實(shí)現(xiàn)內(nèi)網(wǎng)數(shù)據(jù)安全的措施

內(nèi)網(wǎng)基本上是采用以廣播為技術(shù)基礎(chǔ)的以太網(wǎng)，任何兩個(gè)節(jié)點(diǎn)之間的通信數(shù)據(jù)包，不僅為這兩個(gè)節(jié)點(diǎn)的網(wǎng)卡所接收，也同時(shí)為處在同一以太網(wǎng)上的任何一個(gè)節(jié)點(diǎn)的網(wǎng)卡所截取。

因此，黑客只要接入以太網(wǎng)上的任一節(jié)點(diǎn)進(jìn)行偵聽(tīng)，就可以捕獲發(fā)生在這個(gè)以太網(wǎng)上的所有數(shù)據(jù)包，對(duì)其進(jìn)行解包分析，從而竊取關(guān)鍵信息這就是以太網(wǎng)所固有的安全隱患。事實(shí)上，Internet上許多免費(fèi)的黑客工具，如SATAN、ISS、NETCAT等等，都把以太網(wǎng)偵聽(tīng)作為基本的手段。

當(dāng)前，可以采用一些措施實(shí)現(xiàn)內(nèi)網(wǎng)數(shù)據(jù)傳輸安全：

網(wǎng)絡(luò)分段

網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段，但其實(shí)也是保證網(wǎng)絡(luò)安全的一項(xiàng)重要措施。

其目的就是把非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法偵聽(tīng)。網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式。

內(nèi)網(wǎng)大多采用以交換機(jī)為中心、路由器為邊界的網(wǎng)絡(luò)格局，應(yīng)重點(diǎn)挖掘中心交換機(jī)的訪問(wèn)控制功能和三層交換功能，綜合應(yīng)用物理分段與邏輯分段兩種方法，來(lái)實(shí)現(xiàn)對(duì)局域網(wǎng)的安全控制。

例如在海關(guān)系統(tǒng)中普遍使用的DEC MultiSwitch 900的入侵檢測(cè)功能，其實(shí)就是一種基于MAC地址的訪問(wèn)控制，也就是上述的基于 數(shù)據(jù)鏈路層的物理分段。

交換式集線器代替共享式集線器

對(duì)局域網(wǎng)的中心交換機(jī)進(jìn)行網(wǎng)絡(luò)分段后，以太網(wǎng)偵聽(tīng)的危險(xiǎn)仍然存在。這是因?yàn)榫W(wǎng)絡(luò)終用戶的接入往往是通過(guò)分支集線器而不是中心交換機(jī)，而使用廣泛的分支集線器通常是共享式集線器。這樣，當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時(shí)，兩臺(tái)機(jī)器之間的數(shù)據(jù)包（稱為單播包Unicast Packet）還是會(huì)被同一臺(tái)集線器上的其他用戶所偵聽(tīng)。一種很危險(xiǎn)的情況是：用戶TELNET到一臺(tái)主機(jī)上，由于TELNET程序本身缺乏加密功能，用戶所鍵入的每一個(gè)字符（包括用戶名、密碼等重要信息），都會(huì)被明文發(fā)送，這就給黑客提供了機(jī)會(huì)。

因此，應(yīng)該以交換式集線器代替共享式集線器，使單播包僅在兩個(gè)節(jié)點(diǎn)之間傳送，從而防止非法偵聽(tīng)。當(dāng)然，交換式集線器只能控制單播包而無(wú)法控制廣播包（Broadcast Packet）和多播包Multicast Packet）。所幸的是，廣播包和多播包內(nèi)的關(guān)鍵信息，要遠(yuǎn)遠(yuǎn)少于單播包。

VLAN的劃分

為了克服以太網(wǎng)的廣播問(wèn)題，除了上述方法外，還可以運(yùn)用VLAN（虛擬局域網(wǎng)）技術(shù)，把以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信，防止大部分基于網(wǎng)絡(luò)偵聽(tīng)的入侵。

VLAN技術(shù)主要有三種：基于交換機(jī)端口的VLAN、基于節(jié)點(diǎn)MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN。

基于端口的VLAN雖然稍欠靈活，但卻比較成熟，在實(shí)際應(yīng)用中效果顯著，廣受歡迎�；贛AC地址的VLAN為移動(dòng)計(jì)算提供了可能性，但同時(shí)也潛藏著遭受MAC欺詐攻擊的隱患。而基于協(xié)議的VLAN，理論上非常理想，但實(shí)際應(yīng)用卻尚不成熟。

在集中式網(wǎng)絡(luò)環(huán)境下，通常把中心的所有主機(jī)系統(tǒng)集中到一個(gè)VLAN里，在這個(gè)VLAN里不允許有任何用戶節(jié)點(diǎn)，從而較好地保護(hù)敏感的主機(jī)資源。

在分布式網(wǎng)絡(luò)環(huán)境下，可以按機(jī)構(gòu)或部門的設(shè)置來(lái)劃分VLAN各部門內(nèi)部的所有服務(wù)器和用戶節(jié)點(diǎn)都在各自的VLAN內(nèi)，互不侵?jǐn)_。

VLAN內(nèi)部的連接采用交換實(shí)現(xiàn)，而VLAN與VLAN之間的連接則采用路由實(shí)現(xiàn)。大多數(shù)的交換機(jī)（包括海關(guān)內(nèi)部普遍采用的DEC MultiSwitch 900）都支持RIP和OSPF這兩種國(guó)際標(biāo)準(zhǔn)的路由協(xié)議。如果有特殊需要，必須使用其他路由協(xié)議（如cisco公司的EIGRP或支持DECnet的IS－IS），也可以用外接的多以太網(wǎng)口路由器來(lái)代替交換機(jī)，實(shí)現(xiàn)VLAN之間的路由功能。

當(dāng)然，這種情況下，路由轉(zhuǎn)發(fā)的效率會(huì)有所下降。

無(wú)論是交換式集線器還是VLAN交換機(jī)，都是以交換技術(shù)為核心，它們?cè)诳刂茝V播、防止黑客上相當(dāng)有效，但同時(shí)也給一些基于廣播原理的入侵監(jiān)控技術(shù)和協(xié)議分析技術(shù)帶來(lái)了麻煩。

因此，如果局域網(wǎng)內(nèi)存在這樣的入侵監(jiān)控設(shè)備或協(xié)議分析設(shè)備，就必須選用特殊的帶有SPAN（Switch Port Analyzer）功能的交換機(jī)。

這種交換機(jī)允許系統(tǒng)管理員把全部或某些交換端口的數(shù)據(jù)包映射到指定的端口上，提供給接在

這一端口上的入侵監(jiān)控設(shè)備或協(xié)議分析設(shè)備。