比較常見的防范局域網(wǎng)監(jiān)聽的方法就是加密。數(shù)據(jù)經(jīng)過加密之后，通過監(jiān)聽仍然可以得到傳送的信息，但是，其顯示的是亂碼。結(jié)果是，其即使得到數(shù)據(jù)，也是一堆亂碼，沒有多大的用處。

 

現(xiàn)在針對(duì)這種傳輸?shù)募用苁侄斡泻芏�，最常見的如IPSec協(xié)議。Ipsec有三種工作模式，一是必須強(qiáng)制使用，二是接收方要求，三是不采用。當(dāng)某臺(tái)主機(jī)A向主機(jī)B發(fā)送數(shù)據(jù)文件的時(shí)候，主機(jī)A與主機(jī)B是會(huì)先進(jìn)行協(xié)商，其中包括是否需要采用IPSec技術(shù)對(duì)數(shù)據(jù)包進(jìn)行加密。一是必須采用，也就是說，無論是主機(jī)A還是主機(jī)B都必須支持IPSec，否則的話，這個(gè)傳輸將會(huì)以失敗告終。二是請求使用，如在協(xié)商的過程中，主機(jī)A會(huì)問主機(jī)B，是否需要采用IPSec。若主機(jī)B回答不需要采用，則就用明文傳輸，除非主機(jī)A的IPSec策略設(shè)置的是必須強(qiáng)制使用。若主機(jī)B回答的是可以用IPSec加密，則主機(jī)A就會(huì)先對(duì)數(shù)據(jù)包進(jìn)行加密，然后再發(fā)送。經(jīng)過IPSec技術(shù)加密過的數(shù)據(jù)，一般很難被破解。而且，重要的是這個(gè)加密、解密的工作對(duì)于用戶來說，是透明的。也就是說，我們網(wǎng)絡(luò)管理員之需要配置好IPSec策略之后，員工不需要額外的動(dòng)作。是否采用IPSec加密、不采用會(huì)有什么結(jié)果等等，員工主機(jī)之間會(huì)自己進(jìn)行協(xié)商，而不需要我們進(jìn)行額外的控制。

 

在使用這種加密手段的時(shí)候，唯一需要注意的就是如何設(shè)置IPSec策略。也就是說，什么時(shí)候采用強(qiáng)制加密，說明時(shí)候采用可有可無的。若使用強(qiáng)制加密的情況下，一定要保證通信的雙方都支持IPSec技術(shù)，否則的話，就可能會(huì)導(dǎo)致通信的不成功。最懶的方法，就是不管三七二十一，給企業(yè)內(nèi)的所有電腦都配置IPSec策略。雖然，都會(huì)在增加一定的帶寬，給網(wǎng)絡(luò)帶來一定的壓力，但是，基本上，這不會(huì)對(duì)用戶產(chǎn)生多大的直接影響�；蛘哒f，他們不能夠直觀的感受到由于采用了IPSec技術(shù)而造成的網(wǎng)絡(luò)性能減慢。

 

 

從以太網(wǎng)工作原理中可以知道，如果銷售部門的某位銷售員工發(fā)送給銷售經(jīng)理的一份文件，會(huì)在公司整個(gè)網(wǎng)絡(luò)內(nèi)進(jìn)行傳送。我們?nèi)裟軌蛟O(shè)計(jì)一種方案，可以讓銷售員工的文件直接給銷售經(jīng)理，或者至少只在銷售部門內(nèi)部的員工可以收的到的話，那么，就可以很大程度的降低由于網(wǎng)絡(luò)監(jiān)聽所導(dǎo)致的網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)。

 

如我們可以利用路由器來分離廣播域。若我們銷售部門跟其他部門之間不是利用共享式集線器或者普通交換機(jī)進(jìn)行連接，而是利用路由器進(jìn)行連接的話，就可以起到很好的防范局域網(wǎng)監(jiān)聽的問題。如此時(shí)，當(dāng)銷售員A發(fā)信息給銷售經(jīng)理B的時(shí)候，若不采用路由器進(jìn)行分割，則這份郵件會(huì)分成若干的數(shù)據(jù)包在企業(yè)整個(gè)局域網(wǎng)內(nèi)部進(jìn)行傳送。相反，若我們利用路由器來連接銷售部門跟其他部門的網(wǎng)絡(luò)，則數(shù)據(jù)包傳送到路由器之后，路由器會(huì)檢查數(shù)據(jù)包的目的IP地址，然后根據(jù)這個(gè)IP地址來進(jìn)行轉(zhuǎn)發(fā)。此時(shí)，就只有對(duì)應(yīng)的IP地址網(wǎng)絡(luò)可以收到這個(gè)數(shù)據(jù)包，而其他不相關(guān)的路由器接口就不會(huì)收到這個(gè)數(shù)據(jù)包。很明顯，利用路由器進(jìn)行數(shù)據(jù)報(bào)的預(yù)處理，就可以有效的減少數(shù)據(jù)包在企業(yè)網(wǎng)絡(luò)中傳播的范圍，讓數(shù)據(jù)包能夠在最小的范圍內(nèi)傳播。

 

不過，這個(gè)利用路由器來分段的話，有一個(gè)不好地地方，就是在一個(gè)小范圍內(nèi)仍然可能會(huì)造成網(wǎng)絡(luò)監(jiān)聽的情況。如在銷售部門這個(gè)網(wǎng)絡(luò)內(nèi)，若有一臺(tái)主機(jī)被設(shè)置為網(wǎng)絡(luò)監(jiān)聽，則其雖然不能夠監(jiān)聽到銷售部門以外的網(wǎng)絡(luò)，但是，對(duì)于銷售部門內(nèi)部的主機(jī)所發(fā)送的數(shù)據(jù)包，仍然可以進(jìn)行監(jiān)聽。如財(cái)務(wù)經(jīng)理發(fā)送一份客戶的應(yīng)手帳款余額表給銷售經(jīng)理的話，有路由器轉(zhuǎn)發(fā)到銷售部門的網(wǎng)絡(luò)后，這個(gè)數(shù)據(jù)包仍然會(huì)到達(dá)銷售部門網(wǎng)絡(luò)內(nèi)地任一主機(jī)。如此的話，只要銷售網(wǎng)絡(luò)中有一臺(tái)網(wǎng)絡(luò)主機(jī)被設(shè)置為監(jiān)聽，就仍然可以竊聽到其所需要的信息。不過若財(cái)務(wù)經(jīng)理發(fā)送這份文件給總經(jīng)理，由于總經(jīng)理的網(wǎng)段不在銷售部門的網(wǎng)段，所以數(shù)據(jù)包不會(huì)傳送給財(cái)務(wù)部門所在的網(wǎng)絡(luò)段，則銷售部門中的偵聽主機(jī)就不能夠偵聽到這些信息了。

 

另外，采用路由器進(jìn)行網(wǎng)絡(luò)分段外，還有一個(gè)好的副作用，就是可以減輕網(wǎng)絡(luò)帶寬的壓力。若數(shù)據(jù)包在這個(gè)網(wǎng)絡(luò)內(nèi)進(jìn)行傳播的話，會(huì)給網(wǎng)絡(luò)帶來比較大的壓力。相反，通過路由器進(jìn)行網(wǎng)絡(luò)分段，從而把數(shù)據(jù)包控制在一個(gè)比較小的范圍之內(nèi)，那么顯然可以節(jié)省網(wǎng)絡(luò)帶寬，提高網(wǎng)絡(luò)的性能。特別是企業(yè)在遇到DDOS等類似攻擊的時(shí)候，可以減少其危害性。

 

 

我們不僅可以利用路由器這種網(wǎng)絡(luò)硬件來實(shí)現(xiàn)網(wǎng)絡(luò)分段。但是，這畢竟需要企業(yè)購買路由器設(shè)備。其實(shí)，我們也可以利用一些交換機(jī)實(shí)現(xiàn)網(wǎng)絡(luò)分段的功能。如有些交換機(jī)支持虛擬局域網(wǎng)技術(shù)，就可以利用它來實(shí)現(xiàn)網(wǎng)絡(luò)分段，減少網(wǎng)絡(luò)偵聽的可能性。

 

虛擬局域網(wǎng)的分段作用跟路由器類似，可以把企業(yè)的局域網(wǎng)分割成一個(gè)個(gè)的小段，讓數(shù)據(jù)包在小段內(nèi)傳輸，將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)的通信，從而可以防止大部分網(wǎng)絡(luò)監(jiān)聽的入侵。