企业网络安全整体解决方案

经典word整理文档，仅参考，双击此处可删除页眉页脚。本资料属于网络整理，如有侵权，请联系删除，谢谢！课程设计成绩评价表年月日课程设计答辩记录及评价表分值优9良8649876498764年月日课程设计成绩评定表分封面成都信息工程学院课程设计姓名：班级：学号：2010年12月15日日期：签名：摘要近年来计算机系统漏洞的发现速度加快，计算机网络安全状况不容乐观。目前的计算机网络攻击具有攻击源相对集中，攻击手段更加灵活，攻击对象的范围扩大等新特点。虽然现在的网络安全技术较过去有了很大进步，但计算机网络安全是攻击和防御的技术和力量中此消彼长中的一个动态过程，整体状况不容乐观。网络安全企业和专家应该从这些特点出发，寻找更好的解决之道。本文通过具体分析目前企业所遇到的安全威胁，并一一列出能解决这项威胁的安全方法，通过一一对应的分析方式，成功并基本完全地解决了目前企业遇到的主流的网络安全问题关键词：网络安全；企业；安全方式；目录1２１２３３１２３４１２１6２78４9５３４５６７１技术的需求２３８１２３４8911.1全是攻击和防御的技术和力量中此消彼长中的一个动态过程，整体状况不容乐观。网络安全企业和专家应该从这些特点出发，寻找更好的解决之道。1.2FBI为网络安全造成的经济损失超过1.5万亿美元。1.3全通讯而设计。所以，企业网络可能存在的安全威胁来自以下方面：(1)操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC。(2)防火墙的安全性。防火墙产品自身是否安全，是否设置错误，需要经过检验。(3)来自内部网用户的安全威胁。(4)缺乏有效的手段监视、评估网络系统的安全性。(5)采用的TCP/IP协议族软件，本身缺乏安全性。(6)未能对来自Internet的电子邮件夹带的病毒及Web浏览可能存在的Java/ActiveX控件进行有效控制。(7)应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。２２１力的安全保障，是建设企业网络系统安全的重要原则。企业网络内部部署了众多的网络设备、服务器，保护这些设备的正常运行，维护主要业务系统的安全，是企业网络的基本安全需求。题。２２具有最高的网络安全措施。企业网络应保障：第1页共26页访问控制，确保业务系统不被非法访问。数据安全，保证数据库软硬件系统的整体安全性和可靠性。入侵检测，对于试图破坏业务系统的恶意行为能够及时发现、记录和跟踪，提供非法攻击的犯罪证据。来自网络内部其他系统的破坏，或误操作造成的安全隐患。２３Internet服务网络分为两个部分：提供网络用户对Internet的访问：提供Internet对网内服务的访问。网络内客户对Internet的访问，有可能带来某些类型的网络安全。如通过电子邮件、FTP引入病毒、危险的Java或ActiveX应用等。因此，需要在网络内对上述情况提供集成的网络病毒检测、消除等操作。网络安全需求是保护网络不受破坏，确保网络服务的可用性，作为信息网络之间的互联的边界安全应作为主要安全需求：需要保证信息网络之间安全互联，能够实现网络安全隔离；对于专有应用的安全服务；必要的信息交互的可信任性；能够提供对于主流网络应用（如WWW、Mail、Ftp、Oicq和NetMeeting等）良好支持，并能够实现安全应用；同时信息网络公共资源能够对开放用户提供安全访问；能够防范包括：✓✓✓利用Http应用，通过Java以及JavaScript形式；利用Ftp应用，通过文件传输形式；利用SMTP应用，通过对邮件分析及利用附件所造成的信息泄漏和有害信息对于信息网络的侵害；对网络安全事件的审计；对于网络安全状态的量化评估；对网络安全状态的实时监控；其次，对于信息网络内部同样存在安全需求，包括：信息网络中的各单位网络之间建立连接控制手段；能够满足信息网络内的授权用户对相关专用网络资源访问；同时对于远程访问用户增强安全管理；第2页共26页加强对于整个信息网络资源和人员的安全管理与培训。３３１开放的网络环境，各种安全包括系统级的安全问题也随之产生。构建网络安全系统，一方面由于要进行认证、加密、监听，分析、记录等工用。网络安全是首先要解决的问题。下，提供灵活的网络服务通道。影响并降低管理费用。全方位的安全体系：与其它安全体系（如保安系统）类似，企业应用系统的安全休系应包含：止在到达攻击目标之前。可使绝大多数攻击无效。加密通讯：主动的加密通讯，可使攻击者不能了解、修改敏感信息。认证：良好的认证体系可防止攻击者假冒合法用户。据和系统服务。多层防御，攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。隐藏内部信息，使攻击者不能了解系统内的基本情况。设立安全监控中心服务。３２上的松懈及对安全威胁的认识。安全威胁主要利用以下途径：系统实现存在的漏洞。系统安全体系的缺陷。使用人员的安全意识薄弱。第3页共26页管理制度的薄弱。良好的网络管理有助于增强系统的安全性：及时发现系统安全的漏洞。审查系统安全体系。加强对使用人员的安全知识教育。建立完善的系统管理制度。全管理，对于信息网来说就至关重要了。安全管理主要包括两个方面：内部安全管理：主要是建立内部安全管理制度，如机房管理制度、设备管理制度、安全系统管理制度、病毒防范制度、操作安全管理制度、安全事件应急制度等，并采取切实有效的措施保证制度的执行。内部安全管理主要采取行政手段和技术手段相结合的方法。网络安全管理：在网络层设置路由器、防火墙、安全检测系统后，必须保证路由器和防火墙的ACL设置正确，其配置不允许被随便修改。网络层的安全管理可以通过防火墙、安全检测、网络病毒防治以及网管等一些网络层的管理工具来实现。３３第4页共26页基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。基于MAC的VLAN不能防止MAC欺骗攻击。以太网从本质上基于广播机制，但应用了交换器和VLAN技术后，实际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入（改变）问题。但是，采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此，VLAN口所在的网段机器均属于相同的VLAN。网络层通讯可以跨越路由器，因此攻击可以从远方发起。IP协议族各厂家IPsweep,teardrop,sync-flood,IPspoofing攻击等。４.２通讯。４１１使用防火墙的益处保护脆弱的服务通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。可以禁止同时可以拒绝源路由和ICMP重定向封包。控制对系统的访问Firewall可以提供对系统的访问控制。如允许从外部访问某些主机，同时允许外部访问特定的MailServer和WebServer。集中的安全管理Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。第6页共26页如在Firewall可以定义不同的认证方法，而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过—次认证即可访问内部网。增强的保密性使用FirewallFinger和DNS。记录和统计网络利用数据以及非法使用数据Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据，来判断可能的攻击和探测。策略执行Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时，网络安全取决于每台主机的用户。４１２设置防火墙的要素网络策略影响Firewall系统设计、安装和使用的网络策略可分为两级，高级的网络策略定义允许和禁止的服务以及如何使用服务，低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。服务访问策略服务访问策略集中在Internet访问服务以及外部网络访问（如拨入策略、SLIP/PPP连接等）。用户在必要的情况下从Internet访问某些内部主机和服务；允许内部用户访问指定的Internet主机和服务。Firewall设计策略Firewall设计策略基于特定的firewall，定义完成服务访问策略的规则。通常有两种基本的设计策略：允许任何服务除非被明确禁止；禁止任何服务除非被明确允许。第7页共26页通常采用第二种类型的设计策略。４１３防火墙的基本分类包过滤IP包过滤：√源IP地址；√目的IP地址；√TCP/UDP源端口；√TCP/UDP目的端口。包过滤路由器存在许多弱点：√包过滤规则难于设置并缺乏已有的测试工具验证规则的正确性(手工测险的封包才可能检测出来。√实际运行中，经常会发生规则例外，即要求允许通常情况下禁止的访问通过。但是，规则例外使包过滤规则过于复杂而难以管理。例如，定义规则-禁止所有到达(Inbound)的端口23要直接Telnet连接，此时必须为内部网的每个系统分别定义一条规则。√某些包过滤路由器不支持TCP/UDP源端口过滤，可能使过滤规则集更加SMTP连接源端口是随机产生的(>1023)，此时如果允许双向的SMTP连接，在不支持源端口过滤的路由器上必须定义一条规则：允许所有>1023端口的双向连接。此时用户通过重新映射端口，可以绕过过滤路由器。√对许多RPC(RemouteProcedureCall服务进行包过滤非常困难。由于RPC的Listen口是在主机启动后随机地分配的，要禁止RPC服务，通常需要禁止所有的UDP(绝大多数RPC使用DNS连接就会被禁止。应用网关为了解决包过滤路由器的弱点，Firewall要求使用软件应用来过滤和传送服务连接（如Telnet和Ftp)。这样的应用称为代理服务，运行代理服务的主机第8页共26页过滤器更高的安全性和更大的灵活性。应用网关的优点是：√比包过滤路由器更高的安全件。√提供对协议的过滤，如可以禁止FTP连接的Put命令。√信息隐藏，应用网关为外部连接提供代理。√健壮的认证和日志。√节省费用，第三方的认证设备(软件或硬件)只需安装在应用网关上。√简化和灵活的过滤规则，路由器只需简单地通过到达应用网关的包并拒绝其余的包通过。应用网关的缺点在于：√新的服务需要安装新的代理服务器。√有时需要对客户软件进行修改。√可能会降低网络性能。√应用网关可能被攻击。线路级网关线路级网关提供内部网和外部网连接的中继，但不提供额外的处理和过滤能力。Stateful防火墙多的连接特性，但是安全性比较应用网关差。４１４建设防火墙的基本原则分析安全和服务需求以下问题有助于分析安全和服务需求：√计划使用哪些Internet服务(如http，ftp，gopher)，从何处使用Internet服务(本地网，拨号，远程办公室)。√增加的需要，如加密或拔号接入支持。√提供以上服务和访问的风险。第9页共26页√提供网络安全控制的同时，对系统应用服务牺牲的代价。策略的灵活性Internet相关的网络安全策略总的来说，应该保持一定的灵活性，主要有以下原因：√Internet自身发展非常快，机构可能需要不断使用Internet提供的新服务开展业务。新的协议和服务大量涌现带来新的安全问题，安全策略必须能反应和处理这些问题。√机构面临的风险并非是静态的，机构职能转变、网络设置改变都有可能改变风险。远程用户认证策略√远程用户不能通过放置于Firewall后的未经认证的Modem访问系统。√PPP/SLIP连接必须通过Firewall认证。√对远程用户进行认证方法培训。拨入/拨出策略√拨入/拨出能力必须在设计Firewall时进行考虑和集成。√外部拨入用户必须通过Firewall的认证。InformationServer策略√公共信息服务器的安全必须集成到Firewall中。√必须对公共信息服务器进行严格的安全控制，否则将成为系统安全的缺口。√为Informationserver定义折中的安全策略允许提供公共服务。√对公共信息服务和商业信息(如email)讲行安全策略区分。Firewall系统的基本特征√Firewall必须支持．“禁止任何服务除非被明确允许”的设计策略。√Firewall必须支持实际的安全政策，而非改变安全策略适应Firewall。√Firewall略的改变。√Firewall必须支持增强的认证机制。√Firewall应该使用过滤技术以允许或拒绝对特定主机的访问。第10页共26页√IP过滤描述语言应该灵活，界面友好，并支持源IP和目的IP，协议类型，源和目的TCP/UDP口，以及到达和离开界面。√Firewall应该为提供代理服务，以提供增强和集中的认证等)也必须通过代理服务器。√Firewall应该支持集中的SMTP处理，减少内部网和远程系统的直接连接。√Firewall应该支持对公共Informationserver的访问，支持对公共Informationserver的保护，并且将Informationserver同内部网隔离。√Firewall可支持对拨号接入的集中管理和过滤。√Firewall应支持对交通、可疑活动的日志记录。√如果Firewall有己知的安全漏洞Patch。√Firewall的设计应该是可理解和管理的。√Firewall依赖的操作系统应及时地升级以弥补安全漏洞。４１５选择防火墙的要点(1)安全性：即是否通过了严格的入侵测试。(2)抗攻击能力：对典型攻击的防御能力(3)性能：是否能够提供足够的网络吞吐能力(4)自我完备能力：自身的安全性，Fail-close(5)可管理能力：是否支持SNMP网管(6)VPN支持(7)认证和加密特性(8)服务的类型和原理(9)网络地址转换能力４.３第11页共26页播途径和速度大大加快。我们将病毒的途径分为：(1)通过FTP，电子邮件传播。(2)通过软盘、光盘、磁带传播。(3)通过Web游览传播，主要是恶意的Java控件网站。(4)通过群件系统传播。病毒防护的主要技术如下：(1)阻止病毒的传播。在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。(2)检查和清除病毒。使用防病毒软件检查和清除病毒。(3)病毒数据库的升级。病毒数据库应不断更新，并下发到桌面系统。(4)PC上安装Java及ActiveX止未经许可的控件下载和安装。４.４保护，降低了网络安全风险。但是，仅仅使用防火墙、网络安全还远远不够：(1)入侵者可寻找防火墙背后可能敞开的后门。(2)入侵者可能就在防火墙内。(3)由于性能的限制，防火焰通常不能提供实时的入侵检测能力。及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。能够缩短hacker入侵的时间。入侵检测系统可分为两类：√基于主机√基于网络基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连第12页共26页Web服务器应用。基于网络的入侵检测系统用于实时监控网络关键路径的信息，其基本模型如下图示：图入侵检测系统的基本模型上述模型由四个部分组成：(1)PassiveprotocolAnalyzer网络数据包的协议分析器、将结果送给模式匹配部分并根据需要保存。(2)Pattern-MatchingSignatureAnalysis根据协议分析器的结果匹配入侵特征，结果传送给Countermeasure部分。(3)countermeasure执行规定的动作。(4)Storage保存分析结果及相关数据。基于主机的安全监控系统具备如下特点：(1)精确，可以精确地判断入侵事件。(2)高级，可以判断应用层的入侵事件。(3)对入侵时间立即进行反应。(4)针对不同操作系统特点。(5)占用主机宝贵资源。基于网络的安全监控系统具备如下特点：(1)能够监视经过本网段的任何活动。第13页共26页(2)实时网络监视。(3)监视粒度更细致。(4)精确度较差。(5)防入侵欺骗的能力较差。(6)交换网络环境难于配置。基于主机及网络的入侵监控系统通常均可配置为分布式模式：(1)在需要监视的服务器上安装监视模块(agent)，分别向管理服务器报告及上传证据，提供跨平台的入侵监视解决方案。(2)在需要监视的网络路径上，放置监视模块(sensor),分别向管理服务器报告及上传证据，提供跨网络的入侵监视解决方案。选择入侵监视系统的要点是：(1)协议分析及检测能力。(2)解码效率(速度)。(3)自身安全的完备性。(4)精确度及完整度，防欺骗能力。(5)模式更新速度。４.５安全监控系统互相配合能够提供很高安全性的网络。安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。安全扫描工具通常也分为基于服务器和基于网络的扫描器。基于服务器的扫描器主要扫描服务器相关的安全漏洞，如password文件，目录和文件权限，共享文件系统，敏感服务，软件，系统漏洞等，并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。网络安全扫描的主要性能应该考虑以下方面：(1)速度。在网络内进行安全扫描非常耗时。第14页共26页(2)网络拓扑。通过GUI的图形界面，可迭择一步或某些区域的设备。(3)能够发现的漏洞数量。(4)是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别，所以预制的扫描方法肯定不能满足客户的需求。(5)报告，扫描器应该能够给出清楚的安全漏洞报告。(6)升级，并给出相应的改进建议。４.６现。认证技术将应用到企业网络中的以下方面：(1)路由器认证，路由器和交换机之间的认证。(2)操作系统认证。操作系统对用户的认证。(3)网管系统对网管设备之间的认证。(4)VPN网关设备之间的认证。(5)拨号访问服务器与客户间的认证。(6)应用服务器(如WebServer)与客户的认证。(7)电子邮件通讯双方的认证。数字签名技术主要用于：(1)基于PKI认证体系的认证过程。(2)基于PKI的电子邮件及交易(通过Web进行的交易)的不可抵赖记录。加密及两种加密方法的混合。UserName/Password认证等，但由于此种认证方式过程不加密，即password容易被监听和解密。第15页共26页使用摘要算法的认证Radius(拨号认证协议)、路由协议(OSPF)、SNMPSecurityProtocol等均使用共享的SecurityKey，加上摘要算法(MD5)进行认证，由于摘要算法是一个不可逆的过程，因此，在认证过程中，由摘要信息不能计算出共享的securitykey，敏感信息不在网络上传输。市场上主要采用的摘要算法有MD5和SHA-1。基于PKI的认证要算法、不对称加密、对称加密、数字签名等技术，很好地将安全性和高效率结PKI件、应用服务器访问、客户认证、防火墙验证等领域。该种认证方法安全程度很高，但是涉及到比较繁重的证书管理任务４.７４７１企业对VPN技术的需求企业总部和各分支机构之间采用internetinternet是公用私用网(VPN)。因为VPN网络接入到internet，暴露出两个主要危险：来自internet的未经授权的对企业内部网的存取。当企业通过INTERNET进行通讯时，信息可能受到窃听和非法修改。完整的集成化的企业范围的VPN安全解决方案，提供在INTERNET上安全的双向通讯，以及透明的加密方案以保证数据的完整性和保密性。企业网络的全面安全要求保证：保密-通讯过程不被窃听。通讯主体真实性确认-网络上的计算机不被假冒。４７２数字签名RSA)基于第16页共26页使用私有密钥计算其数字签名，利用CA提供的公共密钥，任何人均可验证签名的真实性。伪造数字签名从计算能力上是不可行的。都将会被发现。通讯双方通过Diffie-Hellman密钥系统安全地获取共享的保密密钥，并使用该密钥对消息加密。Diffie-Hellman密钥由CA进行验证。加密密钥认证密钥Deff-HellmanRSA生成会话密钥验证加密密钥表1加密模式使用的密钥技术它的加密模式需要管理的密钥数目与通讯者数目的平方成正比。４７３IPSecIPSec作为在IPv4及IPv6上的加密通讯框架，已为大多数厂商所支持，预计在1998年将确定为IETF标准，是VPN实现的Internet标准。IPSec主要提供IP网络层上的加密通讯能力。该标准为每个IP包增加了新的包头格式，AuthenticationHeader(AH)及encapsualtingsecuritypayload(ESP)。IPsec使用ISAKMP/Oakley及SKIP进行密钥交换、管理及加密通讯协商(SecurityAssociation)。Ipsec包含两个部分：(1)IPsecurityProtocolproper，定义Ipsec报文格式。(2)ISAKMP/Oakley，负责加密通讯协商。Ipsec提供了两种加密通讯手段：IpsecTunnel：整个IP封装在Ipsec报文。提供Ipsec-gateway之间的通第17页共26页讯。址。Ipsectransport：对IP包内的数据进行加密，使用原来的源地址和目的地IpsecTunnel不要求修改已配备好的设备和应用，网络黑客户不能看到实际的的通讯源地址和目的地址，并且能够提供专用网络通过Internet加密传输的通道，因此，绝大多数均使用该模式。ISAKMP/Oakley使用X.509数字证书，因此，使VPN能够容易地扩大到企业级。(易于管理)。在为远程拨号服务的Client端，也能够实现Ipsec的客户端，为拨号用户提供加密网络通讯。由于Ipsec即将成为Internet可以实现互通。４.８Internet/Intranet中主要的应用平台服务的安全问题及相关技术。４８１域名服务Internet域名服务为Internet/Intranet应用提供了极大的灵活性。几乎所有的网络应用均利用域名服务。hackerIP、操作系统