中小型企業(yè)網(wǎng)絡(luò)安全解決方案

中小型企業(yè)網(wǎng)絡(luò)安全解決方案

0中小型企業(yè)網(wǎng)絡(luò)安全的解決方案公司越來(lái)越多地依賴(lài)網(wǎng)絡(luò)，面臨著網(wǎng)絡(luò)安全問(wèn)題。由于人才的缺乏和觀念的落后,許多企業(yè)在遭受了無(wú)可挽回的損失以后,才覺(jué)察到網(wǎng)絡(luò)安全的重要性。筆者依據(jù)多年的實(shí)踐經(jīng)驗(yàn),提出了一個(gè)簡(jiǎn)單可靠的解決方案,可以滿足大多數(shù)中小企業(yè)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的需求。雖然絕對(duì)安全的計(jì)算機(jī)網(wǎng)絡(luò)在現(xiàn)實(shí)中并不存在,但是可以通過(guò)對(duì)安全隱患的分析,結(jié)合中小型企業(yè)對(duì)網(wǎng)絡(luò)安全的一般需求,制定出一個(gè)安全策略,并以此為基礎(chǔ)建立起網(wǎng)絡(luò)安全機(jī)制,從而在最大程度上保護(hù)企業(yè)網(wǎng)絡(luò)的安全性,使其免遭攻擊;即使遭受了攻擊,也能把損失降到最低。1堅(jiān)持被外部網(wǎng)絡(luò)所訪問(wèn)的原則一般中小型企業(yè)的局域網(wǎng)擁有十幾臺(tái)至上百臺(tái)計(jì)算機(jī)不等。其中的Web、FTP、電子郵件、DNS等服務(wù)器應(yīng)能被內(nèi)外網(wǎng)絡(luò)的計(jì)算機(jī)所訪問(wèn);數(shù)據(jù)庫(kù)服務(wù)器一般只面向內(nèi)部網(wǎng)絡(luò),不應(yīng)被外部網(wǎng)絡(luò)所訪問(wèn);所有的工作站都不能被外部網(wǎng)絡(luò)所訪問(wèn)。局域網(wǎng)中的工作站有些可以訪問(wèn)外部網(wǎng)絡(luò),有些則被禁止。局域網(wǎng)中的所有計(jì)算機(jī)都應(yīng)能抵御來(lái)自于外部的黑客或病毒的攻擊。如圖1所示。2計(jì)算機(jī)病毒動(dòng)態(tài)任何一個(gè)固定的IP地址都會(huì)成為攻擊者攻擊的潛在目標(biāo)。攻擊的形式多種多樣,目前主要有以下幾種:1)網(wǎng)絡(luò)嗅探器(Sniffer)。攻擊者通過(guò)嗅探器截獲網(wǎng)絡(luò)上的數(shù)據(jù)流,對(duì)報(bào)文進(jìn)行分析,破譯出其想要的信息,如服務(wù)器的密碼,發(fā)往某個(gè)地址的電子郵件等。2)IP欺騙(IPSpoofing)。攻擊者偽造一個(gè)IP地址,使接收者誤以為是局域網(wǎng)內(nèi)的合法地址。3)端口掃描。攻擊者通過(guò)掃描程序可以檢測(cè)出服務(wù)器上的安全脆弱點(diǎn)。4)密碼攻擊。通過(guò)一遍又一遍的自動(dòng)試探,獲取服務(wù)器的密碼。5)拒絕服務(wù)(DoS)攻擊。通過(guò)大量消耗對(duì)方的網(wǎng)絡(luò)資源使合法的用戶無(wú)法訪問(wèn)網(wǎng)絡(luò)。6)應(yīng)用層的攻擊。應(yīng)用層的攻擊又有許多方式。系統(tǒng)中的許多服務(wù)軟件本身可能含有安全方面的缺陷,可被黑客用來(lái)發(fā)動(dòng)攻擊。例如微軟的InternetInformationServer,華盛頓大學(xué)的FTP服務(wù)器軟件,以及Unix系統(tǒng)上廣泛使用的SendMail郵件服務(wù)程序,都曾經(jīng)被發(fā)現(xiàn)存在安全漏洞。7)特洛依木馬。特洛依木馬是隱含在合法程序中、或者偽裝成合法程序的未授權(quán)代碼,在用戶未知的情況下竊取密碼或執(zhí)行用戶所不希望的任務(wù)。8)計(jì)算機(jī)病毒。能夠自我復(fù)制的計(jì)算機(jī)代碼,可以在系統(tǒng)間進(jìn)行傳播并破壞系統(tǒng),有些特洛依木馬也屬于病毒的范疇。網(wǎng)絡(luò)使病毒的傳播速度和危害程度達(dá)到前所未有的地步。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,新的攻擊手段也在不斷產(chǎn)生。例如有些Web站點(diǎn)的網(wǎng)頁(yè)內(nèi)可能含有一些惡意代碼,利用Java或ActiveX技術(shù)在瀏覽者的計(jì)算機(jī)中植入特洛依木馬或病毒。還有一些雖然不一定有惡意、但是對(duì)計(jì)算機(jī)的安全性可能產(chǎn)生影響的行為,如通過(guò)Cookie或共享軟件的廣告欄收集別人的系統(tǒng)信息和個(gè)人隱私。垃圾郵件的防治對(duì)于系統(tǒng)管理員來(lái)說(shuō),也是一個(gè)必須考慮的安全問(wèn)題。3使用軟件的安全目標(biāo)對(duì)安全隱患有了一定的了解,首先應(yīng)制定一個(gè)全面可行的安全策略。概括地講,我們的策略是:利用路由器、防火墻和代理服務(wù)器,通過(guò)軟、硬件相結(jié)合,在局域網(wǎng)的內(nèi)部和外部,在客戶端和服務(wù)器之間,在用戶和網(wǎng)絡(luò)之間筑起3道屏障,利用集中式的密碼管理、端口過(guò)濾、協(xié)議過(guò)濾、報(bào)文過(guò)濾、內(nèi)容過(guò)濾、惡意代碼過(guò)濾、拒絕服務(wù)攻擊檢測(cè)、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、地址過(guò)濾、日志檢查等綜合手段,把企業(yè)內(nèi)部網(wǎng)絡(luò)遭受攻擊的可能性和成功率降到最低,確保網(wǎng)絡(luò)的安全運(yùn)行。根據(jù)這一策略,我們提出一個(gè)具體的安全方案,如圖2所示。我們用路由器作為抵御外來(lái)攻擊的第一道屏障。大多數(shù)主流廠商的路由器,如Cisco的路由器,都有內(nèi)置的安全功能,主要設(shè)置有:①基于內(nèi)容的訪問(wèn)控制。這是路由器最新的安全特征,不僅支持傳統(tǒng)的地址過(guò)濾、端口過(guò)濾和報(bào)文過(guò)濾,還能對(duì)應(yīng)用層的協(xié)議進(jìn)行監(jiān)控,防止建立非法的網(wǎng)絡(luò)聯(lián)接,并使掃描程序失效;②Java過(guò)濾,防止惡意代碼;③拒絕服務(wù)攻擊的檢測(cè)和防止,通過(guò)檢測(cè)報(bào)文頭并丟棄可疑的報(bào)文來(lái)實(shí)施;④防IP欺騙技術(shù);⑤通過(guò)加密技術(shù)和對(duì)IPSec的支持防止嗅探器。通過(guò)路由器的設(shè)置,可以達(dá)到以下目的。①外部網(wǎng)絡(luò)無(wú)法訪問(wèn)內(nèi)部網(wǎng)絡(luò);②內(nèi)部網(wǎng)絡(luò)部分主機(jī)可直接訪問(wèn)Internet,部分主機(jī)需通過(guò)代理服務(wù)器訪問(wèn)Internet;③內(nèi)、外網(wǎng)絡(luò)都能訪問(wèn)DMZ中的網(wǎng)絡(luò)服務(wù)(WWW、FTP、E-mail、DNS);④只有內(nèi)部網(wǎng)絡(luò)可以訪問(wèn)DMZ中的POP3服務(wù);⑤DMZ中的主機(jī)不能主動(dòng)與內(nèi)、外網(wǎng)絡(luò)建立聯(lián)接。當(dāng)?shù)谝坏榔琳辖⒑靡院?網(wǎng)絡(luò)的安全性有了基本保障。在網(wǎng)絡(luò)服務(wù)器上,使用軟件防火墻,如CheckPointFireWall-1作為第二道屏障。軟件防火墻為用戶提供了一個(gè)易于配置及維護(hù)的安全規(guī)則,而且大多提供簡(jiǎn)潔、強(qiáng)大的圖形界面,使系統(tǒng)管理員能方便地定義對(duì)服務(wù)器訪問(wèn)的安全認(rèn)證。軟件防火墻也提供了工具用于檢測(cè)和防止諸如DoS等攻擊,其內(nèi)容安全機(jī)制則提供了對(duì)URL的過(guò)濾,對(duì)Java和ActiveX的過(guò)濾,以及對(duì)垃圾郵件的過(guò)濾。軟件防火墻還提供了網(wǎng)絡(luò)狀態(tài)的實(shí)時(shí)監(jiān)控和運(yùn)行日志的管理功能。最后,我們?yōu)榫钟蚓W(wǎng)中那些有更高安全要求的主機(jī)以及被共享使用的主機(jī)提供一個(gè)代理服務(wù)器。這些主機(jī)采用特別的IP地址把自己隱藏起來(lái)。代理服務(wù)器一般也提供協(xié)議過(guò)濾、地址過(guò)濾等多級(jí)安全機(jī)制,這就構(gòu)成了企業(yè)網(wǎng)絡(luò)的第三道屏障。4網(wǎng)絡(luò)管理員有了上述的3道屏障,企業(yè)的網(wǎng)絡(luò)安全有了全面的保障,但是網(wǎng)絡(luò)管理員還不可以高枕無(wú)憂。網(wǎng)絡(luò)的安全管理是一個(gè)動(dòng)態(tài)的、不斷完善的過(guò)程,即使忽略了很小的一個(gè)細(xì)節(jié),也可能帶來(lái)意想不到的危險(xiǎn)。因此,網(wǎng)絡(luò)管理員應(yīng)保持良好的工作習(xí)慣。1)對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器的物理訪問(wèn)應(yīng)作嚴(yán)格限制;2)建立良好的密碼管理機(jī)制;3)