企業(yè)網(wǎng)絡安全解決方案的設計畢業(yè)論文.doc

摘 要 計算機網(wǎng)絡的發(fā)展和技術(shù)的提高給網(wǎng)絡的安全帶來了很大的沖擊 Internet 的 安全成了新信息安全的熱點 網(wǎng)絡安全 是計算機信息系統(tǒng)安全的一個重要方面 如同打開了的潘多拉魔盒 計算機系統(tǒng)的互聯(lián) 在大大擴展信息資源的共享空間的 同時 也將其本身暴露在更多惡意攻擊之下 如何保證網(wǎng)絡信息存儲 處理的安全 和信息傳輸安全的問題 就是我們所謂的計算機網(wǎng)絡安全 信息安全是指防止信息 財產(chǎn)被故意的或偶然的非法授權(quán)泄露 更改 破壞或使信息被非法系統(tǒng)辯識 控制 確保信息的保密性 完整性 可用性 可控性 信息安全包括操作系統(tǒng)安全 數(shù)據(jù) 庫安全 網(wǎng)絡安全 病毒防護 訪問控制 加密和鑒別七個方面 設計一個安全網(wǎng) 絡系統(tǒng) 必須做到既能有效地防止對網(wǎng)絡系統(tǒng)的各種各樣的攻擊 保證系統(tǒng)的安全 同時又要有較高的成本效益 操作的簡易性 以及對用戶的透明性和界面的友好性 針對計算機網(wǎng)絡系統(tǒng)存在的安全性和可靠性問題 本文從網(wǎng)絡安全的提出及定 義 網(wǎng)絡系統(tǒng)安全風險分析 網(wǎng)絡攻擊的一般手段 企業(yè)局域網(wǎng)安全設計的原則及 其配置方案提出一些見解 并且進行了總結(jié) 就當前網(wǎng)絡上普遍的安全威脅 提出 了網(wǎng)絡安全設計的重要理念和安全管理規(guī)范并針對常見網(wǎng)絡故障進行分析及解決 以 使企業(yè)中的用戶在計算機網(wǎng)絡方面增強安全防范意識 實現(xiàn)了企業(yè)局域網(wǎng)的網(wǎng)絡安 全 關鍵詞 網(wǎng)絡安全 路由器 防火墻 交換機 VLAN Abstract The development of computer networks and technologies to enhance network security is a big blow Internet security has become a new hotspot of information security Network security is the security of computer information systems in an important aspect Like opening of the Pandora s Box the computer systems of the Internet greatly expanded information resources sharing space at the same time will be its own exposure to the more malicious attacks under How to ensure that the network of information storage processing and transmission of information security security is the so called computer network security Information security is to prevent information from the property have been deliberately or accidentally leaked authorized illegal altered damage or illegal information system identification control ensure confidentiality integrity availability controllable Information security including the safety of the operating system database security network security virus protection access control encryption and identification of seven areas Design of a network security system which must be done to effectively prevent the network all of the attacks guarantee the safety of the system and also have a higher cost effectiveness operational simplicity and transparent to the user interface and friendly Computer network system of security and reliability problems the paper from the network security and the proposed definition Network security risk analysis network attacks generally means Enterprise LAN security design principles and disposition program some insights and it was summed up on the current network wide security threats the network security of the important design concepts and security management norms and against common network fault analysis and solution to enable enterprise customers in the computer network to enhance safety realizing the enterprise LAN network security Key words Network Security Router Firewall Switch VLAN 目 錄 摘 要 I ABSTRACT II 目 錄 III 緒論 1 1 1 網(wǎng)絡安全概述 2 1 1 網(wǎng)絡安全的概念 2 1 2 網(wǎng)絡安全系統(tǒng)的脆弱性 2 1 3 網(wǎng)絡安全模型 3 1 4 企業(yè)局域網(wǎng)的應用 4 2 2 網(wǎng)絡系統(tǒng)安全風險分析 5 2 1 物理安全風險分析 5 2 2 網(wǎng)絡平臺的安全風險分析 5 2 3 系統(tǒng)的安全風險分析 6 2 4 來自局域網(wǎng)內(nèi)部的威脅 6 2 5 來自互聯(lián)網(wǎng)的威脅 7 2 6 網(wǎng)絡的攻擊手段 7 3 3 企業(yè)局域網(wǎng)的安全設計方案 8 3 1 企業(yè)局域網(wǎng)安全設計的原則 8 3 2 安全服務 機制與技術(shù) 9 3 3 企業(yè)局域網(wǎng)安全配置方案 9 3 3 1 物理安全技術(shù) 9 3 3 2 路由器安全配置 9 3 3 3 防火墻技術(shù)安全配置 12 3 3 4 內(nèi)部網(wǎng)絡隔離 16 3 3 5 企業(yè)局域網(wǎng)防病毒設置 19 3 3 6 攻擊檢測技術(shù)及方法 22 3 3 7 審計與監(jiān)控技術(shù)實施 27 3 4 信息安全 30 4 4 企業(yè)局域網(wǎng)安全管理 33 4 1 安全管理規(guī)范 33 4 1 1 安全管理原則 33 4 1 2 安全管理的實現(xiàn) 33 4 2 常見網(wǎng)絡故障及解決 33 4 2 1 IP 沖突解決 33 4 2 2 DNS 錯誤 34 結(jié)束語 36 致 謝 37 參考文獻 38 緒論 隨著迅速變化的商業(yè)環(huán)境和日益復雜的網(wǎng)絡 已經(jīng)徹底改變了目前從事業(yè)務的 方式 盡管企業(yè)現(xiàn)在依賴許多種安全技術(shù)來保護知識產(chǎn)權(quán) 但它們經(jīng)常會遇到這些 技術(shù)所固有的限制因素難題 無論當今的技術(shù)標榜有何種能力 它們通常均不能夠集中監(jiān)控和控制其它第三 方異構(gòu)安全產(chǎn)品 大多數(shù)技術(shù)都未能證實有至關重要的整合 正?；完P聯(lián)層 而 它們正是有效安全信息管理基礎的組成部分 尋求尖端技術(shù) 經(jīng)驗豐富的人員和最 佳作法與持續(xù)主動進行企業(yè)安全管理的堅實整合 是當今所有 IT 安全專業(yè)人士面臨 的最嚴峻挑戰(zhàn) 有效的安全信息管理主要關鍵是要求企業(yè)管理其企業(yè)安全 并同時在風險與性 能改進間做到最佳平衡 擁有良好的主動企業(yè)安全管理不應是我們所有人難以實現(xiàn) 的夢想 通過本企業(yè)網(wǎng)絡安全技術(shù)及解決方案 使企業(yè)網(wǎng)絡可有效的確保信息資產(chǎn) 保密性 完整性和可用性 本方案為企業(yè)局域網(wǎng)網(wǎng)絡安全的解決方案 包括原有網(wǎng)絡系統(tǒng)分析 網(wǎng)絡安全 風險分析 安全體系結(jié)構(gòu)的設計等 本安全解決方案是在不影響該企業(yè)局域網(wǎng)當前 業(yè)務的前提下 實現(xiàn)對局域網(wǎng)全面的安全管理 1 將安全策略 硬件及軟件等方法結(jié)合起來 構(gòu)成一個統(tǒng)一的防御系統(tǒng) 有 效阻止非法用戶進入網(wǎng)絡 減少網(wǎng)絡的安全風險 2 定期進行漏洞掃描 審計跟蹤 及時發(fā)現(xiàn)問題 解決問題 3 通過入侵檢測等方式實現(xiàn)實時安全監(jiān)控 提供快速響應故障的手段 同時 具備很好的安全取證措施 4 使網(wǎng)絡管理者能夠很快重新組織被破壞了的文件或應用 使系統(tǒng)重新恢復 到破壞前的狀態(tài) 最大限度地減少損失 5 在服務器上安裝相應的防病毒軟件 由中央控制臺統(tǒng)一控制和管理 實現(xiàn) 全網(wǎng)統(tǒng)一防病毒 1 網(wǎng)絡安全概述 1 1 網(wǎng)絡安全的概念 網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件 軟件及其系統(tǒng)中的數(shù)據(jù)受到保護 不受偶然的 或者惡意的原因而遭到破壞 更改 泄露 系統(tǒng)連續(xù)可靠正常地運行 網(wǎng)絡服務不 中斷 網(wǎng)絡安全從其本質(zhì)上來講就是網(wǎng)絡上的信息安全 從廣義來說 凡是涉及到網(wǎng) 絡上信息的保密性 完整性 可用性 真實性和可控性的相關技術(shù)和理論都是網(wǎng)絡 安全的研究領域 從網(wǎng)絡運行和管理者角度說 他們希望對本地網(wǎng)絡信息的訪問 讀寫等操作受 到保護和控制 避免出現(xiàn) 陷門 病毒 非法存取 拒絕服務和網(wǎng)絡資源非法占用 和非法控制等威脅 制止和防御網(wǎng)絡黑客的攻擊 從社會教育和意識形態(tài)角度來講 網(wǎng)絡上不健康的內(nèi)容 會對社會的穩(wěn)定和人 類的發(fā)展造成阻礙 必須對其進行控制 1 2 網(wǎng)絡安全系統(tǒng)的脆弱性 計算機面臨著黑客 病毒 特洛伊木馬程序 系統(tǒng)后門和窺探等多個方面安全 威脅 盡管近年來計算機網(wǎng)絡安全技術(shù)取得了巨大的進展 但計算機網(wǎng)絡系統(tǒng)的安 全性 比以往任何時候都更加脆弱 主要表現(xiàn)在他極易受到攻擊和侵害 他的抗打 擊力和防護力很弱 其脆弱性主要表現(xiàn)在如下幾個方面 1 操作系統(tǒng)的安全脆弱性 操作系統(tǒng)不安全 是計算機系統(tǒng)不安全的根本原因 2 網(wǎng)絡系統(tǒng)的安全脆弱性 網(wǎng)絡安全的脆弱性 使用 TCP IP 協(xié)議的網(wǎng)絡所提供的 FTP E mail RPC 和 NFS 都包含許多 不安全的因素 計算機硬件的故障 由于生產(chǎn)工藝和制造商的原因 計算機硬件系統(tǒng)本身有故障 軟件本身的 后門 軟件本身的 后門 是軟件公司為了方便自己進入而在開發(fā)時預留設置 的 一方面為軟件調(diào)試進一步開發(fā)或遠程維護提供了方便 但同時也為非法 入侵提供了通道 入侵者可以利用 后門 多次進入系統(tǒng) 常見的后門有修改配置文件 建立系統(tǒng)木馬程序和修改系統(tǒng)內(nèi)核等 軟件的漏洞 軟件中不可避免的漏洞和缺陷 成了黑客攻擊的首選目標 典型的如操 作系統(tǒng)中的 BUGS 3 數(shù)據(jù)庫管理系統(tǒng)的安全脆弱性 大量信息存儲在數(shù)據(jù)庫中 然而對這些數(shù)據(jù)庫系統(tǒng)在安全方面的考慮卻很少 數(shù)據(jù)庫管理系統(tǒng)安全必須與操作系統(tǒng)的安全相配套 例如 DBMS 的安全級別是 B2 級 操作系統(tǒng)的安全級別也應是 B2 級 但實踐中往往不是這樣 4 防火墻的局限性 防火墻依然存在著一些不能防范的威脅 例如不能防范不經(jīng)過防火墻的攻擊 及很難防范網(wǎng)絡內(nèi)部攻擊及病毒威脅等 5 天災人禍 天災指不可控制的自然災害 如地震 雷擊等 人禍是指人為因素對計算機網(wǎng)絡系統(tǒng)構(gòu)成的威脅 人禍可分為有意的和無意的 有意的是指人為的惡意攻擊 違紀 違法和計算機犯罪 無意是指誤操作造成的不 良后果 如文件的誤刪除 誤輸入 安全配置不當 用戶口令選擇不慎 賬號泄露 或與別人共享 6 其他方面的原因 如環(huán)境和災害的影響 計算機領域中任何重大的技術(shù)進步 都對安全性構(gòu)成 新的威脅等 總之 系統(tǒng)自身的脆弱和不足 是造成網(wǎng)絡安全問題的內(nèi)部根源 但系統(tǒng)本身 的脆弱性 社會對系統(tǒng)的依賴性這一對矛盾又將促進網(wǎng)絡安全技術(shù)的不斷發(fā)展和進 步 1 3 網(wǎng)絡安全模型 計算機網(wǎng)絡系統(tǒng)安全的概念是相對的 每一個系統(tǒng)都具有潛在的危險 安全具 有動態(tài)性 需要適應變化的環(huán)境 并能作出相應的調(diào)整 以確保計算機網(wǎng)絡系統(tǒng)的 安全 一個最常見的安全模型就是 PDRR 模型 PDRR 模型就是 4 個英文單詞的頭字符 Protection 防護 Detection 檢測 Response 響應 Recovery 恢復 這 四個部分構(gòu)成了一個動態(tài)的信息安全周期 如圖 圖 1 1 網(wǎng)絡安全模型 安全策略的每一部分包括一組相應的安全措施來實施一定的安全功能 安全策 略的第一部分就是防御 根據(jù)系統(tǒng)已知的所有安全問題做出防御的措施 如打補丁 訪問控制 數(shù)據(jù)加密等等 防御作為安全策略的第一個戰(zhàn)線 安全策略的第二個戰(zhàn) 線就是檢測 攻擊者如果穿過了防御系統(tǒng) 檢測系統(tǒng)就會檢測出來 這個安全戰(zhàn)線 的功能就是檢測出入侵者的身份 包括攻擊源 系統(tǒng)損失等 一旦檢測出入侵 響 應系統(tǒng)開始響應包括事件處理和其他業(yè)務 安全策略的最后一個戰(zhàn)線就是系統(tǒng)恢復 在入侵事件發(fā)生后 把系統(tǒng)恢復到原來的狀態(tài) 每次發(fā)生入侵事件 防御系統(tǒng)都要 更新 保證相同類型的入侵事件不能再發(fā)生 所以整個安全策略包括防御 檢測 響應和恢復 這四個方面組成了一個信息安全周期 1 4 企業(yè)局域網(wǎng)的應用 企業(yè)的局域網(wǎng)可以為用戶提供如下主要應用 1 文件共享 辦公自動化 WWW 服務 電子郵件服務 2 文件數(shù)據(jù)的統(tǒng)一存儲 3 針對特定的應用在數(shù)據(jù)庫服務器上進行二次開發(fā) 比如財務系統(tǒng) 4 提供與 Internet 的訪問 5 通過公開服務器對外發(fā)布企業(yè)信息 發(fā)送電子郵件等 2 網(wǎng)絡系統(tǒng)安全風險分析 這個企業(yè)的局域網(wǎng)是一個信息點較多的百兆局域網(wǎng)絡系統(tǒng) 它所聯(lián)接的現(xiàn)有上 百個信息點為在整個企業(yè)內(nèi)辦公的各部門提供了一個快速 方便的信息交流平臺 不僅如此 通過專線與 Internet 的連接 打通了一扇通向外部世界的窗戶 各個部 門可以直接與互聯(lián)網(wǎng)用戶進行交流 查詢資料等 通過公開服務器 企業(yè)可以直接 對外發(fā)布信息或者發(fā)送電子郵件 高速交換技術(shù)的采用 靈活的網(wǎng)絡互連方案設計 為用戶提供快速 方便 靈活通信平臺的同時 也為網(wǎng)絡的安全帶來了更大的風險 因此 在原有網(wǎng)絡上實施一套完整 可操作的安全解決方案不僅是可行的 而且是 必需的 企業(yè)局域網(wǎng)安全可以從以下幾個方面來理解 1 網(wǎng)絡物理是否安全 2 網(wǎng)絡平 臺是否安全 3 系統(tǒng)是否安全 4 企業(yè)局域網(wǎng)本身是否安全 5 與互聯(lián)網(wǎng)連接是否 安全 針對每一類安全風險 結(jié)合實際情況 我們將具體的分析網(wǎng)絡的安全風險 2 1 物理安全風險分析 網(wǎng)絡的物理安全主要是指地震 水災 火災等環(huán)境事故 電源故障 人為操作 失誤或錯誤 設備被盜 被毀 電磁干擾 線路截獲以及高可用性的硬件 雙機多 冗余的設計 機房環(huán)境及報警系統(tǒng) 安全意識等 它是整個網(wǎng)絡系統(tǒng)安全的前提 在這個企業(yè)局域網(wǎng)內(nèi) 由于網(wǎng)絡的物理跨度不大 只要制定健全的安全管理制度 做好備份 并且加強網(wǎng)絡設備和機房的管理 這些風險是可以避免的 2 2 網(wǎng)絡平臺的安全風險分析 網(wǎng)絡結(jié)構(gòu)的安全涉及到網(wǎng)絡拓撲結(jié)構(gòu) 網(wǎng)絡路由狀況及網(wǎng)絡的環(huán)境等 公開服務器面臨的威脅 企業(yè)局域網(wǎng)內(nèi)公開服務器區(qū) WWW EMAIL 等服務器 作為公司的信息發(fā)布平臺 一旦不能運行后者受到攻擊 對企業(yè)的聲譽影響巨大 同時公開服務器本身要為外 界服務 必須開放相應的服務 每天 黑客都在試圖闖入 Internet 節(jié)點 這些節(jié)點 如果不保持警惕 可能連黑客怎么闖入的都不知道 甚至會成為黑客入侵其他站點 的跳板 因此 企業(yè)局域網(wǎng)的管理人員對 Internet 安全事故做出有效反應變得十分 重要 我們有必要將公開服務器 內(nèi)部網(wǎng)絡與外部網(wǎng)絡進行隔離 避免網(wǎng)絡結(jié)構(gòu)信 息外泄 同時還要對外網(wǎng)的服務請求加以過濾 只允許正常通信的數(shù)據(jù)包到達相應 主機 其他的請求服務在到達主機之前就應該遭到拒絕 整個網(wǎng)絡結(jié)構(gòu)和路由狀況 安全的應用往往是建立在網(wǎng)絡系統(tǒng)之上的 網(wǎng)絡系統(tǒng)的成熟與否直接影響安全 系統(tǒng)成功的建設 在這個企業(yè)局域網(wǎng)絡系統(tǒng)中 只使用了一臺路由器 作為與 Internet 連結(jié)的邊界路由器 網(wǎng)絡結(jié)構(gòu)相對簡單 具體配置時可以考慮使用靜態(tài)路 由 這就大大減少了因網(wǎng)絡結(jié)構(gòu)和網(wǎng)絡路由造成的安全風險 2 3 系統(tǒng)的安全風險分析 所謂系統(tǒng)的安全是指整個局域網(wǎng)網(wǎng)絡操作系統(tǒng) 網(wǎng)絡硬件平臺是否可靠且值得 信任 網(wǎng)絡操作系統(tǒng) 網(wǎng)絡硬件平臺的可靠性 對于中國來說 恐怕沒有絕對安全的 操作系統(tǒng)可以選擇 無論是 Microsoft 的 Windows NT 或者其他任何商用 UNIX 操作 系統(tǒng) 其開發(fā)廠商必然有其 Back Door 我們可以這樣講 沒有完全安全的操作系 統(tǒng) 但是 我們可以對現(xiàn)有的操作平臺進行安全配置 對操作和訪問權(quán)限進行嚴格 控制 提高系統(tǒng)的安全性 因此 不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺 而且必須加強登錄過程的認證 特別是在到達服務器主機之前的認證 確保用戶 的合法性 其次應該嚴格限制登錄者的操作權(quán)限 將其操作權(quán)限限制在最小的范圍 內(nèi) 2 4 來自局域網(wǎng)內(nèi)部的威脅 1 應用的安全風險 應用系統(tǒng)的安全是動態(tài)的 不斷變化的 其結(jié)果是安全漏洞也不斷增加且隱藏 越來越深 因此 保證應用系統(tǒng)的安全也是一個隨網(wǎng)絡發(fā)展不斷完善的過程 應用的安全性涉及到信息 數(shù)據(jù)的安全性 信息的安全性涉及到機密信息泄露 未經(jīng)授權(quán)的訪問 破壞信息完整性 假冒 破壞系統(tǒng)的可用性等 由于這個企業(yè)局 域網(wǎng)跨度不大 絕大部分重要信息都在內(nèi)部傳遞 因此信息的機密性和完整性是可 以保證的 對于有些特別重要的信息需要對內(nèi)部進行保密的可以考慮在應用級進行 加密 針對具體的應用直接在應用系統(tǒng)開發(fā)時進行加密 2 管理的安全風險 管理是網(wǎng)絡安全中最重要的部分 責權(quán)不明 管理混亂 安全管理制度不健全 及缺乏可操作性等都可能引起管理安全的風險 管理混亂使得一些員工或管理員隨 便讓一些非本地員工甚至外來人員進入機房重地 或者員工有意無意泄漏他們所知 道的一些重要信息 而管理上卻沒有相應制度來約束 當網(wǎng)絡出現(xiàn)攻擊行為或網(wǎng)絡 受到其它一些安全威脅時 如內(nèi)部人員的違規(guī)操作等 無法進行實時的檢測 監(jiān) 控 報告與預警 同時 當事故發(fā)生后 也無法提供黑客攻擊行為的追蹤線索及破 案依據(jù) 即缺乏對網(wǎng)絡的可控性與可審查性 所以我們必須對站點的訪問活動進行 多層次的記錄 及時發(fā)現(xiàn)非法入侵行為 建立全新的網(wǎng)絡安全機制 必須深刻理解網(wǎng)絡并能提供直接的解決方案 因此 最可行的做法是管理制度和網(wǎng)絡安全解決方案的結(jié)合 3 不滿的內(nèi)部員工 不滿的內(nèi)部員工可能在 WWW 站點上開些小玩笑 甚至破壞 不論如何 他們最 熟悉服務器 小程序 腳本和系統(tǒng)的弱點 例如他們可以傳出至關重要的信息 泄 露安全重要信息 錯誤地進入數(shù)據(jù)庫 刪除數(shù)據(jù)等等 2 5 來自互聯(lián)網(wǎng)的威脅 1 黑客攻擊 黑客們的攻擊行動是無時無刻不在進行的 而且會利用系統(tǒng)和管理上一切可能 利用的漏洞 公開服務器存在漏洞的一個典型例證 是黑客可以輕易地騙過公開服 務器軟件 得到服務器的口令文件并將之送回 黑客侵入服務器后 有可能修改特 權(quán) 從普通用戶變?yōu)楦呒売脩?一旦成功 黑客可以直接進入口令文件 黑客還能 開發(fā)欺騙程序 將其裝入服務器中 用以監(jiān)聽登錄會話 當它發(fā)現(xiàn)有用戶登錄時 便開始存儲一個文件 這樣黑客就擁有了他人的帳戶和口令 這時為了防止黑客 需要設置公開服務器 使得它不離開自己的空間而進入另外的目錄 另外 還應設 置組特權(quán) 不允許任何使用公開服務器的人訪問 WWW 頁面文件以外的東西 在這個 企業(yè)的局域網(wǎng)內(nèi)我們可以綜合采用防火墻技術(shù) 入侵檢測技術(shù) 訪問控制技術(shù)來保 護網(wǎng)絡內(nèi)的信息資源 防止黑客攻擊 2 惡意代碼 惡意代碼不限于病毒 還包括蠕蟲 特洛伊木馬 邏輯炸彈和其他未經(jīng)同意的 軟件 所以應該加強對惡意代碼的檢測 3 病毒的攻擊 計算機病毒一直是計算機安全的主要威脅 病毒不是獨立存在的 它隱蔽在其 他可執(zhí)行的程序之中 既有破壞性 又有傳染性和潛伏性 輕則影響機器運行速度 使機器不能正常運行 重則使機器處于癱瘓 會給用戶帶來不可估量的損失 能在 Internet 上傳播的新型病毒 例如通過 E Mail 傳播的病毒 增加了這種威脅的程 度 2 6網(wǎng)絡的攻擊手段 一般認為 目前對網(wǎng)絡的攻擊手段主要表現(xiàn)在 非授權(quán)訪問 沒有預先經(jīng)過同意 就使用網(wǎng)絡或計算機資源被看作非授權(quán)訪問 如有意避開系統(tǒng)訪問控制機制 對網(wǎng)絡設備及資源進行非正常使用 或擅自擴大權(quán) 限 越權(quán)訪問信息 信息泄漏或丟失 指敏感數(shù)據(jù)在有意或無意中被泄漏出去或丟失 通常包括信 息在傳輸中或者存儲介質(zhì)中丟失 泄漏 或通過建立隱蔽隧道竊取敏感信息等 破壞數(shù)據(jù)完整性 以非法手段竊得對數(shù)據(jù)的使用權(quán) 刪除 修改 插入或重發(fā) 某些重要信息 以取得有益于攻擊者的響應 惡意修改數(shù)據(jù) 以干擾用戶的正常使 用 拒絕服務攻擊 它不斷對網(wǎng)絡服務系統(tǒng)進行干擾 改變其正常的作業(yè)流程 執(zhí) 行無關程序使系統(tǒng)響應減慢甚至癱瘓 影響正常用戶的使用 甚至使合法用戶被排 斥而不能進入計算機網(wǎng)絡系統(tǒng)或不能得到相應的服務 利用網(wǎng)絡傳播病毒 通過網(wǎng)絡傳播計算機病毒 其破壞性大大高于單機系統(tǒng) 而且用戶很難防范 3 企業(yè)局域網(wǎng)的安全設計方案 本公司有 100 臺左右的計算機 主要使用網(wǎng)絡的部門有 生產(chǎn)部 20 財務部 15 人事部 8 和信息中心 12 四大部分 如圖 3 1 所示 網(wǎng)絡基本結(jié)構(gòu)為 整個網(wǎng)絡中干部分采用 3 臺 Catalyst 1900 網(wǎng)管型交換機 分別命名為 Switch1 Switch2 和 Switch3 各交換機根據(jù)需要下接若干個集線 器 主要用于非 VLAN 用戶 一臺 Cisco 2514 路由器 整個網(wǎng)絡都通過路由器 Cisco 2514 與外部互聯(lián)網(wǎng)進行連接 圖 3 1 企業(yè)局域網(wǎng)的安全設計方案 3 1 企業(yè)局域網(wǎng)安全設計的原則 企業(yè)局域網(wǎng)網(wǎng)絡系統(tǒng)安全方案設計 規(guī)劃時 應遵循以下原則 綜合性 整體性原則 應用系統(tǒng)工程的觀點 方法 分析網(wǎng)絡的安全及具體措 施 安全措施主要包括行政法律手段 各種管理制度 人員審查 工作流程 維護 保障制度等 以及專業(yè)措施 識別技術(shù) 存取控制 密碼 低輻射 容錯 防病毒 采用高安全產(chǎn)品等 一致性原則 一致性原則主要是指網(wǎng)絡安全問題應與整個網(wǎng)絡的工作周期 或 生命周期 同時存在 制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡的安全需求相一致 易操作性原則 安全措施需要人為去完成 如果措施過于復雜 對人的要求過 高 本身就降低了安全性 其次 措施的采用不能影響系統(tǒng)的正常運行 分步實施原則 由于網(wǎng)絡系統(tǒng)及其應用擴展范圍廣闊 隨著網(wǎng)絡規(guī)模的擴大及 應用的增加 網(wǎng)絡脆弱性也會不斷增加 一勞永逸地解決網(wǎng)絡安全問題是不現(xiàn)實的 同時由于實施信息安全措施需要相當?shù)馁M用支出 因此分步實施 既可滿足網(wǎng)絡系 統(tǒng)及信息安全的基本需求 亦可節(jié)省費用開支 多重保護原則 任何安全措施都不是絕對安全的 都可能被攻破 但是建立一 個多重保護系統(tǒng) 各層保護相互補充 當一層保護被攻破時 其它層保護仍可保護 信息的安全 可評價性原則 如何預先評價一個安全設計并驗證其網(wǎng)絡的安全性 這需要通 過國家有關網(wǎng)絡信息安全測評認證機構(gòu)的評估來實現(xiàn) 3 2 安全服務 機制與技術(shù) 安全服務 控制服務 對象認證服務 可靠性服務等 安全機制 訪問控制機制 認證機制等 安全技術(shù) 防火墻技術(shù) 病毒防治技術(shù) 攻擊檢測技術(shù) 審計監(jiān)控技術(shù)等 在安全的開放環(huán)境中 用戶可以使用各種安全應用 安全應用由一些安全服務 來實現(xiàn) 而安全服務又是由各種安全機制或安全技術(shù)來實現(xiàn)的 應當指出 同一安 全機制有時也可以用于實現(xiàn)不同的安全服務 3 3 企業(yè)局域網(wǎng)安全配置方案 3 3 1 物理安全技術(shù) 保證計算機信息系統(tǒng)各種設備的物理安全是整個計算機信息系統(tǒng)安全的前提 它主要包括三個方面 環(huán)境安全 對系統(tǒng)所在環(huán)境的安全保護 如區(qū)域保護和災難保護 設備安全 主要包括設備的防盜 防毀 防電磁信息輻射泄漏 防止線路截獲 抗電磁干擾及電源保護等 媒體安全 包括媒體數(shù)據(jù)的安全及媒體本身的安全 3 3 2 路由器安全配置 作為企業(yè)局域網(wǎng)與外部 Internet 互聯(lián)網(wǎng)絡連接的第一關 路由器的配置是很重 要的 既要保證網(wǎng)絡的暢通 也不能忽略網(wǎng)絡的安全性而只取其一 我們所使用的 是 Cisco 2514 路由器 因此 除了對路由器與 Internet 外網(wǎng)連接配置外 我們 對路由器還采用了如下安全配置 1 路由器網(wǎng)絡服務安全配置 a 禁止 CDP Cisco Discovery Protocol Router Config no cdp run Router Config if no cdp enable b 禁止其他的 TCP UDP Small 服務 Router Config no service tcp small servers Router Config no service udp small servers c 禁止 Finger 服務 Router Config no ip finger Router Config no service finger d 禁止 HTTP 服務 Router Config no ip http server 啟用了 HTTP 服務則需要對其進行安全配置 設置用戶名和密碼 采用訪問列表 進行控制 e 禁止 BOOTP 服務 Router Config no ip bootp server f 禁止 IP Source Routing Router Config no ip source route g 禁止 IP Directed Broadcast Router Config no ip directed broadcast h 禁止 IP Classless Router Config no ip classless i 禁止 ICMP 協(xié)議的 IP Unreachables Redirects Mask Replies Router Config if no ip unreacheables Router Config if no ip redirects Router Config if no ip mask reply j 明確禁止不使用的端口 Router Config interface eth0 3 Router Config shutdown 2 路由器路由協(xié)議安全配置 a 啟用 IP Unicast Reverse Path Verification 它能夠檢查源 IP 地址的準 確性 從而可以防止一定的 IP Spooling b 配置 uRPF uRPF 有三種方式 strict 方式 ACL 方式和 loose 方式 在接 入路由器上實施時 對于通過單鏈路接入網(wǎng)絡的用戶 建議采用 strict 方式 對于 通過多條鏈路接入到網(wǎng)絡的用戶 可以采用 ACL 方式和 loose 方式 在出口路由器 上實施時 采用 loose 方式 Strict 方式 Router config t 啟用 CEF Router Config ip cef 啟用 Unicast Reverse Path Verification Router Config interface eth0 1 Router Config if ip verify unicast reverse path ACL 方式 interface pos1 0 ip verify unicast reverse path 190 access list 190 permit ip customer network customer network mask any access list 190 deny ip any any log 這個功能檢查每一個經(jīng)過路由器的數(shù)據(jù)包的源地址 若是不符合 ACL 的 路由 器將丟棄該數(shù)據(jù)包 Loose 方式 interface pos 1 0 ip ver unicast source reachable via any 這個功能檢查每一個經(jīng)過路由器的數(shù)據(jù)包 在路由器的路由表中若沒有該數(shù)據(jù) 包源 IP 地址的路由 路由器將丟棄該數(shù)據(jù)包 2 啟用 OSPF 路由協(xié)議的認證 默認的 OSPF 認證密碼是明文傳輸?shù)?建議啟用 MD5 認證 并設置一定強度密鑰 key 相 對的路由器必須有相同的 Key c RIP 協(xié)議的認證 只有 RIP V2 支持 RIP 1 不支持 建議啟用 RIP V2 并 且采用 MD5 認證 普通認證同樣是明文傳輸?shù)?d 啟用 passive interface 命令可以禁用一些不需要接收和轉(zhuǎn)發(fā)路由信息的 端口 建議對于不需要路由的端口 啟用 passive interface 但是 在 RIP 協(xié)議 是只是禁止轉(zhuǎn)發(fā)路由信息 并沒有禁止接收 在 OSPF 協(xié)議中是禁止轉(zhuǎn)發(fā)和接收路由 信息 e 啟用訪問列表過濾一些垃圾和惡意路由信息 控制網(wǎng)絡的垃圾信息流 如 Router Config access list 10 deny 172 18 124 0 255 255 255 0 Router Config access list 10 permit any 禁止路由器接收更新 172 18 124 0 網(wǎng)絡的路由信息 Router Config router ospf 100 Router Config router distribute list 10 in 禁止路由器轉(zhuǎn)發(fā)傳播 172 18 124 0 網(wǎng)絡的路由信息 Router Config router ospf 100 Router Config router distribute list 10 out 3 路由器其他安全配置 a IP 欺騙簡單防護 如過濾非公有地址訪問內(nèi)部網(wǎng)絡 過濾自己內(nèi)部網(wǎng)絡地 址 回環(huán)地址 172 0 0 0 8 RFC1918 私有地址 DHCP 自定義地址 169 254 0 0 16 科學文檔作者測試用地址 192 0 2 0 24 不用的組播地址 224 0 0 0 4 SUN 公司的古老的測試地址 20 20 20 0 24 204 152 64 0 23 全網(wǎng)絡地址 0 0 0 0 8 Router Config access list 100 deny ip 172 0 0 0 0 255 255 255 any Router Config access list 100 deny ip 172 18 124 0 255 255 255 0 any Router Config access list 100 deny ip 172 16 0 0 0 15 255 255 any Router Config access list 100 deny ip 10 0 0 0 0 255 255 255 any Router Config access list 100 deny ip 169 254 0 0 0 0 255 255 any Router Config access list 100 deny ip 172 18 124 0 255 255 255 0 any Router Config access list 100 deny ip 224 0 0 0 15 255 255 255 any Router Config access list 100 deny ip 20 20 20 0 0 0 0 255 any Router Config access list 100 deny ip 204 152 64 0 0 0 2 255 any Router Config access list 100 deny ip 0 0 0 0 0 255 255 255 any Router Config access list 100 permit ip any any Router Config if ip access group 100 in b 采用訪問列表控制流出內(nèi)部網(wǎng)絡的地址必須是屬于內(nèi)部網(wǎng)絡的 Router Config no access list 101 Router Config access list 101 permit ip 172 18 124 0 255 255 255 0 any Router Config access list 101 deny ip any any Router Config interface eth 0 1 Router Config if description internet Ethernet Router Config if ip address 172 18 124 0 255 255 255 0 Router Config if ip access group 101 in 3 3 3 防火墻技術(shù)安全配置 網(wǎng)絡防火墻技術(shù)是一種用來加強網(wǎng)絡之間訪問控制 防止外部網(wǎng)絡用戶以非法 手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡 訪問內(nèi)部網(wǎng)絡資源 保護內(nèi)部網(wǎng)絡操作環(huán)境的特 殊網(wǎng)絡互聯(lián)設備 它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安 全策略來實施檢查 以決定網(wǎng)絡之間的通信是否被允許 并監(jiān)視網(wǎng)絡運行狀態(tài) 1 防火墻的基本配置原則 防火墻的配置過程中需堅持以下三個基本原則 a 簡單實用 b 全面深入 c 內(nèi)外兼顧 2 防火墻的基本配置 a 用一條防火墻自帶的串行電纜從筆記本電腦的 COM 口連到 Cisco PIX 525 防火墻的 console 口 b 開啟所連電腦和防火墻的電源 進入 Windows 系統(tǒng)自帶的 超級終端 通 訊參數(shù)可按系統(tǒng)默認 進入防火墻初始化配置 在其中主要設置有 Date 日期 time 時間 hostname 主機名稱 inside ip address 內(nèi)部網(wǎng)卡 IP 地址 domain 主域 等 完成后也就建立了一個初始化設置了 此時的提示符為 pix255 c 修改此特權(quán)用戶模式密碼 命令格式為 enable password encrypted 這個密碼必 須大于 16 位 Encrypted 選項是確定所加密碼是否需要加密 d 激活以太端口 必須用 enable 進入 然后進入 configure 模式 PIX525 enable Password PIX525 config t PIX525 config interface ethernet0 auto PIX525 config interface ethernet1 auto 在默認情況下 ethernet0 是屬外部網(wǎng)卡 outside ethernet1 是屬內(nèi)部網(wǎng)卡 inside inside 在初始化配置成功的情況下已經(jīng)被激活生效了 但是 outside 必須 命令配置激活 e 命名端口與安全級別 采用命令 nameif PIX525 config nameif ethernet0 outside security0 PIX525 config nameif ethernet0 outside security100 security0 是外部端口 outside 的安全級別 0 安全級別最高 security100 是內(nèi)部端口 inside 的安全級別 如果中間還有以太口 則 security10 security20 等等命名 多個網(wǎng)卡組成多個網(wǎng)絡 一般情況下增加一個 以太口作為 DMZ Demilitarized Zones 非武裝區(qū)域 f 配置以太端口 IP 地址 采用命令為 ip address 內(nèi)部網(wǎng)絡為 172 18 124 0 255 255 255 0 外部網(wǎng)絡為 222 20 16 0 255 255 255 0 PIX525 config ip address inside 172 18 124 0 255 255 255 0 PIX525 config ip address outside 222 20 16 1 255 255 255 0 g 配置遠程訪問 telnet 在默認情況下 PIX 的以太端口是不允許 telnet 的 這一點與路由器有區(qū)別 Inside 端口可以做 telnet 就能用了 但 outside 端口還跟一些安全配置有關 PIX525 config telnet 172 18 124 0 255 255 255 0 inside PIX525 config telnet 222 20 16 1 255 255 255 0 outside 測試 telnet 在 開始 運行 telnet 172 18 124 1 PIX passwd 輸入密碼 h 訪問列表 access list 訪問列表也是 Firewall 的主要部分 有 permit 和 deny 兩個功能 網(wǎng)絡協(xié)議一 般有 IP TCP UDP ICMP 等等 允許訪問主機 222 20 16 254 的 www 端口為 80 PIX525 config access list 100 permit ip any host 222 20 16 254 eq www PIX525 config access list 100 deny ip any any PIX525 config access group 100 in interface outside i 地址轉(zhuǎn)換 NAT 和端口轉(zhuǎn)換 PAT NAT 跟路由器基本是一樣的 首先必須定義 IP Pool 提供給內(nèi)部 IP 地址轉(zhuǎn)換 的地址段 接著定義內(nèi)部網(wǎng)段 PIX525 config global outside 1 222 20 16 100 222 20 16 200 netmask 255 255 255 0 PIX525 config nat outside 1 172 18 124 0 255 255 255 0 外部地址是很有限的 主機必須單獨占用一個 IP 地址 解決公用一個外部 IP 222 20 16 201 則必須配置 PAT 這樣就能解決更多用戶同時共享一個 IP 有點 像代理服務器一樣的功能 配置如下 PIX525 config global outside 1 222 20 16 100 222 20 16 200 netmask 255 255 255 0 PIX525 config global outside 1 222 20 16 201 netmask 255 255 255 0 PIX525 config nat outside 1 0 0 0 0 0 0 0 0 j DHCP Server 在內(nèi)部網(wǎng)絡 為了維護的集中管理和充分利用有限 IP 地址 都會啟用動態(tài)主機 分配 IP 地址服務器 DHCP Server Cisco Firewall PIX 都具有這種功能 下面 配置 DHCP Server 地址段為 172 18 124 100 172 18 124 255 DNS 主 202 99 224 8 備 202 99 224 68 主域名稱 DHCP Client 通過 PIX Firewall PIX525 config ip address dhcp DHCP Server 配置 PIX525 config dhcp address 172 18 124 100 172 18 124 255 inside PIX525 config dhcp dns 202 99 224 8 202 99 224 68 PIX525 config dhcp domain k 靜態(tài)端口重定向 Port Redirection with Statics 端口重定向的功能 允許外部用戶通過一個特殊的 IP 地址 端口通過防火墻傳 輸?shù)絻?nèi)部指定的內(nèi)部服務器 其中重定向后的地址可以是單一外部地址 共享的外 部地址轉(zhuǎn)換端口 PAT 或者是共享的外部端口 這種方式并不是直接與內(nèi)部服務 器連接 而是通過端口重定向連接的 所以可使內(nèi)部服務器很安全 命令格式有兩種 分別適用于 IP 包和 TCP UDP 通信 static internal if name external if name global ip interface local ip netmask mask max conns emb limit norandomseq static internal if name external if name tcp udp global ip interface global port local ip local port netmask mask max conns emb limit norandomseq 此命令中的以上各參數(shù)解釋如下 internal if name 內(nèi)部接口名稱 external if name 外部接口名稱 tcp udp 選擇通信協(xié)議類型 global ip interface 重定向后的外部 IP 地址 或共享端口 local ip 本地 IP 地址 netmask mask 本地子網(wǎng)掩碼 max conns 允許的最大 TCP 連接數(shù) 默認為 0 即不限制 emb limit 允許從此 端口發(fā)起的連接數(shù) 默認也為 0 即不限制 norandomseq 不對數(shù)據(jù)包排序 此 參數(shù)通常不用選 我們具體實施如下 外部用戶向 172 18 124 99 的主機發(fā)出 Telnet 請求時 重定向到 10 1 1 6 外部用戶向 172 18 124 99 的主機發(fā)出 FTP 請求時 重定向到 10 1 1 3 外部用戶向 172 18 124 208 的端口發(fā)出 Telnet 請求時 重定向到 10 1 1 4 外部用戶向防火墻的外部地址 172 18 124 216 發(fā)出 Telnet 請求時 重定向 到 10 1 1 5 外部用戶向防火墻的外部地址 172 18 124 216 發(fā)出 HTTP 請求時 重定向到 10 1 1 5 外部用戶向防火墻的外部地址 172 18 124 208 的 8080 端口發(fā)出 HTTP 請求 時 重定向到 10 1 1 7 的 80 號端口 以上重定向過程要求如圖 3 2 所示 防火墻的內(nèi)部端口 IP 地址為 10 1 1 2 外部端口地址為 172 18 124 216 圖 3 2 以上各項重定向要求對應的配置如下 static inside outside tcp 172 18 124 99 telnet 10 1 1 6 telnet netmask 255 255 255 255 0 0 static inside outside tcp 172 18 124 99 ftp 10 1 1 3 ftp netmask 255 255 255 255 0 0 static inside outside tcp 172 18 124 208 telnet 10 1 1 4 telnet netmask 255 255 255 255 0 0 static inside outside tcp interface telnet