拒絕局域網監聽，常見的幾種防范措施

 

比較常見的防范局域網監聽的方法就是加密。數據經過加密之后，通過監聽仍然可以得到傳送的信息，但是，其顯示的是亂碼。結果是，其即使得到數據，也是一堆亂碼，沒有多大的用處。

 

現在針對這種傳輸的加密手段有很多，最常見的如IPSec協議。Ipsec有三種工作模式，一是必須強制使用，二是接收方要求，三是不采用。當某臺主機A向主機B發送數據文件的時候，主機A與主機B是會先進行協商，其中包括是否需要采用IPSec技術對數據包進行加密。一是必須采用，也就是說，無論是主機A還是主機B都必須支持IPSec，否則的話，這個傳輸將會以失敗告終。二是請求使用，如在協商的過程中，主機A會問主機B，是否需要采用IPSec。若主機B回答不需要采用，則就用明文傳輸，除非主機A的IPSec策略設置的是必須強制使用。若主機B回答的是可以用IPSec加密，則主機A就會先對數據包進行加密，然后再發送。經過IPSec技術加密過的數據，一般很難被破解。而且，重要的是這個加密、解密的工作對于用戶來說，是透明的。也就是說，我們網絡管理員之需要配置好IPSec策略之后，員工不需要額外的動作。是否采用IPSec加密、不采用會有什么結果等等，員工主機之間會自己進行協商，而不需要我們進行額外的控制。

 

在使用這種加密手段的時候，唯一需要注意的就是如何設置IPSec策略。也就是說，什么時候采用強制加密，說明時候采用可有可無的。若使用強制加密的情況下，一定要保證通信的雙方都支持IPSec技術，否則的話，就可能會導致通信的不成功。最懶的方法，就是不管三七二十一，給企業內的所有電腦都配置IPSec策略。雖然，都會在增加一定的帶寬，給網絡帶來一定的壓力，但是，基本上，這不會對用戶產生多大的直接影響�；蛘哒f，他們不能夠直觀的感受到由于采用了IPSec技術而造成的網絡性能減慢。

 

 

從以太網工作原理中可以知道，如果銷售部門的某位銷售員工發送給銷售經理的一份文件，會在公司整個網絡內進行傳送。我們若能夠設計一種方案，可以讓銷售員工的文件直接給銷售經理，或者至少只在銷售部門內部的員工可以收的到的話，那么，就可以很大程度的降低由于網絡監聽所導致的網絡安全的風險。

 

如我們可以利用路由器來分離廣播域。若我們銷售部門跟其他部門之間不是利用共享式集線器或者普通交換機進行連接，而是利用路由器進行連接的話，就可以起到很好的防范局域網監聽的問題。如此時，當銷售員A發信息給銷售經理B的時候，若不采用路由器進行分割，則這份郵件會分成若干的數據包在企業整個局域網內部進行傳送。相反，若我們利用路由器來連接銷售部門跟其他部門的網絡，則數據包傳送到路由器之后，路由器會檢查數據包的目的IP地址，然后根據這個IP地址來進行轉發。此時，就只有對應的IP地址網絡可以收到這個數據包，而其他不相關的路由器接口就不會收到這個數據包。很明顯，利用路由器進行數據報的預處理，就可以有效的減少數據包在企業網絡中傳播的范圍，讓數據包能夠在最小的范圍內傳播。

 

不過，這個利用路由器來分段的話，有一個不好地地方，就是在一個小范圍內仍然可能會造成網絡監聽的情況。如在銷售部門這個網絡內，若有一臺主機被設置為網絡監聽，則其雖然不能夠監聽到銷售部門以外的網絡，但是，對于銷售部門內部的主機所發送的數據包，仍然可以進行監聽。如財務經理發送一份客戶的應手帳款余額表給銷售經理的話，有路由器轉發到銷售部門的網絡后，這個數據包仍然會到達銷售部門網絡內地任一主機。如此的話，只要銷售網絡中有一臺網絡主機被設置為監聽，就仍然可以竊聽到其所需要的信息。不過若財務經理發送這份文件給總經理，由于總經理的網段不在銷售部門的網段，所以數據包不會傳送給財務部門所在的網絡段，則銷售部門中的偵聽主機就不能夠偵聽到這些信息了。

 

另外，采用路由器進行網絡分段外，還有一個好的副作用，就是可以減輕網絡帶寬的壓力。若數據包在這個網絡內進行傳播的話，會給網絡帶來比較大的壓力。相反，通過路由器進行網絡分段，從而把數據包控制在一個比較小的范圍之內，那么顯然可以節省網絡帶寬，提高網絡的性能。特別是企業在遇到DDOS等類似攻擊的時候，可以減少其危害性。

 

 

我們不僅可以利用路由器這種網絡硬件來實現網絡分段。但是，這畢竟需要企業購買路由器設備。其實，我們也可以利用一些交換機實現網絡分段的功能。如有些交換機支持虛擬局域網技術，就可以利用它來實現網絡分段，減少網絡偵聽的可能性。

 

虛擬局域網的分段作用跟路由器類似，可以把企業的局域網分割成一個個的小段，讓數據包在小段內傳輸，將以太網通信變為點到點的通信，從而可以防止大部分網絡監聽的入侵。