中小型企业中网络安全的解决方案Word下载.docx
- 文档编号:18233855
- 上传时间:2022-12-14
- 格式:DOCX
- 页数:38
- 大小:804.48KB
中小型企业中网络安全的解决方案Word下载.docx
《中小型企业中网络安全的解决方案Word下载.docx》由会员分享,可在线阅读,更多相关《中小型企业中网络安全的解决方案Word下载.docx(38页珍藏版)》请在冰豆网上搜索。
Inrecentyears,networkattacksandinformationtheftandotherincidentsfrequently,theenterprisecausedincalculabledamage.Thistellsusthattheconstructionofnetworksecurityinthenetworkisnotadispensabletechnology,ithasbecomeanecessarycomponentofsecurityofenterprisedevelopment.
Networksecuritysolutionsnotjusttechnologyaccumulation,moreimportantly,totakelocalconditionsintosecuritytechnologyspecificsystemarchitecture.Sothisarticlewillfirstnetworksecuritywerereviewed;
Secondly,throughtheenterprisenetworksecurity,perimetersecurity,authenticationandaccesscontrol,routingandnetworksecurityforstrategicplanning,willeventuallyintroduceportscanning,networkmonitoring,passwordcracking,Trojanhorses,bufferoverflows,denialofserviceattacksandothersecurityissuesinsomemainstreamprotection,tofacilitateexposition.
Thisarticlehopesforenterprisestoestablishacomprehensivenetworksecuritysystem,sothattheenterprisenetworkindailyusetominimizesecurityrisksandproblemsminimal.Thedailyoperationoftheenterpriseescorttheminasecurenetworkenvironmenttocreatemoreeconomicbenefits.
Keywords:
networksecurity;
portscanning;
denialofserviceattack;
vlan
第一章绪论
1.1研究背景
随着可续技术的飞速发展,许多企业都会依靠IT技术来实现企业中的运营、管理和业务往来,这极大地提升了企业自身的工作效率以及核心竞争力,使企业在竞争对手中脱颖而出。
现代企业的计算机应用系统大多依托于网络,网络的运行情况直接关系到企业的日常运作。
企业的发展目的是追求经济效益,大多数企业中的网络策略自然而然的就变成了“重效率,轻安全;
重运行,轻管理”。
正是基于这种网络策略,越来越多的与安全有关的事故屡见不鲜。
因2010年1月,国务院决定加快推进电信网、广播电视网和互联网三网融合,2010年至2012年广电和电信业务双向进入试点,2013年至2015年,全面实现三网融合。
所谓三网融合即推进电信网、广播电视网和互联网三网互联互通、资源共享,为用户提供语音、数据和广播电视等多种服务。
此政策涉及领域广泛,涉及上市公司众多。
这将导致未来几年网络规模以指数形式增长,网络也会变得越来越复杂,承担的任务越来越关键,给运营和管理网络的人们带来新的挑战,很显然这些快速发展的技术引发了新的安全问题。
网络安全对国民经济的威胁、甚至对国家和地区的威胁也日益严重。
[1]
因此网络安全扮演的角色也会越来越重要,每个计算机用户,特别是企业网络用户都应该普及网络安全知识和掌握网络安全技术。
网络安全技术是一个永恒的课题,目前的网络采用了相关的防范技术只能解决一方面的问题,而不是万能的。
新型的攻击手段总在源源不断地涌现,最好的防范措施就是培养计算机网络安全人员的安全意识。
计算机操作人员需要不断学习,不断积累经验,提高计算机网络水平,这才是提高计算机网络安全最重要的安全措施。
1.2企业现状分析
1.2.1企业内网安全
虽然从外网展开的攻击不在少数,但是部分攻击也会来自内网,比如常见的ARP攻击等等,系统的安全性往往遵循木桶原理(不是取决于最坚固的那一部分,而是取决于最薄弱的那一环),因此内网安全不可忽视。
1.2.2边界安全
边界安全往往是指内外网之间的安全问题。
例如远程接入,通过网络系统的边界部分直接介入到网络系统内部,因此边界的安全是面对外部攻击和威胁的第一关防线。
1.2.3访问控制
访问控制的解决方案的建立一种基于策略的执行模型,并且确保用户可以安全管理的模型。
针对网络中所有服务与设备,这种安全管理的模型的可为用户提供基于策略的访问控制、审计等功能,使网络管理员可以实施基于用户的隐秘性和安全性的策略。
最为重要的是身份安全和访问管理。
1.2.4三层安全
三层安全即路由安全。
路由代表一个网络中数据的流动方向,是核心层网络安全的根本,所以确保以使用一种与网络的安全需要相匹配的方法来实现路由协议是很关键的。
1.3需要解决的问题
通过对现有企业网络结构的分析,需要对企业中所存在的网络威胁及隐患制定一套安全的解决方案。
如图1.1为企业三层网络结构
图1.1三层网络结构图
企业内网安全——接入层子网的划分,抑制广播风暴,物理链路失效的防止,网关冗余备份。
边界安全——内外网地址转换,隔离部分网段的访问,telnet远程登录。
身份认证方面——保证对switch、router等网络设备的安全访问、身份认证、授权和统计,安全接入网络。
三层安全——针对不同的路由协议采用相匹配的安全认证,根据不同的网络区域做出路由,即过滤不必要的路由更新。
另外根据一些主流的网络攻击为,采用相应的安全技术对其进行嗅探和防御。
第二章网络安全综述
随着网络规模爆炸式增长,网络的结构变得越来越复杂,同时所承担的任务也越来越关键,使网络管理人员要不断更新自己的知识。
例如,一些网络基础建设,包括voice、video和数据等服务。
但是随着这些技术的快速发展,新的安全问题也层出不穷。
因此网络从业人员在不断使用新的网络技术的同时,也应该学习如何构建和维护这个日趋强大的网络方面。
本章是对网络的安全的基本概念进行综合描述。
图2.1为网络安全模型。
图2.1网络安全模型
2.1网络安全的特征
网络安全——网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
网络安全的本质上就是网络上的信息安全。
从广义角度来讲,网络安全的研究领域包括涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论等。
网络安全一般具有以下五个方面的特征:
保密性:
信息不泄露给非授权用户、实体或过程,或供其利用的特性。
完整性:
数据XX不能进行改变的特性。
即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
可用性:
可被授权实体访问并按需求使用的特性。
即当需要时能否存取所需的信息。
例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。
可控性:
对信息的传播及内容具有控制能力。
可审查性:
出现的安全问题时提供依据与手段。
2.2网络安全策略
计算机网络系统的安全管理主要是配合行政手段,制定有关网络安全管理的规章制度,在技术上实现网络系统的安全管理,确保网络系统的安全、可靠地运行,主要涉及以下四个方面:
2.2.1网络物理安全策略
计算机网络系统物理安全策略的目的是保护计算机系统、网络服务器、网络用户终端机、打印机等硬件实体和通信链路免受自然灾害、人为破坏和攻击;
验证用户的身份和使用权限、防止用户越权操作;
确保计算机网络系统有一个良好的工作环境;
建立完备的安全管理制度,防止非法进入计算机网络系统控制室和网络黑客的各种破坏活动。
[2]
2.2.2网络访问控制策略
访问控制策略是计算机网络系统安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常规访问。
它也是维护网络系统安全、保护网络资源的重要手段。
各种网络安全策略必须相互配合才能真正起到保护作用,所以网络访问控制策略是保证网络安全最重要的核心策略之一。
2.2.3网络信息加密策略
信息加密策略主要是保护计算机网络系统内的数据、文件、口令和控制信息等网络资源的安全。
2.2.4网络安全管理策略
在计算机网络系统安全策略中,不仅需要采取网络技术措施保护网络安全,还必须加强网络的行政安全管理,制定有关网络使用的规章制度,对于确保计算机网络系统的安全、可靠地运行,将会起到十分有效的作用。
计算机网络系统的安全管理策略包括:
确定网络安全管理等级和安全管理范围;
制定有关网络操作使用规程和人员出入机房管理制度;
制定网络系统的管理维护制度和应急措施等等。
[3]
第三章企业内网安全
3.1VLAN的应用
VLAN技术的出现,主要为了解决局域网中交换机在进行互连时无法抑制广播风暴的问题。
这种技术可以把一个局域网划分成多个逻辑的局域网即VLAN,每个VLAN都会成为一个广播域,同一VLAN内的主机间可以通信,而VLAN间则不能直接通信,这样,广播报文被限制在一个VLAN内,从而最大程度的减少了广播风暴的影响。
VLAN可以增强局域网的安全性,可以隔离用户的敏感数据,从而降低了机密信息的可能性。
不同VLAN间的报文在传输过程中是相互隔离的,即一个VLAN内的用户不能将信息传递给其它VLAN内的用户,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备,如图3.1。
图3.1vlan部署图
3.1.1VLAN的方法
一般来讲,划分VLAN的方法有三种:
1、基于端口划分VLAN
基于端口划分VLAN是把一个或N个交换机上的多个端口划分为一个逻辑组,这是最简单、最有效的划分方法。
使用该方法,网络管理员不用考虑该端口所连接的设备,只要对交换机的端口进行重新划分即可。
2、基于MAC地址划分VLAN
MAC地址其实就是每一块网卡的唯一标示符,在生产过程中被固化在网卡上。
MAC地址由十二位十六进制数表示,前六位为OUI(网卡的厂商标识),后六位为NIC(网卡标识)。
网络管理员可根据MAC地址把一些站点划分为一个逻辑子网。
3、基于网络协议划分VLAN
这种按路由协议来组成的VLAN,相应的工作设备有router和switch(三层交换机)。
允许一个广播域跨越多个VLAN交换机。
这种方法适用于针对具体的服务或应用来划分VLAN。
3.1.2交换机的接口类型
交换机常用的接口类型一般为两种:
普通模式(Access):
该端口只能链接一个VLAN,多用于连接路由器或个人PC;
中继模式(Trunk):
端口设置成该类型后,可以接收和发送多个VLAN的信息,多用于交换机之间的互联,采用802.1Q协议(思科专属协议SSL)。
3.2PVLAN技术的应用
3.2.1VLAN的局限性
VLAN具有局域网内数据的保密性,同时可以有效地抑制广播风暴等问题,然而他在使用方面还是有一定的局限性:
1、VLAN的数量:
交换机所支持的VLAN数目为1-4095;
2、生成树协议的复杂性:
通过Spanning
Tree协议来防止交换机间的环路,但是设备增多后,每个Spanning
Tree都需要管理,先当复杂、低效;
3、IP地址的数量:
划分子网后会造成一定数量IP地址的闲置;
4、网关的限制:
每个子网间的路由都需要配置默认网关。
正是基于VLAN的这些限制,可以使用PVLAN。
这种新的VLAN机制,简单地说就是在VLAN中再次划分VLAN以实现端口隔离,这一新的VLAN特性就是Private
VLAN(专用VLAN)。
图3.2为vlan模型。
图3.2valn模型
3.2.2PVLAN类型
表3-1PVLAN类型
接口类型
PVLAN类型
Isolated
port
PVLAN
Community
Promiscuous
Primary
VLAN
VLAN和Community
PVLAN之间需要和它绑定在一起,同时它还包括Promiscuous
port。
在Isolated
PVLAN中,它只能和Promiscuous
port通信,Isolated
PVLAN之间不能交换数据;
在Community
PVLAN中Community
port不仅可以和Promiscuous
port通信,而且彼此也可以交换流量。
port
与ROUTER或三层交换机接口相连,Promiscuous
的流量能向Isolated
port和Community
port发送。
3.2.3PVLAN的安全性
通过PVLAN技术的数据传输有很高的安全性对于保证接入网络的数据通信的安全性是非常有效的,用户只需与自己的默认网关连接,一个PVLAN不需要多个VLAN和IP子网就提供了具备第2层数据通信安全性的连接,所有的用户都接入PVLAN,从而实现了所有用户与默认网关的连接,而与PVLAN内的其他用户没有任何访问。
PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信,但可以穿过Trunk端口。
这样即使同一VLAN中的用户,相互之间也不会受到广播的影响。
目前很多厂商生产的交换机支持PVLAN技术,PVLAN技术在解决通信安全、防止广播风暴和浪费IP地址方面的优势是显而易见的,而且采用PVLAN技术有助于网络的优化,再加上PVLAN在交换机上的配置也相对简单,PVLAN技术越来越得到网络管理人员的青睐。
3.3VTP管理VLAN
VTP协议的作用是整个交换网络中分发和同步与VLAN的相关信息。
VLAN的名称重复、VLAN类型的规范错误、违反去安全规范等问题都会导致一定程度的故障。
而VTP能够将已配置错误和配置不一样等原因而引起故障的几率降到最低。
交换机只在802.1Q和ISL中传输VTP信息。
VTP是二层消息协议,它的作用是通过VTP域内VLAN的增加、删除和重命名来保持VLAN的一致性。
一个VTP域是由一台交换机或多台共享相同VTP环境的互联交换机所组成。
3.3.1VTP的工作模式
工作模式:
服务器模式(servermode)透明模式(transparentmode)客户端模式(clientmode)关闭模式(offmode)。
3.3.2VTP服务器的配置
1、管理员增加一个新的VLAN
2、VTP向VTP域中的所有交换机传播VLAN信息
3、为了能够合并新的VLAN数据,每台交换机都需要对配置进行同步
3.4交换机设备之间的端口汇聚
端口汇聚就是多个以太网端口汇聚到一起,形成一个逻辑上的聚合组。
通过上层实体将多个物理链路护汇聚一个逻辑的链路。
将多个物理链路汇聚在一起后,不仅使整个网络的带宽大幅提升,而且多个被绑定的物理链路可以同时传输数据,做冗余备份,数据还可以同时经由被一条链路DOWN后,其他的链路仍然可以保障网络正常使用工作。
端口汇聚不仅提高了链接的整体可靠性,也起到了负载均衡的作用。
图3.3为以太网端口汇聚配置示例图。
图3.3以太网端口汇聚配置示例图
3.3.1以太网端口汇聚注意事项
1、一个汇聚组内的所有端口必须使用相同的协议如LACP。
2、一个汇聚组内的端口必须有相同的速度和双工模式。
3、一个端口不能再相同时间内属于多个汇聚组。
4、一个汇聚组内的所有端口都必须配置到相同的接入VLAN中。
3.5启用端口镜像对流量进行监控
由于部署IDS和IPS等产品需要监听网络流量(网络分析仪同样也需要),但是在目前广泛采用的交换网络中监听所有流量有相当大的困难,因此需要通过配置交换机来把一个或多个端口(VLAN)的数据转发到某一个端口来实现对网络的监听,这样就产生了端口镜像。
端口镜像(portMirroring)分为本地端口镜像和远程端口镜像两种。
本地端口镜像是指将设备的一个或多个端口(源端口)的报文复制到本地设备的一个监视端口(目的端口),用于报文的分析和监视。
其中,源端口和目的端口必须在同一台设备上。
如图3.4:
SwitchC的端口E1/0/3可以把端口研发部所连得端口E1/0/1和市场部连接的E1/0/2端口的流量复制过来,然后交给数据检测设备分析,从而可以对危险流量进行隔离和控制。
图3.4本地端口镜像实例图
远程端口镜像突破了源和目的端口必须在同一台设备上的限制,在多个网络设备中可以实现使源端口和目的端口跨越网络相连,从而方便网络管理员对在远程设备上监控流量限制。
为了实现远程端口镜像功能,需要定义一个特殊的VLAN,称之为Remote-probeVLAN(远程镜像VLAN)。
所有被镜像的报文通过该VLAN从源交换机的反射口传递到目的交换机的镜像端口,实现在目的交换机上对源交换机端口收发的报文进行监控的功能。
远程端口镜像的应用示意图如图3.5所示。
对部门1和部门2的流量进行监控,SwitchA为源交换机:
被监控的端口所在的交换机,负责将镜像流量复制到反射端口,然后通过远程镜像VLAN传输给中间交换机或目的交换机;
SwitchB为中间交换机:
网络中处于源交换机和目的交换机之间的交换机,通过远程镜像VLAN把镜像流量传输给下一个中间交换机或目的交换机,如果源交换机与目的交换机直接相连,则不存在中间交换机;
SwitchC为目的交换机:
远程镜像目的端口所在的交换机,将从远程镜像VLAN接收到的镜像流量通过镜像目的端口转发给监控设备。
图3.5远程端口镜像实例图
3.6构建安全的STP生成树体系
S在网络拓扑中,如果交换机之间存在多种冗余链路,那就有可能产生环路。
如果存在环路,消息就有可能不断复制。
在出现环路的情况下,有些交换机就会看到一些站点同时出现在交换机两侧。
这种情况会扰乱转发算法,并使复制出来的数据帧得到转发。
为了能阻止环路的同时还能提供路径冗余。
STP定义了一个在拓展网络中可以延伸到所有交换机上的树形结构。
表3-2生成树类型
协议
标准
所需资源
收敛速度
适用
CST
802.1D
低
慢
所有vlan
PVST+
CISCO
高
每vlan
RSTP
802.1W
中
快
PVRST+
很高
MSTP
802.1S
中/高
vlan列表
表3-3STP端口状态
Blocking(阻塞状态)
二层端口为非指定端口,也不参与数据帧转发
Listening(侦听状态)
收到BPDU参与帧的转发
Learning(学习状态)
参与帧的转发,填写CAM地址表
Forwarding(转发状态)
转发数据帧,同时收发BPDU
Disabled(禁用状态)
不参与生成树,不转发数据帧
第四章边界网络安全
内外网之间的边界就是网络的门户,边界安全的防护是网络安全的重要组成。
网络的发展日新月异,网络边界的概念逐渐被域边界所替代,如何控制管理网络域边界就成了网络安全的基本问题。
无论是攻击者还是防御者都会首先部署这里,最新的技术也会出现在这里。
边界安全的防护,首先要明确职责。
哪些网络边界需要防护,这可以通过安全分区设计来确定。
定义安全分区的原则就是首先需要根据业务和信息敏感度定义安全资产,其次对安全资产定义安全策略和安全级别,对于安全策略和级别相同的安全资产,就可以认为属于同一安全区域。
安全分区设计模型,主要包括内网办公区、数据中心区、外联数据区、互联网连接区、对外连接区、网络管理区、广域网连接区等区域。
图4.1为安全分区设计模型。
图4.1安全分区设计模型
4.1NAT技术的应用
NAT是一个IETF标准,允许一个机构以一个地址出现在Internet上。
NAT技术使得一个私有网络可以通过Internet注册IP连接到外部世界,位于Inside网络和Outside网络中的NAT路由器在发送数据包之前,负责把内部IP地址翻译成外部合法IP地址。
NAT将每个局域网节点的IP地址转换成一个合法IP地址,反之亦然。
它也可以应用到防火墙技术里,把个别IP地址隐藏起来不被外界发现,对内部网络设备起到保护的作用,同时,它还帮助网络可以超越地址的限制,合理地安排网络中的公有Internet地址和私有IP地址的使用。
如图4.2所示,运用NAT技术隐藏了局域网内部的17.1.1.0网段,在Internet网上显示的是1.1.1.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 中小型企业 网络安全 解决方案