亚洲欧美精品沙发,日韩在线精品视频,亚洲Av每日更新在线观看,亚洲国产另类一区在线5

<pre id="hdphd"></pre>

  • <div id="hdphd"><small id="hdphd"></small></div>
      學(xué)習(xí)啦>學(xué)習(xí)電腦>電腦安全>局域網(wǎng)安全>

      局域網(wǎng)內(nèi)如何保證局域網(wǎng)的安全

      時(shí)間: 林輝766 分享

        如何在局域網(wǎng)中保護(hù)自我,不僅僅是管理員也是大家要掌握技術(shù)。下面由學(xué)習(xí)啦小編給你做出詳細(xì)的局域網(wǎng)內(nèi)如何保證局域網(wǎng)的安全介紹!希望對你有幫助!

        局域網(wǎng)內(nèi)如何保證局域網(wǎng)的安全介紹:

        保證局域網(wǎng)安全一、防掃描,讓攻擊者暈頭轉(zhuǎn)向

        幾乎所有的入侵都是從掃描開始的,攻擊者首先判斷目標(biāo)主機(jī)是否存在,進(jìn)而探測其開放的端口和存在的漏洞,然后根據(jù)掃描結(jié)果采取相應(yīng)的攻擊手段實(shí)施攻擊。因此,防掃描是安全防護(hù)的第一步。防掃描做得好,就會讓惡意攻擊失去了目標(biāo)。

        保護(hù)局域網(wǎng)安全1、工具和原理

        (1).掃描工具

        攻擊者采用的掃描手段是很多的,可以使用Ping、網(wǎng)絡(luò)鄰居、SuperScan、NMAP、NC、S掃描器等工具對目標(biāo)計(jì)算機(jī)進(jìn)行掃描。其中SuperScan的掃描速度非??欤鳱MAP的掃描非常的專業(yè),不但誤報(bào)很少,而且還可以掃描到很多的信息,包括系統(tǒng)漏洞、共享密碼、開啟服務(wù)等等。

        (2).防范原理

        要針對這些掃描進(jìn)行防范,首先要禁止ICMP的回應(yīng),當(dāng)對方進(jìn)行掃描的時(shí)候,由于無法得到ICMP的回應(yīng),掃描器會誤認(rèn)為主機(jī)不存在,從而達(dá)到保護(hù)自己的目的。另外,利用蜜罐技術(shù)進(jìn)行掃描欺騙也是不錯(cuò)的方法。

        保護(hù)局域網(wǎng)安全2、防范措施

        (1).關(guān)閉端口

        關(guān)閉閑置和有潛在危險(xiǎn)的端口。這個(gè)方法比較被動,它的本質(zhì)是將除了用戶需要用到的正常計(jì)算機(jī)端口之外的其他端口都關(guān)閉掉。因?yàn)榫秃诳投?,所有的端口都可能成為攻擊的目?biāo)??梢哉f,計(jì)算機(jī)的所有對外通訊的端口都存在潛在的危險(xiǎn),而一些系統(tǒng)必要的通訊端口,如訪問網(wǎng)頁需要的HTTP(80端口);QQ(4000端口)等不能被關(guān)閉。

        在Windows版本的服務(wù)器系統(tǒng)中要關(guān)閉掉一些閑置端口是比較方便的,可以采用“定向關(guān)閉指定服務(wù)的端口”(黑名單)和“只開放允許端口的方式”(白名單)進(jìn)行設(shè)置。計(jì)算機(jī)的一些網(wǎng)絡(luò)服務(wù)會有系統(tǒng)分配默認(rèn)的端口,將一些閑置的服務(wù)關(guān)閉掉,其對應(yīng)的端口也會被關(guān)閉了。

        進(jìn)入“控制面板”→“管理工具”→“服務(wù)”項(xiàng)內(nèi),關(guān)閉掉計(jì)算機(jī)的一些沒有使用的服務(wù)(如FTP服務(wù)、DNS服務(wù)、IIS Admin服務(wù)等等),它們對應(yīng)的端口也被停用了。至于“只開放允許端口的方式”,可以利用系統(tǒng)的“TCP/IP篩選”功能實(shí)現(xiàn),設(shè)置的時(shí)候,“只允許”系統(tǒng)的一些基本網(wǎng)絡(luò)通訊需要的端口即可。

        (2).屏蔽端口

        檢查各端口,有端口掃描的癥狀時(shí),立即屏蔽該端口。這種預(yù)防端口掃描的方式通過用戶自己手工是不可能完成的,或者說完成起來相當(dāng)困難,需要借助軟件。這些軟件就是我們常用的網(wǎng)絡(luò)防火墻。

        防火墻的工作原理是:首先檢查每個(gè)到達(dá)你的電腦的數(shù)據(jù)包,在這個(gè)包被你機(jī)上運(yùn)行的任何軟件看到之前,防火墻有完全的否決權(quán),可以禁止你的電腦接收Internet上的任何東西。當(dāng)?shù)谝粋€(gè)請求建立連接的包被你的電腦回應(yīng)后,一個(gè)“TCP/IP端口”被打開;端口掃描時(shí),對方計(jì)算機(jī)不斷和本地計(jì)算機(jī)建立連接,并逐漸打開各個(gè)服務(wù)所對應(yīng)的“TCP/IP端口”及閑置端口。防火墻經(jīng)過自帶的攔截規(guī)則判斷,就能夠知道對方是否正進(jìn)行端口掃描,并攔截掉對方發(fā)送過來的所有掃描需要的數(shù)據(jù)包。

        現(xiàn)在市面上幾乎所有網(wǎng)絡(luò)防火墻都能夠抵御端口掃描,在默認(rèn)安裝后,應(yīng)該檢查一些防火墻所攔截的端口掃描規(guī)則是否被選中,否則它會放行端口掃描,而只是在日志中留下信息而已。

        保護(hù)局域網(wǎng)安全3、防范工具

        (1).系統(tǒng)防火墻

        現(xiàn)在很多的防火墻都有禁止ICMP的設(shè)置,而Windows XP SP2自帶的防火墻也包括該功能。啟用這項(xiàng)功能的設(shè)置非常簡單:執(zhí)行“控制面板”→“Windows防火墻”,點(diǎn)擊“高級”選項(xiàng)卡,選擇系統(tǒng)中已經(jīng)建立的Internet連接方式(寬帶連接),點(diǎn)擊旁邊的“設(shè)置”按鈕打開“高級設(shè)置”窗口,點(diǎn)擊“ICMP”選項(xiàng)卡,確認(rèn)沒有勾選“允許傳入的回顯請求”,最后點(diǎn)擊“確定”即可。

        另外,通過其他專業(yè)的防火墻軟件不但可以攔截來自局域網(wǎng)的各種掃描入侵,從軟件的日志中,我們還可以查看到數(shù)據(jù)包的來源和入侵方式等。

        (2).第三方防火墻

        在企業(yè)局域網(wǎng)中部署第三方的防火墻,這些防火墻都自帶了一些默認(rèn)的“規(guī)則”,可以非常方便地應(yīng)用或者取消應(yīng)用這些規(guī)則。當(dāng)然也可以根據(jù)具體需要?jiǎng)?chuàng)建相應(yīng)的防火墻規(guī)則,這樣可以比較有效地阻止攻擊者的惡意掃描。

        比如以天網(wǎng)防火墻為例:首先運(yùn)行天網(wǎng)防火墻,點(diǎn)擊操作界面中的“IP規(guī)則管理”按鈕,彈出“自定義IP規(guī)則”窗口,去掉“允許局域網(wǎng)的機(jī)器用ping命令探測”選項(xiàng),最后點(diǎn)擊“保存規(guī)則”按鈕進(jìn)行保存即可。 例如創(chuàng)建一條防止Ineternet中的主機(jī)ping的規(guī)則,可以點(diǎn)擊“增加規(guī)則”按鈕,輸入如圖的相關(guān)參數(shù)就創(chuàng)建成功,然后勾選并保存該規(guī)則就可以防止網(wǎng)絡(luò)中的主機(jī)惡意掃描局域網(wǎng)了。

        (3).蜜罐技術(shù)

        蜜罐工具很多,其原理大同小異,它會虛擬一臺有“缺陷”的服務(wù)器,等著惡意攻擊者上鉤。在黑客看來被掃描的主機(jī)似乎打開了相應(yīng)的端口,但是卻無法實(shí)施工具,從而保護(hù)了真正的服務(wù)器,這也可以說是比較另類的防掃描手法。

        例如,Defnet HoneyPot“蜜罐”虛擬系統(tǒng),通過Defnet HoneyPot虛擬出來的系統(tǒng)和真正的系統(tǒng)看起來沒有什么兩樣,但它是為惡意攻擊者布置的陷阱。只不過,這個(gè)陷阱欺騙惡意攻擊者,能夠記錄他都執(zhí)行了那些命令,進(jìn)行了哪些操作,使用了哪些惡意攻擊工具。通過陷阱的記錄,可以了解攻擊者的習(xí)慣,掌握足夠的攻擊證據(jù),甚至反擊攻擊者。利用該工具部署一個(gè)蜜罐系統(tǒng)非常簡單,打開軟件,輸入相應(yīng)的參數(shù)即可。然后它會隨機(jī)啟動,如果有惡意的掃描它都會記錄下來如圖。

        現(xiàn)在的黑客工具非常普及其操作也越來越傻瓜化,入侵門檻比較低。一個(gè)具有初、中級電腦水平的攻擊者利用掃描器隨意掃描,就能夠完成一次入侵。做好防掃描措施,就能夠在很大程度上杜絕來自這些一般入侵者的騷擾,而這也是網(wǎng)絡(luò)入侵的大多數(shù)。

        保證局域網(wǎng)安全二、防溢出,讓攻擊者無功而返

        溢出是操作系統(tǒng)、應(yīng)用軟件永遠(yuǎn)的痛!在駭客頻頻攻擊、系統(tǒng)漏洞層出不窮的今天,任何人都不能保證操作系統(tǒng)系統(tǒng)、應(yīng)用程序不被溢出。既然溢出似乎是必然的,而且利用溢出攻擊的門檻比較低,利用工具有一定電腦基礎(chǔ)的人都可以完成一次溢出。這樣看來,我們的系統(tǒng)就處于隨時(shí)被溢出的危險(xiǎn)中,所以防溢出也是我們必須要做的工作。

        保護(hù)局域網(wǎng)安全1、全面出擊,嚴(yán)防死守

        (1).必須打齊補(bǔ)丁

        盡最大的可能性將系統(tǒng)的漏洞補(bǔ)丁都打完;Microsoft Windows Server系列的服務(wù)器系統(tǒng)可以將自動更新服務(wù)打開,然后讓服務(wù)器在指定的某個(gè)時(shí)間段內(nèi)自動連接到Microsoft Update網(wǎng)站進(jìn)行補(bǔ)丁的更新。如果服務(wù)器為了安全起見禁止了對公網(wǎng)外部的連接的話,可以用Microsoft WSUS服務(wù)在內(nèi)網(wǎng)進(jìn)行升級。

        (2).服務(wù)最小化

        最少的服務(wù)等于最大的安全,停掉一切不需要的系統(tǒng)服務(wù)以及應(yīng)用程序,最大限度地降底服務(wù)器的被攻擊系數(shù)。比如前陣子的NDS溢出,就導(dǎo)致很多服務(wù)器掛掉了。其實(shí)如果WEB類服務(wù)器根本沒有用到DNS服務(wù)時(shí),大可以把DNS服務(wù)停掉,這樣DNS溢出就對你們的服務(wù)器不構(gòu)成任何威脅了。

        (3).端口過濾

        啟動TCP/IP端口的過濾,僅打開服務(wù)器常用的TCP如21、80、25、110、3389等端口;如果安全要求級別高一點(diǎn)可以將UDP端口關(guān)閉,當(dāng)然如果這樣之后缺陷就是如在服務(wù)器上連外部就不方便連接了,這里建議大家用IPSec來封UDP。在協(xié)議篩選中只允許TCP協(xié)議、UDP協(xié)議 以及RDP協(xié)議等必需用協(xié)議即可;其它無用均不開放。

        (4).系統(tǒng)防火墻

        啟用IPSec策略,為服務(wù)器的連接進(jìn)行安全認(rèn)證,給服務(wù)器加上雙保險(xiǎn)。封掉一些危險(xiǎn)的端口,諸如:135 145 139 445 以及UDP對外連接之類、以及對通讀進(jìn)行加密與只與有信任關(guān)系的IP或者網(wǎng)絡(luò)進(jìn)行通訊等等。通過IPSec禁止UDP或者不常用TCP端口的對外訪問就可以非常有效地防反彈類木馬。

        (5).系統(tǒng)命令防御

        刪除、移動、更名或者用訪問控制表列Access Control Lists (ACLs)控制關(guān)鍵系統(tǒng)文件、命令及文件夾:攻擊者通常在溢出得到shell后,來用諸如net.exe、net1.exe、ipconfig.exe、user.exe、query.exe、 regedit.exe、regsvr32.exe 來達(dá)到進(jìn)一步控制服務(wù)器的目的。如:加賬號、克隆管理員了等等。我們可以將這些命令程序刪除或者改名。

        訪問控制表列ACLS控制找到%windir%system32下找到cmd.exe、cmd32.exe、net.exe、net1.exe、ipconfig.exe、tftp.exe、ftp.exe、user.exe、reg.exe、regedit.exe、regedt32.exe、regsvr32.exe這些黑客常用的文件,在“屬性”→“安全”中對他們進(jìn)行訪問的ACLs用戶進(jìn)行定義,諸如只給administrator有權(quán)訪問,如果需要防范一些溢出攻擊、以及溢出成功后對這些文件的非法利用;那么我們只需要將system用戶在ACLs中進(jìn)行拒絕訪問即可。

        如果你覺得在GUI下面太麻煩的話,你也可以用系統(tǒng)命令的CACLS.EXE來對這些.exe文件的Acls進(jìn)行編輯與修改,或者說將他寫成一個(gè).bat批處理 文件來執(zhí)行以及對這些命令進(jìn)行修改。對磁盤如C、D、E、F等進(jìn)行安全的ACLS設(shè)置從整體安全上考慮的話也是很有必要的,另外特別要對Windows、WinntSystem、Document and Setting等文件夾。

        (6).組策略配置

        想禁用“cmd.exe”,執(zhí)行“開始→運(yùn)行”輸入gpedit.msc打開組策略,選擇“用戶配置→管理模板→系統(tǒng)”,把“阻止訪問命令提示符”設(shè)為“啟用”。同樣的可以通過組策略禁止其它比較危險(xiǎn)的應(yīng)用程序。

        (7).服務(wù)降級

        對一些以System權(quán)限運(yùn)行的系統(tǒng)服務(wù)進(jìn)行降級處理。比如:將Serv-U、Imail、IIS、Php、Mssql、Mysql等一系列以 System權(quán)限運(yùn)行的服務(wù)或者應(yīng)用程序換成其它administrators成員甚至users權(quán)限運(yùn)行,這樣就會安全得多了。但前提是需要對這些基本運(yùn)行狀態(tài)、調(diào)用API等相關(guān)情況較為了解。

        其實(shí),關(guān)于防止如Overflow溢出類攻擊的辦法除了用上述的幾點(diǎn)以外,還有很多種辦法:比如通過注冊表進(jìn)行建立相應(yīng)的鍵值,進(jìn)行設(shè)置;寫防護(hù)過濾程序用DLL方式加載windows到相關(guān)的SHell以及動態(tài)鏈接程序之中這類。當(dāng)然自己寫代碼來進(jìn)行驗(yàn)證加密就需要有相關(guān)深厚的Win32編程基礎(chǔ)了,以及對Shellcode較有研究。

        保證局域網(wǎng)安全三、防竊密,讓惡意用戶無可奈何

        在資源比較緊缺的企事業(yè)單位中多人共用一臺電腦是非常普遍的,或者在某些企業(yè)中有那么一些公共電腦供大家使用。既然多人使用,存儲在這些電腦上的公共資料以及個(gè)人資料就沒有什么安全性可言,極易造成信息的泄密,因此如何安全部署這些公用電腦是擺在管理員面前的一個(gè)必須要解決的問題。

        保護(hù)局域網(wǎng)安全1、操作系統(tǒng)很重要

        管理員要實(shí)施對這些公共電腦的權(quán)限控制,就必須得考慮采用什么操作系統(tǒng)。由于Server版系統(tǒng)的安全性遠(yuǎn)遠(yuǎn)高于個(gè)人版系統(tǒng),一般在這樣的電腦上安裝Windows Server 2003或者Windows Server 2008這樣的系統(tǒng)。另外,要設(shè)置用戶權(quán)限系統(tǒng)分區(qū)格式必須是NTFS格式。

        保護(hù)局域網(wǎng)安全2、嚴(yán)密部署

        (1).每個(gè)用戶各歸其所

        管理員制定安全策略,為每個(gè)用戶在公共電腦上建立私人文件夾僅供個(gè)人使用,另外建一個(gè)共享文件夾讓大家使用。具體步驟是:

        在文件公共電腦上建立NTFS分區(qū),然后為每個(gè)用戶創(chuàng)建一個(gè)賬號,再創(chuàng)建一個(gè)組包含所有的用戶。為每個(gè)用戶創(chuàng)建一個(gè)共享文件夾,在設(shè)置共享權(quán)限的時(shí)候去掉Everyone組,將對應(yīng)的個(gè)人用戶賬號添加進(jìn)來,然后根據(jù)需要設(shè)置權(quán)限。為所有的人創(chuàng)建一個(gè)共享文件夾,再在設(shè)置共享權(quán)限的時(shí)候去掉Everyone組,將第一步中創(chuàng)建的包含所有用戶的組添加進(jìn)來如圖1,然后根據(jù)需要設(shè)置權(quán)限即可。

        (2).防止惡意刪除

        公共文件夾里的內(nèi)容是只許大家看的,但有些惡意用戶會刪除其中的文件,因此還要做好防刪除措施。操作如下:

        右鍵點(diǎn)擊公共文件夾“屬性→安全→高級”,取消“允許父項(xiàng)的繼承權(quán)限傳播到到該對象和所有子對象”選項(xiàng),在彈出的菜單中選擇“刪除”操作,點(diǎn)擊“確定”。添加需要設(shè)置的帳號,只賦予該帳號“遍歷文件夾/運(yùn)行文件 ”、“列出文件夾/讀取數(shù)據(jù) ”、“讀取屬性 ”、“讀取擴(kuò)展屬性 ”、“創(chuàng)建文件/寫入數(shù)據(jù) ”看到的文章源自活動目錄、“創(chuàng)建文件夾/附加數(shù)據(jù) ”、“寫入屬性 ”、“寫入擴(kuò)展屬性”的權(quán)限。 拒絕該帳號“刪除子文件夾及文件”和“刪除”權(quán)限。選中“用在此顯示的可以應(yīng)用到子對象的項(xiàng)目代替所有子對象的權(quán)限項(xiàng)目”,點(diǎn)擊“確定”。

        關(guān)于局域網(wǎng)中公共電腦的安全部署因?yàn)榫唧w的安全要求、應(yīng)用需求等不同會有所不同,上面的兩個(gè)策略是最常見的。在實(shí)際應(yīng)用中,關(guān)鍵是制定安全策略,然后利用技術(shù)去實(shí)現(xiàn)。

        總結(jié):防掃描、防溢出、防竊密這是局域網(wǎng)安全安防的重點(diǎn),但不是全部。另外,安全防護(hù)不僅僅是技術(shù),還是意識。只有大家提高自身的安全意識,然后利用相應(yīng)的技術(shù)才能最大程度地保證網(wǎng)絡(luò)安全。
      看過“局域網(wǎng)內(nèi)如何保證局域網(wǎng)的安全 ”人還看了:

      1.怎樣保證企業(yè)內(nèi)網(wǎng)的安全

      2.局域網(wǎng)安全策略

      3.局域網(wǎng)入侵如何做到的

      4.局域網(wǎng)的共享和安全

      5.關(guān)于局域網(wǎng)環(huán)境下若干安全問題及對策的介紹

      局域網(wǎng)內(nèi)如何保證局域網(wǎng)的安全

      如何在局域網(wǎng)中保護(hù)自我,不僅僅是管理員也是大家要掌握技術(shù)。下面由學(xué)習(xí)啦小編給你做出詳細(xì)的局域網(wǎng)內(nèi)如何保證局域網(wǎng)的安全介紹!希望對你有幫助! 局域網(wǎng)內(nèi)如何保證局域網(wǎng)的安全介紹: 保證局域網(wǎng)安全一、防掃描,讓攻擊者暈頭轉(zhuǎn)向 幾乎
      推薦度:
      點(diǎn)擊下載文檔文檔為doc格式
      606264