區域網安全詳細解析

  一、回顧常見的攻擊方式

  【漏洞掃描與利用】:

  通過特定的操作過程,或使用專門地漏洞攻擊程式,利用現有作業系統、應用軟體中的漏洞,來入侵系統或獲取特殊許可權。如網頁木馬利用了IE等瀏覽器的漏洞、SQL注入利用了網頁程式碼的漏洞。

  【病毒木馬植入】:

  通過向用戶系統中植入病毒或木馬程式,破壞使用者資料、竊取使用者資訊或者暗中控制使用者系統。如傳送帶有病毒的電子郵件、通過網站掛馬等方式都可以將病毒或木馬安裝到使用者系統中。

  【DDoS攻擊】:

  DDoSDistributed Denial of Service就是分散式拒絕服務,最基本的DoS攻擊就是利用合理的服務請求來佔用過多的服務資源,從而使伺服器無法處理合法使用者的請求。很多DoS攻擊源一起攻擊某臺伺服器就組成了DDoS攻擊。

  【網路釣魚】:

  攻擊者利用欺騙性的電子郵件、簡訊或QQ等引誘使用者訪問偽造的網站來進行網路詐騙,受害者往往會洩露自己的私密資訊,如銀行卡號與密碼、身份證號等。從外觀上來看,攻擊者偽造的網站與真正的網站幾乎一模一樣,網站域名也比較相似。如招商銀行的真正網址為wwwNaNbchina,攻擊者偽造一個外觀相仿的wwwNaNdchina站點,並向受害者傳送譬如“您的網銀賬號於x月x日登入失敗超過15次,為了提高賬號安全性,建議登入

  除此之外,還有密碼破解、網路監聽、電子郵件攻擊等攻擊方式。

  二、區域網安全防護

  1、物理安全

  存放位置:將關鍵裝置集中存放到一個單獨的機房中,並提供良好的通風、消防

  電氣設施條件

  人員管理:對進入機房的人員進行嚴格管理,儘可能減少能夠直接接觸物理裝置

  的人員數量

  硬體冗餘:對關鍵硬體提供硬體冗餘,如RAID磁碟陣列、熱備份路由、UPS不

  間斷電源等

  2、網路安全

  埠管理:關閉非必要開放的埠,若有可能,網路服務儘量使用非預設埠,

  如遠端桌面連線所使用的3389埠,最好將其更改為其他埠

  加密傳輸:儘量使用加密的通訊方式傳輸資料據,如HTTPS、,IPsec...,

  一般只對TCP協議的埠加密,UDP埠不加密

  入侵檢測:啟用入侵檢測,對所有的訪問請求進行特徵識別,及時丟棄或封鎖攻

  擊請求,併發送擊擊警告

  3、系統安全

  系統/軟體漏洞:選用正版應用軟體,並及時安裝各種漏洞及修復補丁

  賬號/許可權管理:對系統賬號設定高強度的複雜密碼,並定期進行更換,對特定

  人員開放其所需的最小許可權

  軟體/服務管理:解除安裝無關軟體,關閉非必要的系統服務

  病毒/木馬防護:統一部署防病毒軟體,並啟用實時監控

  4、資料安全

  資料加密:對保密性要求較高的資料據進行加密,如可以使用微軟的EFS

  Encrypting File System來對檔案系統進行加密

  使用者管理:嚴格控制使用者對關鍵資料的訪問,並記錄使用者的訪問日誌

  資料備份:對關鍵資料進行備份,制定合理的備份方案,可以將其備份到遠端

  伺服器、或儲存到光碟、磁帶等物理介質中,並保證備份的可用性

  三、部署網路版防病毒軟體

  Ø對區域網安全最大的威脅,其實並不是來自外部的攻擊,而是來自於區域網內部的攻擊

  Ø由於終端使用者的安全意識、安全技能的匱乏,加之Internet上病毒、木馬氾濫成災,導致使用者在瀏覽網頁的時候,很容易在不知不覺中將病毒、木馬帶入到區域網中

  1、網路版防病毒軟體介紹特點

  可以遠端安裝或解除安裝客戶端防病毒軟體

  可以禁止使用者自行解除安裝客戶端防病毒軟體

  可以在全網範圍內統一制定、分發和執行防病策略

  可以遠端監控客戶端的系統健康狀態

  提供遠端報警手段,可以自動將病毒資訊傳送給網路管理員

  允許客戶端使用者自定義防病毒策略

  2、部署Symantec網路版防病毒軟體

  ØSymantec Endpoint Protection企業版是Symantec公司推出的網路版防毒軟體,由管理臺和客戶端組成

  Ø它集成了防病毒、反間諜軟體、防火牆和入侵防禦以及裝置與應用程式控制功能。通過集中式管理功能,可以幫助物理和虛擬系統防禦各種型別攻擊

  部署Symantec的相關元件:

  該軟體需要IIS功能的支援,所以需要在Server 2008上安裝IIS7.0及相關的ASP.NET、CGI、IIS6.0管理相容性角色服務

  四、防火牆介紹

  1、防火牆的概念

  Ø為了防止黑客入侵,企業內部網在接入Internet時必須構築一道安全的“護城河”,通過“護城河”將內部網保護起來,這個“護城河”就是防火牆

  Ø防火牆的英文名稱"Fire Wall",它是目前最重要的網路護護裝置之一

  ØWindows系統都有一個自帶的防火牆,通過啟用Windows防火牆,可以有效地攔截外界對系統的非法訪問和入侵,提高計算機系統的安全。

  2、防火牆的主要功能

  v強化安全策略

  §限制使用者的對內、對外訪問

  v記錄使用者的上網活動

  §監視區域網使用者的上網行為

  v隱藏網路拓撲

  §隱藏內部網路

  §緩解公共IP地址短缺矛盾

  v檢查安全策略

  §過濾不安全服務,提高網路安全性

  3、防火牆的分類

  1、按防火牆的功能分類

  包過濾型防火牆

  Ø硬體防火牆,包過濾技術是防火牆最傳統、最基本的技術

  Ø它工作在OSIOpen System Interconnection參考模型的網路層

  Ø它根據資料包頭源地址、目的地址、埠號和協議型別等標誌來確定是否允許資料包通過

  應用代理型防火牆

  Ø軟體防火牆,它工作在OSI的最高層,即應用層

  Ø使用這種防火牆,可以實施較強的資料流監控、過濾、記錄和報告功能

  狀態檢測型防火牆

  Ø硬體防火牆,該防火牆是由包過濾型防火牆發展而來的

  Ø它可以動態地根據實際應用需求,自動生成或刪除相應的包過濾規則,而無需管理員手動干預

  Ø這種防火牆不但能夠根據包的源地址、目標地址、協議型別、源埠、目標埠等資料包進行控制,而且能夠記錄通過防火牆的連線狀態,直接對包裡的資料進行處理

  2、按防火牆的軟硬體形式分類

  軟體防火牆

  Ø軟體防火牆運行於特定的計算機上,需要預先安裝的作業系統的支援,一般來說這臺計算機就是整個網路的閘道器

  Ø軟體防火牆就像其他的軟體產口一樣,需要先在計算機上安裝並執行配置後才可以使用,如微軟的TMG防火牆

  硬體防火牆

  Ø硬體防火牆使用專用晶片處理網路資料包,CPU只做管理使用

  Ø採用專門的作業系統平臺,從而避免了通用作業系統的安全性漏洞,如Cisco Asa防火牆

  4、常用的風款防火牆

  1、NetScreen 系列防火牆

  集成了防火牆、、入侵檢測和流量管理功能

  2、Cisco ASA 5500系列防火牆

  提供了豐富的應用安全、網路控制、 等功能

  3、天融信防火牆

  集成了防火牆、防病毒、入侵檢測、等功能

  4、TMG防火牆軟體防火牆

  TMG屬於微軟Forefront產品系列中的一款,主要負責網路邊緣範圍的安全防範與保護,可以與活動目錄、NAP等進行完美的整合,實現更加全面、便捷的安全管控。

  除了具有傳統防火牆的主要功能之外,它還具有以下功能。

  完美支援64位記憶體定址

  不受4G記憶體的定址限制,在記憶體讀寫及管理方面得到極大的效能提升。

  Web反病毒與過濾

  通過URL篩選、惡意軟體檢查、HTTS檢查等方式對Web訪問進行檢查,將病毒、間諜軟體等拒之門外。

  快取

  對於需要處理大量Web流量的企業,通過快取功能,可以大大提升使用者的上網速度,降低頻寬成本