區域網安全詳細解析
一、回顧常見的攻擊方式
【漏洞掃描與利用】:
通過特定的操作過程,或使用專門地漏洞攻擊程式,利用現有作業系統、應用軟體中的漏洞,來入侵系統或獲取特殊許可權。如網頁木馬利用了IE等瀏覽器的漏洞、SQL注入利用了網頁程式碼的漏洞。
【病毒木馬植入】:
通過向用戶系統中植入病毒或木馬程式,破壞使用者資料、竊取使用者資訊或者暗中控制使用者系統。如傳送帶有病毒的電子郵件、通過網站掛馬等方式都可以將病毒或木馬安裝到使用者系統中。
【DDoS攻擊】:
DDoSDistributed Denial of Service就是分散式拒絕服務,最基本的DoS攻擊就是利用合理的服務請求來佔用過多的服務資源,從而使伺服器無法處理合法使用者的請求。很多DoS攻擊源一起攻擊某臺伺服器就組成了DDoS攻擊。
【網路釣魚】:
攻擊者利用欺騙性的電子郵件、簡訊或QQ等引誘使用者訪問偽造的網站來進行網路詐騙,受害者往往會洩露自己的私密資訊,如銀行卡號與密碼、身份證號等。從外觀上來看,攻擊者偽造的網站與真正的網站幾乎一模一樣,網站域名也比較相似。如招商銀行的真正網址為wwwNaNbchina,攻擊者偽造一個外觀相仿的wwwNaNdchina站點,並向受害者傳送譬如“您的網銀賬號於x月x日登入失敗超過15次,為了提高賬號安全性,建議登入
除此之外,還有密碼破解、網路監聽、電子郵件攻擊等攻擊方式。
二、區域網安全防護
1、物理安全
存放位置:將關鍵裝置集中存放到一個單獨的機房中,並提供良好的通風、消防
電氣設施條件
人員管理:對進入機房的人員進行嚴格管理,儘可能減少能夠直接接觸物理裝置
的人員數量
硬體冗餘:對關鍵硬體提供硬體冗餘,如RAID磁碟陣列、熱備份路由、UPS不
間斷電源等
2、網路安全
埠管理:關閉非必要開放的埠,若有可能,網路服務儘量使用非預設埠,
如遠端桌面連線所使用的3389埠,最好將其更改為其他埠
加密傳輸:儘量使用加密的通訊方式傳輸資料據,如HTTPS、,IPsec...,
一般只對TCP協議的埠加密,UDP埠不加密
入侵檢測:啟用入侵檢測,對所有的訪問請求進行特徵識別,及時丟棄或封鎖攻
擊請求,併發送擊擊警告
3、系統安全
系統/軟體漏洞:選用正版應用軟體,並及時安裝各種漏洞及修復補丁
賬號/許可權管理:對系統賬號設定高強度的複雜密碼,並定期進行更換,對特定
人員開放其所需的最小許可權
軟體/服務管理:解除安裝無關軟體,關閉非必要的系統服務
病毒/木馬防護:統一部署防病毒軟體,並啟用實時監控
4、資料安全
資料加密:對保密性要求較高的資料據進行加密,如可以使用微軟的EFS
Encrypting File System來對檔案系統進行加密
使用者管理:嚴格控制使用者對關鍵資料的訪問,並記錄使用者的訪問日誌
資料備份:對關鍵資料進行備份,制定合理的備份方案,可以將其備份到遠端
伺服器、或儲存到光碟、磁帶等物理介質中,並保證備份的可用性
三、部署網路版防病毒軟體
Ø對區域網安全最大的威脅,其實並不是來自外部的攻擊,而是來自於區域網內部的攻擊
Ø由於終端使用者的安全意識、安全技能的匱乏,加之Internet上病毒、木馬氾濫成災,導致使用者在瀏覽網頁的時候,很容易在不知不覺中將病毒、木馬帶入到區域網中
1、網路版防病毒軟體介紹特點
可以遠端安裝或解除安裝客戶端防病毒軟體
可以禁止使用者自行解除安裝客戶端防病毒軟體
可以在全網範圍內統一制定、分發和執行防病策略
可以遠端監控客戶端的系統健康狀態
提供遠端報警手段,可以自動將病毒資訊傳送給網路管理員
允許客戶端使用者自定義防病毒策略
2、部署Symantec網路版防病毒軟體
ØSymantec Endpoint Protection企業版是Symantec公司推出的網路版防毒軟體,由管理臺和客戶端組成
Ø它集成了防病毒、反間諜軟體、防火牆和入侵防禦以及裝置與應用程式控制功能。通過集中式管理功能,可以幫助物理和虛擬系統防禦各種型別攻擊
部署Symantec的相關元件:
該軟體需要IIS功能的支援,所以需要在Server 2008上安裝IIS7.0及相關的ASP.NET、CGI、IIS6.0管理相容性角色服務
四、防火牆介紹
1、防火牆的概念
Ø為了防止黑客入侵,企業內部網在接入Internet時必須構築一道安全的“護城河”,通過“護城河”將內部網保護起來,這個“護城河”就是防火牆
Ø防火牆的英文名稱"Fire Wall",它是目前最重要的網路護護裝置之一
ØWindows系統都有一個自帶的防火牆,通過啟用Windows防火牆,可以有效地攔截外界對系統的非法訪問和入侵,提高計算機系統的安全。
2、防火牆的主要功能
v強化安全策略
§限制使用者的對內、對外訪問
v記錄使用者的上網活動
§監視區域網使用者的上網行為
v隱藏網路拓撲
§隱藏內部網路
§緩解公共IP地址短缺矛盾
v檢查安全策略
§過濾不安全服務,提高網路安全性
3、防火牆的分類
1、按防火牆的功能分類
包過濾型防火牆
Ø硬體防火牆,包過濾技術是防火牆最傳統、最基本的技術
Ø它工作在OSIOpen System Interconnection參考模型的網路層
Ø它根據資料包頭源地址、目的地址、埠號和協議型別等標誌來確定是否允許資料包通過
應用代理型防火牆
Ø軟體防火牆,它工作在OSI的最高層,即應用層
Ø使用這種防火牆,可以實施較強的資料流監控、過濾、記錄和報告功能
狀態檢測型防火牆
Ø硬體防火牆,該防火牆是由包過濾型防火牆發展而來的
Ø它可以動態地根據實際應用需求,自動生成或刪除相應的包過濾規則,而無需管理員手動干預
Ø這種防火牆不但能夠根據包的源地址、目標地址、協議型別、源埠、目標埠等資料包進行控制,而且能夠記錄通過防火牆的連線狀態,直接對包裡的資料進行處理
2、按防火牆的軟硬體形式分類
軟體防火牆
Ø軟體防火牆運行於特定的計算機上,需要預先安裝的作業系統的支援,一般來說這臺計算機就是整個網路的閘道器
Ø軟體防火牆就像其他的軟體產口一樣,需要先在計算機上安裝並執行配置後才可以使用,如微軟的TMG防火牆
硬體防火牆
Ø硬體防火牆使用專用晶片處理網路資料包,CPU只做管理使用
Ø採用專門的作業系統平臺,從而避免了通用作業系統的安全性漏洞,如Cisco Asa防火牆
4、常用的風款防火牆
1、NetScreen 系列防火牆
集成了防火牆、、入侵檢測和流量管理功能
2、Cisco ASA 5500系列防火牆
提供了豐富的應用安全、網路控制、 等功能
3、天融信防火牆
集成了防火牆、防病毒、入侵檢測、等功能
4、TMG防火牆軟體防火牆
TMG屬於微軟Forefront產品系列中的一款,主要負責網路邊緣範圍的安全防範與保護,可以與活動目錄、NAP等進行完美的整合,實現更加全面、便捷的安全管控。
除了具有傳統防火牆的主要功能之外,它還具有以下功能。
完美支援64位記憶體定址
不受4G記憶體的定址限制,在記憶體讀寫及管理方面得到極大的效能提升。
Web反病毒與過濾
通過URL篩選、惡意軟體檢查、HTTS檢查等方式對Web訪問進行檢查,將病毒、間諜軟體等拒之門外。
快取
對於需要處理大量Web流量的企業,通過快取功能,可以大大提升使用者的上網速度,降低頻寬成本