【正文】 為了保證準確性， 入侵檢測系統(tǒng)應(yīng) 使用 豐富的 攻擊識別和檢測技術(shù)，在這些技術(shù)中，每一種都 應(yīng) 有其固有的優(yōu)勢和弱點，這也說明了為什么沒有一種單一的入侵檢測技術(shù)能夠達到用戶可四川省 XXX 院 信息安全 建設(shè)方案 28 成都 XXXX 信息技術(shù)有限公司 接受的防護效果。 因此，必須在原有全局安全網(wǎng)絡(luò)的基礎(chǔ)上，通過內(nèi)網(wǎng)安全防火墻，構(gòu)建服務(wù)器 DMZ 區(qū)，對服務(wù)器區(qū)實施有效的安全保證 ，在防止外來威脅的同時，也防止來自內(nèi)網(wǎng)的安全威脅 。 總體方案 總體方案應(yīng)在建立全局安全網(wǎng)絡(luò) (GSN)的基礎(chǔ)上，加強以下內(nèi)容： (1) 建立服務(wù)器 DMZ 區(qū)； (2) 加強入侵檢測； (3) 采用應(yīng)用控制引擎； (4) 構(gòu)建穩(wěn)定、可靠、安全的數(shù)據(jù)中心。 應(yīng)用 擴展后的安全體系建設(shè) 我單位網(wǎng)絡(luò)及信息系統(tǒng)將對公眾提供對外資源服務(wù)，數(shù)據(jù)交換量較大，安全性、穩(wěn)定性、可靠性要求高。配合 WEB管理中的用戶審核，可高效安全的實現(xiàn)用戶資料的收集和記錄 ? 用戶 WEB 自助服務(wù)功能，用戶可通過 WEB 自助服務(wù)頁面，進行個人四川省 XXX 院 信息安全 建設(shè)方案 26 成都 XXXX 信息技術(shù)有限公司 資料的查詢、密碼修改、上網(wǎng)明細查詢 等 。 (2) 管理功能 ? 應(yīng) 支持 DHCP Option82，配合交換機的 DHCP Relay 實現(xiàn)對用戶 IP 和權(quán)限的靈活分配 ? 提供 人性化的消息提示和記錄功能，包括系統(tǒng)廣告、個性信息、認證失敗原因信息、用戶下線原因記錄與提示功能； ? 安全嚴格的管理員和安全組管理，保證管理員權(quán)限的同時，提供靈活的權(quán)限定制方式，可實現(xiàn)分級管理，權(quán)限細化 至 第三級菜單； ? 有完善的 用戶管理模式，通過完整的組策略，將系統(tǒng)中的服務(wù)、接入控制、接入 時段、帳號模板、用戶組等概念將系統(tǒng)中使用的功能進行全面系統(tǒng)組織，不僅有利于系統(tǒng)配置和管理，也有利于理解和學(xué)習(xí)系統(tǒng)； ? 提供各種在線統(tǒng)計分析功能，包括在線用戶信息、用戶分布情況、業(yè)務(wù)開通情況等； ? 集成的 WEB 網(wǎng)管功能，可對網(wǎng)絡(luò)中的 NAS 設(shè)備和 IP 網(wǎng)段進行統(tǒng)一的管理。將未 知安全事件預(yù)設(shè)為普通、嚴重、災(zāi)難三個級別，可根據(jù)預(yù)先定義的事件模板進行處理。當出現(xiàn)緊急安全事件時，第一時間全網(wǎng)部署安全策略； ? 按日、周、月輸出安全事件報表。用戶觸發(fā)安全事件后，可自動給四川省 XXX 院 信息安全 建設(shè)方案 25 成都 XXXX 信息技術(shù)有限公司 用戶下發(fā)修復(fù)程序。 詳細功能 (1) 安全功能 ? 強大而靈活的綁定設(shè)置，可以實現(xiàn)用戶 賬號 、用戶 IP、用戶 MAC、 NAS IP、 NAS Port 的靜態(tài)綁定、動態(tài)綁定以及自動綁定，最大程度保證用戶入網(wǎng)身份唯一； ? 限制用戶認證客戶端 程序的類型和版本號，自動升級認證客戶端程序，防客戶端破解； ? 強大的日志功能，可記錄和查詢服務(wù)日志、 IDS 詳細日志、 系統(tǒng)日志、管理員操作日志、用戶 WEB 自助服務(wù)日志，實現(xiàn)事后的審計； ? 系統(tǒng)可自動發(fā)現(xiàn)網(wǎng)絡(luò)中的安全事件，深度分析報文數(shù)據(jù)字段，對 超過2020 多種 的 安全事件或病毒進行監(jiān)測； ? 系統(tǒng)可進行實時在線升級，有效防御最新的網(wǎng)絡(luò)攻擊和病毒； ? 針對發(fā)現(xiàn)的安全事件可選擇警告、修復(fù)、阻斷三種處理方式，并且可以選擇同一事件以后是否自動執(zhí)行。 (2) 用戶能夠清晰的了解到系統(tǒng)自動對其處理的安全事件和措施，出現(xiàn)網(wǎng)絡(luò)故 障時，能夠提供網(wǎng)絡(luò)在線報修平臺，提高故障管理的效率，極大的減輕了網(wǎng)絡(luò)中心的工作壓力； (3) 事件，可迅速追查到人； (4) 能夠提供多種地址綁定手段，并能嚴格限定地址獲取方式，防止 IP 地址沖突及盜用； (5) 緊急的系統(tǒng)補丁，文件通知，將能夠簡單便捷的分發(fā)至每一個用戶。 四川省 XXX 院 信息安全 建設(shè)方案 24 成都 XXXX 信息技術(shù)有限公司 管理特性 (1) 應(yīng)具有 用戶管理模式。構(gòu)建一個全局安全網(wǎng)絡(luò)。 (1) 認證管理平臺 — — 提供用戶身份、地址、端口綁定功能； (2) 安全策略平臺 —— 將對發(fā)現(xiàn)的安全事件進行判斷，以確定調(diào)用何種安全策略進行處理； 四川省 XXX 院 信息安全 建設(shè)方案 23 成都 XXXX 信息技術(shù)有限公司 (3) 安全修復(fù)平臺 —— 對于觸發(fā)安全事件的用戶，將其隔離到安全修復(fù)平臺，自動對其進行修復(fù)； (4) 入侵檢測系統(tǒng)（ IDS） —— 負責對全網(wǎng)的用戶行為進行監(jiān)控和記錄，將網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)攻擊、異常流量、蠕蟲病毒、 P2P 應(yīng)用等安全事件通告給安全策略平臺； (5) 安全交換機 —— 對于安全策略平臺下發(fā)的策略進行處理，實時對網(wǎng)絡(luò)用戶的安全事件進行阻斷或隔離； (6) 安全客戶端 —— 對用戶的安 全行為進行告警和提示，并能夠?qū)Π踩呗云脚_下發(fā)的補丁、軟件自動安裝運行 。各種安全設(shè)備管理復(fù)雜，對于網(wǎng)絡(luò)的整體安全性提升有限。 安全挑戰(zhàn) ? 用戶可以在網(wǎng)絡(luò)內(nèi)的任意地點隨意接入網(wǎng)絡(luò)，出現(xiàn)安全問題后無法追查到用戶身份； ? 網(wǎng)絡(luò)病毒泛濫，網(wǎng)絡(luò)攻擊成上升趨勢。 ? 限制可以管理交換機的 IP， 所選擇的 交換機 必須 支持 Tel 和 Web 的源 IP 訪問控制列表。 ? 管理 VLAN 與用戶 VLAN 分開。 ? 一般的網(wǎng)絡(luò)管理協(xié)議： SNMPv2， Tel， Web 等都是明文登錄和傳輸信息的。 防范： 防 IP 掃描：檢測用戶、隔離用戶（發(fā)日志信息）、恢復(fù)通訊（發(fā)日志信息） 被監(jiān)控的攻擊主機數(shù)量、隔離用戶的時間都可以根據(jù)網(wǎng)絡(luò)實際狀況設(shè)置。 防范： RFC 28227 的入口過濾規(guī)則。 四川省 XXX 院 信息安全 建設(shè)方案 21 成都 XXXX 信息技術(shù)有限公司 Dos/Ddos 攻擊 Dos 攻擊： 占用網(wǎng)絡(luò)帶寬，占用服務(wù)器提供的服務(wù)資源，表現(xiàn)為合法用戶的請求得不到服務(wù)的響應(yīng)，被攻擊方的 CPU 滿負荷或內(nèi)存不足。從而防范用戶發(fā)送非法 BPDU 報文。 STP 攻擊 發(fā)送虛假的 BPDU 報文，擾亂網(wǎng)絡(luò)拓撲和鏈路架構(gòu)，可以導(dǎo)致整個網(wǎng) 絡(luò) 癱瘓。 IP/MAC 攻擊 MAC 欺騙： 盜用合法用戶的 MAC 地址，侵入網(wǎng)絡(luò)，使得正常用戶無法上網(wǎng)； IP 欺騙： ? 盜用合法用戶的 IP 地址，使得到合法用戶的通訊得不到響應(yīng)，造成 Ping of death，和 ICMP 不可達風(fēng)暴； ? 不斷修改 IP，發(fā)送 TCP SYN 連接，攻擊 Server，造成 SYN Flood。 ARP 攻擊 ARP 攻擊： ARP 欺騙 ARP 欺騙者：利用 ARP 漏洞，發(fā)送虛假的 ARP 請求報文和響應(yīng)報文，報文中的源 IP 和源 MAC 均為虛假的，或錯誤的網(wǎng)關(guān) IP 和網(wǎng)關(guān) MAC 對應(yīng)關(guān)系，擾四川省 XXX 院 信息安全 建設(shè)方案 20 成都 XXXX 信息技術(shù)有限公司 亂局域網(wǎng)中各 PC 以及網(wǎng)關(guān)中保存的 ARP 表，使得網(wǎng)絡(luò)中的合法 PC 正常上網(wǎng)、通訊中斷，并且流量都可流入到攻擊者手中。收到 DHCP響應(yīng)報文后（ Offer， ACK， NAK 報文）， CPU 會判定報文中的源 IP 地址是否為交換機中設(shè)定的 DHCP Server 的地址 ，從而保證 DHCP 響應(yīng)報文的合法性。 而 所選擇的 交換機 應(yīng) 具有 DHCP Relay 功能，一旦啟用 DHCP Relay 功能，并且配置了 DHCP Server 的 IP 地址，則客戶端發(fā)出的 DHCP 請求，在交換機中將不以廣播包的形式轉(zhuǎn)發(fā)出去，而是直接到交換機 CPU，從而有效避免 DHCP請求報文廣播出去被非法 DHCP Server 收到。 防范： ? 控制客戶端發(fā)出的 DHCP 請求報文被廣播出去； ? 檢查和控制 DHCP 響應(yīng)報文是否：是合法 DHCP Server 發(fā)出的報文。當交換機一個端口的 MAC 地址的數(shù)目已經(jīng)達到允許的最大個數(shù)后，如果該端口 收到一個源地址不屬于端口上的 MAC 安全地址的包時，交換機則采取措施。 DHCP 攻擊 DHCP 攻擊之一： 惡意用戶通過更換 MAC 地址的方式向 DHCP Server 發(fā)送大量的 DHCP 請求，以消耗 DHCP Server 可分配的 IP 地址為目的，使得合法用戶的 IP 請求無法實現(xiàn)。 四川省 XXX 院 信息安全 建設(shè)方案 18 成都 XXXX 信息技術(shù)有限公司 常見 網(wǎng)絡(luò)攻擊 防范 設(shè)計 網(wǎng)絡(luò)中針對交換機的攻擊和必須經(jīng)過交換機的攻擊有如下幾種： ? MAC 攻擊 ? DHCP 攻擊 ? ARP 攻擊 ? IP/MAC 欺騙攻擊 ? STP 攻擊 ? DoS/DDoS 攻擊 ? IP 掃描攻擊 ? 網(wǎng)絡(luò)設(shè)備管理安全 MAC 攻擊 攻擊： 交換機內(nèi)部的 MAC 地址表空間是有限的， MAC 攻擊會很快占滿交換機內(nèi)部 MAC 地址表，使得單播包在交換機內(nèi)部也變成廣播包向同一個 VLAN 中所有端口轉(zhuǎn)發(fā)，每個連在端口上的客戶端都可以收到該報文，交換機變成了一個 Hub，用戶的信息傳輸也沒有安全保障了。 accesslist 101 deny icmp any any 阻斷感染病毒的 PC 向外發(fā)送大量的 ICMP 報文，防止其堵塞網(wǎng)絡(luò)。 在這里可以利用交換機的 ACL 來關(guān)閉 ICMP 服務(wù)，以及相應(yīng)端口，達到控制沖擊波病毒傳播的目的。 遭到?jīng)_擊波病毒感染的計算機會出現(xiàn)如下癥狀： (1) 用戶上網(wǎng)變慢， ping 丟包嚴重； (2) 莫名其妙地死機或重新啟動計算機； (3) IE 瀏覽器不能正常地打開鏈接； (4) 不能復(fù)制粘貼；有時出現(xiàn)應(yīng)用程序，比如 Word 異常。 ? 如果攻擊成功，會監(jiān)聽目標系統(tǒng)的 TCP/4444 端口作為后門，并綁定。 四川省 XXX 院 信息安全 建設(shè)方案 17 成都 XXXX 信息技術(shù)有限公司 ? 蠕蟲選擇目標 IP 地址的時候會首先選擇受感染系統(tǒng)所在子網(wǎng)的 IP，然后再按照一定算法隨機在互連網(wǎng)上用 ICMP 掃描的方法選擇 目標攻擊，即發(fā)送大量的 ICMP 報文（ Ping 包）。然后蠕蟲會在注冊表中添加以下鍵值： “windows auto update”=“”以保證每次用戶登錄的時候蠕蟲都會自動運行。因為該漏洞影響所有沒有安裝 MS03026 補丁的 Windows20 Windows XP、 Windows 2020 系統(tǒng)，不僅是服務(wù)器，也包括個人計算機在內(nèi)，所以危害極大 。另外，也提供充足的時間讓網(wǎng)絡(luò)中的客戶進行殺毒、修復(fù)等，等攻擊隱患消除后，再開啟對應(yīng)的服務(wù)端口（需要提供 Web 服務(wù)的服務(wù)器）。根據(jù)監(jiān)聽分析通過一個 60 多 臺IIS 服務(wù)主機的網(wǎng)絡(luò)， RED CODE 內(nèi)外相互攻擊包每秒通過路由器平均達 4239個，傳播速度非常驚人；如下圖： 四川省 XXX 院 信息安全 建設(shè)方案 16 成都 XXXX 信息技術(shù)有限公司 紅色代碼及其變種利用微軟 IIS 遠程緩存溢出的漏洞獲得系統(tǒng)權(quán)限，并在這個感染的 Web 服務(wù)器上拷貝一個后門程序，在 IIS 上設(shè)置完全共享的虛擬目錄，給黑客完全的訪問權(quán)限，從而可以全面控制被攻擊網(wǎng)絡(luò)的全部資源，對網(wǎng)絡(luò)的安全構(gòu)成極高的威脅。病毒大量掃描和 DoS攻擊導(dǎo)致網(wǎng)絡(luò)路由器和三層交換機過載，表現(xiàn)為用戶上網(wǎng)速度變慢，網(wǎng)絡(luò)阻塞。 常見 網(wǎng)絡(luò) 危害 病毒 防范 設(shè)計 現(xiàn)在網(wǎng)絡(luò)病毒對網(wǎng)絡(luò)的沖擊影響已經(jīng)越來越大，如非常猖狂的紅色代碼（ codered）、沖擊波（ MS Blaster）等網(wǎng)絡(luò)病毒，所以有必要對網(wǎng)絡(luò)病毒繼續(xù)有效的控制。而不同虛擬網(wǎng)之間的訪問通過多層交換實現(xiàn)，接受嚴格的安全訪問控制。 通過虛擬網(wǎng)劃分，可將數(shù)據(jù)點劃分成一個個獨用的虛擬網(wǎng)，方便地交換數(shù)據(jù)，同時隔離外界的不必要的干擾。 (8)建立相應(yīng)的子網(wǎng)間的訪問策略，在三層路由交換機配置訪問列表。 (6)根據(jù)信息流量的走向和分布，確定服務(wù)器集群的 VLAN 和 IP 子網(wǎng)。建立 VLAN和 IP 子網(wǎng)的對應(yīng)關(guān)系。 (3)選擇合適的路由協(xié)議進行子網(wǎng)路由。 (2)確定 IP 子網(wǎng)的聚合點，聚合點以下采用連續(xù)的子網(wǎng)劃分。 VLAN 的劃分與 IP 子網(wǎng)的規(guī)劃存在很大的關(guān)系。 (4)VLAN 使網(wǎng)絡(luò)的組織更具靈活性。 (3)VLAN 大大增強了網(wǎng)絡(luò)及其信息的安全性。在較大規(guī)模的網(wǎng)絡(luò)中，大量的廣播信息很容易引起網(wǎng)絡(luò)性能的急劇降低，甚至使網(wǎng)絡(luò)癱瘓。因為通信流量只局限于本子網(wǎng)中，不會對其它子網(wǎng)產(chǎn)生干擾。 VLAN 規(guī)劃 在網(wǎng)絡(luò)成為必不可少的工具、信息處理成為日常工作的重心后， VLAN 技術(shù)的運用顯得越來越重要。然后再根據(jù)不同的部門，或者根據(jù)地理位置來進行詳細的子網(wǎng)劃分。即分為接入用戶的 IP 規(guī)劃、網(wǎng)絡(luò)設(shè)備的管理 IP 規(guī)劃兩部分。具體來說， IP 地址規(guī)劃應(yīng)該遵循以下原則： ? 可擴展性： IP 地址的規(guī)劃與劃分應(yīng)該考慮到 網(wǎng)絡(luò) 的發(fā)展，能夠滿足未來發(fā)展的需要；即要滿足本期工程對 IP 地址的需求，同時要充分考慮未來業(yè)務(wù)發(fā)展，預(yù)留相應(yīng)的地址段； ? 唯一性：一個 IP 網(wǎng)絡(luò)中不能有兩個主機采用相同的 IP 地址； ? 簡單性：地址分配應(yīng)簡單、易于管理，降低網(wǎng)絡(luò)擴展的復(fù)雜性，簡化 路由表的款項；