构建局域网内部安全防护体系的八种方法

摘要 随着局域网内部计算机用户的不断增加，局域网安全面临的问题也由以前的只注重防范外网病毒、木马的入侵转变为同时应对来自局域网内外各种因素的挑战。本文叙述了采用八种方法尽可能消除来自局域网内部的安全威胁，构建可靠的安全防护体系。

关键词 局域网；内部；安全；防护体系

中图分类号TP39文献标识码A文章编号 1674-6708（2010）33-0244-01

随着计算机网络技术的飞速发展和社会各行业、各领域局域网应用的日益广泛，各企事业、团体的局域网规模迅猛扩展。一些单位由于管理不善、人员安全意识淡薄，局域网内部存在IP地址冲突频发，病毒、木马通过U盘、移动硬盘等在网内泛滥，信息泄密等问题，严重影响了网络的正常运行和信息的安全。如何有效应对来自内部的威胁，构建安全可靠的防护体系值得我们加以重视并认真思考。经过研究和总结，可以采取以下8种方法：

一是高度重视物理隔离、物理安全。对于网内非联网的计算机绝对禁止与外网相连，禁止使用外来U盘、移动硬盘、MP3等存储介质，尽量防止病毒、木马等轻易进入网内。此外，还要注重服务器、重要用户计算机的物理安全，除了关门上锁之外，还要专门给机箱配锁，避免硬盘被盗。这也是平常人们容易忽视的，攻击者常常可以简单地通过物理层面直接对服务器主机进行渗透操作，破解了管理者设下的重重关卡。

二利用交换机划分多个网内子网，控制病毒传播。利用交换机的访问控制列表，控制子网间的访问规则，控制病毒的传播，增加网络安全系数。

三是IP地址绑定。采用上网计算机IP地址与MAC地址唯一对应，内网没有空闲IP地址的方法，可以有效地防止IP地址引起的网络阻断和随意用个人笔记本电脑上内部局域网引起的病毒传播和数据泄密。

四是主机系统安全加固。首先要关闭危险服务，包括：关闭Netbios（139端口)；关闭445端口；关闭135端口；关闭Telnet服务；关闭Terminal Services服务；关闭Remote Registry服务；关闭Workstation服务等。其次要保护账户密码安全。要重命名Administrator和Guest账户。操作步骤如下：[开始]-[运行]-[gpedit.msc]-[Windows设置]-[安全设置]-[本地策略]-[安全选项]-[账户：重命名系统管理员账户]，同法重命名Guest账户。此外，还要删除多余账户，设置高强度密码等。再次，要安装360安全卫士等安全软件与本机自带防火墙相互协作，共同维护系统安全。

五是利用入侵检测系统查找内网病毒。利用入侵检测系统监测到的数据，分析、查找、判断内网中有无病毒，并及时采取有效措施。

六是利用病毒过滤网关保护服务器区域。网络防病毒过滤网关可以有效地拦截各类病毒，但由于所进行的大量数据处理会严重影响网络传输，因此不能将该设备置于网络边界处，而应将部署在服务器区域前面，对服务器区进行独立防护，避免服务器染毒后更快速地影响大面积访问的客户机。

七是安装网络版防病毒软件查杀病毒。网管人员要及时做好服务器的病毒库升级工作，并根据需要对所有网络主机同时进行杀毒，有效清除病毒的传播。

八是加强用户计算机管理，阻断病毒传播渠道。督促用户设置操作系统登陆八位以上混合密码，取消默认共享，安装操作系统最新漏洞补丁、数据库漏洞补丁、各类应用软件漏洞补丁以及安装个人防火墙。为避免使用的移动存储介质在不同电脑间使用传播病毒，电脑最好还好安装一些小的监控程序，如USB病毒监控、木马监控、网页监控等等。

参考文献

[1]王秀和，杨明.计算机网络安全技术浅析[J].中国教育技术设备，2007(5).

[2]赵晓军，刘子菲.计算机病毒分析与防范[J].长春理工大学学报，自然科学版，2007(9).