网络安全
内网的安全管理
马蓉畔马素翠
（忻州师范学院计算机科学与技术系山西忻州034000)
数字技术与应用
摘要：本文是在局域网现有的网络设备的基础上，从技术和管理两方面看手研究，形成一套应对内网安全的管理方法。主要内客包括三个方面；硬件设备（路由器，防火填，入使检测系统等)的正确使用，制定行而有效的安全策喀以及严格的
内网安全管理制度。论文涵益了内网安全所需要的"防，测，控，管"等多方面的基础理论和实施技术。关键词：局域网内网安全
安全策略管理措施
中图分类号：TP311.5 1.引言
文献标识码：A
文章编号：1007-9416(2011)03-0127-02
P协议中并没有一个用于验证口令或者一次
随着Intermet的飞速发展，局城网已经成为很多行业不可缺少的组成部分。在享受 Intemet快捷方便的同时，内网安全也面临着严重的威胁。为了确实有效的保护内网的安全，建立一套完整的内网安全管理体系显得十分重要。
2、内网面临的安全问题
内网，通俗的讲就是局域网(LocalArea Network)，内网的安全不仅面临着来自网外的病毒侵袭和黑客攻击，更多的问题是来自内部人员的违规操作，蓄意破坏或窃取信息。要做好内网的安全管理，首先在技术上，基础的硬件设施是必不可少的保障，安装边界路由器和防火墙，再配合使用入侵检测系统，经过正确的配制基本可以抵御来自网外的攻击。同时，制定合理的安全策略和严格的管理制度，从网络资源，设备资源，客户签资源和应用资源等多方对内部网络加以管理和审计，才能达到最佳的管理效果。
3、应对内网安全挑战的防御措施在技术上，应首先从边界着手，通过正
确的使用边界路由器，防火增，人侵检测系统等设施，再配合其它技术手段，可以基本防御来自外网对内网的安全威胁。
3.1合理设置边界路由器
一般来说，内网都有一个主要的接人点。这就是通常与专用防火墙一起使用的“边界路由器"，经过恰当设置，边界路由器能够把几乎所有的非法人侵挡在网络之外。
3.1.1修改默认的口含
设置一个安全保密性较强的口今，可以防止边界路由器被网外非法用户破解，从而增强对外部使用者的管理。
3.1.2关闭路由器的HTTP设置
HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而，HTT
万方数据
性口令的有效规定。因此关闭路由器的HT TP设置可以增强内网的安全性。
3.1.3封锁ICMPPING请求
PING的主要目的是识别目前正在使用的主机。因此,PING通常用于更大规模的协同性攻击之前的侦察活动，通过取消远程用户接收PING请求的应答能力，就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的非法活动。这样做实际上并不能保护网络不受攻击，但是，这将使内网避免成为一个攻击目标。
3.1.4关闭IP源路由
IP协议允许一台主机指定数据包通过网络的路由，而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是，这种用途很少应用。这项功能最常用的用途是为了侦察目的对网络进行镜像，或者用于攻击者在专用网络中导找一个后门。除非指定这项功能只能用于诊断故障，否则应该关闭这个功能。
3.1.5确定数据包过滤的需求
在这种规定中，除了网络功能需要的之外，所有的端口和IP地址都必须封锁。例如，用于WEB通信的端口80和用于SMTP的11 0/25端口允许来自指定地址的访问，而所有其它端口和地址都可以关闭。
3.1.6建立准许进人和外出的地址过滤政策
在边界路由器上建立政策以便根据IP 地址过滤进出网络的违反安全规定的行为。除了特殊的不同寻常的案例之外，所有试图从网络内部访问互联网的IP地址都应该有一个分配给的局域网的地址，保证只有在局城网地址范围内的主机才可外出。来自互联网外部的通信的源地址应该不是内部网络的一部分。因此，应该封锁入网的非法地址。
最后，拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该
允许通过这台路由器。 3.1.7审阅安全记录
审阅路由器记录(通过其内置的防火墙功能)是查出安全事件的最有效的方法，无论是查出正在实施的攻击还是未来攻击的征候都非常有效。利用出网的记录，还能够查出试图建立外部连接的特洛伊木马程序和间谋软件程序。
3.2安装防火墙
防火墙可以限制他人进人内部网络；过滤掉不安全的服务和非法用户，防止入侵者接近用户的防御设施，限定人们访间特殊站点，为监视内网安全提供方便。
设置防火墙的主要功能就是控制对受保护网络的非法访问，它通过监视、限制，更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，用以防范外对内、内对外的非法访间。
3.3安装入侵检测系统
人侵监测系统处于防火境之后对网络活动进行实时检测。许多情况下，由于可以记录和禁止网络活动，所以入侵监测系统是防火墙的延续。它们可以与防火墙和路由器配合工作。例如，人侵监测系统可以重新配暨来禁止从防火增外部进入的恶意流量。人侵监测系统是独立于防火墙工作的。
入侵监测系统扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警。网络扫描器检测主机上先前设置的漏洞，而人侵监测系统监视和记录网络流量。如果在同一台主机上运行人侵监测系统和扫描器的话，配置合理的入侵监测系统会发出许多报警。
通过安装入侵检测系统，可以提升防火墙的性能，达到监控网络，执行立即拦截动作以及分析过滤封包和内容的动作，当窃取
（下转129页）
Digital technology and application数字技术与应用
127