《内网计算机安全技术解决方案.ppt》由会员分享,可在线阅读,更多相关《内网计算机安全技术解决方案.ppt(19页珍藏版)》请在三一办公上搜索。
1、内网计算机安全技术解决方案,1、注意内网安全与网络边界安全的不同,内网安全的威胁不同于网络边界的威胁。网络边界安全技术防范来自Internet上的攻击,主要是防范来自公共的网络服务器如HTTP或SMTP的攻击。网络边界防范(如边界防火墙系统等)减小了资深黑客仅仅只需接入互联网、写程序就可访问企业网的几率。内网安全威胁主要源于企业内部。恶性的黑客攻击事件一般都会先控制局域网络内部的一台Server,然后以此为基地,对Internet上其他主机发起恶性攻击。因此,应在边界展开黑客防护措施,同时建立并加强内网防范策略。,2、限制VPN的访问,虚拟专用网(VPN)用户的访问对内网的安全造成了巨大的威胁
2、。因为它们将弱化的桌面操作系统置于企业防火墙的防护之外。很明显VPN用户是可以访问企业内网的。因此要避免给每一位VPN用户访问内网的全部权限。这样可以利用登录控制权限列表来限制VPN用户的登录权限的级别,即只需赋予他们所需要的访问权限级别即可,如访问邮件服务器或其他可选择的网络资源的权限。,3、为合作企业网建立内网型的边界防护,合作企业网也是造成内网安全问题的一大原因。例如安全管理员虽然知道怎样利用实际技术来完固防火墙,保护MS-SQL,但是Slammer蠕虫仍能侵入内网,这就是因为企业给了他们的合作伙伴进入内部资源的访问权限。由此,既然不能控制合作者的网络安全策略和活动,那么就应该为每一个合
3、作企业创建一个DMZ,并将他们所需要访问的资源放置在相应的DMZ中,不允许他们对内网其他资源的访问。,4、自动跟踪的安全策略,智能的自动执行实时跟踪的安全策略是有效地实现网络安全实践的关键。它带来了商业活动中一大改革,极大的超过了手动安全策略的功效。商业活动的现状需要企业利用一种自动检测方法来探测商业活动中的各种变更,因此,安全策略也必须与相适应。例如实时跟踪企业员工的雇佣和解雇、实时跟踪网络利用情况并记录与该计算机对话的文件服务器。总之,要做到确保每天的所有的活动都遵循安全策略。,5、关掉无用的网络服务器,大型企业网可能同时支持四到五个服务器传送e-mail,有的企业网还会出现几十个其他服务
4、器监视SMTP端口的情况。这些主机中很可能有潜在的邮件服务器的攻击点。因此要逐个中断网络服务器来进行审查。若一个程序(或程序中的逻辑单元)作为一个window文件服务器在运行但是又不具有文件服务器作用的,关掉该文件的共享协议。,6、首先保护重要资源,若一个内网上连了千万台(例如30000台)机子,那么要期望保持每一台主机都处于锁定状态和补丁状态是非常不现实的。大型企业网的安全考虑一般都有择优问题。这样,首先要对服务器做效益分析评估,然后对内网的每一台网络服务器进行检查、分类、修补和强化工作。必定找出重要的网络服务器(例如实时跟踪客户的服务器)并对他们进行限制管理。这样就能迅速准确地确定企业最重
5、要的资产,并做好在内网的定位和权限限制工作。,7、建立可靠的无线访问,审查网络,为实现无线访问建立基础。排除无意义的无线访问点,确保无线网络访问的强制性和可利用性,并提供安全的无线访问接口。将访问点置于边界防火墙之外,并允许用户通过VPN技术进行访问。,8、建立安全过客访问,对于过客不必给予其公开访问内网的权限。许多安全技术人员执行的“内部无Internet访问”的策略,使得员工给客户一些非法的访问权限,导致了内网实时跟踪的困难。因此,须在边界防火墙之外建立过客访问网络块。,9、创建虚拟边界防护,主机是被攻击的主要对象。与其努力使所有主机不遭攻击(这是不可能的),还不如在如何使攻击者无法通过受
6、攻击的主机来攻击内网方面努力。于是必须解决企业网络的使用和在企业经营范围建立虚拟边界防护这个问题。这样,如果一个市场用户的客户机被侵入了,攻击者也不会由此而进入到公司的R&D。因此要实现公司R&D与市场之间的访问权限控制。大家都知道怎样建立互联网与内网之间的边界防火墙防护,现在也应该意识到建立网上不同商业用户群之间的边界防护。,10、可靠的安全决策,网络用户也存在着安全隐患。有的用户或许对网络安全知识非常欠缺,例如不知道RADIUS和TACACS之间的不同,或不知道代理网关和分组过滤防火墙之间的不同等等,但是他们作为公司的合作者,也是网络的使用者。因此企业网就要让这些用户也容易使用,这样才能引
7、导他们自动的响应网络安全策略。另外,在技术上,采用安全交换机、重要数据的备份、使用代理网关、确保操作系统的安全、使用主机防护系统和入侵检测系统等等措施也不可缺少,保护电子邮件正常通信的措施,一、垃圾邮件,症状:经常收到不明来历的信件骚扰,或常有虚假广告。更有夹带病毒、特洛伊木马程序之类性质比较恶劣的邮件。预防措施:1、尽量不要随便公布自己的信箱地址,尤其是ISP信箱,即使要公开,也得做些手脚。比如Bill#,加了“#”这类符号可逃过专业邮件地址分离器的搜索,对方也看得懂。2、在E-mail客户端软件中设置过滤条件,屏蔽掉那些常见的垃圾邮件。3、启用专门的防垃圾邮件工具,如Spam Attack
8、 Pro、Spam killer,对付垃圾邮件是很有效的。,二、邮件“炸弹”,症状:某人往你的信箱扔大量的信件,以致超出你信箱的最大容量,最终导致信箱瘫痪。预防措施:1、不要在公共场合(如聊天室、新闻组)出言不逊与人结怨,这往往是招来报复性“轰炸”的重要原因。2、对E-mail客户端软件进行相应设置,使所收信件超过一定大小时,就从服务器删除。3、当发觉自己的信箱已经被炸后,可以用特殊的工具软件进行删除,或者请系统管理员帮忙清除。如果是免费信箱,你也可以放弃,再重新申请一个,只是用户名得改了。,三、邮件乱码,症状:打开邮件后,正文显示乱码字符。预防措施:1、从自身做起,对E-mail客户端软件进
9、行合理设置。如将发信编码设置为7位,避免有些邮件服务器截掉第8位。2、以附件形式发送,在正文处用英文提示收信者查阅附件即可。3、安装专业的解码软件。如安装南极星之类的多内码转换平台,即可正常查看日文、韩文、BIG5码等。,许多入侵者首先会Ping一下你的机子,如看到TTL值为 128就认为你的系统为Windows NT/2000;如果TTL值为32则认为目标主机操作系统为Windows 95/98;如果TTL值为255/64就认为是UNIX/Linux操作系统。既 然入侵者相信TTL值所反映出来的结果,那么我们只要修改TTL 值,入侵者就无法入侵电脑了。,操作步骤:,1.打开“记事本”程序,编
10、写批处理命令echo REGEDIT4ChangeTTL.regecho.ChangeTTL.reg echo HKEY_LOCAL_MACHlNESystemCurrentControlSetServicesTcpipParametersChangeTTL.reg echo DefaultTTL=dword:000000ChangeTTL.reg REGEDIT/S/C ChangeTTL.reg,2.把编好的程序另存为以.bat为扩展名的批处理文件,点击这个文件,你的操作系统的缺省TTL值就会被修改为ff,即 10进制的255,也就是说把你的操作系统人为地改为UNIX系统了。同时,在该文件
11、所在的文件夹下会生成一个名为 ChangeTTL.reg 的注册表文件。如果你想运行完这个批处理文件而不产生 ChangeTTL.reg文件,可以在此批处理文件的最后一行加上 deltree/Y ChangeTTL.reg,就可以无须确认自动删除ChangeTTL.reg文件。,说明:在上面的命令中,echo是DOS下的回显命令,如 果想看到程序执行过程,请将“”去掉。“”产生的内容将追加到它后面的文件即ChangeTTL.reg中。而“DefaultTTL=dword000000ff”则是用来设置系统缺省TTL 值的,如果你想将自己的操作系统的TTL值改为其他操作系统的 ICMP回显应答值,请改变“DefaultTTL”的键值,要注意将 对应操作系统的TTL值改为十六进制才可以。,
