企业网络安全解决方案的设计.docx
《企业网络安全解决方案的设计.docx》由会员分享,可在线阅读,更多相关《企业网络安全解决方案的设计.docx(47页珍藏版)》请在冰点文库上搜索。
企业网络安全解决方案的设计
绪论
随着迅速变化的商业环境和日益复杂的网络,已经彻底改变了目前从事业务的方式。
尽管企业现在依赖许多种安全技术来保护知识产权,但它们经常会遇到这些技术所固有的限制因素难题。
无论当今的技术标榜有何种能力,它们通常均不能够集中监控和控制其它第三方异构安全产品。
大多数技术都未能证实有至关重要的整合、正常化和关联层,而它们正是有效安全信息管理基础的组成部分。
寻求尖端技术、经验丰富的人员和最佳作法与持续主动进行企业安全管理的坚实整合,是当今所有IT安全专业人士面临的最严峻挑战。
有效的安全信息管理主要关键是要求企业管理其企业安全,并同时在风险与性能改进间做到最佳平衡。
拥有良好的主动企业安全管理不应是我们所有人难以实现的梦想。
通过本企业网络安全技术及解决方案,使企业网络可有效的确保信息资产保密性、完整性和可用性。
本方案为企业局域网网络安全的解决方案,包括原有网络系统分析、网络安全风险分析、安全体系结构的设计等。
本安全解决方案是在不影响该企业局域网当前业务的前提下,实现对局域网全面的安全管理。
(1)将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险。
(2)定期进行漏洞扫描,审计跟踪,及时发现问题,解决问题。
(3)通过入侵检测等方式实现实时安全监控,提供快速响应故障的手段,同时具备很好的安全取证措施。
(4)使网络管理者能够很快重新组织被破坏了的文件或应用。
使系统重新恢复到破坏前的状态,最大限度地减少损失。
(5)在服务器上安装相应的防病毒软件,由中央控制台统一控制和管理,实现全网统一防病毒。
1网络安全概述
1.1网络安全的概念
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
网络安全从其本质上来讲就是网络上的信息安全。
从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。
从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。
从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。
1.2网络安全系统的脆弱性
计算机面临着黑客、病毒、特洛伊木马程序、系统后门和窥探等多个方面安全威胁。
尽管近年来计算机网络安全技术取得了巨大的进展,但计算机网络系统的安全性,比以往任何时候都更加脆弱。
主要表现在他极易受到攻击和侵害,他的抗打击力和防护力很弱,其脆弱性主要表现在如下几个方面。
(1)操作系统的安全脆弱性
操作系统不安全,是计算机系统不安全的根本原因。
(2)网络系统的安全脆弱性
Ø网络安全的脆弱性
使用TCP/IP协议的网络所提供的FTP、E-mail、RPC和NFS都包含许多不安全的因素。
Ø计算机硬件的故障
由于生产工艺和制造商的原因,计算机硬件系统本身有故障,
Ø软件本身的“后门”
软件本身的“后门”是软件公司为了方便自己进入而在开发时预留设置的,一方面为软件调试进一步开发或远程维护提供了方便,但同时也为非法入侵提供了通道,入侵者可以利用“后门”多次进入系统。
常见的后门有修改配置文件、建立系统木马程序和修改系统内核等。
Ø软件的漏洞
软件中不可避免的漏洞和缺陷,成了黑客攻击的首选目标,典型的如操作系统中的BUGS。
(3)数据库管理系统的安全脆弱性
大量信息存储在数据库中,然而对这些数据库系统在安全方面的考虑却很少。
数据库管理系统安全必须与操作系统的安全相配套,例如,DBMS的安全级别是B2级,操作系统的安全级别也应是B2级,但实践中往往不是这样。
(4)防火墙的局限性
防火墙依然存在着一些不能防范的威胁,例如不能防范不经过防火墙的攻击,及很难防范网络内部攻击及病毒威胁等。
(5)天灾人祸
天灾指不可控制的自然灾害,如地震、雷击等。
人祸是指人为因素对计算机网络系统构成的威胁,人祸可分为有意的和无意的,有意的是指人为的恶意攻击、违纪、违法和计算机犯罪。
无意是指误操作造成的不良后果,如文件的误删除、误输入,安全配置不当,用户口令选择不慎,账号泄露或与别人共享。
(6)其他方面的原因
如环境和灾害的影响,计算机领域中任何重大的技术进步,都对安全性构成新的威胁等。
总之,系统自身的脆弱和不足,是造成网络安全问题的内部根源,但系统本身的脆弱性,社会对系统的依赖性这一对矛盾又将促进网络安全技术的不断发展和进步。
1.3网络安全模型
计算机网络系统安全的概念是相对的,每一个系统都具有潜在的危险。
安全具有动态性,需要适应变化的环境,并能作出相应的调整,以确保计算机网络系统的安全。
一个最常见的安全模型就是PDRR模型:
PDRR模型就是4个英文单词的头字符,Protection(防护)、Detection(检测)、Response(响应)、Recovery(恢复)。
这四个部分构成了一个动态的信息安全周期,如图:
图1-1网络安全模型
安全策略的每一部分包括一组相应的安全措施来实施一定的安全功能。
安全策略的第一部分就是防御。
根据系统已知的所有安全问题做出防御的措施,如打补丁、访问控制、数据加密等等。
防御作为安全策略的第一个战线。
安全策略的第二个战线就是检测。
攻击者如果穿过了防御系统,检测系统就会检测出来。
这个安全战线的功能就是检测出入侵者的身份,包括攻击源、系统损失等。
一旦检测出入侵,响应系统开始响应包括事件处理和其他业务。
安全策略的最后一个战线就是系统恢复。
在入侵事件发生后,把系统恢复到原来的状态。
每次发生入侵事件,防御系统都要更新,保证相同类型的入侵事件不能再发生,所以整个安全策略包括防御、检测、响应和恢复,这四个方面组成了一个信息安全周期。
1.4企业局域网的应用
企业的局域网可以为用户提供如下主要应用:
(1)文件共享、办公自动化、WWW服务、电子邮件服务;
(2)文件数据的统一存储;
(3)针对特定的应用在数据库服务器上进行二次开发(比如财务系统);
(4)提供与Internet的访问;
(5)通过公开服务器对外发布企业信息、发送电子邮件等;
2网络系统安全风险分析
这个企业的局域网是一个信息点较多的百兆局域网络系统,它所联接的现有上百个信息点为在整个企业内办公的各部门提供了一个快速、方便的信息交流平台。
不仅如此,通过专线与Internet的连接,打通了一扇通向外部世界的窗户,各个部门可以直接与互联网用户进行交流、查询资料等。
通过公开服务器,企业可以直接对外发布信息或者发送电子邮件。
高速交换技术的采用、灵活的网络互连方案设计为用户提供快速、方便、灵活通信平台的同时,也为网络的安全带来了更大的风险。
因此,在原有网络上实施一套完整、可操作的安全解决方案不仅是可行的,而且是必需的。
企业局域网安全可以从以下几个方面来理解:
1网络物理是否安全;2网络平台是否安全;3系统是否安全;4企业局域网本身是否安全;5与互联网连接是否安全。
针对每一类安全风险,结合实际情况,我们将具体的分析网络的安全风险。
2.1物理安全风险分析
网络的物理安全主要是指地震、水灾、火灾等环境事故,电源故障,人为操作失误或错误,设备被盗、被毁,电磁干扰,线路截获以及高可用性的硬件,双机多冗余的设计,机房环境及报警系统,安全意识等。
它是整个网络系统安全的前提,在这个企业局域网内,由于网络的物理跨度不大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以避免的。
2.2网络平台的安全风险分析
网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。
公开服务器面临的威胁
企业局域网内公开服务器区(WWW、EMAIL等服务器)作为公司的信息发布平台,一旦不能运行后者受到攻击,对企业的声誉影响巨大。
同时公开服务器本身要为外界服务,必须开放相应的服务。
每天,黑客都在试图闯入Internet节点,这些节点如果不保持警惕,可能连黑客怎么闯入的都不知道,甚至会成为黑客入侵其他站点的跳板。
因此,企业局域网的管理人员对Internet安全事故做出有效反应变得十分重要。
我们有必要将公开服务器、内部网络与外部网络进行隔离,避免网络结构信息外泄。
同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其他的请求服务在到达主机之前就应该遭到拒绝。
整个网络结构和路由状况
安全的应用往往是建立在网络系统之上的。
网络系统的成熟与否直接影响安全系统成功的建设。
在这个企业局域网络系统中,只使用了一台路由器,作为与Internet连结的边界路由器,网络结构相对简单,具体配置时可以考虑使用静态路由,这就大大减少了因网络结构和网络路由造成的安全风险。
2.3系统的安全风险分析
所谓系统的安全是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信任。
网络操作系统、网络硬件平台的可靠性:
对于中国来说,恐怕没有绝对安全的操作系统可以选择,无论是Microsoft的WindowsNT或者其他任何商用UNIX操作系统,其开发厂商必然有其Back-Door。
我们可以这样讲,没有完全安全的操作系统。
但是,我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性。
因此,不但要选用尽可能可靠的操作系统和硬件平台,而且必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性。
其次应该严格限制登录者的操作权限,将其操作权限限制在最小的范围内。
2.4来自局域网内部的威胁
(1)应用的安全风险
应用系统的安全是动态的、不断变化的,其结果是安全漏洞也不断增加且隐藏越来越深。
因此,保证应用系统的安全也是一个随网络发展不断完善的过程。
应用的安全性涉及到信息、数据的安全性。
信息的安全性涉及到机密信息泄露、XX的访问、破坏信息完整性、假冒、破坏系统的可用性等。
由于这个企业局域网跨度不大,绝大部分重要信息都在内部传递,因此信息的机密性和完整性是可以保证的。
对于有些特别重要的信息需要对内部进行保密的可以考虑在应用级进行加密,针对具体的应用直接在应用系统开发时进行加密。
(2)管理的安全风险
管理是网络安全中最重要的部分。
责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。
管理混乱使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。
当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。
同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。
所以我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。
建立全新的网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和网络安全解决方案的结合。
(3)不满的内部员工
不满的内部员工可能在WWW站点上开些小玩笑,甚至破坏。
不论如何,他们最熟悉服务器、小程序、脚本和系统的弱点。
例如他们可以传出至关重要的信息、泄露安全重要信息、错误地进入数据库、删除数据等等。
2.5来自互联网的威胁
(1)黑客攻击
黑客们的攻击行动是无时无刻不在进行的,而且会利用系统和管理上一切可能利用的漏洞。
公开服务器存在漏洞的一个典型例证,是黑客可以轻易地骗过公开服务器软件,得到服务器的口令文件并将之送回。
黑客侵入服务器后,有可能修改特权,从普通用户变为高级用户,一旦成功,黑客可以直接进入口令文件。
黑客还能开发欺骗程序,将其装入服务器中,用以监听登录会话。
当它发现有用户登录时,便开始存储一个文件,这样黑客就拥有了他人的帐户和口令。
这时为了防止黑客,需要设置公开服务器,使得它不离开自己的空间而进入另外的目录。
另外,还应设置组特权,不允许任何使用公开服务器的人访问WWW页面文件以外的东西。
在这个企业的局域网内我们可以综合采用防火墙技术、入侵检测技术、访问控制技术来保护网络内的信息资源,防止黑客攻击。
(2)恶意代码
恶意代码不限于病毒,还包括蠕虫、特洛伊木马、逻辑炸弹和其他未经同意的软件。
所以应该加强对恶意代码的检测。
(3)病毒的攻击
计算机病毒一直是计算机安全的主要威胁。
病毒不是独立存在的,它隐蔽在其他可执行的程序之中,既有破坏性,又有传染性和潜伏性。
轻则影响机器运行速度,使机器不能正常运行,重则使机器处于瘫痪,会给用户带来不可估量的损失。
能在Internet上传播的新型病毒,例如通过E-Mail传播的病毒,增加了这种威胁的程度。
2.6网络的攻击手段
一般认为,目前对网络的攻击手段主要表现在:
非授权访问:
没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。
信息泄漏或丢失:
指敏感数据在有意或无意中被泄漏出去或丢失,通常包括信息在传输中或者存储介质中丢失、泄漏,或通过建立隐蔽隧道窃取敏感信息等。
破坏数据完整性:
以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意修改数据,以干扰用户的正常使用。
拒绝服务攻击:
它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
利用网络传播病毒:
通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。
3企业局域网的安全设计方案
本公司有100台左右的计算机,主要使用网络的部门有:
生产部(20)、财务部(15)、人事部(8)和信息中心(12)四大部分,如图3.1所示。
网络基本结构为:
整个网络中干部分采用3台Catalyst1900网管型交换机(分别命名为:
Switch1、Switch2和Switch3,各交换机根据需要下接若干个集线器,主要用于非VLAN用户)、一台Cisco2514路由器,整个网络都通过路由器Cisco2514与外部互联网进行连接。
图3.1企业局域网的安全设计方案
3.1企业局域网安全设计的原则
企业局域网网络系统安全方案设计、规划时,应遵循以下原则:
综合性、整体性原则:
应用系统工程的观点、方法,分析网络的安全及具体措施。
安全措施主要包括行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。
一致性原则:
一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。
易操作性原则:
安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。
其次,措施的采用不能影响系统的正常运行。
分步实施原则:
由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。
一劳永逸地解决网络安全问题是不现实的。
同时由于实施信息安全措施需要相当的费用支出。
因此分步实施,既可满足网络系统及信息安全的基本需求,亦可节省费用开支。
多重保护原则:
任何安全措施都不是绝对安全的,都可能被攻破。
但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
可评价性原则:
如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。
3.2安全服务、机制与技术
安全服务:
控制服务、对象认证服务、可靠性服务等;
安全机制:
访问控制机制、认证机制等;
安全技术:
防火墙技术、病毒防治技术、攻击检测技术、审计监控技术等;
在安全的开放环境中,用户可以使用各种安全应用。
安全应用由一些安全服务来实现,而安全服务又是由各种安全机制或安全技术来实现的。
应当指出,同一安全机制有时也可以用于实现不同的安全服务。
3.3企业局域网安全配置方案
3.3.1物理安全技术
保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提,它主要包括三个方面:
环境安全:
对系统所在环境的安全保护,如区域保护和灾难保护;
设备安全:
主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;
媒体安全:
包括媒体数据的安全及媒体本身的安全。
3.3.2路由器安全配置
作为企业局域网与外部Internet互联网络连接的第一关,路由器的配置是很重要的,既要保证网络的畅通,也不能忽略网络的安全性而只取其一(我们所使用的是Cisco2514路由器),因此,除了对路由器与Internet外网连接配置外,我们对路由器还采用了如下安全配置:
(1)路由器网络服务安全配置
a、禁止CDP(CiscoDiscoveryProtocol)。
Router(Config)#nocdprun
Router(Config-if)#nocdpenable
b、禁止其他的TCP、UDPSmall服务。
Router(Config)#noservicetcp-small-servers
Router(Config)#noserviceudp-small-servers
c、禁止Finger服务。
Router(Config)#noipfinger
Router(Config)#noservicefinger
d、禁止HTTP服务。
Router(Config)#noiphttpserver
启用了HTTP服务则需要对其进行安全配置:
设置用户名和密码,采用访问列表进行控制。
e、禁止BOOTP服务。
Router(Config)#noipbootpserver
f、禁止IPSourceRouting。
Router(Config)#noipsource-route
g、禁止IPDirectedBroadcast。
Router(Config)#noipdirected-broadcast
h、禁止IPClassless。
Router(Config)#noipclassless
i、禁止ICMP协议的IPUnreachables,Redirects,MaskReplies。
Router(Config-if)#noipunreacheables
Router(Config-if)#noipredirects
Router(Config-if)#noipmask-reply
j、明确禁止不使用的端口。
Router(Config)#interfaceeth0/3
Router(Config)#shutdown
(2)路由器路由协议安全配置
a、启用IPUnicastReverse-PathVerification。
它能够检查源IP地址的准确性,从而可以防止一定的IPSpooling。
b、配置uRPF。
uRPF有三种方式,strict方式、ACL方式和loose方式。
在接入路由器上实施时,对于通过单链路接入网络的用户,建议采用strict方式;对于通过多条链路接入到网络的用户,可以采用ACL方式和loose方式。
在出口路由器上实施时,采用loose方式。
Strict方式:
Router#configt
!
启用CEF
Router(Config)#ipcef
!
启用UnicastReverse-PathVerification
Router(Config)#interfaceeth0/1
Router(Config-if)#ipverifyunicastreverse-path
ACL方式:
interfacepos1/0
ipverifyunicastreverse-path190
access-list190permitip{customernetwork}{customernetworkmask}any
access-list190denyipanyany[log]
这个功能检查每一个经过路由器的数据包的源地址,若是不符合ACL的,路由器将丢弃该数据包。
Loose方式:
interfacepos1/0
ipverunicastsourcereachable-viaany
这个功能检查每一个经过路由器的数据包,在路由器的路由表中若没有该数据包源IP地址的路由,路由器将丢弃该数据包。
2启用OSPF路由协议的认证。
默认的OSPF认证密码是明文传输的,建议启用MD5认证。
并设置一定强度密钥(key,相对的路由器必须有相同的Key)。
c、RIP协议的认证。
只有RIP-V2支持,RIP-1不支持。
建议启用RIP-V2。
并且采用MD5认证。
普通认证同样是明文传输的。
d、启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口。
建议对于不需要路由的端口,启用passive-interface。
但是,在RIP协议是只是禁止转发路由信息,并没有禁止接收。
在OSPF协议中是禁止转发和接收路由信息。
e、启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流。
如:
Router(Config)#access-list10deny172.18.124.0255.255.255.0
Router(Config)#access-list10permitany
!
禁止路由器接收更新172.18.124.0网络的路由信息
Router(Config)#routerospf100
Router(Config-router)#distribute-list10in
!
禁止路由器转发传播172.18.124.0网络的路由信息
Router(Config)#routerospf100
Router(Config-router)#distribute-list10out
(3)路由器其他安全配置
a、IP欺骗简单防护。
如过滤非公有地址访问内部网络。
过滤自己内部网络地址;回环地址(172.0.0.0/8);RFC1918私有地址;DHCP自定义地址(169.254.0.0/16);科学文档作者测试用地址(192.0.2.0/24);不用的组播地址(224.0.0.0/4);SUN公司的古老的测试地址(20.20.20.0/24;204.152.64.0/23);全网络地址(0.0.0.0/8)。
Router(Config)#access-list100denyip172.0.0.00.255.255.255any
Router(Config)#access-list100denyip172.18.124.0255.255.255.0any
Router(Config)#access-list10
升级会员 