企业网络安全解决方案.docx

企业网络安全解决方案.docx

《企业网络安全解决方案.docx》由会员分享，可在线阅读，更多相关《企业网络安全解决方案.docx（38页珍藏版）》请在冰豆网上搜索。

企业网络安全解决方案

企业网络安全解决方案

长沙实力北大青鸟S2-T41

2008年9月

1前言…………………………………………………………………2

网络安全的重要性

就目前网络应用和发展情况来看，计算机网络安全的重要性具体表现在以下几个方面。

1．随着计算机系统功能的日益完善和速度的不断提高，系统组成越来越复杂、系统规模越来越大，特别是Internet的迅速发展，存取控制、逻辑连接数量的不断增加，软件规模的空前膨胀，任何隐含的缺陷、失误、人为的破坏都会造成巨大的损失。

2．利用网络环境处理各类数据信息是信息化时代的发展趋势，这其中包括个人邮件资料和隐私，一些部门、机构、企业的机密文件和商业信息，甚至是有关国家发展和安全的政治、经济、军事以及国防的重要数据，这些数据信息不仅涉及到个人和团体的利益，更主要的是可能关系一个国家的安全与稳定。

而正是这些数据信息是不法分子和敌对势力攻击的目标。

为了确保网络中各类数据信息的安全，显然就离不开一套完善的网络安全防范体系的支持。

3．当前，仍有大量网络用户只关注网络系统的功能，而忽视网络的安全，往往在碰到网络安全事件后，才被动地从发生的现象中注意系统应用的安全问题。

广泛存在着重应用轻安全，安全意识淡薄的普遍现象。

因此，加强网络安全知识的宣传和教育，学习有关网络安全的法律法规和一定的防范技术，也是保护网络安全的一项重要工作。

网络安全并不只是简单的网络安全防护设施的叠加，而是一个涉及到法律法规、安全管理制度和标准、安全策略、安全服务、安全技术手段以及具体安全防护设备的一个极其复杂的系统，尤其对于越来越庞大的互联网络来说更是如此。

什么是网络安全系统？

网络安全系统实际上是在一定的法律法规、安全标准的规范下，根据具体应用需求和规定的安全策略的指导下，使用有关安全技术手段和措施所组成的用以控制网络之间信息流动的部件的集合，是一个准许或拒绝网络通信的具有保障网络安全功能的系统。

一个完整的网络信息安全系统至少包括三个层次

这三个层次是：

（1）法律政策，包括规章制度、安全标准、安全策略以及网络安全教育。

它是安全的基石，是建立安全管理的标准和方法；

（2）技术方面的措施，如防火墙技术、防病毒、信息加密、身份验证以及访问控制等；

（3）审计与管理措施，包括技术措施与社会措施。

实际应用中，主要有实时监控、提供安全策略改变的能力以及对安全系统实施审计、管理和漏洞检查等措施。

当系统一旦出现了问题，审计与监控可以提供问题的再现、责任追查和重要数据恢复等保障。

国际标准化组织在ISO7498－2中描述的开放系统互连OSI安全体系结构确立了5种基本安全服务和8种安全机制。

1．安全服务

网络的安全服务定义了网络的各层可以提供的安全功能，这些功能可以在几层同时提供，也可由某一层提供。

OSI安全体系结构的5个安全服务项目分别是：

（1）鉴别服务

（2）访问控制

（3）机密性服务

（4）数据完整性

（5）抗抵赖服务

2．安全机制

网络安全机制定义了实现网络安全服务所使用的可能方法。

一种安全服务可由一种或数种安全机制支持，一种安全机制也可支持多种安全服务。

按照OSI网络安全体系结构的定义，网络安全服务所需的网络安全机制包括以下8类：

（l）加密机制

（2）数字签名机制

（3）访问控制机制

（4）数据完整性机制

（5）鉴别交换机制

（6）业务流填充机制

（7）路由控制机制

（8）公证机制

网络安全结构

企业网络安全结构

▪网络设备

▪操作系统

▪应用程序

企业网络安全面临的主要威胁

根据各种网络威胁产生的原因，可以把网络威胁归纳为以下4类：

1.软件系统自身的安全缺陷导致的威胁

（1）操作系统和应用软件自身存在着安全漏洞。

（2）网络环境中的网络协议存在安全漏洞。

2.非法进行网络操作带来的威胁

（1）拒绝服务的攻击

（2）非授权访问网络资源

（3）网络病毒

3.网络设施本身和运行环境因素的影响造成的威胁

4.网络规划、运行管理上的不完善带来的威胁

网络设备面临的威胁

路由器是内部网络与外界通信出口。

一旦黑客攻陷路由器，那么就掌握了控制内部网络访问外部网络的权力

▪弱口令

▪IOS自身漏洞

▪非授权用户可以管理设备

▪CDP协议造成信息的泄漏

操作系统面临的威胁

vWindows系统

▪未及时安装补丁

▪开启不必要的服务

▪管理员口令设置不正确

▪默认共享漏洞

vLinux系统

▪帐号与口令安全

▪NFS文件系统漏洞

▪作为root运行的程序安全

应用程序面临的威胁

vWeb服务

▪%c1%1c漏洞远程执行任意命令

▪IIS5.0超长文件名请求存在漏洞

v邮件服务

▪垃圾邮件的骚扰

▪邮件附件中的病毒

v数据库

▪Sa账号为空

企业网络面临的其他威胁

v病毒

▪蠕虫

v木马

▪冰河

▪灰鸽子

v来自内部的攻击

▪对企业不满的员工

▪对安全不了解的员工

黑客对网络的常见攻击手段

黑客对网络的攻击手段可以说多种多样，下面介绍几种常见攻击手段。

1．通过获取口令，进行口令入侵

2．放置特洛伊木马程序进行攻击

3．拒绝服务攻击

4．电子邮件攻击

5．采取欺骗技术进行攻击

6．寻找系统漏洞，入侵系统

7．利用缓冲区溢出攻击系统

网络安全解决方案

路由器安全管理

针对路由器攻击类型

v直接侵入到系统内部

v远程攻击使路由器崩溃或是运行效率显著下降

路由器支持的配置方式

vTELNET

vTFTP

vFTP

vHTTP

vSNMP

vConsole

vAux

面临的威胁

vTelnet信息为明文

vHTTP存在漏洞

vConsole口

vSNMP协议缺省设置

设置远程登录控制

Router（config）#linevty04

Router（config-line）#login

Router（config-line）#passwordbenet

Router（config-line）#exec-timeout10

设置控制台与AUX登录控制

Router（config）#lineconsole0

Router（config-line）#transportinputnone

Router（config-line）#passwordbenet

Router（config）#lineaux0

Router（config-line）#transportinputnone

Router（config-line）#noexec

应用强密码策略

Router（config）#servicepassword-encryption

Router（config）#enablesecretbenet

关闭基于Web的配置

Router（config）#noiphttpserver

利用ACL禁止Ping相关接口

Router（config）#access-list101denyicmpany192.168.2.10.0.0.255echo

Router（config）#access-list101permitanyany

Router（config-if）#ipaccessgroup101out

关闭CDP

Router（config）#nocdprun

Router（config-if）#nocdpenable

禁止不必要的服务

Router（config）#noipdomain-lookup

Router（config）#noipbootpserver

Router（config）#nosnmp-server

Router（config）#nosnmp-servercommunitypublicRO

Router（config）#nosnmp-servercommunityadminRW

查看配置信息

Router（config）#showconfiguration

Router（config）#showrunning-config

交换机安全管理

v及时下载新IOS

v使用管理访问控制系统

v禁用未使用的端口

v关闭危险服务

v利用VLAN加强内部网络安全

操作系统安全加固

v主机物理安全

v帐户安全

v文件系统的安全

v停止多余的服务

v系统异常检测

vWindows日志维护

Windows安全

1.关闭不必要的服务

▪RemoteRegistryService

▪Messenger

2.关闭不必要的端口

▪telnet

▪Netbios

▪FTP

▪Web

3.打开审计策略

4.重要文件安全存放

5.登录时不显示上次登录名

6.禁止建立空连接

7.关闭默认共享

使用MBSA查看系统漏洞

Linux安全

Linux面临的威胁

●DoS攻击

●本地用户获取非授权的文件的读写权限

●远程用户获得特权文件的读写权限

●远程用户获得root权限

Linux安全设置

使用GRUB口令

●编辑/boot/grub/grub.conf，加入以下语句

password12345

删除所有的特殊帐户

包括lp，shutdown，halt，news，uucp，operator，games，gopher等

[root@redhatroot]#userdellp

[root@redhatroot]#groupdellp

修改默认root密码长度

●默认root密码长度是5位，建议修改为8位

●编辑/etc/login.defs，修改

PASS_MIN_LEN5

为

PASS_MIN_LEN8

打开密码shadow支持功能

●利用md5算法加密

●为shadow文件添加不可更改属性

[root@redhatroot]#chattr+i/etc/shadow

取消所有不需要的服务

●telnet、http等默认启动的服务

●关闭telnet，编辑/etc/xinetd.d/telnet，修改

disable=no

为

disable=yes

●更改/etc/xinetd.conf的权限为600，只允许root来读写该文件

[root@redhatroot]#chmod600/etc/xinetd.conf

屏蔽系统信息

●登录信息包括Linux发行版、内核版本名和服务器主机名等

[root@redhatroot]#rm/etc/issue

[root@redhatroot]#rm/etc/

禁止按Ctrl+Alt+Del键关闭系统

●编辑/etc/inittab，将

ca:

:

ctrlaltdel:

/sbin/shutdown-t3-rnow

改为

＃ca:

:

ctrlaltdel:

/sbin/shutdown-t3-rnow

不允许root从不同的控制台进行登录

●编辑/etc/securetty，在不需要登录的TTY设备前添加#，禁止从该TTY设备进行root登录

使用SSH进行远程连接

●通过SSH客户端软件连接Linux

●在Linux下利用以下命令连接其他Linux

[root@redhatroot]#ssh–lroot192.168.2.180

禁止随意通过su命令将普通用户变为root用户

●编辑/etc/pam.d/su，加入以下内容

authsufficient/lib/security/pam_rootok.sodebug

authrequired/lib/security/pam_wheel.sogroup=wheel

（wheel为系统中隐含的组，只有wheel组的成员才能用su命令成为root）

配置防火墙

●利用iptables防火墙

保持最新的系统内核

●随时关注Linux网站上内核更新

应用程序安全设置

Web安全

1.随时下载安全补丁

2.只开放80端口

3.放置在专门的区域中

4.利用SSL安全访问

5.将IIS的安装目录和数据与系统磁盘分开

6.设置WWW目录的访问权限

SQLServer的安全

1.安装SQLServer的最新补丁程序

2.使用安全的帐号策略

3.选择正确的身份验证模式

4.加强数据库日志记录

5.除去不需要的网络协议

计算机病毒防治

v全面部署防病毒系统

v及时更新病毒库和产品

v预防为主

v加强培训、提高防毒意识

部署防火墙

防火墙的概念

现在通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义，它是指隔离在内部（本地）网络与外界网络之间的一道防御系统，是这一类防范措施的总称。

通过它可以隔离风险区域（如Internet或有一定风险的网络）与安全区域（如局域网，也就是内部网络）的连接，同时不会妨碍人们对风险区域的访问。

它是一种设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。

一般由计算机硬件和软件组成的一个或一组系统，用于增强内部网络和外部网之间的访问控制。

防火墙的主要功能

1．防火墙是网络安全的屏障

2．防火墙能控制对特殊站点的访问

3．对网络存取访问进行记录和统计

4．防止内部网络信息的外泄

5．地址转换（NAT）

防火墙技术

目前在实际应用中所使用的防火墙产品有很多,但从其采用的技术来看主要包括两类:

包过滤技术和应用代理技术,实际的防火墙产品往往由这两种技术的演变扩充或复合而形成的。

具体来说主要包括：

简单包过滤防火墙、状态检测包过滤防火墙、应用代理防火墙和复合型防火墙。

1．简单包过滤防火墙

包过滤防火墙工作在网络层，对数据包的源及目的IP具有识别和控制作用，对于传输层，只能识别数据包是TCP还是UDP及所用的端口信息。

它对所收到的IP数据包的源地址、目的地址、TCP数据分组或UDP报文的源端口号、包出入接口、协议类型和数据包中的各种标志位等参数，与网络管理员预先设置的访问控制表进行比较，确定是否符合预定义的安全策略，并决定数据包的通过或丢弃。

单纯简单包过滤的产品由于其保护的不完善，在1999年以前国外的网络防火墙市场上就已经不存在了。

2．应用代理防火墙

应用代理防火墙，也叫应用代理网关防火墙。

所谓网关是指在两个设备之间提供转发服务的系统。

这种防火墙能彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，外网的访问应答先由防火墙处理，然后再由防火墙转发给内网用户。

所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的TCP连接，应用层的协议会话过程必须符合代理的安全策略要求。

由于代理型防火墙利用操作系统本身的socket接口传递数据，从而导致性能比较差，不能支持大规模的并发连接；并且要求防火墙核心预先内置一些已知应用程序的代理后防火墙才能正常工作，这样的后果是一些新出现的应用在代理型防火墙上往往不能使用，出现了防火墙不支持很多新型应用的局面。

在IT领域中，新的应用和新的技术不断出现，甚至每一天都有新的应用方式和新的协议出现，代理型防火墙很难适应这种局面，使得在一些重要的领域和行业的核心业务应用中，代理型防火墙被渐渐地被抛弃

3．状态检测包过滤防火墙

状态检测包过滤防火墙是在简单包过滤上的功能扩展，最早是CheckPoint公司提出的，现在已经成为防火墙的主流技术。

状态检测的包过滤利用状态表跟踪每一个网络会话的状态，对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态。

因而提供了更完整的对传输层的控制能力。

同时由于一系列优化技术的采用，状态检测包过滤的性能也明显优于简单包过滤产品，尤其是在一些规则复杂的大型网络上。

前面介绍的简单包过滤只是一种静态包过滤，静态包过滤将每个数据包单独分析，固定根据其包头信息（如源地址、目的地址、端口号等）进行匹配，这种方法在遇到利用动态端口应用协议时会发生困难。

可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。

目前业界很多优秀的防火墙产品采用了状态检测型的体系结构，比如CheckPoint的Firewall-1，Cisco的PIX防火墙，NetScreen防火墙等等。

4．复合型防火墙

复合型防火墙是指综合了状态检测与透明代理的新一代防火墙，它基于专用集成电路（ASIC，ApplicationSpecificIntegratedCircuit）架构，把防病毒、内容过滤整合到防火墙里，其中还包括VPN、IDS功能，多单元融为一体，是一种新突破。

常规的防火墙并不能防止隐蔽在网络流量里的攻击。

复合型防火墙在网络边界实施OSI第七层的内容扫描，实现了实时在网络边缘部署病毒防护、内容过滤等应用层服务措施，体现出网络与信息安全的新思路。

防火墙的选购

目前国内外防火墙产品品种繁多、特点各异，有硬件的防火墙，也有软件防火墙。

硬件防火墙采用专用的硬件设备，然后集成生产厂商的专用防火墙软件。

从功能上看，硬件防火墙内建安全软件，使用专属或强化的操作系统，管理方便，更换容易，软硬件搭配较固定。

硬件防火墙效率高，解决了防火墙效率、性能之间的矛盾，基本上可以达到线性。

而软件防火墙一般是基于某个操作系统平台开发的，直接在计算机上进行软件的安装和配置。

由于用户平台的多样性，使得软件防火墙需支持多操作系统，如：

Unix、Linux、SCO-Unix、Windows等，代码庞大、安装维护成本高、效率低，同时还受到操作系统平台稳定性的影响。

显然，硬件防火墙总体性能上来说是优于软件防火墙的，但其价格也要高些。

防火墙的选购需注意的问题

下面从几个方面探讨选购防火墙时应该注意的问题。

（1）防火墙自身是否安全

（2）系统是否稳定

（3）是否高效

（4）是否可靠

（5）功能是否灵活

（6）配置是否方便

（7）管理是否简便

（8）是否可以抵抗拒绝服务攻击

（9）是否可以针对用户身份进行过滤

（10）是否具有可扩展、可升级性

部署IDS

IDS的概念

▪对系统的运行状态进行监视

▪发现各种攻击企图、攻击行为或者攻击结果

▪保证系统资源的机密性、完整性和可用性

▪是防火墙的合理补充

▪第二道安全闸门

入侵检测系统：

IntrusionDetectionSystem,简称IDS。

入侵检测是指：

“通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”。

入侵检测系统是一个典型的“窥探设备”。

入侵监测系统处于防火墙之后对网络活动进行实时检测。

许多情况下，可以与防火墙联动，可以记录和禁止网络活动，所以入侵监测系统是防火墙的延续。

它们可以和防火墙和路由器配合工作。

入侵检测系统技术

入侵检测技术通过对入侵行为的过程与特征的研究，使安全系统对入侵事件和入侵过程能做出实时响应。

入侵检测系统从分析方式上主要可分为两种：

（1）模式发现技术（模式匹配）

（2）异常发现技术（异常检测）

模式发现技术的核心是维护一个知识库。

对于已知的攻击，它可以详细、准确的报告出攻击类型，而且知识库必须不断更新。

对所有已知入侵行为和手段（及其变种）都能够表达为一种模式或特征，所有已知的入侵方法都可以用匹配的方法发现，把真正的入侵与正常行为区分开来。

模式发现的优点是误报少，局限是它只能发现已知的攻击，对未知的攻击无能为力。

异常发现技术先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验和等（这类数据可以人为定义，也可以通过观察系统、并用统计的办法得出），然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。

这种检测方式的核心在于如何定义所谓的“正常”情况。

异常发现技术的局限是并非所有的入侵都表现为异常，而且系统的“正常”标准难于计算和更新，并无法准确判别出攻击的手法，但它可以（至少在理论上可以）判别更广范、甚至未发觉的攻击。

目前，国际顶尖的入侵检测系统IDS主要以模式发现技术为主，并结合异常发现技术。

IDS一般从实现方式上分为两种：

（1）基于主机的IDS

（2）基于网络的IDS

基于网络的IDS使用原始的网络分组数据包作为进行攻击分析的数据源，一般利用网络适配器（探测器）来实时监视和分析所有通过网络进行传输的通信。

一旦检测到攻击，IDS应答模块通过通知、报警以及中断连接等方式来对攻击做出反应。

基于网络的入侵检测系统的主要优点有：

（1）成本低。

（2）攻击者消除证据很困难。

（3）实时检测和应答一旦发生恶意访问或攻击，基于网络的IDS检测可以随时发现它们，因此能够更快地做出反应。

从而将入侵活动对系统的破坏减到最低。

（4）能够检测未成功的攻击企图。

（5）操作系统独立。

基于网络的IDS并不依赖主机的操作系统作为检测资源，而基于主机的系统需要特定的操作系统才能发挥作用。

基于主机的IDS一般监视WindowsNT上的系统、事件、安全日志以及UNIX环境中的syslog文件。

一旦发现这些文件发生任何变化，IDS将比较新的日志记录与攻击签名以发现它们是否匹配。

如果匹配的话，检测系统就向管理员发出入侵报警并且发出采取相应的行动。

基于主机的IDS的主要优势有：

（1）非常适用于加密和交换环境。

（2）近实时的检测和应答。

（3）不需要额外的硬件。

（4）确定攻击是否成功。

（5）监测特定主机系统活动。

以上两种实现方式的集成化是IDS的发展趋势。

基于网络和基于主机的IDS都有各自的优势，两者可以相互补充。

这两种方式都能发现对方无法检测到的一些入侵行为。

基于网络的IDS可以研究负载的内容，查找特定攻击中使用的命令或语法，这类攻击可以被实时检查包序列的IDS迅速识别。

而基于主机的IDS无法看到负载，因此也无法识别嵌入式的负载攻击。

联合使用基于主机和基于网络这两种方式能够达到更好的检测效果。

入侵检测系统的工作流程

1．信息收集

2．信号分析

3．实时记录、报警或有限度反击

PKI与证书服务应用

PKI的概述

PublicKeyInfrastructure，公钥基础结构

PKI由公钥加密技术、数字证书、证书颁发机构（CA），注册机构（RA）等共同组成

数字证书用于用户的身份验证

CA是一个可信任的实体，负责发布、更新和吊销证书

RA接受用户的请求等功能

PKI体系能够实现的功能有

身份认证

数据完整性

数据机密性

操作的不可否认性

公钥加密技术

公钥（PublicKey）和私钥（PrivateKey）

1.密钥是成对生成的，这两个密钥互不相同，两个密钥可以互相加密和解密

2.不能根据一个密钥来推算得出另一个密钥

3.公钥对外公开；私钥只有私钥的持有人才知道

4.私钥应该由密钥的持有人妥善保管

数据加