❶ 保护内网安全的方法
内网是网络应用中的一个主要组成部分,其安全性也受到越来越多的重视。今天就给大家脑补一下内网安全的保护方法。
对于大多数企业局域网来说,路由器已经成为正在使用之中的最重要的安全设备之一。一般来说,大多数网络都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。
经过恰当的设置,边缘路由器能够把几乎所有的最顽固的坏分子挡在网络之外。如果你愿意的话,这种路由器还能够让好人进入网络。不过,没有恰当设置的路由器只是比根本就没有安全措施稍微好一点。
在下列指南中,我们将研究一下你可以用来保护网络安全的9个方便的步骤。这些步骤能够保证你拥有一道保护你的网络的砖墙,而不是一个敞开的大门。
1.修改默认的口令!
据国外调查显示,80%的安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的广泛的默认口令列表。你可以肯定在某些地方的某个人会知道你的生日。SecurityStats.com网站维护一个详尽的可用/不可用口令列表,以及一个口令的可靠性测试。
2.关闭IP直接广播(IP Directed Broadcast)
你的服务器是很听话的。让它做什么它就做什么,而且不管是谁发出的指令。Smurf攻击是一种拒绝服务攻击。在这种攻击中,攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网络性能。
参考你的路由器信息文件,了解如何关闭IP直接广播。例如,“Central(config)#no ip source-route”这个指令将关闭思科路由器的IP直接广播地址。
3.如果可能,关闭路由器的HTTP设置
正如思科的技术说明中简要说明的那样,HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而,遗憾的是,HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。
虽然这种未加密的口令对于你从远程位置(例如家里)设置你的路由器也许是非常方便的,但是,你能够做到的事情其他人也照样可以做到。特别是如果你仍在使用默认的口令!如果你必须远程管理路由器,你一定要确保使用SNMPv3以上版本的协议,因为它支持更严格的口令。
4.封锁ICMP ping请求
ping的.主要目的是识别目前正在使用的主机。因此,ping通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收ping请求的应答能力,你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的“脚本小子”(script kiddies)。
请注意,这样做实际上并不能保护你的网络不受攻击,但是,这将使你不太可能成为一个攻击目标。
5.关闭IP源路由
IP协议允许一台主机指定数据包通过你的网络的路由,而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是,这种用途很少应用。这项功能最常用的用途是为了侦察目的对你的网络进行镜像,或者用于攻击者在你的专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障,否则应该关闭这个功能。
6.确定你的数据包过滤的需求
封锁端口有两项理由。其中之一根据你对安全水平的要求对于你的网络是合适的。
对于高度安全的网络来说,特别是在存储或者保持秘密数据的时候,通常要求经过允许才可以过滤。在这种规定中,除了网路功能需要的之外,所有的端口和IP地址都必要要封锁。例如,用于web通信的端口80和用于SMTP的110/25端口允许来自指定地址的访问,而所有其它端口和地址都可以关闭。
大多数网络将通过使用“按拒绝请求实施过滤”的方案享受可以接受的安全水平。当使用这种过滤政策时,可以封锁你的网络没有使用的端口和特洛伊木马或者侦查活动常用的端口来增强你的网络的安全性。例如,封锁139端口和445(TCP和UDP)端口将使黑客更难对你的网络实施穷举攻击。封锁31337(TCP和UDP)端口将使Back Orifice木马程序更难攻击你的网络。
这项工作应该在网络规划阶段确定,这时候安全水平的要求应该符合网络用户的需求。查看这些端口的列表,了解这些端口正常的用途。
7.建立准许进入和外出的地址过滤政策
在你的边界路由器上建立政策以便根据IP地址过滤进出网络的违反安全规定的行为。除了特殊的不同寻常的案例之外,所有试图从你的网络内部访问互联网的IP地址都应该有一个分配给你的局域网的地址。例如,192.168.0.1 这个地址也许通过这个路由器访问互联网是合法的。但是,216.239.55.99这个地址很可能是欺骗性的,并且是一场攻击的一部分。
相反,来自互联网外部的通信的源地址应该不是你的内部网络的一部分。因此,应该封锁入网的192.168.X.X、172.16.X.X和10.X.X.X等地址。
最后,拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该允许通过这台路由器。这包括回送地址127.0.0.1或者E类(class E)地址段240.0.0.0-254.255.255.255。
8.保持路由器的物理安全
从网络嗅探的角度看,路由器比集线器更安全。这是因为路由器根据IP地址智能化地路由数据包,而集线器相所有的节点播出数据。如果连接到那台集线器的一个系统将其网络适配器置于混乱的模式,它们就能够接收和看到所有的广播,包括口令、POP3通信和Web通信。
然后,重要的是确保物理访问你的网络设备是安全的,以防止未经允许的笔记本电脑等嗅探设备放在你的本地子网中。
9.花时间审阅安全记录
审阅你的路由器记录(通过其内置的防火墙功能)是查出安全事件的最有效的方法,无论是查出正在实施的攻击还是未来攻击的征候都非常有效。利用出网的记录,你还能够查出试图建立外部连接的特洛伊木马程序和间谍软件程序。用心的安全管理员在病毒传播者作出反应之前能够查出“红色代码”和“Nimda”病毒的攻击。
此外,一般来说,路由器位于你的网络的边缘,并且允许你看到进出你的网络全部通信的状况。
❷ 企业级网络安全威胁分析及安安全策略制定
企业级网络安全威胁分析及安安全策略制定
近年来,互联网技术飞速发展,极大的方便了人们的沟通交流。但是黑客、病毒的存在也给企业网络安全敲响警钟。本文对企业级网络安全的威胁源头进行分析,并针对各个源头提出对应的应对策略。
一、企业的网络安全现状
据统计,我国现有企业的网络安全现状是不容乐观的,其主要表现在以下几个方面: 信息和网络的安全防护能力差; 网络安全人才缺乏; 企业员工对网络的安全保密意识淡薄,企业领导对网络安全方面不够重视等。一部分企业认为添加了各种安全产品之后,该网络就已经安全了,企业领导基本上就是只注重直接的经济利益回报的投资项目,对网络安全这个看不见实际回馈的资金投入大部分都采取不积极的态度,其中起主导作用的因素还有就是企业缺少专门的技术人员和专业指导,导致我国目前企业的网络安全建设普遍处于不容乐观的状况。
二、网络安全常见威胁
1、计算机病毒
计算机病毒指在计算机程序中插入的破坏计算机功能和数据、影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。具有寄生性、传染性、隐蔽性等特点。常见的破坏性比较强的病毒经常表现为:蓝屏、机卡、CPU、自动重启使用率高、打不开杀毒软件等,并且在短时间内传播从而导致大量的计算机系统瘫痪,对企业或者个人造成重大的经济损失。
2、非授权访问
指利用编写和调试计算机程序侵入到他方内部网或专用网,获得非法或未授权的网络或文件访问的行为。如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
3、木马程序和后门
木马程序和后门是一种可以通过远程控制别人计算机的程序,具有隐蔽性和非授权性的特点。企业的某台计算机被安装了木马程序或后门后,该程序可能会窃取用户信息,包括用户输入的各种密码,并将这些信息发送出去,或者使得黑客可以通过网络远程操控这台计算机,窃取计算机中的用户信息和文件,更为严重的是通过该台计算机操控整个企业的网络系统,使整个网络系统都暴露在黑客间谍的眼前。
三、网络的安全策略
1、更改系统管理员的账户名
应将系统管理员的账户名由原先的Administrator改为一个无意义的字符串.这样要叠录的非法用户不但要猜准口令。还必须猜出用户名.这种更名功能在域用户管理器的User Properties对话框中并没有设置.用它的User-*-Rename菜单选项就可以实现这一功能.如果用的是NT
4.0.可以用Resource Kit中提供的工具封锁联机系统管理员账号.这种封锁仅仅对由网络过来的非法叠录起作用.
2、关闭不必要的向内TCP/IP端口
非法用户进入系统并得到管理员权限之后.首先要做的,必定设法恢复管理员刻意废止的TCP/IP上的NetBIOS装订.管理员应该使用路由器作为另一道防线。即提供web和FTP之类公共服务的NT服务器.这种情况下,只须保留两条路由器到服务器的向内路径:端日80的H1vrP和端日2l的FTP.
3、防火墙配置
防火墙是在2个网络间实现访问控制的1个或1组软件或硬件系统,它是外部网络与内部网络之间的第1道安全屏障。本建设方案主要采用硬件防火墙,其主要功能就是屏蔽和允许指定的数据通讯,而这个功能的实现又主要是依靠一套访问控制策略,由访问控制策略来决定通讯的合法性,该控制策略的具体内容由企业的安全管理员和系统管理员共同来制定。
制定的防火墙安全策略主要有: 所有从内到外和从外到内的数据包都必须经过防火墙; 只有被安全策略允许的数据包才能通过防火墙; 服务器本身不能直接访问互联网; 防火墙本身要有预防入侵的功能; 默认禁止所有服务,除非是必须的服务才允许。而其他一些应用系统需要开放特殊的端口由系统管理员来执行。
4、VLAN 的划分
VLAN 是为解决以太网的广播问题和安全性而提出的一种协议。VLAN 之间的访问需要通过应用系统的授权来进行数据交互。为保护敏感资源和控制广播风暴,在3 层路由交换机的集中式网络环境下,将网络中的所有客户主机和服务器系统分别集中到不同的VLAN 里,在每个VLAN 里不允许任何用户设置IP、用户主机和服务器之间相互PING,不允许用户主机对服务器的数据进行编_,只允许数据访问,从而较好地保护敏感的主机资源和服务器系统的数据。采用3 层交换机,通过VLAN 划分,来实现同一部门在同一个VLAN 中,这样既方便同部门的数据交换,又限制了不同部门之间用户的直接访问。
5、身份认证
身份认证是提高网络安全的主要措施之一。其主要目的是证实被认证对象是否属实,常被用于通信双方相互确认身份,以保证通信的安全。常用的网络身份认证技术有: 静态密码、USB Key 和动态口令、智能卡牌等。其中,最常见的使用是用户名加静态密码的方式。而在本方案中主要采用USB Key的方式。基于USB Key 的身份认证方式采用软硬件相结合,很好地解决了安全性与易用性之间的矛盾,利用USB Key 内置的密码算法实现对用户身份的认证。USB Key 身份认证系统主要有2 种应用模式: 一是基于冲击、响应的认证模式; 二是基于PKI 体系的认证模式。
6、制订网络系统的应急计划
为了将由意外事故引起的网络系统损害降低到最小程度,企业应制订应急计划.以防意外事故使网络系统遭受破坏.该应急计划应包括紧急行动方案及软、硬件系统恢复方案等.绝对的安全是没有的,安全标准的追求是以资金和方便为代价的.我们应随时根据网络系统的运行环境而采用相应的安全保护策略.通过对计算机网络系统安全问题的充分认识.以及行政、技术和物质手段的保证。网络系统就能够有足够的安全性来对付各种不安全问题.
结语
如何确保计算机网络信息的安全是每一个网络系统的设计者和管理者都极为关心的热点,当然,也是企业关心的重点。一个全方位的安全方案是非常难以实现的,只有在企业领导的支持下,在技术人员和管理人员的努力下,结合企业的实际情况,制定出相应的解决措施,才是符合本企业的安全方案。本文主要讨论了计算机网络的安全的几种不同的威胁,给出了相应安全策略以及相应的安全产品,提出了计算机网络系统实施建设的基本方案。
来源:时代财富
❸ 鎴戝浗绉戞妧瀹夊叏闱涓村摢浜涙写鎴
鎴戝浗绉戞妧瀹夊叏闱涓寸殑鎸戞垬涓昏佸寘𨰾鎶链渚濊禆椋庨橹銆佸垱鏂颁綋绯讳笉瀹屽杽銆佷汉镓嶆祦澶变互鍙婄绣缁滃畨鍏ㄥ▉鑳佺瓑銆
棣栧厛锛屾妧链渚濊禆椋庨橹鏄鎴戝浗绉戞妧瀹夊叏闱涓寸殑閲嶈佹写鎴树箣涓銆傚湪鍏ㄧ悆鍖栫殑鑳屾櫙涓嬶纴鎴戝浗鍦ㄦ煇浜涘叧阌棰嗗烟楂桦害渚濊禆锲藉栨妧链锛屽傞珮绔鑺鐗囥佹搷浣灭郴缁熺瓑銆傝繖绉嶆妧链渚濊禆鍙鑳藉艰嚧渚涘簲阈句腑鏂銆佹妧链灏侀挛绛夐庨橹锛岃繘钥屽▉鑳佸埌锲藉跺畨鍏ㄣ备緥濡傦纴涓缇庤锤鏄撴垬链熼棿锛岀编锲藉瑰崕涓虹瓑涓锲戒紒涓氱殑鎶链灏侀挛锛屽氨鍑告樉浜嗘垜锲藉湪鍏抽敭棰嗗烟镄勬妧链渚濊禆闂棰樸
鍏舵★纴鍒涙柊浣撶郴涓嶅畬锽勪篃鏄鎴戝浗绉戞妧瀹夊叏闱涓寸殑鎸戞垬涔嬩竴銆傝槠铹舵垜锲界戞妧鍒涙柊鑳藉姏涓嶆柇鎻愬崌锛屼絾鏁翠綋鍒涙柊浣撶郴浠嶅瓨鍦ㄤ竴浜涢梾棰桡纴濡傚垱鏂拌祫婧愰厤缃涓嶅悎鐞嗐佺戞妧鎴愭灉杞鍖栫巼浣庣瓑銆傝繖浜涢梾棰桦埗绾︿简鎴戝浗绉戞妧鍒涙柊镄勬晥鐜囧拰鏁堟灉锛屼篃褰卞搷浜嗘垜锲藉湪鍏ㄧ悆绉戞妧绔炰簤涓镄勫湴浣嶃
姝ゅ栵纴浜烘墠娴佸け涔熸槸鎴戝浗绉戞妧瀹夊叏闱涓寸殑涓涓閲嶈佹写鎴樸傞殢镌鍏ㄧ悆鍖栫殑锷犻熷拰浜烘墠绔炰簤镄勫姞鍓э纴鎴戝浗闱涓寸潃浼樼浜烘墠娴佸け镄勯庨橹銆傝繖浜涙祦澶辩殑浜烘墠鍙鑳藉皢鍏抽敭鎶链銆佸晢涓氱桦瘑绛夊甫鍒板浗澶栵纴瀵规垜锲界殑绉戞妧瀹夊叏鏋勬垚濞佽儊銆备緥濡傦纴涓浜涢珮绉戞妧浼佷笟镄勬牳蹇冩妧链浜哄憳绂昏亴钖庯纴锷犲叆锲藉栫珵浜夊规坠锛屽氨鍙鑳藉艰嚧鎴戝浗鍦ㄨラ嗗烟镄勬妧链浼桦娍涓уけ銆
链钖庯纴缃戠粶瀹夊叏濞佽儊涔熸槸鎴戝浗绉戞妧瀹夊叏闱涓寸殑閲嶈佹写鎴树箣涓銆傞殢镌浜掕仈缃戠殑鏅鍙婂拰鏁板瓧鍖栬繘绋嬬殑锷犻燂纴缃戠粶瀹夊叏闂棰樻棩鐩婄獊鍑恒傞粦瀹㈡敾鍑汇佺梾姣掍紶鎾銆佺绣缁滆痪楠楃瓑缃戠粶瀹夊叏浜嬩欢棰戝彂锛屽规垜锲界殑绉戞妧瀹夊叏阃犳垚浜嗕弗閲嶅▉鑳併备緥濡傦纴涓浜涢粦瀹㈠埄鐢ㄦ纺娲炴敾鍑绘垜锲介吨瑕佷俊鎭绯荤粺锛岀獌鍙栨晱镒熸暟鎹锛屽氨鍙鑳藉规垜锲界殑锲藉跺畨鍏ㄩ犳垚閲嶅ぇ褰卞搷銆
缁间笂镓杩帮纴鎴戝浗绉戞妧瀹夊叏闱涓寸潃澶氭柟闱㈢殑鎸戞垬銆备负浜嗗簲瀵硅繖浜涙写鎴桡纴鎴戝浗闇瑕佸姞寮鸿嚜涓诲垱鏂拌兘锷涳纴瀹屽杽鍒涙柊浣撶郴锛屽姞寮轰汉镓嶉槦浼嶅缓璁撅纴鎻愰珮缃戠粶瀹夊叏阒叉姢鑳藉姏绛夈傚悓镞讹纴杩橀渶瑕佸姞寮哄浗闄呭悎浣滐纴鍏卞悓搴斿瑰叏鐞冩х殑绉戞妧瀹夊叏鎸戞垬銆