不出四步 通過巧妙設(shè)置確保局域網(wǎng)安全

一個企業(yè)網(wǎng)的防病毒體系是建立在每個局域網(wǎng)的防病毒系統(tǒng)上的，應(yīng)該根據(jù)每個局域網(wǎng)的防病毒要求，建立局域網(wǎng)防病毒控制系統(tǒng)，分別設(shè)置有針對性的防病毒策略。計(jì)算機(jī)病毒形式及傳播途徑日趨多樣化，因此，大型企業(yè)網(wǎng)絡(luò)系統(tǒng)的防病毒工作已不再像單臺計(jì)算機(jī)病毒的檢測及清除那樣簡單，而需要建立多層次的、立體的病毒防護(hù)體系，而且要具備完善的管理系統(tǒng)來設(shè)置和維護(hù)對病毒的防護(hù)策略。

如何設(shè)置才能確保內(nèi)網(wǎng)安全呢，通�？梢詮囊幌滤膫�方面進(jìn)行設(shè)置：

劃分VLAN防止網(wǎng)絡(luò)偵聽

運(yùn)用VLAN（虛擬局域網(wǎng)）技術(shù)，將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信，防止大部分基于網(wǎng)絡(luò)偵聽的入侵。 目前的VLAN技術(shù)主要有三種：基于交換機(jī)端口的VLAN、基于節(jié)點(diǎn)MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN�；�于端口的VLAN雖然稍欠靈活，但卻比較成熟，在實(shí)際應(yīng)用中效果顯著，廣受歡迎�；�于MAC地址的VLAN為移動計(jì)算提供了可能性，但同時也潛藏著遭受MAC欺詐攻擊的隱患。

在集中式網(wǎng)絡(luò)環(huán)境下，我們通常將中心的所有主機(jī)系統(tǒng)集中到一個VLAN里，在這個VLAN里不允許有任何用戶節(jié)點(diǎn)，從而較好地保護(hù)敏感的主機(jī)資源。在分布式網(wǎng)絡(luò)環(huán)境下，我們可以按機(jī)構(gòu)或部門的設(shè)置來劃分VLAN。各部門內(nèi)部的所有服務(wù)器和用戶節(jié)點(diǎn)都在各自的VLAN內(nèi)。VLAN內(nèi)部的連接采用交換實(shí)現(xiàn)，而VLAN與VLAN之間的連接則采用路由實(shí)現(xiàn)。目前，大多數(shù)的交換機(jī)（包括海關(guān)內(nèi)部普遍采用的DEC MultiSwitch 900）都支持RIP和OSPF這兩種國際標(biāo)準(zhǔn)的路由協(xié)議。如果有特殊需要，必須使用其他路由協(xié)議（如CISCO公司的EIGRP或支持DECnet的IS－IS），也可以用外接的多以太網(wǎng)口路由器來代替交換機(jī)，實(shí)現(xiàn)VLAN之間的路由功能。當(dāng)然，這種情況下，路由轉(zhuǎn)發(fā)的效率會有所下降。

安全設(shè)置局域網(wǎng)文件夾

如今我們所使用的操作系統(tǒng)大多都為Windows XP，可是在安裝Windows XP時缺省項(xiàng)的共享都是“簡單共享”，從而導(dǎo)致“開放”的、不安全的文件共享，我們需要進(jìn)行如下操作來解除這種不安全的隱患：

首先我們要取消默認(rèn)的“簡單共享”。打開“我的電腦”依次單擊“工具→文件夾選項(xiàng)”，在打開的對話框中選擇“查看”選項(xiàng)卡，取消“使用簡單共享（推薦）”的選中狀態(tài)。

然后創(chuàng)建共享用戶。單擊“開始→設(shè)置→控制面板”，打開“用戶賬戶”，創(chuàng)建一個又密碼的用戶，假設(shè)用戶名為oldforman，需要共享資源的機(jī)器必須以該用戶共享資源。

接下來設(shè)置要共享的目錄。假設(shè)共享目錄為NTFS分區(qū)上的目錄OLDFORMAN,并設(shè)置只有用戶oldforman可以共享該目錄下的資源。用鼠標(biāo)右鍵單擊要共享的目錄OLDFORMAN，單擊“共享和安全”，點(diǎn)擊“權(quán)限”，單擊刪除按鈕將原來該目錄任何用戶（everyone）都可以共享的權(quán)限刪除。再單擊“添加”按鈕，依次單擊“高級→立即查找”，選擇用戶oldforman，單擊確定添加用戶oldforman，并選擇用戶oldforman的共享權(quán)限。

以后局域網(wǎng)中的計(jì)算機(jī)要想查看該共享文件夾中的內(nèi)容，只有輸入正確的用戶名和密碼才能查看或修改共享文件夾中的內(nèi)容了，如圖2。

以交換式集線器代替共享式集線器

對局域網(wǎng)的中心交換機(jī)進(jìn)行網(wǎng)絡(luò)分段后，以太網(wǎng)偵聽的危險(xiǎn)仍然存在。這是因?yàn)榫W(wǎng)絡(luò)最終用戶的接入往往是通過分支集線器而不是中心交換機(jī)，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時，兩臺機(jī)器之間的數(shù)據(jù)包（稱為單播包Unicast Packet）還是會被同一臺集線器上的其他用戶所偵聽。一種很危險(xiǎn)的情況是：用戶TELNET到一臺主機(jī)上，由于TELNET程序本身缺乏加密功能，用戶所鍵入的每一個字符（包括用戶名、密碼等重要信息），都將被明文發(fā)送，這就給黑客提供了機(jī)會。

因此，應(yīng)該以交換式集線器代替共享式集線器，使單播包僅在兩個節(jié)點(diǎn)之間傳送，從而防止非法偵聽。當(dāng)然，交換式集線器只能控制單播包而無法控制廣播包（Broadcast Packet）和多播包（Multicast Packet）。所幸的是，廣播包和多播包內(nèi)的關(guān)鍵信息，要遠(yuǎn)遠(yuǎn)少于單播包。

不管是交換式集線器還是VLAN交換機(jī)，都是以交換技術(shù)為核心，它們在控制廣播、防止黑客上相當(dāng)有效，但同時也給一些基于廣播原理的入侵監(jiān)控技術(shù)和協(xié)議分析技術(shù)帶來了麻煩。因此，如果局域網(wǎng)內(nèi)存在這樣的入侵監(jiān)控設(shè)備或協(xié)議分析設(shè)備，就必須選用特殊的帶有SPAN（Switch Port Analyzer）功能的交換機(jī)。這種交換機(jī)允許系統(tǒng)管理員將全部或某些交換端口的數(shù)據(jù)包映射到指定的端口上，提供給接在這一端口上的入侵監(jiān)控設(shè)備或協(xié)議分析設(shè)備。加強(qiáng)防范觀念 安全預(yù)防局域網(wǎng)病毒

選擇一個功力高深的網(wǎng)絡(luò)版病毒"殺手"就至關(guān)重要了。一般而言，查殺是否徹底，界面是否友好、方便，能否實(shí)現(xiàn)遠(yuǎn)程控制、集中管理是決定一個網(wǎng)絡(luò)殺毒軟件的三大要素。杜絕病毒，主觀能動性起到很重要的作用。

病毒的蔓延，經(jīng)常是由于企業(yè)內(nèi)部員工對病毒的傳播方式不夠了解，病毒傳播的渠道有很多種，可通過網(wǎng)絡(luò)、物理介質(zhì)等。查殺病毒，首先要知道病毒到底是什么，它的危害是怎么樣的，知道了病毒危害性，提高了安全意識，杜絕毒瘤的戰(zhàn)役就已經(jīng)成功了一半。平時，企業(yè)要從加強(qiáng)安全意識著手，對日常工作中隱藏的病毒危害增加警覺性，如安裝一種大眾認(rèn)可的網(wǎng)絡(luò)版殺毒軟件，定時更新病毒定義，對來歷不明的文件運(yùn)行前進(jìn)行查殺，每周查殺一次病毒，減少共享文件夾的數(shù)量，文件共享的時候盡量控制權(quán)限和增加密碼等，都可以很好地防止病毒在網(wǎng)絡(luò)中的傳播。

后記

盡管這些病毒的傳播原理很簡單，但這塊決非僅僅是技術(shù)問題，還應(yīng)該教育用戶和企業(yè)，讓它們采取適當(dāng)?shù)拇胧�。例如，如果所有的Windows用戶都關(guān)閉了VB腳本功能，像庫爾尼科娃這樣的病毒就不可能傳播。只要用戶隨時小心警惕，不要打開值得懷疑的郵件，就可把病毒拒絕在外。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]