内部局域网安全防止非法接入.pdfVIP

内部局域网安全防止非法接入

内部局域网安全防止非法接入2010-05-1911：32内部局域网非法接入问

题，是目前各大中型企业内网安全所面临的重要问题，如何有效的对接入网络

的计算机及网络设备进行监控与管理，是内部局域网能否安全运转的前提。

随着我国信息化的推进和发展，各大中型企业内部网络规模日益庞大，网

络应用日益频繁。网络的庞大化和复杂化，导致网络安全风险越来越严重。内

网安全已成为各大中型企业用户极为关注的问题。

对于各企事业单位，如果局域网非法接入问题不能有效的解决，其内部网

络则处在一个不可控状态下。任何人员都可以通过网内任意接口接入，盗用合

法身份，进行非法活动，而网管人员确无法及时有效的发现和阻断。

企业网信息系统非法接入问题是复杂而多样的，其复杂性导致了企业信息

系统网络接入安全机制的复杂性，本文针对内网非法接入问题，结合实际网络

环境、相关网络设备的安全特性、网络安全管理等问题，对大中型企业内部局

域网非法接入进行域网非法接入进行了深了深入入研究研究。各。各种种各各样样的的局域网局域网

在论述大中型企业内部局中域网非法接入问题之前，我们先对文中所提到

的一些概念进行解释。

大中型企业局域网：局域网是将分散在有限地理范围内的多台计算机，通

过光纤或双绞线进行网络通信，并与外界物理隔离，仅用于内部办公管理、协

同设计、生产流转的应用网络。而大中型企业局域网，是指数据节点在600点

以上的企业内部局域网。其网点数量大，用户群构成复杂，网络不易管理。

虚拟局域网，VLAN是一种将网络设备从逻辑上划分成一个个网段，从而实

现虚拟工作组的数据交换技术。VLAN技术主要应用于交换机和路由器中，VLAN

的的优点有三个：(1)端口的分隔。即便在同一个交换机上，处于不同VLAN的

端口也是不能通信的。(2)网络的安全。不同VLAN不能直接通信，杜绝了广播

风暴的产生。(3)灵活的管理。更改用户所属的网络不必换端口和连线，只更改

软件配置就可以了。其中动态VLAN是VLAN中一种基于源MAC地址，动态的在

交换机端口上划分VLAN的方法。

IEEE802.1X：是一种基于用户ID或者设备来进行网络客户端口的身份认

证，被称为证，被称为基于端口的访问控制协议基于端口的访问控制协议。802.1x认证系统由申请者、认证者以

及认证服务器组成。局域网非法接入：针对大中型企业内部局域网，非法用户

通过使用非内网认证计算机，未经授权接入局域网内部，对企业局域网内的信

息进行非授权访问。防非法接入系统就是为解决这个问题而进行设计的。

局域网防非法接入的常用技术比较

企业内部局域网防非法接入技术分两类，一类是基于网络代理服务器的技

术，另一类是基于网络层的技术。基于代理服务器的技术

这类技术是指在局域网内部核心服务器群前端，安装接入服务器或接入网

关，结合客户端登录认证，实现C/S模式的安全接入认证系统。其实现功能如

下：防止基于proxy服务器非法上网；防止基于NAT的代理服务器非法上网；

防止通过修改IP和MAC地址非法接入。这种技术可有效的控制非法机器对局域

网内重要服务器群的非法访问，但对于企业局域网内部重要客户端机器，则无

法进行有效保护。基于网络层的防非法接入技术

这类技术是基于网络互联设备的安全特性来实现的。目前可网管的交换机

上基本都具有下述安全机制。基于端口绑定的防非法接入技术

该技术是通过对交换机的物理端口，进行MAC和IP地址绑定设置，有效的

控制网内主机对局域网的访问。该技术的优点是对非法接入的控制,安全高效，

缺点是不适合大中型网络的使用，其端口设置固定，客户机无法灵活移动。基

于IEEE802.1x协议的防非法接入技术

基于IEEE802.1x协议的认证机制，是一种基于用户ID来进行交换机端口

通通讯讯的身份认证，被称为的身份认证，被称为基于端口的访问控制协议基于端口的访问控制协议。802.1x认证系统由申请

者、认证者以及Radius认证服务器组成。提供基于端口监听的网络接入控制技

术，在网络设备的物理接入层对接入设备进行认证和控制。它将网络设备接入

端口逻辑上分为可控端口和不可控制端口。根据用户帐号和密码，由认证服务

器认证，以决定该端口是否打开，对于非法用户接入或没有用户接入时，则该

端口处于关闭状态。接入认证通过之后，IP