61阅读

企业网络安全方案-运用动态安全域保护企业网的方法

发布时间:2018-04-22 所属栏目:企业私有云方案

一 : 运用动态安全域保护企业网的方法

网络安全域是指同一系统内有相同的安全保护需求、相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,相同的网络安全域共享一样的安全策略。网络安全域从广义上可理解为具有相同业务要求和安全要求的IT系统要素的集合。
网络安全域从大的方面一般可划分为四个部分:本地网络、远程网络、公共网络、伙伴访问。传统的安全域之间需要设置防火墙以进行安全保护。本地网络域的安全内容有:桌面管理、应用程序管理、用户账号管理、登录验证管理、文件和打印资源管理、通信通道管理以及灾难恢复管理等与安全相关的内容。远程网络域的安全内容为:安全远程用户以及远程办公室对网络的访问。公共网络域的安全内容为:安全内部用户访问互联网以及互联网用户访问内网服务。伙伴访问域的安全内容为:保证企业合作伙伴对网络的访问安全,保证传输的可靠性以及数据的真实性和机密性。
一个大的安全域还可根据内部不同部分的不同安全需求,再划分为很多小的区域。一般在划分安全域之前,还应先把所有的计算机进行分组。分好组后,再把各个组放到相应的区域中去,如边界DNS和边界Web,都可放到边界防护区域(即所谓的DMZ区域)中去。为了更为细粒度地对网络进行访问控制,在划分安全域后,可以继续在安全域下划分若干子安全域,子安全域不能单独创建,必须属于某个安全域,子安全域之间可以互相重叠。计算机分组并划分到不同的安全区域中后,每个区域再根据分组划分为几个子网。每个组的安全性要求和设置是不一样的。区域划分后,就可设计不同区域间的通信机制,如允许和拒绝的通信流量、通信安全要求以及技术、端口开禁等。如公网到核心网通信,必须通过VPN,并且要通过双因子验证(需要智能卡、口令)进行身份验证,身份合法后再采用IP Sec进行加密通信。
传统安全域的访问管理
在基于传统安全域的访问控制体系模型中,有以下几个主要模块:
•ID管理模块:用户信息管理模块,提供用户信息的添加、删除和修改等功能,集中管理企业网络中的用户,同时,可以将用户按权限进行分组、分角色,进而利用组和角色对特定用户集合进行管理;
•安全域管理模块:管理用户划分的安全域和子安全域信息,用户可以添加、删除和修改安全域以及子安全域,可以配置安全域之间的访问控制关系,比如在访问安全域A的时候,不能同时访问安全域B等;
•访问策略管理模块:管理用户与安全域、子安全域之间的访问控制关系,定义用户在什么时间、什么地点可以访问哪些安全域等;
•Web服务管理:为用户提供Web服务,用户通过Web服务进行身份认证以及安全域的访问和退出等;
•通信平台:主要是通过SSH、Telnet对防火墙进行配置,为用户打开指定的ACL访问;
•探测模块:探测用户PC是否在线,探测方式可以采用ARP、ICMP、SAMBA等协议。
在基于传统安全域的访问控制体系下,用户接入网络、访问网络资源的步骤如下:
•第0步:用户接入网络,直接访问安全域失败,因为防火墙ACL默认禁止用户访问此安全域;
•第1步:用户通过Web浏览器访问安全域管理服务器IP或URL;
•第2步:用户在身份认证页面输入身份信息,安全域管理服务器对用户进行认证,认证成功则继续,认证失败需重新认证;
•第3步:用户认证成功后,安全域管理服务器利用管理员配置的访问策略将用户可访问域显示给用户;
•第4、5步:用户选择登录其要访问的安全域,安全域管理服务器通过网络连接开启用户PC对安全域(或子安全域)的ACL;
•第6步:用户成功访问其登录的安全域;
•第7步:当用户退出安全域后,安全域管理服务器将下发给防火墙的ACL撤销。同时,如果在线探测模块探测到用户下线或者用户IP-MAC发生改变的时候,也会撤销其为此IP下发的ACL。
动态安全域助力大型企业
基于传统安全域的访问控制体系模型是企业网在发展过程中形成的通用模式,在中小型企业、业务专业性较强和地域分布不广的大中型企业中都有很好的实现。但在业务高度复杂、地域高度分散且地域及业务均呈交叉状、人员众多的大型或超大型企业集团中,信息系统广泛采用分布式或集中分布式部署,传统的安全域模型结构也被大量复制,其总部结构和分支机构安全域模型交叉,随着人员业务变化性的增强和企业重组或业务快速膨胀,承载网和业务网边界日益模糊,访问管理模型也随之日益复杂,安全域或安全子域的变化频繁,ACL控制或基础安全策略日益膨胀,随之带来的管控复杂性使网络管理员面临巨大工作量和智力挑战。某大型企业集团早在2005年就开始实施安全域,但随着上述情况的出现,安全域边界不断变化,其安全域逐步变化成为30多个,子域多达上百个,其核心交换机上的ACL就达1000余条,矩阵分离表的逻辑性也逐渐完全不可读,最终导致其安全域划分的失败。
安全域的核心就是通过一系列的规则控制,达到特定网络群组按照指定规则访问指定群组的关系,其组群需要具有相同的安全访问控制和边界控制策略的子网或网络。传统模型较为容易在集中部署的单一结构中实现,其组群成员的权责变化一般也需要对相应规则做调整。假定将组群成员动态的变化和子域调整与子网划分动态结合,就可以实现基于传统复杂安全域结构上的动态调整,从而实现基于传统安全域基础上的动态安全域的模型结构。
在基于动态安全域的访问控制体系下,用户接入网络、访问网络资源的步骤如下:
•第0步:用户接入网络,直接访问安全域失败,因为强制器没有通知接入交换机打开网络端口,默认用户访问隔离域A,做身份申请;
•第1步:用户身份认证成功,强制器打开接入端口,做安全合规性检测,默认访问隔离域B,做安全合规性完善;
•第2步:合规性检查通过,用户从隔离域B中划出到公共访问域;
•第3步:用户身份信息传送给安全域管理服务器,安全域管理服务器访问服务域控制器,服务域控制器从人力资源数据库权责矩阵同步列表中生成用户安全域列表,并通知用户;
•第4步:用户选择登录其要访问的服务,安全域控制器根据安全域列表,通知网管控制域服务器,网管控制器通知网络交换域;
•第5步:网络交换域生成控制列表,生成VLAN及VCL组合,通知交换设备,生成访问域控制隔离通道;
•第6步:服务控制服务器通过交换域,通知相应安全域做对应权责匹配;
•第7步:用户访问所需安全域的服务;
•第8步:当用户退出安全域后,安全域管理服务器将下发给交换用户的VLAN及ACL撤销。同时,如果在线探测模块探测到用户下线或者用户进行危险性违规性操作或IP-MAC发生改变的时候,也会通知交换域撤销其为此身份下发的IP、VLAN及ACL,进行隔离;如果在线探测模块探测到用户进行攻击性或高危破坏性操作,通知交换域撤销其为此身份下发的IP、VLAN及ACL,并同时关闭端口避免入侵破坏。
安全域是基于网络和系统进行安全检查和评估的基础,安全域的划分是企业网络抗渗透的有效防护方式,安全域边界是灾难发生时的抑制点,同时安全域也是基于网络和系统进行安全建设的部署依据。动态安全域在传统安全域常规手段的基础上,将网络成员权责与安全子域和子网划分动态结合,同时将网络动态接入和用户权责矩阵有机结合,成为大型或超大型企业网络的有效管控手段。当然,上述安全域管理系统也有需要改进的部分,如网络设备的动态管控。由于网络设备厂商的多样化导致命令处理十分复杂,此模型对网络设备具有较高要求,并需要网络设备一致性或大量针对性网络控制的二次开发,同时面临构架复杂、实施周期长、成本较高等难题,主要原因是现如今还没有这方面的业界或企业标准。不过随着网络安全的进一步发展,这方面问题有望得到改善

二 : 运用动态安全域保护企业网的方法

网络安全域是指同一系统内有相同的安全保护需求、相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,相同的网络安全域共享一样的安全策略。网络安全域从广义上可理解为具有相同业务要求和安全要求的IT系统要素的集合。
  网络安全域从大的方面一般可划分为四个部分:本地网络、远程网络、公共网络、伙伴访问。传统的安全域之间需要设置防火墙以进行安全保护。本地网络域的安全内容有:桌面管理、应用程序管理、用户账号管理、登录验证管理、文件和打印资源管理、通信通道管理以及灾难恢复管理等与安全相关的内容。远程网络域的安全内容为:安全远程用户以及远程办公室对网络的访问。公共网络域的安全内容为:安全内部用户访问互联网以及互联网用户访问内网服务。伙伴访问域的安全内容为:保证企业合作伙伴对网络的访问安全,保证传输的可靠性以及数据的真实性和机密性。
  一个大的安全域还可根据内部不同部分的不同安全需求,再划分为很多小的区域。一般在划分安全域之前,还应先把所有的计算机进行分组。分好组后,再把各个组放到相应的区域中去,如边界DNS和边界Web,都可放到边界防护区域(即所谓的DMZ区域)中去。为了更为细粒度地对网络进行访问控制,在划分安全域后,可以继续在安全域下划分若干子安全域,子安全域不能单独创建,必须属于某个安全域,子安全域之间可以互相重叠。计算机分组并划分到不同的安全区域中后,每个区域再根据分组划分为几个子网。每个组的安全性要求和设置是不一样的。区域划分后,就可设计不同区域间的通信机制,如允许和拒绝的通信流量、通信安全要求以及技术、端口开禁等。如公网到核心网通信,必须通过VPN,并且要通过双因子验证(需要智能卡、口令)进行身份验证,身份合法后再采用IP Sec进行加密通信。
  传统安全域的访问管理
  在基于传统安全域的访问控制体系模型中,有以下几个主要模块:
  •ID管理模块:用户信息管理模块,提供用户信息的添加、删除和修改等功能,集中管理企业网络中的用户,同时,可以将用户按权限进行分组、分角色,进而利用组和角色对特定用户集合进行管理;
  •安全域管理模块:管理用户划分的安全域和子安全域信息,用户可以添加、删除和修改安全域以及子安全域,可以配置安全域之间的访问控制关系,比如在访问安全域A的时候,不能同时访问安全域B等;
  •访问策略管理模块:管理用户与安全域、子安全域之间的访问控制关系,定义用户在什么时间、什么地点可以访问哪些安全域等;
  •Web服务管理:为用户提供Web服务,用户通过Web服务进行身份认证以及安全域的访问和退出等;
  •通信平台:主要是通过SSH、Telnet对防火墙进行配置,为用户打开指定的ACL访问;
  •探测模块:探测用户PC是否在线,探测方式可以采用ARP、ICMP、SAMBA等协议。
  在基于传统安全域的访问控制体系下,用户接入网络、访问网络资源的步骤如下:
  •第0步:用户接入网络,直接访问安全域失败,因为防火墙ACL默认禁止用户访问此安全域;
  •第1步:用户通过Web浏览器访问安全域管理服务器IP或URL;
  •第2步:用户在身份认证页面输入身份信息,安全域管理服务器对用户进行认证,认证成功则继续,认证失败需重新认证;
  •第3步:用户认证成功后,安全域管理服务器利用管理员配置的访问策略将用户可访问域显示给用户;
  •第4、5步:用户选择登录其要访问的安全域,安全域管理服务器通过网络连接开启用户PC对安全域(或子安全域)的ACL;
  •第6步:用户成功访问其登录的安全域;
  •第7步:当用户退出安全域后,安全域管理服务器将下发给防火墙的ACL撤销。同时,如果在线探测模块探测到用户下线或者用户IP-MAC发生改变的时候,也会撤销其为此IP下发的ACL。
  动态安全域助力大型企业
  基于传统安全域的访问控制体系模型是企业网在发展过程中形成的通用模式,在中小型企业、业务专业性较强和地域分布不广的大中型企业中都有很好的实现。但在业务高度复杂、地域高度分散且地域及业务均呈交叉状、人员众多的大型或超大型企业集团中,信息系统广泛采用分布式或集中分布式部署,传统的安全域模型结构也被大量复制,其总部结构和分支机构安全域模型交叉,随着人员业务变化性的增强和企业重组或业务快速膨胀,承载网和业务网边界日益模糊,访问管理模型也随之日益复杂,安全域或安全子域的变化频繁,ACL控制或基础安全策略日益膨胀,随之带来的管控复杂性使网络管理员面临巨大工作量和智力挑战。某大型企业集团早在2005年就开始实施安全域,但随着上述情况的出现,安全域边界不断变化,其安全域逐步变化成为30多个,子域多达上百个,其核心交换机上的ACL就达1000余条,矩阵分离表的逻辑性也逐渐完全不可读,最终导致其安全域划分的失败。
  安全域的核心就是通过一系列的规则控制,达到特定网络群组按照指定规则访问指定群组的关系,其组群需要具有相同的安全访问控制和边界控制策略的子网或网络。传统模型较为容易在集中部署的单一结构中实现,其组群成员的权责变化一般也需要对相应规则做调整。假定将组群成员动态的变化和子域调整与子网划分动态结合,就可以实现基于传统复杂安全域结构上的动态调整,从而实现基于传统安全域基础上的动态安全域的模型结构。
  在基于动态安全域的访问控制体系下,用户接入网络、访问网络资源的步骤如下:
  •第0步:用户接入网络,直接访问安全域失败,因为强制器没有通知接入交换机打开网络端口,默认用户访问隔离域A,做身份申请;
  •第1步:用户身份认证成功,强制器打开接入端口,做安全合规性检测,默认访问隔离域B,做安全合规性完善;
  •第2步:合规性检查通过,用户从隔离域B中划出到公共访问域;
  •第3步:用户身份信息传送给安全域管理服务器,安全域管理服务器访问服务域控制器,服务域控制器从人力资源数据库权责矩阵同步列表中生成用户安全域列表,并通知用户;
  •第4步:用户选择登录其要访问的服务,安全域控制器根据安全域列表,通知网管控制域服务器,网管控制器通知网络交换域;
  •第5步:网络交换域生成控制列表,生成VLAN及VCL组合,通知交换设备,生成访问域控制隔离通道;
  •第6步:服务控制服务器通过交换域,通知相应安全域做对应权责匹配;
  •第7步:用户访问所需安全域的服务;
  •第8步:当用户退出安全域后,安全域管理服务器将下发给交换用户的VLAN及ACL撤销。同时,如果在线探测模块探测到用户下线或者用户进行危险性违规性操作或IP-MAC发生改变的时候,也会通知交换域撤销其为此身份下发的IP、VLAN及ACL,进行隔离;如果在线探测模块探测到用户进行攻击性或高危破坏性操作,通知交换域撤销其为此身份下发的IP、VLAN及ACL,并同时关闭端口避免入侵破坏。
  安全域是基于网络和系统进行安全检查和评估的基础,安全域的划分是企业网络抗渗透的有效防护方式,安全域边界是灾难发生时的抑制点,同时安全域也是基于网络和系统进行安全建设的部署依据。动态安全域在传统安全域常规手段的基础上,将网络成员权责与安全子域和子网划分动态结合,同时将网络动态接入和用户权责矩阵有机结合,成为大型或超大型企业网络的有效管控手段。当然,上述安全域管理系统也有需要改进的部分,如网络设备的动态管控。由于网络设备厂商的多样化导致命令处理十分复杂,此模型对网络设备具有较高要求,并需要网络设备一致性或大量针对性网络控制的二次开发,同时面临构架复杂、实施周期长、成本较高等难题,主要原因是现如今还没有这方面的业界或企业标准。不过随着网络安全的进一步发展,这方面问题有望得到改善

三 : 云巢桌面云之全方位的企业IT安全方案

随着互联网技术的飞速发展,网络安全问题已经日益的暴露出来,从种类繁多的计算机病毒危害,到每天数百万网友的PC被黑客通过木马控制;从大网站的用户信息被泄露,到日益增多的企业内部员工泄密事件,这些无疑不意味企业要抓紧着手提高数据的安全性。越来越多的企业从中更是看到了桌面云方案对企业数据安全的不可替代性。作为国内领先的桌面云解决方案供应商,云巢科技凭借着对信息安全问题的敏感和超前的技术创新,真正做到了为企业信息安全保驾护航。

云巢科技CTO在谈到安全问题的时候说:“云巢桌面云在安全和管控方面有几大创新:

1,USB管控,创新性的提出并运用了NoDate USB技术,所有的数据都在服务器上,USB拷贝知识一个链接,只能连接到服务器才能看到数据。再在此基础上对USB进行访问控制,不同的人员实行不同的访问权限控制(禁用、只读、读写)。

2,三权分立机制,对于安全级别要求高的用户实行操作权、审批权、审核权的分开,基本上可以做到无重大的任务操作事故。

3,去数据库化设计,抛弃原来的数据库架构,将数据加密分散保存到多个位置,在性能和安全性得到了很大提高。

4,自带防火墙或者DMZ,云巢桌面云系统可以很方便的配置防火墙和DMZ,更应用了虚拟网络技术,可以将不同部门的人员分配到不同的虚拟网络里,这样既保证了通讯的流畅,又提高了安全性。

5,异常帐户的紧急处理机制,对于有异常动作的帐户,系统会自动识别,并作出紧急处理,以保证系统运行的稳定性。

6,统一的杀毒部署和敏感文件分析,云巢桌面云可以通过置于后台的服务器或者软件系统,旁路萃取镜像内的文件,通过统一部署的软件进行定期杀毒;对于敏感文件的访问进行统一的记录和审计;并可以设置策略,避免敏感数据被非法用户读取。可以是统一的后台分析,也可以是实时的分析。

7,外设加密传输,云巢科技在服务器和瘦客户机之间的USB、串并口等外设数据的传输过程中,均经过进一步的加密处理。

8,镜像加密技术,与基于存储加密不同的是,可以实现镜像的一文一密,加密后的镜像只能在云巢桌面云系统中运行;加密秘钥与镜像文件分离,避免了镜像文件被窃取后破解的可能。基于3DES加密。

9,构建可定义的网络隔离,云巢桌面云通过SDN网络体系,可以构建完全独立的隔离网络;在数据源被隔离的网络体系内,其效用完全等价于物理隔离的效果。通过SDN网络体系,可以构建任意数量、可供控制的虚拟网络,在具有物理网络隔离效果的情况下,具有了更低的成本、更高的内部控制能力。

10,集群存储,存储介质是信息系统安全最后的堡垒,也是最终目的地。云巢桌面云系统通过集群存储构建可信独立网络,提供非直接访问的方式,其独立构建网络,与其他物理网络基本实现隔离,并与基础系统构建可信的访问许可和认证协议。同时,采用同步增量备份的机制,提高数据的安全性。

作为国产桌面云技术的领头羊,以笔者这种浮光掠影,走马看花的介绍不免有些管中窥豹。但是笔者真心相信只要有越来越多像云巢科技这样真心站在用户角度做产品的公司,不管对企业还是对个人,都会在数据化的今天高枕无忧。

免费申请终生使用云巢iPC地址:http://pc.vcnglobal.cn  

四 : 中小企业计算机网络安全方案

摘 要

本文建设了一种中小型网络的安全方案,重点研究在物理隔离的情况下计算机网络的安全问题。在对中小型网络系统有了确切的了解之后,将局域网总体划分为三个安全等级,每个等级中包含若干子网,各类子网设置了各自的安全策略。按照计算机网络安全设计的目标及其计算机网络安全系统的总体规划,对计算机网络安全问题进行了全面的分析。依照各个安全等级的安全需求,设计了中小型网络的安全方案。在满足各子网系统建设的前提下,提出了包括病毒防护、动态口令身份认证、安全审计管理、访问控制、信息加密策略、入侵检测系统的部署、漏洞扫描系统等管理措施和安全技术在内的整套解决方案。目的是建立一个完整的、立体的网络安全防御体系,使网络安全系统真正获得较好的效果。

关键词:网络安全扫描系统 防火墙


目 录

第一章 绪论... 4

1.1 网络安全背景知识... 4

1.2 网络安全的概念和目标... 4

1.3 网络安全策略... 5

1.4 本论文的主要工作简介... 6

第二章 中小型公司网络安全的威胁及需求... 7

2.1中小型公司网络系统安全分析... 7

2.2物理层安全风险... 7

2.3网络层安全风险... 7

2.4系统层安全风险... 7

2.5 病毒的安全风险... 8

2.6 数据传输的安全风险... 8

2.7 管理的安全风险... 8

第三章 网络安全的方案设计... 10

3.1总体设计方案... 10

3.2中小型公司网络安全系统设计... 10

3.2.1安全体系结构网络... 10

3.2.2安全体系层次模型... 10

3.2.3安全体系设计... 11

第四章 安全产品的配置与应用... 13

4.1防病毒及特洛伊木马软件... 13

4.2动态口令身份认证方案... 13

4.4访问控制:防火墙系统... 15

4.5入侵检测系统... 17

4.6漏洞扫描系统... 18

第五章 安全方案测试... 20

5.1 安全管理机构的建设原则... 20

5.2 网络安全方案测试... 20

5.3 展望... 20


第一章 绪论

1.1 网络安全背景知识

以工nternet为代表的信息网络技术应用正日益普及和广泛,应用领域从传统小型业务系统逐渐向大型关键业务系统扩展,典型的例如党政部门信息系统、金融业务系统、企业商务系统等。网络安全已经成为影响网络效能重要的问题,而工nternet所具有的开放性、自由性和国际性在增加应用自由度的时候,对安全提出了更高级的要求。一般来说,网络安全由信息安全和控制安全两部分组成。信息安全指信息的完整性、可用性、保密性和可靠性;控制安全则指身份认证、不可否认性、授权和访问控制。互联网的开放性、分散性和交互性特征为信息交流、信息共享、信息服务创造了理想空间,网络技术迅速的发展和广泛的应用,为人类社会进步提供了巨大推动力。然而,正是由于互联网的特性,产生了信息污染、信息泄漏、信息不易受控等诸多安全问题。目前,我国网络安全存在的主要问题有:1.计算机系统遭受病毒感染和破坏的情况相当严重。据国家计算机病毒应急处理中心数据看,从国家计算机病毒应急处理中心日常监测结果看来,计算机病毒呈现出异常活跃的态势。2.电脑黑客活动己形成重要威胁。网络信息系统具有致命的脆弱性、易受攻击性和开放性,从国内情况来看,目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入。3.信息基础设施面临网络安全的挑战。面对信息安全的严峻形势,我国的网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节[1]。据英国《简氏战略报告》和其它网络组织对各国信息防护能力的评估,我国被列入防护能力最低的国家之一,不仅大大低于美国、俄罗斯和以色列等信息安全强国,而且排在印度、韩国之后。近年来,国内与网络有关的各类违法行为以每年30%的速度递增。网络环境的多变性、复杂性,以及信息系统的脆弱性,决定了网络安全威胁的客观存在。我国日益开放并且走向世界,建立保护屏障和加强安全监管不可缺少。近年来,随着网络安全事件的发生,人们越来越清楚的意识到,信息时代所引发的信息安全问题涉及到人们生活的方方面面。因此可以说,在信息化社会里,信息安全的重要性再怎么强调也不过分。

1.2 网络安全的概念和目标

国际标准化组织(工S0)对计算机系统安全的定义是为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。网络安全基本上是一个实践性的技术领域,它涉及到多种技术领域,网络信息安全与保密主要是指保护网络信息系统,使其没有危险、不受威胁、不出事故。从技术角度来说,网络信息安全与保密的目标主要表现在系统的保密性、完整性、真实性、可用性、不可抵赖性等方面。网络安全的意义,就在于资料、信赖关系和网络的传输能力与端系统的处理能力三个要素的保护,保证这三者能为所适合的用户服务。而且,只为合适的用户服务。与此同时,由于计算机网络自身存在的局限性和信息系统的脆弱性,使得计算机网络系统上的硬件资源,通信资源,软件及信息资源等因可预见或不可预见的甚至是恶意的原因而遭到破坏,更改、泄露或功能失效,使信息系统处于异常状态,甚至引起系统的崩溃瘫痪,造成巨大的经济损失。在这样的形势下,以保护网络中的信息免受各种攻击为根本目的网络安全变得越来越重要。计算机网络改变着人们赖以行动的社会信息结构,改变着人们获取利用信息的方式,从而引起人类生活方式的全面改观。网络安全威胁一般分为外部闯入、内部渗透和不当行为三种类型。外部闯入是指未经授权计算机系统用户的入侵;内部突破是指己授权的计算机系统用户访问未经授权的数据;不正当行为是指用户虽经授权,但对授权数据和资源的使用不合法或滥用授权。网络自身的缺陷、开放性以及黑客的攻击是造成网络不安全的主要原因。由于计算机网络最重要的资源是它向用户提供的服务及所拥有的信息,因而计算机网络的安全性可以定义为:保障网络服务的可用性和网络信息的完整性。前者要求网络向所有用户有选择地随时提供各自应得到的网络服务,后者则要求网络保证信息资源的保密性、完整性、可用性和准确性。可见建立安全的网络系统要解决的根本问题是如何在保证网络的连通性、可用性的同时对网络服务的种类、范围等行使适当程度的控制以保障系统的可用性和信息的完整性不受影响[2]。一个安全的计算机网络应该具有以下几个特点:(1)可靠性是网络系统安全最基本的要求。可靠性主要是指网络系统硬件和软件无故障运行的性能。(2)可用性是指网络信息可被授权用户访问的特性,即网络信息服务在需要时,能够保证授权用户使用。(3)保密性是指网络信息不被泄露的特性。保密性是在可靠性和可用性的基础上保证网络信息安全的非常重要的手段。保密性可以保证信息即使泄露,非授权用户在有限的时间内也不能识别真正的信息内容。(4)完整性是指网络信息未经授权不能进行改变的特性,即网络信息在存储和传输过程中不被删除、修改、伪造、乱序、重放和插入等操作,保也称做不可否认性,主要用于网络信息的交换过程,保证信息交换的参与者都不可能否认或抵赖曾进行的操作,类似于在发文或收文过程中的签名和签收的过程。

从技术角度看,网络安全的内容大体包括4个方面:

1.网络实体安全

2.软件安全

3.网络数据安全

4.网络安全管理

由此可见,计算机网络安全不仅要保护计算机网络设备安全,还要保护数据安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全保护方案,以保证算机网络自身的安全性为目标。

1.3 网络安全策略

网络安全策略目的是决定一个计算机网络的组织结构怎样来保护自己的网络及其信息,一般来说,安全策略包括两个部分:一个总体的策略和具体的规则。总体的策略用于阐明公司安全政策的总体思想,而具体的规则用于说明什么活动是被允许的,什么活动是被禁止的。1.网络安全策略的等级网络安全策略可分为以下4个等级:(1)不把内部网络和外部网络相连,因此一切都被禁止。(2)除那些被明确允许之外,一切都被禁止。(3)除那些被明确禁止之外,一切都被允许。(4)一切都被允许,当然也包括那些本来被禁止的。可以根据实际情况,在这4个等级之间找出符合自己的安全策略[3]。当系统自身的情况发生变化时,必须注意及时修改相应的安全策略。

1.4 本论文的主要工作简介

本文结合中小型网络安全系统建设的实例,重点研究计算机网络的安全问题,对不同的网络安全方案进行优化、集中和协同,从而尽可能的使本网络安全系统保持可扩展性、健壮性,使网络安全系统真正获得较好的结果。主要研究工作有:

1. 查找和收集网络安全相关的资料,剖析网络攻击的手段,分析影响网络安全的因素。

2.详细阐述网络安全系统设计的目标和总体规划。

3.详细分析中小型公司物理层安全风险、网络层安全风险、系统层安全风险、病毒的安全风险、数据传输的安全风险、管理的安全风险,提出了具体的需求和设计依据。4.根据中小型公司网络现状、中小型公司的需求、网络安全的风险分析及网络安全系统设计目标和总体规划,设计了中小型网络安全系统方案,运用先进的网络安全技术和网络安全产品对方案进行了实现,探讨了今后网络安全系统的发展方向。


第二章中小型公司网络安全的威胁及需求

2.1中小型公司网络系统安全分析

正确的风险分析是保证网络环境安全的非常重要的一环,一个性能优良的安全系统结构和安全系统平台,能够以低的安全代价换得高的安全强度。下面对中小型公司的具体状况从物理层安全、网络层安全、系统层安全、数据传输安全、病毒的安全威胁[4]及管理安全进行分类描述网络系统的安全风险。

2.2物理层安全风险

因为网络物理层安全是整个网络系统安全的前提。一般的物理安全风险主要有:1.电源故障造成设备断电以至操作系统引导失败或数据库信息丢失。2.地震、水灾、火灾等环境事故造成整个系统毁灭。3.电磁辐射可能造成数据信息被窃取或偷阅。4.不能保证几个不同机密程度网络的物理隔离。针对中小型公司物理层安全是指由于网络系统中大量地使用了网络设备如移动设备、服务器如PC服务器、交换机,那么这些设备的自身安全性也会直接影响信息系统和各种网络应用的正常运转。物理安全的威胁可以直接造成设备的损坏,系统和网络的不可用,数据的直接损坏或丢失等等[5]。为了保证中小型公司系统的物理安全,首先要保证系统满足相应的国家标准,同时对重要的网络设备采用UPS不间断稳压电源,对重要的设备如数据库服务器、中心交换机等采用双机热备份,对安全计算机电磁泄漏发射距离不符合安全距离的应采取电磁泄漏发射防护措施,对重要的通讯线路采用备份等等。

2.3网络层安全风险

1、网络边界的安全风险分析:该中小型公司校园网络由教学区网络、计算机机房网络和学校资源服务器群组成。由于存在外联服务的要求应在网络出口处安装防火墙对访问加以控制[6]。2、由于中小型公司中小型公司校园网络中大量使用了网络设备,如交换机、路由器等。使得这些设备的自身安全性也会直接关系的学校业务系统和各种网络应用的正常运转。3、网络传输的安全风险分析:中小型公司中小型公司校园网络与其他院校的远程传输安全的威胁来自如下两个方面:内部业务数据明文传送带来的威胁;线路窃听。

2.4系统层安全风险

所谓系统安全通常是指网络操作系统、应用系统的安全。系统级的安全风险分析主要针对中小型公司中小型公司校园采用的操作系统、数据库、及相关商用产品的安全漏洞和病毒威胁进行分析。中小型公司中小型公司校园网络采用的操作系统[7](主要为Windows2000server/professional,WindowsNT/Workstation,WindowsME,Windows95/98、UNIX)本身在安全方面考虑的较少,服务器、数据库的安全级别较低,存在若干安全隐患。同时病毒也是系统安全的主要威胁,所有这些都造成了系统安全的脆弱性。在中小型公司的网络系统中,包含的设备有:交换机,服务器,工作站等。在服务器上主要有操作系统、软件系统和数据库系统,交换机上也有相应的操作系统。所有的这些设备、软件系统都多多少少地存在着各种各样的漏洞,这些都是重大安全隐患。一旦被利用并攻击,将带来不可估量的损失。

2.5 病毒的安全风险

计算机病毒是指一种能使自己附加到目标机系统的文件上的程序。它在所有破坏性设备中最具危险性,可以导致服务拒绝、破坏数据,甚至使计算机系统完全瘫痪[8]。当病毒被释放到网络环境时,其无法预测的扩散能力使它极具危险性。在中小型公司的网络系统中,传统的计算机病毒传播手段是通过存储介质进行的,师生在交换存储着数据的介质时,隐藏在其中的计算机病毒就从一台计算机转移到另外的计算机中。而现代的病毒传播手段主要是通过网络实现的,一台客户机被病毒感染,迅速通过网络传染到同一网络的成百上千台机器。师生上网浏览网页、收发电子邮件,下载资料的时候,都有可能被病毒传染,这种互联网和校园内联网通讯模式下的传播方式构成了中小型公司病毒传播途径的主流。

2.6 数据传输的安全风险

由于在中小型公司内部网络数据传输线路之间存在被窃听的威胁,同时局域网络内部也存在着内部攻击行为,其中包括登录密码和一些敏感信息,可能被侵袭者搭线窃取和篡改,造成泄密。如果没有专门的软件或硬件对数据进行控制,所有的通信都将不受限制地进行传输,因此任何一个对通信进行监测的人都可以对通信数据进行截取。这种形式的“攻击”是相对比较容易成功的。造成泄密或者做一些篡改来破坏数据的完整性。因此,数据在线路中传输时必须加密,同时通过认证技术及数字签名来保数据在网上传输[9]的保密性、真实性、可靠性及完整性,以保护系统的重要信息数据的传输安全。

2.7 管理的安全风险

管理混乱、安全管理制度不健全,责权不明及缺乏可操作性等都可能引起管理安全的风险。因此,最可行的做法是管理制度和管理解决方案相结合。管理方面的安全隐患包括:内部管理人员或师生为了方便省事,设置的口令过短和过于简单,甚至不设置用户口令,导致很容易破解。责任不清,使用相同的口令、用户名,导致权限管理混乱,信息泄密。把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。内部不满的人员有的可能造成极大的安全风险[10]。网络安全管理是防止来自内部网络入侵的必须部分,管理上混乱、责权不明、安全管理制度缺乏可操作性及不健全等都可能引起管理安全的风险。即除了从技术上功夫外,还得靠安全管理来实现。随着中小型公司整个网络安全系统的建设,必须建立严格的、完整的、健全的安全管理制度。网络的安全管理制度策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和出入机房管理制度;制定网络系统的维护制度和应急措施等。通过制度的约束,确定不同学员的网络访问权限,提高管理人员的安全防范意识,做到实时监控检测网络的活动,并在危害发生时,做到及时报警。


第三章 网络安全的方案设计

3.1总体设计方案

中小型网络安全体系建设应按照“统一规划、统筹安排,统一标准、相互配套“的原则进行,采用先进的”平台化“建设思想,避免重复投入、重复建设,充分考虑整体和局部的利益,坚持近期目标与远期目标相结合。在实际建设中遵循以下指导思想:宏观上统一规划,同步开展,相互配套;在实现上分步实施,渐进获取;在具体设计中结构上一体化,标准化,平台化;安全保密功能上多级化,对信道适应多元化。针对中小型公司系统在实际运行中所面临的各种威胁,采用防护、检测、反应、恢复四方面行之有效的安全措施,建立一个全方位并易于管理的安全体系,确保中小型公司系统安全可靠的运行[11]

3.2中小型公司网络安全系统设计

3.2.1安全体系结构网络

安全体系结构主要考虑安全机制和安全对象,安全对象主要有网络安全、信息安全、设备安全、系统安全、数据库安全、信息介质安全和计算机病毒防治等。

3.2.2安全体系层次模型

按照网络OSI[12]的7层模型,网络安全贯穿于整个7层。针对网络系统实际运行的TCP/IP协议,网络安全贯穿于信息系统的4个层次。

1.物理层。物理层信息安全,主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击(干扰等)。

2.链路层。链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采用划分VLAN、加密通讯等手段。

3.网络层。网络层的安全要保证网络只给授权的人员使用授权的服务,保证网络路由正确,避免被监听或拦截。

4.操作系统。操作系统安全要求保证客户资料、操作系统访问控制的安全,同时能够对该操作系统上的应用进行安全审计。

5.应用平台。应用平台指建立在网络系统之上的应用软件服务,如数据库服务器、电子邮件服务器、Web服务器等。由于应用平台的系统非常复杂,通常采用多种技术来增强应用平台的安全性。

6.应用系统应用系统完成网络系统的最终目的是为用户服务。应用系统的安全与系统设计和实现关系密切。应用系统使用应用平台提供的安全服务来保证基本安全,如通讯双方的认证,通讯内容安全,审计等手段。

3.2.3安全体系设计

安全体系设计原则在进行计算机网络安全设计和规划时,应遵循以下原则[13]:1.需求、风险、代价平衡分析的原则对任一网络来说,绝对安全难以达到,也不一定必要。对一个网络要进行实际分析,对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。保护成本与被保护信息的价值必须平衡,价值仅2万元的信息如果用6万元的技术和设备去保护是一种不适当的保护。2.综合性、整体性原则运用系统工程的观点、方法,分析网络的安全问题,并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用,只有从系统综合的整体角度去看待和分析,才可能获得有效、可行的措施。3.一致性原则这主要是指网络安全问题应与整个网络的工作周期同时存在,制定的安全体系结构必须与网络的安全需求相一致。实际上,在网络建设之初就应考虑网络安全对策,比等网络建设好后再考虑,不但容易,而且花费也少很多。第3章网络安全系统设计4.安全、可靠性原则最大保证系统的安全性。使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性;对项目实施过程实现严格的技术管理和设备的冗余配置,保证产品质量,保证系统运行的可靠性。5.先进、标准、兼容性原则先进的技术体系,标准化的技术实现。6.易操作性原则安全措施要由人来完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,采用的措施不会影响系统正常运行。7.适应性、灵活性原则安全措施必须能随着网络性能及安全需求的变化而变化,要容易修改、容易适应。8.多重保护原则任何安全保护措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,还有其它层保护信息的安全。

网络安全风险分析网络系统的可靠运转是基于通讯子网、计算机硬件和0S及各种应用软件等各方面、各层次的良好运行。因此,网络系统的风险将来自对企业的各个关键点可能造成的威胁,这些威胁可能造成总体功能的失效。由于在当前计算机网络环境中,相对于主机环境、单机环境,安全问题变得越来越复杂和突出,所以网安全风险分析成为制定有效的安全管理策略和选择有作用的安全技术实施措施的重要依据。安全保障不能完全基于思想教育或信任。而应基于“最低权限”和“相互监督”的法则,减少保密信息的介入范围,尽力消除使用者为使用资源不得不信任他人或被他人信任的问题,建立起完整的安全控制体系和保证体系。

网络安全策略安全策略分为安全管理策略和安全技术实施策略两个方面:(l)管理策略第3章网络安全系统设计安全系统需要人来执行,即使是最好的、最值得信赖的系统安全措施,也不能完全由计算机系统来完全承担安全保证任务,因此必须建立完备的安全组织和管理制度。(2)技术策略技术策略要针对网络、操作系统、数据库、信息共享授权提出具体的措施。

安全管理原则计算机信息系统的安全管理主要基于三个原则。1.多人负责原则每项与安全有关的活动都必须有两人或多人在场。这些人应是系统主管领导指派的,应忠诚可靠,能胜任此项工作。2.任期有限原则一般地讲,任何人最好不要长期担任与安全有关的职务,以免误认为这个职务是专有的或永久性的。3.职责分离原则除非系统主管领导批准,在信息处理系统工作的人员不要打听、了解或参与职责以外、与安全有关的任何事情。

安全管理的实现信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应规范,其具体工作是:1、确定该系统的安全等级。根据确定的安全等级,确定安全管理的范围。2、制订相应的机房出入管理制度。对安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。3、制订严格的操作规程。操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围。4、制订完备的系统维护制度。维护时,要首先经主管部门批准,并有安全管理人员在场,故障原因、维护内容和维护前后的情况要详细记录。5、制订应急措施。要制订在紧急情况下,系统如何尽快恢复的应急措施,使损失减至最小。6、建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的授第3章网络安全系统设计权。安全系统需要由人来计划和管理,任何系统安全设施也不能完全由计算机系统独立承担系统安全保障的任务。一方面,各级领导一定要高度重视并积极支持有关系统安全方面的各项措施[14]。其次,对各级用户的培训也十分重要,只有当用户对网络安全性有了深入了解后,才能降低网络信息系统的安全风险。总之,制定系统安全策略、安装网络安全系统只是网络系统安全性实施的第一步,只有当各级组织机构均严格执行网络安全的各项规定,认真维护各自负责的分系统的网络安全性,才能保证整个系统网络的整体安全性。

网络安全设计由于网络的互连是在链路层、网络层、传输层、应用层不同协议层来实现,各个层的功能特性和安全特性也不同,因而其网络安全措施也不相同[15]。物理层安全涉及传输介质的安全特性,抗干扰、防窃听将是物理层安全措施制定的重点。在链路层,通过“桥”这一互连设备的监视和控制作用,使我们可以建立一定程度的虚拟局域网,对物理和逻辑网段进行有效的分割和隔离,消除不同安全级别逻辑网段间的窃听可能。在网络层,可通过对路由器的路由表控制和对不同子网的定义来限制子网间的接点通信,通过对主机路由表的控制来控制与之直接通信的节点。同时,利用网关的安全控制能力,可以限制节点的通信、应用服务,并加强外部用户识别和验证能力。对网络进行级别划分与控制,网络级别的划分大致包括外网与内网等,其中工nternet外网的接口要采用专用防火墙,各网络级别的接口利用物理隔离设备、防火墙、安全邮件服务器、路由器的可控路由表、安全拨号验证服务器和安全级别较高的操作系统。增强网络互连的分割和过滤控制,也可以大大提高安全保密性。3.3设计依据经过确切了解中小型公司信息系统需要解决哪些安全问题后,校园网网络信息系统需要解决如下安全问题:1.局域网内部的安全问题,包括网段的划分以及Vlan的实现。2.在连接工nternet时,如何在网络层实现安全性。第3章网络安全系统设计3.应用系统如何保证安全性。4.如何防止黑客对主机、网络、服务器等的入侵。5.如何实现广域网信息传输的安全保密性。6.如何实现远程访问的安全性。7.如何评价网络系统的整体安全性。8.加密系统如何布置,包括建立证书管理中心、应用系统集成加密等。基于这些安全问题的提出,网络信息系统一般应包括如下安全机制:访问控制、加密通信、安全检测、攻击监控、认证、隐藏网络内部信息等。

第四章 安全产品的配置与应用

4.1防病毒及特洛伊木马软件

为了实现在整个局域网内杜绝病毒的感染、传播和发作,我们应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀病毒等多种功能。网络采用上机机房与办公区相分离的结构。1.在学校机房的WindowS2000服务器上安装瑞星杀毒软件网络版的系统中心,负责管理2000多个学生主机网点。2.在各办公室分别安装瑞星杀毒软件网络版的客户端。3.安装完瑞星杀毒软件网络版后,在管理员控制台对网络中所有客户端进行定时查杀毒的设置,保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。4、网络中心负责整个校园网的升级工作。为了安全和管理的方便,由网络中心的系统中心定期地、自动地到瑞星网站上获取最新的升级文件(包括病毒定义码、扫描引擎、程序文件等),然后自动将最新的升级文件分发到其他2000多个主机网点的客户端与服务器端,并自动对瑞星杀毒软件网络版进行更新。在安全级别较高的子网采用的防病毒措施为:

1.客户端防毒:采用趋势科技的Officescan[16]。该产品作为网络版的客户端防毒系统,使管理者通过单点控制所有客户机上的防毒模块,并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式,不受WindowS域管理模式的约束,除支持SMS,登录域脚本,共享安装以外,还支持纯W己b的部署方式。2.邮件防毒:采用趋势科技的SacllMailforNoteS。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中,可防止病毒入侵到LotueNoteS的数据库及电子邮件,实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作,并提供实时监控病毒流量的活动记录报告。3.服务器防毒:采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念,防毒模块和管理模块可分开安装。一方面使所有服务器的防毒系统可以从单点进行部署,管理和更新,另一方面减少了整个防毒系统对原系统的影响,。Serve少rotect产品支持WindowsNT/2000、NovellNetware,同时ServerProtect是业界第一款支持Lin叭平台的防病毒产品。

4.2动态口令身份认证方案

动态口令身份认证具有随机性、动态性、一次性、不可逆等特点,不仅保留了静态口令方便性的优点,而且很好地弥补了静态口令存在的各种缺陷。动态口令系统在国际公开的密码算法基础上,结合生成动态口令的特点,加以精心修改,通过数十次以上的非线性迭代运算,完成时间参数与密钥充分的混合扩散。在此基础上,采用先进的身份认证及加解密流程、先进的密钥管理方式,从整体上保证了系统的安全性[17]。特点如下:1、动态口令系统的抗截获攻击能力在动态口令认证系统的设计中,每个正确的动态口令只能使用一次。因此,不用担心口令在传输认证期间被第三方监听到。因为正确的口令在认证服务器上被认证之后,在数据库中会有相应的日志记录,这时即使再有使用这个正确口令的用户提交认证,也不能通过。动态口令系统的这个特点使得截获攻击无法实现。2、动态口令系统的抗实物解剖能力动态口令卡采用了带加密位的数据处理器,防止有人企图解算法程序从其中读出,具有很高的抗实物解剖能力。另外,由于每个用户的密钥都不相同(在初始化时随时生成),并且密钥与同口令计算有关的信息存贮在动态RAM中,当有人对其进行分析时,数据处理一旦掉电,这些密钥将消失。即使有人破译了其中的程序,由于不知道用户的密钥,以及初始化时间等相关信息,也无法正确地计算出用户实时的口令。3、动态口令系统的抗穷举攻击能力穷举攻击是破解口令时常用的攻击手段之一。这种攻击手段的特点就是大量频繁地对一个用户的口令进行反复认证。针对这一特点,在动态口令认证系统中对每一个用户在一个时段内的认证结果设计了日志记录,当发现一个用户的认证记录为多次失败时,系统将锁住这个用户的认证行为。这样也就杜绝了穷举攻击的可能性。4、系统的密钥管理和安全数据库的加密。系统安全数据库保存用户信息、用户密钥等等,这些敏感数据如果泄露,将使第三者获得合法用户的身份,因此是绝对需要保密的。我们对安全数据库均进行加密后存放在服务器上,绝对不以明码的形式出现。系统主密钥存放在系统维护员的IC卡上,只有掌握系统维护员的IC卡的人才能对这些敏感数据库进行操作。因此不掌握系统密钥的话,即使有机会接触到服务器,也无法取得各用户密钥。

本网络系统采用南京众力科技有限公司生产的VPN动态口令身份认证系统。VPN动态口令身份认证系统主要由以下几个主要模块组成[18]:认证系统管理员界面、帐号管理服务器(UAM)、RADIUS认证服务器、NAS(网络接入服务器采用带VPN功能的防火墙,例如:NOKIAIP380)、ORACLE数据库管理系统、VPN客户端、防火墙管理软件(例如:NOKIA防火墙软件CheekPointExpress)。VPN用户从顶temet远程访问内部网络,需要对用户身份进行认证,允许合法的用户访问网络,不合法的用户不允许访问。密码通过远程网络传输有被黑客拦截的危险,而采用动态口令作为密码,真正做到一次一密,即每次用户通过身份认证后本次密码立即失效。用户下次登录时,通过VPN客户端获得新的密码,并通过手机短信将新密码发送给用户。

图4.1 动态口令身份认证系统部署方案图

采用该方案后,在中小型公司的认证系统中能够实现:

1、密钥/时间双因素的身份认证机制;

2、登录口令随时间变化;

3、口令使用次数和时效自由控制,有效抵御重播攻击行为;

4、开放的应用程序接口,与应用系统方便集成;

5、使用经过国家认可的自主密码算法,具有优秀的安全性;

6、提供客户端设备与认证服务器之间的时间补偿机制,提高系和可用性

7、用户端设备设计小巧,性能稳定,使用方便;

8、提供完善灵活的安全事件日志审计和查询功能。

避免了静态口令中的不足,譬如:

1.网络数据流窃听(Sniffer)

2.认证信息截取/重放(Reeord/Rplay)

3.字典攻击

4.穷举尝试(BruteForee)

4.4访问控制:防火墙系统

防火墙是目前最为流行、使用最广泛的一种网络安全技术,它的核心思想是在不安全的网络环境中构造一个相对安全的子网环境。防火墙主要用来执行两个网络之间的访问控制策略,它能限制被保护的网络与互联网络之间,或者与其他网络之间进行的信息存取、传递操作。防火墙是一种隔离控制技术,可以作为不同网络或网络安全域之间信息的出入口,能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。通过在网络入口点检查网络通讯数据,根据预先设定的安全规则,提供一种安全的网间网数据通讯。防火墙主要有三种类型:包过滤型、代理服务器型、全状态包过滤型。防火墙的使用是非常灵活的,可以在以太网络的任意部位进行链路上分割,构成安全的网络范围。可以用于在单位内网同外界的广域网出口上,实现对单位内网的保护;可以在内部网络上进行划分,建立局部的安全区;可以单独设置在某一台或几台重要的服务器前,对这些服务器进行安全保护。中小型公司安全网由多个具有不同安全信任度的网络部分构成,在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,从而构成了对网络安全的重要隐患。本方案中,采用防火墙设备确保如科研部、财务部、教学部等重要安全域的相对独立。选购防火墙主要应从安全角度考虑,在这里效率不应成瓶颈问题,应该选购业界大公司或资深信息安全研制单位的成熟产品。在防火墙上通过设置安全策略增加对服务器的保护,同时必要时还可以启用防火墙的NAT功能隐藏网络拓扑结构,使用日志来对非法访问进行监控,使用防火墙与入侵检测联动功能形成动态、自适应的安全防护平台。网络层通讯可以跨越路由器,因此攻击可以从远方发起。IP协议族各厂家实现的不完善,因此,在网络层发现的安全漏洞相对更多。防火墙是近年发展起来的重要安全技术,在中小型公司系统中其主要作用是在网络边界处检查网络通讯,根据设定的安全规则,在保护内部网络安全的前提下,提供内外网络通讯。

边界防火墙的配置:根据网络具体流量情况,采用型号为东软NeteyeFW4120一H一XE6型上联网通线路,下联外网交换机华为6506快速以太网交换机。标准配置三接口的防火墙,其最大并发连接数将近60万个,其中两个接口分别接外网和内网两个网段,第三个口可以作为预留。内网保护服务器群防火墙的配置:而在整个校园网中的资源信息服务器群则是整个网络数据保护的关键,分别与两个核心交换机相连。

核心交换机华为6505处配备一台高性能天融信网络卫士防火墙4000系统,用于对内部服务器群的访问和联动保护。此处采用型号为NGFW4000一S标准配置三个接口的防火墙,其最大并发连接数达到60万个,一个接口接核心交换机,一个接口接级联交换机,另一个接口作为预留接口。从而实现对内部服务器群的访问控制保护。防火墙4000是天融信公司积多年来的防火墙开发经验和应用实践及天融信广大用户宝贵建议基础之上,基于对网络安全的深刻理解,融合网络科技的最新成果,独创了系列安全构架和实现技术,经过多年的研究和近两年的开发所完成的最新一代防火墙产品。应能够配置成分布式和集中统一管理,由防火墙管理代理程序和管理器组成。管理安全、方便灵活,防火墙4000经过简单的配置即可接入网络进行通信和访问控制,GUI管理界面提供了清晰的管理结构,每一个管理结构元素包含了丰富的控制元和控制模型。对所有管理加密(支持SSL和SSH),并进行严格的审计,实现了真正的安全远程管理。同时,可以支持SNMP与当前通用的网络管理平台兼容,如HP即enview、Ciscoworks等,方便管理和维护。提供面向对象的服务模板功能,可以方便的定制过滤规则。支持双向地址路由功能,带宽管理功能,流量控制功能确保只允许符合网络安全策略的网络访问和网络服务,进出北京城市中小型公司系统,或进入相应安全域隔离带。防火墙能够支持HTTP、FTP、TELNET、SMTP、NOTES、Oraele数据库、Sybase数据库、SQL数据库等主流应用。当然,对不同的控制点,对防火墙的要求会不完全一样。有效地反映网络攻击,保证网络系统及其业务的可用性、可靠性。要适合中小型公司网络接入模式、接口规范、带宽要求,防火墙不能成为网络或业务的瓶颈。防火墙要符合国家相关标准和规范。防火墙要具有很高的可靠性,不会降低网络系统现有的可靠性。深层日志及灵活、强大审计分析功能,提供丰富的日志信息,用户可根据特定的需要进行日志选项(不做日志、通信日志(即传统的日志)、应用层协议日志、应用层内容日志)。独创的网络实时监测信息,可详细审计命令级操作,便于入侵行为的分析和追踪。大大提高防火墙的审计分析的有效性。更好地支持业界公认的TOPSEC协议,防火墙应具有联动功能,能够实现与入侵检测设备的通讯。采用独创的最新最先进核检测技术,即基于0S内核的会话检测技术,在0S内核实现对应用层访问控制。它相对于包过滤和应用代理防火墙来讲,不但更加成功地实现了对应用层的细粒度控制,同时,更有效保证了防火墙的性能[19]。通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙,防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段,彼此隔离。这样不仅保护了中小型公司服务器,使其不受来自内部的攻击,也保护了各部门网络和数据服务器不受来自校园网内部其它部门的网络的攻击。如果有人闯进一个部门,或者如果病毒开始蔓延,网段能够限制造成的损坏进一步扩大。

防火墙根据系统管理者设定的安全规则保护内部网络,提供完善的安全性设置,通过高性能的网络核心进行访问控制。同时提供网络地址转换、透明的代理服务、信息过滤、内容过滤、双机热备份、流量控制、带宽管理,用户身份认证等功能

图4.2 防火墙系统部署方案

4.5入侵检测系统

入侵是指任何企图破坏资源的完整性、机密性及可用性的活动集合。一般而言,入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄漏、拒绝服务,恶意使用六种类型。概括的说,入侵表示系统发生了违反系统安全策略的事件。

入侵检测是指通过检查操作系统的审计数据或网络数据包信息来检测系统中违背安全策略或危机系统安全的行为或活动,从而保护系统的资源不受攻击、防止系统数据的泄漏、篡改和破坏。入侵检测系统是指能够通过分析与系统安全相关的数据来检测入侵活动的系统,包括入侵检测的软件和硬件的组合[20]

从系统所执行的功能上来考虑,入侵检测系统必须包括如下三个功能部件:提供事件记录流的数据收集部件、发现入侵迹象的分析引擎和基于分析引擎的结果产生的响应部件。“入侵检测”是一种网络实时自动攻击识别和响应系统它通过多种途径收集单位内部网的主机和网络信息,对这些信息加以分析,查看网络安全体系结构是否存在漏洞,主机系统和网络上是否有入侵事件发生,如果发现有入侵事件,自动对这些事件响应,同时给出相应提示。中小型公司办公部门比较多,内部网根据部门划分不同的子网网段。每个部门或子网都有一个交换机,设置网络中心,有专门的网络管理员。各个子网汇总到网络中,自连接到高性能服务器群,高性能服务器群放置在防火墙的DMZ区。根据网络流量和保护数据的重要程度,选择IDS探测器配置在内部关键子网的交换机处放置,核心交换机放置控制台,监控和管理所有的探测器因此提供了对内部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。

图4.5 IDS部署方案图

在中小型公司安全内网中,入侵检测系统运行于有敏感数据的几个要害部门子网和其它部门子网之间,通过实时截取网络上的是数据流,分析网络通讯会话轨迹,寻找网络攻击模式和其它网络违规活动。当发现网络攻击或未授权访问时,入侵检测可以进行如下反应:

(l)控制台报警。

(2)记录网络攻击事件。

(3)实时阻断网络连接。

(4)入侵检测可以过滤和监视TCP/工P协议。系统管理员通过配置入侵检测,可以按协议,源端口,目的端口,源工P/目的工P地址过滤。

(5)入侵检测还支持用户自定义的网络安全事件监视。

(6)入侵检测能生成系统安全日志以利于系统安全审计并以开放数据库方式支持安全分析决策系统,从而为网络安全提供有效的保障。

4.6漏洞扫描系统

网络设备和软件在设计开发过程中不可避免存在缺陷和漏洞,漏洞随着时间推移越来越多;攻击者也从传统上的黑客高手,变成初学者用自动程序来完成攻击,这些都导致黑客攻击越来越容易实现,威胁程度越来越高。

由于网络本身及应用系统的复杂性,网络管理员失去了对网络资源的精确控制。采用网络漏洞扫描器对存在的安全隐患进行检查,帮助管理员找出解决的方法。中小型公司内网网络的安全性决定了整个系统的安全性。在中小型公司内网高性能服务器处配置网络隐患扫描联动型产品。联动型适用于中小型公司内网这样的高端用户,联动型扫描系统包括扫描服务器和移动扫描仪。扫描服务器部署于网络中心,高速高效且稳定的扫描防护整体网络;移动扫描仪使用灵活,可以跨越网段、穿透防火墙、主流IDS产品,多种主流联动协议Topsee、Opensec联动,与多种安全管理平台兼容,统一安全策略配置,保障全网安全。通过部署多级联动型产品实现榕基分布式整体安全扫描,网络管理人员可以方便的通过控制扫描器就可以实现对多级管辖区域的服务器进行统一和及时管理,实现对管辖区域服务器,网络设备等的安全性,以保证整体网络的安全性,整体可控性、整体安全资源共享。

网络人员使用联动型产品,就可以很方便的对200信息点以上的多个网络进行多线程较高的扫描速度的扫描,可以实现和IDS、防火墙联动,尤其适合于制定全网统一的安全策略。同时移动式扫描仪可以跨越网段、穿透防火墙,实现分布式扫描,服务器和扫描仪都支持定时和多IP地址的自动扫描,网管人员可以很轻松的就可以进行整个网络的扫描,根据系统提供的扫描报告,配合我们提供的三级服务体系,大大的减轻了工作负担,极大的提高了工作效率。通过部署漏洞扫描的联动设备,保障中小型公司内网重要部门的网络安全的同时,提高每个部门的安全性就显得尤其重要。只有部门的安全得到保证的前提下,中小型公司内网才能够安全。我们对这些部门进行合理的规划,可以将这些部门根据统一的配置策略,给下属部门、网络管理应用服务系统配置网络联动扫描系统来保证各个部门的安全性。这样就可以很方便的管理信息点多、网络环境较固定、与中小型公司的业务应用紧密相关的内网中。联动扫描系统支持多线程扫描,有较高的扫描速度,支持定时和多IP地址的自动扫描,网管人员可以很轻松的对自己的网络进行扫描和漏洞的弥补。同时提供了Web方式的远程管理,网管不需要改变如何的网络拓扑结构和添加其他的应用程序就可以轻轻松松的保证了网络的安全性。另外对于信息点少、网络环境变化大的内网配置网络移动式扫描仪。移动式扫描仪手持式设计,使用简单、灵活,携带方便。随着网络规模的逐步庞大、复杂,各个网络之间存在着防火墙、交换机等过滤机制的存在,隐患扫描发送的数据包大部分将被这些设备过滤,降低了扫描的时效性和准确性。针对这种分布式的复杂网络,移动式扫描仪能够充分发挥自身可移动的优势,能够很好的适应这种分布式网络扫描,移动扫描,随时随处保护网络安全。

图4.6 漏洞扫描系统部署方案

在防火墙处部署联动扫描系统,在部门交换机处部署移动式扫描仪,实现防火墙、联动扫描系统和移动式扫描仪之间的联动,保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能的消除安全隐患,尽可能早地发现安全漏洞并进行修补,优化资源,提高网络的运行效率和安全性。

第五章 安全方案测试

5.1 安全管理机构的建设原则

单位安全网内网系统安全具有高度的敏感性和特殊性,通过设立专门的主管机关强制性执行上述国家相关法规来进行管理。信息安全管理机构的职能建设遵照从上至下的垂直管理原则,即:上级机关信息安全管理机构指导下一级机关信息系统安全管理机构的工作原则:下一级机关信息系统的安全管理机构接受并执行上一级机关信息系统安全管理机构的安全策略;信息系统的安全管理机构,不隶属于同级信息系统管理和业务机构。信息系统安全管理机构由系统管理、系统分析、软件硬件、安全保卫、系统稽核、人事、通信等有关方面的人员组成。

能建设遵照从上至下的垂直管理原则,即:上级机关信息安全管理机构指导下一级机关信息系统安全管理机构的工作原则:下一级机关信息系统的安全管理机构接受并执行上一级机关信息系统安全管理机构的安全策略;信息系统的安全管理机构,不隶属于同级信息系统管理和业务机构。信息系统安全管理机构由系统管理、系统分析、软件硬件、安全保卫、系统稽核、人事、通信等有关方面的人员组成。

5.2 网络安全方案测试

随着网络应用的深入普及,网络安全越来越重要,国家和企业都对建立一个安全的网络有了更高的要求。鉴于国家和各单位领导的重视,涉及信息安全的经费逐年增加,但是信息安全并不是在市场上所有安全产品的堆叠,因为这种堆叠不仅会在经济造成极大的浪费、在人力上造成非常大浪费,更重要的是它没有达到防护的效果,因此完善的计算机网络安全方案就显得十分重要。一个特定的系统网络安全方案,应建立在对网络风险分析的基础上,结合系统实际的应用而做。由于各个系统的应用不同,不能简单地把信息系统的网络安全方案固定为一个模式,用这个模式去套所有的网络系统。

本系统通过网络的连通性测试、各应用系统功能的实现测试、网络管理功能的实现测试、实际数据传输的测试均达到中小型网络管理的需求

5.3 展望

本文实际上重点讨论了对非授权用户非法访问网络信息的保护方法,这是和外界物理隔离的保密网络现阶段遇到的最为主要问题。系统管理人员应该清楚在自己的系统上所注册的合法用户究竟都有哪些;他们各自的权限又在哪儿。其次详细讨论了针对计算机操作系统普遍存在的安全漏洞对用户计算机的威胁,以及采取哪些防护手段。

由于时间、精力的有限以及技术方面的不足,本文还存在着许多需要进一步加以完善的工作:

1.本文做的工作只是对中小型公司网络安全系统中的几个模块进行了详细的分析和设计,而校园网络安全是校园网很重要部分,它包含很多的内容,因此还有大量应用需要开发。

2.本文对方案具体实施效果没提及,对于这方面的应用要进行深入研究。

3.在该方案开发完成后需要和所有其它的应用系统整合,这样才能满足安全统建设的需求。

4.虽然给出了方案的设计,但其合理性和适用性还有待研究。


参考文献:

[1] 孙立民, 韩慧莲. 入侵检测技术综述[J]. 机械管理开发, 2007,(01)

[2] 薛开平, 洪佩琳, 李津生. 防火墙与入侵检测系统的自动协同[J]. 安徽电子信息职业技术学院学报,2005,(02)

[3] 鹿建银. 认识入侵检测系统IDS[J]. 消费导刊, 2008,(09)

[4] 冯景林. 网络防火墙的安全技术[J]. 科技信息(科学教研), 2007,(13)

[5] 张徐娟, 李建民. 防火墙与入侵检测系统结合的安全模型设计[J]. 计算机与现代化, 2006,(07)

[6] 那罡. 入侵检测系统未“死”[J]. 中国计算机用户, 2006,(36)

[7] 金雪花. 浅析网络安全技术[J]. 中国科技信息, 2007,(05)

[8] 科技辞典[J]. 天津科技, 2005,(03)

[9] 梁羽. 基于NIDS的立体防御系统方案设计与探讨[J]. 民营科技, 2008,(05)

[10] 张琳, 黄仙姣. 浅谈网络安全技术[J]. 电脑知识与技术(学术交流), 2006,(11)

导师:陈永锋导师单位:西安建筑科技大学学位授予单位:西安建筑科技大学
[11] 刘佳.基于GPS技术的矿山排土调度系统研究[D]. 中国优秀硕士学位论文全文数据库,2009,(10)

[12] 延秀娟.基于面部特征的矿山井下人员身份验证技术研究[D]. 中国优秀硕士学位论文全文数据库,2009,(10)

[13] 杨桦.矿业权评估系统的研究与开发[D]. 中国优秀硕士学位论文全文数据库,2009,(10)

[14] 王明虎.基于信息网格的决策支持系统研究[D]. 中国优秀博硕士学位论文全文数据库 (硕士),2005,(05)

[15] 刘文芳.供应链管理中合作伙伴关系的研究[D]. 中国优秀博硕士学位论文全文数据库 (硕士),2005,(05)

[16] 王文东.陆上管线失效概率评估与软件系统研究[D]. 中国优秀博硕士学位论文全文数据库(硕士),2005,(05)

[17] 吴云峰.基于Web Services的离散型企业订单管理系统的研究[D]. 中国优秀博硕士学位论文全文数据库(硕士),2005,(05)

[18] 桑国珍.基于数据仓库技术的客户关系管理系统研究[D]. 中国优秀博硕士学位论文全文数据库(硕士),2005,(05)

[19] 刘艳昌.基于协议分析的网络入侵检测技术研究[D]. 中国优秀博硕士学位论文全文数据库(硕士),2006,(09)

[20] 刘琦.基于GIS技术的供应链管理模式研究[D]. 中国优秀博硕士学位论文全文数据库(硕士),2006,(09)

五 : 企业网络安全方案

1

计算机科学与技术学院

课程设计报告

2013— 2014学年第一学期

课程名称 网络信息安全 设计题目 企业网络安全方案 姓 名 学 号 专业班级 指导教师

2013 年 12 月 20

2

摘要

随着计算机网络的快速发展和和网络技术的提高,电脑已经进入了千家万户,网络给我们的生活带来了极大的方便。但是当它给我们带来方便的同时,它也给我们带来不好的影响,比如网络监听,网络敲诈, 计算机病毒攻击我们的电脑, 网络骇客等等,这些影响不仅使我们精神受伤, 更让我们的物质和财产受到破坏,尤其是大型企业,如果网络系统出现故障或者瘫痪, 那将承受巨大的物质财产损失。

一个企业的业务和正常运行大部分依赖计算机网络,企业的重要数据信息都被保存在计算机中,如果在公共网络空间下,很容易丢失或者被一些不法人士获取。由于黑客的攻击、病毒的入侵、以及人为操作的不当等,都有可能威胁到重要信息数据,这些危害也越来越受到人们的重视。因此,根据企业的实际情况建立一套切实可行的安全网络方案来改善这个情况,使企业的数据机密信息得以保护,并且可以保证企业的网络顺畅的工作,有助于公司的长远发展。

网络安全,是计算机信息系统安全的一个重要方面,计算机网络安全就是保证网络信息存储、处理的安全和信息传输安全的问题,信息安全是指防止信息财产被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辩识、控制;确保信息的保密性、完整性、可用性、可控性。信息安全包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密和鉴别几个方面。设计一个安全网络系统,必须做到既能有效地防止对网络系统的各种各样的攻击,保证系统的安全,同时又要有较高的成本效益,操作的简易性,以及对用户的透明性和界面的友好性。本文从网络安全的提出及定义、网络系统安全风险分析,网络攻击的一般手段,企业局域网安全设计的原则及其配置方案提出一些见解,针对常见网络故障进行分析及解决,以使企业中的用户在计算机网络方面增强安全防范意识,实现了企业局域网的网络安全。

关键词:计算机病毒; 企业; 防火墙; 局域网; 服务器安全

目录

3

摘要.....................................................................................................................2

(一)网络安全概述.........................................................................................4

1,网络安全的概念...........................................................................................4

2,网络系统的特...............................................................................................4

,3,局域网在企业中应用?..............................................................................5

(二)威胁企业网络安全的因素?.................................................................5 1,企业网络现状...............................................................................................5.

2,物理威胁.......................................................................................................7

3,系统威胁.......................................................................................................7

4,平台安全威胁...............................................................................................7

5,局域网内部威胁...........................................................................................7

6,互联网威胁....................................................................................................8

7,网络攻击........................................................................................................9

(三)针对威胁的解决方案

(1)针对威胁进行的配置

1.1 物理安全技术.........................................................................................9

1.2 路由器配置............................................................................................10

1.3 防火墙配置............................................................................................12

1.4 内部网络隔离........................................................................................13

1.5 局域网防病毒设置................................................................................15

1.6 攻击检测技术及方法............................................................................16

(2)设计安全企业网络的原则.......................................................................18

(3) 企业网络及改进后的方案........................................................................18

(4) 审计与监控技术的实施............................................................................19

(5 信息安全.....................................................................................................21

(6)常见网络故障解决..................................................................................22

(四)结束语.....................................................................................................24

参考文献............................................................................................................24 一, 网络安全概述

4

1, 网络安全的概念

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。

2,网络系统的特点

企业网络安全方案 企业网络安全方案

企业网络安全方案 企业网络安全方案

有此图看出,计算机网络是一个互相连通的网络,计算机面临着黑客、病毒、特洛伊木马程序、系统后门和窥探等多个方面安全威胁。尽管近年来计算机网络安全技术取得了巨大的进展,但计算机网络系统的安全性,比以往任何时候都更加脆弱。主要表现在他极易受到攻击和侵害,他的抗打击力和防护力很弱,其脆弱性主要表现在如下几个方面。

(1) 操作系统的安全脆弱性操作系统不安全,是计算机系统不安全的根本原因。 使用TCP/IP协议的网络所提供的FTP、E-mail、RPC和NFS都包含许多不安全的因素。

比如;

A 计算机硬件的故障;由于生产工艺和制造商的原因,计算机硬件系统本身有故障

B 软件本身的“后门”软;件本身的“后门”是软件公司为了方便自己进入而

5

在开发时预留设置的,一方面为软件调试进一步开发或远程维护提供了方便,但同时也为非法入侵提供了通道,入侵者可以利用“后门”多次进入系统

C 软件的漏洞;软件中不可避免的漏洞和缺陷,成了黑客攻击的首选目标,典型的如操作系统中的BUGS

D 数据库管理系统的安全;大量信息存储在数据库中,然而对这些数据库系统在安全方面的考虑却很少。数据库管理系统安全必须与操作系统的安全相配套,例如,DBMS的安全级别是B2级,操作系统的安全级别也应是B2级,但实践中往往不是这样。

(2) 防火墙的局限性;防火墙依然存在着一些不能防范的威胁,例如不能防范不经过防火墙的攻击,及很难防范网络内部攻击及病毒威胁等。

(4) 天灾人祸,天灾指不可控制的自然灾害,如地震、雷击等。人祸是指人为因素对计算机网络系统构成的威胁,人祸可分为有意的和无意的,有意的是指人为的恶意攻击、违纪、违法和计算机犯罪。无意是指误操作造成的不良后果,如文件的误删除、误输入,安全配置不当,用户口令选择不慎,账号泄露或与别人共享。

(5) 其他方面的原因; 如环境和灾害的影响,计算机领域中任何重大的技术进步,都对安全性构成新的威胁等。

总之,系统自身的脆弱和不足,是造成网络安全问题的内部根源,但系统本身的脆弱性,社会对系统的依赖性这一对矛盾又将促进网络安全技术的不断发展和进步。

3, 局域网在企业中的应用

企业的局域网可以为用户提供如下主要应用:

(1) 文件共享、办公自动化、WWW服务、电子邮件服务;

(2) 文件数据的统一存储;

(3) 针对特定的应用在数据库服务器上进行二次开发(比如财务系统);

(4) 提供与Internet的访问;

(5) 通过公开服务器对外发布企业信息、发送电子邮件等;

(二)威胁企业网络安全的因素

1,企业网络现状

中国国内目前的企业需要的网络安全产品不仅仅是简单的安装,更重要的是要有针对复杂网络应用的一体化解决方案,如:网络安全、病毒检测、网站过滤等等。其着眼点在于:国内外领先的厂商产品;具备处理突发事件的能力;能够实时监控并易于管理;提供安全策略配置定制;是用户能够很容易地完善自身安

6

全体系。

然而,有网络的地方就有安全的问题。过去的网络大多是封闭式的,因而比较容易确保其安全性,简单的安全性设备就足以承担其任务。然而,当今的网络已经发生了变化,确保网络的安全性和可用性已经成为更加复杂而且必需的任务。用户每一次连接到网络上,原有的安全状况就会发生变化。所以,很多企业频繁地成为网络犯罪的牺牲品。因为当今网络业务的复杂性,依靠早期的简单安全设备已经对这些安全问题无能为力了。网络攻击在迅速地增多:网络攻击通常利用网络某些内在特点,进行非授权的访问、窃取密码、拒绝服务等等。

考虑到业务的损失和生产效率的下降,以及排除故障和修复损坏设备所导致的额外开支等方面,对网络安全的破坏可能是毁灭性的。此外,严重的网络安全问题还可能导致企业的公众形象的破坏、法律上的责任乃至客户信心的丧失,并进而造成的成本损失将是无法估量的。

企业网络安全方案 企业网络安全方案

如图,上图为一企业的大概网络拓扑图,经过分析,公司网络主要分为4个部分,一部分为工厂生产网络,一部分是负责销售、网站维护和构想工作等的写字楼办公网络,另两部分为领导决策的主网络以及公司的服务器群。其优点是结构简单灵活可靠性高,共享性强,适合于一点发送、多点接收的场合,容易扩展网络,使用的电缆少,且安装容易。缺点是安全行不高,维护不方便,分支节点出现故障会影响整个网络。

其网络的交换机路由器已经经过一部分设置与设备NAT技术,使公司内部合理通信访问,工厂办公地点不能上网,员工办公阶段时间性的上网,领导办公没有限制。这都有效提高了公司的工作质量与安全性,我们在这基础上,再设置一些安全措施,设计出一套完整的安全解决方案。

2,物理威胁

7

网络的物理安全主要是指地震、水灾、火灾等环境事故,电源故障,人为操作失误或错误,设备被盗、被毁,电磁干扰,线路截获以及高可用性的硬件,双机多冗余的设计,机房环境及报警系统,安全意识等。它是整个网络系统安全的前提,在这个企业局域网内,由于网络的物理跨度不大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以避免的

3,系统威胁

所谓系统的安全是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信任。网络操作系统、网络硬件平台的可靠性:对于中国来说,恐怕没有绝对安全的操作系统可以选择,无论是Microsoft的Windows NT或者其他任何商用UNIX操作系统,其开发厂商必然有其Back-Door。我们可以这样讲,没有完全安全的操作系统。但是,我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性。因此,不但要选用尽可能可靠的操作系统和硬件平台,而且必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性。其次应该严格限制登录者的操作权限,将其操作权限限制在最小的范围内

4,平台安全威胁

网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。

公开服务器面临的企业威胁,局域网内公开服务器区(WWW、EMAIL等服务器)作为公司的信息发布平台,一旦不能运行后者受到攻击,对企业的声誉影响巨大。同时公开服务器本身要为外界服务,必须开放相应的服务。每天,黑客都在试图闯入Internet节点,这些节点如果不保持警惕,可能连黑客怎么闯入的都不知道,甚至会成为黑客入侵其他站点的跳板。因此,企业局域网的管理人员对Internet安全事故做出有效反应变得十分重要。我们有必要将公开服务器、内部网络与外部网络进行隔离,避免网络结构信息外泄。同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其他的请求服务在到达主机之前就应该遭到拒绝。整个网络结构和路由状况安全的应用往往是建立在网络系统之上的。网络系统的成熟与否直接影响安全系统成功的建设。在这个企业局域网络系统中,只使用了一台路由器,作为与Internet连结的边界路由器,网络结构相对简单,具体配置时可以考虑使用静态路由,这就大大减少了因网络结构和网络路由造成的安全风险。

5,局域网内部威胁

(1) 应用的安全风险

8

应用系统的安全是动态的、不断变化的,其结果是安全漏洞也不断增加且隐藏越来越深。因此,保证应用系统的安全也是一个随网络发展不断完善的过程。 应用的安全性涉及到信息、数据的安全性。信息的安全性涉及到机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。由于这个企业局域网跨度不大,绝大部分重要信息都在内部传递,因此信息的机密性和完整性是可以保证的。对于有些特别重要的信息需要对内部进行保密的可以考虑在应用级进行加密,针对具体的应用直接在应用系统开发时进行加密。

(2) 管理的安全风险

管理是网络安全中最重要的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。管理混乱使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。所以我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。

建立全新的网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和网络安全解决方案的结合。

(3) 不满的内部员工

不满的内部员工可能在WWW站点上开些小玩笑,甚至破坏。不论如何,他们最熟悉服务器、小程序、脚本和系统的弱点。例如他们可以传出至关重要的信息、泄露安全重要信息、错误地进入数据库、删除数据等等。

6,互联网威胁

(1) 黑客攻击

黑客们的攻击行动是无时无刻不在进行的,而且会利用系统和管理上一切可能利用的漏洞。公开服务器存在漏洞的一个典型例证,是黑客可以轻易地骗过公开服务器软件,得到服务器的口令文件并将之送回。黑客侵入服务器后,有可能修改特权,从普通用户变为高级用户,一旦成功,黑客可以直接进入口令文件。黑客还能开发欺骗程序,将其装入服务器中,用以监听登录会话。当它发现有用户登录时,便开始存储一个文件,这样黑客就拥有了他人的帐户和口令。这时为了防止黑客,需要设置公开服务器,使得它不离开自己的空间而进入另外的目录。另外,还应设置组特权,不允许任何使用公开服务器的人访问WWW页面文件以外的东西。在这个企业的局域网内我们可以综合采用防火墙技术、入侵检测技术、访问控制技术来保护网络内的信息资源,

(2)恶意代码

9

恶意代码不限于病毒,还包括蠕虫、特洛伊木马、逻辑炸弹和其他未经同意的软件。所以应该加强对恶意代码的检测

(3) 病毒的攻击

计算机病毒一直是计算机安全的主要威胁。病毒不是独立存在的,它隐蔽在其他可执行的程序之中,既有破坏性,又有传染性和潜伏性。轻则影响机器运行速度,使机器不能正常运行,重则使机器处于瘫痪,会给用户带来不可估量的损失。能在Internet上传播的新型病毒,例如通过E-Mail传播的病毒,增加了这种威胁的程度。

7,网络攻击

非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。

信息泄漏或丢失:指敏感数据在有意或无意中被泄漏出去或丢失,通常包括信息在传输中或者存储介质中丢失、泄漏,或通过建立隐蔽隧道窃取敏感信息等。 破坏数据完整性:以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意修改数据,以干扰用户的正常使用。

拒绝服务攻击:它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。

利用网络传播病毒:通过网络传播计算机病毒等

(三)针对威胁的解决方案

针对威胁进行的配置

1.1 物理安全技术

保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提,它主要包括三个方面:

环境安全:对系统所在环境的安全保护,如区域保护和灾难保护;

设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截

10

获、抗电磁干扰及电源保护等;

媒体安全:包括媒体数据的安全及媒体本身的安全

1.2 路由器配置

(1) 路由器网络服务安全配置

a、禁止CDP(Cisco Discovery Protocol)。

Router(Config)#no cdp run

Router(Config-if)# no cdp enable

b、禁止其他的TCP、UDP Small服务。

Router(Config)# no service tcp-small-servers

Router(Config)# no service udp-small-servers

c、禁止Finger服务。

Router(Config)# no ip finger

Router(Config)# no service finger

d、禁止HTTP服务。

Router(Config)# no ip http server

启用了HTTP服务则需要对其进行安全配置:设置用户名和密码,采用访问列表进行控制。

e、禁止BOOTP服务。

Router(Config)# no ip bootp server

f、禁止IP Source Routing。

Router(Config)# no ip source-route

g、禁止IP Directed Broadcast。

Router(Config)# no ip directed-broadcast

h、禁止IP Classless。

Router(Config)# no ip classless

i、禁止ICMP协议的IP Unreachables, Redirects, Mask Replies。 Router(Config-if)# no ip unreacheables

Router(Config-if)# no ip redirects

Router(Config-if)# no ip mask-reply

j、明确禁止不使用的端口。

Router(Config)# interface eth0/3

Router(Config)# shutdown</P><P>

11

(2) 路由器路由协议安全配置

Router# config t

!启用CEF

Router(Config)# ip cef

!启用Unicast Reverse-Path Verification

Router(Config)# interface eth0/1

Router(Config-if)# ip verify unicast reverse-path </P><P>ACL方式: interface pos1/0

ip verify unicast reverse-path 190

(3) 路由器其他安全配置

Router(Config)# access-list 100 deny ip 172.0.0.0 0.255.255.255 any Router(Config)# access-list 100 deny ip 172.18.124.0 255.255.255.0 any

Router(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any Router(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any Router(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any Router(Config)# access-list 100 deny ip 172.18.124.0 255.255.255.0 any

Router(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any Router(Config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 any Router(Config)# access-list 100 deny ip 204.152.64.0 0.0.2.255 any Router(Config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any Router(Config)# access-list 100 permit ip any any

Router(Config-if)# ip access-group 100 in</P><P>

b、采用访问列表控制流出内部网络的地址必须是属于内部网络的。 Router(Config)# no access-list 101

Router(Config)# access-list 101 permit ip 172.18.124.0 255.255.255.0 any

Router(Config)# access-list 101 deny ip any any

Router(Config)# interface eth 0/1

Router(Config-if)# description “internet Ethernet”

Router(Config-if)# ip address 172.18.124.0 255.255.255.0

Router(Config-if)# ip access-group 101 in</P><P>

12

1.3 防火墙配置

网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。

(1) 防火墙的基本配置原则

防火墙的配置过程中需坚持以下三个基本原则:

a、简单实用

b、全面深入

c、内外兼顾

(2) 防火墙的基本配置

a、用一条防火墙自带的串行电缆从笔记本电脑的COM口连到Cisco PIX 525防火墙的console口;

b、开启所连电脑和防火墙的电源,进入Windows系统自带的"超级终端",通讯参数可按系统默认。进入防火墙初始化配置,在其中主要设置有:Date(日期)、time

(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等,完成后也就建立了一个初始化设置了。此时的提示符为:pix255>。

c、修改此特权用户模式密码。

命令格式为:enable password **************** [encrypted],这个密码必须大于16位。Encrypted选项是确定所加密码是否需要加密。

d、激活以太端口

必须用enable进入,然后进入configure模式

PIX525>enable

Password:

PIX525#config t

PIX525(config)#interface ethernet0 auto

PIX525(config)#interface ethernet1 auto

在默认情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了,但是outside必须命令配置激活。

e,配置以太端口IP 地址

13

采用命令为:ip address

内部网络为:172.18.124.0 255.255.255.0

外部网络为:222.20.16.0 255.255.255.0

PIX525(config)#ip address inside 172.18.124.0 255.255.255.0 PIX525(config)#ip address outside 222.20.16.1 255.255.255.0

1.4 内部网络隔离

为了减少企业局域网内部的威胁,我们利用VLAN技术来实现对内部子网的物理隔离。通过在交换机上划分VLAN可以将整个网络划分为几个不同的广播域,实现内部一个网段与另一个网段的物理隔离。这样,就能防止影响一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个更敏感。通过将信任网段与不信任网段划分在不同的VLAN段内,就可以限制局部网络安全问题对全局网络造成具体的的影响

配置过程:

第1步:设置好超级终端,连接上1900交换机,通过超级终端配置交换机的VLAN,连接成功后出现如下所示的主配置界面(交换机在此之前已完成了基本信息的配置):

1 user(s) now active on Management Console.

User Interface Menu

[M] Menus

[K] Command Line

[I] IP Configuration

Enter Selection:

第2步:单击K按键,选择主界面菜单中[K] Command Line选项 ,进入如下命令行配置界面:

CLI session with the switch is open.

To end the CLI session,enter [Exit ]

第3步:在上一步>提示符下输入进入特权模式命令enable,进入特权模式,命令格式为>enable,此时就进入了交换机配置的特权模式提示符:

#config t

Enter configuration commands,one per line.End with CNTL/Z

(config)#

第4步:为了安全和方便起见,我们分别给这3个Catalyst 1900交换机起个名字,并且设置特权模式的登陆密码。下面仅以Switch1为例进行介绍。配置代码如下:

14

(config)#hostname Switch1

Switch1(config)# enable password level 15 ******

Switch1(config)#

第5步:设置VLAN名称。因四个VLAN分属于不同的交换机,VLAN命名的命令为 vlan‘vlan号’name‘vlan名称’,在Switch1、Switch2、Switch3交换机上配置2、3、4、5号VLAN的代码为:

Switch1 (config)#vlan 2 name Prod

Switch2 (config)#vlan 3 name Fina

Switch3 (config)#vlan 4 name Huma

Switch3 (config)#vlan 5 name Info

第6步

对Switch1

Switch1(config)#int e0/2

Switch1(config-if)#vlan-membership static 2

??

Switch1(config-if)#int e0/21

Switch1(config-if)#vlan-membership static 2

Switch1(config-if)#

对Switch2

Switch2(config)#int e0/2

Switch2(config-if)#vlan-membership static 3

??

Switch2(config-if)#int e0/16

Switch2(config-if)#vlan-membership static 3

Switch2(config-if)#

对Switch3

Switch3(config)#int e0/2

Switch3(config-if)#vlan-membership static 4

??

Switch3(config-if)#int e0/9

Switch3(config-if)#vlan-membership static 4

Switch3(config-if)#

下面是VLAN5(Info)的配置代码:

Switch3(config)#int e0/10

Switch3(config-if)#vlan-membership static 5

15

??

Switch3(config-if)#int e0/21

Switch3(config-if)#vlan-membership static 5

Switch3(config-if)#

1.5 局域网防病毒设置

随着网络病毒的泛滥,对于一个局域网来说,以前各扫门前雪的防病毒方式经显得力不从心了,如果仅靠局域网中部分计算机的单机版防病毒软件,根本不可能做到对病毒的及时防御。因此,在局域网中构建一个完整的防病毒体系己经成为当务之急,网络防病毒软件也应运而生。接下来,就是我们企业局域网中对防病毒软件的安装配置过程。

在我们的企业局域网安全方案中,使用的是Symantec Antivirus8.0企业版,下面,介绍一下该防病毒软件的安装和配置方法:

(1) 安装和配置防病毒服务器

安装Symantec Antivirus防病毒软件安装Symantec Antivirus防病毒软件,为了便于管理,我们在局域网控制中心选择一台计算机作为Symantec Antivirns防病毒软件的服务器端。

按照安装说明提示,安装Symantec Antivirus防病毒软件的服务器端,其过程是全中文提示,并且自动安装的,因此,安装过程不作详细介绍了。等安装完成了Norton Antivirus防病毒服务器所有必须组件之后。接下来就可以对其进行配置了。

b、配置防病毒服务器

Norton Antivirus防病毒服务器是通过"Symantec系统中心"进行统一管理的,通过"Symantec系统中心"控制台,我们可以创建新的服务器组,同时还可以管理服务器组的成员计算机。也可以监视服务器组中成员计算机病毒软件的运行情况。在正常使用上述功能前,我们首先应该对Norton Antivirus防病毒服务器进行一些初始化配置,具体的方法如下:

打开"开始"菜单"程序"项"Symantec系统中心"菜单项。单击其中"Symantec系统中心控制台"程序列表。运行Symantec系统中心控制台,在弹出的"Symantec系统中心控制台"窗口"树状"列表中。双击Symantec系统中心,列表项,将其展开。在出现的"系统等级"列表项中,双击鼠标左键。将该列表项展开,这时在该项下面将出现我们安装Norton Antivirus防病毒服务器时所建立的服务器组名。

16

在该服务器组上单击鼠标右键,在弹出的右键菜单上。选择"解除服务器组的锁定"菜单项。

这时,将弹出"解锁服务器组的锁定"对话框。在"密码"对话框中。输入安装Norton Antivirus防病毒服务器时安装程序提供的默认密码(注意大小写),并单击"确定"按钮进行解锁。

接下来,可以看到服务器组下列出了刚刚安装的Norton Antivirus防病毒服务器计算机名。在默认情况下,新建的服务器组中的Norton Antivirus防病毒服务器还不是一级服务器,如果一个服务器组中没有一级服务器,将无法执行某些Symantec产品管理操作。因此。必须指定一台安装有Norton Antivirus防病毒服务器的计算机作为一级服务器,具体的方法是:

在树状列表中选中要作为一级服务器的计算机,并在其上单击鼠标右键,在弹出的右键菜单中,选择"使服务器成为一级服务器"菜单项,这时将弹出"是否将该服务器作为一级服务器"提示框,单击"是"按钮,即可将其转换为一级服务器。

c、安装邮件防病毒服务器

d、配置邮件防病毒服务器

(2) 安装和配置防病毒软件客户端

a、安装防病毒软件客户端

b、配置防病毒软件客户端

1.6 攻击检测技术及方法

互联网的普及给网络管理人员带来了极大的挑战,随处可得的黑客工具和系统漏洞信息使我们的网络无时无刻不处于危险之中。一般来说,一个典型的网络攻击是以大量的端口扫描等手段获取关于攻击对象的信息为开端的,这个过程必然产生大量的异常网络流量,预示着即将到来的真正攻击。然而当前被广泛使用的网络产品都具有一个普遍的弱点——被动防御,即对这些重要的网络攻击先兆熟视无睹,错过了最佳的防御时间。为了扭转这种不利的局面,变被动防御为积极防御,就要求网管人员对网络的运行状态进行实时监控以便随时发现入侵征兆并进行具体的分析,然后及时进行干预,从而取得防患于未然的效果。完成这种功能的安全产品就是网络入侵检测系统(Network Intrusion Detection Systems,NIDS)。

通过安装及配置一些软件来进行检测攻击:网络入侵探测器、入侵事件数据库和网络抓包库

Snort 1.8.6 功能简述:网络入侵探测器;

Libpcap 0.7.1 功能简述:Snort所依赖的网络抓包库;

17

MySQL 3.23.49 功能简述:入侵事件数据库;

a、安装MySQL

首先,以超级用户的身份登录系统,创建mysql 用户和mysql用户组; 然后,以mysql身份登录,执行下列命令:

$gzip -d -c mysql-3.23.49.tar.gz | tar xvf -

$cd mysql-3.23.49

$./configure

$make

$make install

这样,就按照缺省配置将MySQL安装在/usr/local目录下。然后将源代码树中的缺省配置文件my.cnf拷贝到/etc目录下。接下来,以超级用户身份执行源码树中scripts目录下的可执行脚本文件mysql_install_db来创建初始数据库。用/etc/init.d/mysql.server启动数据库服务器后,使用

/usr/local/bin/mysqladmin程序来改变数据库管理员的口令。

b、安装Snort

首先安装Snort所依赖的库libpcap:

#gzip -d -c libpcap-0.7.1.tar.gz | tar xvf -

#cd libpcap-0.7.1

#./configure

#make

#make install

这样libpcap缺省地安装在/usr/local目录下。

然后开始安装Snort:

#gzip -d -c snort-1.8.6.tar.gz | tar xvf -

#cd snort-1.8.6

#./configure --prefix=/usr/local

--with-mysql=/usr/local

--with-libpcap-includes=/usr/local

--with-libpcap-libraries-/usr/local

#make

#make install

安装完毕后,将源码树中的snort.conf文件、classification.config文件和规则文件(*.rules)拷贝到系统的/etc目录下。

按照下列步骤配置Snort将其捕获的网络信息输出到MySQL数据库: ● 创建Snort入侵事件数据库和存档数据库:

18

#/usr/local/bin/mysqladmin -u root -p create snort

#/usr/local/bin/mysqladmin -u root -p create snort_archive ● 执行Snort源码树下contrib目录下的create_mysql SQL脚本文件创建相关表:

#/usr/local/bin/mysql -u root -D snort -p < create_mysql

#/usr/local/bin/mysql -u root -D snort_archive -p < create_mysql ● 编辑/etc/snort.conf文件,在output plugin 段中加入如下一行: output database: alert, mysql, user=root password=abc123 dbname=snort host=localhost

(2)设计安全网络的原则

网络信息系统的安全管理主要基于三个原则。

多人负责原则:每一项与安全有关的活动,都必须有两人或多人在场。这些人应是系统主管领导指派的,他们忠诚可靠,能胜任此项工作;他们应该签署工作情况记录以证明安全工作已得到保障。

任期有限原则:一般地讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。

职责分离原则:在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。

(3) 企业网络及改进后的方案

企业网络安全方案 企业网络安全方案

19

在原拓扑图的基础上,增加了重要的防火墙,并把工厂办公子网的连接换到主交换机上,避免了员工子网交换机如果出现问题故障,导致重要生产线子网不能工作的问题。即是完全把企业的拓扑改成主流的星形拓扑结构。员工办公子网中间也可多增加一些交换机,减轻负担,对里面的部门分化也比较容易管理,再加上只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,就能达到在现有设备基础上,实现网络安全的目标。

(4) 审计与监控技术的实施

审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能看出系统正被怎样的使用。对于确定是否有网络攻击的情况,审计信息对于去定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统的识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集与积累并且加以分析,有选择性地对其中的某些站点或用户进行审计跟踪,以便对发现或可能产生的破坏性行为提供有力的证据。

本公司局域网系统是通过软件IpTraf来实现网络的监控与审计,具体措施如下:

(1) 安装

将iptraf-2.7.0.tar.gz上传到防火墙的 /home/yan/ 目录下

# cd /home/yan

20

# tar zxf iptraf-2.7.0.tar.gz

# cd iptraf-2.7.0

# ./Setup

至此,安装完毕

安装程序会将执行程序安装到 /usr/local/bin 目录下,并创 /var/local/iptraf 目录放置iptraf的配置文件,同时创建 /var/log/iptraf 目录放置iptraf产生的日志文件

(2) 运行iptraf

确认环境变量的PATH变量包含路径 /usr/local/bin

# iptraf

运行iptraf后会产生一个字符界面的菜单,点击 x 可以退出 iptraf,各菜单说明如下:

a、菜单Configure...

在这里可以对 iptraf 进行配置,所有的修改都将保存在文件:/var/local/iptraf/iptraf.cfg 中

--- Reverse DNS Lookups 选项,对IP地址反查 DNS名,默认是关闭的 --- TCP/UDP Service Names 选项,使用服务器代替端口号,例如用www 代替80,默认是关闭的

--- Force promiscuous 混杂模式,此时网卡将接受所有到达的数据,不管是不是发给自己的。

--- Color 终端显示彩色,当然用telnet ,ssh连接除外,也就是用不支持颜色的终端连接肯定还是没有颜色。

--- Logging 同时产生日志文件,在/var/log/iptraf 目录下

--- Activity mode 可以选择统计单位是kbit/sec 还是 kbyte/sec

--- Source MAC addrs in traffic monitor 选择后,会显示数据包的源MAC地址

b、菜单Filters...

在这里设置过滤规则,这是最有用的选项了,从远端连入监控机时,自己的机器与监控机会产生源源不断的tcp数据包,此时就可以将自己的IP地址排除在外。

它包括六个选项,分别是:Tcp、Udp、Other IP、ARP、RARP、Non-ip。我们只说明TCP,其他选项的配置都很相似。

--- Defining a New Filter

选择Defining a New Filter后,会出来一对话框,要求填入对所建的当前规则的描述名,然后回车确定,Ctrl+x取消

21

在接着出现的对话框里,Host name/IP address的First里面填源地址,Second里填目标地址,Wildcard mask 的两个框里面分别是源地址和目标地址所对应的掩码。

Port栏要求填入要过滤的端口号,0表示任意端口号

Include/Exclude栏要求填入I或者E,I表示包括,E表示排除

填写完毕,回车确认,Ctrl+x取消

--- Applying a Filter

我们在上一步定义过滤规则会存储为一个过滤列表,在没有应用之前并即使重新启不起作用,在这里选择我们应用那些过滤规则。所有应用的规则会一直起作用

动iptraf。我们可以执行Detaching a Filter来取消执行当前所有应用的规则。

--- Editing a Defined Filter 编辑一个已经存在的规则

--- Deleting a Defined Filter 删除一个已经定义的规则

--- Detaching a Filter 取消执行当前所有应用的规则

c、菜单IP Traffic Monitor

IP数据包流量实时监控窗口,在这里可以实时的看到每一个连接的流量状态,它有两个窗口,上面的是TCP的连接状态,下面的窗口可以看到UDP、ICMP、OSPF、IGRP、IGP、IGMP、GRE、ARP、RARP的数据包。点击s键选择排序,按照包的数量排序,也可按照字节的大小排序,当你开始监控IP Traffic时,程序会提示你输入Log文件的文件名,默认的是ip_traffic-1.log。

在一个比较繁忙的网络里,显示的结果可能很乱,可以使用Filters菜单过滤显示来找到有用的数据。

d、菜单General Interface Statistics

显示每个网络设备出去和进入的数据流量统计信息,包括总计、IP包、非IP包、Bad IP包、还有每秒的流速,单位是kbit/sec或者是kbyte/sec ,这由Configure菜单的Activity选项决定。

e、菜单Detailed Interface Statistics

这里包括了每个网络设备的详细的统计信息,很简单,不再赘述。

f、Statistical Breakdowns

这里提供更详细的统计信息,可以按包的大小分类,分别统计,也可以按Tcp/Udp的服务来分类统计,也不再赘述。

g、LAN Station Statistics

提供对每个网络地址通过本机的数据的统计信息。

(5) 信息安全

22

VPN是企业实现安全远程互联的有效方法。VPN主要应用特点包括:基于封装安全负载标准ESP-DES(Encapsulating Securiry Payload–Data Encryption Standard)的IPSec;专有网络通过端口地址转换技术访问Internet。

配置过程及测试步骤:

在前面我们已经对路由器作了初始化配置,下面直接进入VPN设置过程

(1) 配置路由器的以太网接口,并测试与本地计算机的连通性

关键是配置IP地址和启用以太网接口。测试时,使用基本的测试命令ping。 huadong(config)#inter eth0/0

huadong(config-if)#ip address 172.18.124.1 255.255.255.0

huadong(config-if)#no shutdown

在IP地址为172.18.124.100的计算机上:

c:>ping 172.18.124.1

Pinging 172.18.124.1 with 32 bytes of data:

Reply from 172.18.124.1 bytes=32 time=5ms TTL=255

??

(2) 配置路由器NAT网络

a、配置外出路由并测试

主要是配置缺省路由。

huadong(config)#ip route 0.0.0.0 0.0.0.0 210.75.32.9

huadong#ping 211.100.15.36

结果证明本路由器可以通过ISP访问Internet

(6)常见网络故障解决

IP冲突解决

发生IP冲突主要有以下几个原因。有些人对TCP/IP不了解,不小心修改了这些信息。另外在维修调试机器的时候,用一些临时的IP地址,结果忘了改过来而出现冲突。另外还有一种我们深恶痛绝的情况,就是有人窃用他人的IP地址。

接到冲突报告后,要做几件事情,首先要确定冲突发生的VLAN。通过IP规划的vlan定义以及冲突的IP地址,可以找到冲突地址所在的网段。这对成功地找到网卡MAC地址非常关键,因为有些网络命令不能跨网段存取。

下面先把客户机与网络隔离,对于有非法的IP地址的微机,权且容它运行去吧,这样我们倒有机会设法找到它了。再对网络做一些测试,主要的命令有ping命令和arp命令。使用ping命令,假设冲突的IP地址为172.18.124.69,在msdos窗口,命令格式如下:

23

C:WIDOWS〉ping 172.18.124.69

Request timed out

Reply from 172.18.124.69 : bytes=32 time〈1ms TTL=128 〉

Reply from 172.18.124.69 : bytes=32 time〈1ms TTL=128 〉

Reply from 172.18.124.69 : bytes=32 time〈1ms TTL=128 〉

我们之所以要ping这台机器,有两个目的,首先我必须肯定要找的那台机器确实在网络上,其次,我想知道这台机器的网卡的MAC地址。下面使用第二个命令arp查找MAC地址,arp命令只能在某一个VLAN中使用有效,它是低层协议,而且不能跨路由。

C:WIDOWS〉arp –a

Interface: ...... on Inerface ......

Internet Address/Physical Address/Type

172.18.124.69/00-00-22-35-62-53/ dynamic

这就说明冲突IP地址172.18.124.69 处网卡的MAC地址是00-00-22-35-62-53。接下来我们要找的是MAC地址为00-00-22-35-62-53的网卡的具体物理位置,然后解决冲突。

DNS错误

出现DNS解析故障最大的症状访问就是站点对应的IP地址没有问题,然而访问

他的域名就会出现错误。

解决DNS解析故障:

计算机出现了DNS解析故障后不要着急,解决的方法也很简单

(1) 用nslookup来判断是否真的是DNS解析故障

第一步:通过“开始->运行->输入CMD”后回车进入命令行模式。

第二步:输入nslookup命令后回车,将进入DNS解析查询界面。

第三步:命令行窗口中会显示出当前系统所使用的DNS服务器地址,例如DNS服务器IP为202.106.0.20。

第四步:接下来输入无法访问的站点对应的域名。例如输入www.61k.com假如不能访问,那么DNS解析应该是不能够正常进行的。我们会收到DNS request timed out,timeout was 2 seconds的提示信息。这说明我们的计算机确实出现了DNS解析故障。

小提示:如果DNS解析正常的话,会反馈回正确的IP地址,例如用www.61k.com个地址进行查询解析,会得到name:sohu.com,addresses:61.135.133.103,61.135.133.104的信息。

(2) 查询DNS服务器工作是否正常

这时候就要看看自己计算机使用的DNS地址是多少了,并且查询他的运行情

24

况。

第一步:通过“开始->运行->输入CMD”后回车进入命令行模式。

第二步:输入ipconfig /all命令来查询网络参数。

第三步:在ipconfig /all显示信息中我们能够看到一个地方写着DNS SERVERS,这个就是我们的DNS服务器地址。例如是202.106.0.20和202.106.46.151。从这个地址可以看出是个外网地址,如果使用外网DNS出现解析错误时,我们可以更换一个其他的DNS服务器地址即可解决问题。

第四步:如果在DNS服务器处显示的是公司的内部网络地址,那么说明公司的DNS解析工作是交给公司内部的DNS服务器来完成的,这时需要检查这个DNS服务器,在DNS服务器上进行nslookup操作看是否可以正常解析。解决DNS服务器上的DNS服务故障,一般来说问题也能够解决

(五)结束语

在这次的设计学习中,不仅巩固了前段时间在思科CCNA培训班学到的很多知识,还学到了许多新的知识。对自己所学的专业已经有了较深的认识。在设计方案中,吸取了大量书本以及网络上的知识,大大扩展了自己知识面的同时,还认识了自己学习的专业在社会上的应用,初次把大量的知识应用到实践中去,发现了许许多多的问题,体会到了书本上学不到的东西,从实践中成长许多。真正认识到单单的理论学习是不够的,理论知识最基本,只有理论结合实践,遇到问题及时解决,吸取大量的实践经验,才对自己有莫大的帮助。计算机网络是一门很有用的学科,同时网络信息安全问题更是现在都很重视的问题。这次的课程设计中,特别感谢刘老师您,在设计期间一直陪伴我们,虽然在此期间我们有些同学不愿上课,但我们去做实验的,有的却做得很认真。通过此次的设计,迫使我对网络及网络安全方面有了更深层次的了解,设计一个全方位的安全方案是非常不容易的,涉及的方面也很多,要考虑到的东西方方面面,还需要认识到各种的配置使用与兼容性。但由于增加了自己对这方面的知识,对网络的安全方面更感兴趣。虽说网络信息安全课程结束了,但现在仅仅是开始!

参考文献

[1] [美] Todd Lammle:CCNA 学习指南(袁国忠 徐宏). 人民邮电出版社

[2] 祁 明.网络安全与保密. 北京:高等教育出版社,2001

[3] 洪 峰.Cisco路由器管理. 北京:中国电力出版社,2000-1-1

[4] 郭 军.网络管理. 北京:北京邮电大学出版社,2001

[5] (美)查普曼 等 著.Cisco安全PIX防火墙(李逢天译). 北京:人民邮电出版社 2002-8-1

[6] (美)迪尔(Deal,R.)著. Cisco VPN完全配置指南(姚军玲,郭稚晖 译). 北京:人民邮电出版社

[7] (美)赫卡拜,[美]麦奎瑞 著. Cisco现场手册:Catalyst交换机配置(张辉 译). 北京人民邮电出版社

[8] (美)Michael Wynston著. Cisco 企业管理解决方案(第1卷)(师夷工作室译). 北京:中国青年出版社

25

本文标题:企业网络安全方案-运用动态安全域保护企业网的方法
本文地址: http://www.61k.com/1144618.html

61阅读| 精彩专题| 最新文章| 热门文章| 苏ICP备13036349号-1