局域网环境下若干安全问题及对策网络毕(11)

　　对局域网的中心交换机进行网络分段后，以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据时，两台机器之间的数据包（称为单播包Unicast Packet）还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是:用户TELNET到一台主机上，由于TELNET程序本身缺乏加密功能，用户所键入的每一个字符（包括用户名、密码等重要信息），都将被明文发送，这就给黑客提供了机会。因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法侦听。当然，交换式集线器只能控制单播包而无法控制广播包（Broadcast Packet）和多播包（Multicast Packet）。所幸的是，广播包和多播包内的关键信息，要远远少于单播包。

　　6.4 实施IP/MAC 绑定

　　很多网关软件实施流量过滤时都是基于IP或MAC地址，对控制普通用户起到了很好的效果，但对于高级用户就显得无能为力了，因为不管是IP或是MAC地址都可以随意修改。要实施基于IP或MAC地址过滤的访问控制，就必须进行IP/MAC地址的绑定，禁止用户对IP或MAC的修改。首先通过交换机实施用户与交换机端口的MAC绑定，再通过服务器网络实施IP/MAC绑定，这样用户既不能改网卡的MAC地址，也不能改IP地址。通过IP/MAC绑定后，再实施流量过滤就显得有效多了。

　　7.

　　网络安全技术和病毒防护是一个涉及多方面的系统工程，在实际工作中既需要综合运用以上方法，还要将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，又需要规范和创建必要的安全管理模式、规章制度来约束人们的行为。因此，局域网安全不是一个单纯的技术问题，它涉及整个网络安全系统，包括防范技术、规范管理等多方面因素。只要我们正视网络的脆弱性和潜在威胁，不断健全网络的相关法规，提高网络安全防范的技术是否被授权，从而阻止对信息资源的非法用户使用网络系统时所进行的所有活动的水平，才能有力地保障网络安全。

　　[①].高传善，钱松荣.专注.数据通信与网络[M].高等出版社,2001:8-9

　　[②].邓亚平. 计算机网络安全[M].人民邮电出版社, 2004:1-10.

　　[③].李成大,张京.计算机信息安全[M].人民邮电出版社，2004:72-117