jcheath
回答數:3501 | 被采納數:1
2017-08-18 13:01:58
一、什麼是內網內網就是局域網,網吧、校園網、單位辦公網都屬於此類。另外光纖到樓、小區寬帶、教育網、有線電視CableModem上網雖然地域範圍比較大但本質上還是基於以太網技術,所以仍然屬於內網。內網接入方式:上網的計算機得到的IP地址是Inetnet上的保留地址,保留地址有如下3種形式:10.x.x.x172.16.x.x至172.31.x.x192.168.x.x內網的計算機以NAT(網絡地址轉換)協議,通過一個公共的網關訪問Internet。內網的計算機可向Internet上的其他計算機發送連接請求,但Internet上其他的計算機無法向內網的計算機發送連接請求。公網接入方式:上網的計算機得到的IP地址是Inetnet上的非保留地址。公網的計算機和Internet上的其他計算機可隨意互相訪問。
二、如何檢測公網和內網請用上麵介紹的查看IP地址的辦法,檢查一下您的電腦裏有沒有這個IP地址。如果有,您就是通過公網接入Internet,否則,就是通過內網接入Internet。請注意:
1、如果您的瀏覽器裏設置了使用代理服務器,請清除代理服務器設置,並刷新本頁麵,之後再檢測。
2、有些學校或大型的機關單位雖然分配公網IP給用戶,但學校或單位為了安全起見,會封閉校外對校內的訪問請求。這部分用戶雖然有公網IP地址,但依然要用內網動態域名來建網站。如果您通過校園網或機關單位的網絡上網,並檢測到自己有公網IP,請您在本機調試好網站後,把防火牆打開,請外網的朋友通過IP地址來訪問您的網站。如果能訪問,就是公網;如果不能訪問,就是內網。
三、內網與外網的區別內網指的是局域網.幾台或者幾十台電腦之間互訪外網指的是我們上的internet網絡內網也叫私網地址如下:IP等級IP位置ClassA10.0.0.0-10.255.255.255ClassB172.16.0.0-172.31.255.255ClassC192.168.0.0-192.168.255.255子網掩碼一般設為:255.255.255.0內網是可以上網的.內網需要一台服務器或路由器做網關,通過它來上網做網關的服務器有一個公網IP,其它內網電腦的IP可根據它來隨意設置,前提是IP前三個數要跟它一樣,第四個可從0-255中任選但要跟服務器的IP不同
四、內網的安全問題【1】內網存在的安全問題有以下幾方麵一.局域網爆發病毒,木馬泛濫的問題二.單位電腦中重要資料信息安全問題的解決三.電腦濫用的問題?四.互聯網訪問及上網權限管理五.域網內電腦數量不斷增加,管理員已無法維護龐大的電腦六.軟硬件資產管理七.補丁自動升級管理八.非法外聯及非法IP地址管理九.帶寬、流量管理問題【2】下麵給出了應對企業內網安全挑戰的10種策略。這10種策略即是內網的防禦策略,同時也是一個提高大型企業網絡安全的策略。
1、注意內網安全與網絡邊界安全的不同內網安全的威脅不同於網絡邊界的威脅。網絡邊界安全技術防範來自Internet上的攻擊,主要是防範來自公共的網絡服務器如HTTP或SMTP的攻擊。網絡邊界防範(如邊界防火牆係統等)減小了資深黑客僅僅隻需接入互聯網、寫程序就可訪問企業網的幾率。內網安全威脅主要源於企業內部。惡性的黑客攻擊事件一般都會先控製局域網絡內部的一台Server,然後以此為基地,對Internet上其他主機發起惡性攻擊。因此,應在邊界展開黑客防護措施,同時建立並加強內網防範策略。
2、限製VPN的訪問虛擬專用網(VPN)用戶的訪問對內網的安全造成了巨大的威脅。因為它們將弱化的桌麵操作係統置於企業防火牆的防護之外。很明顯VPN用戶是可以訪問企業內網的。因此要避免給每一位VPN用戶訪問內網的全部權限。這樣可以利用登錄控製權限列表來限製VPN用戶的登錄權限的級別,即隻需賦予他們所需要的訪問權限級別即可,如訪問郵件服務器或其他可選擇的網絡資源的權限。
3、為合作企業網建立內網型的邊界防護合作企業網也是造成內網安全問題的一大原因。例如安全管理員雖然知道怎樣利用實際技術來完固防火牆,保護MS-SQL,但是Slammer蠕蟲仍能侵入內網,這就是因為企業給了他們的合作夥伴進入內部資源的訪問權限。由此,既然不能控製合作者的網絡安全策略和活動,那麼就應該為每一個合作企業創建一個DMZ,並將他們所需要訪問的資源放置在相應的DMZ中,不允許他們對內網其他資源的訪問。
4、自動跟蹤的安全策略智能的自動執行實時跟蹤的安全策略是有效地實現網絡安全實踐的關鍵。它帶來了商業活動中一大改革,極大的超過了手動安全策略的功效。商業活動的現狀需要企業利用一種自動檢測方法來探測商業活動中的各種變更,因此,安全策略也必須與相適應。例如實時跟蹤企業員工的雇傭和解雇、實時跟蹤網絡利用情況並記錄與該計算機對話的文件服務器。總之,要做到確保每天的所有的活動都遵循安全策略。
5、關掉無用的網絡服務器大型企業網可能同時支持四到五個服務器傳送e-mail,有的企業網還會出現幾十個其他服務器監視SMTP端口的情況。這些主機中很可能有潛在的郵件服務器的攻擊點。因此要逐個中斷網絡服務器來進行審查。若一個程序(或程序中的邏輯單元)作為一個window文件服務器在運行但是又不具有文件服務器作用的,關掉該文件的共享協議。
6、首先保護重要資源若一個內網上連了千萬台(例如30000台)機子,那麼要期望保持每一台主機都處於鎖定狀態和補丁狀態是非常不現實的。大型企業網的安全考慮一般都有擇優問題。這樣,首先要對服務器做效益分析評估,然後對內網的每一台網絡服務器進行檢查、分類、修補和強化工作。必定找出重要的網絡服務器(例如實時跟蹤客戶的服務器)並對他們進行限製管理。這樣就能迅速準確地確定企業最重要的資產,並做好在內網的定位和權限限製工作。
7、建立可靠的無線訪問審查網絡,為實現無線訪問建立基礎。排除無意義的無線訪問點,確保無線網絡訪問的強製性和可利用性,並提供安全的無線訪問接口。將訪問點置於邊界防火牆之外,並允許用戶通過VPN技術進行訪問。
8、建立安全過客訪問對於過客不必給予其公開訪問內網的權限。許多安全技術人員執行的“內部無Internet訪問”的策略,使得員工給客戶一些非法的訪問權限,導致了內網實時跟蹤的困難。因此,須在邊界防火牆之外建立過客訪問網絡塊。
9、創建虛擬邊界防護主機是被攻擊的主要對象。與其努力使所有主機不遭攻擊(這是不可能的),還不如在如何使攻擊者無法通過受攻擊的主機來攻擊內網方麵努力。於是必須解決企業網絡的使用和在企業經營範圍建立虛擬邊界防護這個問題。這樣,如果一個市場用戶的客戶機被侵入了,攻擊者也不會由此而進入到公司的R&D。因此要實現公司R&D與市場之間的訪問權限控製。大家都知道怎樣建立互聯網與內網之間的邊界防火牆防護,現在也應該意識到建立網上不同商業用戶群之間的邊界防護。
10、可靠的安全決策網絡用戶也存在著安全隱患。有的用戶或許對網絡安全知識非常欠缺,例如不知道RADIUS和TACACS之間的不同,或不知道代理網關和分組過濾防火牆之間的不同等等,但是他們作為公司的合作者,也是網絡的使用者。因此企業網就要讓這些用戶也容易使用,這樣才能引導他們自動的響應網絡安全策略。另外,在技術上,采用安全交換機、重要數據的備份、使用代理網關、確保操作係統的安全、使用主機防護係統和入侵檢測係統等等措施也不可缺。