网络安全加固技术分析
发表时间:2009-4-29 童永清 余望 来源:万方数据
关键字:网络安全 加固 技术
信息化调查茬投稿收藏评论好文推荐打印社区分享
各种安全防范措施就好比是一块块木板,这些木板集成在一起构成一个木桶,这个木桶中承载着的水就好比网络中运行的各种业务。各种业务能否安全、稳定地运转取决于两点:一是最矮木板的高度,二是各块木板之间是否存在缝隙。为了使木桶中的水能承载得更多、更持久,我们需要对木桶进行安全加固,一方面提高最矮木板的高度,一方面消除木板间的缝隙。以下从网络边界、服务器、内网等几个方面介绍网络安全加固的一些原则和措施。
    目前,企业和机构的网络面临着各种安全威胁,如黑客攻击、恶意软件、信息泄露、拒绝服务、内部破坏。相应地,我们采取了.许多防范措施,如安装防火墙和杀毒软件、进行信息加密和访问控制、采用扫描技术和入侵检测技术。各种网络安全防御措施不是孤立的,而是作为一个整体为一个网络提供安全保障。各种安全防范措施就好比是一块块木板,这些木板集成在
一起构成一个木桶,这个木桶中承载着的水就好比网络中运行的各种业务。
    各种业务能否安全、稳定地运转取决于两点:一是最矮木板的高度,二是各块木板之间是否存在缝隙。为了使木桶中的水能承载得更多、更持久,我们需要对木桶进行安全加固,一方面提高最矮木板的高度,一方面消除木板间的缝隙。以下从网络边界、服务器、内网等几个方面介绍网络安全加固的一些原则和措施。
    1 网络边界安全加固
    路由器作为网络边界最重要的设备,也是进入内网的第一道防线。边界路由器的安全缺陷来源于操作系统,路由协议、硬件、配置。路由器上运行的操作系统通常存在安全隐患,主要表现为远程溢出漏洞和默认开放的服务。除了及时F载补丁修复漏洞外,路由器操作系统默认开放的许多服务通常存任着安全风险,加固的方法是根据最小特权原则关闭不需要的服务,同时对用户和进程赋予完成任务所需的最小权限。一些路由协议,如RIP,对收到的路由信息不进行任何校验和认证,由此能造成网络拓扑信息泄露或因收到恶意路由而导致网络瘫痪。对此需要添加认证,确保通信对象是可信的。CDP协议(CiscoDiscovery Protocal)会造成路由器操作系统版本等信息的泄露,一般应予以关闭。路由器硬件可能因发生故障或受
到恶意攻击而停机,为此需要进行备份。
    加固边界路由器最重要的方法是进行安全配置,建立合适的访问控制表(ACL)。ACL(Access Control List)规定哪些IP地址和协议可以通过边界路由器,而哪些被阻止,由此确保流量安全进出网络。定制访问控制表通常应遵守这样的原则:流量如果不被明确允许,就应该被拒绝。假设某组织的网络通过一个Cisco路由器连入互联网,下面为该组织定制一个ACL:
    首先拒绝所有向内传输而源地址是内部IP的流量,以防止利用内部地址进行IP欺骗:
    deny ip 192.168.1.0/24 any
    接着允许向内传输的已建立TCP连接的流量进入内网,确保正常通信:
    路由器通过包过滤提供了一定的防护措施,但它不能根据状态对流过的数据包进行检查。基于状态的防火墙可以满是这一要求,但其本身存在一些不足和缺陷,如防火墙不能防范不经由它的攻击、不能解决来自内部的攻击、不能防止利用服务器漏涧进行的攻击、不能阻止
病毒和蠕虫文件的传输。为此,通过合理建设网络,制定并执行安全规定,确保所有流入和流出的流量都经过边界防火墙。同时,边界防火墙需要与其他防护措施协同工作,如通过强化内网特别是服务器的安全来减少安全威胁,提供日志等信息给入侵检测系统以帮助其检测攻击行为。
    边界防火墙通常放置在边界路由器和交换机之间,是网络边界的重要组成部分。与路由器一样,其策略配置非常关键。由于各组织机构网络和业务需求的不同,防火墙的配置策略也有较大的差别。对于防火墙的安全配置,可以遵循以下几项原则:(1)区别流入和流出流量,分别制定策略;(2)只有开放服务所需要的端口才开放,其他端口一律关闭;(3)频繁执行的策略放置在前,较少执行的策略放置在后,以此提高过滤效率;(4)根据病毒警告临时性地关闭某些端口;(5)若业务需要启用防火墙的DMZ(非军事化区)功能,将服务器放置在DMZ中。
2 服务器安全加固
    网络中各种服务器,如Web服务器、FTP服务器、E—mail服务器,是黑客攻击的重点目标,其安全性至关重要。虽然通过路由器的包过滤和防火墙的访问控制,大大增强了安全性。但黑客还可以利用服务器的漏洞或配置错误进行攻击,以图获取系统控制权或实现拒绝
服务。
    这里以IIS Web服务器为例介绍Web服务器的一些加固措施。微软的IIS由于其功能强大、简单易用,是当前Windows平台上最常用的Web服务器之一。但IISWeb服务器存在着许多致命的漏洞。常用的加固措施有:
    (1)删除无效的映射。在默认情况下,IIS会自动创建多种应用程序的映射关系。这些应用程序映射大多没有任何作用,而其中许多却存在安全漏洞,极易被攻击者利用。
    (2)取消匿名访问和进行内容分级。IIS默认情况下允许匿名访问,这往往给攻击者带来便利。为降低服务器受到攻击的风险,限制对服务器的访问非常重要。最好能对访问的用户进行身份认证。为了阻止用户随意查看站点的所有内容,可以启用内容分级功能。
    (3)使用SSL加密通信。通常状态下,HTTP协议以明文的方式传输信息,攻击者通过使用嗅探器可以轻易地截获传输的账号和密码。为了防止嗅探,可以对IIS服务器进行SSL加密验证,保证传输内容的机密性。
    (4)使用安全工具进行加固。除了及时安装补丁修补漏洞外,还可以使用专门的工具对IIS
tcpip协议缺陷
进行安全加固。如安全工具IIS Lock Tool,它可以帮助网管员设置IIS的安全属性、关闭一些不必要的服务、阻止一些已知的攻击。又如工具URL Scan,它可以自动过滤不合法的访问请求。许多攻击酃是通过精心构造URL请求来实现的,通过使用URL Scan,可以大大减小攻击的成功率。
    3 内网安全加固
    据统计,安全威胁的70%来自于内部,包括末授权的访问、有意或无意而留下的安全漏洞和信息泄露、内部人员的恶意攻击。因此,有必要加强内部网络的安全,可以重点针对以下几个方面进行安全加固:主机的脆弱性、攻击类型、人员安全意识和行为习惯。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。