第一篇：局域網安全

局域網安全

目前的局域網基本上都采用以廣播為技術基礎的以太網，任何兩個節點之間的通信數據包，不僅為這兩個節點的網卡所接收，也同時為處在同一以太網上的任何一個節點的網卡所截取。因此，黑客只要接入以太網上的任一節點進行偵聽，就可以捕獲發生在這個以太網上的所有數據包，對其進行解包分析，從而竊取關鍵信息，這就是以太網所固有的安全隱患。

事實上，Internet上許多免費的黑客工具，如SATAN、ISS、NETCAT等等，都把以太網偵聽作為其最基本的手段。

當前，局域網安全的解決辦法有以下幾種：

網絡分段通常被認為是控制網絡廣播風暴的一種基本手段，但其實也是保證網絡安全的一項重要措施。其目的就是將非法用戶與敏感的網絡資源相互隔離，從而防止可能的非法偵聽，網絡分段可分為物理分段和邏輯分段兩種方式。

目前，海關的局域網大多采用以交換機為中心、路由器為邊界的網絡格局，應重點挖掘中心交換機的訪問控制功能和三層交換功能，綜合應用物理分段與邏輯分段兩種方法，來實現對局域網的安全控制。例如：在海關系統中普遍使用的DEC MultiSwitch 900的入侵檢測功能，其實就是一種基于MAC地址的訪問控制，也就是上述的基于數據鏈路層的物理分段。

2．以交換式集線器代替共享式集線器

對局域網的中心交換機進行網絡分段后，以太網偵聽的危險仍然存在。這是因為網絡最終用戶的接入往往是通過分支集線器而不是中心交換機，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當用戶與主機進行數據通信時，兩臺機器之間的數據包（稱為單播包Unicast Packet）還是會被同一臺集線器上的其他用戶所偵聽。一種很危險的情況是：用戶TELNET到一臺主機上，由于TELNET程序本身缺乏加密功能，用戶所鍵入的每一個字符（包括用戶名、密碼等重要信息），都將被明文發送，這就給黑客提供了機會。

因此，應該以交換式集線器代替共享式集線器，使單播包僅在兩個節點之間傳送，從而防止非法偵聽。當然，交換式集線器只能控制單播包而無法控制廣播包（Broadcast Packet）和多播包（Multicast Packet）。所幸的是，廣播包和多播包內的關鍵信息，要遠遠少于單播包。

3．VLAN的劃分

為了克服以太網的廣播問題，除了上述方法外，還可以運用VLAN（虛擬局域網）技術，將以太網通信變為點到點通信，防止大部分基于網絡偵聽的入侵。

目前的VLAN技術主要有三種：基于交換機端口的VLAN、基于節點MAC地址的VLAN和基于應用協議的VLAN。基于端口的VLAN雖然稍欠靈活，但卻比較成熟，在實際應用中效果顯著，廣受歡迎?；贛AC地址的VLAN為移動計算提供了可能性，但同時也潛藏著遭受MAC欺詐攻擊的隱患。而基于協議的VLAN，理論上非常理想，但實際應用卻尚不成熟。

在集中式網絡環境下，我們通常將中心的所有主機系統集中到一個VLAN里，在這個VLAN里不允許有任何用戶節點，從而較好地保護敏感的主機資源。在分布式網絡環境下，我們可以按機構或部門的設置來劃分VLAN。各部門內部的所有服務器和用戶節點都在各自的VLAN內，互不侵擾。

VLAN內部的連接采用交換實現，而VLAN與VLAN之間的連接則采用路由實現。目前，大多數的交換機（包括海關內部普遍采用的DEC MultiSwitch 900）都支持RIP和OSPF這兩種國際標準的路由協議。如果有特殊需要，必須使用其他路由協議（如CISCO公司的EIGRP或支持DECnet的IS－IS），也可以用外接的多以太網口路由器來代替交換機，實現VLAN之間的路由功能。當然，這種情況下，路由轉發的效率會有所下降。

無論是交換式集線器還是VLAN交換機，都是以交換技術為核心，它們在控制廣播、防止黑客上相當有效，但同時也給一些基于廣播原理的入侵監控技術和協議分析技術帶來了麻煩。因此，如果局域網內存在這樣的入侵監控設備或協議分析設備，就必須選用特殊的帶有SPAN（Switch Port Analyzer）功能的交換機。這種交換機允許系統管理員將全部或某些交換端口的數據包映射到指定的端口上，提供給接在這一端口上的入侵監控設備或協議分析設備。筆者在廈門海關外部網設計中，就選用了Cisco公司的具備SPAN功能的Catalyst系列交換機，既得到了交換技術的好處，又使原有的Sniffer協議分析儀“英雄有用武之地”。廣域網安全

由于廣域網大多采用公網來進行數據傳輸，信息在廣域網上傳輸時被截取和利用的可能性就比局域網要大得多。如果沒有專用的軟件對數據進行控制，只要使用Internet上免費下載的“包檢測”工具軟件，就可以很容易地對通信數據進行截取和破譯。

因此，必須采取手段，使得在廣域網上發送和接收信息時能夠保證：

①除了發送方和接收方外，其他人是無法知悉的（隱私性）；

②傳輸過程中不被篡改（真實性）；

③發送方能確知接收方不是假冒的（非偽裝性）；

④發送方不能否認自己的發送行為（不可抵賴性）。

為了達到以上安全目的，廣域網通常采用以下安全解決辦法：

1．加密技術

加密型網絡安全技術的基本思想是不依賴于網絡中數據通道的安全性來實現網絡系統的安全，而是通過對網絡數據的加密來保障網絡的安全可靠性。數據加密技術可以分為三類，即對稱型加密、不對稱型加

密和不可逆加密。

其中不可逆加密算法不存在密鑰保管和分發問題，適用于分布式網絡系統，但是其加密計算量相當可觀，所以通常用于數據量有限的情形下使用。計算機系統中的口令就是利用不可逆加密算法加密的。近年來，隨著計算機系統性能的不斷提高，不可逆加密算法的應用逐漸增加，常用的如RSA公司的MD5和美國國家標準局的SHS。在海關系統中廣泛使用的Cisco路由器，有兩種口令加密方式：Enable Secret和Enable Password。其中，Enable Secret就采用了MD5不可逆加密算法，因而目前尚未發現破解方法（除非使用字典攻擊法）。而Enable Password則采用了非常脆弱的加密算法（即簡單地將口令與一個常數進行XOR與或運算），目前至少已有兩種破解軟件。因此，最好不用Enable Password。

2．VPN技術

VPN（虛擬專網）技術的核心是采用隧道技術，將企業專網的數據加密封裝后，透過虛擬的公網隧道進行傳輸，從而防止敏感數據的被竊。VPN可以在Internet、服務提供商的IP、幀中繼或ATM網上建立。企業通過公網建立VPN，就如同通過自己的專用網建立內部網一樣，享有較高的安全性、優先性、可靠性和可管理性，而其建立周期、投入資金和維護費用卻大大降低，同時還為移動計算提供了可能。因此，VPN技術一經推出，便紅遍全球。

但應該指出的是，目前VPN技術的許多核心協議，如L2TP、IPSec等，都還未形成通用標準。這就使得不同的VPN服務提供商之間、VPN設備之間的互操作性成為問題。因此，企業在VPN建網選型時，一定要慎重選擇VPN服務提供商和VPN設備。

3．身份認證技術

對于從外部撥號訪問總部內部網的用戶，由于使用公共電話網進行數據傳輸所帶來的風險，必須更加嚴格控制其安全性。一種常見的做法是采用身份認證技術，對撥號用戶的身份進行驗證并記錄完備的登錄日志。較常用的身份認證技術，有Cisco公司提出的TACACS＋以及業界標準的RADIUS。筆者在廈門海關外部網設計中，就選用了Cisco公司的CiscoSecure ACS V2．3軟件進行RADIUS身份認證。外部網安全

海關的外部網建設，通常指與Internet的互聯及與外部企業用戶的互聯兩種。無論哪一種外部網，都普遍采用基于TCP／IP的Internet協議族。Internet協議族自身的開放性極大地方便了各種計算機的組網和互聯，并直接推動了網絡技術的迅猛發展。但是，由于在早期網絡協議設計上對安全問題的忽視，以及Internet在使用和管理上的無政府狀態，逐漸使Internet自身的安全受到威脅，黑客事件頻頻發生。

對外部網安全的威脅主要表現在：非授權訪問、冒充合法用戶、破壞數據完整性、干擾系統正常運行、利用網絡傳播病毒、線路竊聽等。

外部網安全解決辦法主要依靠防火墻技術、入侵檢測技術和網絡防病毒技術。在實際的外部網安全設計中，往往采取上述三種技術（即防火墻、入侵檢測、網絡防病毒）相結合的方法。筆者在廈門海關外部網設計中，就選用了NAI公司最新版本的三宿主自適應動態防火墻Gauntlet Active Firewall。該防火墻產品集成了Gauntlet Firewall、CyberCop Scanner、CyberCop Monitor、WebShield for Firewall等套件，將防火墻技術、入侵檢測技術與網絡防病毒技術融為一體，緊密結合，相得益彰，性價比比較高。

第二篇：局域網安全畢業論文

論文關鍵詞：計算機網絡 網絡安全 局域網安全 廣域網

論文摘要：隨著計算機網絡和互聯網的發展,局域網安全越來越受到人們的重視和關注。無論是在局域網還是在廣域網中，都存在著自然和人為等諸多因素的潛在威脅和網絡的脆弱性。故此，局域網的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網絡信息的保密性、完整性和可用性。為了確保信息的安全與暢通，研究局域網的安全以及防范措施已迫在眉睫。

1.當前局域網安全形勢

1.1 計算機網絡的定義

計算機網絡,就是利用通信設備和線路將地理位置不同的、功能獨立的多個計算機系統互連起來,以功能完善的網絡軟件(即網絡通信協議、信息交換方式和網絡操作系統等)實現網絡中資源共享和信息傳遞的系統。[①]

計算機網絡由通信子網和資源子網兩部分構成。通信子網是計算機網絡中負責數據通信的部分；資源子網是計算機網絡中面向用戶的部分，負責全網絡面向應用的數據處理工作。就局域網而言，通信子網由網卡、線纜、集線器、中繼器、網橋、路由器、交換機等設備和相關軟件組成。資源子網由連網的服務器、工作站、共享的打印機和其它設備及相關軟件所組成。

1.2 網絡安全定義

網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。網絡安全從其本質上來講就是網絡上的信息安全。[②]

1.3 局域網安全

局域網的安全主要包括物理安全與邏輯安全。物理安全主要指網絡硬件的維護、使用及管理等；邏輯安全是從軟件的角度提出的，主要指數據的保密性、完整性、可用性等。

1.3.1 來自互聯網的安全威脅

局域網是與Inernet互連的。由于Internet的開放性、國際性與自由性，局域網將面臨更加嚴重的安全威脅。如果局域網與外部網絡間沒有采取一定的安全防護措施，很容易遭到來自Internet 黑客的各種攻擊。他們可以通過嗅探程序來探測、掃描網絡及操作系統存在的安全漏洞，如網絡I P 地址、應用操作系統的類型、開放的T C P 端口號、系統用來保存用戶名和口令等安全信息的關鍵文件等，并通過相應攻擊程序進行攻擊。他們還可以通過網絡監聽等手段獲得內部網用戶的用戶名、口令等信息，進而假冒內部合法身份進行非法登錄，竊取內部網絡中重要信息。還能通過發送大量數據包對網絡服務器進行攻擊，使得服務器超負荷工作導致拒絕服務，甚至使系統癱瘓。

1.3.2 來自局域網內部的安全威脅

內部管理人員把內部網絡結構、管理員口令以及系統的一些重要信息傳播給外人帶來信息泄漏；內部職工有的可能熟悉服務器、小程序、腳本和系統的弱點，利用網絡開些小玩笑，甚至搞破壞。如，泄漏至關重要的信息、錯誤地進入數據庫、刪除數據等，這些都將給網絡造成極大的安全威脅。

1.4 局域網當前形勢及面臨的問題

隨著局域網絡技術的發展和社會信息化進程的加快,現在人們的生活、工作、學習、娛樂和交往都已離不開計算機網絡?，F今，全球網民數量已接近7億，網絡已經成為生活離不開的工具，經濟、文化、軍事和社會活動都強烈地依賴于網絡。網絡環境的復雜性、多變性以及信息系統的脆弱性、開放性和易受攻擊性，決定了網絡安全威脅的客觀存在。盡管計算機網絡為人們提供了巨大的方便，但是受技術和社會因素的各種影響，計算機網絡一直存在著多種安全缺陷。攻擊者經常利用這些缺陷，實施攻擊和入侵，給計算機網絡造成極大的損害網絡攻擊、病毒傳播、垃圾郵件等迅速增長，利用網絡進行盜竊、詐騙、敲詐勒索、竊密等案件逐年上升，嚴重影響了網絡的正常秩序，嚴重損害了網民的利益；網上色情、暴力等不良和有害信息的傳播，嚴重危害了青少年的身心健康。網絡系統的安全性和可靠性正在成為世界各國共同關注的焦點。

根據中國互聯網信息中心2006年初發布的統計報告顯示：我國互聯網網站近百萬家，上網用戶1億多，網民數和寬帶上網人數均居全球第二。同時，網絡安全風險也無處不在，各種網絡安全漏洞大量存在和不斷被發現，計算機系統遭受病毒感染和破壞的情況相當嚴重，計算機病毒呈現出異?；钴S的態勢。面對網絡安全的嚴峻形勢，我國的網絡安全保障工作尚處于起步階段，基礎薄弱，水平不高，網絡安全系統在預測、反應、防范和恢復能力方面存在許多薄弱環節，安全防護能力不僅大大低于美國、俄羅斯和以色列等信息安全強國，而且排在印度、韓國之后。在監督管理方面缺乏依據和標準，監管措施不到位，監管體系尚待完善，網絡信息安全保障制度不健全、責任不落實、管理不到位。網絡信息安全法律法規不夠完善，關鍵技術和產品受制于人，網絡信息安全服務機構專業化程度不高，行為不規范，網絡安全技術與管理人才缺乏。

面對網絡安全的嚴峻形勢，如何建設高質量、高穩定性、高可靠性的安全網絡成為通信行業乃至整個社會發展所要面臨和解決的重大課題。

2.常用局域網的攻擊方法

2.1 ARP欺騙

2.1.1 ARP協議

ARP（Address Resolution Protocol）是地址解析協議，是一種將IP地址轉化成物理地址的協議。ARP具體說來就是將網絡層（IP層，也就是相當于OSI的第三層）地址解析為數據連接層（MAC層，也就是相當于OSI的第二層）的MAC地址。

ARP原理：某機器A要向主機B發送報文，會查詢本地的ARP緩存表，找到B的IP地址對應的MAC地址后，就會進行數據傳輸。如果未找到，則廣播A一個ARP請求報文（攜帶主機A的IP地址IA——物理地址PA），請求IP地址為IB的主機B回答物理地址PB。網上所有主機包括B都收到ARP請求，但只有主機B識別自己的IP地址，于是向A主機發回一個ARP響應報文。其中就包含有B的MAC地址，A接收到B的應答后，就會更新本地的ARP緩存。接著使用這個MAC地址發送數據（由網卡附加MAC地址）。因此，本地高速緩存的這個ARP表是本地網絡流通的基礎，而且這個緩存是動態的。

假如我們有兩個網段、三臺主機、兩個網關、分別是：

主機名 IP地址 MAC地址

網關1 192.168.1.1 01-01-01-01-01-01

主機A 192.168.1.2 02-02-02-02-02-02

主機B 192.168.1.3 03-03-03-03-03-03

網關2 10.1.1.1 04-04-04-04-04-04

主機C 10.1.1.2 05-05-05-05-05-05

假如主機A要與主機B通訊，它首先會通過網絡掩碼比對，確認出主機B是否在自己同一網段內，如果在它就會檢查自己的ARP緩存中是否有192.168.1.3這個地址對應的MAC地址，如果沒有它就會向局域網的廣播地址發送ARP請求包，即目的MAC地址是全1的廣播詢問幀，0xffffffffffffH 02-02-02-02-02-02 192.168.1.3 192.168.1.2；如果B存在的話，必須作出應答，回答―B的MAC地址是…‖的單播應答幀，02-02-02-02-02-02 03-03-03-03-03-03 192.168.1.2 192.168.1.3；A收到應答幀后，把―192.168.1.3 03-03-03-03-03-03 動態‖寫入ARP表。這樣的話主機A就得到了主機B的MAC地址，并且它會把這個對應的關系存在自己的ARP緩存表中。之后主機A與主機B之間的通訊就依靠兩者緩存表里的MAC地址來通訊了，直到通訊停止后兩分鐘，這個對應關系才會被從表中刪除。

如果是非局域網內部的通訊過程，假如主機A需要和主機C進行通訊，它首先會通過比對掩碼發現這個主機C的IP地址并不是自己同一個網段內的，因此需要通過網關來轉發，這樣的話它會檢查自己的ARP緩存表里是否有網關1(192.168.1.1)對應的MAC地址，如果沒有就通過ARP請求獲得，如果有就直接與網關通訊，然后再由網關1通過路由將數據包送到網關2，網關2收到這個數據包后發現是送給主機C（10.1.1.2）的，它就會檢查自己的ARP緩存（沒錯，網關一樣有自己的ARP緩存），看看里面是否有10.1.1.2對應的MAC地址，如果沒有就使用ARP協議獲得，如果有就是用該MAC地址將數據轉發給主機C。

2.1.2 ARP欺騙原理

在以太局域網內數據包傳輸依靠的是MAC地址，IP地址與MAC對應的關系依靠ARP表，每臺主機（包括網關）都有一個ARP緩存表。在正常情況下這個緩存表能夠有效的保證數據傳輸的一對一性，也就是說主機A與主機C之間的通訊只通過網關1和網關2，像主機B之類的是無法截獲A與C之間的通訊信息的。但是在ARP緩存表的實現機制中存在一個不完善的地方，當主機收到一個ARP的應答包后，它并不會去驗證自己是否發送過這個ARP請求，而是直接將應答包里的MAC地址與IP對應的關系替換掉原有的ARP緩存表里的相應信息。

這就導致主機B截取主機A與主機C之間的數據通信成為可能。首先主機B向主機A發送一個ARP應答包說192.168.1.1的MAC地址是03-03-03-03-03-03，主機A收到這個包后并沒有去驗證包的真實性而是直接將自己ARP列表中的192.168.1.1的MAC地址替換成03-03-03-03-03-03，同時主機B向網關1發送一個ARP響應包說192.168.1.2的MAC是03-03-03-03-03-03，同樣網關1也沒有去驗證這個包的真實性就把自己ARP表中的192.168.1.2的MAC地址替換成03-03-03-03-03-03。當主機A想要與主機C通訊時，它直接把應該發送給網關1(192.168.1.1)的數據包發送到03-03-03-03-03-03這個MAC地址，也就是發給了主機B，主機B在收到這個包后經過修改再轉發給真正的網關1，當從主機C返回的數據包到達網關1后，網關1也使用自己ARP表中的MAC，將發往192.168.1.2這個IP地址的數據發往03-03-03-03-03-03這個MAC地址也就是主機B，主機B在收到這個包后再轉發給主機A完成一次完整的數據通訊，這樣就成功的實現了一次ARP欺騙攻擊。因此簡單點說ARP欺騙的目的就是為了實現全交換環境下的數據監聽與篡改。也就是說欺騙者必須同時對網關和主機進行欺騙。

2.1.3 ARP病毒清除

感染病毒后，需要立即斷開網絡，以免影響其他電腦使用。重新啟動到DOS模式下，用殺毒軟件進行全面殺毒。

臨時處理對策：

步驟

一、能上網情況下，輸入命令arp –a，查看網關IP對應的正確MAC地址，將其記錄下來。如果已經不能上網，則運行一次命令arp –d將arp緩存中的內容刪空，計算機可暫時恢復上網（攻擊如果不停止的話），一旦能上網就立即將網絡斷掉（禁用網卡或拔掉網線），再運行arp –a。

步驟

二、如果已經有網關的正確MAC地址，在不能上網時，手工將網關IP和正確MAC綁定，可確保計算機不再被攻擊影響。輸入命令：arp –s，網關IP 網關MAC手工綁定在計算機關機重開機后就會失效，需要再綁定?？梢园言撁罘旁赼utoexec.bat中，每次開機即自動運行。

2.2 網絡監聽

2.2.1 網絡監聽的定義

眾所周知，電話可以進行監聽，無線電通訊可以監聽，而計算機網絡使用的數字信號在線路上傳輸時，同樣也可以監聽。網絡監聽也叫嗅探器，其英文名是Sniffer，即將網絡上傳輸的數據捕獲并進行分析的行為。[③]

網絡監聽，在網絡安全上一直是一個比較敏感的話題，作為一種發展比較成熟的技術，監聽在協助網絡管理員監測網絡傳輸數據，排除網絡故障等方面具有不可替代的作用，因而一直備受網絡管理員的青睞。然而，在另一方面網絡監聽也給網絡安全帶來了極大的隱患，許多的網絡入侵往往都伴隨著網絡監聽行為，從而造成口令失竊，敏感數據被截獲等連鎖性安全事件。

2.2.2 網絡監聽的基本原理

局域網中的數據是以廣播方式發送的，局域網中的每臺主機都時刻在監聽網絡中傳輸的數據，主機中的網卡將監聽到的數據幀中的MAC地址與自己的MAC地址進行比較，如果兩者相同就接收該幀，否則就丟掉該幀。如果把對網卡進行適當的設置和修改，將它設置為混雜模式，在這種狀態下它就能接收網絡中的每一個信息包。網絡監聽就是依據這種原理來監測網絡中流動的數據。

2.2.3 網絡監聽的檢測

2.2.3.1 在本地計算機上進行檢測

（1）檢查網卡是否處于混雜模式。可以利用一些現成的工具軟件來發現，例如：AntiSniff，ARP 探測技術。也可以編寫一些程序來實現。在Linux 下，有現成的函數，比較容易實現，而在Windows平臺上，并沒有現成的函數來實現這個功能，要自己編寫程序來實現。可以利用一些現成的工具軟件來發現，例如：AntiSniff，ARP探測技術。也可以編寫一些程序來實現。在Linux下，有現成的函數，比較容易實現，而在Windows平臺上，并沒有現成的函數來實現這個功能，要自己編寫程序來實現。

（2）搜索法。在本地主機上搜索所有運行的進程，就可以知道是否有人在進行網絡監聽。在Windows系統下，按下Ctrl+Alt+Del可以得到任務列表，查看是否有監聽程序在運行。如果有不熟悉的進程，或者通過跟另外一臺機器比較，看哪些進程是有可能是監聽進程。

2.2.3.2 在其它計算機上進行檢測

（1）觀察法。如果某臺電腦沒有監聽的話，無論是信息的傳送還是電腦對信息的響應時間等方面都是正常的，如果被監聽的話，就會出現異常情況。我們可以通過觀察一些異常情況來判斷電腦是否有被監聽。

網絡通訊掉包率是否反常地高。例如ping命令會顯示掉了百分幾的信息包。如果網絡中有人在監聽，就會攔截每個信息包，從而導致信息包丟包率提高。

網絡帶寬是否出現反常。如果某臺計算機長時間的占用了較大的帶寬，對外界的響應很慢，這臺計算機就有可能被監聽。

機器性能是否下降。向網上發大量不存在的物理地址的包，而監聽程序往往就會將這些包進行處理，這樣就會導致機器性能下降，可以用icmp echo delay 來判斷和比較它。

（2）PING 法。這種檢測原理基于以太網的數據鏈路層和TCP/IP 網絡層的實現，是一種非常有效的測試方法。

ping法的原理：如果一個以太網的數據包的目的MAC 地址不屬于本機，該包會在以太網的數據鏈路層上被拋棄，無法進入TCP/IP 網絡層；進入TCP/IP 網絡層的數據包，如果解析該包后，發現這是一個包含本機ICMP 回應請示的TCP 包(PING 包)，則網絡層向該包的發送主機發送ICMP 回應。

我們可以構造一個PING 包，包含正確的IP 地址和錯誤的MAC 地址，其中IP 地址是可疑主機的IP地址，MAC 地址是偽造的，這樣如果可疑主機的網卡工作在正常模式，則該包將在可疑主機的以太網的數據鏈路層上被丟棄，TCP/IP 網絡層接收不到數據因而也不會有什么反應。如果可疑主機的網卡工作在混雜模式，它就能接收錯誤的MAC 地址，該非法包會被數據鏈路層接收而進入上層的TCP/IP 網絡層，TCP/IP 網絡層將對這個非法的PING 包產生回應，從而暴露其工作模式。

使用 PING 方法的具體步驟及結論如下：

① 假設可疑主機的IP 地址為192.168.10.11，MAC 地址是00-E0-4C-3A-4B-A5，檢測者和可疑主機位于同一網段。

② 稍微修改可疑主機的MAC 地址，假設改成00-E0-4C-3A-4B-A4。

③ 向可疑主機發送一個PING 包，包含它的IP 和改動后的MAC 地址。

④ 沒有被監聽的主機不能夠看到發送的數據包，因為正常的主機檢查這個數據包，比較數據包的MAC 地址與自己的MAC 地址不相符，則丟棄這個數據包，不產生回應。

⑤ 如果看到回應，說明數據包沒有被丟棄，也就是說，可疑主機被監聽了。

（3）ARP 法。除了使用PING 進行監測外，還可以利用ARP 方式進行監測的。這種模式使用ARP數據包替代了上述的ICMP 數據包。向局域網內的主機發送非廣播方式的ARP 包，如果局域網內的某個主機以自己的IP 地址響應了這個ARP 請求，那么就可以判斷它很可能就處于網絡監聽模式了。

（4）響應時間測試法。這種檢測已被證明是最有效的。它能夠發現網絡中處于監聽模式的機器，而不管其操作系統是什么。非監聽模式的機器的響應時間變化量會很小，而監聽模式的機器的響應時間變化量則通常會較大。

2.2.4 網絡監聽的防范措施

為了防止網絡上的主機被監聽，有多種技術手段，可以歸納為以下三類。

第一種是預防，監聽行為要想發生，一個重要的前提條件就是網絡內部的一臺有漏洞的主機被攻破，只有利用被攻破的主機，才能進行監聽，從而收集以網絡內重要的數據。因此，要預防網絡中的主機被攻破。這就要求我們養成良好的使用計算機的習慣，不隨意下載和使用來歷不明的軟件，及時給計算機打上補丁程序，安裝防火墻等措施，涉及到國家安全的部門還應該有防電輻射技術，干擾技術等等，防止數據被監聽。

二是被動防御，主要是采取數據加密技術，數據加密是對付監聽的最有效的辦法。網上的信息絕大多數都是以明文的形式傳輸，容易辨認。一旦口令被截獲，入侵者就可以非常容易地登錄到另一臺主機。對在網絡上傳輸的信息進行加密后，監聽器依然可以捕獲傳送的信息，但顯示的是亂碼。使用加密技術，不但可以防止非授權用戶的搭線竊聽和入網，而且也是對付惡意軟件的有效方法之一，但是它的缺點是速度問題。幾乎所有的加密技術都將導致網絡的延遲，加密技術越強，網絡速度就越慢。只有很重要的信息才采用加密技術進行保護。

三是主動防御，主要是使用安全的拓撲結構和利用交換機劃分VLAN，這也是限制網絡監聽的有效方法，這樣的監聽行為只能發生在一個虛擬網中，最大限度地降低了監聽的危害，但需要增加硬件設備的開支，實現起來要花費不少的錢。

3.無線局域網安全威脅

3.1 非授權訪問

無線網絡中每個AP覆蓋的范圍都形成了通向網絡的一個新的入口。所以，未授權實體可以從外部或內部進入網絡，瀏覽存放在網絡上的信息；另外，也可以利用該網絡作為攻擊第三方的出發點，對移動終端發動攻擊。而且，IEEE 802.11標準采用單向認證機制，只要求STA向AP進行認證，不要求AP向STA進行認證。入侵者可以通過這種協議上的缺陷對AP進行認證進行攻擊，向AP發送大量的認證請求幀，從而導致AP拒絕服務。

3.2 敏感信息泄露

WLAN物理層的信號是無線、全方位的空中傳播，開放傳輸使得其物理層的保密性無法保證。WLAN無線信號的覆蓋范圍一般都會超過實際需求，只要在信號覆蓋范圍內入侵者就可以利用無線監聽技術捕獲無線網絡的數據包，對網絡通信進行分析，從而獲取有用信息。目前竊聽已經成為無線局域網面臨的最大問題之一。

3.3 WEB缺陷威脅

有線等效保密WEP是IEEE 802.11無線局域網標準的一部分，它的主要作用是為無線網絡上的信息提供和有線網絡同一等級的機密性。IEEE選擇在數據鏈路層用RC4算法加密來防止對網絡進行竊聽。WEP在每一個數據包中使用完整性校驗字段來保證數據在傳輸過程中不被竄改，它使用了CRC-32校驗。在WEP中明文通過和密鑰流進行異或產生密文，為了加密，WEP要求所有無線網絡連接共享一個密鑰。實際上，網絡只使用一個或幾個密鑰，也很少更換。WEP算法根據密鑰和初始化向量IV產生密鑰流，確保后續的數據包用不同的密鑰流加密。但IV在一個相當短的時間內重用，使用24位的IV并不能滿足要求。一個24位的字段包含16777216個可能值, 假設網絡流量是11M, 傳輸2000字節的包，在7個小時左右, IV 就會重用。CRC-32不是一個很適合WEP的完整性校驗, 即使部分數據以及CRC-32校驗碼同時被修改也無法校驗出來。

3.4 無線局域網的安全措施

3.4.1 阻止非法用戶的接入

（1）基于服務設置標識符(SSID)防止非法用戶接入

服務設置標識符SSID是用來標識一個網絡的名稱，以此來區分不同的網絡，最多可以有32個字符。無線工作站設置了不同的SSID就可以進入不同網絡。無線工作站必須提供正確的SSID與無線訪問點AP的SSID相同，才能訪問AP；如果出示的SSID與AP的SSID不同，那么AP將拒絕它通過本服務區上網。因此可以認為SSID是一個簡單的口令，從而提供口令認證機制，阻止非法用戶的接入，保障無線局域網的安全。SSID通常由AP廣播出來，例如通過windows XP自帶的掃描功能可以查看當前區域內的SSID。出于安全考慮，可禁止AP廣播其SSID號，這樣無線工作站端就必須主動提供正確的SSID號才能與AP進行關聯。

（2）基于無線網卡物理地址過濾防止非法用戶接入

由于每個無線工作站的網卡都有惟一的物理地址，利用MAC地址阻止未經授權的無限工作站接入。為AP 設置基于MAC 地址的Access Control（訪問控制表），確保只有經過注冊的設備才能進入網絡。因此可以在AP中手工維護一組允許訪問的MAC地址列表，實現物理地址過濾。但是MAC地址在理論上可以偽造，因此這也是較低級別的授權認證。物理地址過濾屬于硬件認證，而不是用戶認證。這種方式要求AP中的MAC地址列表必需隨時更新，目前都是手工操作。如果用戶增加，則擴展能力很差，因此只適合于小型網絡規模。

3.4.2 實行動態加密

動態加密技術是基于對稱加密和非對稱加密的結合，能有效地保證網絡傳輸的安全。動態加密著眼于無線網絡架構中通信雙方本身，認為每個通信方都應承擔起會話中網絡信息傳輸的安全責任。會話建立階段，身份驗證的安全需要非對稱加密以及對PKI的改進來防止非授權訪問，同時完成初始密鑰的動態部署和管理工作，會話建立后，大量的數據安全傳輸必須通過對稱加密方式，但該系統通過一種動態加密的模式，摒棄了現有機制下靜態加密的若干缺陷，從而使通信雙方的每次―通信回合‖都有安全保證。在一個通信回合中，雙方將使用相同的對稱加密密鑰，是每個通信方經過共同了解的信息計算而得到的，在通信回合之間，所使用的密鑰將實時改變，雖然與上次回合的密鑰有一定聯系，但外界無法推算出來。

3.4.3 數據的訪問控制

訪問控制的目標是防止任何資源（如計算資源、通信資源或信息資源）進行非授權的訪問,所謂非授權訪問包括未經授權的使用、泄露、修改、銷毀以及發布指令等。用戶通過認證，只是完成了接入無線局域網的第一步，還要獲得授權，才能開始訪問權限范圍內的網絡資源，授權主要是通過訪問控制機制來實現。訪問控制也是一種安全機制，它通過訪問BSSID、MAC 地址過濾、控制列表ACL等技術實現對用戶訪問網絡資源的限制。訪問控制可以基于下列屬性進行：源MAC地址、目的MAC地址、源IP 地址、目的IP地址、源端口、目的端口、協議類型、用戶ID、用戶時長等。

4.計算機局域網病毒及防治

雖然局域網采用的是專網形式，但因管理及使用方面等多種原因，計算機病毒也開始在局域網出現并迅速泛濫，給網絡工程安全帶來一定的隱患，對數據安全造成極大威脅，妨礙了機器的正常運行，影響了工作的正常開展。如何防范計算機病毒侵入計算機局域網和確保網絡的安全己成為當前面臨的一個重要且緊迫的任務。

4.1 局域網病毒

局域網病毒的入侵主要來自蠕蟲病毒，同時集病毒、黑客、木馬等功能于一身綜合型病毒不斷涌現。計算機病毒表現出以下特點：傳播方式和途徑多樣化；病毒的欺騙性日益增強病毒的傳播速度極快；病毒的制作成本降低；病毒變種增多；病毒難以控制和根治；病毒傳播更具有不確定性和跳躍性；病毒版本自動在線升級和自我保護能力；病毒編制采用了集成方式等。局域網病毒的傳播速度快，傳播范圍廣，危害也大。局域網病毒還特別難以清除，只要有一臺工作站的病毒未被徹底清除，整個網絡就有可能重新感染。

當計算機感染上病毒出現異常時，人們首先想到的是用殺毒軟件來清除病毒。但令人擔擾的是殺毒工具軟件被廣泛使用的今天，病毒的種類和數量以及所造成的損失不是逐年減少，反而是逐年增加。這表明殺毒工具軟件作為病毒防范的最主要工具，已顯露出重大缺陷----對病毒的防范始終滯后于病毒的出現。如何加強局域網病毒防護是保障網絡信息安全的關鍵。

4.2 計算機局域網病毒的防治措施

計算機局域網中最主要的軟硬件就是服務器和工作站，所以防治計算機網絡病毒應該首先考慮這兩個部分，另外要加強各級人員的管理教育及各項制度的督促落實。

（1）基于工作站的防治技術。局域網中的每個工作站就像是計算機網絡的大門，只有把好這道大門，才能有效防止病毒的侵入。工作站防治病毒的方法有三種：

一、是軟件防治，即定期不定期地用反病毒軟件檢測工作站的病毒感染情況。

二、是在工作站上插防病毒卡，防病毒卡可以達到實時檢測的目的，但防病毒卡的升級不方便，從實際應用的效果看，對工作站的運行速度有一定的影響。

三、是在網絡接口卡上安裝防病病毒芯片它將工作站存取控制與病毒防護合二為一，可以更加實時有效地保護工作站及通向服務器的橋梁。但這種方法同樣也存在芯片上的軟件版本升級不便的問題，而且對網絡的傳輸速度也會產生一定的影響。上述三種方法都是防病毒的有效手段，應根據網絡的規模、數據傳輸負荷等具體情況確定使用哪一種方法。

（2）基于服務器的防治技術。服務器是網絡的核心，是網絡的支柱，服務器一旦被病毒感染，便無法啟動，整個網絡都將陷入癱瘓狀態，造成的損失是災難性的。難以挽回和無法估量的，目前市場上基于服務器的病毒防治采用NLM方法，它以NLM模塊方式進行程序設計，以服務器為基礎，提供實時掃描病毒的能力，從而保證服務器不被病毒感染，消除了病毒傳播的路徑，從根本上杜絕了病毒在網絡上的蔓延。

（3）加強計算機網絡的管理。計算機局域網病毒的防治，單純依靠技術手段是不可能十分有效地杜絕和防止其蔓延的，只有把技術手段和管理機制緊密結合起來，才有可能從根本上保護網絡系統的安全運行。

一、從硬件設備及軟件系統的使用、維護、管理、服務等各個環節制定出嚴格的規章制度，對網絡系統的管理員及用戶加強法制教育和職業道德教育，不損人，不犯法，規范工作程序和操作規程，嚴懲從事非法活動的集體和個人。

二、加強各級網絡管理人員的專業技能學習，提高工作能力，并能及時檢查網絡系統中出現病毒的癥狀。匯報出現的新問題、新情況，做到及時發現問題解決問題，同時在網絡工作站上經常做好病毒檢測的工作，把好網絡的第一道大門。

4.3 清除網絡病毒

一旦在局域網上發現病毒，應盡快加以清除，以防網絡病毒的擴散給整個系統造成更大的損失，具體過程為:

（1）立即停止使用受感染的電腦，并停止電腦與網絡的聯接,因為病毒會隨時發作，繼續使用受感染的電腦，只會加速該病毒的擴散,用broadcast命令通知包括系統管理員在內的所有用戶退網,關閉文件服務器。

（2）用干凈的系統盤啟動系統管理員工作站，并立即清除本機工作站中含有的病毒。

（3）用干凈的系統盤啟動文件服務器，系統管理員登錄后，使用disable longin禁止其他用戶登錄。

（4）用防病毒軟件掃描服務器上所有卷的文件，恢復或刪除被感染的文件，重新安裝被刪除的文件。

（5）若沒有最新的備份文件，可嘗試使用殺毒軟件把病毒清除，對在已染毒網絡上存取過的軟盤進行消毒。

（6）確信網絡病毒已全部徹底清除后，重新啟動網絡及各工作站。

5.局域網安全防范系統

5.1 防火墻系統

5.1.1 防火墻概述

防火墻是一種用來增強內部網絡安全性的系統，它將網絡隔離為內部網和外部網，從某種程度上來說，防火墻是位于內部網和外部網之間的橋梁和檢查站，它一般由一臺和多臺計算機構成，它對內部網和外部網的數據流量進行分析、檢測、管理和控制，通過對數據的篩選和過濾，來防止未授權的訪問進出內部計算機網，從而達到保護內部網資源和信息的目的。

防火墻是指設置在不同網絡（如可信任的企業內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動，保證了內部網絡的安全。

5.1.2 防火墻的體系結構

5.1.2.1 雙重宿主主機體系結構

雙重宿主主機體系結構圍繞雙重宿主主機構筑。雙重宿主主機至少有兩個網絡接口。這樣的主機可以充當與這些接口相連的網絡之間的路由器；它能夠從一個網絡到另外一個網絡發送IP數據包。然而雙重宿主主機的防火墻體系結構禁止這種發送。因此IP數據包并不是從一個網絡（如外部網絡）直接發送到另一個網絡（如內部網絡）。外部網絡能與雙重宿主主機通信，內部網絡也能與雙重宿主主機通信。但是外部網絡與內部網絡不能直接通信，它們之間的通信必須經過雙重宿主主機的過濾和控制。

5.1.2.2 被屏蔽主機體系結構

雙重宿主主機體系結構防火墻沒有使用路由器。而被屏蔽主機體系結構防火墻則使用一個路由器把內部網絡和外部網絡隔離開，如圖4所示。在這種體系結構中，主要的安全由數據包過濾提供（例如，數據包過濾用于防止人們繞過代理服務器直接相連）。

這種體系結構涉及到堡壘主機。堡壘主機是因特網上的主機能連接到的唯一的內部網絡上的系統。任何外部的系統要訪問內部的系統或服務都必須先連接到這臺主機。因此堡壘主機要保持更高等級的主機安全。數據包過濾容許堡壘主機開放可允許的連接（什么是“可允許連接”將由你的站點的特殊的安全策略決定）到外部世界。

在屏蔽的路由器中數據包過濾配置可以按下列方案之一執行：

(1)允許其它的內部主機為了某些服務開放到Internet上的主機連接（允許那些經由數據包過濾的服務）；

(2)不允許來自內部主機的所有連接（強迫那些主機經由堡壘主機使用代理服務）。

5.1.2.3 被屏蔽子網體系結構

被屏蔽子網體系結構添加額外的安全層到被屏蔽主機體系結構，即通過添加周邊網絡更進一步的把內部網絡和外部網絡隔離開。被屏蔽子網體系結構的最簡單的形式為，兩個屏蔽路由器，每一個都連接到周邊網。一個位于周邊網與內部網絡之間，另一個位于周邊網與外部網絡之間。這樣就在內部網絡與外部網絡之間形成了一個―隔離帶‖。為了侵入用這種體系結構構筑的內部網絡，侵襲者必須通過兩個路由器。即使侵襲者侵入堡壘主機，他將仍然必須通過內部路由器。

5.1.3 防火墻的功能

5.1.3.1 數據包過濾技術

數據包過慮技術是在網絡中的適當位置對數據包實施有選擇的通過的技術.選擇好依據系統內設置的過濾規則后,只有滿足過濾規則的數據包才被轉發至相應的網絡接口，而其余數據包則從數據流中被丟棄。數據包過濾技術是防火墻中最常用的技術。對于一個危險的網絡，用這種方法可以阻塞某些主機和網絡連入內部網絡，也可限制內部人員對一些站點的訪問。包過濾型防火墻工作在OSI參考模型的網絡層和傳輸層,它根據數據包頭源地址,目的地址,端口號和協議類型等標志確定是否允許通過,只有滿足過濾條件的數據包才被轉發到相應目的地,其余數據包則被數據流中阻擋丟棄。

5.1.3.2 網絡地址轉換技術

網絡地址轉換是一種用于把IP地址轉換成臨時的外部的、注冊的IP的地址標準,用戶必須要為網絡中每一臺機器取得注冊的IP地址[ 7 ]。在內部網絡通過安全網卡訪

問外部網絡時,系統將外出的源地址和源端口映射為一個偽裝的地址和端口與外部連接,這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時,它并不知道內部網絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問7 ]。防火墻根據預先定義好的映射規則來判斷這個訪問是否安全和接受與否。網絡地址轉換過程對于用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可。

5.1.3.3 代理技術

代理技術是在應用層實現防火墻功能,代理服務器執行內部網絡向外部網絡申請時的中轉連接作用。

代理偵聽網絡內部客戶的服務請求,當一個連接到來時,首先進行身份驗證,并根據安全策略決定是否中轉連接。當決定轉發時,代理服務器上的客戶進程向真正的服務器發出請求,服務器返回代理服務器轉發客戶機的數據。

另一種情況是,外部網通過代理訪問內部網,當外部網絡節點提出服務請求時,代理服務器首先對該用戶身份進行驗證。若為合法用戶,則把該請求轉發給真正的某個內部網絡的主機。而在整個服務過程中,應用代理一直監控著用戶的操作,一旦用戶進行非法操作,就可以進行干涉,并對每一個操作進行記錄。若為不合法用語,則拒絕訪問。

5.1.3.4 全狀態檢測技術

全狀態檢測防火墻在包過濾的同時，檢測數據包之間的關聯性，數據包中動態變化的狀態碼。它有一個檢測引擎，在網關上執行網絡安全策略。監測引擎采用抽取有關數據的方法對網絡通信的各層實施監督測，抽取狀態信息，并動態地保存起來，作為以后執行安全策略的參考。當用戶訪問請求到達網關是操作系統前，狀態監測器要抽取有關數據進行分析，結合網絡配置和安全規定作出接納、拒絕、身份認證、報警或給該通信加密處理動作。

5.2 入侵檢測系統

5.2.1 入侵檢測系統概述

入侵檢測是指通過對行為、安全日志或審計數據或其它網絡上可以獲得的信息進行操作，檢測到對系統的闖入或闖入的企圖。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異?，F象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統

5.2.2 入侵檢測原理

入侵檢測跟其他檢測技術有同樣的原理。從一組數據中，檢測出符合某一特點的數據。攻擊者進行攻擊的時候會留下痕跡，這些痕跡和系統正常運行的時候產生的數據混在一起。入侵檢測系統的任務是從這些混合的數據中找出是否有入侵的痕跡，并給出相關的提示和警告。

入侵檢測的第一步是信息收集，收集內容包括系統、網絡、數據及用戶活動的狀態和行為。由放置在不同網段的傳感器或不同主機的代理來收集信息，包括系統和網絡日志文件、網絡流量、非正常的目錄和文件改變、非正常的程序執行。

第二步是信息分析，收集到的有關系統、網絡、數據及用戶活動的狀態和行為等信息，被送到檢測引擎，檢測引擎駐留在傳感器中，一般通過三種技術手段進行分析：模式匹配、統計分析和完整性分析。當檢測到某種誤用模式時，產生一個告警并發送給控制臺。

第三步是結果處理，控制臺按照告警產生預先定義的響應采取相應措施，可以是重新配置路由器或防火墻、終止進程、切斷連接、改變文件屬性，也可以只是簡單的告警。

5.2.3 局域網入侵檢測系統的構建方法

根據CIDF規范，從功能上將IDS 劃分為四個基本部分：數據采集子系統、數據分析子系統、控制臺子系統、數據庫管理子系統。具體實現起來，一般都將數據采集子系統和數據分析子系統在Linux或Unix平臺上實現，稱之為數據采集分析中心；將控制臺子系統在Windows NT或2000上實現，數據庫管理子系統基于Access或其他功能更強大的數據庫如SQL等，多跟控制臺子系統結合在一起，稱之為控制管理中心。構建一個基本的IDS,具體需考慮以下幾個方面的內容。

首先，數據采集機制是實現IDS的基礎，數據采集子系統位于IDS的最底層，其主要目的是從網絡環境中獲取事件，并向其他部分提供事件。這就需要使用網絡監聽來實現審計數據的獲取，可以通過對網卡工作模式的設置為―混雜‖模式實現對某一段網絡上所有數據包的捕獲。然后，需要構建并配置探測器，實現數據采集功能。應根據自己網絡的具體情況，選用合適的軟件及硬件設備，如果網絡數據流量很小，用一般的PC機安裝Linux即可，如果所監控的網絡流量非常大，則需要用一臺性能較高的機器；在服務器上開出一個日志分區，用于采集數據的存儲；接著應進行有關軟件的安裝與配置，至此系統已經能夠收集到網絡數據流了。

其次，應建立數據分析模塊。數據分析模塊相當于IDS的大腦，它必須具備高度的―智慧‖和―判斷能力‖,所以，在設計此模塊之前，需要對各種網絡協議、系統漏洞、攻擊手法、可疑行為等有一個很清晰、深入地研究，然后制訂相應的安全規則庫和安全策略，再分別建立濫用檢測模型和異常檢測模型，讓機器模擬自己的分析過程，識別確知特征的攻擊和異常行為，最后將分析結果形成報警消息，發送給控制管理中心。設計數據分析模塊的工作量浩大，需要不斷地更新、升級、完善。在這里需要特別注意3個問題。應優化檢測模型和算法的設計，確保系統的執行效率；安全規則的制訂要充分考慮包容性和可擴展性，以提高系統的伸縮性；報警消息要遵循特定的標準格式，增強其共享與互操作能力，切忌隨意制訂消息格式的不規范做法。

第三，需要構建控制臺子系統?？刂婆_子系統負責向網絡管理員匯報各種網絡違規行為，并由管理員對一些惡意行為采取行動（如阻斷、跟蹤等）。控制臺子系統的主要任務有：管理數據采集分析中心，以友好、便于查詢的方式顯示數據采集分析中心發送過來的警報消息；根據安全策略進行一系列的響應動作，以阻止非法行為，確保網絡的安全?？刂婆_子系統的設計重點是：警報信息查詢、探測器管理、規則管理及用戶管理。

第四，需要構建數據庫管理子系統。一個好的入侵檢測系統不僅僅應當為管理員提供實時、豐富的警報信息，還應詳細地記錄現場數據，以便于日后需要取證時重建某些網絡事件。數據庫管理子系統的前端程序通常與控制臺子系統集成在一起，用Access或其他數據庫存儲警報信息和其他數據。

第五，完成綜合調試。以上幾步完成之后，一個IDS的最基本框架已被實現。但要使這個IDS順利地運轉起來，還需要保持各個部分之間安全、順暢地通信和交互，這就是綜合調試工作所要解決的問題，主要包括要實現數據采集分析中心和控制管理中心之間的雙向通信及保證通信的安全性，最好對通信數據流進行加密操作，以防止被竊聽或篡改。同時，控制管理中心的控制臺子系統和數據庫子系統之間也有大量的交互操作，如警報信息查詢、網絡事件重建等。經過綜合調試后，一個基本的IDS就構建完成了，但是此時還不能放松警惕，因為在以后的應用中要不斷地對它進行維護，特別是其檢測能力的提高；同時還要注意與防火墻等其它系統安全方面的軟件相配合，以期從整體性能上提高局域網的安全能力。

6.局域網安全防范策略

一個網絡的防病毒體系是建立在每個局域網的防病毒系統上的，應該根據每個局域網的防病毒要求，建立局域網防病毒控制系統，分別設置有針對性的防病毒策略。

6.1 劃分VLAN 防止網絡偵聽

運用VLAN（虛擬局域網）技術，將以太網通信變為點到點通信，防止大部分基于網絡偵聽的入侵。目前的VLAN技術主要有三種：基于交換機端口的VLAN、基于節點MAC地址的VLAN和基于應用協議的VLAN?；诙丝诘腣LAN雖然稍欠靈活，但卻比較成熟，在實際應用中效果顯著，廣受歡迎?；贛AC地址的VLAN為移動計算提供了可能性，但同時也潛藏著遭受MAC欺詐攻擊的隱患。

6.2 網絡分段

局域網大多采用以廣播為基礎的以太網，任何兩個節點之間的通信數據包，不僅為這兩個節點的網卡所接收，也同時為處在同一以太網上的任何一個節點的網卡所截取。因此，黑客只要接入以太網上的任一節點進行偵聽，就可以捕獲發生在這個以太網上的所有數據包，對其進行解包分析，從而竊取關鍵信息，這就是以太網所固有的安全隱患。網絡分段就是將非法用戶與網絡資源相互隔離，從而達到限制用戶非法訪問的目的。所以網絡分段是保證局域網安全的一項重要措施。

6.3 以交換式集線器代替共享式集線器

對局域網的中心交換機進行網絡分段后，以太網偵聽的危險仍然存在。這是因為網絡最終用戶的接入往往是通過分支集線器而不是中心交換機，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當用戶與主機進行數據通信時，兩臺機器之間的數據包（稱為單播包Unicast Packet）還是會被同一臺集線器上的其他用戶所偵聽。一種很危險的情況是:用戶TELNET到一臺主機上，由于TELNET程序本身缺乏加密功能，用戶所鍵入的每一個字符（包括用戶名、密碼等重要信息），都將被明文發送，這就給黑客提供了機會。因此，應該以交換式集線器代替共享式集線器，使單播包僅在兩個節點之間傳送，從而防止非法偵聽。當然，交換式集線器只能控制單播包而無法控制廣播包（Broadcast Packet）和多播包（Multicast Packet）。所幸的是，廣播包和多播包內的關鍵信息，要遠遠少于單播包。

6.4 實施IP/MAC 綁定

很多網關軟件實施流量過濾時都是基于IP或MAC地址，對控制普通用戶起到了很好的效果，但對于高級用戶就顯得無能為力了，因為不管是IP或是MAC地址都可以隨意修改。要實施基于IP或MAC地址過濾的訪問控制，就必須進行IP/MAC地址的綁定，禁止用戶對IP或MAC的修改。首先通過交換機實施用戶與交換機端口的MAC綁定，再通過服務器網絡管理實施IP/MAC綁定，這樣用戶既不能改網卡的MAC地址，也不能改IP地址。通過IP/MAC綁定后，再實施流量過濾就顯得有效多了。

7.總結

網絡安全技術和病毒防護是一個涉及多方面的系統工程，在實際工作中既需要綜合運用以上方法，還要將安全策略、硬件及軟件等方法結合起來，構成一個統一的防御系統，又需要規范和創建必要的安全管理模式、規章制度來約束人們的行為。因此，局域網安全不是一個單純的技術問題，它涉及整個網絡安全系統，包括防范技術、規范管理等多方面因素。只要我們正視網絡的脆弱性和潛在威脅，不斷健全網絡的相關法規，提高網絡安全防范的技術是否被授權，從而阻止對信息資源的非法用戶使用網絡系統時所進行的所有活動的水平，才能有力地保障網絡安全。

[①].高傳善，錢松榮.專注.數據通信與計算機網絡[M].高等教育出版社,2001:8-9

[②].鄧亞平.計算機網絡安全[M].人民郵電出版社, 2004:1-10.[③].李成大,張京.計算機信息安全[M].人民郵電出版社，2004:72-117

第三篇：無線局域網安全論文范文

《寬帶無線接入技術》課程論文

無線局域網安全

馬歡

631106040118

通信工程專業1班 1060314488@qq.com

摘要：無線局域網是在有線網絡上發展起來的,是無線傳輸技術在局域網技術上的運用，而其大部分應用也是有線局域網的體現。由于無線局域網在諸多領域體現出的巨大優勢,因此對無線局域網絡技術的研究成為了廣大學者研究的熱點。無線局域網具有組網靈活、接入簡便和適用范圍廣泛的特點,但由于其基于無線路徑進行傳播,因此傳播方式的開放性特性給無線局域網的安全設計和實現帶來了諸多的問題。無線局域網的安全性有兩個方面的內容[1]：一個是信息安全，即保證信息傳輸的可靠性、保密性、合法性、和不可篡改性；另一個是人員安全，即電磁波的輻射對人體健康的損害。鑒于此，對無線局域網的安全進行研究分析。

關鍵字：無線局域網技術；網絡安全；安全接入控制；保密性

The security of wireless LAN

MA Huan 631106040118 Communication engineering，grade 2011 and 1060314488@qq.com

Abstract: Wireless local area network(LAN)is developed on the cable network, wireless local area network(LAN)is applied to the wireless transmission technology in the local area network(LAN)technology, and most of its application is also the embodiment of the wired LAN.Because of the wireless local area network(LAN), reflect the huge advantage in many fields, so the research of wireless local area network technology become the focus of many scholars study.Wireless local area network(LAN)with flexible networking and access is simple and applicable to a wide range of features, but due to its based on wireless path for transmission, so the openness of the mode of transmission characteristics for safety design and the implementation of the wireless local area network(LAN)has brought many problems.Wireless LAN security has two aspects: one is the information security, namely, to ensure the reliability of information transmission, confidentiality, legitimacy, and do not tamper with the sex;Another is the personnel security, namely the electromagnetic radiation damage to human body health.In view of this, study on analysis of wireless LAN security.Keyword: The technology of wireless LAN;Network security;Security of access control;confidentiality

通信擺脫了時間、地點和對象的束縛，極大地改善了人類的生活質量，加快了社會發展的進程.無線網絡技術為人們帶來極大方便的同時，安全問題已經成為阻礙無線網絡技術普及的一個主要障礙。

目前無線局域網的主流標準為IEEE802.11,但其存在設計缺陷,缺少密鑰管理,存在很多安全漏洞。無線網絡面臨的威脅越來越多，像蹭網、重要隱私和數據遭破壞或竊取等事件也是接連發生，因此，網絡必須有足夠強的安全措施，否則該網絡將是個無用、甚至會危及國家安全的網絡。無論是在局域網，廣域網還是無線網中，都存在自然與人為等諸多因素的潛在威脅和網絡的脆弱性，網絡的安全措施應該是

[3]1引言

在以前，計算機組網的傳輸媒介主要依賴銅纜或光纜，構成有線局域網。但有線網絡在實施過程中工程量大，破壞性強，網中的各節點移動性不強。為了解決這些問題，無線網絡作為有線網絡的補充和擴展，逐漸得到的普及和發展。近幾年來，隨著我國寬帶接入網建設熱潮的涌現，在各種寬帶接入技術中，無線寬帶接入技術異軍突起，呈現出加速發展的趨勢。盡管目前無線局域網還不能完全獨立于有線網絡，但近年來無線局域網的產品逐漸走向成熟，正以它優越的靈活性和便捷性在網絡應用中發揮日益重要的作用。無線通信技術的出現使得通信技術出現了一次飛躍，使人類的[2]

《寬帶無線接入技術》課程論文

能全方位地針對各種各樣的威脅和網絡本身的脆弱性，只有這樣才能確保網絡信息的完整性、保密性和可用性。為了保證信息的安全與暢通，研究網絡安全及防范措施已迫在眉睫，我們必須采取一定的安全技術手段來保護無線網絡的安全。無線局域網的安全現狀及安全性缺陷

由于無線局域網采用公共的電磁波作為載體,傳輸信息的覆蓋范圍不好控制,因此對越權存取和竊聽的行為也更不容易防備。具體分析,無線局域網存在如下兩種主要的安全性缺陷:

4.1靜態密鑰的缺陷

靜態分配的WEP密鑰一般保存在適配卡的非易失性存儲器中,因此當適配卡丟失或者被盜用后,非法用戶都可以利用此卡非法訪問網絡。除非用戶及時告知管理員,否則將產生嚴重的安全問題。及時的更新共同使用的密鑰并重新發布新的密鑰可以避免此問題,但當用戶少時,管理員可以定期更新這個靜態配置的密鑰,而且工作量也不大。但是在用戶數量可觀時,即便可以通過某些方法對所有AP(接入點)上的密鑰一起更新以減輕管理員的配置任務,管理員及時更新這些密鑰的工作量也是難以想像的。

4.2訪問控制機制的安全缺陷

封閉網絡訪問控制機制:幾個管理消息中都包括網絡名稱或SSID,并且這些消息被接入點和用戶在網絡中廣播,并不受到任何阻礙。結果是攻擊者可以很容易地嗅探到網絡名稱,獲得共享密鑰,從而連接到“受保護”的網絡上。

以太網MAC地址訪問控制表:MAC地址很容易的就會被攻擊者嗅探到,如激活了WEP,MAC地址也必須暴露在外;而且大多數的無線網卡可以用軟件來改變MAC地址。因此,攻擊者可以竊聽到有效的MAC地址,然后進行編程將有效地址寫到無線網卡中,從而偽裝一個有效地址,越過訪問控制。

[6]2 網絡安全概述

國際標準化組織（ISO）將“計算機安全”定義為：“為數據處理系統建立與采取的技術、管理的安全保護，保護計算機硬件、軟件等數據不因偶然和惡意的原因而遭到破壞、更改和泄漏”。計算機安全的定義涵蓋了物理安全和邏輯安全雙方面的內容，其邏輯安全的內容就可以理解為我們常說的信息安全，也就是指對信息的完整性、保密性和可用性的保護。而網絡安全的定義就是信息安全的擴展。計算機的網絡安全主要是指網絡系統的硬件設施、軟件設施以及系統中的數據受到保護，不會因為偶然的或者其他意外的原因而受到破壞、更改、泄露，同時要求在系統連續可靠的正常運行中，網絡服務不會中斷。在保證計算機本身安全的同時，也能使各個計算機用戶的利益有所保障。

[4]3無線局域網安全研究的發展與研究必要性

無線局域網在帶來巨大應用便利的同時,也存在許多安全上的問題。由于局域網通過開放性的無線傳輸線路傳輸高速數據,很多有線網絡中的安全策略在無線方式下不再適用,在無線發射裝置功率覆蓋的范圍內任何接入用戶均可接收到數據信息,而將發射功率對準某一特定用戶在實際中難以實現。這種開放性的數據傳輸方式在帶來靈便的同時也帶來了安全性方面的新的挑戰。

IEEE標準化組織在發布802.11標準之后,也已經意識到其固有的安全性缺陷,并針對性的提出了加密協議(如WEP)來實現對數據的加密和完整性保護。通過此協議保證數據的保密性、完整性和提供對無線局域網的接入控制。但隨后的研究表明,WEP協議同樣存在致命性的弱點。為了解決802.11中安全機制存在的嚴重缺陷,IEEE802.11工作組提出了新的安全體系,并開發了新的安全標準IEEE802.11i,其針對WEP機密機制的各種缺陷作了多方面的改進,并定義了RSN(Robust Security Network)的概念,增強了無線局域網的數據加密和認證性能。IEEE802.11i建立了新的認證機制,重新規定了基于802.1x的認證機制,主要包括TKIP(Temporal Key Integrity Protoco1),CCMP(Counter CBCMAC Protoco1)和WRAP(Wireless RobustAuthenticated Protoco1)等3種加密機制,同時引入了新的密鑰管理機制,也提供了密鑰緩存、預認證機制來支持用戶的漫游功能,從而大幅度提升了網絡的安全性。[5]WLAN面臨的安全問題

由于無線局域網采用公共的電磁波作為載體，電磁波能夠穿過天花板、玻璃、樓層、磚、墻等物體，因此在一個無線局域網接入點(Access Point)所服務的區域中，任何一個無線客戶端都可以接受到此接入點的電磁波信號，這樣就可能包括一些惡意用戶也能接收到其他無線數據信號。這樣惡意用戶在無線局域網中相對于在有線局域網當中，去竊聽或干擾信息就來得容易得多。

由無線局域網的傳輸介質的特殊性，使得信息在傳輸過程中具有更多的不確定性，受到影響更大，主要表現在以下幾類：

5.1 網絡竊聽

一般說來，大多數網絡通信都是以明文（非加密）格式出現的，這就會使處于無線信號覆蓋范圍之內的攻擊者可以乘機監視并破解（讀?。┩ㄐ拧＿@類攻擊是企業管理員面臨的最大安全問題。如果沒有基于加密的強有力的安全服務，數據就很容易在空氣中傳輸時被他人讀取并利用。

5.2 AP中間人欺騙

[7]

《寬帶無線接入技術》課程論文

在沒有足夠的安全防范措施的情況下，是很容易受到利用非法AP進行的中間人欺騙攻擊。解決這種攻擊的通常做法是采用雙向認證方法（即網絡認證用戶，同時用戶也認證網絡）和基于應用層的加密認證（如HTTPS＋WEB）。

5.3 WEP破解

現在互聯網上存在一些程序，能夠捕捉位于AP信號覆蓋區域內的數據包，收集到足夠的WEP弱密鑰加密的包，并進行分析以恢復WEP密鑰。根據監聽無線通信的機器速度、WLAN內發射信號的無線主機數量，以及由于802.11幀沖突引起的IV重發數量，最快可以在兩個小時內攻破WEP密鑰。

5.4 MAC地址欺騙

即使AP起用了MAC地址過濾，使未授權的黑客的無線網卡不能連接AP，這并不意味著能阻止黑客進行無線信號偵聽。通過某些軟件分析截獲的數據，能夠獲得AP允許通信的STA MAC地址，這樣黑客就能利用MAC地址偽裝等手段入侵網絡了。

MAC 地址在網上是明碼模式傳送，只要監聽網絡便可從中截取或盜用該MAC 地址，進而偽裝使用者潛入企業或組織內部偷取機密資料。

部分無線網卡允許通過軟件來更改其MAC 地址，可通過編程將想用的地址寫入網卡就可以冒充這個合法的MAC 地址，因此可通過訪問控制的檢查而獲取訪問受保護網絡的權限。

媒體訪問控制屬于硬件認證，而不是用戶認證。6.3 有線等效保密（WEP）

有線等效保密（WEP）是常見的資料加密措施，WEP安全技術源自于名為RC4的RSA數據加密技術，以滿足用戶更高層次的網絡安全需求。在鏈路層采用RC4對稱加密技術，當用戶的加密密鑰與AP的密鑰相同時才能獲準存取網絡的資源，從而防止非授權用戶的監聽以及非法用戶的訪問。

WEP的工作原理是通過一組40位或128位的密鑰作為認證口令，當WEP功能啟動時，每臺工作站都使用這個密鑰，將準備傳輸的資料加密運算形成新的資料，并透過無線電波傳送，另一工作站在接收到資料時，也利用同一組密鑰來確認資料并做解碼動作，以獲得原始資料。

WEP目的是向無線局域網提供與有線網絡相同級別的安全保護，它用于保障無線通信信號的安全，即保密性和完整性。但WEP提供了40位長度的密鑰機制存在許多缺陷，表現在：

位的密鑰現在很容易破解。

密鑰是手工輸入與維護，更換密鑰費時和困難，密鑰通常長時間使用而很少更換，若一個用戶丟失密鑰，則將危及到整個網絡。

WEP 標準支持每個信息包的加密功能，但不支持對每個信息包的驗證。

現在針對WEP的不足之處，對WEP加以擴展，提出了動態安全鏈路技術（DSL）。DSL采用了128 位動態分配的密鑰，每一個會話都自動生成一把密鑰，并且在同一個會話期間，對于每256個數據包，密鑰將自動改變一次。

6.4 端口訪問控制技術（IEEE802.1x）

端口訪問控制技術(802.1x)是 由IEEE 定義的，用于以太網和無線局域網中的端口訪問與控制。該協議定義了認證和授權，可以用于局域網，也可以用于城域網。802.1x 引入了PPP 協議定義的擴展認證協議EAP。EAP 采用更多的認證機制，如MD5、一次性口令等等，從而提供更高級別的安全。

802.1x是運行在無線網設備關聯，其認證層次包括兩方面:客戶端到認證端，認證端到認證服務器。802.1x 定義客戶端到認證端采用EAP over LAN 協議，認證端到認證服務器采用EAP over RADIUS 協議。

802.1x要求無線工作站安裝802.1x客戶端軟件，無線訪問站點要內嵌802.1x認證代理，同時它還作為Radius客戶無線局域網安全技術

為了有效保障無線局域網(WLAN)的安全性，針對性的對相應的問題做出控制、完善、最終得到解決問題的方法，就必須實現以下幾個安全目標：提供接入控制：驗證用戶，授權他們接入特定的資源，同時拒絕為未經授權的用戶提供接入；確保連接的保密與完好：利用強有力的加密和校驗技術，防止未經授權的用戶竊聽、插入或修改通過無線網絡傳輸的數據；防止拒絕服務（DoS）攻擊：確保不會有用戶占用某個接入點的所有可用帶寬，從而影響其他用戶的正常接入。

下面是業界常見的無線網絡安全技術： 6.1 服務區標識符(SSID)匹配

服務集標識符（SSID）技術將一個無線局域網分為幾個需要不同身份驗證的子網，每一個子網都需要獨立的身份驗證，只有通過身份驗證的用戶才可以進入相應的子網絡，防止未被授權的用戶進入本網絡，同時對資源的訪問權限進行區別限制。SSID是相鄰的無線接入點（AP）區分的標志，無線接入用戶必須設定SSID才能和AP通信。通常SSID須事先設置于所有使用者的無線網卡及A P中。嘗試連接到無線網絡的系統在被允許進入之前必須提供SSID，這是唯一標識網絡的字符串。但是SSID對于網絡中所有用戶都是相同的字符串，其安全性差，人們可以輕易地從每個信息包的明文里竊取到它。

6.2 無線網卡物理地址（MAC）過濾

每個無線工作站的網卡都有唯一的物理地址，應用媒體訪問控制（MAC）技術，可在無線局域網的每一個AP設置一個許可接入的用戶的MAC地址清單，MAC地址不在清單中的用戶，接入點將拒絕其接入請求。但媒體訪問控制只適合于小型網絡規模。這是因為：

[8]

《寬帶無線接入技術》課程論文

端，將用戶的認證信息轉發給Radius服務器。當無線工作站STA與無線訪問點AP關聯后，是否可以使用AP的服務要取決于802.1x的認證結果。802.1x除提供端口訪問控制能力之外，還提供基于用戶的認證系統及計費，特別適合于公共無線接入解決方案。

6.5可擴展認證協議（EAP）

802.1x認證技術是針對以太網而提出的基于端口進行網絡訪問控制的安全性標準草案。基于端口的網絡訪問控制利用物理層特性對連接到LAN端口的設備進行身份認證。如果認證失敗，則禁止該設備訪問LAN資源。盡管802.1x標準最初是為有線以太網設計制定的，但它也適用于符合802.11標準的無線局域網，且被視為是WLAN的一種增強性網絡安全解決方案。

802.1x體系結構包括三個主要的組件：

請求方（Supplicant）：提出認證申請的用戶接入設備，在無線網絡中，通常指待接入網絡的無線客戶機STA。

認證方（Authenticator）：允許客戶機進行網絡訪問的實體，在無線網絡中，通常指訪問接入點AP。認證服務器（Authentication Sever）：為認證方提供認證服務的實體。認證服務器對請求方進行驗證，然后告知認證方該請求者是否為授權用戶。認證服務器可以是某個單獨的服務器實體，也可以不是，后一種情況通常是將認證功能集成在認證方Authenticator中。

802.1x草案為認證方定義了兩種訪問控制端口：即“受控”端口和“非受控”端口。“受控端口”分配給那些已經成功通過認證的實體進行網絡訪問；而在認證尚未完成之前，所有的通信數據流從“非受控端口”進出。“非受控端口”只允許通過802.1X認證數據，一旦認證成功通過，請求方就可以通過“受控端口”訪問LAN資源和服務。下圖列出802.1x認證前后的邏輯示意圖。

與其他認證平臺進行對接；提供基于用戶的計費系統。802.1x認證技術的缺點：只提供用戶接入認證機制。沒有提供認證成功之后的數據加密；一般只提供單向認證；它提供STA與RADIUS服務器之間的認證，而不是與AP之間的認證；用戶的數據仍然是使用的RC4進行加密。

6.6 WPA(Wi-Fi 保護訪問)技術

Wi-Fi保護性接入（WPA）是繼承了WEP 基本原理而又解決了WEP 缺點的一種新技術。其原理為 根據通用密鑰，配合表示電腦MAC 地址和分組信息順序號的編號，分別為每個分組信息生成不同的密鑰。然后與WEP 一樣將此密鑰用RC4 加密處理。通過這種處理，所有客戶端的所有分組信息所交換的數據將由各不相同的密鑰加密而成。WPA還具有防止數據中途被篡改的功能和認證功能。

WPA 標準采用了TKIP、EAP 和802.1X 等技術，在保持Wi-Fi 認證產品硬件可用性的基礎上，解決802.11 在數據加密、接入認證和密鑰管理等方面存在的缺陷。結語

從本文的分析看來，無線網絡仍然無法獨立于有線網而存在，但卻克服了很多有線網絡中無法解決的問題。由于無線局域網傳輸信息的特殊性，安全問題對其就變成了一個重要的、急待解決的問題[9]。雖然如此，卻并不能限制無線技術的發展，甚至超越了現有的固定網絡。可以預見，無線局域網的安全研究仍將是一個熱點和重要對象；隨著無線技術的進步和無線局域網絡應用的日趨廣泛，研究者們對無線局域網安全的研究將會投入更多的關注和探討。針對不同的用戶、用戶環境給出相應的解決方案。為用戶提供更快的速率、更高的安全性、更方便的應用性的無線局域網技術標準也將出現。

[9]

參考文獻

[1] 汪濤.無線網絡技術導論[M].北京:清華大學出版社.2012

[2] 楊慧.網絡安全技術的發展現狀和未來發展趨勢[J].電腦知識與

技術,2010,35:9991-9993.[3] 嚴照樓,潘愛民.無線局域網的安全性研究[J].計算機工程與應

802.1x技術是一種增強型的網絡安全解決方案。在采用802.1x的無線LAN中，無線用戶端安裝802.1x客戶端軟件作為請求方，無線訪問點AP內嵌802.1x認證代理作為認證方，同時它還作為Radius認證服務器的客戶端，負責用戶與Radius服務器之間認證信息的轉發。802.1x認證技術的好處和優勢：802.1x協議僅僅關注受控端口的打開與關閉；接入認證通過之后，IP數據包在二層普通MAC幀上傳送；由于是采用Radius協議進行認證，所以可以很方便地

用,2004,05:139-141+203.[4] 趙暉.網絡安全概述[J].福建電腦,2007,04:75-76.[5] [1]張虎,衛克,陳偉鵬,付珂,趙尚弘.無線局域網安全研究的進展[J].網絡安全技術與應用,2006,02:74-76.[6] 王曼珠,何文才,楊亞濤,魏占禎.無線局域網IEEE802.11的安全缺

陷分析[J].微電子學與計算機,2005,07:189-192.[7] 趙玉娟.無線局域網安全機制研究[D].鄭州大學,2006.[8] 趙志飛.無線局域網安全技術研究[D].西安電子科技大學,2005.[9] 孫浩.無線網絡安全的解決方案研究[J].河南科技,2014,02:5-6.《寬帶無線接入技術》課程論文

第四篇：電力企業局域網的安全管理

摘要：文章分析了局域網的安全管理所涉及的問題，并根據自己的經驗提出了相應的解決方法。

關鍵字：系統、防火墻、INTERNET、信息安全、數據庫、病毒

隨著計算機信息技術的發展，網絡已成為我們生活的重要組成部分。但網絡在應用過程中也會帶來許多問題，由于頻繁使用互聯網，病毒的傳播日益猖獗，黑客的攻擊也越來越多，給局域網數據的管理、網絡的安全帶來很多問題，筆者從事局域網的管理工作多年，結合自己的工作實際，提出一些關于局域網的安全管理方面的經驗與教訓，供大家借鑒。

我們單位的局域網綜合了公司生產管理、經營管理、物資管理、安全管理、生產日報、月報等各方面的許多信息，并且這些信息都是每天靠相關專業人員寫進數據庫的，因此在使用中出現了許多問題，但通過我們的努力工作，網絡運行狀況一直良好。經驗告訴我們：要管好局域網，必須由局域網用戶和管理員共同來努力。

一.網絡管理員應作到的安全措施

1.加強服務器主機的獨立性

局域網中,通常有一臺以上的主服務器,提供所有計算機的連結并控制.這臺計算機就是黑客攻擊的主要目標.因此,企業內部應對服務器主機的安全性加強控制,盡可能將其獨立,不要將重要資料放置此處,將重要資料獨立放在內部機器上,這樣可保證資料的安全性、完整性。免費論文網[freelw.cn]免費畢業論文下載!

2.網絡分段

把網絡上相互間沒有直接關系的系統分布在不同的網段，由于各網段

間不能直接互訪，從而減少各系統被正面攻擊的機會。以前，網段分離是

物理概念，組網單位要為各網段單獨購置集線器等網絡設備?，F在有了虛

擬網技術，網段分離成為邏輯概念，網絡管理員可以在網絡控制臺上對網

段做任意劃分。

網絡分段可分為物理分段和邏輯分段兩種方式：

物理分段通常是指將網絡從物理層和數據鏈路層（ISO/OSI）模型中的第一層和第二層）上分為若干網段，各網段相互之間無法進行直接通訊。目前，許多交換機都有一定的訪問控制能力，可實現對網絡的物理分段。

邏輯分段則是指將整個系統在網絡層（ISO/OSI模型中的第三層）上進行分段。

例如，對于TCP/IP網絡，可把網絡分成若干IP子網，各子網間必須通過路由器、路由交換機、網關或防火墻等設備進行連接，利用這些中間設備（含軟件、硬件）的安全機制來控制各子網間的訪問。在實際應用過程中，通常采取物理分段與邏輯分段相結合的方法來實現對網絡系統的安全性控制。

3.防火墻技術

如果網絡在沒有防火墻的環境中，網絡安全性完全依賴主系統的安全性。在一定意義上，所有主系統必須通力協作來實現均勻一致的高級安全性。子網越大，把所有主系統保持在相同的安全性水平上的可管理能力就越小，隨著安全性的失策和失誤越來越普遍，入侵就時有發生。防火墻有助于提高主系統總體安全性。防火墻的基本思想——不是對每臺主機系統進行保護，而是讓所有對系統的訪問通過某一點，并且保護這一點，并盡可能地對外界屏蔽保護網絡的信息和結構。它是設置在可信任的內部網絡和不可信任的外界之間的一道屏障，它可以實施比較廣泛的安全政策來控制信息流，防止不可預料的潛在的入侵破壞。防火墻系統可以是路由器，也可以是個人機、主系統或者是一批主系統，專門用于把網點或子網同那些可能被子網外的主系統濫用的協議和服務隔絕。防火墻可以從通信協議的各個層次以及應用中獲取、存儲并管理相關的信息，以便實施系統的訪問安全決策控制。防火墻的技術已經經歷了三個階段，即包過濾技術、代理技術和狀態監視技術。

防火墻是一種用來阻止外面的未經授權的用戶的非法訪問你的網絡下的設備的工具，它通常是軟件和硬件的結合體。

為了更好地理解防火墻的工作原理，我們就使用以前提到過的例子來說明.首先，大多數網絡身份驗證除了用戶帳號和口令之外的，就是IP地址，IP地址是INTERNET網絡上最普遍的身份索引，它有動態和靜態兩種。

（1）動態IP地址指每次強制分配給不同上網機器的主機的地址。ISP提供的撥號服務通常是分配動態IP地址，一個撥號計算機通常每次撥號都有一個不同的IP但是總有一個范圍。

（2）靜態IP地址是固定不變的地址，它可以是某臺連入Internet的主機地址，靜態IP分幾類，一類是whois可以查詢到的，并且此類IP地址主要是Internet中最高層主機的地址，這些主機可以是域名服務器，httpd服務器（Web Server)、郵件服務器、BBS主機或者網絡棋類游戲服務器。另一類靜態IP地址被分配給Internet網絡中的第二層和第三層的主機，這些機器有固定的物理地址。然而他們不一定有注冊的主機名。

4.使用企業級殺毒軟件

在網絡病毒日益猖獗的今天，不管人們多么小心翼翼，仍然會難免碰翻病毒這個“潘多拉”盒子。在這時候，選擇一個功力高深的網絡版病毒“殺手”就至關重要了。一般而言，查殺是否徹底細致，界面是否友好方便，能否實現遠程控制、集中管理是決定一個“殺手”的三大要素。現在病毒日益猖獗，日常需要寫入服務器的單機的安全也特別重要，我建議購買企業版殺毒軟件，并控制寫入服務器的客戶端，網管可以隨時殺毒，保證寫入數據的安全性，服務器的安全性。免費論文網[freelw.cn]免費計算機論文下載!

最好選擇從事反病毒行業歷史比較悠久，在市場上有較高知名度企業研發的產品，千萬不能貪便宜選擇不知名廠商生產的廉價產品，不僅產品質量、售后服務得不到保證，而且一旦造成損失，將會得不償失。

5.防止黑客攻擊

隨著寬帶網絡的普及，個人服務器、家庭局域網如雨后春筍般出現在小區局域網和校園網中，他們根據自己的喜好開設的各種各樣的共享服務，為廣大網蟲們提供了豐富的共享資源，但由于自身的精力與資金的原因不能建立完善的防護體系，往往成為黑客和準黑客們的試驗品，造成數據的丟失或硬件的損壞。因此如何保證網絡安全及自身機器的安全就成了一個越來越重要的問題。

黑客與管理員是兩個互相獨立又互相了解的對立面，一個好的管理員如果不了解黑客的思路、做法，就無法來設置安全策略保護自己的網絡，而一個黑客如果不熟悉各種安全措施，在面對著種類繁多的防護措施又會無從下手，雙方為了攻擊與反擊想盡了方法，用盡了手段。正所謂“工欲善其事，必先利其器”，如果我們想要保護自己防范攻擊就必須先了解對方的想法和思路以及他們使用的方法和工具，這樣我們就可以根據他們所采用的方式方法來制定自己的安全策略，做到因法而異，準備以不變應萬變，來對抗入侵。黑客入侵常用方法如下：(責任編輯：免費論文網[freelw.cn]

●Data Diddling-------------未經授權刪除檔案，更改其資料（15.5%)●Scanner-------------利用工具尋找暗門漏洞(15.8%)

●Sniffer--------------監聽加密之封包(11.2%)●Denial of

Service-------------使其系

●Data Diddling-------------未經授權刪除檔案，更改其資料（15.5%)

●Scanner-------------利用工具尋找暗門漏洞(15.8%)

●Sniffer--------------監聽加密之封包(11.2%)

●Denial of Service-------------使其系統癱瘓（16.2%)

●IP Spoofing---------------冒充系統內網絡的IP地址(12.4%)

●Other------------其他

(13.9%)

知道了黑客的入侵方法，我們就可以對癥下藥。

如果要給黑客們分類的話，大致可以分成兩類。一類是偶然攻擊者，他們與前面提到的偶然威脅中的用戶可不一樣，他們往往無目的地攻擊服務器，試圖搜索里面的信息，這樣做的原因僅僅是為了滿足他們的好奇心，使他們過了一把當黑客的癮，這些人一般只會使用已有的黑客軟件，或者從網上照搬來的攻擊方法來試探系統漏洞?？傮w來說，水平一般，很業余，只要采取一般的保護措施，比如簡單的防火墻或者升級系統補丁就可以把他們屏蔽在外了。而對付另一類頑固攻擊者就沒有這么簡單了。他們大部分為網絡及編程高手，熟悉各種程序語言、操作系統及網絡各層間的協議，能夠自己編寫攻擊程序，找到系統的漏洞，發現侵入的方法。而且這些人的目的遠遠不只是為滿足一下自己的好奇心，而是為了商業機密，報復等原因。

現在我們再來說一下黑客幾種主要和常見的攻擊類型。拒絕服務攻擊，這是目前最常見的攻擊方式，一般是通過程序占用了主機上所有的資源，或者是在短時間內向主機發送大量數據包，影響其它正常數據交換，從而造成系統過載或系統癱瘓。網絡蠕蟲是目前最為常見的影響最大的實現拒絕攻擊服務的方法。此外通過中止TCP握手過程和郵件炸彈也可以實現拒絕服務攻擊。前門攻擊，這種攻擊方式最為直接，黑客會試圖以系統承認的合法用戶的身份登錄系統進行訪問。他們會直接試圖利用字母組合去破解合法的用戶名及密碼。由于使用了配置強大的計算機運算的破解程序，前門攻擊對于高級黑客來說也不是什么難事，所以當服務器日志中出現了大量登錄失敗的信息后，就說明很可能已經有黑客開始光顧服務器的前門了。天窗攻擊和特洛伊木馬攻擊很相似，前者是直接利用管理員留下的后門(就是用于系統檢測或故障維護的特殊用戶通道)侵入系統；而后者是通過一些駐留內存的程序(后門病毒，代碼炸彈等)，為非法入侵者打開一個隨時出入的特殊通道。IP欺騙和中間人攻擊是另外兩種類似的攻擊手段，第一種前面已經提過，通過新生成的IP報頭非法進入合法網絡進行通訊，而中間人攻擊則是首先通過IP欺騙獲得合法身份，然后截取網絡中的數據包獲取其中的數據，從這些數據竊取合法的用戶名和密碼。

管理員在配置服務器的安全策略時一定要小心謹慎，比如在配置授權服務時，盡量用自己的方式為每個用戶加上詳細的描述來表述其身份，這樣一旦發現新出現的用戶沒有描述，或未用你的方法進行描述，你可以立刻核對它的合法性，看是否為入侵后留下的額外控制賬號。配置數據保護和數據集成可以為主機上的各種數據提供授權保護和加密，這樣可以防止用戶在遠端登錄主機時，登錄信息被中途監聽、截獲，如果已經被截獲，可以防止被破解。安全策略是管理員手里最基礎的工具，有效地利用這個工具可以擊退大部分非法入侵。

做為要建立服務器的管理員，首先要評估和分析自己服務器會受到哪些入侵，以及自己服務器上哪些資源數據容易被別人攻擊。做好這樣的評析才能方便地建立自己的安全策略，花最小的代價建立好最妥當的防護方法。入侵監視軟件

也是管理員必備的武器之一，它替代管理員對流入流出服務器的數據進行監視，檢測其合法性。這類軟件都還有一個規則數據庫，用來和網絡中實時交流的數據進行檢測比較，通過那些合法的，中止那些非法的。管理員可以自行設置網絡規則和應變手段，比如在發現入侵后進行反跟蹤，找到入侵的源頭。或者是直接進行反擊，迫使黑客停止攻擊，轉入防御(比較常見的監聽軟件有ISS RealSecure、Axent Intruder Alert等)。而且在配置服務器時，盡量避免使用系統的默認配置，這些默認配置是為了方便普通用戶使用的，但是很多黑客都熟悉默認配置的漏洞，能很方便地、從這里侵入系統，所以當系統安裝完畢后第一步就是要升級最新的補丁，然后更改系統的默認設置。為用戶建立好詳細的屬性和權限，方便確認用戶身份以及他能訪問修改的資料。定期修改用戶密碼，這樣可以讓密碼破解的威脅降到最低。總之要利用好服務器自身系統的各種安全策略，就可以占用最小的資源，擋住大部分黑客了。

6.數據庫的安全保護：

服務器中的程序、數據是動態的，隨時變化，因此要作好備份工作，備份要多留幾份，這樣才使系統崩潰時，可以及時恢復數據，保證工作正常進行。

隨時修改口令、密碼，不要將密碼泄露出去，服務器不用時就進入鎖定狀態，免得由于誤錯做，引起故障，帶來不必要的麻煩。

二.局域網用戶應做的安全防護

許多企業內發生的網絡安全危機,有多半來自員工本身沒有具備基本的網絡安全常識.導致黑客有機會侵入計算機,達到破壞的目的.因此企業或個人加強本身的網絡保護知識,有絕對的不要.以下列出幾項,供各位參考.1.保密自己的口令、密碼。嚴禁帳號,密碼外借，密碼設置不要過于簡單,平時我們設定密碼時往往隨便就以簡單的數字,電話號碼,或單純的英文字母,單詞設定,這樣很不安全,很容易被輕易獲取.因此設定密碼愈復雜,就愈安全.密碼、帳號不要借給他人使用,避免不必要的麻煩.2.安裝在線殺毒軟件,隨時監視病毒的侵入，保護硬盤及系統不受傷害。常見的有KV3000、金山毒霸等，還要記得及時給病毒庫升級。這樣才能加強殺毒軟件的抗病毒能力。

3.瀏覽WEB時不要輕易打開來歷不明的電子郵件.常見黑客入侵的方式,都是先寄發內含入侵程序的電子郵件給對方,使收件人在不知情的情況下打開郵件,入侵程序便悄悄進駐你的計算機,這樣不僅會被竊取重要資料,而且會破壞你硬盤的所有資料.也有的黑客將郵件以HTM格式放在WEB頁上寄出,只要上網者輕輕一擊,你的計算機就種著了.4.不要隨便借你的計算機給別人使用

黑客會在你的計算機上種植木馬程序或獲取你的相關網絡資源密碼等, 以后他就可以在任何計算機上隨意獲取你的資源,監視你的一舉一動,控制你的計算機,使你的機器速度下降,甚至死機.(責任編輯：免費論文網[freelw.cn]

第五篇：局域網共享問題

局域網共享問題大全

一般情況

重新設置一下局域網,參照以下步驟:

1、工作組要相同。具體操作： 右鍵 我的電腦 屬性 計算機名 更改工作組。

2、禁用“GUEST”帳戶。具體操作：右鍵 我的電腦 管理 本地用戶和組 雙擊用戶 點 GUEST 右鍵 屬性 賬戶已停用前勾上。

3、更改本地帳戶的安全和共享模式為經典。具體操作：開始 設置 控制面板 性能和維護 管理工具 本地安全策略 安全選項 網絡訪問：本地賬號的共享和安全模式 選 “經典：本地用戶以自己的身份驗證”。

4、若想實現文件和打印機共享，要開啟各機的共享。

你試試，祝你成功！

若還是不行，可以參考

一、首先啟用guest來賓帳戶;

二、控制面板→管理工具→本地安全策略→本地策略→用戶權利指派里，“從網絡訪問此計算機”中加入guest帳戶，而“拒絕從網絡訪問這臺計算機”中刪除guest帳戶;

三、我的電腦→工具→文件夾選項→查看→去掉“使用簡單文件共享（推薦）”前的勾;

四、設置共享文件夾；

五、控制面板→管理工具→本地安全策略→本地策略→安全選項里，把“網絡訪問：本地帳戶的共享和安全模式”設為“僅來賓-本地用戶以來賓的身份驗證”（可選，此項設置可去除訪問時要求輸入密碼的對話框，也可視情況設為“經典-本地用戶以自己的身份驗證”）；

六、右擊“我的電腦”→“屬性”→“計算機名”，該選項卡中有沒有出現你的局域網工作組名稱，如“work”等。然后單擊“網絡

ID”按鈕，開始“網絡標識向導”：單擊“下一步”，選擇“本機是商業網絡的一部分，用它連接到其他工作著的計算機”；單擊“下一步”，選擇“公司使用沒有域的網絡”；單擊“下一步”按鈕，然后輸入你的局域網的工作組名，如“work”，再次單擊“下一步”按鈕，最后單擊“完成”按鈕完成設置。

七、檢查本地連接是否被禁用，右擊“本地連接”→“啟用”；

八、關閉網絡防火墻；

九、檢查是否啟用了域，是否加入了該域并檢查域設置；

十、檢查是否關閉了server服務；

十一、檢查本地連接IP、子網掩碼、網關及DNS設置是否有誤；

十二、“本地連接”→屬性→常規，檢查是否安裝了“Microsoft網絡文件和打印機共享”、“Microsoft網絡客戶端”以及TCP/IP協議；

十三、某些局域網游戲和軟件須安裝NetBEUI協議。而且網上有文章說，在小型局域網中，微軟在WinXP中只支持的TCP/IP協議和 NWLinkIPX/SPX/NetBIOS兼容協議表現不盡如人意，在小型局域網(擁有200臺左右電腦的網絡)中NetBEUI是占用內存最少、速度最快的一種協議。

十四、作為網絡瀏覽服務器的電腦由于病毒、配置低運行慢以及死機等原因導致網絡上的計算機列表得不到更新，使得某些機器有時候在網上鄰居中找不到。

解決辦法：最簡單的辦法是重啟各種網絡設備和電腦，或者關閉個別有上述問題的電腦上的網絡瀏覽服務器功能,方法如下： win2000/XP下禁用Computer Browser服務

十五、給系統打上補丁。WinXP訪問網上鄰居的速度較慢，這是WinXP的一個Bug，當我們打開網上鄰居時，操作系統首先會從計劃任務中進行查找，因此就大大影響了訪問的速度，除非您已經安裝了SP1補丁才不會存在這個問題。

可以手工解

決

這，一這問

題里

。有

從

注一

冊個

表

名中

找 為“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerRemoteComputerNameSpace”“{D6277990-4C6A-11CF-8D87-00AA0060F5BF}”的子鍵，該子鍵指向“計劃任務（ScheduledTasks）”，將它直接刪除即可。

十六、先卸載網卡驅動，重啟再重裝；

十七、硬件問題，檢查網卡、網線、集線器、路由器等，在檢查之前，最好先重啟一下網絡設備(集線器、交換機、路由器)看能否解決；

十八、病毒(木馬)原因。升級病毒庫安全模式下全盤殺毒。

自學內容

徹底解決XP網上鄰居共享

導致Windows XP網絡鄰居不能正確瀏覽或瀏覽列表不全的因素很多，解決問題需要對癥下藥，而診斷過程分兩個步驟：測試基本連接、解決文件共享問題。

一、解決基本連接問題。

1、檢查計算機之間的物理連接。

網卡是網絡連接的基本設備，在桌面計算機中，每個網卡后面的指示燈應該是亮的，這表示連接是正常的。如果不亮，請檢查集線器或交換機是打開的，而且每個客戶端連接的指示燈都是亮的，這表示鏈接是正常的。接下來檢查網線的水晶頭是否接觸良好。

2、確保所有計算機上都安裝了 TCP/IP，并且工作正常。

在Windows XP 中默認安裝了 TCP/IP。但是，如果出了網絡問題想卸載后重新安裝 TCP/IP 就不容易了：在“本地連接”屬性中顯示的此連接使用下列項目列表中單擊 Internet 協議(TCP/IP)項，您將發現卸載按鈕不可用（被禁用）。

這是因為傳輸控制協議/Internet 協議(TCP/IP)堆棧是 Microsoft XP/ 2003 的核心組件，不能刪除。在這種情況下，如果需要重新安裝 TCP/IP 以使 TCP/IP 堆?；謴蜑樵紶顟B?？梢允褂?NetShell 實用程序重置 TCP/IP 堆棧，使其恢復到初次安裝操作系統時的狀態。方法是：在命令提示符后鍵入以下命令，然后按 ENTER 鍵：netsh int ip reset c:resetlog.txt，其中，Resetlog.txt記錄命令結果的日志文件，一定要指定，這里指定了 Resetlog.txt 日志文件及完整路徑。運行此命令的結果與刪除并重新安裝 TCP/IP 協議的效果相同。

另外，不會還有人用95吧，WIN95默認情況下不自動安裝TCP/IP協議。

3、檢查IP地址

有幾種情況：

查看不同的計算機的IP是否在同一范圍內，方法是在MSDOS方式下輸入IPCONFIG/ALL。如果一臺計算機收到的地址在 192.168.0.x 范圍內，而另一臺收到的地址在 169.254.x.y 范圍內，需要根據網絡拓撲確定哪一個是正確的地址。然后，集中解決地址錯誤的那臺計算機的問題。

關于169.254.x.y類IP地址

在不存在 Internet 連接的情況中，或者，每臺計算機都有一個單獨的 Internet 連接（撥號連接或寬帶連接）。在這種配置中，計算機通常給自己分配 169.254.x.y 范圍內的 IP 地址（其中 x 和 y 是 1 到 254 之間的數字）。而將 ISP 提供的地址用于 Internet 連接。

關于192.168.0.X類IP地址

一臺計算機通過使用 Internet 連接共享連接到共享的Internet。該連接可以是撥號連接或寬帶連接（一般是 xDSL 或電纜調制解調器）。該計算機也被稱為代理服務器，常見的代理有SYGATE、WINGATE、NAT、ISA、*****ROXY等。通常是由代理服務器負責為家庭網絡中的其他計算機分配 IP 地址。共享連接的計算機應該為連接到家庭網絡的網卡配置 IP 地址 192.168.0.1。網絡上其他計算機的地址應在 192.168.0.x 范圍內（其中 x 是 2 到 254 之間的數字）。當然，可以在成功共享后修改IP地址，如10.X.Y.Z等。

計算機連接到集線器，并且集線器通過寬帶連接與 Internet 連接。這種配置也稱為無邊界網絡。在這種配置中，家庭網絡中的每臺計算機都有一個 Internet 服務提供商(ISP)提供的 IP 地址。使用的地址因 ISP 而異。無邊界網絡是一種特殊情況。在這種情況下應使用 ICF，但必須采取其他措施才能在家庭網絡啟用連接。

4、使用 ping 命令測試網絡中兩臺計算機之間的連接：

ping 其它計算機IP，在命令提示處，鍵入 ping x.x.x.x（其中 x.x.x.x 是另一臺計算機的 IP 地址），然后按 ENTER 鍵。應該可以看到來自另一臺計算機的幾個答復，如：

Reply from x.x.x.x:bytes=32 time<1ms TTL=128

如果沒有看到這些答復，或者看到“Request timed out”，說明本地計算機可能有問題。如果 ping 命令成功執行，那么您就確定了計算機可以正確連接，可以跳過下一步。如果沒有看到這些答復，或者看到“Request timed out”，說明本地計算機可能有問題。PING 本地IP，如果看到“Request timed out”，說明本地計算機可能有問題。

5、使用 ping 命令測試網絡中名稱解析是否正常

ping computername，其中 computername 是遠程計算機的名稱。通過 ping 命令用名稱測試計算機連接。確定計算機的名稱的方法是：在命令提示處，輸入SYSTEMINFO?；蛘咴谧烂嫔嫌覔粑业碾娔X-屬性，然后單擊計算機名稱選項卡。如果看到該命令的成功答復，說明您在計算機之間具有基本連接和名稱解析。名稱解析跟NETBIOS密切相關，看下面的步驟。

6、分析日志

檢查“網絡安裝向導”日志文件中沒有成功執行的任何步驟中的錯誤。打開該日志的方法是依次單擊開始、運行，鍵入 %SystemRoot%nsw.log，然后按 ENTER 鍵。如果 Nsw.log 文件沒有提供有關該問題的信息，請檢查系統日志中的錯誤并查明錯誤原因。

二、解決文件和打印機共享問題

1、正確安裝網絡組件

首先右擊網上鄰居－屬性，選擇要共享的網卡。把IP設置在局域網的同一個網段上。比如192.168.0.X網段。然后看一下TCP/IP的高級屬性中，是否開啟NETBIOS。在利用WINNT4.0 構建的網絡系統中，對每一臺主機的唯一標識信息是它的NetBIOS名，系統是利用WINS服務、信息廣播方式及Lmhost文件等多種模式將NetBIOS名解析為相應IP地址，從而實現信息通訊。在內部網絡系統中（也就是通常我們所說的局域網中），利用NetBIOS名實現信息通訊是非常方便、快捷的。但是在Internet上對一臺主機的唯一標識信息是它的FQDN格式的域名（http://www.tmdps.cn/），在Internet是利用DNS標準來實現將域名解析為相應IP地址，WIN2K支持動態DNS，運行活動目錄服務的機器可動態地更新DNS表。WIN2K網絡中可以不再需要WINS服務，但是WIN2K仍然支持WINS，這是由于向后兼容的原因。目前，大多數網絡是混合網，既有Win98等系統，又有WINXP/WIN2K等系統，因此需要在TCP/IP協議上捆綁NETBIOS解析計算機名。

查看是否選定“文件和打印服務”組件，如果已將其取消選中，“瀏覽服務”將不綁定到 NetBIOS 接口。成為備份瀏覽器并且沒有啟用“文件和打印共享”的基于 Windows 的計算機無法將瀏覽列表與客戶機共享。任何將要包括在瀏覽列表中的計算機也都必須啟用“文件和打印共享”。

2、啟動“計算機瀏覽器”服務

計算機瀏覽器“服務在網絡上維護一個計算機更新列表，并將此列表提供給指定為瀏覽器的計算機。如果停止了此服務，則既不更新也不維護該列表。

啟動”計算機瀏覽器“服務

單擊開始，右擊我的電腦，然后單擊管理。

在控制臺樹中，展開”服務和應用程序“。

單擊服務。

在右邊的詳細信息窗格中，檢查”計算機瀏覽器“服務是否已啟動，右擊計算機瀏覽器，然后單擊啟動。

關閉”計算機管理"窗口。

3、查看共享文件夾

請依次單擊開始、運行，鍵入 fsmgmt.msc，然后單擊確定。在左窗格中，單擊共享。右窗格中隨即出現共享文件夾列表。記下每臺計算機的相應共享名稱。

4、起用Guest（來賓）帳戶

Windows XP的Guest帳戶允許其他人使用你的電腦，但不允許他們訪問特定的文件，也不允許他們安裝軟件。對 Windows XP Home Edition 計算機或工作組中的 Windows XP Professional 計算機的所有網絡訪問都使用來賓帳戶。使用net user guest確保為網絡訪問設置了來賓帳戶，如果該帳戶是活動的，命令輸出中會出現一行類似下面這樣的內容：Account active Yes；如果該帳戶不是活動的，請使用下面的命令授予來賓帳戶網絡訪問：

net user guest /active:yes

5、允許Guest（來賓）帳號從網絡上訪問。

在運行里輸入gpedit.msc，彈出組策略管理器，在?計算機配置-Windows設置-本地策略-用戶權利指派?中，有“拒絕從網絡訪問這臺計算機”策略阻止從網絡訪問這臺計算機，其中居然有GUEST帳號，誰能訪問這臺計算機。解決辦法是刪除拒絕訪問中的GUEST帳號。如圖

6、設置防火墻允許瀏覽服務

網絡安全重要，所以最好開啟網絡防火墻，但是防火墻阻斷正常的網絡瀏覽服務通訊，結果是別人在網上鄰居中看不到你的計算機，有沒有兩全其美的辦法在開啟防火墻的前提下允許瀏覽服務。辦法是，如果開啟了ICF，打開屬性，在服務這欄，選擇添加，添加服務的對話框共有四個編輯框，最上邊是描述服務名稱，以便于記憶，從上到下第二個是應用服務的IP地址或名稱，輸入127.0.0.1表示本機。下面連個是內外端口號，旁邊的tcp/udp標示這個端口是udp連接還是tcp連接。

按照下面的表格輸入3個服務

8、設置帳號和密碼

由于WinNT內核的操作系統，在訪問遠程計算機的時候，好像總是首先嘗試用本地的當前用戶名和密碼來嘗試，可能造成無法訪問，在這里把用戶密碼添加進去就可以了。

查看計算機IBMZB上有哪些共享文件夾，如D。再輸入NET USE Z:IBMZBD將計算機IBM-ZB共享的文件夾D映射為H：盤，在命令提示符下鍵入“Z:”。你會發現你已經連到IBMZB計算機上了