區域網內如何保護自己網路

① 作為一個網路管理者,如何解決區域網安全問題

看了你提問，下面我就用比較通俗的方式進行解答，我的解答主要是為了提高你的網路安全的基礎認識，而不是應答這個題目

首先區域網是什麼？區域網是由伺服器或者多台計算機組成的小范圍內的互聯網路，它的最大好處是：1可以實現區域網內共享 2區域網內各台計算機的傳輸速度快，所以是現代最為流行的組網方式

區域網的安全威脅個人認為分為兩大類：來自internet（外網）的威脅和來自內部的威脅，但是內外的攻擊方式可能一樣，譬如外部的人可以發一封攜帶病毒的郵件到內網的郵箱，內部那個人點擊了郵件，同樣，內網某個用戶也可以發一封郵件到另外一個內網人的電子郵箱，而且來自內部的攻擊往往難以防範。

下面列舉一個攻擊的例子讓你有個大概的網路攻擊的認識：

（1）ICMP協議（icmp協議主要用來主機之間，主機與路由器之間實現信息查詢和錯誤通告的），攻擊者可以利用echo reply原理進行ICMP泛洪攻擊，他只要想目標一個廣播網路發送echo請求，講源地址偽裝成受害者的ip地址，廣播網路就會不停的對受害者發送echo應答，導致帶寬耗盡，形成Dos（拒絕服務）攻擊

這種攻擊利用 客戶端一伺服器的模式工作，伺服器駐留在防火牆內部被安裝了木馬程序

(一般通過電子郵件傳送的主機上)一旦運行,就可以接收來自駐留在攻擊者機器上的客戶端的echo請求包，客戶端把要執行的命令包裹在echo數據包中,伺服器(受害者主機)接收到該數據包,

解出其中包裹的命令,並在受害者的機器上執行它,然後,將結果放人 echo rely數據包中回送給攻擊者,一般來說防火牆的具備的功能如下：

a內外網數據必須通過防火牆

b只有被防火牆認可的數據才能通過

c防火牆本身具備抵抗攻擊的能力

但是一般防火牆對echo報數據都是「寬大處理」，攻擊者通過這種模式可以完全越過沒有禁止echo requset 和echo reply數據包的防火牆!!!

（2）TCP/IP規范要求IP報文的長度在一定范圍內（比如，0－64K），但有的攻擊計算機可能向目標計算機發出大於64K長度的PING報文，導致目標計算機IP協議棧崩潰，不過現在這個bug已經修改了（所以更新操作系統很重要~）

(3)SMTP是目前最常用的郵件協議，也是隱患最大的協議之一。在SMTP中，發件人的地址是通過一個應用層的命令"MAIL FROM」來傳送的，協議本身沒有對其作任何驗證，這導致了垃圾郵件的發送者可以隱藏他們的真實地址，同時發送的電子郵件可以攜帶各種病毒文件

（4）ARP（地址解析）協議漏洞，ARP用來將IP地址映射成MAC地址的（乙太網中傳送數據需要用MAC地址進行定址），在TCP/IP協議中，A給B發送IP包，在報頭中需要填寫B的IP為目標地址，但這個IP包在乙太網上傳輸的時候，還需要進行一次以太包的封裝，在這個以太包中，目標地址就是B的MAC地址.

計算機A是如何得知B的MAC地址的呢？解決問題的關鍵就在於ARP協議。

在A不知道B的MAC地址的情況下，A就廣播一個ARP請求包，請求包中填有B的IP(192.168.1.2)，乙太網中的所有計算機都會接收這個請求(因為是一個廣播域，所有主機都可以收到)，而正常的情況下只有B會給出ARP應答包，包中就填充上了B的MAC地址，並回復給A。

A得到ARP應答後，將B的MAC地址放入本機緩存，便於下次使用。

本機MAC緩存是有生存期的，生存期結束後，將再次重復上面的過程。

ARP協議並不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候，就會對本地的ARP緩存進行更新，將應答中的IP和MAC地址存儲在ARP緩存中。因此，當區域網中的某台機器A向B發送一個自己偽造的ARP應答，而如果這個應答是A冒充C的，即IP地址為C的IP，而MAC地址是偽造無效的，則當A接收到B偽造的ARP應答後，就會更新本地的ARP緩存，這樣在A看來C的IP地址沒有變，而它的MAC地址已經不是原來那個了。由於區域網的網路流通不是根據IP地址進行，而是按照MAC地址進行傳輸。所以，那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址，這樣就會造成網路不通，導致A不能Ping通C！這就是一個簡單的ARP欺騙。通理，如果攻擊者A將MAC地址設為自己的MAC，那麼每次B跟C通信的時候，其實都是在跟A通信，那麼A就達到了獲取B的消息的目的，而B全然不覺- -！！

以上只是從底層原理讓你大概了解攻擊者到底是如何進行攻擊的，不是什麼神秘的事情，其實攻擊很簡單，無非就是利用系統漏洞或者說鑽空子來達到獲取信息，破壞的目的，為什麼經常要進行系統升級？

舉個例子，有人鑽法律的空子做一些事，有了這個先例，然後司法機構才補充一條新的法律條文，而並不是說原來的法律就是錯誤的，而是沒有注意到那一點，系統升級也一樣，就是根據最新發現的攻擊進行一些規則的補充，讓攻擊者不能再鑽這個空子，但是攻擊者會去發現新的空子，其實攻擊者對我們的網路發展貢獻了很大的力量，為我們提供了許多思路，如果沒有那些病毒或者攻擊，網路安全的發展也停滯不前了。所以作為一個網路管理員，要解決區域網安全問題要注意一下幾點：

（1）內外網根據區域網內部的安全等級需要選擇適當的防火牆

（2）處於區域網的伺服器要進行隔離，區域網內計算機的數據快速、便捷的傳遞，造就了病毒感染的直接性和快速性，如果區域網中伺服器區域不進行獨立保護，其中一台電腦感染病毒，並且通過伺服器進行信息傳遞，就會感染伺服器，這樣區域網中任何一台通過伺服器信息傳遞的電腦，就有可能會感染病毒。雖然在網路出口有防火牆阻斷對外來攻擊，但無法抵擋來自區域網內部的攻擊。

（3）及時安裝殺毒軟體，更新操作系統，由於網路用戶不及時安裝防病毒軟體和操作系統補丁，或未及時更新防病毒軟體的病毒庫而造成計算機病毒的入侵。許多網路寄生犯罪軟體的攻擊，正是利用了用戶的這個弱點。

（4）對一個區域網的機器進行vlan分割，實現廣播域的隔離

（5）封存所有空閑的IP地址。啟動IP地址綁定採用上網計算機IP地址與MCA地址一一對應，網路沒有空閑IP地址的策略。由於採用了無空閑IP地址策略，可以有效防止IP地址引起的網路中斷和移動計算機隨意上內部區域網絡造成病毒傳播和數據泄密

（6）資料庫的備份與恢復。資料庫的備份與恢復是資料庫管理員維護數據安全性和完整性的重要操作。備份是恢復資料庫最容易和最能防止意外的保證方法。恢復是在意外發生後利用備份來恢復數據的操作。譬如一個網吧內，必須安裝一個還原系統，機器重啟就還原

（7）加強安全意識，往往引起的攻擊不是外部網路攻擊，而是來自內部一些別有用心的人破壞

平時要多學習網路的一些基礎知識和網路的一些常見攻擊手段以達到反偵察的目的，純手打，希望對你有用，QQ137894617

② 區域網中如何防禦別人限制我的網路

一、單純的限制某些網站，不能訪問，網路游戲（比如聯眾）不能玩，這類限制一般是限制了欲訪問的IP地址。 對於這類限制很容易突破，用普通的HTTP代理就可以了，或者SOCKS代理也是可以的。現在網上找HTTP代理還是很容易的，一抓一大把。在IE里加了HTTP代理就可以輕松訪問目的網站了。 二、限制了某些協議，如不能FTP了等情況，還有就是限制了一些網路游戲的伺服器端IP地址，而這些游戲又不支持普通HTTP代理。 這種情況可以用SOCKS代理，配合Sockscap32軟體，把軟體加到SOCKSCAP32里，通過SOCKS代理訪問。一般的程序都可以突破限制。對於有些游戲，可以考慮Permeo Security Driver 這個軟體。如果連SOCKS也限制了，那可以用socks2http了，不會連HTTP也限制了吧。 三、基於包過濾的限制，或者禁止了一些關鍵字。這類限制就比較強了，一般是通過代理伺服器或者硬體防火牆做的過濾。比如：通過ISA Server 2004禁止MSN ，做了包過濾。這類限制比較難突破，普通的代理是無法突破限制的。 這類限制因為做了包過濾，能過濾出關鍵字來，所以要使用加密代理，也就是說中間走的HTTP或者SOCKS代理的數據流經過加密，比如跳板，SSSO， FLAT等，只要代理加密了就可以突破了， 用這些軟體再配合Sockscap32，MSN就可以上了。 這類限制就不起作用了。 四、基於埠的限制，限制了某些埠，最極端的情況是限制的只有80埠可以訪問，也就只能看看網頁，連OUTLOOK收信，FTP都限制了。當然對於限制幾個特殊埠，突破原理一樣。 這種限制可以通過以下辦法突破：
1、找普通HTTP80埠的代理，12.34.56.78:80，象這樣的，配合socks2http，把HTTP代理裝換成SOCKS代理，然後再配合SocksCap32，就很容易突破了。這類突破辦法中間走的代理未 加密。通通通軟體也有這個功能。
2、用類似FLAT軟體，配合SocksCap32，不過所做的FLAT代理最好也是80埠，當然不是80埠也沒關系，因為FLAT還支持再通過普通的HTTP代理訪問，不是80埠，就需要再加一個80埠的HTTP 代理。這類突破辦法中間走的代理加密，網管不知道中間所走的數據是什麼。代理跳板也可以做到，不過代理仍然要80埠的。對於單純是80埠限制，還可以用一些埠轉換的技術突破限制。 五、以上一些限制綜合的，比如有限制IP的，也有限制關鍵字，比如封MSN，還有限制埠的情況。 一般用第四種情況的第二個辦法就可以完全突破限制。只要還允許上網，呵呵，所有的限制都可以突破。 六、還有一種情況就是你根本就不能上網，沒給你上網的許可權或者IP，或者做IP與MAC地址綁定了。 兩個辦法： 1、你在公司應該有好朋友吧，鐵哥們，鐵姐們都行，找一個能上網的機器，借一條通道，裝一個小軟體就可以解決問題了，FLAT應該可以，有密鑰，別人也上不了，而且可以自己定義埠。。其他能夠支持這種方式代 理的軟體也可以。我進行了一下測試，情況如下：區域網環境，有一台代理上網的伺服器，限定了一部分IP， 給予上網許可權，而另一部分IP不能上網，在硬體防火牆或者是代理伺服器上做的限制。我想即使做MAC地址與IP綁定也沒有用了，照樣可以突破這個限制。 在區域網內設置一台能上網的機器，然後把我機器的IP設置為不能上網的，然後給那台能上網的機器裝FLAT伺服器端程序，只有500多K， 本機通過FLAT客戶端，用SOCKSCAP32加一些軟體，如IE，測試上網通過，速度很快，而且傳輸數據還是加密的，非常棒。 2、和網路管理員搞好關系，一切都能搞定，網路管理員什麼許可權都有，可以單獨給你的IP開無任何限制的，前提是你不要給網路管理員帶來麻煩，不要影響區域網的正常運轉。這可是最好的辦法了。 另外，在區域網穿透防火牆，還有一個辦法，就是用HTTPTUNNEL，用這個軟體需要服務端做配合，要運行httptunnel的服務端，這種方法對區域網埠限制很有效。 隱通道技術就是藉助一些軟體，可以把防火牆不允許的協議封裝在已被授權的可行協議內，從而通過防火牆，埠轉換技術也是把不允許的埠轉換成允許通過的埠，從而突破防火牆的限制。這類技術現在有些軟體可以做到，HACKER經常用到這類技術。 HTTPTunnel，Tunnel這個英文單詞的意思是隧道，通常HTTPTunnel被稱之為HTTP暗道，它的原理就是將數據偽裝成HTTP的數據形式來穿過防火牆，實際上是在HTTP請求中創建了一個雙向的虛擬數據連接來穿透防火牆。說得簡單點， 就是說在防火牆兩邊都設立一個轉換程序，將原來需要發送或接受的數據包封裝成HTTP請求的格式騙過防火牆，所以它不需要別的代理伺服器而直接穿透防火牆。HTTPTunnel剛開始時只有Unix版本，現在已經有人把它移植到Window平台上了，它包 括兩個程序，htc和hts，其中htc是客戶端，而hts是伺服器端，我們現在來看看我是如何用它們的。比如開了FTP的機器的IP是192.168.1.231，我本地的機器的IP是192.168.1.226，現在我本地因為防火牆的原因無法連接到 FTP上，現在用HTTPTunnel的過程如下： 第一步：在我的機器上（192.168.1.226）啟動HTTPTunnel客戶端。啟動MS-DOS的命令行方式，然後執行htc -F 8888 192.168.1.231:80命令，其中htc是客戶端程序，-f參數表示將來自192.168.1.231:80的數據全部轉發到本機的8888埠，這個埠可以隨便選，只要本機沒有佔用就可以。 然後我們用Netstat看一下本機現在開放的埠，發現8888埠已在偵聽。 第二步：在對方機器上啟動HTTPTunnel的伺服器端，並執行命令 「hts -f localhost:21 80」，這個命令的意思是說把本機21埠發出去的數據全部通過80埠中轉一下，並且開放80埠作為偵聽埠，再用Neststat看一下他的機器，就會發現80埠現在也在偵聽狀態。 第三步：在我的機器上用FTP連接本機的8888埠，現在已經連上對方的機器了。 可是，人家看到的怎麼是127.0.0.1而不是192.168.1.231的地址？因為我現在是連接本機的8888埠，防火牆肯定不會有反應，因為我沒往外發包，當然區域網的防火牆不知道了。現在連接上本機的8888埠以後，FTP的數據包不管是控 制信息還是數據信息，都被htc偽裝成HTTP數據包然後發過去，在防火牆看來，這都是正常數據，相當於欺騙了防火牆。 需要說明的是，這一招的使用需要其他機器的配合，就是說要在他的機器上啟動一個hts，把他所提供的服務，如FTP等重定向到防火牆所允許的80埠上，這樣才可以成功繞過防火牆！肯定有人會問，如果對方的機器上本身就有WWW服務，也就是說他的80埠 在偵聽，這么做會不會沖突？HTTPTunnel的優點就在於，即使他的機器以前80埠開著，現在這么用也不會出現什麼問題，正常的Web訪問仍然走老路子，重定向的隧道服務也暢通無阻

③ 如何讓區域網更安全

區域網安全的解決辦法有以下幾種：

1.以交換式集線器代替共享式集線器

對區域網的中心交換機進行網路分段後，乙太網偵聽的危險仍然存在。這是因為網路最終用戶的接入往往是通過分支集線器而不是中心交換機，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當用戶與主機進行數據通信時，兩台機器之間的數據包(稱為單播包Unicast

Packet)還是會被同一台集線器上的其他用戶所偵聽。一種很危險的情況是：用戶TELNET到一台主機上，由於TELNET程序本身缺乏加密功能，用戶所鍵入的每一個字元(包括用戶名、密碼等重要信息)，都將被明文發送，這就給黑客提供了機會。

因此，應該以交換式集線器代替共享式集線器，使單播包僅在兩個節點之間傳送，從而防止非法偵聽。當然，交換式集線器只能控制單播包而無法控制廣播包(Broadcast

Packet)和多播包(Multicast Packet)。所幸的是，廣播包和多播包內的關鍵信息，要遠遠少於單播包。

2.網路分段

網路分段通常被認為是控制網路廣播風暴的一種基本手段，但其實也是保證網路安全的一項重要措施。其目的就是將非法用戶與敏感的網路資源相互隔離，從而防止可能的非法偵聽，網路分段可分為物理分段和邏輯分段兩種方式。

目前，海關的區域網大多採用以交換機為中心、路由器為邊界的網路格局，應重點挖掘中心交換機的訪問控制功能和三層交換功能，綜合應用物理分段與邏輯分段兩種方法，來實現對區域網的安全控制。例如：在海關系統中普遍使用的DEC

MultiSwitch 900的入侵檢測功能，其實就是一種基於MAC地址的訪問控制，也就是上述的基於數據鏈路層的物理分段。

3.VLAN的劃分

為了克服乙太網的廣播問題，除了上述方法外，還可以運用VLAN(虛擬區域網)技術，將乙太網通信變為點到點通信，防止大部分基於網路偵聽的入侵。

目前的VLAN技術主要有三種：基於交換機埠的VLAN、基於節點MAC地址的VLAN和基於應用協議的VLAN。基於埠的VLAN雖然稍欠靈活，但卻比較成熟，在實際應用中效果顯著，廣受歡迎。基於MAC地址的VLAN為移動計算提供了可能性，但同時也潛藏著遭受MAC欺詐攻擊的隱患。而基於協議的VLAN，理論上非常理想，但實際應用卻尚不成熟。

在集中式網路環境下，我們通常將中心的所有主機系統集中到一個VLAN里，在這個VLAN里不允許有任何用戶節點，從而較好地保護敏感的主機資源。在分布式網路環境下，我們可以按機構或部門的設置來劃分VLAN。各部門內部的所有伺服器和用戶節點都在各自的VLAN內，互不侵擾。

VLAN內部的連接採用交換實現，而VLAN與VLAN之間的連接則採用路由實現。目前，大多數的交換機(包括海關內部普遍採用的DEC

MultiSwitch

900)都支持RIP和OSPF這兩種國際標準的路由協議。如果有特殊需要，必須使用其他路由協議(如CISCO公司的EIGRP或支持DECnet的IS-IS)，也可以用外接的多乙太網口路由器來代替交換機，實現VLAN之間的路由功能。當然，這種情況下，路由轉發的效率會有所下降。

無論是交換式集線器還是VLAN交換機，都是以交換技術為核心，它們在控制廣播、防止黑客上相當有效，但同時也給一些基於廣播原理的入侵監控技術和協議分析技術帶來了麻煩。因此，如果區域網內存在這樣的入侵監控設備或協議分析設備，就必須選用特殊的帶有SPAN(Switch

Port

Analyzer)功能的交換機。這種交換機允許系統管理員將全部或某些交換埠的數據包映射到指定的埠上，提供給接在這一埠上的入侵監控設備或協議分析設備。筆者在廈門海關外部網設計中，就選用了Cisco公司的具備SPAN功能的Catalyst系列交換機，既得到了交換技術的好處，又使原有的Sniffer協議分析儀「英雄有用武之地」。

其它一些公司或企業在注重區域網監控管理軟體的同時也要注意工司內部的網路問題，利用一些網路管理軟體，網管工具軟體讓自己的員工為自己的公司利益最大化，當然我們講的是人道，所以只要充分利用好電腦網路就行了，讓我們一起維護一個綠色的網路共享家園。

④ 如何保障無線區域網安全

1、通過查看WiFi 網路設置來了解已有哪些保護措施。看晃否用有線等效加密(WEP)，無線網路安全接入(WPA)或二代無線網路安全接入(WPA2)等保護措施。其中WEP是最早的無線安全協議，效果不佳。WPA優於WEP，不過WPA2才是最佳選擇。
2、將網路安全設置改為WPA2模式。如果購買的是早期型號，建議更換支持WPA2的新型路由器。因為它更安全，速度也更快。
3、為WiFi 網路設置高強度密碼。選擇獨特的密碼十分重要，最好使用由數字，字母和符號組成的長密碼，這樣不易被別人猜出。
4、保護路由器，以免他人更改設置。路由器需要設置單獨的密碼，要與保護WiFi 網路的密碼有所區別。不要用出廠給的簡單用戶名及密碼（如Admin之類的）。

⑤ 區域網的網路安全

區域網的安全：1、物理安全：是指機房的網路環境安全，機房規范化部署，保持溫度和濕度，防止灰塵，抗電磁干擾等，可預防火災等情況發生。
2、網路結構/系統安全：網路拓撲上考慮冗餘鏈路，設置防火牆，設置入侵檢測，設置實時監控系統。①設置嚴格內外網隔離 ②內網不同區域物理隔離，劃分多個不同廣播域。③網路安全檢測 ④網路監控和管控（上網行為管理軟體）
以上簡單列了一些區域網安全的注意事項，還有需要注意的非常多，題主可以多搜搜。我個人感覺這塊比較簡單一點，防火牆裝一個，上網行為管理軟體裝一個 就差不多了。
防火牆 推薦華為或者思科的防火牆，上網行為管理軟體 推薦Lanecat網貓

⑥ 在單位上區域網，怎麼樣保護好自己的隱私呢

要看你們單位做了網路監控沒有，如果有，那麼你瀏覽了什麼網站基本上都會被記錄下來的；如果沒有安裝，可以放心用。
1、關於聊天記錄，這個東西是保存在你本機上的，只要你及時刪除了，別人都看不見的；

2、是否有監控軟體，那就要看你的水平了，因為那電腦也沒放在我面前，你先看看都安裝了什麼軟體，或者找一些反木馬的軟體，或者是掃描系統進程、線程的軟體，掃描一下系統，看看是否有隱藏的東西在運行，

3、隱私，樹立安全意識，沒別的辦法，如果你對計算機不是很熟悉，那麼最好學習一下，否則對一個你不明白的東西你又怎能保護隱私呢？

4、關於IP，除非管理員是個BT，去掃描所有的數據，並且管理員的專業很厲害，可以破解加密的傳輸，這種人寥寥無幾，放心吧，他能掃描出你用的設么軟體在上網，但是想通過截獲數據的方式來看見你的聊天內容，幾乎是不可能的，前提是你的機器沒有中招哈

防範qq第六感網吧有時掉線，基本可以確認為有人使用了qq第六感2.0對內網掃描

掉線狀態參見：
[url]http://bbs.51758.com/viewthread.php?tid=4040&highlight=[/url]

試過以前的補丁：packet.dll只讀目錄，加3個只讀的dll文件，
經過試驗，那幾個文件能中止網路執法官的安裝，對qq第六感 2.0版無效，qq第六感安裝完成後，packet.dll文件安裝在軟體的安裝目錄，安裝到windows目錄的3個只讀的dll屬性都變成不是只讀，估計文件只讀屬性只對dos下文件操作有效，尋找防止qq第六感2.0的安裝的方法，除了修改策略！！

⑦ 怎麼在區域網中保護自己的網速

隨便用一個p2pkill,自己去下載一個軟體，另外再下載教程，如果你是學工科的話很容易懂的，如果你是學文科的話，只要不笨，還是很容易看懂的。限速不要限的太死，很容易發現。
另外，路由器裡面就可以限速，如果你有管理許可權的話。

⑧ 怎樣確保區域網安全

1.右鍵我的電腦。管理。組策略，禁止從網路訪問我的計算機里添加USER用戶。從網路訪問我的計算機里刪除USER用戶。右鍵我的電腦。管理。用戶帳戶。禁用guest用戶。並且給administrator加上密碼。
2.打開IE。點工具。INTERNET選項。清除歷史記錄。刪除臨時文件。COOKIES文件。
3.登錄QQ的時候選擇網吧模式。
4.將信箱的密碼設置為大寫+小寫+符號。

1，安裝防火牆屏蔽共享
2，使用上網助手之類的ie插件或超級兔子，會自帶痕跡清理功能。
3，qq第一次登陸時會出現模式選擇，選擇網吧模式，等你退出的時候會提示你是否刪除。原來已有的記錄可在登陸界面點高級設置，下面會出現清除記錄。（最好使用新版的QQ2006）
4，一般網管不會，除非他變態。你可以使用郵箱客戶端+代理的方式，這樣很難截獲你得資料。

如何設置才能確保內網安全呢，通常可以從一下四個方面進行設置：

劃分VLAN防止網路偵聽

運用VLAN（虛擬區域網）技術，將乙太網通信變為點到點通信，防止大部分基於網路偵聽的入侵。 目前的VLAN技術主要有三種：基於交換機埠的VLAN、基於節點MAC地址的VLAN和基於應用協議的VLAN。基於埠的VLAN雖然稍欠靈活，但卻比較成熟，在實際應用中效果顯著，廣受歡迎。基於MAC地址的VLAN為移動計算提供了可能性，但同時也潛藏著遭受MAC欺詐攻擊的隱患。

在集中式網路環境下，我們通常將中心的所有主機系統集中到一個VLAN里，在這個VLAN里不允許有任何用戶節點，從而較好地保護敏感的主機資源。在分布式網路環境下，我們可以按機構或部門的設置來劃分VLAN。各部門內部的所有伺服器和用戶節點都在各自的VLAN內。VLAN內部的連接採用交換實現，而VLAN與VLAN之間的連接則採用路由實現。目前，大多數的交換機（包括海關內部普遍採用的DEC MultiSwitch 900）都支持RIP和OSPF這兩種國際標準的路由協議。如果有特殊需要，必須使用其他路由協議（如CISCO公司的EIGRP或支持DECnet的IS－IS），也可以用外接的多乙太網口路由器來代替交換機，實現VLAN之間的路由功能。當然，這種情況下，路由轉發的效率會有所下降。

安全設置區域網文件夾

如今我們所使用的操作系統大多都為Windows XP，可是在安裝Windows XP時預設項的共享都是「簡單共享」，從而導致「開放」的、不安全的文件共享，我們需要進行如下操作來解除這種不安全的隱患：

首先我們要取消默認的「簡單共享」。打開「我的電腦」依次單擊「工具→文件夾選項」，在打開的對話框中選擇「查看」選項卡，取消「使用簡單共享（推薦）」的選中狀態。

然後創建共享用戶。單擊「開始→設置→控制面板」，打開「用戶賬戶」，創建一個又密碼的用戶，假設用戶名為oldforman，需要共享資源的機器必須以該用戶共享資源。

接下來設置要共享的目錄。假設共享目錄為NTFS分區上的目錄OLDFORMAN,並設置只有用戶oldforman可以共享該目錄下的資源。用滑鼠右鍵單擊要共享的目錄OLDFORMAN，單擊「共享和安全」，點擊「許可權」，單擊刪除按鈕將原來該目錄任何用戶（everyone）都可以共享的許可權刪除。再單擊「添加」按鈕，依次單擊「高級→立即查找」，選擇用戶oldforman，單擊確定添加用戶oldforman，並選擇用戶oldforman的共享許可權。

以後區域網中的計算機要想查看該共享文件夾中的內容，只有輸入正確的用戶名和密碼才能查看或修改共享文件夾中的內容了，如圖2。

以交換式集線器代替共享式集線器

對區域網的中心交換機進行網路分段後，乙太網偵聽的危險仍然存在。這是因為網路最終用戶的接入往往是通過分支集線器而不是中心交換機，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當用戶與主機進行數據通信時，兩台機器之間的數據包（稱為單播包Unicast Packet）還是會被同一台集線器上的其他用戶所偵聽。一種很危險的情況是：用戶TELNET到一台主機上，由於TELNET程序本身缺乏加密功能，用戶所鍵入的每一個字元（包括用戶名、密碼等重要信息），都將被明文發送，這就給黑客提供了機會。

因此，應該以交換式集線器代替共享式集線器，使單播包僅在兩個節點之間傳送，從而防止非法偵聽。當然，交換式集線器只能控制單播包而無法控制廣播包（Broadcast Packet）和多播包（Multicast Packet）。所幸的是，廣播包和多播包內的關鍵信息，要遠遠少於單播包。

不管是交換式集線器還是VLAN交換機，都是以交換技術為核心，它們在控制廣播、防止黑客上相當有效，但同時也給一些基於廣播原理的入侵監控技術和協議分析技術帶來了麻煩。因此，如果區域網內存在這樣的入侵監控設備或協議分析設備，就必須選用特殊的帶有SPAN（Switch Port Analyzer）功能的交換機。這種交換機允許系統管理員將全部或某些交換埠的數據包映射到指定的埠上，提供給接在這一埠上的入侵監控設備或協議分析設備。加強防範觀念 安全預防區域網病毒

選擇一個功力高深的網路版病毒"殺手"就至關重要了。一般而言，查殺是否徹底，界面是否友好、方便，能否實現遠程式控制制、集中管理是決定一個網路殺毒軟體的三大要素。杜絕病毒，主觀能動性起到很重要的作用。

病毒的蔓延，經常是由於企業內部員工對病毒的傳播方式不夠了解，病毒傳播的渠道有很多種，可通過網路、物理介質等。查殺病毒，首先要知道病毒到底是什麼，它的危害是怎麼樣的，知道了病毒危害性，提高了安全意識，杜絕毒瘤的戰役就已經成功了一半。平時，企業要從加強安全意識著手，對日常工作中隱藏的病毒危害增加警覺性，如安裝一種大眾認可的網路版殺毒軟體，定時更新病毒定義，對來歷不明的文件運行前進行查殺，每周查殺一次病毒，減少共享文件夾的數量，文件共享的時候盡量控制許可權和增加密碼等，都可以很好地防止病毒在網路中的傳播。

後記

盡管這些病毒的傳播原理很簡單，但這塊決非僅僅是技術問題，還應該教育用戶和企業，讓它們採取適當的措施。例如，如果所有的Windows用戶都關閉了VB腳本功能，像庫爾尼科娃這樣的病毒就不可能傳播。只要用戶隨時小心警惕，不要打開值得懷疑的郵件，就可把病毒拒絕在外。

⑨ 在區域網內,如何保護讓自己的電腦穩定地上網呢

1、區域網內建議安裝網路版殺毒軟體，如果沒有，可以安裝金山毒霸或卡巴斯基網路安裝套裝+360安全衛士
2、你可以新建一個帳戶，將許可權進行限制，將本機的遠程連接關閉，具體設置網上很多，一查就知道了。
3、IP地址綁定指的是你本機的IP地址與本機的網卡mac地址進行綁定，當修改IP地址後，此機會收到限制。
4、區域網內想穩定上網，只有你電腦沒問題是不行的，如果其他電腦中毒也會引起網路交換機中都而造成不能上網或上網不正常。

⑩ 如何在區域網中做好自我保護

我認為做好兩點就可以了。1、輕易不要訪問網上鄰居的共享文件夾，要訪問，必須正確訪問（不訪問不知道的文件夾）。2、保護好自己的計算機，升級系統，解決系統的漏洞，可以防止一些病毒，再者可以安裝最新的正版殺毒軟體，進行監控，遇到病毒問題及時的處理掉。
我想就OK了！