【正文】 企業(yè)網(wǎng)絡(luò)安全解決方案 長沙實(shí)力北大青鳥 S2T41 2021年 9 月 目錄 1 前言 ????????????????????????? 2 網(wǎng)絡(luò)安全的重要性 就目前網(wǎng)絡(luò)應(yīng)用和發(fā)展情況來看，計(jì)算機(jī)網(wǎng)絡(luò)安全的重要性具體表現(xiàn)在以下幾個(gè)方面。 1．隨著計(jì)算機(jī)系統(tǒng)功能的日益完善和速度的不斷提高，系統(tǒng)組成越來越復(fù)雜、系統(tǒng)規(guī)模越來越大，特別是 Inter 的迅速發(fā)展，存取控制、邏輯連接數(shù)量的不斷增加，軟件規(guī)模的空前膨脹，任何隱含的缺陷、失誤、人為的破壞都會(huì)造成巨大的損失 。 2．利用網(wǎng)絡(luò)環(huán)境處理各類數(shù)據(jù)信息是信息化時(shí)代的發(fā)展趨勢(shì)，這其中包括個(gè)人郵件資料和隱私，一些部門、機(jī)構(gòu)、企業(yè)的機(jī)密文件和商業(yè)信息，甚至是有關(guān)國家發(fā)展和安全的政治、經(jīng)濟(jì)、軍事以及國防的重要數(shù)據(jù)，這些數(shù)據(jù)信息不僅涉及到個(gè)人和團(tuán)體的利益，更主要的是可能關(guān)系一個(gè)國家的安全與穩(wěn)定。而正是這些數(shù)據(jù)信息是不法分子和敵對(duì)勢(shì)力攻擊的目標(biāo)。為了確保網(wǎng)絡(luò)中各類數(shù)據(jù)信息的安全，顯然就離不開一套完善的網(wǎng)絡(luò)安全防范體系的支持。 3．當(dāng)前，仍有大量網(wǎng)絡(luò)用戶只關(guān)注網(wǎng)絡(luò)系統(tǒng)的功能，而忽視網(wǎng)絡(luò)的安全，往往在碰到網(wǎng)絡(luò)安全事件后，才被動(dòng)地從發(fā) 生的現(xiàn)象中注意系統(tǒng)應(yīng)用的安全問題。廣泛存在著重應(yīng)用輕安全，安全意識(shí)淡薄的普遍現(xiàn)象。因此，加強(qiáng)網(wǎng)絡(luò)安全知識(shí)的宣傳和教育，學(xué)習(xí)有關(guān)網(wǎng)絡(luò)安全的法律法規(guī)和一定的防范技術(shù)，也是保護(hù)網(wǎng)絡(luò)安全的一項(xiàng)重要工作。 網(wǎng)絡(luò)安全并不只是簡單的網(wǎng)絡(luò)安全防護(hù)設(shè)施的疊加，而是一個(gè)涉及到法律法規(guī)、安全管理制度和標(biāo)準(zhǔn)、安全策略、安全服務(wù)、安全技術(shù)手段以及具體安全防護(hù)設(shè)備的一個(gè)極其復(fù)雜的系統(tǒng)，尤其對(duì)于越來越龐大的互聯(lián)網(wǎng)絡(luò)來說更是如此。 什么是網(wǎng)絡(luò)安全系統(tǒng)？ 網(wǎng)絡(luò)安全系統(tǒng)實(shí)際上是在一定的法律法規(guī)、安全標(biāo)準(zhǔn)的規(guī)范下，根據(jù)具體應(yīng)用需求和規(guī)定的安全策 略的指導(dǎo)下，使用有關(guān)安全技術(shù)手段和措施所組成的用以控制網(wǎng)絡(luò)之間信息流動(dòng)的部件的集合，是一個(gè)準(zhǔn)許或拒絕網(wǎng)絡(luò)通信的具有保障網(wǎng)絡(luò)安全功能的系統(tǒng)。 一個(gè)完整的網(wǎng)絡(luò)信息安全系統(tǒng)至少包括三個(gè)層次 這三個(gè)層次是： （ 1）法律政策，包括規(guī)章制度、安全標(biāo)準(zhǔn)、安全策略以及網(wǎng)絡(luò)安全教育。它是安全的基石，是建立安全管理的標(biāo)準(zhǔn)和方法； （ 2）技術(shù)方面的措施，如防火墻技術(shù)、防病毒、信息加密、身份驗(yàn)證以及訪問控制等； （ 3）審計(jì)與管理措施，包括技術(shù)措施與社會(huì)措施。實(shí)際應(yīng)用中，主要有實(shí)時(shí)監(jiān)控、提供安全策略改變的能力以及對(duì)安全系統(tǒng)實(shí)施審計(jì)、管理和漏洞檢查等措施。當(dāng)系統(tǒng)一旦出現(xiàn)了問題，審計(jì)與監(jiān)控可以提供問題的再現(xiàn)、責(zé)任追查和重要數(shù)據(jù)恢復(fù)等保障。 國際標(biāo)準(zhǔn)化組織在 ISO7498－ 2 中描述的開放系統(tǒng)互連 OSI 安全體系結(jié)構(gòu)確立了 5 種基本安全服務(wù)和 8 種安全機(jī)制。 1．安全服務(wù) 網(wǎng)絡(luò)的安全服務(wù)定義了網(wǎng)絡(luò)的各層可以提供的安全功能，這些功能可以在幾層同時(shí)提供，也可由某一層提供。 OSI 安全體系結(jié)構(gòu)的 5個(gè)安全服務(wù)項(xiàng)目分別是： （ 1）鑒別服務(wù) （ 2）訪問控制 （ 3）機(jī)密性服務(wù) （ 4）數(shù)據(jù)完整性 （ 5）抗抵賴服 務(wù) 2．安全機(jī)制 網(wǎng)絡(luò)安全機(jī)制定義了實(shí)現(xiàn)網(wǎng)絡(luò)安全服務(wù)所使用的可能方法。一種安全服務(wù)可由一種或數(shù)種安全機(jī)制支持，一種安全機(jī)制也可支持多種安全服務(wù)。按照OSI網(wǎng)絡(luò)安全體系結(jié)構(gòu)的定義，網(wǎng)絡(luò)安全服務(wù)所需的網(wǎng)絡(luò)安全機(jī)制包括以下 8類： （ l）加密機(jī)制 （ 2）數(shù)字簽名機(jī)制 （ 3）訪問控制機(jī)制 （ 4）數(shù)據(jù)完整性機(jī)制 （ 5）鑒別交換機(jī)制 （ 6）業(yè)務(wù)流填充機(jī)制 （ 7）路由控制機(jī)制 （ 8）公證機(jī)制 網(wǎng)絡(luò)安全結(jié)構(gòu) 企業(yè)網(wǎng)絡(luò)安全結(jié)構(gòu) ? 網(wǎng)絡(luò)設(shè)備 ? 操作系統(tǒng) ? 應(yīng)用程序 企業(yè)網(wǎng)絡(luò)安全面臨的主要威脅 根據(jù)各種網(wǎng)絡(luò)威脅產(chǎn)生的原因，可以 把網(wǎng)絡(luò)威脅歸納為以下 4 類： （ 1）操作系統(tǒng)和應(yīng)用軟件自身存在著安全漏洞。 （ 2）網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)協(xié)議存在安全漏洞。 （ 1）拒絕服務(wù)的攻擊 （ 2）非授權(quán)訪問網(wǎng)絡(luò)資源 （ 3）網(wǎng)絡(luò)病毒 、運(yùn)行管理上的不完善帶來的威脅 網(wǎng)絡(luò)設(shè)備面臨的威脅 路 由器是內(nèi)部網(wǎng)絡(luò)與外界通信出口。一旦黑客攻陷路由器，那么就掌握了控制內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)的權(quán)力 ? 弱口令 ? IOS 自身漏洞 ? 非授權(quán)用戶可以管理設(shè)備 ? CDP 協(xié)議造成信息的泄漏 操作系統(tǒng)面臨的威脅 ? Windows 系統(tǒng) ? 未及時(shí)安裝補(bǔ)丁 ? 開啟不必要的服務(wù) ? 管理員口令設(shè)置不正確 ? 默認(rèn)共享漏洞 ? Linux 系統(tǒng) ? 帳號(hào)與口令安全 ? NFS 文件系統(tǒng)漏洞 ? 作為 root 運(yùn)行的程序安全 應(yīng)用程序面臨的威脅 ? Web 服務(wù) ? %c1%1c 漏洞遠(yuǎn)程執(zhí)行任意命令 ? 超長文件名請(qǐng)求存在漏洞 ? 郵件服務(wù) ? 垃圾郵件的騷擾 ? 郵件附件中的病 毒 ? 數(shù)據(jù)庫 ? Sa 賬號(hào)為空 企業(yè)網(wǎng)絡(luò)面臨的其他威脅 ? 病毒 ? 蠕蟲 ? 木馬 ? 冰河 ? 灰鴿子 ? 來自內(nèi)部的攻擊 ? 對(duì)企業(yè)不滿的員工 ? 對(duì)安全不了解的員工 黑客對(duì)網(wǎng)絡(luò)的常見攻擊手段 黑客對(duì)網(wǎng)絡(luò)的攻擊手段可以說多種多樣，下面介紹幾種常見攻擊手段。 1． 通過獲取口令，進(jìn)行口令入侵 2．放置特洛伊木馬程序進(jìn)行攻擊 3．拒絕服務(wù)攻擊 4．電子郵件攻擊 5．采取欺騙技術(shù)進(jìn)行攻擊 6．尋找系統(tǒng)漏洞，入侵系統(tǒng) 7．利用緩沖區(qū)溢出攻擊系統(tǒng) 網(wǎng)絡(luò)安全解決方案 路由器安全管理 針對(duì)路由器攻擊類型 ? 直接侵入到系統(tǒng)內(nèi)部 ? 遠(yuǎn)程攻擊使路由器崩潰 或是運(yùn)行效率顯著下降 路由器支持的配置方式 ? TELNET ? TFTP ? FTP ? HTTP ? SNMP ? Console ? Aux 面臨的威脅 ? Tel信息為明文 ? HTTP 存在漏洞 ? Console口 ? SNMP 協(xié)議缺省設(shè)置 設(shè)置遠(yuǎn)程登錄控制 Router(config) line vty 0 4 Router(configline) login Router(configline) password be Router(configline) exectimeout 10 設(shè)置控制臺(tái)與 AUX登錄 控制 Router(config) line console 0 Router(configline) transport input none Router(configline) password be Router(config) line aux 0 Router(configline) transport input none Router(configline) no exec 應(yīng)用強(qiáng)密碼策略 Router(config)service passwordencryption Router(config)enable secret be 關(guān)閉基于 Web 的配置 Router(config)no ip server 利用 ACL 禁止 Ping相關(guān)接口 Router(config) accesslist 101 deny icmp any echo Router(config) accesslist 101 permit any any Router(configif) ip access group 101 out 關(guān)閉 CDP Router(config) no cdp run Router(configif) no cdp enable 禁止不必要的服務(wù) Router(config) no ip domainlookup Router(config) no ip bootp server Router(config) no snmpserver Router(config) no snmpserver munity public RO Router(config) no snmpserver munity admin RW 查看配置信息 Router(config) show configuration Router(config) show runningconfig 交換機(jī)安全管理 ? 及時(shí)下載新 IOS ? 使用管理訪問控制系統(tǒng) ? 禁用未使用的端口 ? 關(guān)閉危險(xiǎn)服務(wù) ? 利用 VLAN 加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全 操作系統(tǒng)安全加固 ? 主機(jī)物理安全 ? 帳戶安全 ? 文件系統(tǒng)的安全 ? 停止多余的服務(wù) ? 系統(tǒng)異常檢測(cè) ? Windows 日志維護(hù) Windows安全 1. 關(guān)閉不必要的服務(wù) ? Remote Registry Service ? Messenger 2. 關(guān)閉不必要的端口 ? tel ? Netbios ? FTP ? Web 3. 打開審計(jì)策略 4. 重要文件安全存放 5. 登錄時(shí)不顯示上次登錄名 6. 禁止建立空連接 7. 關(guān)閉默認(rèn)共享 使用 MBSA 查看系統(tǒng)漏洞 Linux 安全 Linux 面臨的威脅 ? DoS 攻擊 ? 本地用戶獲取非授權(quán)的文件的讀寫權(quán)限 ? 遠(yuǎn)程用戶獲得特權(quán)文件的讀寫權(quán)限 ? 遠(yuǎn)程用戶獲得 root 權(quán)限 Linux 安全設(shè)置 使用 GRUB 口令 ? 編輯 /boot/grub/，加入以下語句 password 12345 刪除所有的特殊帳戶 包括 lp， shutdown， halt， news， uucp， operator， games， gopher 等 [root@redhat root] userdel lp [root@redhat root] groupdel lp 修改默認(rèn) root 密碼長度 ? 默認(rèn) root 密碼長度是 5位，建議修改為 8位 ? 編輯 /etc/，修改 PASS_MIN_LEN 5 為 PASS_MIN_LEN 8 打開密碼 shadow 支持功能 ? 利用 md5 算法加密 ? 為 shadow 文件添加不可更改屬性 [root@redhat root] chattr +i /etc/shadow 取消所有不需要的服務(wù) ? tel、 等默認(rèn)啟動(dòng)的服務(wù) ? 關(guān)閉 tel，編輯 /etc/，修改 disable = no 為 disable = yes ? 更改 /etc/ 的權(quán)限為 600，只允許 root 來讀寫該文件 [root@redhat root] chmod 600 /etc/ 屏蔽系統(tǒng)信息 ? 登錄信息包括 Linux 發(fā)行版、內(nèi)核版本名和服務(wù)器主機(jī)名等 [root@redhat root] rm /etc/issue [root@redhat root] rm /etc/ 禁止按 Ctrl+Alt+Del 鍵關(guān)閉系統(tǒng) ? 編輯 /etc/inittab，將 ca::ctrlaltdel:/sbin/shutdown t3 r now 改為 ＃ ca::ctrlaltdel:/sbin/shutdown t3 r now 不允許 root 從不同的控制臺(tái)進(jìn)行登錄 ? 編輯 /etc/securetty，在不需要登錄的 TTY 設(shè)備前添加 ，禁止從該 TTY 設(shè)備進(jìn)行 root 登錄 使用 SSH 進(jìn)行遠(yuǎn)程連接 ? 通過 SSH 客戶端軟件連接 Linux ? 在 Linux 下利用以下命令連接其他 Linux [root@redhat root] ssh – l root 禁止隨意通過 su命令將普通用戶變?yōu)?root 用戶 ? 編輯 /etc/，加入以下內(nèi)容 auth sufficient /lib/security/ debug auth required /lib/security/ group=wheel (wheel 為系統(tǒng)中隱含的組，只有 wheel 組的成員才能用 su命令成為 root） 配置防火墻 ? 利用 iptables 防火墻 保持最新的系統(tǒng)內(nèi)核 ? 隨時(shí)關(guān)注 Linux 網(wǎng)站上內(nèi)核更新 應(yīng)用程序安全設(shè)置 Web 安全 1. 隨時(shí)下載安全補(bǔ)丁 2. 只開放 80 端口 3. 放置在專門的區(qū)域中 4. 利用 SSL 安全訪問