《毕业论文企业内网的安全性研究.doc》由会员分享,可在线阅读,更多相关《毕业论文企业内网的安全性研究.doc(40页珍藏版)》请在三一办公上搜索。
1、绪 论2第一章:企业网络安全分析3一、现状分析31.1 Internet的安全性31.2企业内网的安全性41.3项目背景41.4项目分析61.4.1安全设备分布61.4.2网络设备安全现状71.4.3服务器部署现状71.4.4客户端计算机81.4.5无线局域网安全现状81.4.6网络隐患、风险分析91.5项目需求111.5.1网络安全需求111.5.2网络访问安全需求121.6项目规划121.6.1服务器安全规划131.6.2 客户端安全规划141.6.3网络设备安全规划151.6.4无线准备安全规划161.6.5防火墙、IDS、IPS规划171.6.6局域网接入安全规划181.6.7Inte
2、rnet 接入安全规划181.6.8远程接入安全规划191.6.9网络可靠性规划20第二章:企业网络安全的实际应用202.1企业网络安全实施202.2网络传输的实施212.3访问控制242.4入侵检测242.5漏洞扫描252.6其它262.6.1应用系统安全262.6.2 系统平台安全262.6.3 应用平台安全262.7病毒防护262.8产品应用272.9数据备份302.10安全审计312.11认证、鉴别、数字签名、抗抵赖312.12物理安全322.13两套网络的相互转换322.14应用322.15防电磁辐射322.16网络防雷332.17重要信息点的物理保护33摘 要网络安全的本质是网络信
3、息的安全性,包括信息的保密性、完整性、可用性、真实性、可控性等几个方面,它通过网络信息的存储、传输和使用过程体现。网络安全管理是在防病毒软件、防火墙或智能网关等构成的防御体系下,对于防止来自网外的攻击。防火墙,则是内外网之间一道牢固的安全屏障。安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。建立了一套网络安全系统是必要的。绪 论随着网络的高速发展,网络的安全问题日益突出,近年来,黑客攻击、网络病毒等屡屡曝光,国家相关部门也一再三令五申要求切实做好网络安全建设和管理工作。但是在企业网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,随着
4、网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,企业网在企业的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证企业网络能正常的运行不受各种网络黑客的侵害就成为各个企业不可回避的一个紧迫问题。第一章:企业网络安全分析随着企业信息化的不断推进,各企业都相继建成了自己的企业网络并连入互联网,企业网在企业的信息化建设中扮演了至关重要的角色。但必须看到,随着企业网络规模的急剧膨胀,网络用户的快速增长,尤其是企业网络所面对的使用群体的特殊性(拥有一定的网络知识、具备强烈的好奇心和求知欲、法律纪律意识却相对淡漠),如何保证企业网络能正常的运行不受各种网络黑客的
5、侵害就成为各个企业不可回避的一个紧迫问题,解决网络安全问题刻不容缓。现状分析随着国内计算机和网络技术的迅猛发展和广泛普及,企业经营活动的各种业务系统都立足于Internet/Intranet环境中。但是,Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。一旦网络系统安全受到严重威胁,甚至处于瘫痪状态,将会给企业、社会、乃至整个国家带来巨大的经济损失。如何使信息网络系统免受黑客和病毒的入侵,已成为信息事业健康发展所要考虑的重要事情之一。大型企业不断发展的同时其网络规模也在不断的扩大,由于其自身业务的需要,在不同的地区建有分公司或分支机构,本地庞大的In
6、tranet和分布在全国各地的Intranet之间互相连接形成一个更加庞大的网络。这样一个网网相连的企业网为企业提高了效率、增加企业竞争力,同样,这样复杂的网络面临更多的安全问题。首先本地网络的安全需要保证,同时总部与分支机构、分支机构之间的机密信息传输问题,以及集团的设备管理问题,这样的网络使用环境一般存在下列安全隐患和需求:1.1 Internet的安全性目前互联网应用越来越广泛,黑客与病毒无孔不入,这极大地影响了Internet的可靠性和安全性,保护Internet、加强网络安全建设已经迫在眉捷。1.2企业内网的安全性 企业内部的网络安全同样需要重视,存在的安全隐患主要有未授权访问、破坏
7、数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。具体表现如下: 计算机病毒在企业内部网络传播。 内部网络可能被外部黑客攻击。 对外的服务器(如:www、ftp、邮件服务器等)没有安全防护,容易被黑客攻击。 内部某些重要的服务器或网络被非法访问,造成信息泄密。 内部网络用户上网行为没有有效监控管理,影响日常工作效率,容易形成内部网络的安全隐患。 分支机构网络安全问题。 大量的垃圾邮件占用网络和系统资源,影响正常的工作。 分支机构网络和总部网络连接安全和之间数据交换的安全
8、问题。 远程、移动用户对公司内部网络的安全访问。1.3项目背景假设某企业拥有员工2000余人,公司总部坐落在省会城市高新技术开发区,包括4个生产车间和两栋职工宿舍楼,产品展示、技术开发与企业办公均在总公司进行。该企业在外地另开设有两家分公司,由总公司进行统一管理和部署。目前,该企业的拓扑结构图如图1-1所示,基本情况如下。1、公司局域网已经基本覆盖整个厂区,中心机房位于总公司,职工宿舍楼和生产车间均有网络覆盖。2、网络拓扑结构为“星型+树型”,接入层交换机为Cisco Catalyst 2960,汇聚层交换机为Cisco Catalyst 3560,核心层交换机为Cisco Catalyst
9、35603、现有接入用户数量为500个,客户端均使用私有IP地址,通过防火墙或代理服务器接入Internet。部分服务器IP地址为公有IP地址。4、Internet接入区的防火墙主要提供VPN接入功能,用于远程移动用户或子公司网络提供远程安全访问。5、会议室、员工宿舍等场所部署无线接入点,实现随时随地无线漫游接入。6、服务器操作系统平台多为Windows Server 2003 和 Windows Server 2008系统。客户端系统为Windows XP Professional 和 Windows 77、网络中部署有Web服务器,为企业网站运行平台。8、企业网络办公平台为WSS,文件服务
10、器可以为智能大厦的办公用户提供文件共享、存储于访问。9、E-mail、RTX为用户员工之间的彼此交流,以及企业与外界的通信网络。10、打印服务和传真服务主要满足企业用户网络办公的应用。11、企业分支结构通过VPN方式远程接入总部局域网,并且可以访问网络中的共享资源。图1-1 项目背景1.4项目分析在普通小型局域网中,最常见的安全防护手段就是在路由器后部署一道防火墙,甚至安全需求较低的网络并无硬件防火墙,只是在路由器和交换机上进行简单的访问控制和数据包筛选机制就可以了。但是,在较大的企业网络中,许多重要应用都要依赖网络,势必对网络的安全性的要求高一些,在部署网络安全设备的同时,必须辅助多种访问控
11、制与安全配置措施,加固网络安全。1.4.1安全设备分布1. 防火墙由于企业局域网采用以太网接入方式,所以直接使用防火墙充当接入设备,部署在网络边缘,防火墙连接的内网路由器上配置访问列表和静态路由信息。另外,在会议室、产品展示厅等公共环境中的汇聚交换机和核心交换机之间部署硬件防火墙,防止公共环境中可能存在的安全风险通过核心设备传播到整个网络。2. IPSIPS(Intrusion Prevention System,入侵防御系统)部署在Internet 接入区的路由器和核心交换机之间,用于扫描所有来自Internet的信息,以便及时发现网络攻击和制定解决方案。3. IDSIDS(Internet
12、 Detection System,入侵检测系统)本身是一个典型的探测设备,类似于网络嗅探器,无需转发任何流量,而只需要在网络上被动地、无声息地收集相应的报文即可。IDS无法跨越物理网段收集信息,只能收集所在交换机的某个端口上的所有数据信息。该网络中的IDS部署在安全需求最高的服务区,用于实时侦测服务器区交换机转发的所有信息,对收集来的报文,IDS将提取相应的流量统计特征值,并利用内置的入侵知识库,与这些流量特征进行智能分析比较匹配。根据默认的阀值,匹配耦合度较高的报文流量将被认为是进攻,IDS将根据相应的配置进行报警或进行有限度的反击。4. Cisco Security MARSCisco
13、Security MARS(Monitoring Analysis Response System)是基于设备的全方位解决方案,是网络管理的关键组成部分。MARS可以自动识别、管理并抵御安全威胁,它能与现有网络和安全部署协作,自动识别并隔离网络威胁,同时提出准确的清除建议。在本例企业网络中,MARS直接连接在核心交换机上,用于收集经过核心交换机的所有数据信息,自动生成状态日志,供管理员调阅。1.4.2网络设备安全现状当网络中的交换机、路由器等网络设备都是可网管的智能设备,并且提供Web管理方式,同时配置了基本的安全防御措施,如登陆密码、用户账户权限等。1. 交换机和路由器安全设置交换机的主要功
14、能就是提供网络所需的接入接口。目前,该网络中基于交换机的安全管理仅限于VLAN划分、Enable密码和Telnet密码等基本安全措施,并未进行任何高级安全配置,如流量控制,远程监控、IEEE802.1x安全认证等,存在较大的安全隐患。企业网络采用以太网接入Internet,而网络中部署的网络防火墙已具备接入功能,所以该网络中的路由器上只配置简单的静态路由、访问控制列表和网络地址转换,可以满足基本的安全要求。2. 办公设备安全配置企业网络中的集中办公设备包括打印机和传真机,均支持网络接入功能,部署在楼层的集中办公区。由于缺乏访问权限控制措施,致使网络打印机和传真机被滥用,造成不必要的资源浪费。另
15、外,用户计算机到打印机之间的数据传输是未经加密的明文,存在一定的安全隐患。1.4.3服务器部署现状网络中应用服务器包括域控制器、DHCP服务器、文件服务器、传真服务器、网络办公平台、数据库服务器等,其中有许多网络服务合用一台服务器,网络中共有服务器10台,通过单独的交换机高速连接至核心交换机,完全采用链路冗余结束双线连接,确保连接的可靠性。所有服务器均已加入域中,接受域控制器的统一管理,并且已开启远程终端功能,用户可以使用有效的管理员账户凭据远程登录服务器,实现相应的配置与管理任务。1.4.4客户端计算机客户端计算机主要以Windows操作系统为主,极少数用户是运行Linux和Mac OS操作
16、系统。客户端计算机的安全防御比较薄弱,仅限于用户账户登录密码、个人防火墙、杀毒软件等。因此,由于个别客户端感染病毒而导致网络瘫痪的问题时有发生。对于Windows系统而言,应用最多的Windows XP Professional和Windows Vista系统已经集成了比较完善的安全防御功能,如Internet防火墙、Windows防火墙、Windows Defender、Windows Update等,客户端用户只需对这些功能简单配置,即可增强系统安全性。另外,对于中型规模的企业网络而言,统一的网络管理才是最重要的。例如,统一配置客户端计算机安全功能、增强网络访问控制、部署NAP系统、部署W
17、SUS服务器等。1.4.5无线局域网安全现状 在企业网络中部署无线局域网,延伸了有线局域网的覆盖范围,避免网络布线对现有整体布局和装修的破坏,既是环境需求,也是企业发展和生存的需要。用户在无线网络覆盖范围内可以自由访问网络,充分享受无线畅游的便利。但是,由于无线网络传输的特殊性,无线局域网的安全问题也是不容忽视的。该企业网络中的无线网络安全问题,主要表现在以下几个方面。1. WEP密钥发布问题802.11本身并未规定密钥如何分发。所有安全性考虑的前提是假定密钥已通过与802.11无关的安全渠道送到了工作站点上,而在实际应用中,一般都是手工设置,并长期固定使用4个可选密钥之一。因此,当工作站点增
18、多时,手工方法的配置和管理将十分繁琐且效率低下,而且密钥一旦丢失,WLAN将无安全性可言。2.WEP用户身份认证方法的缺陷 802.11标准规定了两种认证方式:开放系统认证和共享密钥认证。开发系统认证是默认的认证方法,任何移动站点都可加入BSS(Basic Service Set,基本服务集),并可以跟AP(Access Point,接入点)通信,能“听到”所有未加密的数据,可见,这种方法根本密钥提供认证,也就不存在安全性。共享密钥认证是一种请求响应认证机制:AP在收到工作站点STA(Static Timing Analysis,静态时序分析)的请求接入消息时发送询问消息,STA对询问消息使用
19、共享密钥进行加密并送回AP,AP解密并校验消息的完整性,若成功,则允许STA接入WLAN。攻击者只需抓住加密前后的询问消息,加以简单的数字运算就可以得到共享密钥生成的伪随机密码流,然后伪造合法的响应消息通过AP认证后接入WLAN。3.SSID和MAC地址过滤WEP服务集标识SSID由Lucent公司提出,用于对封闭网络进行访问控制。只有与AP有相同的SSID的客户站点才允许访问WLAN。MAC地址过滤的想法是AP中存有合法客户站点MAC地址列表,拒绝MAC地址不在列表中的站点接入被保护的网络。但由于SSID和MAC地址很容易被窃取,因此安全性较低。4WEP加密机制的天生脆弱性 WEP加密机制的
20、天生脆弱性是受网络攻击的最主要原因,WEP2算法作为802.11i的安全标准,对现有系统改进相对较小并易于实现。1.4.6网络隐患、风险分析企业现阶段网络系统的网络结构和业务流程,结合企业今后进行的网络化应用范围的拓展考虑,企业网主要的安全威胁和安全漏洞包括以下几方面:1内部窃密和破坏企业网络上同时接入了其它部门的网络系统,因此容易出现其它部门不怀好意的人员(或外部非法人员利用其它部门的计算机)通过网络进入内部网络,并进一步窃取和破坏其中的重要信息(如领导的网络帐号和口令、重要文件等),因此这种风险是必须采取措施进行防范的。2 搭线(网络)窃听这种威胁是网络最容易发生的。攻击者可以采用如Sni
21、ffer等网络协议分析工具,在INTERNET网络安全的薄弱处进入INTERNET,并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息)的内容。企业网络系统来讲,由于存在跨越INTERNET的内部通信(与上级、下级)这种威胁等级是相当高的,因此也是本方案考虑的重点。3 假冒这种威胁既可能来自企业网内部用户,也可能来自INTERNET内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户,诱骗其他用户或系统管理员,从而获得用户名/口令等敏感信息,进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。4 完整性破坏这种威胁主要
22、指信息在传输过程中或者存储期间被篡改或修改,使得信息/数据失去了原有的真实性,从而变得不可用或造成广泛的负面影响。由于XXX企业网内有许多重要信息,因此那些不怀好意的用户和非法用户就会通过网络对没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息,从而影响工作的正常进行。5 其它网络的攻击企业网络系统是接入到INTERNET上的,这样就有可能会遭到INTERNET上黑客、恶意用户等的网络攻击,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等。因此这也是需要采取相应的安全措施进行防范。6 管理及操作人员缺乏安全知识由于信息和网络技术发展迅猛,信息
23、的应用和安全技术相对滞后,用户在引入和采用安全设备和系统时,缺乏全面和深入的培训和学习,对信息安全的重要性与技术认识不足,很容易使安全设备/系统成为摆设,不能使其发挥正确的作用。如本来对某些通信和操作需要限制,为了方便,设置成全开放状态等等,从而出现网络漏洞。由于网络安全产品的技术含量大,因此,对操作管理人员的培训显得尤为重要。这样,使安全设备能够尽量发挥其作用,避免使用上的漏洞。7 雷击由于网络系统中涉及很多的网络设备、终端、线路等,而这些都是通过通信电缆进行传输,因此极易受到雷击,造成连锁反应,使整个网络瘫痪,设备损坏,造成严重后果。因此,为避免遭受感应雷击的危害和静电干扰、电磁辐射干扰等
24、引起的瞬间电压浪涌电压的损坏,有必要对整个网络系统采取相应的防雷措施。1.5项目需求由于该公司的主要业务为高新产品的开发和生产,掌握众多机密信息,并且下设多个部门,所以对网络安全性和稳定性要求比较高。无论是基础网络还是客户端都必须严格做好安全防御工作。1.5.1网络安全需求综合项目成本和实际应用等多方面因素,可以从如下几个方面满足用户需求。一、将防火墙部署在网络边缘,用于隔离来自Internet的所有网络风险。二、在路由器和核心交换机之间部署IPS,对全网的所有Internet通信进行检测,以便可以自动阻止、调整或隔离非正常网络请求和危险信息的传输。三、生产区和办公区分别通过汇聚交换机连接至核
25、心交换机,在相应的汇聚交换机上分别进行适当的安全设置,将可能存在的安全风险因素隔离在网络局部。四、在办公区网络中,将安全需求和应用需求不同的用户指定到不同的VLAN中,充分确保部门内部和部门间的信息安全。五、在会议室和展示厅等移动用户比较集中的场所,部署无线接入系统,在无线接入点以及无线接入点连接的交换机上,分别部署相应的安全防御措施,如IEEE802.1x认证、禁止广播SSID、WEP加密等。六、网络管理区和服务器区直接连接至核心交换机,以确保网络传输的可靠性。网络管理区中部署有MARS系统,用于监控、分析和处理网络中所有通过核心交换机的数据通信,以便及时发现网络中存在的恶意攻击、非正常访问
26、等情况,并协助管理员制定相应的解决方案。七、为了确保服务器的安全,在服务器集中区部署IDS,可以对服务区网络以及系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。1.5.2网络访问安全需求由于公司大部分用户信息安全意识较差,因此必须对安全需求较高的部门的用户进行集中管理,防止机密信息外泄。另外,本公司在外地设有分公司,只能通过远程接入方式访问内部网络资源,可以借助VPN技术实现加密传输,充分确保信息安全。目前,该网络中网络访问安全需求如下。一、客户端更新需要集中管理。大多数用户都已启用Windows Update功能,但是每个用户
27、都从微软官方站点下载更新程序,会占用大量的网络带宽。另外,还有部分用户并未开启Windows Update功能,存在可能招致网络攻击的安全漏洞。二、网络病毒不得不防。网络病毒和攻击是目前最主要的信息安全威胁因素。网络病毒的防御工作绝非一蹴而就,必须从各方面严格防范。通常情况下,大部分用户都安装了杀毒软件和个人防火墙软件,可以起到一定的安全防护作用,但是未能升级病毒库同样可能感染病毒。更严重的是,部分用户不安装任何杀毒软件和防火墙就开始使用,这是非常危险的。三、网络访问控制需求。网络中缺乏严格的访问控制措施,用户只需使用相应的用户账户和密码即可接入网络和访问共享资源,而对客户端系统健康程度没有任
28、何要求和限制。如果接入用户的计算机已经感染病毒,则病毒可能通过网络快速蔓延至整个网络的所有分支。四、远程访问安全的保护。远程接入是该网络中的重要应用之一,用于实现分公司网络到总公司网络的互联。远程访问VPN技术本身就是具有一定的安全性,同时采用隧道和加密等多种技术,但是为了确保远程访问的安全,应加强远程访问的保护与控制。1.6项目规划网络安全与网络应用是相互制约和影响的。网络应用需要安全措施的保护,但是安全措施过于严格,就会影响到应用的易用性。因此,部署网络安全措施之前,必须经过严格的规划。另外,网络安全的管理遍布网络的所有分支,包括设备安全、访问安全、服务器安全。客户端安全等。1.6.1服务
29、器安全规划服务器是企业网络的重要基础,其安全性将直接影响到企业网站以及网络应用的安全,甚至会影响到企业的生存与发展。服务器的大部分应用都是基于网络操作系统等软件实现的,因此,无论是应用程序出错,还是硬件故障都可能导致服务器瘫痪。若想做好服务器安全防护工作,必须从多方面入手。一、服务器硬件安全服务器硬件设备的维护主要包括增加和卸载设备、更换设备、工作环境维护等。因为服务器的运行是不间断的,因此这些维护工作必须在确保服务器正常运行的状态下进行。1、增加内存和硬盘容量。服务器的内存和硬盘都是支持热插拔的,建议增加与原设备同厂商、同型号、同容量的内存或硬盘,避免由于兼容性问题而导致服务器死机。2、定期
30、为服务器除尘。很多服务器故障都是由于内部灰尘导致的,因此建议管员每个月定期拆机打扫一次。3、控制机房温度和湿度。虽然服务器对工作环境的要求比较宽泛,但是当服务器周边环境比较恶劣时同样会降低其处理速度和稳定性。二、操作系统的安全服务器操作系统的安全是指操作系统、应用系统的安全性以及网络硬件平台的可靠性。对于操作系统的安全防范可以采取如下策略。1、对操作系统进行安全配置,提高系统的安全性。系统内部调用不对Internet公开,关键性信息不直接公开,尽可能采用安全性高的操作系统。2、应用系统在开发时,采用规范化的开发过程,尽可能地减少应用系统的漏洞。3、网络上的服务器和网络设备尽可能不采取同一家的产
31、品。4、通过专业的安全工具(安全监测系统)定期对网络系统进行安全评估。三、网络应用服务安全局域网中常用的网络服务包括WWW服务、FTP服务、DNS服务、DHCP服务、Active Directory服务等,随着服务器提供的服务越来越多,系统也容易混乱、安全性也降低,因此就需要对网络服务的相关参数进行设置,以增强其安全性和稳定性。通常情况下,网络应用服务安全可以分为如下4层。1、网络与应用平台安全:主要包括网络的可靠性与生存性。信息系统的可靠性和可用性。网络的可靠性与生存性依靠环境安全、物理安全、节点安全、链路安全、拓扑安全、系统安全等方面来保障。信息系统的可靠性和可用性主要由计算机系统安全性决
32、定。2、应用服务提供安全:主要包括应用服务的可用性与可控性。服务可控性依靠服务接入安全以及服务防否认、服务防攻击、国家对应用服务的管制等方面来保障。服务可用性与承载业务网络可靠性以及维护能力等先关。3、信息存储于传输安全:主要包括信息在网络传输和信息系统存储时的完整性、机密性和不可否认性。信息的完整性可以依靠报文鉴别机制;信息机密性可以依靠加密机制以及密钥分发来保障;信息不可否认性可以依靠数字签名等技术来保障。4、信息内容安全:主要指通过网络应用服务所传递的信息内容不涉及危害国家安全,泄露国家机密或商业秘密,侵犯国家利益、公共利益或公民合法权益,从事违法犯罪活动。1.6.2 客户端安全规划目前
33、,Windows XP和Windows 7是首选客户端操作系统,为了便于统一管理,应将相对固定的客户端计算机加入域,接受域控制器的统一管理。通常情况下,可以从如下5个方面做好客户端计算机的安全防御工作。一、对于加入域的计算机可以通过组策略等工具统一部署安全策略,例如用户账户策略、密码策略、硬件设备安装限制策略等,确保客户端的安全。二、对于未加入域的计算机,应提高用户网络安全的意识,通过设置登录密码、计算机锁定、防火墙等方式,确保系统安全。三、在网络中部署WSUS服务器,负责为所有客户端计算机和服务器提供系统更新,避免系统漏洞的产生。四、在所有客户端上部署Symantec网络防病毒客户端软件,并
34、接受服务器端的统一管理,开启自动更新病毒库功能。五、灵活部署和运用Windows防火墙、Windows Defender等系统集成安全防护程序。1.6.3网络设备安全规划局域网中的网络设备主要包括路由器、交换机和防火墙,分别用于提供不同的网络功能和应用。网络设备的部署方式、工作环境、配置管理等,都可能影响其安全性。一、 网络设备的脆弱性通常情况下,当用户按照组网规划方案购入并部署好网络设备之后,设备中的主要组成系统即可在一段时间内保持相对稳定地运行。但是,网络设备本身就有一定的脆弱性,这也往往会成为入侵者攻击的目标。网络设备的安全脆弱性主要表现在如下5个方面。1.提供不必要的网络服务,提高了攻
35、击者的攻击机会。2.存在不安全的配置,带来不必要的安全隐患。3.不适当的访问控制。4.存在系统软件上的安全漏洞。5.物理上没有得到安全存放,容易遭受临近攻击。针对这些与生俱来的安全弱点,用户可以通过如下措施加固系统安全。1.禁用不必要的网络服务。2.修改不安全的配置。3.利用最小特权原则严格对设备的访问控制。4.及时对系统进行软件升级。5.提供符合IPP(Information Protection Policy,信息保护策略)要求的物理保护环境。二、部署网络安全设备局域网中常见的网络安全设备包括网络防火墙、入侵检测设备、入侵防御设备等。网络防火墙是必不可少的,用于拦截处理来自Internet
36、的各种攻击行为,并且可以隔离内部网络有效避免内部攻击。入侵检测设备只能用于记录入侵行为,局域网中已经很少使用。通常情况下,可以再网络中部署入侵防御系统,保护内部服务器或局域网的安全。三、IOS安全IOS就是智能网络设备的网络操作系统,主要用于提供软件管理平台。IOS与计算机操作系统类似,难免存在系统漏洞,入侵者同样可以通过这些漏洞进入网络设备的IOS,进行各种破坏活动,从而影响网络的正常运行。通常情况下,用户可以从如下6个方面实现网络设备的IOS安全。1、配置登录密码,主要包括Enable密码和Telnet密码,必要时可以以加密方式存储密码,以确保其安全性。2、配置用户访问安全级别,为不同的管
37、理账户赋予不同的访问和管理权限。3、控制终端访问安全,严格控制允许终端连接的数量,以及终端会话超时限制。4、配置SNMP安全。SNMP字符串用于验证用户与交换机的连接,确保其身份的有效性,类似于用户账户和密码。5、及时备份IOS映像,以便出现错误操作或遭遇攻击时可以迅速恢复。6、升级IOS版本。IOS的系统漏洞是不可避免的,用户可以通过安装补丁或升级IOS版本的方法避免由于系统漏洞导致的网络攻击。1.6.4无线准备安全规划无线接入不仅是企业发展的需要,更是企业形象的代表。无线局域网是有线网络的扩展,主要用于移动终端用户提供网络接入。该公司中的AP(Access Point,无线接入点)主要分布
38、在产品展示区和会议室,方面移动用户随时随地访问公司网络。如今,许多笔记本电脑、掌上电脑、手机等提供无线接入功能,在无线网络覆盖范围内“噌网”已经成为一种时尚,对于管理员而言,无线网络安全自然也就成了管理重点。在无线局域网管理中,可以采用如下措施确保网络安全。1、确保桌面计算机和服务器系统实现尽可能的安全。这种保护提高了攻击的门槛,即使攻击者进入了WLAN,仍然很难渗透进用户的计算机。2、启用无线AP和工作站所支持的最强WEP。同时,确保拥有一个强健的WEP密码,这个密码应该符合有线网络中所应用的相同的密码强度规则。3、确保无线网络的网络名称(SSID)不是可以轻松识别的。不要使用公司名称、自己
39、的姓名或者地址作为SSID。4、如果无线AP支持SSID广播,应当关闭。这个措施可以创建一个封闭网络,这样,新的客户端必须在连接之前输入正确的SSID。5、使用IEEE802.1x身份验证协议保护无线网络的安全。6、在网络中部署无线网络控制器,统一管理和部署网络中的所有无线接入点,实时监测网络攻击情况。1.6.5防火墙、IDS、IPS规划在安全性需求较高的网络中,网络安全设备是必不可少的。该公司网络中使用的安全设备包括网络防火墙、IDS和IPS。一、网络防火墙防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。所谓网络边界即采用不同安全策略的两个网络连接处,如用户和Internet
40、之间、同一企业内部同部门之间等。防火墙的目的就是在网络连接之间建立一个安全控制点,通过设定一定的筛选机制来决定允许或拒绝数据包通过,实现对进入网络内部的服务和访问的审计与控制。防火墙是内、外网络数据传输的必经之路。二、IDSIDS是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术,入侵检测技术是为保证计算机系统的安全,而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术。IDS通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。该网络中的IDS部署在服务器区的接入交换机处。IDS能够检测到
41、的攻击类型通常包括:系统扫描(System Scanning)、拒绝服务(Deny of Service)和系统渗透(System Penetration)。IDS对攻击的检测方法主要包括:被动、非在线地发现和实时、在线地发现计算机网络中的攻击者。IDS的主要优势是监听网络流量,但又不会影响网络的性能。作为对防火墙的有益补充,IDS能够帮助网络系统快速发现网络攻击的发生,可开展系统管理员的安全管理能力,包括安全审计、监视、进攻识别和响应等,从而提高了信息安全基础结构的完整性,被认为是继防火墙之后的第二道安全闸门。三、IPS网络中的IPS主要用于拦截和处理传统网络防火墙无法解决的网络攻击,部署在
42、网络中的Internet接入区。传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此,防火墙对于很多入侵攻击仍然无计可施,而绝大多数IDS系统都是被动的,不是主动的,即在攻击实际发生前,往往无法预先发出警报。而入侵防御系统IPS则倾向于提供主动防御,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出报警。IPS是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将其传送到内部系统中。此时,有问题的数据包,以及所有来自同一数
43、据流的后续数据包,都能在IPS中被清除掉。1.6.6局域网接入安全规划NAP技术NAP(Network Access Protection,网络访问保护)是Microsoft在Windows Vista和Windows Server 2008提供的全新系统组件,它可以再访问私有网络时提供系统平台健康校验。NAP平台提供了一套完整性校验的方法来判断接入网络的客户端的健康状态,对不符合健康策略需求的客户端限制其网络访问权限。为了校验网络访问的主机的健康状况,网络架构需要提供如下功能性领域。健康策略认证:判断计算机是否适应健康策略的需求。网络访问限制:限制不适应策略的计算机访问。自动补救:为不适应策
44、略的计算机提供必要的升级,使其适应健康策略。动态适应:自动升级适应策略的计算机以使其可以跟上健康策略的计算机。1.6.7Internet 接入安全规划企业局域网采用共享方式接入Internet,并将硬件防火墙Cisco 5540部署在局域网边缘。为了便于管理客户端Internet接入安全,在硬件防火墙的后面部署了Forefront TMG服务器,可以提供如下功能。一、网络防火墙 TMG服务器提供了灵活的防火墙策略配置,允许管理员根据实际需要制定Internet访问规则,例如限制特定的用户访问Internet、禁止浏览视频网站等。二、Web访问缓存。TMG服务器既是防火墙,又可以作为Web访问代
45、理服务器。管理员可以在TMG服务器上开辟专用于存储客户端请求的Internet数据空间,暂时缓存常用数据。当客户端需要再次访问这些Internet数据时,在局域网中即可完成,提高了客户端的访问效率。三、安全VPN接入功能。通过TMG服务器创建VPN连接,能够很轻松地建立起各种情况下的VPN连接。当本地计算机要和远程计算机通过TMG服务器进行通信时,数据封装好后,将通过VPN进行收发,充分确保通信过程的安全。1.6.8远程接入安全规划目前,最常用的远程访问方式是VPN,主流的安全技术包括SSL VPN和IPSec VPN。SSL VPN应用比较简单,用户无需进行配置,基于Web页面即可实现。IP
46、Sec VPN技术应用比较广泛,不再局限于Web方式,同时由于其安装和配置过程比较复杂,应用难度也比较大。1、IPSec VPN 远程安全接入IPSec VPN 提供了多种安全特性,如数据加密、设备验证、数据完整性、地址隐藏和安全机构(SA)密钥老化等功能。IPSec标准提供数据完整性或数据加密两种功能。数据完整性分两类:128位强度Message Digests(MD-5)-HMAC和160位强度安全散列算法(SHA)-HMAC。由于SHA的强度更大。所以更加安全。2、SSL VPN 远程安全接入SSL VPN 是工作在应用层和TCP层之间的远程接入技术。通常SSL VPN的实现方式是在企业
47、的防火墙后面放置一个SSL代理服务器。如果用户希望安全地连接到公司网络上,那么当用户在浏览器上输入一个URL后,连接将被SSL代理服务器取得,并验证该用户的身份,然后SSL代理服务器将连接映射到不同的应用服务器上。1.6.9网络可靠性规划对于企业网络而言,许多金融、贸易、电子商务等活动都是通过网络完成的,这就要求企业的网络具备很高的可靠性。提高网络可靠性的方法很多,最常见的是冗余和容错。在硬件设备方面,可以通过配置交换机生成树、链路汇聚和链路冗余技术来提高局域网线路连接的可靠性。其中生成树协议可以帮助管理员快速检查网络连接。当住链路发生故障时,确保网络正常工作。链路汇聚技术可以将多条链路聚合为
48、一条干路,还可以提高网络带宽,更重要的是,链路汇聚可以实现负载均衡,从而大大提高了网络的可靠性。局域网接入区域的路由器虽然仅提供路由选择功能,但其重要性也是不容忽视的。可以通过配置路由冗余充分保证Internet连接的可靠性。在软件方面则可以通过服务器群集技术和网络负载均衡技术,来提高重要服务器的可靠性。除此之外,常规的数据备份也是必不可少的,包括服务器角色状态信息备份、服务器系统备份、数据库备份、网络设备配置备份等。第二章:企业网络安全的实际应用一个网络系统的安全建设通常包括许多方面,包括物理安全、数据安全、网络安全、系统安全、安全管理等,而一个安全系统的安全等级,又是按照木桶原理来实现的。
