不安全的地方

　　由于局域網(wǎng)中采用廣播方式，因此，若在某個(gè)廣播域中可以偵聽(tīng)到所有的信息包，黑客就對(duì)可以對(duì)信息包進(jìn)行分析，那么本廣播域的信息傳遞都會(huì)暴露在黑客面前。

　　網(wǎng)絡(luò)分段

　　網(wǎng)絡(luò)分段是保證安全的一項(xiàng)重要措施，同時(shí)也是一項(xiàng)基本措施，其指導(dǎo)思想在于將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而達(dá)到限制用戶非法訪問(wèn)的目的。

　　網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式：

　　物理分段通常是指將網(wǎng)絡(luò)從物理層和數(shù)據(jù)鏈路層（ISO/OSI模型中的第一層和第二層）上分為若干網(wǎng)段，各網(wǎng)段相互之間無(wú)法進(jìn)行直接通訊。目前，許多交換機(jī)都有一定的訪問(wèn)控制能力，可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的物理分段。邏輯分段則是指將整個(gè)系統(tǒng)在網(wǎng)絡(luò)層（ISO/OSI模型中的第三層）上進(jìn)行分段。例如，對(duì)于TCP/IP網(wǎng)絡(luò)，可把網(wǎng)絡(luò)分成若干IP子網(wǎng)，各子網(wǎng)間必須通過(guò)路由器、路由交換機(jī)、網(wǎng)關(guān)或防火墻等設(shè)備進(jìn)行連接，利用這些中間設(shè)備（含軟件、硬件）的安全機(jī)制來(lái)控制各子網(wǎng)間的訪問(wèn)。在實(shí)際應(yīng)用過(guò)程中，通常采取物理分段與邏輯分段相結(jié)合的方法來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)的安全性控制。

　　VLAN的實(shí)現(xiàn)

　　虛擬網(wǎng)技術(shù)主要基于近年發(fā)展的局域網(wǎng)交換技術(shù)(ATM和以太網(wǎng)交換)。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無(wú)需通過(guò)開(kāi)銷很大的路由器。

　　以太網(wǎng)從本質(zhì)上基于廣播機(jī)制，但應(yīng)用了交換器和VLAN技術(shù)后，實(shí)際上轉(zhuǎn)變?yōu)辄c(diǎn)到點(diǎn)通訊，除非設(shè)置了監(jiān)聽(tīng)口，信息交換也不會(huì)存在監(jiān)聽(tīng)和插入（改變）問(wèn)題。

　　由以上運(yùn)行機(jī)制帶來(lái)的網(wǎng)絡(luò)安全的好處是顯而易見(jiàn)的：

　　信息只到達(dá)應(yīng)該到達(dá)的地點(diǎn)。因此、防止了大部分基于網(wǎng)絡(luò)監(jiān)聽(tīng)的入侵手段。

　　通過(guò)虛擬網(wǎng)設(shè)置的訪問(wèn)控制，使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點(diǎn)不能直接訪問(wèn)虛擬網(wǎng)內(nèi)節(jié)點(diǎn)。

　　但是，虛擬網(wǎng)技術(shù)也帶來(lái)了新的安全問(wèn)題：

　　執(zhí)行虛擬網(wǎng)交換的設(shè)備越來(lái)越復(fù)雜，從而成為被攻擊的對(duì)象。基于網(wǎng)絡(luò)廣播原理的入侵監(jiān)控技術(shù)在高速交換網(wǎng)絡(luò)內(nèi)需要特殊的設(shè)置。基于MAC的VLAN不能防止MAC欺騙攻擊。

　　采用基于MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此，VLAN的劃分最好基于交換機(jī)端口。但這要求整個(gè)網(wǎng)絡(luò)桌面使用交換端口或每個(gè)交換端口所在的網(wǎng)段機(jī)器均屬于相同的VLAN。

　　VLAN之間的劃分原則

　　VLAN的劃分方式的目的是保證系統(tǒng)的安全性。因此，可以按照系統(tǒng)的安全性來(lái)劃分VLAN;可以將總部中的服務(wù)器系統(tǒng)單獨(dú)劃作一個(gè)VLAN,如數(shù)據(jù)庫(kù)服務(wù)器、電子郵件服務(wù)器等。也可以按照機(jī)構(gòu)的設(shè)置來(lái)劃分VLAN，如將領(lǐng)導(dǎo)所在的網(wǎng)絡(luò)單獨(dú)作為一個(gè)Leader VLAN(LVLAN), 其他司局（或下級(jí)機(jī)構(gòu)）分別作為一個(gè)VLAN,并且控制LVLAN與其他VLAN之間的單向信息流向，即允許LVLAN查看其他VLAN的相關(guān)信息，其他VLAN不能訪問(wèn)LVLAN的信息。VLAN之內(nèi)的連接采用交換實(shí)現(xiàn)， VLAN與VLAN之間采用路由實(shí)現(xiàn)。由于路由控制的能力有限，不能實(shí)現(xiàn)LVLAN與其他VLAN之間的單向信息流動(dòng)，需要在LVLAN與其他VLAN之間設(shè)置一個(gè)Gauntlet防火墻作為安全隔離設(shè)備，控制VLAN與VLAN之間的信息交流。