局域网空间内网络安全的实现分析

摘 要

本文通过阐述本研究的背景，介绍了本项研究的意义，然后从工作原理、发展历程和作用等方面介绍局域网空间内最主要的两种安全防护技术——防火墙技术和入侵检测系统，分析了局域网内主要存在的安全问题，讲解局域网内主流网络攻击ARP攻击和DNS欺骗的原理和防御方法，讲述局域网中真实发生的网络安全案例，介绍局域网内网络安全防范方法，系统阐述了局域网内网络安全的实现和安全现状，来让互联网用户认识到网络安全的重要性，了解局域网网络安全实现机制，学会局域网内安全防护方法，从而在平时使用互联网的过程中自觉注意安全防范，保护自己的网络安全。

关键词： 局域网 网络安全 局域网攻击

Abstract

This thesis expounds the background of this research, introduces the significance of this research, and then from the working principle, development history and function of the LAN space of the most important two kinds of security protection technology - firewall technology and intrusion detection system, analyzes the main security problems in the LAN. Explain the principle and defense methods of ARP attack and DNS spoofing, describe the real network security cases in the LAN, introduce the network security prevention methods in the LAN, systematically expatiate the implementation and security status of the network security in the LAN, so as to let Internet users realize the importance of network security and understand the implementation mechanism of LAN network security. Learn the LAN security protection methods, so as to consciously pay attention to security precautions in the process of using the Internet at ordinary times, to protect their own network security.

Key words: LAN Network security LAN attack

目 录

第1章 绪论1

1.1 引言1

1.2 研究背景1

1.3 研究内容及意义2

第2章 局域网安全防护技术3

2.1 防火墙技术3

2.1.1 防火墙介绍3

2.1.2 防火墙工作原理及发展历程3

2.2 入侵检测系统（IDS）6

2.2.1 简介6

2.2.2 工作原理6

2.2.3 作用和意义7

第3章 局域网中存在的安全问题9

3.1 用户缺乏安全意识9

3.2 局域网内网络攻击行为9

3.2.1 ARP攻击9

3.2.2 DNS欺骗12

第4章 局域网中的网络安全事件14

4.1 因未遵守网络安全管理制度造成的安全事件14

4.2 因网络攻击导致的安全事件14

4.3 因不当的安全配置导致的安全事件14

第5章 局域网安全防范措施16

5.1 提高网络安全意识16

5.1.1 及时安装安全更新16

5.1.2 设置有一定强度的密码16

5.1.3 访问正规网站16

5.1.4 不要随意输入个人信息16

5.1.5 不随意打开陌生邮件和陌生链接17

5.2 完善网络安全管理制度17

5.3 针对网络攻击采取防御措施17

5.3.1 针对ARP攻击采取防御措施17

5.3.2 针对DNS欺骗采取防御措施19

第6章 总结21

参考文献22

致 谢23

局域网空间内网络安全实现分析

第1章 绪论

1.1 引言

1946年，世界上第一台电子计算机在美国宾夕法尼亚大学诞生，这一事件成为现代计算机技术发展的重要起点[1]。随着时间的推移，电子计算机也不断得到改进和发展。1969年，美国国防部创建了ARPANET，这是人类历史上第一个分组交换网，被认为是互联网的前身。1973年，ARPA互连网络在美国创建了，这为后来形成的互联网提供了基础和支持，被视为互联网的雏形。1983年，TCP/IP协议作为互联网的标准协议正式确立[2]，这标志着互联网正式诞生，随后互联网便开始了其改变世界的旅程。1984年互联网主机数超过1000，1987年主机数超过10000，1989年主机数突破10万，1992年主机数突破100万，1996年主机数突破1000万。现在接入互联网的主机已经几十亿台，据IWS前瞻产业研究院数据，截至2022年6月30日，全球互联网用户数量已达53.86亿人。可以说，互联网已经渗透到了几乎每一个现代人的生活和工作中。

但是与此同时，网络安全事件也不断发生，一次次地为我们敲响警钟，网络安全问题必须被重视，而作为互联网基础组成部分的局域网安全问题更是必须要重视。与此同时，也有一些人自身重视网络安全，但是却缺乏网络安全知识，不知道要如何保护自己的网络。像前段时间网上盛传的拼多多手机APP利用Android手机系统漏洞在用户手机提权，实现后台常驻以及窃取隐私等行为的事件，虽然没有官方定论，网传事件是否是事实仍然存疑，但是该事件如此大的网络热度，如此快的传播速度，也说明了至少也是有相当一部分人是重视网络安全的，但是具有网络安全知识的人却占比极少，所以普及网络安全知识，尤其是局域网内的网络安全知识极为重要。

1.2 研究背景

互联网可以大体上看作是由无数局域网联合而成的，局域网是互联网的“毛细血管”。随着互联网的飞速发展，局域网的数量也大幅上升。尤其是随着近十几年智能手机、平板电脑等设备的快速发展，以及物联网的发展带来的智能家居等设备的兴起，不少人在家里组建了由电脑、智能手机、平板电脑、智能音箱、智能空调等设备组成的局域网。而近几年由于自动驾驶汽车、电车的影响，再加之5G网络技术的愈发成熟，可联网的智能汽车也如雨后春笋般出现，几乎可以预见这便是未来汽车的发展方向。所以现代人的生活与局域网的联系可以这样被描画：在家使用由智能手机、计算机、平板电脑和智能家居等设备组成的家庭局域网，出门使用由智能手机和智能汽车组成的局域网，上班办公使用公司内部的局域网，出门进行下馆子、剪头发等消费行为时使用商家的局域网。几乎可以说现代人的生活与局域网是无时无刻不产生联系的。

但是在局域网被大量使用的同时，人们对于网络安全问题的重视却不够。大部分人在平时并不重视网络安全，也不重视自己的隐私安全。像震网病毒瘫痪伊朗核设施事件、美国棱镜门事件和不久前的西北工业大学被美国国安局网络攻击事件等很多网络安全事件不断被爆出。这些事件都反映了网络安全问题的重要性以及网络安全问题不够被重视这个矛盾。所以普及网络安全知识，让人们认识到网络安全的重要性，是有重要的意义的。

1.3 研究内容及意义

本篇文章主要分为四部分内容，分别是局域网网络安全防护技术、局域网中存在的主要安全问题、局域网中发生的网络安全事件案例以及可采取的局域网内安全防护措施。下面介绍各部分的主要内容以及其意义。

局域网网络安全防护技术旨在介绍当前局域网空间内的主要安全防护技术，其中包括防火墙技术、IDS入侵检测系统等[3]。这些安全防护技术主要用于保护局域网的网络安全，通过介绍可以使互联网用户了解基本的有关局域网的网络安全知识。

主流局域网内网络攻击手段，主要介绍当今被黑客使用较多的局域网内网络攻击的手段，比如ARP攻击等，使用户了解网络攻击手段，在平时注意防护。

可采取的局域网内安全防护措施，通过讲解互联网用户可采取的局域网内的安全防护措施，提高互联网用户的安全防护能力，在平时使用互联网的过程中有能力采取安全防护措施。

局域网网络安全实例，通过介绍一些局域网网络安全的实例，使互联网用户认识到网络安全的重要性，并且加深对网络安全的认识。

通过以上研究内容，本篇文章预期使互联网用户认识到网络安全的重要性，并且有能力进行局域网内的安全配置，在使用互联网的过程中采取安全措施，保护自己局域网的网络安全，改善局域网安全环境。

第2章 局域网安全防护技术

2.1 防火墙技术

2.1.1 防火墙介绍

防火墙是隔离内网与外网的一道屏障，它是内网边界的一个保护层。所有进出内网的流量都要经过防火墙，防火墙对进出的流量进行检查，确认不是非法的流量才会允许通过。

防火墙分为软件防火墙和硬件防火墙，一般智能手机和电脑等联网设备在出厂时就内置了软件防火墙，通常情况下，软件防火墙只能保护单个设备而无法扩展到整个局域网；相比之下，硬件防火墙通常被配置在局域网络的出口，以保护整个局域网的网络安全。硬件防火墙可以起到更好的保护效果，一般都应用于企业，以及学校和医院等单位。

2.1.2 防火墙工作原理及发展历程

第一代防火墙大概产生于二十世纪八九十年代，主要是基于包过滤的原理。通过数据报首部里的信息（IP数据报首部格式见表2-1）进行过滤，过滤主要针对的是IP地址以及端口号（常见端口号见表2-2）。典型产品有Cisco ACL、IPFilter等。缺点是只检测数据报首部，不检测数据报里面的数据。

表2-1 IP数据报的首部固定部分内容及功能

表2-2 部分常见端口及其功能

第二代防火墙是基于状态检测的，大概产生于二十世纪九十年代中期。这一代防火墙技术是当今现代防火墙技术的核心。其原理是在接收到数据报后，为其创建一个会话，会话中包括源IP地址、源端口号、目的IP地址、目的端口号和协议等信息，并将所有会话存储到一个会话表中，在防火墙再接收到数据报时，就可以将其产生的会话与会话表中的会话相比对，如果匹配则可以放行。同时第二代防火墙还应用了ALG技术，可以识别部分协议的数据，一定程度上解决了第一代防火墙只检测首部，不检测数据部分的问题。同时也解决了有些协议的端口号是动态的，使用第一代防火墙难以配置的问题。第二代防火墙相比第一代不仅提高了安全性，而且还减轻了防火墙配置的工作量，提高了防火墙的工作效率。但是缺点是ALG技术可识别的协议还比较少，只有FTP、SIP、RTMP、DNS以及其他几种应用广泛的协议。

在大约九十年代后期产生了第三代防火墙——基于代理的防火墙。这一代防火墙主要专注于应用层，其可以检查数据报的数据部分，并根据实际的应用程序数据做出决策。

第四代防火墙大概产生于2000年前后，叫做Unified Threat Management(UTM)。这一代防火墙不仅仅有传统防火墙的功能，同时还集合了多种安全功能，比如：IDS/IPS、VPN、内容过滤、杀毒等，甚至还集合了垃圾邮件过滤功能。

第五代防火墙大概在2000年到2010年之间产生，叫做下一代防火墙。这一代防火墙对UTM防火墙进行了扩展，主要是大大加强了对应用数据的检测能力和提供了基于用户身份的安全策略。第二代和第三代防火墙对数据部分检测能力弱的问题在这时得到了解决。

现在使用的防火墙基本是第六代防火墙，大约是从2010年后开始发展的。这一代防火墙是基于云端和人工智能的防火墙，其特点是利用了云技术以及人工智能技术。这样做的好处就是由网络安全服务商提供防火墙服务，减小了以往各个单位、组织或者个人使用防火墙时由于管理制度不完善造成安全威胁，或者错误配置导致安全事件发生等的风险，而且由于采用了人工智能技术，防火墙可以实时获取网络上的威胁信息，实时对防火墙进行升级完善，大大提高了安全保护能力。这一代防火墙的典型产品有Zscaler、Cisco Umbrella和Netskope等。

2.2 入侵检测系统（IDS）

2.2.1 简介

入侵检测系统（IDS）是一种安全技术，旨在检测计算机网络或系统中的恶意活动。入侵检测的概念最早于1980年代就出现了。与防火墙不同的是，防火墙主要是专注于对抗外部威胁，而入侵检测系统则专注于对抗内部威胁。IDS通过监控计算机网路流量，审查网络数据包，发现安全事件或违规操作，进而生成警报或触发响应以进行预防或恢复。IDS可分为两大类：主机IDS和网络IDS。主机IDS监视单独的主机，并且可以检测与该具体主机相关的攻击和威胁。而网络IDS监视整个网络，一般是监视整个局域网，并检测潜在的安全威胁，例如未经授权的访问、网络蠕虫和拒绝服务攻击等。IDS具有实时监控、自动检测、日志记录、警告通知、攻击分类等功能。同时入侵检测系统还可以收集入侵行为的相关信息，从而有利于后续阻止安全事件的扩大。IDS根据检测规则、正则表达式和多种算法进行检测，可以随时更新规则库以改进检测能力。相对于传统的防火墙技术，IDS的警告通知机制和信息收集功能为用户应急决策提供信息，让用户及时做出有效的应急响应措施，避免系统遭受损害，更全面地保护计算机系统的安全，提高了对潜在安全威胁的发现和响应速度。

2.2.2 工作原理

入侵检测系统主要由事件产生器、事件分析器、响应单元和事件数据库构成[4]。这些模块协作，完成对网络攻击的检测、响应和记录。

IDS的事件收集器模块是IDS的重要组成部分，它定期从网络设备、操作系统、应用程序和其他系统中收集关于设备和应用程序的安全事件信息。事件收集器模块通过收集的事件生成警报，并将信息存储在IDS的事件日志中，同时也提供其他相关信息，例如攻击类型、攻击者的源地址、目标地址以及可能受影响的其他设备等。通过事件模块的监控，IDS能够更好地识别和审计与安全相关的事件，并自动通知网络和安全管理员以进行响应。此外，事件模块还可以根据对收集细节的调整、分析和处理，优化IDS中其他相关模块的检测和报告功能。

事件分析器是入侵检测系统的信息分析模块[5]。事件分析器对事件进行审查和警报，以便更好地识别和评估安全事件。事件分析器通过各种手段对事件进行统计、聚类、分类、分析和关联。事件分析器可以利用流量数据、设备数据、行为数据等多个方面的信息来验证是否存在安全威胁，以及确定被威胁的程度和风险的严重程度。该模块可以通过统计不同用户的不同行为来得出一个统计规律，当某一行为与统计规律相差大于某一数值时即认为入侵事件可能已经发生。事件分析器也可以将事件分析结果与其他数据源相互关联，比如配置信息、漏洞信息，从而进一步提高检测精度和先进性。通过事件分析器，IDS能够更好地帮助用户保护其网络和系统，避免成为黑客、病毒、蠕虫等安全威胁的目标。

响应单元是入侵检测系统的响应模块，当IDS检测到安全威胁时，响应单元模块会自动将生成的警报和事件直接通知网络和安全管理员进行响应[6]。响应单元模块提供了多种响应方式，包括自动阻止攻击来源，自动关闭相关设备或应用程序等。通过响应单元模块，IDS能够更好地对抗确认或预防网络或系统的潜在安全威胁。响应单元还可以提供一些高级功能，如防御、修复、重构和预防性调整，以缓解和降低安全风险。响应单元模块是IDS的最后一道防线，并且应该与其他安全相关系统应用跨域通信，以实现更好的安全协同。

事件数据库同样是IDS的重要组成部分之一。事件数据库模块可以存储和管理由IDS收集到的事件信息和数据。当事件被IDS检测到并生成警报时，事件数据将被存储在事件数据库模块中。事件数据库模块提供了丰富的查询和分析功能，以便用户对存储在数据库中的事件数据进行轻松的搜索和分析。通过分析事件数据库，用户可以确定发生在网络上的特定事件，并确定网络的安全状态。事件数据库模块还提供了可重复使用的数据，以便安全管理员在网络安全调查过程中可以随时获取历史数据，并探索各种安全事件的根本原因。此外，事件数据库模块也可以帮助用户构建更好的安全策略，并为IDS提供更好的可以应用的规则。

入侵检测系统通过事件产生器实时地收集各种事件信息，然后将信息交付事件分析器进行实时分析[7]，响应单元再对分析结果进行实时处理，事件处理完成后，关于该事件的相关信息全部储存到事件数据库中，以备查看。

2.2.3 作用和意义

入侵检测系统通过对系统进行实时的入侵行为检测，不仅可以使用户及时了解网络的变化，而且可以在入侵行为发生后及时响应处理，减小入侵行为造成的损害，甚至可以在入侵行为尚未对系统造成危害时就将其检测到，使入侵行为零危害，大大提高了系统的安全性。

而且入侵检测系统还弥补了防火墙只关注局域网外，对内网关注较少的缺点。入侵检测系统通过重点关注内网，大大减少了横向攻击的产生，与防火墙共同构成了全面的安全防护体系，有力地保护了局域网内部的安全。

第3章 局域网中存在的安全问题

3.1 用户缺乏安全意识

在局域网的安全防护中，用户缺乏网络安全方面的认识成为威胁局域网安全的一项核心因素。很多互联网用户对于个人的账号安全保护意识不够，比如为了追求方便给账号设置简单的口令，任意把账号和口令分享给别人或者转租给别人，随意登陆一些不安全网站或者在未经验证的网站上随意输入个人信息等。在2022年，著名密码管理工具NordPass在安全研究人员的帮助下分析了一个数据量高达3TB的密码数据库，结果显示被使用最多的密码竟然是“password”，竟有近500万人在使用。而排名第二和第三的密码是“123456”和“123456789”。由此可见很多互联网用户的安全意识不够强。

3.2 局域网内网络攻击行为

3.2.1 ARP攻击

（1） ARP协议

ARP协议即为地址解析协议（报文格式见表3-1），用于将网际协议地址（Internet Protocol Address）解析为其对应的局域网地址（Media Access Control Address）。在数据链路层，以太网MAC地址是要使用的物理地址。而数据报在网络上传输是依靠IP地址来寻找目的主机的。当数据报到达目的主机所在的局域网后，交换机或者路由器需要将数据报目的主机的IP地址转换为MAC地址，这时候便需要ARP协议发挥作用了。当路由器或者交换机得知目标地址的IP地址时，它会首先在它的ARP缓存中查找这个IP地址对应的MAC地址[8]。如果缓存中不存在该映射，则路由器或者交换机就会向网络广播ARP请求，要求其他主机告诉它该IP地址的MAC地址是多少。在响应ARP请求的设备中，只有具有请求的IP地址的设备会响应，返回一个应答帧，其中包含目标MAC地址。一旦路由器或交换机收到响应，它就会将返回的MAC地址添加到ARP缓存中，以便更快地完成下一次访问。除了交换机和路由器，局域网内的其他主机也可以使用ARP协议向目标主机发送ARP请求报文，以获取目标主机的MAC地址。因此，在局域网内通信时，ARP请求报文可以由多个设备发送。

表3-1 ARP报文格式（不包含以太网帧头部和尾部并且无描述）

（2） ARP攻击与欺骗原理

由于ARP应答报文并没有采取加密措施或者应答主机验证措施，导致了ARP攻击的产生，这是ARP协议设计时的考虑不周导致的。ARP攻击有多种形式。其核心都是攻击者通过伪造并发送ARP的应答包，将被攻击主机或者局域网内其他主机的IP地址与虚假MAC地址绑定，实行ARP攻击，达到使被攻击主机断网或者对其进行监视的目的。

可以利用ARP进行断网攻击。ARP攻击如果要想达到使被攻击主机断网的目的，可以有两种攻击方式：一种是攻击主机通过伪造被攻击主机的IP地址进行ARP应答包广播，由于后者优先的策略，在一段时间后局域网内的主机都会将被攻击主机的IP与错误MAC对应起来，便会导致被攻击主机断网；另一种是攻击者可以单播大量虚假的ARP应答报文到目标主机，从而让目标主机建立大量错误的IP地址和MAC地址间的映射，从而使目标主机无法将数据包正确发送出去，使目标主机断网。（攻击过程见图

添加图片注释，不超过 140 字（可选）

3-1）

图3-1 ARP断网攻击演示图

特殊的是，如果攻击者将网关作为攻击目标，将包含网关IP与虚假MAC地址映射的伪造的ARP应答包在局域网内大量广播，或者将局域网内主机的IP与虚假MAC地址映射的伪造的ARP应答包大量单播给网关，那么可以造成局域网内全部主机断网的后果。

还可以利用ARP进行窃听攻击。如果攻击者在进行ARP攻击的过程中，将自己的MAC地址作为虚假MAC地址伪造ARP应答包，则可以达到窃听的目的。

利用ARP进行窃听也有两种方式，一种是将网关IP与自己MAC地址组成的伪造ARP应答包单播给被攻击者，欺骗被攻击者自己是网关，同时将被攻击者的IP与自己MAC地址组成的伪造ARP应答包单播给网关，欺骗网关自己是被攻击主机，这样网关和被攻击主机之间的流量就会发送给攻击者，攻击者再开启转发功能，将收到的流量转发给真正的目的主机，这样攻击者就相当于对被攻击主机进行了代理，就可以对其的上网流量进行窃听。（攻击过程见图3-2）

图

添加图片注释，不超过 140 字（可选）

3-2 ARP窃听攻击方式一演示图

添加图片注释，不超过 140 字（可选）

另一种攻击方式是将局域网内两台主机作为攻击目标，分别向两台被攻击主机单播由另一台被攻击主机的IP与攻击者的MAC组成的伪造ARP应答包，使得两台被攻击主机均认为攻击者是另一台被攻击主机，从而将向另一台被攻击主机发送的流量发送给攻击者，攻击者再对其进行正确的转发，则可以实现对两台被攻击主机之间的通信进行窃听的目的。（攻击过程见图3-3）

图3-3 ARP窃听攻击方式二演示图

3.2.2 DNS欺骗

（1） DNS

DNS是Domain Name System的缩写，是域名系统的意思[9]。互联网用户通常通过浏览器上网。当用户在浏览器中输入一个域名，例如“www.hebtu.edu.cn”，然后按下回车键时，计算机会在自身的DNS缓存表中寻找这个域名，如果找到就按照缓存表中与其对应的IP地址进行访问，如果没找到就会发送DNS请求包，DNS服务器会根据用户请求的域名进行查询，找到对应的网际协议地址，并将其返回给请求方。如果本地DNS服务器找不到请求的域名对应的网际协议地址，它会向更高级DNS服务器请求查询，直至找到对应的IP地址（DNS服务器架构见图3-4）[10]。一旦上级DNS服务器返回了相应的网际协议地址，本地DNS服务器就会将其返回给请求主机。或者本地域名服务器会直接将上级主机的IP地址返回给请求主机，让请求主机直接去询问其上级DNS服务器，请求主机会继续发送DNS请求包，在上级DNS服务器处得到请求的IP地址。总之，DNS的功能就是将域

添加图片注释，不超过 140 字（可选）

名映射为对应的网际协议地址。

图3-4 DNS服务器架构图

（2） DNS欺骗原理

要进行DNS欺骗首先要进行ARP欺骗。因为一般本地DNS服务器都由本地网关担任，所以攻击主机可以进行ARP欺骗攻击，将自身伪造成本地DNS服务器。当局域网内的主机进行DNS查询时，它们会将DNS请求包发送到假冒的DNS服务器。由于一般攻击者的主机被设定为DNS服务器的假冒副本，因此请求就会发送到攻击者的主机上。这样攻击主机就可以指定被攻击主机访问的IP地址。如果攻击者伪造一个钓鱼网站，将局域网内主机访问与攻击者伪造的钓鱼网站相对应的网站的流量全部引向该钓鱼网站，同时开启代理转发功能，将不访问该网站的流量全部正常转发，那么被攻击者在访问其他网站时全部正常，只有在访问该网站时会访问钓鱼网站，那么攻击者会轻易地获取被攻击者的个人信息，甚至窃取被攻击者的钱财，而被攻击者却难以发现。由此可见DNS欺骗的危害。

第4章 局域网中的网络安全事件

4.1 因未遵守网络安全管理制度造成的安全事件

上海市在2022年公布了5起泄密典型案例，其中就有因未在局域网内遵守网络安全管理制度而造成的泄密事件。

2022年3月，上海市某区某部门工作人员违反信息安全管理制度，将两份秘密级文件通过政务外网下发给秦某某，其随后再将文件通过政务外网下发至村居委，村工作人员张某将其发送至微信群，造成泄密事件。

2022年4月，上海市某市级机关干部曾某违反信息安全管理制度，通过手机拍摄了机密材料的部分内容并将其用微信传播给他人，最终导致机密材料被扩散传播。

4.2 因网络攻击导致的安全事件

2022年4月，美国HomeLegendLLC公司邮箱系统被攻击者入侵，遭受电子邮箱诈骗。攻击者伪造了虚假的电子邮件，导致公司被盗350余万美元。

2020年至2021年，国内多家医院内网数据库被非法入侵，后经调查确定了三个犯罪嫌疑人。该三人获取大量药品信息后出售，违法获取人民币200余万元。2022年8月，北京市朝阳区人民检察院做出裁定，三人均因此获刑。

4.3 因不当的安全配置导致的安全事件

2018年11月，某公司收到报告，该公司ERP系统无法正常使用。登陆多台服务器查看均发现大量文件扩展名被修改为Dragon4444，该公司技术人员初步推断为遭遇了勒索病毒攻击。经过对Dragon4444文件的详细分析，确认为遭遇了勒索病毒Globelmposter3.0变种的攻击，被修改的文件采用RSA+AES加密算法进行加密，基本没有还原可能。后经排查发现，在某台被入侵服务器的对外开放端口的虚拟机上存在445端口的访问记录，并且还存在异常的上传和下载流量，同时该虚拟机上也存在病毒文件，基本可以确定是该虚拟机首先被入侵，导致的该次安全事件。分析该次病毒入侵事件产生的原因，就是由于防火墙没有正确进行安全配置，没有关闭高危且与业务进行无关的端口，比如445端口。事后统计，该次安全事件造成该公司南通分公司erp服务器、wms服务器、文件服务器以及一些其他服务器被入侵，大量文件被加密，导致业务中断，在事件应急处理完成后，erp服务器丢失了3天的数据，文件服务器丢失了几个月的备份。

2020年11月，某公司内网MySQL数据库在进行大量数据的查询操作时经常报异常错误信息。通过查询数据库日志，发现数据库max_allowed_packet参数被某用户修改为1024，导致查询返回的数据包大于1024时数据库会报错。查询登陆日志，发现该用户非该公司内部局域网用户，登陆IP在美国。基本可以确认是遭到了网络攻击。通过后续调查，发现该服务器虽然部署在公司局域网内，但曾经为外网提供过测试环境，设置了IP映射，测试完成后没有及时关闭映射，并且运维人员由于担心在测试时出现不必要的异常情况，关闭了服务器上的防火墙，导致黑客可以通过互联网轻松访问原本只可以在局域网内进行访问的数据库。通过查看MySQL数据库登陆历史，发现攻击者有短时间内大量集中地使用常见用户名和密码来进行的登陆尝试。而数据库管理员账号口令设置过于简单，账号口令为root：123456，导致攻击者可以通过爆破轻松获取到管理员用户名和口令。这一系列不当的安全配置导致攻击者可以以管理员的身份登陆原本只可以在局域网内进行访问的数据库，并且修改其配置，造成查询时数据库报错。

第5章 局域网安全防范措施

5.1 提高网络安全意识

要想确保网络安全，首先就要提高网络安全意识。病毒、木马等恶意软件的破坏和传播，钓鱼网站的存在，以及其他各种网络攻击行为的破坏，可能会造成互联网的用户信息泄露、数据丢失、产生经济损失、甚至威胁生命安全的结果。网络安全问题不能不引起互联网用户的认识。

那么该如何提高网络安全意识呢？可以从以下几个方面来提高安全意识：

5.1.1 及时安装安全更新

安全是不断发展的，任何系统或者软件都不会永远保证安全，系统和各种应用程序的安全漏洞总是能被不断发现。及时或者定期的安装智能手机、计算机、平板电脑等网络设备系统的安全更新，可以保证网络设备时刻处在最新的安全技术保护之下。

5.1.2 设置有一定强度的密码

避免设置诸如“123456”、“password”、“qwerasdf”此类的简单密码，这类简单密码在黑客的爆破攻击中总是最容易被破解出来的。应该设置一些有强度的密码，最好是包含大写和小写字母，以及数字和符号，要有一定的长度，不要过于的短，还不能有明显的规律，最好是完全无规律的。还有很重要的一点是不要给不同账号设置同一个密码，否则一旦被黑客撞库攻击几乎百分之百会被破解。最好是每一个账号都设置不同的密码，这样可以最大限度的降低被撞库攻击的风险。

5.1.3 访问正规网站

上网时最好访问一些正规的门户网站，不要访问那些不正规不健康花里胡哨的网站。正规网站一般安全措施都比较到位，而不正规的网站则可能存在着较大的安全隐患。

5.1.4 不要随意输入个人信息

不要在不正规不熟悉的网站上随意输入个人信息，因为这些网站有可能安全防护措施不到位，存在信息泄露的风险，除此之外，这些网站的管理者本身也有可能会将你的信息用于非法用途。也不要在公共的网络设备上，比如公共电脑上随意输入个人信息，因为你不能够保证使用这些公共设备的人里面没有别有用心的人，这样做很可能会造成个人信息的泄露。

5.1.5 不随意打开陌生邮件和陌生链接

陌生邮件有可能内藏恶意程序，随意打开有可能会被植入木马、窃取账号、泄露信息。陌生链接打开的网页也有可能被挂上了木马，在网页打开的时候用户已被入侵。

5.2 完善网络安全管理制度

网络安全最重要的影响因素其实就是管理制度。网络安全从业者普遍认为，网络安全的成功大部分来自管理，而非技术。因此，如果想要提高局域网的安全性，就需要建立完善的网络安全管理制度。信息安全管理体系已经有了一些标准，其中既有ISO国际标准，也有中国的国家标准。以ISO国际标准为例，ISO/IEC 27001标准即为信息安全管理要求。按照该标准，要建立一个完善的网络安全管理制度，通常应该考虑以下4个方面：安全管理和执行机构的行为规范、岗位设定及其操作规范、岗位人员的素质要求及其行为规范，以及内部和外部关系的行为规范。这些方面都是非常重要的，只有它们结合起来，才能够全面提升局域网的安全性。在进行网络安全的管理过程中，还要遵循一些原则，包括基于安全需求、主要领导负责、全员参与、系统方法、持续改进、依法管理、分权和授权、选用成熟技术、分级保护、管理与技术并重、自保护和国家监管结合等。

如果一个网络安全管理制度满足了以上要求，则是一个完善、体系化的网络安全管理制度，就可以将“七分管理”的力量很好的发挥起来，有效地保护局域网的网络安全。

5.3 针对网络攻击采取防御措施

5.3.1 针对ARP攻击采取防御措施

ARP攻击虽然原理简单，但是危害巨大，为局域网安全带来了很大的威胁。为此，人们也研究出了很多方法用以防御ARP攻击，比较主流的防御方法主要是以下几种：

（1）IP与MAC绑定

这种方法思路最直接，直接将局域网内主机的IP地址与MAC地址进行绑定，在主机和网关中将ARP缓存设为静态，绑定IP与MAC，则可以避免ARP攻击。（见图5-1）

添加图片注释，不超过 140 字（可选）

图5-1 ARP缓存图

（2）设置ARP服务器

可以将局域网内的一台主机设置为ARP服务器，用来保存和维护局域网内主机的IP与MAC的映射信息，并且设置局域网内其他主机只信任来自该ARP服务器的ARP应答。这样攻击者便无法进行ARP欺骗，从而防止ARP攻击的产生。

（3）使用ARP防火墙

针对ARP攻击使用ARP防火墙来进行防护是最简单的方法。ARP防火墙可以自动识别伪造的ARP应答包，将其过滤掉，保护主机免受ARP攻击的影响。目前很多PC端安全软件集成了ARP防火墙功能，比如：360安全卫士、腾讯电脑管家、火绒等，除此以外也有一些单独的ARP防火墙工具，比如：arptables等。（见图5-2）

图

添加图片注释，不超过 140 字（可选）

5-2 arptables ARP防火墙规则图

5.3.2 针对DNS欺骗采取防御措施

DNS欺骗的前提是进行ARP攻击，所以可以通过采取防御ARP攻击的措施来防止被ARP攻击，从而防止被DNS欺骗。但是除此之外，还有一些专门针对DNS欺骗的防御方法。

添加图片注释，不超过 140 字（可选）

与防御ARP攻击类似，防御DNS欺骗攻击最直接的方法就是将DNS与IP地址进行绑定，即修改主机hosts文件，在Windows系统中hosts文件位置为“C:\Windows\System32\drivers\etc”，进入该文件夹，用记事本打开hosts文件（见图5-3），即可对文件内容进行编辑，将DNS与IP的映射写进去保存即可。

图5-3 hosts文件内容图

除此以外，前文介绍过的IDS入侵检测系统也可以防御DNS欺骗，还有现在的一些安全软件也集成了DNS欺骗防御功能，直接使用这些安全产品也可以有效的保护自己的设备免受DNS欺骗的骚扰。

对于一些IP地址比较固定的网站，我们也可以采用IP地址直接进行访问，不用域名访问，这样就绕过了DNS解析的过程，可以防止被DNS欺骗攻击[11]。

第6章 总结

本篇文章通过引言和研究背景说明了当今的网络安全形势并不容乐观，凸显了网络安全的重要性，然后通过介绍局域网内的两种主要的安全防护技术——防火墙技术和入侵检测系统，来介绍了局域网空间内网络安全的实现机制以及当今的安全技术发展水平及方向，还通过分析现在局域网中存在的主要安全问题，来了解当今的局域网内网络安全境况，最后通过分析局域网内的安全防范措施，给出了局域网内的网络安全手段。本文所涉及的内容可以帮助互联网用户了解网络安全的重要性，并理解局域网内的网络安全技术和防范措施。通过这些知识和技能，用户可以在平时使用网络的过程中保护自己的网络安全，从而避免遭受网络攻击和数据泄露的风险，改善网络安全环境。

本篇文章最初用意是为普及网络安全知识，使互联网的用户重视局域网的安全，但是在写作完成后意外地发现自己也是收获颇丰。在写作局域网内安全技术和局域网内主流攻击方式的过程中，通过查阅资料，加深了对防火墙技术、IDS、ARP攻击以及DNS欺骗等安全技术和攻击技术的理解。通过写作也提高了对于局域网网络空间安全的认识。这些收获对于我以后的学习和工作也有很多益处。

参考文献

[1]李明武.九十年代计算机发展的主趋势——多媒体技术[J].金融管理科学.河南金融管理干部学院学报,1994(03):70-71.

[2]汪雷,汪卫霞,戴武.流程、问题与发展对策——互联网时代的网店书画交易[J].中国书法,2010(9):76-78.

[3]李雄伟,温小东.入侵防护系统研究概述[J].无线电工程,2005,35(8):17-20.

[4]张龙,窦伟平,李传林.入侵检测系统响应器的设计[J].计算机工程与设计,2006,27(16):3085-3087.

[5]尚莹莹.分布式入侵检测系统的数据分析模块及特征库的组建[J].电脑知识与技术：学术版,2013,9(8):5056-5057,5060.

[6]熊乃学.分布式入侵检测与响应系统模型的相关技术[J].计算机工程,2003,29(17):65-67.

[7]李信满,赵宏,马士军.基于防火墙的网络入侵检测系统[J].东北大学学报:自然科学版,2001,22(5):489-492.

[8]李亚辉.局域网中ARP地址解析协议漏洞及防范[J].科技风,2009(9):156-156.

[9]沈传鑫,王永杰,熊鑫立.基于图注意力网络的DNS隐蔽信道检测[J].信息网络安全,2023(1):73-83.

[10]孟萌君.企业内部网中多级DNS服务器的建立和管理技术[J].科技信息,2007(36):93-94.

[11]张海清.浅析DNS的攻击与防范[J].科技创新与应用,2014,(10):47-48.

致 谢

在完成这篇毕业论文的过程中，我很幸运遇到了很多无私帮助我的人，我要感谢他们的帮助、支持和鼓励。

首先，我要感谢我的指导老师于富强老师，于富强老师用渊博的知识和丰富的经验教导我，指导我完成流程的每一步，指导我走出困难。感谢您的建议、耐心和帮助。

同时，我要感谢我的家人，没有他们作为坚实的后盾，没有他们的鼓励和支持，我无法完成这篇论文的写作。

我还要感谢我的同学和朋友们，是他们在平时的学习和生活中给予了我很多帮助和支持，这是我坚定前行的力量。

最后，我还要感谢计算机学院的每一位任课老师，是他们四年的悉心教导哺育了我，让我不断的成长。

再次向所有支持和帮助过我的人致以最衷心的感谢！