中小企业网络安全设计研究喻斌 第三稿讲解.docx

1、中小企业网络安全设计研究喻斌 第三稿讲解湖北大学成人高等教育毕 业 论 文题目： 中小企业网络安全设计研究学号_15440006_姓名_喻斌_专业_计算机应用_学制_两年半_类别_专科_年 月 日湖北大学成人教育学院制中小企业网络安全设计研究摘要现今计算机网络飞速发展，计算机网络在中小企业中的运用也越来越多。但日益突出的网络安全问题也给中小企业企业生产带来安全隐患，甚至因为网络安全事故使企业遭受严重的损失。为了实现提高企业网络安全性，就要改善并提高企业内部网络的安全性。本论文介绍中小企业原有的网络，并以此为基础讨论原有内部网络安全出现的问题，然后针对不同的问题，分别从病毒防治、垃圾邮件过滤、防

2、火墙架设和访问控制权限等方面提出了改善方案；改善方案还包括了系统设置、软硬件选用和管理等方面的内容。关键词网络安全 安全技术 网络环境1前言随着信息技术的迅猛发展以及计算机网络的普及，信息化浪潮日益高涨，计算机网络已无处不在。然而科学技术的飞速发展也是一把双刃剑，网络技术给我们带来了社会经济效益和各种便利的同时，也潜伏着巨大威胁。企业网络面临的主要威胁来自于人为因素和运行环境的影响，其中包括网络设备的不安全因素和对网络信息的威胁，主要表现为黑客入侵、病毒破坏、非法授权访问，拒绝服务攻击、截获以及修改网络系统通信数据等。近几年来国内外网络被侵害和攻击的数量以及程度都呈急剧上升的势态，给企业带来了

3、巨大的损失。与时俱进，密切关注网络中的各种威胁、系统漏洞和安全技术产品的最新动向，做到新威胁到来时能提前预防。本论文首先针对本公司内部网络安全现状进行全面的分析，提出并制订出适合本公司网络环境的合理解决方案。2中小企业网络安全现状某中小企业现有的网络拓扑结构如图 2-1 所示。两台 Catlyst6509 以及使用磁盘阵列备份两台 HP 小型机构成了整个网络的核心层。行政楼 1 至 6 层、制造中心、成品库、材料库、备件库的计算机通过交换机和集线器设备接入局域网，构成中小企业局域网的接入层。中小企业的局域网已经接入 Internet，并且能够提供 Web、DNSF/TP 和代理等网络服务。图

4、2-1中小企业网络拓扑结构在网络安全方面，部署了 Cisco 的防火墙 PIX525 ,把网络划分为若干个网段。其中，提供 Internet 网络服务的计算机为 DMZ2 区，是一个网段，远程访问层为 DMZ1 区，局域网的核心层与接入层为内部网段。单一防火墙的部署在一定程度上保证了局域网的安全，不同的网段实施不同的安全策略。此外，还在局域网中部署了病毒防杀系统。3中小企业网络安全存在的问题分析3.1 物理安全的风险分析中小企业设有独立的机房，与企业内其他区域物理隔离。有防静电/防雷保护措施，机房内部有独立的湿度和温度调控设备。主要的网络设备都集中在机房内统一管理，并制定了针对机房管理的物理与

5、环境安全管理规定。但是在评估中还是发现存在以下风险问题:1）机房内虽然配备了独立的 UPS 电源以及紧急照明系统，但后备电池老化，能够提供的持续续航时间不够。经过测算，在突然断电的情况下 UPS 系统仅能提供约 11 分钟的电源支持，无法保障机房内各种网络设备连续稳定运行的要求，甚至存在无法及时关闭设备比如应用系统的服务器，造成设备损坏和数据丢失的重大风险。2）虽然中小企业设有与外界空间分隔的独立机房，但是并没有对人员访问机房加以限制，非网络中心人员或非授权人员可以很轻松的进出机房，如果有不满的内部员工私自进入机房，可能会对机房内的网络设备进行破坏，或者非法操作服务器进行机密信息的窃取，存在安

6、全风险。3.2 网络安全的风险分析在中小企业中网络安全风险主要集中在网络边界、数据传输和网络运行等三个方面。3.2.1 网络边界的安全风险1）中小企业内部局域网和集团数据中心网络相连接，这两者之间网络边界没有有效的安全保护措施，如果集团数据中心的网络发生网络攻击或者病毒感染，很容易影响到中小企业内部局域网，反之亦然，因此这个网络边界存在安全风险；2）中小企业内部局域网和 Internet 互联网相连，并对外公开 WEB 服务器和邮件服务器，因此必然会面对来自 Internet 的各种网络入侵和攻击行为，比如端口扫描、特洛伊木马、网络监听、密码破解、缓冲区溢出攻击、拒绝服务攻击和病毒入侵等。虽然

7、在这个网络边界部署了硬件防火墙，但是防火墙是基于包过滤技术的安全技术，只能检测并阻止有问题的数据包通过，但不能自动识别入侵行为，在某些状况下有用的数据包也会被阻止。因此存在单纯依赖防火墙，不能有效检测和防御来自 Internet 的多种攻击行为。3）来自 Internet 互联网的用户需要访问 WEB 服务器和邮件服务器，这些外部服务器将面对网络入侵或者黑客攻击。目前中小企业没有将这些外部服务器和用于内部网络的服务器区分开来，如果它们被攻破，攻击者将通过它们访问到企业内部网络上的其他资源，后果将无法设想。3.2.2 数据传输的安全风险1）中小企业目前在内部局域网部署了一台 Windows200

8、3 的 VPN 服务器，供出差人员和分支机构人员通过 VPN 的方式远程访问内部局域网。这种方式可以对数据的传输和内部局域网的安全有一定的安全保护，但是如果 VPN 账号或密码被盗用，入侵者将通过这一途径入侵到内部网络，将对内部网络的安全造成极大的威胁。2）外部用户（比如特许维修商）在使用企业 WEB 网站提供的服务时（比如产品维修信息查询等），与服务器之间的通信没有采取安全保护措施，容易被黑客窃听，截取或篡改，将造成相关数据泄露或者被破坏。3.2.3网络运行的安全风险1）通过扫描工具发现交换机上有不安全端口存在的情况，包括 23 端口（远程登录，入侵者如果利用其他技术获得密码的话，可以通过该

9、端口远程登录到设备的操作系统，木马 Tiny Telnet Server 就开放这个端口）、79 端口（入侵者用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其他机器 Finger 扫描）等，如果内部有不满员工利用网络攻击工具，可以发起对交换机等设备的远程控制、缓存区溢出、拒绝访问等形式的网络工具，对网络安全运行带来威胁。2）在网络的主干通信链路上，核心交换机和汇聚层交换机都各只有一台，当其发生故障或者断电时，没有设备进行及时替换，存在由于单点故障（single point failure）造成网络信息交换速度下降甚至瘫痪的风险。本文针对中小企业目前面临的最紧迫的网络

10、安全问题设计了本方案，即从病毒防治、垃圾邮件过滤、防火墙构建、防问权限等方面设计安全解决方案。至于其它安全威胁(例如数据保密性和完整性的破坏等等)问题的解决，将在中小企业以后的信息安全建设中进行。3.3 应用安全的风险分析3.3.1 数据存储的安全中小企业的应用系统（包括生产控制系统和 ERP 系统）数据对于企业至关重要，如果这些数据安全性将影响到企业的日常经营管理活动。比如产品生产信息的丢失将直接影响到产品售后维修的开展。当系统出现故障（比如软件故障、硬件故障、网络故障等）时可能会影响到数据库系统中数据的正确性，甚至造成数据库被破坏，使数据部分或全部丢失，这时就需要能够及时完整的重建整个数据

11、库系统，进行数据库的数据恢复。目前中小企业的这些数据都存储在相应服务器中，虽然这些服务器的本地硬盘都采用了RAID5 冗余的磁盘阵列，并使用磁带机作日常数据备份，但是当服务器本身出现 CPU或者 2 块以上的磁盘故障时，可能会造成本地磁盘中数据的部分或全部丢失，需要从磁带机中恢复数据，造成系统恢复时间过长。因此应用系统的数据需要从本地磁盘阵列中存贮到其他安全的位置，实现数据的容灾。3.3.2 应用系统的安全中小企业的应用系统主要包括生产控制系统和 ERP 系统。这些应用系统都是 C/S 结构，由第三方软件公司定制开发或者直接购买商业软件包。这些软件在设计和编码时可能由于软件开发商的疏忽存在系统

12、漏洞或者“后门”，对应用系统的运行带来安全隐患。中小企业员工在使用过程中对账户密码管理的安全意识不够，使用简单易破解密码或随意向他人泄露密码，可能造成对应用系统的非授权访问，带来机密信息或者数据的泄露。4中小企业网络安全的总体设计方案4.1中小企业网络安全方案的设计原则通过网络安全管理技术和网络安全管理制度的有机结合，保证中小企业网络的安全、稳定运行，整个网络安全解决方案遵循的设计原则包括：1）全面综合考虑的原则：中小企业网络安全性的设计应当从网络整体的角度来看待。在整个设计过程中，必须从全方位、多层次进行考虑，制定好相应的网络安全整体策略，以确保整个网络的安全。2）需求、风险、代价平衡的原则

13、对任何网络来说，都不能保证绝对的安全，它也是不必要的。对中小企业网络中存在的威胁和风险采取定量与定性相结合的方式，加以分析，找出薄弱环节，确定安全策略，制订规范化的具体措施。3）有效性和实用性原则中小企业制订的网络安全策略应当尽量简单易实现。安全策略太过复杂对网络安全技术的要求也就越高，这会造成配置和维护的难度，反而会对企业网络带来不安全性。另一方面，采用的策略不能对网络系统运行产生影响，特别是一些实事性要求很高的业务是不能容能安全连接和安全处理造成的延时。4.2中小企业网络安全方案的设计目标中小企业的网络安全建设的具体目标是：1）通过 UPS 电源系统的更新和出入机房的控制，加强中小企业网络

14、物理环境的稳定性和安全性；2）利用网络分隔手段将中小企业内部局域网与外部网络（包括 Internet 和集团数据中心网络）进行安全隔离，同时还需要加强 WEB，Mail 等对外公开服务器的保护措施，防止这些公开服务器被攻破后，攻击者可能对中小企业内部网络进行的非法访问；3）确保中小企业网络边界的安全，对来自 Internet 的网络攻击行为能及时检测并进行主动防御；4）中小企业出差人员和分支机构在通过 Internet 远程访问企业内部网时要确保数据传输的安全性和身份的有效性；5）加强中小企业内部局域网的管理，按照安全等级将网络划分成若干子网，并通过访问控制策略，限制各个子网之间的互访，重点保

15、护生产子网和服务器子网；4.3中小企业网络安全方案的安全策略结合对 中小企业网络系统安全风险和安全需求的分析，根据网络安全解决方案的设计原则和目标，确定了网络安全策略。具体分析和说明如下：1）机房的物理环境应既要符合国家相关标准的要求，同时也要满足企业生产与经营活动的要求。机房的供电系统能满足机房内部设备和网络 7*24 的稳定和持续运行；2）为保证网络的可用性，避免由于单点故障引起的网络运行速度下降或者网络瘫痪，需要对核心的网络设备做冗余备份，对主交换机采用双机热备的方式实现线路冗余，均衡负载；3）对关键应用系统的服务器采用双机热备的主机集群技术实现冗余；4）内部局域网不能直接与 Inter

16、net 互联网相连。为防止来自 Internet 的网络攻击，非法入侵，黑客攻击，病毒等，需要在内部局域网和 Internet 互联网的网络边界进行安全隔离，需要采用防火墙和入侵检测或入侵防御技术双层安全机制保障网络边界；4）把原有的服务器分隔成内部服务器和外部服务器，外部服务器包括 WEB 服务器、Mail 服务器等对外开放的服务器，将这些外部服务器部署在防火墙的 DMZ 区中，通过外部服务器和内部网络的分隔，实现对内部网络的保护；5）内部局域网不能直接与集团数据中心的骨干网相连。虽然集团数据中心的骨干网也属于安全级别很高的系统，但是也存在来自集团内部的非法入侵，黑客攻击，病毒扩散等问题发生

17、的可能性，因此也需要在这个网络边界进行安全隔离，需要采用防火墙技术来保障网络边界的安全；6）为实现安全的远程访问，需要采用安全加密的通道技术，比如 VPN 在网络边界的硬件防火墙上进行 VPN 的配置。4.4 网络安全解决方案的设计与实现通过建立符合中小企业实际情况的安全策略，综合运用防护工具，利用检测工具了解和评估信息系统的安全状态，通过适当的反应将信息系统调整到相对最安全和风险最低的状态，同时利用预定的恢复方案将灾难所带来的损失降低到最低。中小企业网络安全体系结构图如下图4-1所示：图4-1中小企业网络安全体系结构图策略部分内容包括：通过网络物理环境策略、防火墙策略、入侵检测与防御策略、数

18、据传输加密策略、通信链路冗余策略、Vlan权限划分策略、防病毒策略、数据备份与恢复策略、安全管理策略等一系列安全策略的应用，指导网络安全技术的在中小企业网络系统中的应用；防护部分内容包括：通过机房和UPS的改善，加强网络物理环境的防护；通过在网络边界部署防火墙、入侵防御系统实现对网络边界的防护；通过VPN技术实现对数据传输的防护；通过在内部网络划分VLAN子网，实现内部网络的安全防护；通过对交换机和应用系统服务器主机的热备，实现通过网络防病毒系统加强整个网络防病毒的能力；检测部分内容包括：利用网络边界的入侵防御系统的检测功能对外部网络的各种攻击进行检测和防御，同时利用内部网络中的入侵检测系统，

19、实现对内部网安全威胁行为的检测；响应部分内容包括：根据安全策略的指导，利用入侵检测系统和入侵防御系统的联动，发现并及时截断可疑攻击，并启动和记录相关报警信息；当通信链路或关键应用服务器主机出现单点故障时，利用双机热备设备快速响应，保证业务的连续性；恢复部分内容包括：利用数据容灾系统，当出现灾难时，及时启用应急响应恢复机制实现应用系统的快速恢复，保证业务的连续性。结合前文所作的 中小企业安全需求分析和制定的安全策略，除去已经中小企业已经实现的网络防病毒系统和身份认证系统，分别进行如下几个方面的安全设计，并加以实现。4.4.1 机房物理环境的安全设计针对中小企业网络在物理和环境上的存在的安全风险和

20、安全需求，按照国家相关标准，结合企业实际状况，主要从以下两个方面进行设计和实现1）保持原有的 APC UPS 系统不变，更换和新增后备电池组，提高 UPS 系统的续航供电时间。增加 UPS 供电系统的远程报警功能，在出现停电、电压不稳等供电异常情况后能及时通过电话/短信的方式及时通知网络管理人员。同时在一台服务器上安装APC PowerCuteUPS 软件，实现对 UPS 运行状态的远程管理。安装后的软件界面图 4-2如下：图 4-2 UPS Powercute 配置图2）在网络机房增加基于 IC 卡的门禁系统，保证机房的访问安全。在机房入口安装监控摄像头，实时记录机房的进出状况，方便将来的查

21、询和取证。4.4.2 防火墙系统的部署4.4.2.1 防火墙的设计通过前面的企业安全需求分析可以知道，中小企业在内部局域网和 Internet 互联网的网络边界上，需要对外部网络用户访问 WEB 服务器和邮件服务器进行限制，对外部网络用户访问 VPN 进行限制、对内部网络用户访问互联网进行限制；同时在内部局域网和集团数据中心网络的网络边界上，需要对来自对来之集团网络的访问进行限制。结合防火墙知识，需要在与 Internet 相连的网络边界部署屏蔽子网的防火墙，将对外提供服务的服务器放置在被屏蔽的 DMZ 区域中，保护对内部局域网不受 Internet的攻击；同时也需要在与集团数据中网络相连的网

22、络边界部署防火墙，通过使用防火墙，访问策略的限制，禁止或允许指定的数据传输，限制XX的访问，从而确保企业内部局域网的安全。通过在两个网络边界分别部署防火墙来保护内部局域网的安全。中小企业原有的 Netscreen 204 硬件防火墙拥有三个端口Trusted、DMZ和Untrusted，通过访问控制策略的配置，可以很方便的实现 DMZ，同时有效阻止来之 Internet 的网络攻击。因此在这一网络边界沿用 Netscreen 204 硬件防火墙，并将其配置成 DMZ 模式。另外相对于与 Intenet 相连接网络边界，与集团数据中心网络相连网络边界在安全需求上要低一些，因此部署一台 Netsc

23、reen 25 硬件防火墙，采用路由模式，实现网络的隔离，通过访问策略，管理内部局域网和集团网络之间的访问连接。具体部署示意图如下图 4-3所示。图 4-3 防火墙部署示意图4.4.3 VPN 的部署4.4.3.1 VPN 的设计中小企业原先使用的是一台 Windows2003 的 VPN 服务器。由于 Windows2003 操作系统本身存在安全漏洞，容易被病毒感染，因此这种软件方式的 VPN 在运作时不稳定，存在安全风险。中小企业的远程访问服务主要的使用者是出差人员和分支机构的办公人员，同时访问的最大并发数在 50 左右。这些人员使用公司统一配发的电脑，先通过 ADSL的网络连入到 Int

24、ernet 再在远程接入企业的网络，主要使用电子邮件，WEB 服务器以及企业内部 ERP 等应用系统，其中 WEB 服务基于 B/S 结构，ERP 系统基于 C/S 结构，因此要求 VPN 系统能同时支持。除了要实现稳定的加密数据传输的要求外，使用的方便，易于管理也是需要考虑的重要因素。根据以上的分析，同时考虑到中小企业对 VPN 访问需要进行安全审计，选择 Juniper公司的 SA 2000 硬件 SSL VPN 来实现远程访问。SA2000 具有以下特点：1）最大可以支持 100 个 SSLVPN 并发连接。2）支持多种常用的认证服务器的支持，如 RADIUS、LDAP、Windows

25、NT Domain、Active Directory、UNIX NIS、dual factor 认证，包括 ActivCard ActivPack、RSA SecurID以及 X.509 客户端数字证书等，同时也可在设备上建立本地用户数据库，用作身份认证。3）JuniperSA2000 设备支持 J.E.D.I 的主机检测，在客户端登录之前，对客户端检查数字签名、源 IP 地址、进程等进行检查，确保客户端接入设备的最大安全。并且可以根据客户安全检查的成功与否，给予不同的访问权限。4）管理人员可以在 SA2000 上统一规划远程用户需要访问的资源，从而建立一个统一的用户登录界面和使用界面。5）支

26、持 B/S 和 C/S 应用单店登陆，可以进行精细的颗粒化权限管理，不同的人员设置不同的权限，这样当用户远程接入内网所呈现的应用系统各异，从而保护企业内部网络敏感数据的安全性。4.4.3.2 VPN 的实现和配置如图 4-4 所示，将 SA2000 部署在防火墙置之后，以单臂连接方式连接到网络上。图 4-4 SSL VPN 网络拓扑示范图由于 SSL 协议使用 443 端口，因此在外部防火墙上开放 443 端口，同时增加相应的安全访问控制策略；在SA2000中配置SSLVPN服务，可以使用SA2000提供的WEBUI进行方便快捷操作。VPN 配置界面图如下图 4-5 所示：图 4-5 VPN

27、配置界面图1）配置内外部网络接口以及 SSL VPN 许可协议；2）配置用户认证服务器 SA2000，在这里可以选择 SA2000 内建的 CA 认证中心，也可以选者企业内部已有的认证中心。中小企业内部已经有基于 Windows 2003 活动目录的身份认证中心，因此在此选用中小企业已有的 Windows 2003 活动目录所在的服务器。如下图 4-6 所示：图 4-6 认证服务器的选择3）添加 SSL VPN 的认证域，在 SSL VPN 上把不同的认证服务器加入到不同的域，来认证不同域上的用户，同时也方便用户了解自己登陆时应该选择哪一个认证域和哪一个认证账号。4）添加角色，配置用户访问权限

28、，决定用户所能访问的网络资源。中小企业中出差员工可以使用邮件，WEB 服务，但是不能使用 ERP 等企业应用；分支机构的员工，除了可以使用邮件、WEB 服务外，还可以使用 ERP 服务，因此分成两组角色分别设置权限。如下图 4-7 所示图 4-7 用户角色和权限的配置5）设定功能模块，Juniper SSL VPN 上有三个功能模块，一个是基于 Web 功能和文件共享的 Core 模块，一个是保证 C/S 结构应用（例如：Lotus,Exchange,ERP 等）SAM模块和最后一个全三层网络连接的 NC 模块。中小企业使用的 ERP 系统是 C/S 结构，在这里选择 SAM 模块，并将 ER

29、P 作为应用程序添加进来。配置如下图 4-8。图 4-8 SAM 模块的配置选择通过上述 SSL VPN 方案，在 中小企业内实现安全的远程接入访问，其中身份认证中心使用 Windows2003 活动目录，将用户和用户的域用户账号相关联，可以对用进行精确的身份认证，同时也减少用户使用多个账号所带来的使用不方便；通过 SAM 和角色的配置，让不同人员按照权限使用不同业务系统以及资源，防止越权访问。另 外 N 企 业 还 需 要 对 VPN 的 访 问 日 志 进 行 安 全 审 计 ， 在 SA2000 中 点 击“Log/Monitoring- User Access Log- log”就可以

30、看到详细的用户访问日志，包括用户的登陆时间，登陆结果和访问资源的等，这些日志可以通过 FTP 的方式自动下载，供管理人员分析查看。访问日志如图 4-9 所示：图 4-9 SSL VPN 访问日志4.4.4 VLAN 的部署4.4.4.1 VLAN 的设计在中小企业内部局域网中，不同部门之间信息安全等级不一样，比如技术、财务和人事的安全等级要高过其他部门，因此要将这些含有重要数据的用户组与网络中其余部分隔离，通过交换机的访问控制策略，限制 VLAN 之间的直接通信，降低机密信息泄露的可能性。另外通过 VLAN 的划分，在不改动网络物理连接的情况下，让中小企业内部计算机用户（特别是便携式计算机）可

31、以任意在不同子网之间移动，以减轻网络管理和维护工作的负担。在具体子网的划分时，对于办公区域按照部门职能划分成若干子网，保留生产子网和服务器子网的结构。考虑到 中小企业网络规模不大,网络中的大部分终端设备物理位置固定，采用基于端口的方式划分 VLAN。对不同 VLAN 之间中的通信，使用交换机的访问控制列表进行限制。为保证各个子网之间的安全性，结合中小企业的实际状况，子网间访问规则如下：1）所有的办公部门的子网都可以访问服务器子网；2）除了技术和品质管理以外，禁止任何子网访问生产子网；3）除了总经理办公室以外，禁止任何子网访问财务和人事子网；4）技术和品质管理可以相互互访；5）只允许网络中心子网

32、访问网络管理子网；6）其他子网之间禁止相互访问；4.4.4.2 VLAN 的实现具体配置步骤如下：在所有的交换机中启动 VTP 服务，配置在同一个 VTP 域中，其中主交换机 CISCO4506 配置成 VTP 服务器，通过 VTP 服务保持统一个 VTP 域中VLAN 信息的更新和同步。交换机间的连接链路采用 ISL 机制的 Etherent Trunking 相联接。在 VTP 服务器上设置 VLAN 标示，并把有关端口加入到相应得 VLAN 中。VLAN标示信息会自动发送到备用交换机上，把此交换机有关端口也加入到相应的 VLAN 中。然后根据预先制定的安全策略，在交换机的访问控制列表中进行设置。4.4.4.3 VLAN