在這篇文章里我們談一談網絡攻擊的機制，同時也著重講述一下局域網系統避免遭受攻擊的方法。

這里我們使用網絡協議分層模式來分析局域網的安全。從圖1可以看到，網絡的七層在不同程度上會遭受到不同方式的攻擊，如果攻擊者取得成功，那將是非常危險的。而我們通常聽到或見到的攻擊往往發生在應用層，這些攻擊主要是針對Web服務器、瀏覽器和他們訪問到的信息，比較常見的還有攻擊開放的文件系統部分。

下面兩個方法從實踐上來說被認為是非常有用的防范手段。

1.包過濾

圖1 七層模型易遭受的安全攻擊

在網絡層檢查通信數據，觀察它的源地址和目的地址。過濾器可以禁止特定的地址或地址范圍傳出或進入，也可以禁止令人懷疑的地址模式。

2.防火墻

圖2 包過濾器的配置

在應用層檢查通信數據，檢查消息地址中的端口，或檢查特定應用的消息內容。測試失敗的任何通信數據將被拒絕。

一、路由包過濾

TCP/IP地址由機器地址和標識程序處理消息的端口數字組成。這個地址/端口組合信息對每個TCP/IP消息都是有效的。包過濾與防火墻相比處理的簡單一些，它僅是觀察TCP/IP地址，而不是端口數字或消息內容。不過包過濾提供給你的是很好的網絡安全工具。

包過濾器通常使用的是自頂向下的操作原則，下面是它使用的一個典型規則：

●允許所有傳出通信數據通過；

●拒絕建立新的傳入連接；

●其它的數據可以全部被接受。

通過這樣的使用規則，系統的安全性提高了許多。因為它拒絕了Internet上主動與你的計算機建立新連接的請求。它阻止使用TCP的通信數據進入，從而杜絕了對共享驅動器和文件的未授權訪問。

過濾器通常的應用是配置在連接你的計算機和Internet的路由器上，如圖2所示。在你的局域網和Internet之間放置過濾器后，就可以保證局域網與Internet所有的通信數據都要經過過濾器。

如果包過濾軟件有能力檢查源地址子網，從子網物理端口傳遞消息到路由器，你就可以制定規則來避免虛假的TCP/IP地址，就象圖2所示的那樣。攻擊者欺騙的方法就是把來自Internet的消息偽裝成來自你局域網的消息。包過濾通過拒收帶有不可能源地址的消息來防御攻擊者的攻擊。例如，假定你在一個裝有Linux的機器上安裝軟件，讓它作為一個Windows網絡文件服務器，你可以配置Linux讓它拒收所有來自你的子網以外的通信數據，阻止Internet上的機器看到這個文件服務器。如果攻擊者假裝是你內部的機器，用過濾器就可以阻止攻擊者的攻擊。

包過濾雖然對網絡的安全防范能起到很好的作用，但包過濾也并不是萬能的。它們一般不能防御使用UDP協議的攻擊，因為過濾器不能拒收開放的消息。包過濾還不能防御低層攻擊，象PING方式的攻擊。

二、防火墻

使用防火墻軟件可以在一定程度上控制局域網和Internet之間傳遞的數據。圖3所示是一個TCP/IP數據包報頭示意圖，從它上面可以清楚地看到包過濾和防火墻工作原理的不同之處。防火墻不但檢查了包過濾檢查內容的所有部分（TCP/IP的源地址和目的地址），還檢查了源/目的端口數字和包的內容。

圖3 包過濾器和防火墻的信息源

端口和消息內容這些信息使防火墻比包過濾有更強的防范能力，因為這些信息使防火墻控制特定進/出的主機地址。防火墻的功能有以下幾個方面：

●允許或禁止特定的應用服務，例如：FTP或Web頁面服務；

●允許或禁止訪問基于被傳遞的信息內容的服務。

防火墻最直接的實施就是使用圖2所示的結構，僅把局域網和ISP之間的包過濾器換成防火墻就可以了。這是一個防火墻的最安全的應用，因為它保護了防火墻后面的所有計算機。

圖4 防火墻中使用DMZ

如果我們把圖2改為圖4所示的結構，就可以很好地解決這個問題。圖4的結構中有3個端口。第三個端口連接的是另一個局域網，通常叫做DMZ（非軍事區）。DMZ中的計算機與安全局域網中的計算機相比安全性要差一些，但是這些計算機可以接受來自Internet的訪問。你可以把Web和FTP服務器放在DMZ，從而可以保護其它的計算機。防火墻上的規則設定為阻止進入安全局域網的通信數據，僅允許傳出連接的建立。

如果你想增強DMZ局域網的安全性，可以使用過濾器，限制局域網中服務器使用的端口，禁止那些來自攻擊站點的訪問。

為了安全還可以給你的局域網分段，每段設置一個防火墻，每個防火墻使用不同的安全規則。需要記住的一點是，防火墻本身并沒有保障安全的能力，你需要定期的檢查防火墻對可疑事件做出的日志記錄，還需要去發現和使用軟件的安全補丁。

如果你使用Windows 98第二版的Internet共享連接功能，讓你的一臺計算機通過Modem把局域網連接上Internet。在這種情況下，你的網絡是很不安全的，仍需要改善網絡的安全性。最大的威脅就是你的電腦直接連接在了Internet上，你應該直接在這臺電腦上安裝包過濾器或防火墻產品，或讓你的ISP安裝包過濾器或防火墻來保護你的訪問。