扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在我们的防御体系中,我们为入侵者设置了层层屏障。 一个入侵者必须通过的屏障有以下方面。这将增加入侵者被防住的机率,同时也增加了审核信息的数量,利用这些审核信息可以跟踪入侵者。
1、 第一层防护是路由器。
注:路由器滤掉被屏蔽的的IP地址和服务。例如,我们首先屏蔽所有的IP地址,然后有选择的放行一些地址进入我们的网络。一般来说,总是首先屏蔽所有的再放行。对于首先放行所有的,再屏蔽一些地址是不可取的,除非你提供一个公共服务,如http。 路由器也可以过滤一些服务协议。例如,假设我们有一台web服务器,我们只想提供web服务,只需允许http协议通过,屏蔽象ftp、telnet、sendmail等一些的协议。
2、 第二层防护是入侵监测系统
入侵监测系统是被动的,它监测你的网络上所有的包(packets)。其目的就是扑捉危险或有恶意的动作。IDS是按你指定的规则运行的,而且记录是庞大的。而且我们发现如果IDS没有正确的配置,其效果如同没有一样。它可以监测端口扫描、syn floods等等,但前提是你必须知道如何使用这个系统。
3、 第三层防护是防火墙。
所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许 你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大 限度地阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。 防火墙可以过滤对IP和服务。也可以利用不同防火墙产品的各种安全机制建立VPN(Virtual PrivateNetworks)。通过VPN,你在异地可以更安全的联入你的网络。大多数防火墙都有认证机制,但是你必须知道除非你使用了加密,否则用户名和口令是以明码传送的。
一些产品可以远程管理,乍听起来很方便,但是不可否认其他人也可以远程管理你的防火墙。一些产品可以自动更新路由器,屏蔽危险的连接,但值得考虑的是产品的识别能力。防火墙的特点就是它只能检测它能看到的。也就是对于一个应用级的防火墙会丢掉所有的实际上网络动作,并且不记录任何动作。还有一点就是你自己要选好你的防火墙并且正确的配置好。
4、 第四层防护是交换机
网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段可分为物理分段和逻辑分段两种方式。
局域网大多采用以交换机为中心、路由器为边界的网络格局,应重点挖掘中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制。以交换式集线器代替共享式集线器对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是:用户TELNET到一台主机上,由于TELNET程序本身缺乏加密功能,用户所键入的每一个字符(包括用户名、密码等重要信息),都将被明文发送,这就给黑客提供了机会。
因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。当然,交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包(Multicast Packet)。所幸的是,广播包和多播包内的关键信息,要远远少于单播包。
VLAN的划分
为了克服以太网的广播问题,除了上述方法外,还可以运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。
目前的VLAN技术主要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN,理论上非常理想,但实际应用却尚不成熟。
在集中式网络环境下,我们通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。
VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。目前,大多数的交换机都支持RIP和OSPF这两种国际标准的路由协议。如果有特殊需要,必须使用其他路由协议(如CISCO公司的EIGRP或支持DECnet的IS-IS),也可以用外接的多以太网口路由器来代替交换机,实现VLAN之间的路由功能。当然,这种情况下,路由转发的效率会有所下降。
无论是交换式集线器还是VLAN交换机,都是以交换技术为核心,它们在控制广播、防止黑客上相当有效,但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此,如果局域网内存在这样的入侵监控设备或协议分析设备,就必须选用特殊的带有SPAN(Switch Port Analyzer)功能的交换机。这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上,提供给接在这一端口上的入侵监控设备或协议分析设备。笔者在厦门海关外部网设计中,就选用了Cisco公司的具备SPAN功能的Catalyst系列交换机,既得到了交换技术的好处,又使原有的Sniffer协议分析仪“英雄有用武之地”。
5、第五层防护身份认证技术
对于从外部拨号访问总部内部网的用户,由于使用公共电话网进行数据传输所带来的风险,必须更加严格控制其安全性。一种常见的做法是采用身份认证技术,对拨号用户的身份进行验证并记录完备的登录日志。较常用的身份认证技术,有Cisco公司提出的TACACS+以及业界标准的RADIUS。笔者在厦门海关外部网设计中,就选用了Cisco公司的CiscoSecure ACS V2.3软件进行RADIUS身份认证。
6、第六层防护个人操作系统的安全
正确的配置每台主机系统也是非常重要的。不能很好的利用服务的限制和每个用户的权限,将导致一个可怕的后果。限制诸如chargen、echo、日期等这些简单的TCP协议。网络测试工具可以利用这些特定的协议,对你的网络实施DOS攻击。
如果你不想提供诸如FTP、HTTP等公共服务,可以关闭它们。一些人在安装Windows NT时就会错误的安装了Internet服务,其中就包括IIS―Web Server。IIS有缺省的用户名和口令,这是路人皆知的。这就打开了一个大漏洞。所以一定要知道你正在安装什么。请记住使用任何安全软件包的缺省都是一个巨大的错误。
每周发布的修补程序修补操作系统的使用上的漏洞和安全上的漏洞。由于它们修补的是广为所知的漏洞,你要跟住最新的修补程序。维持文件系统的许可和用户的权限也是必须的。
7、第七层用户的安全
最大的安全弱点来自用户。用户会由于缺乏良好的安全经验而纯粹无知的将你出卖给入侵者。有时,甚至非常好的安全习惯也会给人让路。口令是最大的天敌。一个很容易被猜到的口令如同没有口令一样。甚至用户知道要选择一个好口令的规则,也会用笔记录下口令,这个口令太难记了。 网络用户也可能由于他们建立了自己的个人用户而导致一些问题。一个用户可以共享给其他人C:\和他的家目录。他们也可能将.rhost和.netrc文件放在家目录以便方便地传文件。许多用户不会知道这会有潜在的危险。看住你的用户并帮助他们保持良好的习惯。
实施网络安全技术达到的目的
1. 防止数据被窃听、泄密、对传输与存储的数据加密
2. 保证数据的完整性
3. 限制访问控制的资源
4. 签制身份有效性
5. 防止发送方对所发送的信息的否认
防止接收方对所接收的信息的否认
最后:企业网络内部管理
1.加强企业内部对信息安全的重视程度
2.制定严格的工作守则,由专人负责
3.培训网络安全管理人员
4.以企业文化熏陶个人品行
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者