中小型企业网网络安全方案.docx
- 文档编号:30614488
- 上传时间:2023-08-18
- 格式:DOCX
- 页数:9
- 大小:27.94KB
中小型企业网网络安全方案.docx
《中小型企业网网络安全方案.docx》由会员分享,可在线阅读,更多相关《中小型企业网网络安全方案.docx(9页珍藏版)》请在冰豆网上搜索。
中小型企业网网络安全方案
红帆生物公司网络安全
方案
新疆农业职业技术学院
09高网(3)班李国尊
目录
第一章网络系统概况3
第二章需求分析4
第三章网络安全项目实施5
3.1创建打印服务器安全策略5
3.2WEB服务器配置与安全方案实施6
3.2.1WEB服务器的安全设置6
3.3FTP服务器配置与安全方案实施7
3.3.1FTP服务器的安全管理设置7
第四章红番公司网络安全方案测试10
4.1方案测试10
第五章结论11
第一章网络系统概况
在分析这个红帆科技公司企业局域网的安全风险时,应考虑到网络的如下几个特点:
网络与Internet直接连结,因此在进行安全方案设计时要考虑与Internet连结的有关风险,包括可能通过Internet传播进来病毒,黑客攻击,来自Internet的非授权访问等。
网络中存在公开服务器,如共享打印机服务、FTP服务安全方案设计时应该考虑采用安全服务器网络,避免公开服务器的安全风险扩散到内部。
内部网络中存在许多不同的原因,有时候工作需要有外来人员进入企业内部,防止不法分子盗取公司内部资料,以及大肆搞破坏,于是针对服务一些重要的资料实行保护,有效的防止这些事情发生,保护公司利益。
第二章需求分析
红帆科技公司网络应用需求
1、企业网一与Internet连接,员工可通过互联网获取资源和信息.
所以要在员工在访问互联网的同时能安全的上网,禁止恶意网站和不良信息的下载,防止病毒感染。
2、建设企业WEB网站,实现企业的对外宣传以及发布企业内部信息。
所以,在发布企业内部信息的同时防止非法的访问以及黑客攻击。
3、在企业局域网网内实现文件传输共享(FTP)。
在访问FTP需要身份认证,防止外来人员进行恶意的破坏。
4、实现企业行政、员工的共享打印服务,由于公司的经济能力,不能为每个员工都配置一台打印机,于是就出现了打印服务,需要保障打印服务的安全性能。
目前,有越来越多的人使用打印机,尤其是在办公领域打印机更起着越来越重要的作用,如打印文档、表格、照片等已离不开打印机。
用户使用环境如公司的规模较大时,或者使用不同的系统来办公,不可能为每一个人配备一台打印机(事实上也是不经济的),这时候就产生了共享打印机资源的问题了。
即把一台打印机放在固定的一个位置,通过不同的途径将其共享,这样常常就是需要使用打印服务器了。
下面就是我们要说到的安装共享打印机的几个类型,现在网络技术和网络建设已经比较发达了,如果一份文件的地理位置在总公司的某台计算机上,分公司的人员想要获得这个文件的打印件,只需要一台装有打印服务器的网络打印机,就可以由总公司的人员通过网络将这个文件发送到分公司的网络打印机上打印出来,如此方便的打印服务就要依靠打印服务器来完成了。
第三章网络安全项目实施
3.1创建打印服务器安全策略
1)在新引用计算机上创建WindowsServer2003SP1的新安装。
2)通过“控制面板”、“添加或删除程序”、“添加/删除Windows组件”来安装安全配置向导组件。
3)将计算机加入到域,这将应用来自父OU的所有安全设置。
4)仅安装和配置共享此角色的每个服务器所必需的应用程序。
例如,特定于角色的服务、软件和管理代理、磁带备份代理以及防病毒或反间谍软件实用程序。
5)启动SCWGUI,选择“创建新的策略”,然后将其指向引用计算机。
6)确保检测到的打印服务器角色适合于环境。
7)确保检测到的客户端功能和检测到的管理选项适合于环境。
8)确保您的基准所需要的任何附加服务(例如备份代理或防病毒软件)已被检测到。
9)确定如何处理的环境中的未指定服务。
为了获得附加的安全,可能需要将此策略设置配置为“禁用”。
应该对此配置进行测试,然后再将其部署到生产网络中,因为若生产服务器所运行的附加服务未复制到引用服务器上,部署此配置就会造成问题。
10)确保在“网络安全”部分中取消选中“跳过这一部分”,然后单击“下一步”。
前面标识的相应端口和应用程序被配置为Windows防火墙的例外。
11)在“注册表设置”部分中,单击“跳过这一部分”复选框,然后单击“下一步”。
这些策略设置从提供的INF文件中导入。
12)在“审核策略”部分中,单击“跳过这一部分”复选框,然后单击“下一步”。
这些策略设置从提供的INF文件中导入。
13)包括相应的安全模板,并且以适当的名称保存策略。
3.2WEB服务器配置与安全方案实施
3.2.1WEB服务器的安全设置
WEB服务器是企业网Intranet网站的核心,其中的数据资料非常重要,一旦遭到破坏将会给企业造成不可弥补的损失,管理好、使用好、保护好WEB服务器中的资源,是一项至关重要的工作。
WEB安全服务器主要存在的漏洞包括:
1)物理路径泄露
2)CGI源代码泄露
3)目录遍历
4)执行任意命令
5)缓冲区溢出
6)拒绝服务。
不使用默认的WEB站点,将IIS目录与系统磁盘分开。
将网站内容移动到非系统驱动器,不使用默认的Inetpub目录,以减轻目录遍历攻击(这种攻击试图浏览WEB服务器的目录结构)带来的危险(一定要验证所有的虚拟目录是否均指向目标驱动器)。
删除IIS默认创建的Inetpub目录(在系统磁盘上)并配置网站访问权限。
为WEB服务器配置站点、目录和文件的访问权限。
删除系统盘下的虚拟目录:
vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
删除不必要的IIS扩展名映射。
右键单击“默认WEB站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射,主要为shtml、shtm、stm。
更改IIS日志的路径。
右键单击“默认WEB站点→属性→网站→在启用日志记录下→点击属性更改设置。
只选择网站和WEB应用程序正确运行所必需的服务和子组件。
开始→控制面板→添加或删除程序→添加/删除Windows组件→应用程序服务器→详细信息→Internet信息服务(IIS)→详细信息→然后通过选择或清除相应组件或服务的复选框,来选择或取消相应的IIS组件和服务。
IIS子组件和服务的推荐设置:
禁用:
后台智能传输服务(BITS)服务器扩展、FTP服务、FrontPage2002ServerExtensions、Internet打印、NNTP服务。
启用:
公用文件、Internet信息服务管理器、万维网服务。
删除未使用的帐户,设置强密码,使用以最低特权的帐户。
避免攻击者通过使用以高级特权运行的帐户来获取XX的资源访问权。
限制对服务器的匿名连接,确保禁用来宾帐户;重命名管理员帐户并分配一个强密码以增强安全性。
重命名IUSR帐户。
在IIS元数据库中更改IUSR帐户的值:
“管理工具”→“Internet信息服务(IIS)管理器”→右键单击“本地计算机”→“属性”→选中“允许直接编辑配置数据库”复选框→“确定”→浏览至MetaBase.xml文件的位置,默认情况下为C:
“Windows“system32“inetsrv→右键单击MetaBase.xml文件→“编辑”→搜索“AnonymousUserName”属性,→键入IUSR帐户的新名称→在“文件”菜单上→单击“退出”→单击“是”。
使用应用程序池来隔离应用程序,提高WEB服务器的可靠性和安全性。
3.3FTP服务器配置与安全方案实施
3.3.1FTP服务器的安全管理设置
1)取消匿名访问功能
默认情况下服务器托管,Windows2000系统的FTP服务器是允许匿名访问的,虽然匿名访问为用户上传、下载文件提供方便,但却存在极大的安全隐患。
用户不需要申请合法的账号,就能访问FTP服务器,甚至还可以上传、下载文件,特别对于一些存储重要资料的FTP服务器,服务器托管很容易出现泄密的情况,因此建议用户取消匿名访问功能。
在Windows2003系统中,点击“开始→程序→管理工具→Internet服务管理器”,弹出管理控制台窗口。
然后展开窗口左侧的本地计算机选项,就能看到IIS5.0自带的FTP服务器,取消匿名访问功能。
右键点击“默认FTP站点”项,在右键菜单中选择“属性”,服务器托管接着弹出默认FTP站点属性对话框,切换到“安全账号”标签页,取消“允许匿名连接”前的勾选,最后点击“确定”按钮,这样用户就不能使用匿名账号访问FTP服务器了,必须拥有合法账号。
2)启用日志记录
Windows日志记录着系统运行的一切信息,如访问时间、客户机IP地址、使用的登录账号等,这些信息对于FTP服务器的稳定运行具有很重要的意义,一旦服务器出现问题,就可以查看FTP日志,找到故障所在,及时排除。
因此一定要启用FTP日志记录。
3)在默认FTP站点属性对话框中,切换到“FTP站点”标签页,一定要确保“启用日志记录”选项被选中,这样就可以在“事件查看器”中查看FTP日志记录了,TCP/IP访问限制
为了保证公司FTP服务器的安全,还可以拒绝某些IP地址的访问。
在默认FTP站点属性对话框中,切换到“目录安全性”标签页,选中“授权访问”单选项,然后在“以下所列除外”框中点击“添加”按钮,弹出“拒绝以下访问”对话框,这里可以拒绝单个IP地址或一组IP地址访问,服务器托管以单个IP地址为例,选中“单机”选项,然后在“IP地址”栏中输入该机器的IP地址,最后点击“确定”按钮。
这样添加到列表中的IP地址都不能访问FTP服务器了。
4)合理设置组策略
通过对组策略项目的修改,也可以增强公司FTP服务器的安全性。
在Windows2003系统中,进入到“控制面板→管理工具”,运行本地安全策略工具。
1、审核账户登录事件
在本地安全设置窗口中,服务器托管依次展开“安全设置→本地策略→审核策略”,然后在右侧的框体中找到“审核账户登录事件”项目,双击打开该项目,在设置对话框中选中“成功”和“失败”这两项,最后点击“确定”按钮。
该策略生效后,FTP用户的每次登录都会被记录到日志中。
2、增强账号密码的复杂性
一些FTP账号的密码设置的过于简单,就有可能被“不法之徒”所破解。
为了提高公司FTP服务器的安全性,必须强制用户设置复杂的账号密码。
在本地安全设置窗口中,服务器托管依次展开“安全设置→账户策略→密码策略”,在右侧框体中找到“密码必须符合复杂性要求”项,双击打开后,选中“已启用”单选项,最后点击“确定”按钮。
然后,打开“密码长度最小值”项,为FTP账号密码设置最短字符限制。
这样以来,密码的安全性就大大增强了。
3、账号登录限制
有些非法用户使用黑客工具,反复登录FTP服务器,来猜测账号密码。
这是非常危险的,因此建议大家对账号登录次数进行限制。
依次展开“安全设置→账户策略→账户锁定策略”,服务器托管在右侧框体中找到“账户锁定阈值”项,双击打开后,设置账号登录的最大次数,为3次如果超过此数值,账号会被自动锁定,如图4.3.2-6设置。
接着打开“账户锁定时间”项,设置FTP账号被锁定的时间,账号一旦被锁定,超过30分钟,才能重新使用,通过服务器托管以上几步设置后,红番公司的FTP服务器将会更加安全,再也不用怕被非法入侵了。
第四章红帆安全方案测试
4.1方案测试
打印服务的一些安全设置,没有进行身份认证无法正常使用打印服务器,有效的防止他人浪费共享资源。
在共享打印机的时候,设置优先级,使用后台打印,以便程序更快的技术打印,设置首先打印后台文档,并且保留打印的文档。
FTP服务器设置了独立权限,这里的权限设置需要分两部分来进行,即对FTP服务器主目录的权限设置和对各个用户文件夹的权限设置。
,在“FTP的高级安全设置”对话框中双击“权限列表”中的“拒绝FTP写入”选项,打开“FTP的权限设置”对话框。
在“应用到”下拉列表中选中“只有该文件夹”选项,连续单击“确定”按钮完成设置需权限保护的文件夹必须在NTFS分区中创建,FAT32分区内的资源无法设置权限。
至此,设置工作就全部结束了。
在任意一台机器上以用户“xpzx”的身份登录FTP服务器,你会发现该用户只能在“xpzx”文件夹中任意读写,而无法看到主目录和其他用户目录的内容。
WEB服务测试,首先禁用了对某个资源的Web服务器权限(如“读取”权限),则所有用户都不能查看该资源,无论这些用户帐户应用的NTFS权限设置如何。
如果您启用了对某个资源的Web服务器权限(如“读取”权限),则所有用户都可以查看该资源,除非同时还应用了限制访问该资源的NTFS权限。
第五章结论
经过在网络安全策略学习和实践,使我三年大学的理论知识有了更系统更全面的掌握,对计算机网络知识有了更进一步的认识,特别是在实际网络设备的操作方面有很大的提高。
对于网络建设中的网络解决有着进一步的认识,让我了解到理论联系实际的重要性。
通过对企业网局域网的规划和安全的解决方案,使我深刻的认识到。
在计算机网络建设中和网络安全的防范中,一定需要认真研究实际情况,考虑网络设备性能、网络规模、网络运行、管理、安全和升级等诸方面因素,形成一套安全、合理、适当的网络解决方案,这将会大大提高网络的整体性能,给网络管理带来许多方便。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 中小型企业 网络安全 方案