如何在局域網(wǎng)中保護(hù)自我，不僅僅是管理員也是大家要掌握技術(shù)。下面由學(xué)習(xí)啦小編給你做出詳細(xì)的局域網(wǎng)內(nèi)如何保證局域網(wǎng)的安全介紹!希望對(duì)你有幫助!

　　局域網(wǎng)內(nèi)如何保證局域網(wǎng)的安全介紹：

　　保證局域網(wǎng)安全一、防掃描，讓攻擊者暈頭轉(zhuǎn)向

　　幾乎所有的入侵都是從掃描開始的，攻擊者首先判斷目標(biāo)主機(jī)是否存在，進(jìn)而探測(cè)其開放的端口和存在的漏洞，然后根據(jù)掃描結(jié)果采取相應(yīng)的攻擊手段實(shí)施攻擊。因此，防掃描是安全防護(hù)的第一步。防掃描做得好，就會(huì)讓惡意攻擊失去了目標(biāo)。

　　保護(hù)局域網(wǎng)安全1、工具和原理

　　(1).掃描工具

　　攻擊者采用的掃描手段是很多的，可以使用Ping、網(wǎng)絡(luò)鄰居、SuperScan、NMAP、NC、S掃描器等工具對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行掃描。其中SuperScan的掃描速度非?？欤鳱MAP的掃描非常的專業(yè)，不但誤報(bào)很少，而且還可以掃描到很多的信息，包括系統(tǒng)漏洞、共享密碼、開啟服務(wù)等等。

　　(2).防范原理

　　要針對(duì)這些掃描進(jìn)行防范，首先要禁止ICMP的回應(yīng)，當(dāng)對(duì)方進(jìn)行掃描的時(shí)候，由于無法得到ICMP的回應(yīng)，掃描器會(huì)誤認(rèn)為主機(jī)不存在，從而達(dá)到保護(hù)自己的目的。另外，利用蜜罐技術(shù)進(jìn)行掃描欺騙也是不錯(cuò)的方法。

　　保護(hù)局域網(wǎng)安全2、防范措施

　　(1).關(guān)閉端口

　　關(guān)閉閑置和有潛在危險(xiǎn)的端口。這個(gè)方法比較被動(dòng)，它的本質(zhì)是將除了用戶需要用到的正常計(jì)算機(jī)端口之外的其他端口都關(guān)閉掉。因?yàn)榫秃诳投?，所有的端口都可能成為攻擊的目?biāo)?？梢哉f，計(jì)算機(jī)的所有對(duì)外通訊的端口都存在潛在的危險(xiǎn)，而一些系統(tǒng)必要的通訊端口，如訪問網(wǎng)頁(yè)需要的HTTP(80端口);QQ(4000端口)等不能被關(guān)閉。

　　在Windows版本的服務(wù)器系統(tǒng)中要關(guān)閉掉一些閑置端口是比較方便的，可以采用“定向關(guān)閉指定服務(wù)的端口”(黑名單)和“只開放允許端口的方式”(白名單)進(jìn)行設(shè)置。計(jì)算機(jī)的一些網(wǎng)絡(luò)服務(wù)會(huì)有系統(tǒng)分配默認(rèn)的端口，將一些閑置的服務(wù)關(guān)閉掉，其對(duì)應(yīng)的端口也會(huì)被關(guān)閉了。

　　進(jìn)入“控制面板”→“管理工具”→“服務(wù)”項(xiàng)內(nèi)，關(guān)閉掉計(jì)算機(jī)的一些沒有使用的服務(wù)(如FTP服務(wù)、DNS服務(wù)、IIS Admin服務(wù)等等)，它們對(duì)應(yīng)的端口也被停用了。至于“只開放允許端口的方式”，可以利用系統(tǒng)的“TCP/IP篩選”功能實(shí)現(xiàn)，設(shè)置的時(shí)候，“只允許”系統(tǒng)的一些基本網(wǎng)絡(luò)通訊需要的端口即可。

　　(2).屏蔽端口

　　檢查各端口，有端口掃描的癥狀時(shí)，立即屏蔽該端口。這種預(yù)防端口掃描的方式通過用戶自己手工是不可能完成的，或者說完成起來相當(dāng)困難，需要借助軟件。這些軟件就是我們常用的網(wǎng)絡(luò)防火墻。

　　防火墻的工作原理是:首先檢查每個(gè)到達(dá)你的電腦的數(shù)據(jù)包，在這個(gè)包被你機(jī)上運(yùn)行的任何軟件看到之前，防火墻有完全的否決權(quán)，可以禁止你的電腦接收Internet上的任何東西。當(dāng)?shù)谝粋€(gè)請(qǐng)求建立連接的包被你的電腦回應(yīng)后，一個(gè)“TCP/IP端口”被打開;端口掃描時(shí)，對(duì)方計(jì)算機(jī)不斷和本地計(jì)算機(jī)建立連接，并逐漸打開各個(gè)服務(wù)所對(duì)應(yīng)的“TCP/IP端口”及閑置端口。防火墻經(jīng)過自帶的攔截規(guī)則判斷，就能夠知道對(duì)方是否正進(jìn)行端口掃描，并攔截掉對(duì)方發(fā)送過來的所有掃描需要的數(shù)據(jù)包。

　　現(xiàn)在市面上幾乎所有網(wǎng)絡(luò)防火墻都能夠抵御端口掃描，在默認(rèn)安裝后，應(yīng)該檢查一些防火墻所攔截的端口掃描規(guī)則是否被選中，否則它會(huì)放行端口掃描，而只是在日志中留下信息而已。

　　保護(hù)局域網(wǎng)安全3、防范工具

　　(1).系統(tǒng)防火墻

　　現(xiàn)在很多的防火墻都有禁止ICMP的設(shè)置，而Windows XP SP2自帶的防火墻也包括該功能。啟用這項(xiàng)功能的設(shè)置非常簡(jiǎn)單：執(zhí)行“控制面板”→“Windows防火墻”，點(diǎn)擊“高級(jí)”選項(xiàng)卡，選擇系統(tǒng)中已經(jīng)建立的Internet連接方式(寬帶連接)，點(diǎn)擊旁邊的“設(shè)置”按鈕打開“高級(jí)設(shè)置”窗口，點(diǎn)擊“ICMP”選項(xiàng)卡，確認(rèn)沒有勾選“允許傳入的回顯請(qǐng)求”，最后點(diǎn)擊“確定”即可。

　　另外，通過其他專業(yè)的防火墻軟件不但可以攔截來自局域網(wǎng)的各種掃描入侵，從軟件的日志中，我們還可以查看到數(shù)據(jù)包的來源和入侵方式等。

　　(2).第三方防火墻

　　在企業(yè)局域網(wǎng)中部署第三方的防火墻，這些防火墻都自帶了一些默認(rèn)的“規(guī)則”，可以非常方便地應(yīng)用或者取消應(yīng)用這些規(guī)則。當(dāng)然也可以根據(jù)具體需要?jiǎng)?chuàng)建相應(yīng)的防火墻規(guī)則，這樣可以比較有效地阻止攻擊者的惡意掃描。

　　比如以天網(wǎng)防火墻為例：首先運(yùn)行天網(wǎng)防火墻，點(diǎn)擊操作界面中的“IP規(guī)則管理”按鈕，彈出“自定義IP規(guī)則”窗口，去掉“允許局域網(wǎng)的機(jī)器用ping命令探測(cè)”選項(xiàng)，最后點(diǎn)擊“保存規(guī)則”按鈕進(jìn)行保存即可。 例如創(chuàng)建一條防止Ineternet中的主機(jī)ping的規(guī)則，可以點(diǎn)擊“增加規(guī)則”按鈕，輸入如圖的相關(guān)參數(shù)就創(chuàng)建成功，然后勾選并保存該規(guī)則就可以防止網(wǎng)絡(luò)中的主機(jī)惡意掃描局域網(wǎng)了。

　　(3).蜜罐技術(shù)

　　蜜罐工具很多，其原理大同小異，它會(huì)虛擬一臺(tái)有“缺陷”的服務(wù)器，等著惡意攻擊者上鉤。在黑客看來被掃描的主機(jī)似乎打開了相應(yīng)的端口，但是卻無法實(shí)施工具，從而保護(hù)了真正的服務(wù)器，這也可以說是比較另類的防掃描手法。

　　例如，Defnet HoneyPot“蜜罐”虛擬系統(tǒng)，通過Defnet HoneyPot虛擬出來的系統(tǒng)和真正的系統(tǒng)看起來沒有什么兩樣，但它是為惡意攻擊者布置的陷阱。只不過，這個(gè)陷阱欺騙惡意攻擊者，能夠記錄他都執(zhí)行了那些命令，進(jìn)行了哪些操作，使用了哪些惡意攻擊工具。通過陷阱的記錄，可以了解攻擊者的習(xí)慣，掌握足夠的攻擊證據(jù)，甚至反擊攻擊者。利用該工具部署一個(gè)蜜罐系統(tǒng)非常簡(jiǎn)單，打開軟件，輸入相應(yīng)的參數(shù)即可。然后它會(huì)隨機(jī)啟動(dòng)，如果有惡意的掃描它都會(huì)記錄下來如圖。

　　現(xiàn)在的黑客工具非常普及其操作也越來越傻瓜化，入侵門檻比較低。一個(gè)具有初、中級(jí)電腦水平的攻擊者利用掃描器隨意掃描，就能夠完成一次入侵。做好防掃描措施，就能夠在很大程度上杜絕來自這些一般入侵者的騷擾，而這也是網(wǎng)絡(luò)入侵的大多數(shù)。

　　保證局域網(wǎng)安全二、防溢出，讓攻擊者無功而返

　　溢出是操作系統(tǒng)、應(yīng)用軟件永遠(yuǎn)的痛!在駭客頻頻攻擊、系統(tǒng)漏洞層出不窮的今天，任何人都不能保證操作系統(tǒng)系統(tǒng)、應(yīng)用程序不被溢出。既然溢出似乎是必然的，而且利用溢出攻擊的門檻比較低，利用工具有一定電腦基礎(chǔ)的人都可以完成一次溢出。這樣看來，我們的系統(tǒng)就處于隨時(shí)被溢出的危險(xiǎn)中，所以防溢出也是我們必須要做的工作。

　　保護(hù)局域網(wǎng)安全1、全面出擊，嚴(yán)防死守

　　(1).必須打齊補(bǔ)丁

　　盡最大的可能性將系統(tǒng)的漏洞補(bǔ)丁都打完;Microsoft Windows Server系列的服務(wù)器系統(tǒng)可以將自動(dòng)更新服務(wù)打開，然后讓服務(wù)器在指定的某個(gè)時(shí)間段內(nèi)自動(dòng)連接到Microsoft Update網(wǎng)站進(jìn)行補(bǔ)丁的更新。如果服務(wù)器為了安全起見禁止了對(duì)公網(wǎng)外部的連接的話，可以用Microsoft WSUS服務(wù)在內(nèi)網(wǎng)進(jìn)行升級(jí)。

　　(2).服務(wù)最小化

　　最少的服務(wù)等于最大的安全，停掉一切不需要的系統(tǒng)服務(wù)以及應(yīng)用程序，最大限度地降底服務(wù)器的被攻擊系數(shù)。比如前陣子的NDS溢出，就導(dǎo)致很多服務(wù)器掛掉了。其實(shí)如果WEB類服務(wù)器根本沒有用到DNS服務(wù)時(shí)，大可以把DNS服務(wù)停掉，這樣DNS溢出就對(duì)你們的服務(wù)器不構(gòu)成任何威脅了。

　　(3).端口過濾

　　啟動(dòng)TCP/IP端口的過濾，僅打開服務(wù)器常用的TCP如21、80、25、110、3389等端口;如果安全要求級(jí)別高一點(diǎn)可以將UDP端口關(guān)閉，當(dāng)然如果這樣之后缺陷就是如在服務(wù)器上連外部就不方便連接了，這里建議大家用IPSec來封UDP。在協(xié)議篩選中只允許TCP協(xié)議、UDP協(xié)議 以及RDP協(xié)議等必需用協(xié)議即可;其它無用均不開放。

　　(4).系統(tǒng)防火墻

　　啟用IPSec策略，為服務(wù)器的連接進(jìn)行安全認(rèn)證，給服務(wù)器加上雙保險(xiǎn)。封掉一些危險(xiǎn)的端口，諸如：135 145 139 445 以及UDP對(duì)外連接之類、以及對(duì)通讀進(jìn)行加密與只與有信任關(guān)系的IP或者網(wǎng)絡(luò)進(jìn)行通訊等等。通過IPSec禁止UDP或者不常用TCP端口的對(duì)外訪問就可以非常有效地防反彈類木馬。

　　(5).系統(tǒng)命令防御

　　刪除、移動(dòng)、更名或者用訪問控制表列Access Control Lists (ACLs)控制關(guān)鍵系統(tǒng)文件、命令及文件夾：攻擊者通常在溢出得到shell后，來用諸如net.exe、net1.exe、ipconfig.exe、user.exe、query.exe、 regedit.exe、regsvr32.exe 來達(dá)到進(jìn)一步控制服務(wù)器的目的。如：加賬號(hào)、克隆管理員了等等。我們可以將這些命令程序刪除或者改名。

　　訪問控制表列ACLS控制找到%windir%system32下找到cmd.exe、cmd32.exe、net.exe、net1.exe、ipconfig.exe、tftp.exe、ftp.exe、user.exe、reg.exe、regedit.exe、regedt32.exe、regsvr32.exe這些黑客常用的文件，在“屬性”→“安全”中對(duì)他們進(jìn)行訪問的ACLs用戶進(jìn)行定義，諸如只給administrator有權(quán)訪問，如果需要防范一些溢出攻擊、以及溢出成功后對(duì)這些文件的非法利用;那么我們只需要將system用戶在ACLs中進(jìn)行拒絕訪問即可。

　　如果你覺得在GUI下面太麻煩的話，你也可以用系統(tǒng)命令的CACLS.EXE來對(duì)這些.exe文件的Acls進(jìn)行編輯與修改，或者說將他寫成一個(gè).bat批處理 文件來執(zhí)行以及對(duì)這些命令進(jìn)行修改。對(duì)磁盤如C、D、E、F等進(jìn)行安全的ACLS設(shè)置從整體安全上考慮的話也是很有必要的，另外特別要對(duì)Windows、WinntSystem、Document and Setting等文件夾。

　　(6).組策略配置

　　想禁用“cmd.exe”，執(zhí)行“開始→運(yùn)行”輸入gpedit.msc打開組策略，選擇“用戶配置→管理模板→系統(tǒng)”，把“阻止訪問命令提示符”設(shè)為“啟用”。同樣的可以通過組策略禁止其它比較危險(xiǎn)的應(yīng)用程序。

　　(7).服務(wù)降級(jí)

　　對(duì)一些以System權(quán)限運(yùn)行的系統(tǒng)服務(wù)進(jìn)行降級(jí)處理。比如：將Serv-U、Imail、IIS、Php、Mssql、Mysql等一系列以 System權(quán)限運(yùn)行的服務(wù)或者應(yīng)用程序換成其它administrators成員甚至users權(quán)限運(yùn)行，這樣就會(huì)安全得多了。但前提是需要對(duì)這些基本運(yùn)行狀態(tài)、調(diào)用API等相關(guān)情況較為了解。

　　其實(shí)，關(guān)于防止如Overflow溢出類攻擊的辦法除了用上述的幾點(diǎn)以外，還有很多種辦法：比如通過注冊(cè)表進(jìn)行建立相應(yīng)的鍵值，進(jìn)行設(shè)置;寫防護(hù)過濾程序用DLL方式加載windows到相關(guān)的SHell以及動(dòng)態(tài)鏈接程序之中這類。當(dāng)然自己寫代碼來進(jìn)行驗(yàn)證加密就需要有相關(guān)深厚的Win32編程基礎(chǔ)了，以及對(duì)Shellcode較有研究。

　　保證局域網(wǎng)安全三、防竊密，讓惡意用戶無可奈何

　　在資源比較緊缺的企事業(yè)單位中多人共用一臺(tái)電腦是非常普遍的，或者在某些企業(yè)中有那么一些公共電腦供大家使用。既然多人使用，存儲(chǔ)在這些電腦上的公共資料以及個(gè)人資料就沒有什么安全性可言，極易造成信息的泄密，因此如何安全部署這些公用電腦是擺在管理員面前的一個(gè)必須要解決的問題。

　　保護(hù)局域網(wǎng)安全1、操作系統(tǒng)很重要

　　管理員要實(shí)施對(duì)這些公共電腦的權(quán)限控制，就必須得考慮采用什么操作系統(tǒng)。由于Server版系統(tǒng)的安全性遠(yuǎn)遠(yuǎn)高于個(gè)人版系統(tǒng)，一般在這樣的電腦上安裝Windows Server 2003或者Windows Server 2008這樣的系統(tǒng)。另外，要設(shè)置用戶權(quán)限系統(tǒng)分區(qū)格式必須是NTFS格式。

　　保護(hù)局域網(wǎng)安全2、嚴(yán)密部署

　　(1).每個(gè)用戶各歸其所

　　管理員制定安全策略，為每個(gè)用戶在公共電腦上建立私人文件夾僅供個(gè)人使用，另外建一個(gè)共享文件夾讓大家使用。具體步驟是：

　　在文件公共電腦上建立NTFS分區(qū)，然后為每個(gè)用戶創(chuàng)建一個(gè)賬號(hào)，再創(chuàng)建一個(gè)組包含所有的用戶。為每個(gè)用戶創(chuàng)建一個(gè)共享文件夾，在設(shè)置共享權(quán)限的時(shí)候去掉Everyone組，將對(duì)應(yīng)的個(gè)人用戶賬號(hào)添加進(jìn)來，然后根據(jù)需要設(shè)置權(quán)限。為所有的人創(chuàng)建一個(gè)共享文件夾，再在設(shè)置共享權(quán)限的時(shí)候去掉Everyone組，將第一步中創(chuàng)建的包含所有用戶的組添加進(jìn)來如圖1，然后根據(jù)需要設(shè)置權(quán)限即可。

　　(2).防止惡意刪除

　　公共文件夾里的內(nèi)容是只許大家看的，但有些惡意用戶會(huì)刪除其中的文件，因此還要做好防刪除措施。操作如下：

　　右鍵點(diǎn)擊公共文件夾“屬性→安全→高級(jí)”，取消“允許父項(xiàng)的繼承權(quán)限傳播到到該對(duì)象和所有子對(duì)象”選項(xiàng)，在彈出的菜單中選擇“刪除”操作，點(diǎn)擊“確定”。添加需要設(shè)置的帳號(hào)，只賦予該帳號(hào)“遍歷文件夾/運(yùn)行文件 ”、“列出文件夾/讀取數(shù)據(jù) ”、“讀取屬性 ”、“讀取擴(kuò)展屬性 ”、“創(chuàng)建文件/寫入數(shù)據(jù) ”看到的文章源自活動(dòng)目錄、“創(chuàng)建文件夾/附加數(shù)據(jù) ”、“寫入屬性 ”、“寫入擴(kuò)展屬性”的權(quán)限。 拒絕該帳號(hào)“刪除子文件夾及文件”和“刪除”權(quán)限。選中“用在此顯示的可以應(yīng)用到子對(duì)象的項(xiàng)目代替所有子對(duì)象的權(quán)限項(xiàng)目”，點(diǎn)擊“確定”。

　　關(guān)于局域網(wǎng)中公共電腦的安全部署因?yàn)榫唧w的安全要求、應(yīng)用需求等不同會(huì)有所不同，上面的兩個(gè)策略是最常見的。在實(shí)際應(yīng)用中，關(guān)鍵是制定安全策略，然后利用技術(shù)去實(shí)現(xiàn)。

　　總結(jié)：防掃描、防溢出、防竊密這是局域網(wǎng)安全安防的重點(diǎn)，但不是全部。另外，安全防護(hù)不僅僅是技術(shù)，還是意識(shí)。只有大家提高自身的安全意識(shí)，然后利用相應(yīng)的技術(shù)才能最大程度地保證網(wǎng)絡(luò)安全。
看過“局域網(wǎng)內(nèi)如何保證局域網(wǎng)的安全 ”人還看了：

1.怎樣保證企業(yè)內(nèi)網(wǎng)的安全

2.局域網(wǎng)安全策略

3.局域網(wǎng)入侵如何做到的

4.局域網(wǎng)的共享和安全

5.關(guān)于局域網(wǎng)環(huán)境下若干安全問題及對(duì)策的介紹