區域網在網路層有什麼不安全的地方嗎？(轉)

區域網在網路層有什麼不安全的地方嗎？(轉)[@more@]不安全的地方

由於區域網中採用廣播方式，因此，若在某個廣播域中可以偵聽到所有的資訊包，駭客就對可以對資訊包進行分析，那麼本廣播域的資訊傳遞都會暴露在駭客面前。

網路分段

網路分段是保證安全的一項重要措施，同時也是一項基本措施，其指導思想在於將非法使用者與網路資源相互隔離，從而達到限制使用者非法訪問的目的。

網路分段可分為物理分段和邏輯分段兩種方式：

物理分段通常是指將網路從物理層和資料鏈路層（ISO/OSI模型中的第一層和第二層）上分為若干網段，各網段相互之間無法進行直接通訊。目前，許多交換機都有一定的訪問控制能力，可實現對網路的物理分段。邏輯分段則是指將整個系統在網路層（ISO/OSI模型中的第三層）上進行分段。例如，對於TCP/IP網路，可把網路分成若干IP子網，各子網間必須透過路由器、路由交換機、閘道器或防火牆等裝置進行連線，利用這些中間裝置（含軟體、硬體）的安全機制來控制各子網間的訪問。在實際應用過程中，通常採取物理分段與邏輯分段相結合的方法來實現對網路系統的安全性控制。

VLAN的實現

虛擬網技術主要基於近年發展的區域網交換技術（ATM和乙太網交換）。交換技術將傳統的基於廣播的區域網技術發展為面向連線的技術。因此，網管系統有能力限制區域網通訊的範圍而無需透過開銷很大的路由器。

乙太網從本質上基於廣播機制，但應用了交換器和VLAN技術後，實際上轉變為點到點通訊，除非設定了監聽口，資訊交換也不會存在監聽和插入（改變）問題。

由以上執行機制帶來的網路安全的好處是顯而易見的：

資訊只到達應該到達的地點。因此、防止了大部分基於網路監聽的入侵手段。

透過虛擬網設定的訪問控制，使在虛擬網外的網路節點不能直接訪問虛擬網內節點。

但是，虛擬網技術也帶來了新的安全問題：

執行虛擬網交換的裝置越來越複雜，從而成為被攻擊的物件。基於網路廣播原理的入侵監控技術在高速交換網路內需要特殊的設定。基於MAC的VLAN不能防止MAC欺騙攻擊。

採用基於MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此，VLAN的劃分最好基於交換機埠。但這要求整個網路桌面使用交換埠或每個交換埠所在的網段機器均屬於相同的VLAN.

VLAN之間的劃分原則

VLAN的劃分方式的目的是保證系統的安全性。因此，可以按照系統的安全性來劃分VLAN；可以將總部中的伺服器系統單獨劃作一個VLAN，如資料庫伺服器、電子郵件伺服器等。也可以按照機構的設定來劃分VLAN，如將領導所在的網路單獨作為一個Leader VLAN（LVLAN）， 其他司局（或下級機構）分別作為一個VLAN，並且控制LVLAN與其他VLAN之間的單向資訊流向，即允許LVLAN檢視其他VLAN的相關資訊，其他VLAN不能訪問LVLAN的資訊。VLAN之內的連線採用交換實現， VLAN與VLAN之間採用路由實現。由於路由控制的能力有限，不能實現LVLAN與其他VLAN之間的單向資訊流動，需要在LVLAN與其他VLAN之間設定一個Gauntlet防火牆作為安全隔離裝置，控制VLAN與VLAN之間的資訊交流。