器看到這個檔案伺服器。如果攻擊者假裝是你內部的機器,用過濾器就可以阻止攻擊者的攻擊。
包過濾雖然對網路的安全防範能起到很好的作用,但包過濾也並不是萬能的。它們一般不能防禦使用UDP協議的攻擊,因為過濾器不能拒收開放的訊息。包過濾還不能防禦低層攻擊,象PING方式的攻擊。
二、防火牆
使用防火牆軟體可以在一定程度上控制區域網和Internet之間傳遞的資料。圖3所示是一個TCP/IP資料包報頭示意圖,從它上面可以清楚地看到包過濾和防火牆工作原理的不同之處。防火牆不但檢查了包過濾檢查內容的所有部分***TCP/IP的源地址和目的地址***,還檢查了源/目的埠數字和包的內容。
圖3 包過濾器和防火牆的資訊源
埠和訊息內容這些資訊使防火牆比包過濾有更強的防範能力,因為這些資訊使防火牆控制特定進/出的主機地址。防火牆的功能有以下幾個方面:
●允許或禁止特定的應用服務,例如:FTP或Web頁面服務;
●允許或禁止訪問基於被傳遞的資訊內容的服務。
防火牆最直接的實施就是使用圖2所示的結構,僅把區域網和ISP之間的包過濾器換成防火牆就可以了。這是一個防火牆的最安全的應用,因為它保護了防火牆後面的所有計算機。
圖4 防火牆中使用DMZ
如果我們把圖2改為圖4所示的結構,就可以很好地解決這個問題。圖4的結構中有3個埠。第三個埠連線的是另一個區域網,通常叫做DMZ***非軍事區***。DMZ中的計算機與安全域性域網中的計算機相比安全性要差一些,但是這些計算機可以接受來自Internet的訪問。你可以把Web和FTP伺服器放在DMZ,從而可以保護其它的計算機。防火牆上的規則設定為阻止進入安全域性域網的通訊資料,僅允許傳出連線的建立。
如果你想增強DMZ區域網的安全性,可以使用過濾器,限制區域網中伺服器使用的埠,禁止那些來自攻擊站點的訪問。
為了安全還可以給你的區域網分段,每段設定一個防火牆,每個防火牆使用不同的安全規則。需要記住的一點是,防火牆本身並沒有保障安全的能力,你需要定期的檢查防火牆對可疑事件做出的日誌記錄,還需要去發現和使用軟體的安全補丁。
如果你使用Windows 98第二版的Internet共享連線功能,讓你的一臺計算機通過Modem把區域網連線上Internet。在這種情況下,你的網路是很不安全的,仍需要改善網路的安全性。最大的威脅就是你的電腦直接連線在了Internet上,你應該直接在這臺電腦上安裝包過濾器或防火牆產品,或讓你的ISP安裝包過濾器或防火牆來保護你的訪問。
看過文章“
1.區域網安全策略
2.怎麼建立區域網
3.如何簡單設定一個區域網
4.區域網共享設定 詳細圖文設定教程
5.如何進行區域網共享
6.如何實現區域網內兩臺電腦資源共享
7.如何搭建30臺電腦的區域網
8.區域網的定義
9.區域網入侵如何做到的
10.如何建立區域網
區域網協議基礎有哪些