中小企业网络安全设计研究喻斌 第三稿讲解.docx
《中小企业网络安全设计研究喻斌 第三稿讲解.docx》由会员分享,可在线阅读,更多相关《中小企业网络安全设计研究喻斌 第三稿讲解.docx(20页珍藏版)》请在冰豆网上搜索。
中小企业网络安全设计研究喻斌第三稿讲解
湖北大学成人高等教育
毕业论文
题目:
中小企业网络安全设计研究
学号_______15440006____________
姓名________喻斌_______________
专业______计算机应用___________
学制_______两年半_______________
类别_______专科________________
年月日
湖北大学成人教育学院制
中小企业网络安全设计研究
[摘要]现今计算机网络飞速发展,计算机网络在中小企业中的运用也越来越多。
但日益突出的网络安全问题也给中小企业企业生产带来安全隐患,甚至因为网络安全事故使企业遭受严重的损失。
为了实现提高企业网络安全性,就要改善并提高企业内部网络的安全性。
本论文介绍中小企业原有的网络,并以此为基础讨论原有内部网络安全出现的问题,然后针对不同的问题,分别从病毒防治、垃圾邮件过滤、防火墙架设和访问控制权限等方面提出了改善方案;改善方案还包括了系统设置、软硬件选用和管理等方面的内容。
[关键词]网络安全安全技术网络环境
1前言
随着信息技术的迅猛发展以及计算机网络的普及,信息化浪潮日益高涨,计算机网络已无处不在。
然而科学技术的飞速发展也是一把双刃剑,网络技术给我们带来了社会经济效益和各种便利的同时,也潜伏着巨大威胁。
企业网络面临的主要威胁来自于人为因素和运行环境的影响,其中包括网络设备的不安全因素和对网络信息的威胁,主要表现为黑客入侵、病毒破坏、非法授权访问,拒绝服务攻击、截获以及修改网络系统通信数据等。
近几年来国内外网络被侵害和攻击的数量以及程度都呈急剧上升的势态,给企业带来了巨大的损失。
与时俱进,密切关注网络中的各种威胁、系统漏洞和安全技术产品的最新动向,做到新威胁到来时能提前预防。
本论文首先针对本公司内部网络安全现状进行全面的分析,提出并制订出适合本公司网络环境的合理解决方案。
2中小企业网络安全现状
某中小企业现有的网络拓扑结构如图2-1所示。
两台Catlyst6509以及使用磁盘阵列备份两台HP小型机构成了整个网络的核心层。
行政楼1至6层、制造中心、成品库、材料库、备件库的计算机通过交换机和集线器设备接入局域网,构成中小企业局域网的接入层。
中小企业的局域网已经接入Internet,并且能够提供Web、DNSF/TP和代理等网络服务。
图2-1中小企业网络拓扑结构
在网络安全方面,部署了Cisco的防火墙PIX525,把网络划分为若干个网段。
其中,提供Internet网络服务的计算机为DMZ2区,是一个网段,远程访问层为DMZ1区,局域网的核心层与接入层为内部网段。
单一防火墙的部署在一定程度上保证了局域网的安全,不同的网段实施不同的安全策略。
此外,还在局域网中部署了病毒防杀系统。
3中小企业网络安全存在的问题分析
3.1物理安全的风险分析
中小企业设有独立的机房,与企业内其他区域物理隔离。
有防静电/防雷保护措施,机房内部有独立的湿度和温度调控设备。
主要的网络设备都集中在机房内统一管理,并制定了针对机房管理的物理与环境安全管理规定。
但是在评估中还是发现存在以下风险问题:
1)机房内虽然配备了独立的UPS电源以及紧急照明系统,但后备电池老化,能够提供的持续续航时间不够。
经过测算,在突然断电的情况下UPS系统仅能提供约11分钟的电源支持,无法保障机房内各种网络设备连续稳定运行的要求,甚至存在无法及时关闭设备比如应用系统的服务器,造成设备损坏和数据丢失的重大风险。
2)虽然中小企业设有与外界空间分隔的独立机房,但是并没有对人员访问机房加以限制,非网络中心人员或非授权人员可以很轻松的进出机房,如果有不满的内部员工私自进入机房,可能会对机房内的网络设备进行破坏,或者非法操作服务器进行机密信息的窃取,存在安全风险。
3.2网络安全的风险分析
在中小企业中网络安全风险主要集中在网络边界、数据传输和网络运行等三个方面。
3.2.1网络边界的安全风险
1)中小企业内部局域网和集团数据中心网络相连接,这两者之间网络边界没有有效的安全保护措施,如果集团数据中心的网络发生网络攻击或者病毒感染,很容易影响到中小企业内部局域网,反之亦然,因此这个网络边界存在安全风险;
2)中小企业内部局域网和Internet互联网相连,并对外公开WEB服务器和邮件服务器,因此必然会面对来自Internet的各种网络入侵和攻击行为,比如端口扫描、特洛伊木马、网络监听、密码破解、缓冲区溢出攻击、拒绝服务攻击和病毒入侵等。
虽然在这个网络边界部署了硬件防火墙,但是防火墙是基于包过滤技术的安全技术,只能检测并阻止有问题的数据包通过,但不能自动识别入侵行为,在某些状况下有用的数据包也会被阻止。
因此存在单纯依赖防火墙,不能有效检测和防御来自Internet的多种攻击行为。
3)来自Internet互联网的用户需要访问WEB服务器和邮件服务器,这些外部服务器将面对网络入侵或者黑客攻击。
目前中小企业没有将这些外部服务器和用于内部网络的服务器区分开来,如果它们被攻破,攻击者将通过它们访问到企业内部网络上的其他资源,后果将无法设想。
3.2.2数据传输的安全风险
1)中小企业目前在内部局域网部署了一台Windows2003的VPN服务器,供出差人员和分支机构人员通过VPN的方式远程访问内部局域网。
这种方式可以对数据的传输和内部局域网的安全有一定的安全保护,但是如果VPN账号或密码被盗用,入侵者将通过这一途径入侵到内部网络,将对内部网络的安全造成极大的威胁。
2)外部用户(比如特许维修商)在使用企业WEB网站提供的服务时(比如产品维修信息查询等),与服务器之间的通信没有采取安全保护措施,容易被黑客窃听,截取或篡改,将造成相关数据泄露或者被破坏。
3.2.3网络运行的安全风险
1)通过扫描工具发现交换机上有不安全端口存在的情况,包括23端口(远程登录,入侵者如果利用其他技术获得密码的话,可以通过该端口远程登录到设备的操作系统,木马TinyTelnetServer就开放这个端口)、79端口(入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其他机器Finger扫描)等,如果内部有不满员工利用网络攻击工具,可以发起对交换机等设备的远程控制、缓存区溢出、拒绝访问等形式的网络工具,对网络安全运行带来威胁。
2)在网络的主干通信链路上,核心交换机和汇聚层交换机都各只有一台,当其发生故障或者断电时,没有设备进行及时替换,存在由于单点故障(singlepointfailure)造成网络信息交换速度下降甚至瘫痪的风险。
本文针对中小企业目前面临的最紧迫的网络安全问题设计了本方案,即从病毒防治、垃圾邮件过滤、防火墙构建、防问权限等方面设计安全解决方案。
至于其它安全威胁(例如数据保密性和完整性的破坏等等)问题的解决,将在中小企业以后的信息安全建设中进行。
3.3应用安全的风险分析
3.3.1数据存储的安全
中小企业的应用系统(包括生产控制系统和ERP系统)数据对于企业至关重要,如果这些数据安全性将影响到企业的日常经营管理活动。
比如产品生产信息的丢失将直接影响到产品售后维修的开展。
当系统出现故障(比如软件故障、硬件故障、网络故障等)时可能会影响到数据库系统中数据的正确性,甚至造成数据库被破坏,使数据部分或全部丢失,这时就需要能够及时完整的重建整个数据库系统,进行数据库的数据恢复。
目前中小企业的这些数据都存储在相应服务器中,虽然这些服务器的本地硬盘都采用了RAID5冗余的磁盘阵列,并使用磁带机作日常数据备份,但是当服务器本身出现CPU或者2块以上的磁盘故障时,可能会造成本地磁盘中数据的部分或全部丢失,需要从磁带机中恢复数据,造成系统恢复时间过长。
因此应用系统的数据需要从本地磁盘阵列中存贮到其他安全的位置,实现数据的容灾。
3.3.2应用系统的安全
中小企业的应用系统主要包括生产控制系统和ERP系统。
这些应用系统都是C/S结构,由第三方软件公司定制开发或者直接购买商业软件包。
这些软件在设计和编码时可能由于软件开发商的疏忽存在系统漏洞或者“后门”,对应用系统的运行带来安全隐患。
中小企业员工在使用过程中对账户密码管理的安全意识不够,使用简单易破解密码或随意向他人泄露密码,可能造成对应用系统的非授权访问,带来机密信息或者数据的泄露。
4中小企业网络安全的总体设计方案
4.1中小企业网络安全方案的设计原则
通过网络安全管理技术和网络安全管理制度的有机结合,保证中小企业网络的安全、稳定运行,整个网络安全解决方案遵循的设计原则包括:
1)全面综合考虑的原则:
中小企业网络安全性的设计应当从网络整体的角度来看待。
在整个设计过程中,必须从全方位、多层次进行考虑,制定好相应的网络安全整体策略,以确保整个网络的安全。
2)需求、风险、代价平衡的原则
对任何网络来说,都不能保证绝对的安全,它也是不必要的。
对中小企业网络中存在的威胁和风险采取定量与定性相结合的方式,加以分析,找出薄弱环节,确定安全策略,制订规范化的具体措施。
3)有效性和实用性原则
中小企业制订的网络安全策略应当尽量简单易实现。
安全策略太过复杂对网络安全技术的要求也就越高,这会造成配置和维护的难度,反而会对企业网络带来不安全性。
另一方面,采用的策略不能对网络系统运行产生影响,特别是一些实事性要求很高的业务是不能容能安全连接和安全处理造成的延时。
4.2中小企业网络安全方案的设计目标
中小企业的网络安全建设的具体目标是:
1)通过UPS电源系统的更新和出入机房的控制,加强中小企业网络物理环境的稳定性和安全性;
2)利用网络分隔手段将中小企业内部局域网与外部网络(包括Internet和集团数据中心网络)进行安全隔离,同时还需要加强WEB,Mail等对外公开服务器的保护措施,防止这些公开服务器被攻破后,攻击者可能对中小企业内部网络进行的非法访问;
3)确保中小企业网络边界的安全,对来自Internet的网络攻击行为能及时检测并进行主动防御;
4)中小企业出差人员和分支机构在通过Internet远程访问企业内部网时要确保数据传输的安全性和身份的有效性;
5)加强中小企业内部局域网的管理,按照安全等级将网络划分成若干子网,并通过访问控制策略,限制各个子网之间的互访,重点保护生产子网和服务器子网;
4.3中小企业网络安全方案的安全策略
结合对中小企业网络系统安全风险和安全需求的分析,根据网络安全解决方案的设计原则和目标,确定了网络安全策略。
具体分析和说明如下:
1)机房的物理环境应既要符合国家相关标准的要求,同时也要满足企业生产与经营活动的要求。
机房的供电系统能满足机房内部设备和网络7*24的稳定和持续运行;
2)为保证网络的可用性,避免由于单点故障引起的网络运行速度下降或者网络瘫痪,需要对核心的网络设备做冗余备份,对主交换机采用双机热备的方式实现线路冗余,均衡负载;
3)对关键应用系统的服务器采用双机热备的主机集群技术实现冗余;
4)内部局域网不能直接与Internet互联网相连。
为防止来自Internet的网络攻击,非法入侵,黑客攻击,病毒等,需要在内部局域网和Internet互联网的网络边界进行安全隔离,需要采用防火墙和入侵检测或入侵防御技术双层安全机制保障网络边界;
4)把原有的服务器分隔成内部服务器和外部服务器,外部服务器包括WEB服务器、Mail服务器等对外开放的服务器,将这些外部服务器部署在防火墙的DMZ区中,通过外部服务器和内部网络的分隔,实现对内部网络的保护;
5)内部局域网不能直接与集团数据中心的骨干网相连。
虽然集团数据中心的骨干网也属于安全级别很高的系统,但是也存在来自集团内部的非法入侵,黑客攻击,病毒扩散等问题发生的可能性,因此也需要在这个网络边界进行安全隔离,需要采用防火墙技术来保障网络边界的安全;
6)为实现安全的远程访问,需要采用安全加密的通道技术,比如VPN在网络边界的硬件防火墙上进行VPN的配置。
4.4网络安全解决方案的设计与实现
通过建立符合中小企业实际情况的安全策略,综合运用防护工具,利用检测工具了解和评估信息系统的安全状态,通过适当的反应将信息系统调整到相对最安全和风险最低的状态,同时利用预定的恢复方案将灾难所带来的损失降低到最低。
中小企业网络安全体系结构图如下图4-1所示:
图4-1中小企业网络安全体系结构图
策略部分内容包括:
通过网络物理环境策略、防火墙策略、入侵检测与防御策略、数据传输加密策略、通信链路冗余策略、Vlan权限划分策略、防病毒策略、数据备份与恢复策略、安全管理策略等一系列安全策略的应用,指导网络安全技术的在中小企业网络系统中的应用;
防护部分内容包括:
通过机房和UPS的改善,加强网络物理环境的防护;通过在网络边界部署防火墙、入侵防御系统实现对网络边界的防护;通过VPN技术实现对数据传输的防护;通过在内部网络划分VLAN子网,实现内部网络的安全防护;通过对交换机和应用系统服务器主机的热备,实现通过网络防病毒系统加强整个网络防病毒的能力;
检测部分内容包括:
利用网络边界的入侵防御系统的检测功能对外部网络的各种攻击进行检测和防御,同时利用内部网络中的入侵检测系统,实现对内部网安全威胁行为的检测;
响应部分内容包括:
根据安全策略的指导,利用入侵检测系统和入侵防御系统的联动,发现并及时截断可疑攻击,并启动和记录相关报警信息;当通信链路或关键应用服务器主机出现单点故障时,利用双机热备设备快速响应,保证业务的连续性;
恢复部分内容包括:
利用数据容灾系统,当出现灾难时,及时启用应急响应恢复机制实现应用系统的快速恢复,保证业务的连续性。
结合前文所作的中小企业安全需求分析和制定的安全策略,除去已经中小企业已经实现的网络防病毒系统和身份认证系统,分别进行如下几个方面的安全设计,并加以实现。
4.4.1机房物理环境的安全设计
针对中小企业网络在物理和环境上的存在的安全风险和安全需求,按照国家相关标准,结合企业实际状况,主要从以下两个方面进行设计和实现
1)保持原有的APCUPS系统不变,更换和新增后备电池组,提高UPS系统的续航供电时间。
增加UPS供电系统的远程报警功能,在出现停电、电压不稳等供电异常情况后能及时通过电话/短信的方式及时通知网络管理人员。
同时在一台服务器上安装APCPowerCuteUPS软件,实现对UPS运行状态的远程管理。
安装后的软件界面图4-2如下:
图4-2UPSPowercute配置图
2)在网络机房增加基于IC卡的门禁系统,保证机房的访问安全。
在机房入口安装监控摄像头,实时记录机房的进出状况,方便将来的查询和取证。
4.4.2防火墙系统的部署
4.4.2.1防火墙的设计
通过前面的企业安全需求分析可以知道,中小企业在内部局域网和Internet互联网的网络边界上,需要对外部网络用户访问WEB服务器和邮件服务器进行限制,对外部网络用户访问VPN进行限制、对内部网络用户访问互联网进行限制;同时在内部局域网和集团数据中心网络的网络边界上,需要对来自对来之集团网络的访问进行限制。
结合防火墙知识,需要在与Internet相连的网络边界部署屏蔽子网的防火墙,将对外提供服务的服务器放置在被屏蔽的DMZ区域中,保护对内部局域网不受Internet的攻击;同时也需要在与集团数据中网络相连的网络边界部署防火墙,通过使用防火墙,访问策略的限制,禁止或允许指定的数据传输,限制XX的访问,从而确保企业内部局域网的安全。
通过在两个网络边界分别部署防火墙来保护内部局域网的安全。
中小企业原有的Netscreen204硬件防火墙拥有三个端口-Trusted、DMZ和Untrusted,通过访问控制策略的配置,可以很方便的实现DMZ,同时有效阻止来之Internet的网络攻击。
因此在这一网络边界沿用Netscreen204硬件防火墙,并将其配置成DMZ模式。
另外相对于与Intenet相连接网络边界,与集团数据中心网络相连网络边界在安全需求上要低一些,因此部署一台Netscreen25硬件防火墙,采用路由模式,实现网络的隔离,通过访问策略,管理内部局域网和集团网络之间的访问连接。
具体部署示意图如下图4-3所示。
图4-3防火墙部署示意图
4.4.3VPN的部署
4.4.3.1VPN的设计
中小企业原先使用的是一台Windows2003的VPN服务器。
由于Windows2003操作系统本身存在安全漏洞,容易被病毒感染,因此这种软件方式的VPN在运作时不稳定,存在安全风险。
中小企业的远程访问服务主要的使用者是出差人员和分支机构的办公人员,同时访问的最大并发数在50左右。
这些人员使用公司统一配发的电脑,先通过ADSL的网络连入到Internet再在远程接入企业的网络,主要使用电子邮件,WEB服务器以及企业内部ERP等应用系统,其中WEB服务基于B/S结构,ERP系统基于C/S结构,因此要求VPN系统能同时支持。
除了要实现稳定的加密数据传输的要求外,使用的方便,易于管理也是需要考虑的重要因素。
根据以上的分析,同时考虑到中小企业对VPN访问需要进行安全审计,选择Juniper公司的SA2000硬件SSLVPN来实现远程访问。
SA2000具有以下特点:
1)最大可以支持100个SSLVPN并发连接。
2)支持多种常用的认证服务器的支持,如RADIUS、LDAP、WindowsNTDomain、
ActiveDirectory、UNIXNIS、dualfactor认证,包括ActivCardActivPack、RSASecurID以及X.509客户端数字证书等,同时也可在设备上建立本地用户数据库,用作身份认证。
3)JuniperSA2000设备支持J.E.D.I的主机检测,在客户端登录之前,对客户端检查数字签名、源IP地址、进程等进行检查,确保客户端接入设备的最大安全。
并且可以根据客户安全检查的成功与否,给予不同的访问权限。
4)管理人员可以在SA2000上统一规划远程用户需要访问的资源,从而建立一个统一的用户登录界面和使用界面。
5)支持B/S和C/S应用单店登陆,可以进行精细的颗粒化权限管理,不同的人员设置不同的权限,这样当用户远程接入内网所呈现的应用系统各异,从而保护企业内部网络敏感数据的安全性。
4.4.3.2VPN的实现和配置
如图4-4所示,将SA2000部署在防火墙置之后,以单臂连接方式连接到网络上。
图4-4SSLVPN网络拓扑示范图
由于SSL协议使用443端口,因此在外部防火墙上开放443端口,同时增加相应的安全访问控制策略;
在SA2000中配置SSLVPN服务,可以使用SA2000提供的WEBUI进行方便快捷操作。
VPN配置界面图如下图4-5所示:
图4-5VPN配置界面图
1)配置内外部网络接口以及SSLVPN许可协议;
2)配置用户认证服务器SA2000,在这里可以选择SA2000内建的CA认证中心,也可以选者企业内部已有的认证中心。
中小企业内部已经有基于Windows2003活动目录的身份认证中心,因此在此选用中小企业已有的Windows2003活动目录所在的服务器。
如下图4-6所示:
图4-6认证服务器的选择
3)添加SSLVPN的认证域,在SSLVPN上把不同的认证服务器加入到不同的域,来认证不同域上的用户,同时也方便用户了解自己登陆时应该选择哪一个认证域和哪一个认证账号。
4)添加角色,配置用户访问权限,决定用户所能访问的网络资源。
中小企业中出差员工可以使用邮件,WEB服务,但是不能使用ERP等企业应用;分支机构的员工,除了可以使用邮件、WEB服务外,还可以使用ERP服务,因此分成两组角色分别设置权限。
如下图4-7所示
图4-7用户角色和权限的配置
5)设定功能模块,JuniperSSLVPN上有三个功能模块,一个是基于Web功能和文件共享的Core模块,一个是保证C/S结构应用(例如:
Lotus,Exchange,ERP等)SAM模块和最后一个全三层网络连接的NC模块。
中小企业使用的ERP系统是C/S结构,在这里选择SAM模块,并将ERP作为应用程序添加进来。
配置如下图4-8。
图4-8SAM模块的配置选择
通过上述SSLVPN方案,在中小企业内实现安全的远程接入访问,其中身份认证中心使用Windows2003活动目录,将用户和用户的域用户账号相关联,可以对用进行精确的身份认证,同时也减少用户使用多个账号所带来的使用不方便;通过SAM和角色的配置,让不同人员按照权限使用不同业务系统以及资源,防止越权访问。
另外N企业还需要对VPN的访问日志进行安全审计,在SA2000中点击“Log/Monitoring-UserAccessLog--log”就可以看到详细的用户访问日志,包括用户的登陆时间,登陆结果和访问资源的等,这些日志可以通过FTP的方式自动下载,供管理人员分析查看。
访问日志如图4-9所示:
图4-9SSLVPN访问日志
4.4.4VLAN的部署
4.4.4.1VLAN的设计
在中小企业内部局域网中,不同部门之间信息安全等级不一样,比如技术、财务和人事的安全等级要高过其他部门,因此要将这些含有重要数据的用户组与网络中其余部分隔离,通过交换机的访问控制策略,限制VLAN之间的直接通信,降低机密信息泄露的可能性。
另外通过VLAN的划分,在不改动网络物理连接的情况下,让中小企业内部计算机用户(特别是便携式计算机)可以任意在不同子网之间移动,以减轻网络管理和维护工作的负担。
在具体子网的划分时,对于办公区域按照部门职能划分成若干子网,保留生产子网和服务器子网的结构。
考虑到中小企业网络规模不大,网络中的大部分终端设备物理位置固定,采用基于端口的方式划分VLAN。
对不同VLAN之间中的通信,使用交换机的访问控制列表进行限制。
为保证各个子网之间的安全性,结合中小企业的实际状况,子网间访问规则如下:
1)所有的办公部门的子网都可以访问服务器子网;
2)除了技术和品质管理以外,禁止任何子网访问生产子网;
3)除了总经理办公室以外,禁止任何子网访问财务和人事子网;
4)技术和品质管理可以相互互访;
5)只允许网络中心子网访问网络管理子网;
6)其他子网之间禁止相互访问;
4.4.4.2VLAN的实现
具体配置步骤如下:
在所有的交换机中启动VTP服务,配置在同一个VTP域中,其中主交换机CISCO4506配置成VTP服务器,通过VTP服务保持统一个VTP域中VLAN信息的更新和同步。
交换机间的连接链路采用ISL机制的EtherentTrunking相联接。
在VTP服务器上设置VLAN标示,并把有关端口加入到相应得VLAN中。
VLAN标示信息会自动发送到备用交换机上,把此交换机有关端口也加入到相应的VLAN中。
然后根据预先制定的安全策略,在交换机的访问控制列表中进行设置。
4.4.4.3VLAN
升级会员 