当前位置：首页 > 情感技巧 > 正文内容

黑客可以入侵到公司内部局域网吗（黑客可以通过路由器入侵内网吗）

hacker2年前 (2022-06-27)情感技巧60

本文目录一览：

1、我通过局域网上网，黑客能扫描入侵我的电脑吗？我指局域网内部的人除外。
2、局域网的电脑会被黑客攻击到吗?
3、一个公司有自己的内部网络，如果外人知道这个公司的内网IP地址，那么他能否进入这个公司的内部网？
4、有啥可以帮助我们预防黑客入侵企业内网呢？
5、黑客能攻破内网用户吗?
6、局域网是不是就不会受到黑客的攻击

我通过局域网上网，黑客能扫描入侵我的电脑吗？我指局域网内部的人除外。

不能，太厉害的应该能、除非那个黑客就在你的局域网类。一般情况不会入侵你的、他没有那么看得起你。

局域网的电脑会被黑客攻击到吗?

看局域网是否和外网连通，如果与国际互联网相联的，一般路由器、防火墙一类的都可能会不管用，重要的东西不要放在与外网相联的计算机上。

一个公司有自己的内部网络，如果外人知道这个公司的内网IP地址，那么他能否进入这个公司的内部网？

可以进入。以下是我设计的方案的部分内容。主要是分为外网和内网两部份来防止。

方案设计

根据*****公司的需求，结合我公司多年的系统集成经验，建议客户采用如下拓扑来实施本方案。网络采用星型拓扑、内、外网络系统分开。由于网络的安全重要性，外网推荐使用防火墙。根据网络拓扑，我们建议防火墙必须符合几个指标

支持VPN\支持代理服务、支持多种网络模型（端口至端口路由型、桥模式、混合模式）、支持NAT地址转换、支持PAT地址转换、支持入侵检测。端口数大于等于3。

本方案我公司推荐方正3000-FG-d3企业版：集成多种网络安全控制功能，支持多种网络接入方式，全面防护。标配：3个100M网口。220M网络吞吐量，1000个vpn隧道数，30Mbps（软件）50Mbps（硬件），支持到100万并发连接， 1U机架式设备方便机柜安装。本身含有入侵检测、安全评估系统、智能IP识别、高速策略优化。或者使用飞塔Fortigate 100的产品。

外网交换机推荐使用华为QD2024C，Quidway® S2000C系列包括S2008C/S2016C/S2024C，分别提供8、16、24端口三种规格，支持最大256个802.1Q VLAN和HGMP集群管理，是为要求具备高性能且易于安装的网络环境而设计的楼道级/桌面级二层线速以太网交换产品。

内网交换机推荐使用Quidway® S3500系列快速智能三层交换机，它是华为3Com公司为充分满足高QoS保证的需求而推出的智能型以太网交换机，包括S3526C、S3526E-FS、S3526E-FM三款类型。Quidway® S3500系列快速智能三层交换机支持L2－L7层的流分类，在流分类的基础上可以进行ACL和QoS方面的多种操作，提供完善的路由协议、VLAN控制、流量交换、QoS保证的机制，以及完备的业务控制和用户管理能力，可作为关注业务管理控制能力的局域网/企业网、业务网和驻地网的汇聚三层交换机。

办公服务器推荐使用IBMxSeries 346, Intel Xeon Processor 3.0GHz,1GB内存，3*74G,2*10/100/1000M，2U机架式服务器。或者方正圆明MR200，Intel Xeon 3.0G,1Gb,3*74,2*10/100/100,2U机架式服务器。

2.2.1 外网

Internet区域

通过ISP采用光纤专线连接至Internet,速率10Mpps。

银行区域

通过数据专线连接至银行，与防火墙连接，保证数据安全

对外服务器区

使用防火墙提供的DMZ区域使用NAT\PAT转换IP地址保护服务器物理位置。只开放对外提供服务的端口保证非授权的访问无法进入服务器。

外部网络客户端区

与防火墙的外网口连接，不参与到内部网络的连接。物理分开内外部网络。

内外部网络客户端区

计算机安装硬盘物理隔离系统，严格物理分开内部和外部网络数据。保证内部资料安全。

2.2.2 内网

内部服务器区

对内提供文件服务器、办公OA系统

内部网络客户端区

不参与外网的连接

有啥可以帮助我们预防黑客入侵企业内网呢？

我们在电视或者电影中经常会看到这样的情景，间谍或者警察，在某户人家的电话线总线上，拉出一根电话分线，对这个电话进行窃听。现在这种方法在网络中也逐渐蔓延开来。

由于局域网中采用的是广播方式，因此在某个广播域中（往往是一个企业局域网就是一个广播域），可以监听到所有的信息报。而非法入侵者通过对信息包进行分析，就能够非法窃取局域网上传输的一些重要信息。如现在很多黑客在入侵时，都会把局域网稍描与监听作为他们入侵之前的准备工作。因为凭这些方式，他们可以获得用户名、密码等重要的信息。如现在不少的网络管理工具，号称可以监听别人发送的邮件内容、即时聊天信息、访问网页的内容等等，也是通过网络监听来实现的。可见，网络监听是一把双刃剑，用到正处，可以帮助我们管理员工的网络行为；用的不好，则会给企业的网络安全以致命一击。

一、监听的工作原理。

要有效防止局域网的监听，则首先需要对局域网监听的工作原理有一定的了解。知己知彼，百战百胜。只有如此，才能有针对性的提出一些防范措施。

现在企业局域网中常用的网络协议是“以太网协议”。而这个协议有一个特点，就是某个主机A如果要发送一个主机给B，其不是一对一的发送，而是会把数据包发送给局域网内的包括主机B在内的所有主机。在正常情况下，只有主机B才会接收这个数据包。其他主机在收到数据包的时候，看到这个数据库的目的地址跟自己不匹配，就会把数据包丢弃掉。

但是，若此时局域网内有台主机C，其处于监听模式。则这台数据不管数据包中的IP地址是否跟自己匹配，就会接收这个数据包，并把数据内容传递给上层进行后续的处理。这就是网络监听的基本原理。

在以太网内部传输数据时，包含主机唯一标识符的物理地址（MAC地址）的帧从网卡发送到物理的线路上，如网线或者光纤。此时，发个某台特定主机的数据包会到达连接在这线路上的所有主机。当数据包到达某台主机后，这台主机的网卡会先接收这个数据包，进行检查。如果这个数据包中的目的地址跟自己的地址不匹配的话，就会丢弃这个包。如果这个数据包中的目的地址跟自己地址匹配或者是一个广播地址的话，就会把数据包交给上层进行后续的处理。在这种工作模式下，若把主机设置为监听模式，则其可以了解在局域网内传送的所有数据。如果这些数据没有经过加密处理的话，那么后果就可想而知了。

二、常见的防范措施。

1、采用加密技术，实现密文传输。

从上面的分析中，我们看到，若把主机设置为监听模式的话，则局域网中传输的任何数据都可以被主机所窃听。但是，若窃听者所拿到的数据是被加密过的，则其即使拿到这个数据包，也没有用处，无法解密。这就好像电影中的电报，若不知道对应的密码，则即使获得电报的信息，对他们来说，也是一无用处。

所以，比较常见的防范局域网监听的方法就是加密。数据经过加密之后，通过监听仍然可以得到传送的信息，但是，其显示的是乱码。结果是，其即使得到数据，也是一堆乱码，没有多大的用处。

现在针对这种传输的加密手段有很多，最常见的如IPSec协议。Ipsec 有三种工作模式，一是必须强制使用，二是接收方要求，三是不采用。当某台主机A向主机B发送数据文件的时候，主机A与主机B是会先进行协商，其中包括是否需要采用IPSec技术对数据包进行加密。一是必须采用，也就是说，无论是主机A还是主机B都必须支持IPSec，否则的话，这个传输将会以失败告终。二是请求使用，如在协商的过程中，主机A会问主机B，是否需要采用IPSec。若主机B回答不需要采用，则就用明文传输，除非主机A的IPSec策略设置的是必须强制使用。若主机B回答的是可以用IPSec加密，则主机A就会先对数据包进行加密，然后再发送。经过IPSec技术加密过的数据，一般很难被破解。而且，重要的是这个加密、解密的工作对于用户来说，是透明的。也就是说，我们网络管理员之需要配置好IPSec策略之后，员工不需要额外的动作。是否采用IPSec加密、不采用会有什么结果等等，员工主机之间会自己进行协商，而不需要我们进行额外的控制。

在使用这种加密手段的时候，唯一需要注意的就是如何设置IPSec策略。也就是说，什么时候采用强制加密，说明时候采用可有可无的。若使用强制加密的情况下，一定要保证通信的双方都支持IPSec技术，否则的话，就可能会导致通信的不成功。最懒的方法，就是不管三七二十一，给企业内的所有电脑都配置IPSec策略。虽然，都会在增加一定的带宽，给网络带来一定的压力，但是，基本上，这不会对用户产生多大的直接影响。或者说，他们不能够直观的感受到由于采用了IPSec技术而造成的网络性能减慢。

2、利用路由器等网络设备对网络进行物理分段。

我们从上面的以太网工作原理的分析中可以知道，如果销售部门的某位销售员工发送给销售经理的一份文件，会在公司整个网络内进行传送。我们若能够设计一种方案，可以让销售员工的文件直接给销售经理，或者至少只在销售部门内部的员工可以收的到的话，那么，就可以很大程度的降低由于网络监听所导致的网络安全的风险。

如我们可以利用路由器来分离广播域。若我们销售部门跟其他部门之间不是利用共享式集线器或者普通交换机进行连接，而是利用路由器进行连接的话，就可以起到很好的防范局域网监听的问题。如此时，当销售员A发信息给销售经理B的时候，若不采用路由器进行分割，则这份邮件会分成若干的数据包在企业整个局域网内部进行传送。相反，若我们利用路由器来连接销售部门跟其他部门的网络，则数据包传送到路由器之后，路由器会检查数据包的目的IP地址，然后根据这个IP地址来进行转发。此时，就只有对应的IP地址网络可以收到这个数据包，而其他不相关的路由器接口就不会收到这个数据包。很明显，利用路由器进行数据报的预处理，就可以有效的减少数据包在企业网络中传播的范围，让数据包能够在最小的范围内传播。

不过，这个利用路由器来分段的话，有一个不好地地方，就是在一个小范围内仍然可能会造成网络监听的情况。如在销售部门这个网络内，若有一台主机被设置为网络监听，则其虽然不能够监听到销售部门以外的网络，但是，对于销售部门内部的主机所发送的数据包，仍然可以进行监听。如财务经理发送一份客户的应手帐款余额表给销售经理的话，有路由器转发到销售部门的网络后，这个数据包仍然会到达销售部门网络内地任一主机。如此的话，只要销售网络中有一台网络主机被设置为监听，就仍然可以窃听到其所需要的信息。不过若财务经理发送这份文件给总经理，由于总经理的网段不在销售部门的网段，所以数据包不会传送给财务部门所在的网络段，则销售部门中的侦听主机就不能够侦听到这些信息了。

另外，采用路由器进行网络分段外，还有一个好的副作用，就是可以减轻网络带宽的压力。若数据包在这个网络内进行传播的话，会给网络带来比较大的压力。相反，通过路由器进行网络分段，从而把数据包控制在一个比较小的范围之内，那么显然可以节省网络带宽，提高网络的性能。特别是企业在遇到DDOS等类似攻击的时候，可以减少其危害性。

3、利用虚拟局域网实现网络分段。

我们不仅可以利用路由器这种网络硬件来实现网络分段。但是，这毕竟需要企业购买路由器设备。其实，我们也可以利用一些交换机实现网络分段的功能。如有些交换机支持虚拟局域网技术，就可以利用它来实现网络分段，减少网络侦听的可能性。

虚拟局域网的分段作用跟路由器类似，可以把企业的局域网分割成一个个的小段，让数据包在小段内传输，将以太网通信变为点到点的通信，从而可以防止大部分网络监听的入侵。

不过，这毕竟还是通过网络分段来防止网络监听，所以，其也有上面所说的利用路由器来实现这个需求的缺点，就是只能够减少网络监听入侵的几率。在某个网段内，仍然不能够有效避免网络监听。

所以，比较好的方法，笔者还是推荐采用加密技术来防止网络监听给企业所带来的危害，特别似乎防止用户名、密码等关键信息被窃听。