中图分类号:TP393.18
网络安全对于绝大多数人而言指的都是互联网安全,但是对企业人员来说不仅其然,他们的使命是保护企业网络及信息的安全,而攻击对象可能是外部网络,也有可能是内部网络。这就需要我们对网络的安全进行针对性的分析,并找出技术解决办法。
1 边界安全
1.1 定义合理的网络边界
企业内部网络边界主要有:互联网、其他企业网络、无线网。
1.2 设置边界检查点
一个不可控的网络或者是一个外部企业网络连接到企业内网,比如说Internet,就有可能对企业内网构成安全威胁。在这些边界处要严格管制。
1.3 技术实现
(1)防火墙。防火墙是在边界把网分为内、外、DMZ区域,在不同的区域设置不同的优先级,已达到安全控制;(2)入侵防护系统。能对数据包深入检查,如发现非法攻击或病毒,会自动阻断其连接。
2 设备安全
2.1 设备物理安全
在大多数情况下,放置设备的位置对于入侵者来说是第一道防线,也是最后一层屏障。因此,物理安全比网络安全更加重要。
2.2 设备访问安全
console控制口登陆,这就需要在console下设备够强壮的密码。
远程登陆,目前较为普遍的是telnet和ssh。telnet是明码传输的,发送的数据被监听后不需要解密就能看到内容;ssh是加密的,基于SSL。现在的网络监听技术比较发达,中间人攻击也比较容易。因此建议SSH。除此之外,加上ACL访问控制,仅仅允许授权的登陆。
2.3 设备安全特性
网络设备针对网络漏洞、威胁和攻击,而开发了一些安全特性。
2.3.1 二层网络攻击
(1)CAM(内容可寻址存储器)地址表溢出:攻击者发出大量的MAC地址条目,使设备MAC达到最大数量,把合法的MAC冲出,从而使网瘫痪。解决办法,启用设备端口安全特性,可设置每个交换机端口学到MAC地址的数量;(2)生成树攻击:入侵者可以在网络中添加优先级为0的BPDU消息,并因此强制生成树重新进行计算,于是入侵者会成为新的根桥,这就会强制网络中所有交换机都向入侵者设备发送数据包。解决办法,在交换机上启用BPDU防护和根防护(ROOT Guard);(3)MAC地址欺骗:MAC地址欺骗不仅会造成真实主机拒绝服务,同样也会对交换机性能造成影响,因为入侵者会发送大量伪造的MAC地址。解决办法,也是启用端口安全特性;(4)ARP欺骗:局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址被改变成一个不存在的MAC地址,这样就会造成网络不通。解决办法,思科交换上的DAI(动态ARP监控)安全特性;(5)DHCP欺骗:入侵者向客户端引入一个“伪造的”DHCP服务器来响应从客户端发来的心DHCP请求,以此给这些客户端提供错误的信息,入IP地址、和其他伪造的网络信息。这些伪造的信息有助于黑客向客户端发起其他类型的攻击,入中间人攻击。解决办法,启用交换机的DHCP snooping特性,SHCP snooping特性通过维护一张DHCP snooping绑定表,来过滤不受信任的DHCP信息。
2.3.2 三层网络攻击
(1)ICMP泛洪和Smurf攻击:这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统,引起目标系统拒绝为正常系统进行服务。解决办法,使用IP源地址防护实现防欺骗;(2)TCP攻击:TCP攻击矢量是多变的,包括SYN泛洪、ACK泛洪、SYN+ACK泛洪、RST泛洪、Established泛洪、FIN泛洪等。解决办法,TCP拦截,它能为TCP服务器提供保护,使它免遭SYN泛洪攻击。
3 身份安全
3.1 网络准入控制
网络受到攻击往往是内部用户,如果用户自身的系统安全无法保障,也将会影响网络的安全。因此应对于用户的安全状况需进行必要的检查,使其满足组织预定义的安全基准,才许可其参与通信。
3.2 技术实现
通过在桌面机上安装客户端软件,可以避免未达安全要求的客户端接入内部网络,造成潜在的安全风险。
3.3 二层访问控制
目前恶意用户仍然是网络中的一大威胁,这些人盗用、篡改并阻隔信息,是网络服务被迫中断。二层访问控制解决能够在任何节点上实现安全的网络访问和准入机制,它能够隔离并控制试图访问网络的非法设备。
3.4 技术实现
IEEE802.1X是一个有线局域网和无线局域网的协议标准框架。它可以认证网络用户和网络设备。也可以在端口层面实施策略以实现保护网络资源和控制网络访问的目的。
4 数据安全
本文主要是讨论数据本身安全,主要是指采用现代密码算法对数据进行主动保护,如数据保密、数据完整性、双向强身份认证等。
4.1 数据安全基本特点
(1)机密性:数据加密,主要有对称加密和非对称加密。对称加密有DES、3DES和AES,非对称加密有RSA和DF;(2)完整性:Hash算法,MD5和SHA。;(3)认证性:预共享密钥、数字证书、数字签名。
4.2 技术实现
在技术实现过程中,必须遵循信息安全特点。即保证数据机密性、完整性和认证性。
(1)Ipsec VPN(安全VPN)。Ipsec VPN架构是IETF开发的一组开放式标准。IPSec通过OSI参考模型的第3层(网络层)来保护IP流量,从而保护IP网络上的所有应用和通信。Ipsec可以提供对端身份认证、信息机密性、信息完整性、信息源认证、重放检测、访问控制和数据流机密性等安全服务;(2)SSL VPN(安全套接字层VPN)。SSL是应用层(第7层)加密协议,它使用Web浏览器的本地SSL加密,来提供基于远程访问的解决方案,这种方案灵活而又经济。由于它不需要在系统上预先安装任何专业的客户端软件,因而用户能够从任何计算机进行连接。SSL VPN会话可有任何连网的计算机发起建立,因此能够将网络访问扩展到一切环境中。
5 结束语
通过对企业内部网络安全分析,外网和内网都存在威胁。防御外网攻击,要定义好外网边界,采用防火墙、入侵防御系统等安全技术。防止内部本身威胁,要保证合法的授权的用户并对用户身份安全进行检查。除外,要适时的开启各设备安全特性,预防攻击。对网络中敏感的数据,需要加密处理。这样我们才能做到安全的第一步。
