网络安全加固技术分析
发表时间:2009-4-29 童永清 余望 来源:万方数据 关键字:网络安全 加固 技术
信息化调查找茬投稿收藏评论好文推荐打印社区分享
各种安全防范措施就好比是一块块木板,这些木板集成在一起构成一个木桶,这个木桶中承载着的水就好比网络中运行的各种业务。各种业务能否安全、稳定地运转取决于两点:一是最矮木板的高度,二是各块木板之间是否存在缝隙。为了使木桶中的水能承载得更多、更持久,我们需要对木桶进行安全加固,一方面提高最矮木板的高度,一方面消除木板间的缝隙。以下从网络边界、服务器、内网等几个方面介绍网络安全加固的一些原则和措施。 目前,企业和机构的网络面临着各种安全威胁,如黑客攻击、恶意软件、信息泄露、拒绝服务、内部破坏。相应地,我们采取了.许多防范措施,如安装防火墙和杀毒软件、进行信息加密和访问控制、采用扫描技术和入侵检测技术。各种网络安全防御措施不是孤立的,而是作为一个整体为一个网络提供安全保障。各种安全防范措施就好比是一块块木板,这些木板集成在一起构成一个木桶,这个木桶中承载着的水就好比网络中运行的各种业务。
各种业务能否安全、稳定地运转取决于两点:一是最矮木板的高度,二是各块木板之间是否存在缝隙。为了使木桶中的水能承载得更多、更持久,我们需要对木桶进行安全加固,一方面提
高最矮木板的高度,一方面消除木板间的缝隙。以下从网络边界、服务器、内网等几个方面介绍网络安全加固的一些原则和措施。 1 网络边界安全加固
路由器作为网络边界最重要的设备,也是进入内网的第一道防线。边界路由器的安全缺陷来源于操作系统,路由协议、硬件、配置。路由器上运行的操作系统通常存在安全隐患,主要表现为远程溢出漏洞和默认开放的服务。除了及时F载补丁修复漏洞外,路由器操作系统默认开放的许多服务通常存任着安全风险,加固的方法是根据最小特权原则关闭不需要的服务,同时对用户和进程赋予完成任务所需的最小权限。一些路由协议,如RIP,对收到的路由信息不进行任何校验和认证,由此能造成网络拓扑信息泄露或因收到恶意路由而导致网络瘫痪。对此需要添加认证,确保通信对象是可信的。CDP协议(CiscoDiscovery Protocal)会造成路由器操作系统版本等信息的泄露,一般应予以关闭。路由器硬件可能因发生故障或受到恶意攻击而停机,为此需要进行备份。
加固边界路由器最重要的方法是进行安全配置,建立合适的访问控制表(ACL)。ACL(Access Control List)规定哪些IP地址和协议可以通过边界路由器,而哪些被阻止,由此确保流量安全进出网络。定制访问控制表通常应遵守这样的原则:流量如果不
被明确允许,就应该被拒绝。假设某组织的网络通过一个Cisco路由器连入互联网,下面为该组织定制一个ACL:
首先拒绝所有向内传输而源地址是内部IP的流量,以防止利用内部地址进行IP欺骗: deny ip 192.168.1.0/24 any
接着允许向内传输的已建立TCP连接的流量进入内网,确保正常通信:
路由器通过包过滤提供了一定的防护措施,但它不能根据状态对流过的数据包进行检查。基于状态的防火墙可以满是这一要求,但其本身存在一些不足和缺陷,如防火墙不能防范不经由它的攻击、不能解决来自内部的攻击、不能防止利用服务器漏涧进行的攻击、不能阻止病毒和蠕虫文件的传输。为此,通过合理建设网络,制定并执行安全规定,确保所有流入和流出的流量都经过边界防火墙。同时,边界防火墙需要与其他防护措施协同工作,如通过强化内网特别是服务器的安全来减少安全威胁,提供日志等信息给入侵检测系统以帮助其检测攻击行为。
边界防火墙通常放置在边界路由器和交换机之间,是网络边界的重要组成部分。与路由器一样,其策略配置非常关键。由于各组织机构网络和业务需求的不同,防火墙的配置策略也有较大的差别。对于防火墙的安全配置,可以遵循以下几项原则:(1)区别流入和流出流量,分别制定策略;(2)只有开放服务所需要的端口才开放,其他端口一律关闭;(3)频繁执行的策略放置在前,较少执行的策略放置在后,以此提高过滤效率;(4)根据病毒警告临时性地关闭某些端口;(5)若业务需要启用防火墙的DMZ(非军事化区)功能,将服务器放置在DMZ中。 2 服务器安全加固
网络中各种服务器,如Web服务器、FTP服务器、E—mail服务器,是黑客攻击的重点目标,其安全性至关重要。虽然通过