1、 首先分析網路拓撲結構和需要保護的內容
網路拓撲結構是否存在不合理
osi/rm參考模型中各層通訊的安全隱患
物理層的網路安全就包括了通訊線路的安全,物理裝置的安全、機房的安全和資料的安全等幾個方面。在物理層上存在安全風險主要體現在傳輸線路上的電磁洩漏、網路線路和網路裝置的物理破壞,以及資料的備份與恢復。黑客通過相應的技術手段,在傳輸線路上依靠電磁洩漏進行偵聽,可以實現非法擷取通訊資料;也可以通過非法手段進網路裝置進行破壞,致使網路全部或區域性的癱瘓。
保護措施:
對傳輸線路進行遮蔽,防止電磁洩漏 ;配備裝置冗餘、線路冗餘,和電源冗餘;完善各種管理制度相配合,特別是機房和使用者賬戶管理
資料鏈路層的主要特徵就是形成mac位址,並對物理層上的位元流進行編碼、成幀,然後就是鏈路層上的可靠資料傳輸。這樣一來,黑客基於資料鏈路層的攻擊行為也就清楚了,一是進行mac位址欺騙,如arp病毒,再就是對資料編碼、成幀機制進行干擾,致使形成錯誤的資料幀,也可以導致資料在資料鏈路上的傳輸錯誤,甚至資料丟失。資料鏈路層還有乙個安全風險就是大量的廣播包,致使網路鏈路頻寬資源匱乏,而最最終使網路癱瘓。
防護措施:
對傳輸中的鏈路進行加密,防止非法修改資料來源,干擾資料的編碼和成幀;繫結mac位址與ip位址、埠,或者自動監測mac位址修改;縮小廣播域,如劃分vlan;加強交換機裝置的cam的保護
網路層存在的安全風險主要體現在來自外部網路的入侵和攻擊,資料報修改,以及ip位址、路由位址和網位址的欺騙。 保護措施:
部署防火牆系統acl,過濾非法資料通訊請求;部署防火牆或路由器的nat技術,不把內網ip位址暴露在外;配置vpn,以確保網路間的通訊和資料安全;配置嚴謹的身份驗證系統,如kerberos 、ipsec協議和公鑰證書,防止非法使用者的訪問.
傳輸層的最終目的就是提供可靠,無差錯的資料傳輸。整個資料傳輸服務一般要經歷傳輸連線建立階段、資料傳送階段、傳輸連線釋放階段3個階段。其中每個階段都可能被黑客利用,進行非法攻擊。
如傳輸連線建立階段,黑客們通過獲取目的端的ip位址和埠,以及必要的驗證資訊就可以;資料傳送階段,黑客可能會非法擷取,或者篡改傳輸中的資料,還可能在傳輸過程中,傳送大量無效資料,或者命令請求,造成頻寬資源匱乏,引起傳輸服務癱瘓;在傳輸連線釋放階段,黑客則可以傳送錯誤的服務命令,導致傳輸連線非正常釋放,從而引起資料傳輸錯誤,資料丟失。這就是典型的黑客攻擊,其中最常見的就是拒絕服務攻擊(dos)。 保護措施:
強化作業系統tcp、udp協議安全配置,抵制黑客攻擊;採用tls/ssl、ssh、socks對傳輸資料進行加密,並提供資料完整性檢查和身份驗證;部署防火牆系統,抵制基於傳輸層的黑客攻擊;部署四層交換機、防火牆或路由器的流量控制功能和差錯檢測功能.
會話層和表示層作用就是要處理應用資料以什麼樣的表示形式來進行傳送,才能達到任意應用系統之間的資訊溝通。保護措施:
在會話層和表示層中可以提供的安全保護措施就是會話程序和傳輸資料的加密.
應用層的安全性也是最複雜的,各種不同應用程式有著不同的安全考慮和相應的防護措施。可以工作在應用層的網路裝置主要是七層交換機和應用**型的防火牆和路由器。 保護措施:
在防火牆或路由器上部署基於應用的通訊過濾;為各具體應用軟體配置相應的安全保護選項;及時發現作業系統和應用軟體的安全漏洞,更新安全補丁;安裝專業的計算機病毒、木馬和惡意軟體防護系統,及時更新.
本地網路接入情況
本地關鍵資料的部署
防火牆能夠防護的內容
防火牆是一種非常有效的網路安全模型,通過它可以隔離風險區域(即internet或有一定風險的網路)與安全區域(內部區域網)的連線,同時不會妨礙內部網路對風險區域的訪問。一般的防火牆都可以達到以下目的:一是可以限制他人進入內部網路,過濾掉不安全服務和非法使用者;二是控制內部網路的網路行為,過濾掉不符合組織要求的資料;三是記錄進出網路的通訊量。
部署防火牆的保護目標(具體化)
1. 邊界防火牆
傳統邊界防火牆方式
這一方式中,vpn伺服器位於邊界防火牆之後,防火牆必須開啟內外網路之間相應的vpn通訊服務埠,這可能帶來安全隱患,這也是傳統邊界防火牆不能很好地vpn通訊的原因。因為vpn通訊中資料報內容是加密過的,所以邊界防火牆無法檢測內外網路之間的通訊內容,也就無法從中獲取過濾資訊,這樣防火牆很難有效地實現對網路的訪問控制、審計和病毒檢測。因為vpn伺服器與傳統邊界2、 vpn通訊配置防火牆的上述矛盾,所以遠端攻擊者對很可能將vpn伺服器作為攻擊內部網路的跳板,給內部網路帶來非常大的不安全因素。
為了提高網路的安全性,最好再加上如圖9中配置的第二道防火牆:內部防火牆,把vpn伺服器放置在外部dmz區中。
2. 內部防火牆
使用vpn專用防火牆
針對傳統邊界防火牆與vpn通訊的上述矛盾,網路裝置開發商就特定為vpn通訊開發vpn防火牆。整合vpn技術的防火牆,就可以正確識別vpn通訊中的資料報,並且加密的資料報也只在外部vpn客戶端與防火牆之間,有交地避免了前種方案中資料報無法識別的弊端。
3. 重要資料和應用伺服器防火牆
dns伺服器可為網際網路提供網域名稱解析服務,對任何網路應用都十分關鍵。同時在其中也包括了非常重要的網路配置資訊,如使用者主機名和ip位址等。正因如此,對dns伺服器要採取特別的安全保護措施。
為了安全起見,建議在防火牆網路中,對內部dns伺服器和外部dns伺服器進行分開放置。為網際網路服務的外部dns伺服器不應該包含對外禁止訪問的內部網路系統的相關服務,需要專門放置在內部dns伺服器上。如果將內部網路的相關服務需放置在外部dns伺服器上,則會為非法攻擊者提供攻擊物件目標資訊。
這種將內部dns伺服器和外部dns伺服器分隔開的網路配置方案通常稱之為「分割dns」。
2、 分析高安全性、一般安全性、低安全性範圍
高安全性:禁止區域網內部和網際網路的機器訪問自己提供的網路共享服務,區域網和網際網路上的機器將無法看到本機器。除了是由已經被認可的程式開啟的埠外,系統會遮蔽向外部開放的所有埠。
一般安全性:禁止區域網內部和網際網路的機器訪問自己提供的網路共享服務,區域網和網際網路上的機器將無法看到本機器。
低安全性:計算機將完全信任區域網,允許區域網內部的機器訪問自己提供的各種服務,但禁止網際網路上的機器訪問這些服務
3、 與isp一起就管理問題進行討論
防火牆方案
2 遮蔽主機閘道器 screened host gateway 遮蔽主機閘道器易於實現,安全性好,應用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種型別。先來看單宿堡壘主機型別。乙個包過濾路由器連線外部網路,同時乙個堡壘主機安裝在內部網路上。堡壘主機只有乙個網絡卡,與內部網路連線 如圖2 通常在路由器...
走進防火牆
前些篇中,我們對集線器 交換機和路由器分別作了詳細的介紹。從本篇開始我們要介紹另乙個重要網路裝置 防火牆。現在無論是企業,還是個人,資訊保安問題都日益成為廣泛關注的焦點。不要說絕大多數非專業的企業 就邊專業的著名 如yahoo!ebay等著名 都曾經被黑客用原始的dos攻擊方法攻陷過,軟體系統巨人 ...
防火牆規則功能
實驗名稱 實驗目的 通過防火牆實現網路訪問規則的控制,包括對資料流量的限制 背景描述 你是公司的網路管理員,為了保護公司網路系統及資訊資源的安全,需要在防火牆上設定網路訪問規則。本實驗以配置基於時間的網路訪問控制為例,對其它規則的設定與此類似。實現功能 在允許必要的網路訪問的同時加強網路的安全防護。...