返回
基于企业网络安全策略设计与实现研究

基于企业网络安全策略设计与实现研究

ID:22020484

大小:51.00 KB

页数:5页

时间:2018-10-26

基于企业网络安全策略设计与实现研究_第1页
基于企业网络安全策略设计与实现研究_第2页
基于企业网络安全策略设计与实现研究_第3页
基于企业网络安全策略设计与实现研究_第4页
基于企业网络安全策略设计与实现研究_第5页
资源描述:

《基于企业网络安全策略设计与实现研究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、基于企业网络安全策略设计与实现研究随着社会经济的快速发展,计算机信息技术介入人们生活的方方面面。企业X络的信息安全策略是涵盖多方面的,既有管理安全,也有技术安全,既有物理安全策略,也有X络安全策略。企业X络应实现科学的安全管理模式,结合X络设备功能的不同对整体X络进行有效分区,可分为专X区、服务器区以及内X公共区,并部署入侵检测系统与防火墙系统,对内部用户威胁到X络安全的行为进行阻断。下面着重阐述企业信息系统的X络层安全策略:一、企业X络设备安全策略分析随着X络安全形势的日趋严峻,不断有新的攻击手段被发现,而这些手段的攻击目标也已经从用户终端、服务器

2、厌延展至交换机、路由器等硬件设施。而交换机与路由器属于X络核心层的重点设备,如果这些设备退出服务,企业信息系统X络安全便会面临很大的威胁。由此本文给出以下的X络设备安全策略。最大化地关闭X络交换机上的服务种类。尤其是不经常使用的服务更应关闭,举例来讲:交换机的邻居发现服务CDP,其功能是辨认一个X络端口连接到哪一个另外的X络端口,邻居发现服务锁发出和接收的数据包很容易暴露用户终端的属性信息,包括交换机端口与用户终端的IP信息,X络交换机的型号与版本信息,本地虚拟局域X属性等。因此,本文建议在不常使用此服务的情况下,应该关闭邻居发现服务。另外,一些同样

3、不常使用的服务,包括交换机自举服务、文件传输服务、简单文件传输服务、X络时间同步服务、查询用户情况服务、简单X络管理服务、源路径路由服务、代理ARP服务等等。企业信息系统的X管往往以Tel协议实现对全X所有交换机、路由器的配置与管理。众所周知,此协议使用的是明文传输模式,因此在信息安全方面不输于非常可靠的协议。入侵者只要以抓包软件便能够轻易得知X管的登录ID与密码,以抓包软件同样能够获取X络管理员发出、受到的全部数据。所以在X络管理中,应引入安全性能更高的协议,本文推荐SSH(SecureShellClient)协议。这种协议借助RSA生成安全性能极

4、高的签名证书,通过该证书,全部以SSH协议进行传输的数据包都被良好加密。此外VTP的安全使用也是一个应该得到重视的问题,VTP应配置强口令。二、企业信息系统X络端口安全策略由于大部分企业X络的终端均以X络交换机在接入层连入X络,而X络交换机属于工作在ISO第二层的设备,当前有不少以第二层为目标的非法攻击行为,为X络带来了不容忽视的安全威胁。二层X络交换机使用的数据转发方式是以CAM表为基础的。在X络交换机加点之后,首选会清空CAM表,并立即启动数据帧源地址学习,并将这些信息存入交换机CAM表中。这时候,加入非法入侵者通过伪造自身的MAC地址并不停地发

5、出数据帧结构,便很容易导致X络交换机CAM表溢出,服务失效。而此时便会导致该MAC的流量向交换机其他端口转发,为非法入侵者提供X络窃听的机会,很容易造成攻击风险。本文所推荐的策略是:X络交换机的端口安全维护应随时打开;在交换机配置中设置其学习MAC地址的最大数目为1;设置X络交换机能够存储其学习到的全部MAC地址;一旦X络交换机的安全保护被触发,则丢弃全部MAC地址的流量,发送告警信息。对X络交换机进行以上的配置,一方面能够防止基于交换机MAC地址的泛洪攻击,另一方面也能对X络内部的合法地址做好记录。在成功阻止未知MAC地址接入的基础上,还应阻止来自

6、已知地址的攻击。本文推荐基于MAC限流的策略,这是由于X络交换机不必向所有端口广播未知帧,因此可以对未知帧进行阻止,增强X络交换机安全性。三、企业信息系统X络BPDU防护策略一般情况下,企业的内部X络往往以X络交换机作为X络拓扑的支撑,因为考虑到交换机通道的沟通,加之系统冷、热备份的出发点,在企业X络中是存在第二层环路的,这就容易引发多个帧副本的出现,甚至引起基于第二层的数据包广播风暴,为了避免此种情况的发生,企业X络往往引入了STP协议。而这种协议的效果则取决于交换机共享的BPDU信息。这就为一些攻击者提供了机会,通过假冒优先级低的BPDU数据包,

7、攻击者向二层X络交换机发送。由于这种情况下入侵检测系统与X络防火墙均无法生效,就导致攻击者能够方便地获取X络信息。可以采用的防范措施为:在二层X络交换机启用BPDU过滤器模块。该模块能够控制此端口,使其对BPDU数据包不进行任何处理,加入收到此种类型的数据包,该端口将会自动设置为“服务停止”。在此基础上,在根交换机上引入链路监控体系。一旦该交换机设备检测到优先级更高的BPDU数据包,则发出“失效”的消息,及时阻塞端口。四、企业信息系统X络Spoof防护策略在企业内部X络中,往往有着大量的终端机,出于安全性与可靠性的考虑,这些终端机均以动态主机设置协议

8、获得自身的IP地址。这就为Spoof攻击留下了机会。在这种攻击中,非法入侵者会将自身假冒动态主机设置协议服务

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。