如何为局域网内部进行网络分段

网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听。一般来说,网络分段可分为逻辑分段和物理分段两种方式。
1.逻辑分段
例如把局域网分成了192.168.0.X和192.168.1.X两个逻辑分段。由于两个IP地址段不存在相同的广播地址,从而可以有效地避免相互间的攻击和病毒扩散。而服务器如果添加合理的管理软件,更可以实现对两个网络分段的通信管理,如可以实现服务器管理“192.168.0.1~192.168.0.X”中的哪些计算机能够访问另一网段的“192.168.1.1”计算机;反之也可以屏蔽它们之间的相互通信。
2.物理分段
目前的局域网,很少使用纯粹的物理分段来提高安全性。一般多采用以交换机为中心、路由器为边界的网络格局,重点挖掘中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制。例如:普遍使用的DEC MultiSwitch 900的入侵检测功能,就是一种基于Mac地址的访问控制,也就是一种数据链路层的物理分段形式。

 

 
如何解决局域网内盗用IP地址的问题? IP地址盗用方法多种多样,其常用方法主要有以下几种:第一,静态修改IP地址;第二,成对修改IP-MAC地址。每一个网卡的MAC地址在所有以太网设备中必须是惟一的,它由IEEE分配,是固化在网卡上的,一般不能随意改动。但是现在有一些兼容网卡,其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址,那静态路由技术就无能为力了。
对于那些MAC地址不能直接修改的网卡来说,还可以采用软件的办法来修改MAC地址,即通过修改底层网络软件达到欺骗上层网络软件的目的。
方法一,交换机控制。解决IP地址盗用最彻底的方法是使用交换机进行控制,即在TCP/IP第二层进行控制,使用交换机提供的端口的单地址工作模式,即交换机的每一个端口只允许一台主机通过该端口访问网络,任何其他地址的主机的访问被拒绝。
方法二,路由器隔离。采用路由器隔离的主要依据是MAC地址作为以太网卡地址在全球具有惟一性,而且不能改变。其实现方法为通过SNMP协议定期扫描各路由器的ARP表,获得当前IP地址和MAC的对照关系,和事先合法的IP地址和MAC地址比较,如不一致,则视为非法访问。
对于非法访问,有几种办法可以制止,如:使用正确的IP地址与MAC地址映射覆盖非法的IP-MAC表项;向非法访问的主机发送ICMP不可达的欺骗包,干扰其数据发送;修改路由器的存取控制列表,禁止非法访问。路由器隔离的另外一种实现方法是使用静态ARP表,即路由器中IP与MAC地址的映射不通过ARP来获得,而采用静态设置。这样,当非法访问的IP地址和MAC地址不一致时,路由器根据正确的静态设置转发的帧就不会到达非法主机。
路由器隔离技术能够较好地解决IP地址的盗用问题,但是如果非法用户针对其理论依据进行破坏,成对修改IP-MAC地址,就无能为力了。
方法三,防火墙与代理服务器。使用防火墙与代理服务器相结合,也能较好地解决IP地址盗用的问题。防火墙用来隔离内部网络和外部网络,用户访问外部网络通过代理服务器进行。使用这样的办法是将IP地址防盗放到应用层来解决,变IP地址管理为用户身份和口令的管理。
这样实现的好处是,合法用户可以选择任意一台IP主机使用,通过代理服务器访问外部网络资源。而无权用户即使盗用了IP地址,也没有身份和密码,不能使用外部网络,失去了盗用的意义。
使用防火墙和代理服务器的缺点也是明显的,由于访问外部网络对用户不是透明的,增加了用户操作的麻烦。

 
如何通过查看开放端口来判断电脑感染了什么木马? 首先,使用Windows自带的netstat命令来检查一下机器开放的端口,进入到命令行下,使用netstat命令的a和n两个参数,显示结果如下所示:
C:\>netstat -an
  Active Connections
  Proto Local Address Foreign Address State
  TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
  TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
  TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING
  UDP 0.0.0.0:445 0.0.0.0:0
  UDP 0.0.0.0:1046 0.0.0.0:0
    UDP 0.0.0.0:1047 0.0.0.0:0
Active Connections是指当前本机活动连接,Proto是指连接使用的协议名称,Local Address是本地计算机的 IP 地址和连接正在使用的端口号,Foreign Address是连接该端口的远程计算机的 IP 地址和端口号,State则是表明TCP连接的状态。
可以看到后面三行的监听端口是UDP协议的,所以没有State表示的状态。这台机器的7626端口已经开放,而且正在监听等待连接,像这样的情况极有可能是已经感染了木马。这时就需要先断开网络,然后立即用杀毒软件查杀。