區域網在網路層有什麼不安全的地方嗎?(轉)
區域網在網路層有什麼不安全的地方嗎?(轉)[@more@]不安全的地方
由於區域網中採用廣播方式,因此,若在某個廣播域中可以偵聽到所有的資訊包,駭客就對可以對資訊包進行分析,那麼本廣播域的資訊傳遞都會暴露在駭客面前。
網路分段
網路分段是保證安全的一項重要措施,同時也是一項基本措施,其指導思想在於將非法使用者與網路資源相互隔離,從而達到限制使用者非法訪問的目的。
網路分段可分為物理分段和邏輯分段兩種方式:
物理分段通常是指將網路從物理層和資料鏈路層(ISO/OSI模型中的第一層和第二層)上分為若干網段,各網段相互之間無法進行直接通訊。目前,許多交換機都有一定的訪問控制能力,可實現對網路的物理分段。邏輯分段則是指將整個系統在網路層(ISO/OSI模型中的第三層)上進行分段。例如,對於TCP/IP網路,可把網路分成若干IP子網,各子網間必須透過路由器、路由交換機、閘道器或防火牆等裝置進行連線,利用這些中間裝置(含軟體、硬體)的安全機制來控制各子網間的訪問。在實際應用過程中,通常採取物理分段與邏輯分段相結合的方法來實現對網路系統的安全性控制。
VLAN的實現
虛擬網技術主要基於近年發展的區域網交換技術(ATM和乙太網交換)。交換技術將傳統的基於廣播的區域網技術發展為面向連線的技術。因此,網管系統有能力限制區域網通訊的範圍而無需透過開銷很大的路由器。
乙太網從本質上基於廣播機制,但應用了交換器和VLAN技術後,實際上轉變為點到點通訊,除非設定了監聽口,資訊交換也不會存在監聽和插入(改變)問題。
由以上執行機制帶來的網路安全的好處是顯而易見的:
資訊只到達應該到達的地點。因此、防止了大部分基於網路監聽的入侵手段。
透過虛擬網設定的訪問控制,使在虛擬網外的網路節點不能直接訪問虛擬網內節點。
但是,虛擬網技術也帶來了新的安全問題:
執行虛擬網交換的裝置越來越複雜,從而成為被攻擊的物件。基於網路廣播原理的入侵監控技術在高速交換網路內需要特殊的設定。基於MAC的VLAN不能防止MAC欺騙攻擊。
採用基於MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此,VLAN的劃分最好基於交換機埠。但這要求整個網路桌面使用交換埠或每個交換埠所在的網段機器均屬於相同的VLAN.
VLAN之間的劃分原則
VLAN的劃分方式的目的是保證系統的安全性。因此,可以按照系統的安全性來劃分VLAN;可以將總部中的伺服器系統單獨劃作一個VLAN,如資料庫伺服器、電子郵件伺服器等。也可以按照機構的設定來劃分VLAN,如將領導所在的網路單獨作為一個Leader VLAN(LVLAN), 其他司局(或下級機構)分別作為一個VLAN,並且控制LVLAN與其他VLAN之間的單向資訊流向,即允許LVLAN檢視其他VLAN的相關資訊,其他VLAN不能訪問LVLAN的資訊。VLAN之內的連線採用交換實現, VLAN與VLAN之間採用路由實現。由於路由控制的能力有限,不能實現LVLAN與其他VLAN之間的單向資訊流動,需要在LVLAN與其他VLAN之間設定一個Gauntlet防火牆作為安全隔離裝置,控制VLAN與VLAN之間的資訊交流。
由於區域網中採用廣播方式,因此,若在某個廣播域中可以偵聽到所有的資訊包,駭客就對可以對資訊包進行分析,那麼本廣播域的資訊傳遞都會暴露在駭客面前。
網路分段
網路分段是保證安全的一項重要措施,同時也是一項基本措施,其指導思想在於將非法使用者與網路資源相互隔離,從而達到限制使用者非法訪問的目的。
網路分段可分為物理分段和邏輯分段兩種方式:
物理分段通常是指將網路從物理層和資料鏈路層(ISO/OSI模型中的第一層和第二層)上分為若干網段,各網段相互之間無法進行直接通訊。目前,許多交換機都有一定的訪問控制能力,可實現對網路的物理分段。邏輯分段則是指將整個系統在網路層(ISO/OSI模型中的第三層)上進行分段。例如,對於TCP/IP網路,可把網路分成若干IP子網,各子網間必須透過路由器、路由交換機、閘道器或防火牆等裝置進行連線,利用這些中間裝置(含軟體、硬體)的安全機制來控制各子網間的訪問。在實際應用過程中,通常採取物理分段與邏輯分段相結合的方法來實現對網路系統的安全性控制。
VLAN的實現
虛擬網技術主要基於近年發展的區域網交換技術(ATM和乙太網交換)。交換技術將傳統的基於廣播的區域網技術發展為面向連線的技術。因此,網管系統有能力限制區域網通訊的範圍而無需透過開銷很大的路由器。
乙太網從本質上基於廣播機制,但應用了交換器和VLAN技術後,實際上轉變為點到點通訊,除非設定了監聽口,資訊交換也不會存在監聽和插入(改變)問題。
由以上執行機制帶來的網路安全的好處是顯而易見的:
資訊只到達應該到達的地點。因此、防止了大部分基於網路監聽的入侵手段。
透過虛擬網設定的訪問控制,使在虛擬網外的網路節點不能直接訪問虛擬網內節點。
但是,虛擬網技術也帶來了新的安全問題:
執行虛擬網交換的裝置越來越複雜,從而成為被攻擊的物件。基於網路廣播原理的入侵監控技術在高速交換網路內需要特殊的設定。基於MAC的VLAN不能防止MAC欺騙攻擊。
採用基於MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此,VLAN的劃分最好基於交換機埠。但這要求整個網路桌面使用交換埠或每個交換埠所在的網段機器均屬於相同的VLAN.
VLAN之間的劃分原則
VLAN的劃分方式的目的是保證系統的安全性。因此,可以按照系統的安全性來劃分VLAN;可以將總部中的伺服器系統單獨劃作一個VLAN,如資料庫伺服器、電子郵件伺服器等。也可以按照機構的設定來劃分VLAN,如將領導所在的網路單獨作為一個Leader VLAN(LVLAN), 其他司局(或下級機構)分別作為一個VLAN,並且控制LVLAN與其他VLAN之間的單向資訊流向,即允許LVLAN檢視其他VLAN的相關資訊,其他VLAN不能訪問LVLAN的資訊。VLAN之內的連線採用交換實現, VLAN與VLAN之間採用路由實現。由於路由控制的能力有限,不能實現LVLAN與其他VLAN之間的單向資訊流動,需要在LVLAN與其他VLAN之間設定一個Gauntlet防火牆作為安全隔離裝置,控制VLAN與VLAN之間的資訊交流。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10617731/viewspace-963598/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 網路安全中內網、外網是什麼?有什麼區別?內網
- 網際網路與物聯網有什麼區別?
- 網路安全中網路的五層協議包括什麼?作用有哪些?協議
- 網際網路安全與區塊鏈有什麼關聯區塊鏈
- 為什麼空白區域在網頁設計中重要網頁
- 【計算機網路】資料鏈路層——無線區域網與VLAN計算機網路
- 網際網路絡安全、資訊保安、計算機網路安全、資訊保障有什麼區別?計算機網路
- 什麼是外網?外網需要做等保嗎?與內網的區別是什麼?內網
- 用Delphi在區域網中實現網上影院 (轉)
- Token和cookie有什麼區別?網路安全工程都學什麼Cookie
- 程式設計師在網際網路公司和傳統軟體公司工作,有什麼區別?程式設計師
- 程式設計師在網際網路公司和行業軟體公司工作,有什麼區別?程式設計師行業
- CNN、RNN、DNN的內部網路結構有什麼區別?CNNRNNDNN
- 無線網路wifi和wlan有什麼區別?無線網路wifi和wlan的區別詳解WiFi
- 網路安全在研究什麼 網路協議與裝置 密碼學 (轉)協議密碼學
- 點量分享:IPTV和網路電視有什麼區別?
- 什麼是網路安全?網路安全體系分為哪些層次?
- 網站常用的狀態碼有什麼?網路安全技學習什麼網站
- 網際網路運營和傳統運營,到底有什麼區別
- 網路安全難學嗎?需要學什麼?
- 網路介面卡有什麼作用
- 你們眼中網路奇差的印度網際網路,將在這些地方超越中國
- 有做網路的小夥伴嗎
- 網路運維和網路安全運維有什麼區別?學哪個比較好?運維
- 網路安全中什麼是白帽、黑帽、灰帽駭客?有什麼區別?
- 【網路安全】病毒和木馬分別指什麼?兩者有什麼區別?
- 有沒有什麼網路請求攔截的庫?
- SAN儲存區域網路
- 連HTTPS都有漏洞,這麼不安全的網際網路我們還要繼續用嗎?HTTP
- 5G網路與4G相比,有什麼區別?
- session與token有什麼區別?網路安全基礎學習Session
- 網路安全中什麼是弱口令?有什麼風險?
- 什麼是網路攻擊?常見的網路攻擊手段有哪些?
- 網路釣魚是什麼?網路釣魚攻擊的形式有哪些?
- 網路安全技能好學嗎?能做什麼工作?
- 完成無線區域網路搭建構架的六要素(轉)
- 楊凱生:在網際網路金融上銀行已經做了什麼 網際網路企業正在做什麼?
- 網路安全DOS攻擊有什麼方式