亚洲成精品动漫久久精久,九九在线精品视频播放,黄色成人免费观看,三级成人影院,久碰久,四虎成人欧美精品在永久在线

掃一掃
關注微信公眾號

網(wǎng)絡安全:局域網(wǎng)在網(wǎng)絡層有什么不安全的地方嗎?
2006-11-15   賽迪網(wǎng)

  不安全的地方

  由于局域網(wǎng)中采用廣播方式,因此,若在某個廣播域中可以偵聽到所有的信息包,黑客就對可以對信息包進行分析,那么本廣播域的信息傳遞都會暴露在黑客面前。

  網(wǎng)絡分段

  網(wǎng)絡分段是保證安全的一項重要措施,同時也是一項基本措施,其指導思想在于將非法用戶與網(wǎng)絡資源相互隔離,從而達到限制用戶非法訪問的目的。

  網(wǎng)絡分段可分為物理分段和邏輯分段兩種方式:

  物理分段通常是指將網(wǎng)絡從物理層和數(shù)據(jù)鏈路層(ISO/OSI模型中的第一層和第二層)上分為若干網(wǎng)段,各網(wǎng)段相互之間無法進行直接通訊。目前,許多交換機都有一定的訪問控制能力,可實現(xiàn)對網(wǎng)絡的物理分段。邏輯分段則是指將整個系統(tǒng)在網(wǎng)絡層(ISO/OSI模型中的第三層)上進行分段。例如,對于TCP/IP網(wǎng)絡,可把網(wǎng)絡分成若干IP子網(wǎng),各子網(wǎng)間必須通過路由器、路由交換機、網(wǎng)關或防火墻等設備進行連接,利用這些中間設備(含軟件、硬件)的安全機制來控制各子網(wǎng)間的訪問。在實際應用過程中,通常采取物理分段與邏輯分段相結合的方法來實現(xiàn)對網(wǎng)絡系統(tǒng)的安全性控制。

  VLAN的實現(xiàn)

  虛擬網(wǎng)技術主要基于近年發(fā)展的局域網(wǎng)交換技術(ATM和以太網(wǎng)交換)。交換技術將傳統(tǒng)的基于廣播的局域網(wǎng)技術發(fā)展為面向連接的技術。因此,網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路由器。

  以太網(wǎng)從本質上基于廣播機制,但應用了交換器和VLAN技術后,實際上轉變?yōu)辄c到點通訊,除非設置了監(jiān)聽口,信息交換也不會存在監(jiān)聽和插入(改變)問題。

  由以上運行機制帶來的網(wǎng)絡安全的好處是顯而易見的:

  信息只到達應該到達的地點。因此、防止了大部分基于網(wǎng)絡監(jiān)聽的入侵手段。

  通過虛擬網(wǎng)設置的訪問控制,使在虛擬網(wǎng)外的網(wǎng)絡節(jié)點不能直接訪問虛擬網(wǎng)內節(jié)點。

  但是,虛擬網(wǎng)技術也帶來了新的安全問題:

  執(zhí)行虛擬網(wǎng)交換的設備越來越復雜,從而成為被攻擊的對象。基于網(wǎng)絡廣播原理的入侵監(jiān)控技術在高速交換網(wǎng)絡內需要特殊的設置。基于MAC的VLAN不能防止MAC欺騙攻擊。

  采用基于MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此,VLAN的劃分最好基于交換機端口。但這要求整個網(wǎng)絡桌面使用交換端口或每個交換端口所在的網(wǎng)段機器均屬于相同的VLAN。

  VLAN之間的劃分原則

  VLAN的劃分方式的目的是保證系統(tǒng)的安全性。因此,可以按照系統(tǒng)的安全性來劃分VLAN;可以將總部中的服務器系統(tǒng)單獨劃作一個VLAN,如數(shù)據(jù)庫服務器、電子郵件服務器等。也可以按照機構的設置來劃分VLAN,如將領導所在的網(wǎng)絡單獨作為一個Leader VLAN(LVLAN), 其他司局(或下級機構)分別作為一個VLAN,并且控制LVLAN與其他VLAN之間的單向信息流向,即允許LVLAN查看其他VLAN的相關信息,其他VLAN不能訪問LVLAN的信息。VLAN之內的連接采用交換實現(xiàn), VLAN與VLAN之間采用路由實現(xiàn)。由于路由控制的能力有限,不能實現(xiàn)LVLAN與其他VLAN之間的單向信息流動,需要在LVLAN與其他VLAN之間設置一個Gauntlet防火墻作為安全隔離設備,控制VLAN與VLAN之間的信息交流。

熱詞搜索:

上一篇:網(wǎng)絡安全:網(wǎng)絡自查 用Pathping命令診斷網(wǎng)絡故障
下一篇:網(wǎng)絡安全:不要垃圾---防止垃圾郵件騷擾的八大招

分享到: 收藏