内网的安全管理

内网的安全管理

作者：马蓉晖 冯素琴

来源：《数字技术与应用》2011年第03期

摘 要：本文是在局域网现有的网络设备的基础上，从技术和管理两方面着手研究，形成一套应对内网安全的管理方法。主要内容包括三个方面：硬件设备（路由器、防火墙、入侵检测系统等）的正确使用、制定行而有效的安全策略以及严格的内网安全管理制度。论文涵盖了内网安全所需要的“防、测、控、管”等多方面的基础理论和实施技术。 关键词：局域网内网安全安全策略管理措施

中图分类号：TP311.5 文献标识码：A 文章编号：1007-9416（2011）03-0127-02 1、引言

随着Internet的飞速发展，局域网已经成为很多行业不可缺少的组成部分。在享受Internet 快捷方便的同时，内网安全也面临着严重的威胁。为了确实有效的保护内网的安全，建立一套完整的内网安全管理体系显得十分重要。

2、内网面临的安全问题

内网，通俗的讲就是局域网(Local Area Network)，内网的安全不仅面临着来自网外的病毒侵袭和黑客攻击，更多的问题是来自内部人员的违规操作、蓄意破坏或窃取信息。要做好内网的安全管理，首先在技术上，基础的硬件设施是必不可少的保障，安装边界路由器和防火墙，再配合使用入侵检测系统，经过正确的配制基本可以抵御来自网外的攻击。同时，制定合理的安全策略和严格的管理制度，从网络资源、设备资源、客户端资源和应用资源等多方对内部网络加以管理和审计，才能达到最佳的管理效果。

3、应对内网安全挑战的防御措施

在技术上，应首先从边界着手，通过正确的使用边界路由器、防火墙、入侵检测系统等设施，再配合其它技术手段，可以基本防御来自对内网的安全威胁。

龙源期刊网 http://www.qikan.com.cn

3.1 合理设置边界路由器

一般来说，内网都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。经过恰当设置，边界路由器能够把几乎所有的非法入侵挡在网络之外。 3.1.1 修改默认的口令

设置一个安全保密性较强的口令，可以防止边界路由器被网外非法用户破解，从而增强对外部使用者的管理。

3.1.2 关闭路由器的HTTP设置

HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而，HTTP协议中并没有一个用于验证口令或者一次性口令的有效规定。因此关闭路由器的HTTP设置可以增强内网的安全性。

3.1.3 封锁ICMP PING请求

PING的主要目的是识别目前正在使用的主机。因此，PING通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收PING请求的应答能力，就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的非法活动。 这样做实际上并不能保护网络不受攻击，但是，这将使内网避免成为一个攻击目标。 3.1.4 关闭IP源路由

IP协议允许一台主机指定数据包通过网络的路由，而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是，这种用途很少应用。这项功能最常用的用途是为了侦察目的对网络进行镜像，或者用于攻击者在专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障，否则应该关闭这个功能。 3.1.5 确定数据包过滤的需求

在这种规定中，除了网络功能需要的之外，所有的端口和IP地址都必须封锁。例如，用于WEB通信的端口80和用于SMTP的110/25端口允许来自指定地址的访问，而所有其它端口和地址都可以关闭。

3.1.6 建立准许进入和外出的地址过滤

在边界路由器上建立以便根据IP地址过滤进出网络的违反安全规定的行为。除了特殊的不同寻常的案例之外，所有试图从网络内部访问互联网的IP地址都应该有一个分配给的

龙源期刊网 http://www.qikan.com.cn

局域网的地址，保证只有在局域网地址范围内的主机才可外出。来自互联网外部的通信的源地址应该不是内部网络的一部分。因此，应该封锁入网的非法地址。

最后，拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该允许通过这台路由器。

3.1.7 审阅安全记录

审阅路由器记录（通过其内置的防火墙功能）是查出安全事件的最有效的方法，无论是查出正在实施的攻击还是未来攻击的征候都非常有效。利用出网的记录，还能够查出试图建立外部连接的特洛伊木马程序和间谍软件程序。 3.2 安装防火墙

防火墙可以他人进入内部网络；过滤掉不安全的服务和非法用户；防止入侵者接近用户的防御设施；限定人们访问特殊站点；为监视内网安全提供方便。

设置防火墙的主要功能就是控制对受保护网络的非法访问，它通过监视、、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，用以防范外对内、内对外的非法访问。 3.3 安装入侵检测系统

入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下，由于可以记录和禁止网络活动，所以入侵监测系统是防火墙的延续。它们可以与防火墙和路由器配合工作。例如，入侵监测系统可以重新配置来禁止从防火墙外部进入的恶意流量。入侵监测系统是于防火墙工作的。

入侵监测系统扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警。网络扫描器检测主机上先前设置的漏洞，而入侵监测系统监视和记录网络流量。如果在同一台主机上运行入侵监测系统和扫描器的话，配置合理的入侵监测系统会发出许多报警。

通过安装入侵检测系统，可以提升防火墙的性能，达到监控网络、执行立即拦截动作以及分析过滤封包和内容的动作，当窃取者入侵时立刻有效终止服务，以便有效地预防企业机密信息被窃取。应非法用户对网络的访问，规定具有IP地址的工作站对本地网络设备的访问权限，以防止从外界对网络设备配置的非法修改。 3.4 其它技术手段

龙源期刊网 http://www.qikan.com.cn

还可以使用安全交换机，利用网络分段及VLAN的方法从物理上或逻辑上隔离网络资源；使用代理网关，保证操作系统的安全；对重要资料进行备份；选择有完善的在线升级服务，使用户随时拥有最新的防病毒能力的防病毒产品；对病毒经常攻击的应用程序提供重点保护；也可以使用密钥管理，没有规律的口令具有较好的安全性。与此同时，还必须制定一套规范内网安全的管理措施。 4、结语

结合当前网络上攻击泛滥的现象，应对内网所面临的来自的病毒和黑客攻击，以及内部资料外泄等不安全行为的威胁。其中主要包括硬件技术防御措施和管理策略的制定方法。在内网的安全管理中，必须注重技术与管理的相互结合,通过何种手段能以最少的投资建立最为适用的内网安全管理平台等。 参考文献

[1] 蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,2001.

[2] 程胜利,谈冉.程煜.计算机病毒及其防治技术[M].北京:清华大学出版社,2004.9. [3] 吴功宜,吴英.计算机网络应用技术教程[M].北京:清华大学出版社,2001. [4] 刘承松.局域网与INTERNET应用[M].云南:云南科技出版社,2005.6. [5] 李铄.电脑组网与网络管理全科教程[M].北京:北京航空工业出版社,2005.4.

基金项目：山西省教育厅科技开发项目，项目编号：20101121