網(wǎng)絡(luò)安全和防火墻 第部分 通用安全原則與安全設(shè)計

第十單元通用安全原則與安全設(shè)計學(xué)習(xí)目標(biāo)描述有效的網(wǎng)絡(luò)安全的通用指導(dǎo)方針和原則使用通用的指導(dǎo)方針來建立有效的、詳細(xì)的方案了解網(wǎng)絡(luò)安全設(shè)計中的網(wǎng)絡(luò)拓樸結(jié)構(gòu)描述配線房的安全注意事項描述無線網(wǎng)絡(luò)安全設(shè)計一個安全的網(wǎng)絡(luò)通用的安全原則介紹

警惕所有的網(wǎng)絡(luò)活動必須要有一個安全策略不要采用獨立使用的系統(tǒng)或技術(shù)盡可能使損壞最小化部署全公司范圍內(nèi)的執(zhí)行策略提供培訓(xùn)使用完整的安全策略根據(jù)需求安置設(shè)備確定業(yè)務(wù)問題考慮物理安全性損害最小化兩種最小化損害的方法是：采取嚴(yán)格的用戶訪問控制隔離操作系統(tǒng)組件安全策略是必須的

制定安全策略要記住以下關(guān)鍵點：強(qiáng)制執(zhí)行的安全策略能提供貫穿組織機(jī)構(gòu)的連續(xù)性。當(dāng)對攻擊做出響應(yīng)的時候，安全策略是第一個需要考慮的資源。安全策略應(yīng)該可以進(jìn)行變動。有時，為了反映當(dāng)前業(yè)務(wù)的需求，策略將被更新。為了反映技術(shù)的變化和改進(jìn)，策略也會被更新。當(dāng)安全策略發(fā)生變化時，要讓所有的員工都知道這些變化很重要。他們還必須確認(rèn)了解這些變化的本質(zhì)，并且同意遵守它們。通常，這個確認(rèn)應(yīng)該被書面記錄下來。不要采取獨立應(yīng)用的系統(tǒng)或技術(shù)

沒有一種通用的產(chǎn)品、技術(shù)或解決方案能夠提供全面的保護(hù)以對付所有的威脅。在各個方面使用多種技巧和技術(shù)的組合，可以避免單個技術(shù)的弱點，而能夠全面提高安全有效性。校驗數(shù)據(jù)備份

措施描述數(shù)據(jù)校驗讓所有的管理人員和中層管理人員確認(rèn)正確的數(shù)據(jù)已經(jīng)備份。還要對備份數(shù)據(jù)抽樣并將其恢復(fù)。介質(zhì)校驗保證用來備份數(shù)據(jù)的介質(zhì)是可靠的。存儲地點校驗保證所有被存儲的數(shù)據(jù)放在一個安全的場所。過程校驗如果數(shù)據(jù)需要從一個地點物理傳輸?shù)搅硪粋€地點，那么要采取措施保證數(shù)據(jù)確實被送到了新的地點。提供培訓(xùn)終端用戶培訓(xùn)管理員培訓(xùn)高層管理人員實施設(shè)備需求評估審核需求評估審核所涉及的步驟：同管理層協(xié)商確定特殊需求。確定一種新技術(shù)將如何影響所有級別的終端用戶的日常工作。與管理層一起保證資金安全。進(jìn)行研究工作,確定適合組織機(jī)構(gòu)的產(chǎn)品。研究網(wǎng)絡(luò)以保證新的解決方案在適合的地點、正確的時間被實現(xiàn)。正確安置產(chǎn)品

安放設(shè)備的時候，必須采取下列步驟：在獨立的子網(wǎng)內(nèi)測試系統(tǒng)。即使你熟悉新近安裝的系統(tǒng)和網(wǎng)絡(luò)后臺程序/服務(wù)，也要確認(rèn)服務(wù)器和后臺程序以你希望的方式運(yùn)行。對系統(tǒng)使用漏洞掃描作為測試的一部分。漏洞掃描能夠確定系統(tǒng)中是否有問題存在。有關(guān)這些掃描的更多內(nèi)容，將在后面章節(jié)中學(xué)習(xí)。在生產(chǎn)服務(wù)器上升級所有的圖表和文檔。確保將生產(chǎn)中的服務(wù)器保持當(dāng)前狀態(tài)，這樣能避免意外。安全措施對業(yè)業(yè)務(wù)的影響安全措施也會會以下列方式式影響業(yè)務(wù)和和用戶：成本的增加許多安全解決決方案的費(fèi)用用非常高。一一個站點的防防火墻許可證證的費(fèi)用在5000美元到20000美元之間，或或更高。即使使是能夠支付付這筆大額費(fèi)費(fèi)用的組織機(jī)機(jī)構(gòu)也需要證證明這些開銷銷是正確的。。不方便之處新的程序的措措施可能會使使用戶覺得不不方便，特別別是那些經(jīng)常常出差和遠(yuǎn)程程工作的用戶戶。記住要讓讓用戶意識到到：開始的時時候會稍微有有些不方便，，但長遠(yuǎn)的好好處是將節(jié)約約他們的時間間和保護(hù)公司司安全?？紤]物理安全全性有關(guān)物理安全全保護(hù)的問題題包括：公司的防火墻墻是在一間上上了鎖的房間間內(nèi)嗎？公司司所有的服務(wù)務(wù)器如何？網(wǎng)絡(luò)設(shè)備（如如路由器、WEB服務(wù)器、FTP服務(wù)器）被關(guān)關(guān)嚴(yán)和監(jiān)控了了嗎？有員工單獨在在敏感區(qū)域工工作嗎？人員維護(hù)考慮下列問題題：所有允許工作作人員進(jìn)入系系統(tǒng)的鑰匙、、通行證和其其他工具是否否安全？公司是否有策策略準(zhǔn)許員工工在工作時監(jiān)監(jiān)控維護(hù)人員員？監(jiān)督方法提高物理安全全性的選擇包包括：用數(shù)字門卡替替換標(biāo)準(zhǔn)的鎖鎖。將服務(wù)器放置置在有鎖的門門后。安裝視頻監(jiān)視視設(shè)備。物理攻擊策略略超級更改超級更改包括括使用一個應(yīng)應(yīng)用程序或操操作系統(tǒng)去讀讀取另一個操操作系統(tǒng)中的的信息。使用用超級更改程程序可以修改改用戶帳號信信息、讀文件件或創(chuàng)建文件件和目錄。結(jié)構(gòu)滲透類型包括：從門樞卸掉帶帶鎖的門，然然后進(jìn)入房間間?；蛘咄蹈`，或或者造一把新新的，從而獲獲取房間的鑰鑰匙。爬行通過人造造天花板，進(jìn)進(jìn)入房間。網(wǎng)絡(luò)拓樸結(jié)構(gòu)構(gòu)網(wǎng)絡(luò)拓樸結(jié)構(gòu)構(gòu)網(wǎng)絡(luò)拓樸結(jié)構(gòu)構(gòu)電源問題大多數(shù)桌面UPS提供有限的清清潔電源，但但是卻可能在在發(fā)生斷電時時的切換過程程中造成延遲遲，而這可能能會中斷對延延時敏感的數(shù)數(shù)據(jù)傳輸。大多數(shù)發(fā)電機(jī)機(jī)發(fā)出的都是是所謂的“臟臟電”，即電電壓可能起伏伏波動、不穩(wěn)穩(wěn)定。對于像像電子設(shè)備這這類電源敏感感設(shè)備來說，，這可能會造造成問題。POEPOE即PowerOverEthernet，以太網(wǎng)饋電電適配器，適適配器上提供供3個接口，一個個直流電源接接口，另外兩兩個是RJ45接口。通過輸輸電適配器把把電源轉(zhuǎn)接到到五類網(wǎng)線的的輔助電源線線對，在一條條五類網(wǎng)線上上集成數(shù)據(jù)傳傳輸與供電功功能，通過網(wǎng)網(wǎng)線就可以向向網(wǎng)絡(luò)設(shè)備供供電，而無需需為這些設(shè)備備單獨鋪設(shè)電電源線。線纜的選擇需要考慮的因因素包括：確定使用線纜纜的類別和布布線的結(jié)構(gòu)。。傳輸頻率與傳傳輸速率。屏蔽與非屏蔽蔽。抗電磁干擾(EMI)的程度。系統(tǒng)復(fù)元能力力、網(wǎng)絡(luò)擴(kuò)展展性。網(wǎng)絡(luò)要求的生生命周期。其它特性，如如防火、防腐腐蝕等。無線網(wǎng)絡(luò)安全全問題對無線網(wǎng)絡(luò)的的威脅主要包包括：偷聽傳輸?shù)臄?shù)數(shù)據(jù)可能導(dǎo)致機(jī)密密數(shù)據(jù)泄漏、、曝光未保護(hù)護(hù)的用戶憑據(jù)據(jù)、身份被盜盜用等。中途截獲或修修改傳輸數(shù)據(jù)據(jù)如果攻擊者可可訪問網(wǎng)絡(luò)，，他可接入惡惡意計算機(jī)來來中途截獲、、修改或延遲遲兩個合法方方的通信。哄騙現(xiàn)有網(wǎng)絡(luò)訪問問允許惡意用用戶使用在網(wǎng)網(wǎng)絡(luò)外同樣有有效的方法來來發(fā)送表面上上似乎來自合合法用戶的數(shù)數(shù)據(jù)（例如，，哄騙的電子子郵件消息））。免費(fèi)費(fèi)下下載載入侵侵者者還還有有可可能能利利用用您您的的網(wǎng)網(wǎng)絡(luò)絡(luò)作作為為他他自自己己訪訪問問Internet的自自由由訪訪問問點點。。拒絕絕服服務(wù)務(wù)(DoS)復(fù)雜雜的的攻攻擊擊多多是是針針對對低低層層無無線線協(xié)協(xié)議議本本身身；；不不很很復(fù)復(fù)雜雜的的攻攻擊擊則則通通過過向向WLAN發(fā)送送大大量量的的隨隨機(jī)機(jī)數(shù)數(shù)據(jù)據(jù)而而使使網(wǎng)網(wǎng)絡(luò)絡(luò)堵堵塞塞。實施施無無線線網(wǎng)網(wǎng)絡(luò)絡(luò)考慮慮以以下下安安全全措措施施：：掌控控信信號號覆覆蓋蓋的的范范圍圍啟用用無無線線設(shè)設(shè)備備的的安安全全功功能能使用用安安全全性性高高的的部部署署方方式式使用用一一些些針針對對無無線線網(wǎng)網(wǎng)絡(luò)絡(luò)環(huán)環(huán)境境的的入入侵侵檢檢測測軟軟件件無線線加加密密協(xié)協(xié)議議(WEP)和IEEE802.11iWEP(wiredequivalentprivacy)是一一種種以以40位共共享享密密鑰鑰算算法法為為基基礎(chǔ)礎(chǔ)的的數(shù)數(shù)據(jù)據(jù)加加密密機(jī)機(jī)制制。。它它是是無無線線網(wǎng)網(wǎng)絡(luò)絡(luò)上上信信息息加加密密的的一一種種標(biāo)標(biāo)準(zhǔn)準(zhǔn)方方法法，，它它可可以以對對每每一一個個企企圖圖訪訪問問無無線線網(wǎng)網(wǎng)絡(luò)絡(luò)的的人人的的身身份份進(jìn)進(jìn)行行識識別別，，同同時時對對網(wǎng)網(wǎng)絡(luò)絡(luò)傳傳輸輸內(nèi)內(nèi)容容進(jìn)進(jìn)行行加加密密。。IEEE802.11i規(guī)定定使使用用802.1x認(rèn)證證和和密密鑰鑰管管理理方方式式，，在在數(shù)數(shù)據(jù)據(jù)加加密密方方面面，，定定義義了了TKIP（TemporalKeyIntegrityProtocol）、、CCMP（Counter-Mode/CBC-MACProtocol）和和WRAP（WirelessRobustAuthenticatedProtocol）三三種種加加密密機(jī)機(jī)制制。。鞏固固匯匯聚聚層層網(wǎng)網(wǎng)絡(luò)絡(luò)對匯匯聚聚層層網(wǎng)網(wǎng)絡(luò)絡(luò)設(shè)設(shè)備備提提出出的的安安全全建建議議主主要要有有以以下下幾幾點點：：使用用用用戶戶認(rèn)認(rèn)證證機(jī)機(jī)制制和和安安全全密密碼碼體體系系。。進(jìn)行IP地址、、MAC地址、、用戶戶名及及卡號號綁定定。配置訪訪問控控制列列表（（ACL）、IP地址數(shù)數(shù)量及及連接接數(shù)的的限制制。流