局域網(wǎng)的安全問題經(jīng)常是面對來自Internet的攻擊，因此你必須時刻防范這些惡意攻擊，關(guān)注你局域網(wǎng)的計算機系統(tǒng)安全，那么你知道局域網(wǎng)面對攻擊的安全策略嗎?下面是學習啦小編整理的一些關(guān)于局域網(wǎng)面對攻擊的安全策略的相關(guān)資料，供你參考。

　　下面兩個方法從實踐上來說被認為是非常有用的防范手段：

　　1.包過濾

　　圖1 七層模型易遭受的安全攻擊

　　在網(wǎng)絡(luò)層檢查通信數(shù)據(jù)，觀察它的源地址和目的地址。過濾器可以禁止特定的地址或地址范圍傳出或進入，也可以禁止令人懷疑的地址模式。

　　2.防火墻

　　圖2 包過濾器的配置

　　在應用層檢查通信數(shù)據(jù)，檢查消息地址中的端口，或檢查特定應用的消息內(nèi)容。測試失敗的任何通信數(shù)據(jù)將被拒絕。

　　一、路由包過濾

　　TCP/IP地址由機器地址和標識程序處理消息的端口數(shù)字組成。這個地址/端口組合信息對每個TCP/IP消息都是有效的。包過濾與防火墻相比處理的簡單一些，它僅是觀察TCP/IP地址，而不是端口數(shù)字或消息內(nèi)容。不過包過濾提供給你的是很好的網(wǎng)絡(luò)安全工具。

　　包過濾器通常使用的是自頂向下的操作原則，下面是它使用的一個典型規(guī)則：

　　●允許所有傳出通信數(shù)據(jù)通過;

　　●拒絕建立新的傳入連接;

　　●其它的數(shù)據(jù)可以全部被接受。

　　通過這樣的使用規(guī)則，系統(tǒng)的安全性提高了許多。因為它拒絕了Internet上主動與你的計算機建立新連接的請求。它阻止使用TCP的通信數(shù)據(jù)進入，從而杜絕了對共享驅(qū)動器和文件的未授權(quán)訪問。

　　過濾器通常的應用是配置在連接你的計算機和Internet的路由器上，如圖2所示。在你的局域網(wǎng)和Internet之間放置過濾器后，就可以保證局域網(wǎng)與Internet所有的通信數(shù)據(jù)都要經(jīng)過過濾器。

　　如果包過濾軟件有能力檢查源地址子網(wǎng)，從子網(wǎng)物理端口傳遞消息到路由器，你就可以制定規(guī)則來避免虛假的TCP/IP地址，就象圖2所示的那樣。攻擊者欺騙的方法就是把來自Internet的消息偽裝成來自你局域網(wǎng)的消息。包過濾通過拒收帶有不可能源地址的消息來防御攻擊者的攻擊。例如，假定你在一個裝有Linux的機器上安裝軟件，讓它作為一個Windows網(wǎng)絡(luò)文件服務器，你可以配置Linux讓它拒收所有來自你的子網(wǎng)以外的通信數(shù)據(jù)，阻止Internet上的機器看到這個文件服務器。如果攻擊者假裝是你內(nèi)部的機器，用過濾器就可以阻止攻擊者的攻擊。

　　包過濾雖然對網(wǎng)絡(luò)的安全防范能起到很好的作用，但包過濾也并不是萬能的。它們一般不能防御使用UDP協(xié)議的攻擊，因為過濾器不能拒收開放的消息。包過濾還不能防御低層攻擊，象PING方式的攻擊。

　　二、防火墻

　　使用防火墻軟件可以在一定程度上控制局域網(wǎng)和Internet之間傳遞的數(shù)據(jù)。圖3所示是一個TCP/IP數(shù)據(jù)包報頭示意圖，從它上面可以清楚地看到包過濾和防火墻工作原理的不同之處。防火墻不但檢查了包過濾檢查內(nèi)容的所有部分(TCP/IP的源地址和目的地址)，還檢查了源/目的端口數(shù)字和包的內(nèi)容。

　　圖3 包過濾器和防火墻的信息源

　　端口和消息內(nèi)容這些信息使防火墻比包過濾有更強的防范能力，因為這些信息使防火墻控制特定進/出的主機地址。防火墻的功能有以下幾個方面：

　　●允許或禁止特定的應用服務，例如：FTP或Web頁面服務;

　　●允許或禁止訪問基于被傳遞的信息內(nèi)容的服務。

　　防火墻最直接的實施就是使用圖2所示的結(jié)構(gòu)，僅把局域網(wǎng)和ISP之間的包過濾器換成防火墻就可以了。這是一個防火墻的最安全的應用，因為它保護了防火墻后面的所有計算機。

　　圖4 防火墻中使用DMZ

　　如果我們把圖2改為圖4所示的結(jié)構(gòu)，就可以很好地解決這個問題。圖4的結(jié)構(gòu)中有3個端口。第三個端口連接的是另一個局域網(wǎng)，通常叫做DMZ(非軍事區(qū))。DMZ中的計算機與安全局域網(wǎng)中的計算機相比安全性要差一些，但是這些計算機可以接受來自Internet的訪問。你可以把Web和FTP服務器放在DMZ，從而可以保護其它的計算機。防火墻上的規(guī)則設(shè)定為阻止進入安全局域網(wǎng)的通信數(shù)據(jù)，僅允許傳出連接的建立。

　　如果你想增強DMZ局域網(wǎng)的安全性，可以使用過濾器，限制局域網(wǎng)中服務器使用的端口，禁止那些來自攻擊站點的訪問。

　　為了安全還可以給你的局域網(wǎng)分段，每段設(shè)置一個防火墻，每個防火墻使用不同的安全規(guī)則。需要記住的一點是，防火墻本身并沒有保障安全的能力，你需要定期的檢查防火墻對可疑事件做出的日志記錄，還需要去發(fā)現(xiàn)和使用軟件的安全補丁。

　　如果你使用Windows 98第二版的Internet共享連接功能，讓你的一臺計算機通過Modem把局域網(wǎng)連接上Internet。在這種情況下，你的網(wǎng)絡(luò)是很不安全的，仍需要改善網(wǎng)絡(luò)的安全性。最大的威脅就是你的電腦直接連接在了Internet上，你應該直接在這臺電腦上安裝包過濾器或防火墻產(chǎn)品，或讓你的ISP安裝包過濾器或防火墻來保護你的訪問。

　　看過文章“局域網(wǎng)面對攻擊的安全策略”的人還看了：

　　1.局域網(wǎng)安全策略

　　2.怎么建立局域網(wǎng)

　　3.如何簡單設(shè)置一個局域網(wǎng)

　　4.局域網(wǎng)共享設(shè)置 詳細圖文設(shè)置教程

　　5.如何進行局域網(wǎng)共享

　　6.如何實現(xiàn)局域網(wǎng)內(nèi)兩臺電腦資源共享

　　7.如何搭建30臺電腦的局域網(wǎng)

　　8.局域網(wǎng)的定義

　　9.局域網(wǎng)入侵如何做到的

　　10.如何創(chuàng)建局域網(wǎng)