欢迎来到天天文库
浏览记录
ID:46592960
大小:85.00 KB
页数:8页
时间:2019-11-26
《网络安全加固》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、网络安全加固技术分析发表时间:2009-4-29童永清余望来源:万方数据关键字:网络安全加固技术信息化调查找茬投稿收藏评论好文推荐打印社区分享各种安全防范措施就好比是一块块木板,这些木板集成在一起构成一个木桶,这个木桶中承载着的水就好比网络中运行的各种业务。各种业务能否安全、稳定地运转取决于两点:一是最矮木板的高度,二是各块木板之间是否存在缝隙。为了使木桶中的水能承载得更多、更持久,我们需要对木桶进行安全加固,一方面提高最矮木板的高度,一方面消除木板间的缝隙。以下从网络边界、服务器、内网等几个方面介绍网络安全加固的一些原则和措施。 目前,企业和机构的网络面临着各种安全威胁,如黑客攻击
2、、恶意软件、信息泄露、拒绝服务、内部破坏。相应地,我们采取了.许多防范措施,如安装防火墙和杀毒软件、进行信息加密和访问控制、采用扫描技术和入侵检测技术。各种网络安全防御措施不是孤立的,而是作为一个整体为一个网络提供安全保障。各种安全防范措施就好比是一块块木板,这些木板集成在一起构成一个木桶,这个木桶中承载着的水就好比网络中运行的各种业务。 各种业务能否安全、稳定地运转取决于两点:一是最矮木板的高度,二是各块木板之间是否存在缝隙。为了使木桶中的水能承载得更多、更持久,我们需要对木桶进行安全加固,一方面提高最矮木板的高度,一方面消除木板间的缝隙。以下从网络边界、服务器、内网等几个方面介绍
3、网络安全加固的一些原则和措施。 1网络边界安全加固 路由器作为网络边界最重要的设备,也是进入内网的第一道防线。边界路由器的安全缺陷来源于操作系统,路由协议、硬件、配置。路由器上运行的操作系统通常存在安全隐患,主要表现为远程溢出漏洞和默认开放的服务。除了及时F载补丁修复漏洞外,路由器操作系统默认开放的许多服务通常存任着安全风险,加固的方法是根据最小特权原则关闭不需要的服务,同时对用户和进程赋予完成任务所需的最小权限。一些路由协议,如RIP,对收到的路由信息不进行任何校验和认证,由此能造成网络拓扑信息泄露或因收到恶意路由而导致网络瘫痪。对此需要添加认证,确保通信对象是可信的。CDP协
4、议(CiscoDiscoveryProtocal)会造成路由器操作系统版本等信息的泄露,一般应予以关闭。路由器硬件可能因发生故障或受到恶意攻击而停机,为此需要进行备份。 加固边界路由器最重要的方法是进行安全配置,建立合适的访问控制表(ACL)。ACL(AccessControlList)规定哪些IP地址和协议可以通过边界路由器,而哪些被阻止,由此确保流量安全进出网络。定制访问控制表通常应遵守这样的原则:流量如果不被明确允许,就应该被拒绝。假设某组织的网络通过一个Cisco路由器连入互联网,下面为该组织定制一个ACL: 首先拒绝所有向内传输而源地址是内部IP的流量,以防止利用内部地
5、址进行IP欺骗: denyip192.168.1.0/24any 接着允许向内传输的已建立TCP连接的流量进入内网,确保正常通信: 路由器通过包过滤提供了一定的防护措施,但它不能根据状态对流过的数据包进行检查。基于状态的防火墙可以满是这一要求,但其本身存在一些不足和缺陷,如防火墙不能防范不经由它的攻击、不能解决来自内部的攻击、不能防止利用服务器漏涧进行的攻击、不能阻止病毒和蠕虫文件的传输。为此,通过合理建设网络,制定并执行安全规定,确保所有流入和流出的流量都经过边界防火墙。同时,边界防火墙需要与其他防护措施协同工作,如通过强化内网特别是服务器的安全来减少安全威胁,提供日志等信
6、息给入侵检测系统以帮助其检测攻击行为。 边界防火墙通常放置在边界路由器和交换机之间,是网络边界的重要组成部分。与路由器一样,其策略配置非常关键。由于各组织机构网络和业务需求的不同,防火墙的配置策略也有较大的差别。对于防火墙的安全配置,可以遵循以下几项原则:(1)区别流入和流出流量,分别制定策略;(2)只有开放服务所需要的端口才开放,其他端口一律关闭;(3)频繁执行的策略放置在前,较少执行的策略放置在后,以此提高过滤效率;(4)根据病毒警告临时性地关闭某些端口;(5)若业务需要启用防火墙的DMZ(非军事化区)功能,将服务器放置在DMZ中。2服务器安全加固 网络中各种服务器,如Web
7、服务器、FTP服务器、E—mail服务器,是黑客攻击的重点目标,其安全性至关重要。虽然通过路由器的包过滤和防火墙的访问控制,大大增强了安全性。但黑客还可以利用服务器的漏洞或配置错误进行攻击,以图获取系统控制权或实现拒绝服务。 这里以IISWeb服务器为例介绍Web服务器的一些加固措施。微软的IIS由于其功能强大、简单易用,是当前Windows平台上最常用的Web服务器之一。但IISWeb服务器存在着许多致命的漏洞。常用的加固措施
此文档下载收益归作者所有