freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內容

中小型企業(yè)網安全環(huán)境的構建與實現(編輯修改稿)

2024-07-25 23:15 本頁面
 

【文章內容簡介】 上前就已經是安全可靠的;目前網絡終端面臨的威脅:病毒、木馬、蠕蟲;網絡攻擊、操作系統(tǒng)本身的漏洞等;解決問題的方法:一方面需要從網絡上進行處理,如防火墻、IDS/IPS等;另一方面需要從終端入手,如:病毒防范技術、終端安全增強技術、終端安全接入技術等;病毒防范技術包括特征碼掃描、實時監(jiān)控技術、虛擬機技術、完整性校驗和掃描等;終端安全增強技術包括網絡接入控制NAC、網絡訪問保護NAP、可信網絡連接TNC等;終端安全接入技術包括補丁管理、個人防火墻、基于行為規(guī)則的安全防范技術、虛擬機技術、登錄增強技術等。網絡設備安全網絡設備包括主機(服務器/工作站/PC)和網絡設施(交換機和路由器等)。從網絡設備角度來看,以下是常見的安全威脅:(1) 蠕蟲/病毒/垃圾郵件在網上泛濫;(2) 黑客惡意攻擊,DDOS拒絕服務攻擊;(3) 管理人員對網絡設備的簡單配置和隨意部署;(4) 內部人員任意下載和拷貝;(5) 內部人員無意或者有意的嘗試闖入敏感區(qū)域。一個網絡系統(tǒng)的安全建設通常包括許多方面,包括物理安全、數據安全、網絡安全、系統(tǒng)安全、管理安全等等,而一個安全系統(tǒng)的安全等級,又是按照木桶原理來實現的。根據企業(yè)各級內部網絡機構、廣域網結構、和三級網絡管理、應用業(yè)務系統(tǒng)的特點,本方案主要從以下幾個方面分別來闡述普遍的中小型企業(yè)網絡系統(tǒng)的安全規(guī)劃并介紹相關的安全技術:控制網絡訪問的基本步驟之一,就是在網絡內控制數據流量。而實現這個目標的方法之一,就是使用訪問控制列表(ACL)。ACL不僅簡單高效,而且在所有主流Cisco產品上都可以使用。Cisco IOS具有限制流量流入式流出網絡的的功能,因為它為ACL提供了流量過濾功能。使用ACL有時也稱為過濾,這是因為ACL可以通過放行和拒絕網絡訪問的方式,對流量就行控制。ACL通過放行和拒絕語句控制網絡訪問,以此實現安全策略,它是端到端安全解決方案的必要組成部分。然而,在實施公司安全策略時,除了ACL之外,諸如防火墻、加密與認證、入侵檢測與防御解決方案等產品和技術也同樣必不可少。以下是實施ACL的相關準則:(1) ACL可以應用在一臺設備的多個接口上。(2) 同一個接口在同一方向上只能對同一協議使用一個訪問控制列表。這就是說可以在一個接口上應用兩個ACL:一個出站列表,一個入站列表。(3) 設備會自頂向下一次對ACL進行處理,因此,在選擇訪問列表的順序時一定要格外謹慎,最精確地條目一定要寫在前面。(4) 在配置ACL的時候,路由器會把最新輸入的ACE放在最下面。在新版IOS中,有一個ACL順序調整的功能,也就是說是用戶可以重新設置ACE條目的順序。(5) 有一個“隱式拒絕”保留給那些沒有被匹配的流量,因此,只有一條deny語句的ACL等于拒絕了所有流量。換句話說,一個ACL至少要有一條permit語句,否則所有流量就都會被阻塞。(6) 要始終遵循先創(chuàng)建ACL,再把它應用到接口的步驟。要對ACL進行修改或編輯時,一定要先把這個ACL從接口移除,然后進行修改,最后再重新把它應用到那個接口中。(7) 應用到路由器接口的出站ACL只檢查通過路由器的流量——也就是說,它不會去檢查那些路由器自身產生的流量。 設備安全該部分是從設備安全策略入手,講述保護設備的普遍原則。以路由器、交換機、防火墻作為介紹的重點。包括如何對設備進行訪問、如何限制對設備的訪問、如何加固安全配置、如何識別不需要的服務、如何管理設備、如何對服務進行監(jiān)測和審計等。在對設備進行管理時,防火墻、交換機、路由器都有著各自的特性。安全策略是由一系列的規(guī)則、慣例與流程組成,他們共同界定了如何對敏感信息進行慣例、保護和分發(fā)。在眾多的安全策略中,有一種專為保護設備安全而建立的規(guī)則。Cisco設備如路由器、交換機、防火墻、集中器等都是網絡的組成部分,重點保護這些設備是網絡安全策略的重要環(huán)節(jié)。對于一個企業(yè)來言,設備安全策略是必不可少的。設備安全策略所制定的規(guī)則可以保護對設備的訪問,也就是進行訪問控制。對于網絡中的所有設備,設備安全策略也規(guī)定了他們最低限度的安全配置。 設備加固是網絡安全最基本的組成部分,實施設備加固可以使設備拒絕非法用戶的訪問機操作行為。如果讓入侵者沒有經過授權就獲得了訪問設備的權限,那么再采取其他安全措施就很多余了。在大多數情況下,放置設備的場所(物理位置)對入侵者來說既是第一道防線,也是最后一層屏障。物理安全讓入侵者無法在物理層面上對設備進行訪問,即入侵者無法接觸到設備實物。因此,物理安全比網絡安全更加重要,可惜網絡管理員總是無視這個環(huán)節(jié)。無論上層采取了何種安全防御措施,一旦物理層被侵入,整個網絡即告淪陷。綜上所述,用一個安全的物理場所來存放設備,并且保證該場所僅對獲得授權的工作人員開放,這比什么都來得重要。用戶身份驗證可以通過用戶名和密碼的組合參數來實現。為建立基于證書的認證系統(tǒng),可以為所有操作設備的用戶設置用戶名。用戶名需要在全局配置模式下配置,配置后的用戶名會保存在設備的本地數據庫中??梢詾樵O備的每個用戶設置一個單獨的登錄名,這樣當用戶更改配置文件的時候,管理員就可以根據用戶名來跟蹤查看是哪個用戶修改了配置文件,除此之外,單獨的用戶名也可以讓管理員對不同的用戶分別進行計費和審計。登錄賬戶可以用username命令來生成,管理員可以對每個用戶名指派不同的特權級別和密碼。使用username sercret命令可以用MD5三類函數加密密碼。用戶賬戶可以在很多情況下使用——比如可以用于console接口、vty線路、VPN用戶及遠程撥號用戶。不再使用的賬戶應該從系統(tǒng)配置中刪除。還有一種擴展性更好的方法可供選擇,即認證、授權、審計技術。Cisco IOS有16個特權級別:0~15。默認情況下,IOS有以下3種預定義的用戶級別。(1) 特權級別0包含disable、enable、exit、help和logout命令。(2) 特權級別1是用戶模式,這是telnet的正常級別,包含所有router提示的用戶級別命令。(3) 特權級別15是特權模式,也稱為enable模式,包含所有有router提示的特權級別命令。所有Cisco IPS命令都預先分配給了0、1和15級。214級可以由用戶來自定義。有三種方法可以訪問設備并對設備進行管理:console接口、vty接口和aux接口。1. Console接口Console接口是管理和配置設備時的默認訪問方式。這種連接類型通過TTY線路0,以物理的方式連接在設備console接口上,默認情況下,console接口沒有配置密碼。操作結束后,不應該保留console接口的登錄狀態(tài)而應該退出登錄。因此,建議為console線路上的EXEC會話配置超時時間,這樣的話如果用戶忘記退出或長時間讓會話處于空閑狀態(tài),設備就會自動注銷空閑的會話。2. VTY接口Cisco IOS支持通過多條邏輯vty鏈路連接設備,以此實現對設備的遠程交互式訪問,Cisco IOS支持超過100條vty鏈路。默認情況下可以使用命令line vty 0 4 來使用其中的5條vty鏈路。與console接口相似的就是,vty鏈路上也沒有預配密碼。因而,用強壯的密碼和訪問控制機制來保護這些鏈路是十分必要的。需要注意的是,盡管在默認情況下vty鏈路上沒有配置密碼,但是只有用login命令來放行允許遠程訪問之后,用戶才能通過vty鏈路訪問設備。另外,還可以使用 ACL來進一步深化對訪問的控制,一次實現只有合法用戶才可以訪問設備的目的,即僅允許一些特定的IP地址訪問設備。3. AUX接口有些設備帶有一個輔助(AUX)接口,用戶通過調制解調器撥號可以從這個接口連接到這臺設備并對設備實施管理。大多數情況下,aux接口應該在line aux 0 模式下通過命令no exec來禁用。唯有當沒有任何備用方案和遠程接入方式可供選擇時,萬般無奈之下,才可以考慮用調制解調器連接aux接口來訪問設備。因為網絡入侵者通過簡單的戰(zhàn)爭撥號技術,就可以找到一個未受保護的調制解調器。因此,有必要在aux接口上設置認證來實現訪問控制。這如前文所述:所有面向設備的連接都必須先進行認證,然后才可以訪問設備,不管這個認證是在本地設備上實現還是通過TACACS+服務器或RADIUS服務器來實現。我們在登錄設備的時候,一般為了安全起見,我們會通過各種不同的加密的方式去訪問設備。Cisco的相關安全設備允許以管理設備為目的的telnet連接。處于安全方面的考慮,用戶不能telnet安全級別最低的接口,除非在telnet連接用IPsec隧道進行了封裝。每個虛擬防火墻支持最大5路并發(fā)telnet連接,在所有虛擬防火墻上最多支持100個并發(fā)telnet連接。為使telnet連接可以訪問安全設備,需要指定哪些主機的ip地址可以向安全設備發(fā)出管理連接。一般來說,telnet是最常見的設備管理協議,但是也是最不安全的協議,因為telnet協議會話中的一切通信都是以明文的方式發(fā)送。管理設備支持管理員通過SSH協議對其進行管理訪問。安全設備支持用 SSHv1和SSHv2提供遠程安全訪問功能,支持用DES和3DES對管理訪問進行加密。要配置SSH需要先生成rsa密鑰對,然后再在全局配置模式下用命令ssh來指定允許對設備進行管理的ip地址。Cisco自適應安全設備管理器采用直觀的,簡單的,基于WEB的界面管理來對Cisco的一些自適應的安全設備進行管理和監(jiān)控。要使用ADSM,HTTPS服務器需要使用啟用ssl協議到安全設備之間的連接。安全設備支持通過AAA 服務器和設備的本地數據庫來實現認證,授權和計費(AAA)功能。AAA功能可以對設備進行額外的保護,具有優(yōu)秀的擴展性并且可以更好地實現用戶訪問控制功能。AAA服務體系是在對網絡和設備進行訪問控制策略實施中所采用的一種集成了認證、授權與記賬等功能組件的模塊化體系結構的安全機制。正是AAA有如此強大的功能,因此AAA服務的應用非常的廣泛,在以太網接入、遠程撥號連接以及Internet接入等網絡環(huán)境中不僅僅對設備的管理訪問進行了控制,而且對這些環(huán)境中數據資源的訪問提供了系統(tǒng)化的、可擴展的訪問控制。圖41 AAA體系結構AAA客戶端——實際上就是支持AAA服務的各種網絡設備。AAA服務器——典型的就是安裝了Cisco ACS軟件的windows2000/2003的服務器。 也有UNIX版本的。AAA安全協議——在AAA客戶端與AAA服務器之間承載認證、授權、審計消息的AAA協議。如:TACACS+、RADIUS。TACACS+:終端訪問控制器訪問控制系統(tǒng),Cisco的私有安全協議,承載于TCP協議中,端口號為49,它提供了單獨的和模塊化的驗證、授權和審計工具。RADIUS:遠程身份驗證撥入用戶的服務,國際標準協議,承載于UDP協議中,端口號為1811813;它提供了模塊化驗證、授權功能和單獨的統(tǒng)計功能。在對管理安全設備實施訪問控制的方面,可以通過TACACS+、Radius和本地數據庫實現AAA功能。需要注意的是本地數據庫不支持計費功能,Radius不支持授權功能。這倒不是這些設備不支持這些功能,而是協議自身存在的局限性。我們的二層網絡是通過交換機來抵御安全威脅的,這些威脅源自于OSI模型第二層(數據鏈路層)的諸多缺陷。當數據流穿越網絡時,交換機會住在流量的轉發(fā)。因此,為了打造功能豐富、性能優(yōu)良、設計完善的網絡,我們應該把目光集中到交換機的安全特性上。在網絡設備之間進行數據傳輸時,數據鏈路層面臨著嚴峻的考驗。然而,網絡安全符合短板效應,也就是說網絡中最薄弱的環(huán)節(jié)決定了網絡整體的安全性,二數據鏈路層也是網絡整體的一部分。如果第二層不能得到有效地保護,那么即使在上層實施最好的安全策略也是無濟于事??紤]到這些問題,Cisco交換機提供了廣泛的二層安全特性,這些特性既可以用來保護網絡中的數據,也可以保護設備自身。下面將會涉及到二層網絡的相關安全保護機制。基于端口的流量控制特性可以提供端口級別的保護。而Catalyst交換機可以提供的相關特性有Storm Control、Protected Ports、Pvlan、Port Blocking和Port Security等。1. Storm Control當惡意數據包在本地局域網內泛洪,產生超過網絡承載能力的多余流量并影響了網絡的性能,就叫做發(fā)生了一次局域網風暴。網絡風暴產生的原因不勝枚舉,比如網絡協議棧字的錯誤應用、設備的不當配置,這些問題都可以引發(fā)網絡風暴。而風暴控制特性則可以讓物理接口的廣播、組播和單播流量服務對正常的網絡流量形成干擾,進行一次監(jiān)控,然后再把所獲得的數據配置在設備上將風暴抑制級別進行對比??梢愿鶕韵聝煞N方式來衡量相應流量是否需要進行抑制。(1) 傳輸流量占端口可用總帶寬的百分比,可以單獨對廣播、組播和單播流量進行監(jiān)控。(2) 接口接收廣播、組播和單播數據包的流量速率,即該接口每秒收到了多少數據包。不管使用哪種方式,只要監(jiān)控所得的數值超過了設定的門限值,端口就會被阻塞,所有的后續(xù)流量都要被過濾掉。而且只要端口處于阻塞狀態(tài),它就會不斷地丟棄數據包,直到流量速率降低到設定的門限之下。那時候,端口會恢復到正常狀態(tài),流量也重新得以轉發(fā)。2. Protected Port、Pvlan Edge不同的網絡環(huán)境需求各不相同,有時候,企業(yè)的管理員希望處于同一個本地局域網中的主機不能交互數據,也就是隔離主機之間的通信。端口隔離特性可以建立一道如防火墻的屏障來隔離通信。在交換機隔離端口之間傳輸的一切廣播、組播和單播流量都會被過濾。但是,端口隔離具有本地意義,換句話說,此特性不
點擊復制文檔內容
環(huán)評公示相關推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1