局域網(wǎng)安全詳細(xì)解析
一、回顧常見(jiàn)的攻擊方式
【漏洞掃描與利用】:
通過(guò)特定的操作過(guò)程,或使用專(zhuān)門(mén)地漏洞攻擊程序,利用現(xiàn)有操作系統(tǒng)、應(yīng)用軟件中的漏洞,來(lái)入侵系統(tǒng)或獲取特殊權(quán)限。如網(wǎng)頁(yè)木馬利用了IE等瀏覽器的漏洞、SQL注入利用了網(wǎng)頁(yè)代碼的漏洞。
【病毒木馬植入】:
通過(guò)向用戶(hù)系統(tǒng)中植入病毒或木馬程序,破壞用戶(hù)數(shù)據(jù)、竊取用戶(hù)信息或者暗中控制用戶(hù)系統(tǒng)。如發(fā)送帶有病毒的電子郵件、通過(guò)網(wǎng)站掛馬等方式都可以將病毒或木馬安裝到用戶(hù)系統(tǒng)中。
【DDoS攻擊】:
DDoS(Distributed Denial of Service)就是分布式拒絕服務(wù),最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源,從而使服務(wù)器無(wú)法處理合法用戶(hù)的請(qǐng)求。很多DoS攻擊源一起攻擊某臺(tái)服務(wù)器就組成了DDoS攻擊。
【網(wǎng)絡(luò)釣魚(yú)】:
攻擊者利用欺騙性的電子郵件、短信或QQ等引誘用戶(hù)訪(fǎng)問(wèn)偽造的網(wǎng)站來(lái)進(jìn)行網(wǎng)絡(luò)詐騙,受害者往往會(huì)泄露自己的私密信息,如銀行卡號(hào)與密碼、身份證號(hào)等。從外觀上來(lái)看,攻擊者偽造的網(wǎng)站與真正的網(wǎng)站幾乎一模一樣,網(wǎng)站域名也比較相似。如招商銀行的真正網(wǎng)址為wwwNaNbchina.com,攻擊者偽造一個(gè)外觀相仿的wwwNaNdchina.com站點(diǎn),并向受害者發(fā)送譬如“您的網(wǎng)銀賬號(hào)于x月x日登錄失敗超過(guò)15次,為了提高賬號(hào)安全性,建議登錄http://wwwNaNdchina.com網(wǎng)站重置密碼……”的郵件,從而誘使其訪(fǎng)問(wèn)偽造的站點(diǎn)以盜取用戶(hù)的網(wǎng)銀賬號(hào)和密碼等信息。
除此之外,還有密碼解除、網(wǎng)絡(luò)監(jiān)聽(tīng)、電子郵件攻擊等攻擊方式。
二、局域網(wǎng)安全防護(hù)
(1)、物理安全
存放位置:將關(guān)鍵設(shè)備集中存放到一個(gè)單獨(dú)的機(jī)房中,并提供良好的通風(fēng)、消防
電氣設(shè)施條件
人員管理:對(duì)進(jìn)入機(jī)房的人員進(jìn)行嚴(yán)格管理,盡可能減少能夠直接接觸物理設(shè)備
的人員數(shù)量
硬件冗余:對(duì)關(guān)鍵硬件提供硬件冗余,如RAID磁盤(pán)陣列、熱備份路由、UPS不
間斷電源等
(2)、網(wǎng)絡(luò)安全
端口管理:關(guān)閉非必要開(kāi)放的端口,若有可能,網(wǎng)絡(luò)服務(wù)盡量使用非默認(rèn)端口,
如遠(yuǎn)程桌面連接所使用的3389端口,最好將其更改為其他端口
加密傳輸:盡量使用加密的通信方式傳輸數(shù)據(jù)據(jù),如HTTPS、,IPsec...,
一般只對(duì)TCP協(xié)議的端口加密,UDP端口不加密
入侵檢測(cè):?jiǎn)⒂萌肭謾z測(cè),對(duì)所有的訪(fǎng)問(wèn)請(qǐng)求進(jìn)行特征識(shí)別,及時(shí)丟棄或封鎖攻
擊請(qǐng)求,并發(fā)送擊擊警告
(3)、系統(tǒng)安全
系統(tǒng)/軟件漏洞:選用正版應(yīng)用軟件,并及時(shí)安裝各種漏洞及修復(fù)補(bǔ)丁
賬號(hào)/權(quán)限管理:對(duì)系統(tǒng)賬號(hào)設(shè)置高強(qiáng)度的復(fù)雜密碼,并定期進(jìn)行更換,對(duì)特定
人員開(kāi)放其所需的最小權(quán)限
軟件/服務(wù)管理:卸載無(wú)關(guān)軟件,關(guān)閉非必要的系統(tǒng)服務(wù)
病毒/木馬防護(hù):統(tǒng)一部署防病毒軟件,并啟用實(shí)時(shí)監(jiān)控
(4)、數(shù)據(jù)安全
數(shù)據(jù)加密:對(duì)保密性要求較高的數(shù)據(jù)據(jù)進(jìn)行加密,如可以使用微軟的EFS
(Encrypting File System)來(lái)對(duì)文件系統(tǒng)進(jìn)行加密
用戶(hù)管理:嚴(yán)格控制用戶(hù)對(duì)關(guān)鍵數(shù)據(jù)的訪(fǎng)問(wèn),并記錄用戶(hù)的訪(fǎng)問(wèn)日志
數(shù)據(jù)備份:對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行備份,制定合理的備份方案,可以將其備份到遠(yuǎn)程
服務(wù)器、或保存到光盤(pán)、磁帶等物理介質(zhì)中,并保證備份的可用性
三、部署網(wǎng)絡(luò)版防病毒軟件
?對(duì)局域網(wǎng)安全最大的威脅,其實(shí)并不是來(lái)自外部的攻擊,而是來(lái)自于局域網(wǎng)內(nèi)部的攻擊
?由于終端用戶(hù)的安全意識(shí)、安全技能的匱乏,加之Internet上病毒、木馬泛濫成災(zāi),導(dǎo)致用戶(hù)在瀏覽網(wǎng)頁(yè)的時(shí)候,很容易在不知不覺(jué)中將病毒、木馬帶入到局域網(wǎng)中
(1)、網(wǎng)絡(luò)版防病毒軟件介紹(特點(diǎn))
可以遠(yuǎn)程安裝或卸載客戶(hù)端防病毒軟件
可以禁止用戶(hù)自行卸載客戶(hù)端防病毒軟件
可以在全網(wǎng)范圍內(nèi)統(tǒng)一制定、分發(fā)和執(zhí)行防病策略
可以遠(yuǎn)程監(jiān)控客戶(hù)端的系統(tǒng)健康狀態(tài)
提供遠(yuǎn)程報(bào)警手段,可以自動(dòng)將病毒信息發(fā)送給網(wǎng)絡(luò)管理員
允許客戶(hù)端用戶(hù)自定義防病毒策略
(2)、部署Symantec網(wǎng)絡(luò)版防病毒軟件
?Symantec Endpoint Protection企業(yè)版是Symantec公司推出的網(wǎng)絡(luò)版殺毒軟件,由管理臺(tái)和客戶(hù)端組成
?它集成了防病毒、反間諜軟件、防火墻和入侵防御以及設(shè)備與應(yīng)用程序控制功能。通過(guò)集中式管理功能,可以幫助物理和虛擬系統(tǒng)防御各種類(lèi)型攻擊
部署Symantec的相關(guān)組件:
該軟件需要IIS功能的支持,所以需要在Server 2008上安裝IIS7.0及相關(guān)的ASP.NET、CGI、IIS6.0管理兼容性角色服務(wù)
四、防火墻介紹
(1)、防火墻的概念
?為了防止黑客入侵,企業(yè)內(nèi)部網(wǎng)在接入Internet時(shí)必須構(gòu)筑一道安全的“護(hù)城河”,通過(guò)“護(hù)城河”將內(nèi)部網(wǎng)保護(hù)起來(lái),這個(gè)“護(hù)城河”就是防火墻
?防火墻的英文名稱(chēng)"Fire Wall",它是目前最重要的網(wǎng)絡(luò)護(hù)護(hù)設(shè)備之一
?Windows系統(tǒng)都有一個(gè)自帶的防火墻,通過(guò)啟用Windows防火墻,可以有效地?cái)r截外界對(duì)系統(tǒng)的非法訪(fǎng)問(wèn)和入侵,提高計(jì)算機(jī)系統(tǒng)的安全。
(2)、防火墻的主要功能
v強(qiáng)化安全策略
§限制用戶(hù)的對(duì)內(nèi)、對(duì)外訪(fǎng)問(wèn)
v記錄用戶(hù)的上網(wǎng)活動(dòng)
§監(jiān)視局域網(wǎng)用戶(hù)的上網(wǎng)行為
v隱藏網(wǎng)絡(luò)拓?fù)?/p>
§隱藏內(nèi)部網(wǎng)絡(luò)
§緩解公共IP地址短缺矛盾
v檢查安全策略
§過(guò)濾不安全服務(wù),提高網(wǎng)絡(luò)安全性
(3)、防火墻的分類(lèi)
1、按防火墻的功能分類(lèi)
包過(guò)濾型防火墻
?硬件防火墻,包過(guò)濾技術(shù)是防火墻最傳統(tǒng)、最基本的技術(shù)
?它工作在OSI(Open System Interconnection)參考模型的網(wǎng)絡(luò)層
?它根據(jù)數(shù)據(jù)包頭源地址、目的地址、端口號(hào)和協(xié)議類(lèi)型等標(biāo)志來(lái)確定是否允許數(shù)據(jù)包通過(guò)
應(yīng)用代理型防火墻
?軟件防火墻,它工作在OSI的最高層,即應(yīng)用層
?使用這種防火墻,可以實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過(guò)濾、記錄和報(bào)告功能
狀態(tài)檢測(cè)型防火墻
?硬件防火墻,該防火墻是由包過(guò)濾型防火墻發(fā)展而來(lái)的
?它可以動(dòng)態(tài)地根據(jù)實(shí)際應(yīng)用需求,自動(dòng)生成或刪除相應(yīng)的包過(guò)濾規(guī)則,而無(wú)需管理員手動(dòng)干預(yù)
?這種防火墻不但能夠根據(jù)包的源地址、目標(biāo)地址、協(xié)議類(lèi)型、源端口、目標(biāo)端口等數(shù)據(jù)包進(jìn)行控制,而且能夠記錄通過(guò)防火墻的連接狀態(tài),直接對(duì)包里的數(shù)據(jù)進(jìn)行處理
2、按防火墻的軟硬件形式分類(lèi)
軟件防火墻
?軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上,需要預(yù)先安裝的操作系統(tǒng)的支持,一般來(lái)說(shuō)這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)
?軟件防火墻就像其他的軟件產(chǎn)口一樣,需要先在計(jì)算機(jī)上安裝并運(yùn)行配置后才可以使用,如微軟的TMG防火墻
硬件防火墻
?硬件防火墻使用專(zhuān)用芯片處理網(wǎng)絡(luò)數(shù)據(jù)包,CPU只做管理使用
?采用專(zhuān)門(mén)的操作系統(tǒng)平臺(tái),從而避免了通用操作系統(tǒng)的安全性漏洞,如Cisco Asa防火墻
(4)、常用的風(fēng)款防火墻
1、NetScreen 系列防火墻
集成了防火墻、、入侵檢測(cè)和流量管理功能
2、Cisco ASA 5500系列防火墻
提供了豐富的應(yīng)用安全、網(wǎng)絡(luò)控制、 等功能
3、天融信防火墻
集成了防火墻、防病毒、入侵檢測(cè)、等功能
4、TMG防火墻(軟件防火墻)
TMG屬于微軟Forefront產(chǎn)品系列中的一款,主要負(fù)責(zé)網(wǎng)絡(luò)邊緣范圍的安全防范與保護(hù),可以與活動(dòng)目錄、NAP等進(jìn)行完美的集成,實(shí)現(xiàn)更加全面、便捷的安全管控。
除了具有傳統(tǒng)防火墻的主要功能之外,它還具有以下功能。
完美支持64位內(nèi)存尋址
不受4G內(nèi)存的尋址限制,在內(nèi)存讀寫(xiě)及管理方面得到極大的性能提升。
Web反病毒與過(guò)濾
通過(guò)URL篩選、惡意軟件檢查、HTTS檢查等方式對(duì)Web訪(fǎng)問(wèn)進(jìn)行檢查,將病毒、間諜軟件等拒之門(mén)外。
緩存
對(duì)于需要處理大量Web流量的企業(yè),通過(guò)緩存功能,可以大大提升用戶(hù)的上網(wǎng)速度,降低帶寬成本