[介绍局域网的维护教程]2全能培训包括了局域网组建与维护教程,随着科学技术的发展,计算机应用普及,网络信息时代已经来临,想一想我们生活中的许多事情,比如使用电话预定飞机票,使用银行的通兑通取存折等...+阅读
不安全的地方
由于局域网中采用广播方式,因此,若在某个广播域中可以侦听到所有的信息包,黑客就对可以对信息包进行分析,那么本广播域的信息传递都会暴露在黑客面前。
网络分段
网络分段是保证安全的一项重要措施,同时也是一项基本措施,其指导思想在于将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。
网络分段可分为物理分段和逻辑分段两种方式:
物理分段通常是指将网络从物理层和数据链路层(OSI模型中的第一层和第二层)上分为若干网段,各网段相互之间无法进行直接通讯。目前,许多交换机都有一定的访问控制能力,可实现对网络的物理分段。逻辑分段则是指将整个系统在网络层(OSI模型中的第三层)上进行分段。例如,对于TCP/IP网络,可把网络分成若干IP子网,各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接,利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。在实际应用过程中,通常采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制。
VLAN的实现
虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。
以太网从本质上基于广播机制,但应用了交换器和VLAN技术后,实际上转变为点到点通讯,除非设置了监听口,信息交换也不会存在监听和插入(改变)问题。
由以上运行机制带来的网络安全的好处是显而易见的:
信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。
通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。
但是,虚拟网技术也带来了新的安全问题:
执行虚拟网交换的设备越来越复杂,从而成为被攻击的对象。基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。基于MAC的VLAN不能防止MAC欺骗攻击。
采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此,VLAN的划分基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。
VLAN的划分方式的目的是保证系统的安全性。因此,可以按照系统的安全性来划分VLAN;可以将总部中的服务器系统单独划作一个VLAN,如数据库服务器、电子邮件服务器等。也可以按照机构的设置来划分VLAN,如将领导所在的网络单独作为一个Leader VLAN(LVLAN), 其他司局(或下级机构)分别作为一个VLAN,并且控制LVLAN与其他VLAN之间的单向信息流向,即允许LVLAN查看其他VLAN的相关信息,其他VLAN不能访问LVLAN的信息。VLAN之内的连接采用交换实现, VLAN与VLAN之间采用路由实现。由于路由控制的能力有限,不能实现LVLAN与其他VLAN之间的单向信息流动,需要在LVLAN与其他VLAN之间设置一个Gauntlet防火墙作为安全隔离设备,控制VLAN与VLAN之间的信息交流。
以下为关联文档:
提高网络连接的可靠性局域网间无线连面对项目实施地点存在的种种障碍,包括两个信息点之间地形复杂、有限的资金、对带宽的苛求等,能巧妙地制定网络搭建方案,用最少的设备完成几个独立局域网之间的互联互通,非无线网...
用Win2003路由实现局域网共享上网本校计算机中心机房共有计算机240台,已互连为局域网,希望访问校内资源时通过校园网接口,而访问外部资源时通过ADSL接口。解决Windows XP和Windows 2003都自带ADSL宽带拨号程...
六大技巧让局域网各主机互访无障碍关于局域网中不能互访的话题历来都是网管非常关心的,最近网友提出类似问题的也相当多,主要是Windows 98不能访问Windows XP,或Windows 2000、Windows XP不能访问Windows XP,下面...
局域网共享上网的方法这里介绍的局域网共享上网的方法,是使用Windows 2000 Professional自带的Inter共享完成。 安装好上网用的设备(如Modem,TA,xDSL类Modem等等)后,与上网设备直联的计算机在网络属性...
《网络基础学习之二》常见局域网拓扑及操作系统一、常见的局域网拓扑结构 网络中的计算机等设备要实现互联,就需要以一定的结构方式进行连接,这种连接方式就叫做"拓扑结构",通俗地讲这些网络设备如何连接在一起的。目前常见...
六大技巧让局域网内互访无障碍关于局域网中不能互访的话题历来都是网管非常关心的,最近网友提出类似问题的也相当多,主要是Windows98不能访问WindowsXP,或Windows2000、WindowsXP不能访问WindowsXP,下面就针...
无线局域网名词解析PCI插槽无线网卡:可以不需要电缆而使你的电脑和别的电脑在网络上通信。无线网卡与其他的网卡相似,不同的是,它通过无线电波而不是物理电缆收发数据。无线网卡为了扩大它们的有...
Cisco认证:别乱动!局域网IP地址就不让你改作为网络管理员,经常发现有的员工的电脑提示IP地址与其他人冲突。现场给他重新分配了一个IP地址,提示消失。可是过两天同样的问题又来了,总有人肆意修改IP地址,必须想个办法处理...
英语科普文选:LocalAreaNetwork局域网Local Area work There are two categories of works: local area works (LANs) and wide area works (WANs). Here I'd like to mainly talk about LAN. A LAN is a system...