局域網(wǎng)防火墻及預(yù)防病毒策略范文
本站小編為你精心準(zhǔn)備了局域網(wǎng)防火墻及預(yù)防病毒策略參考范文,愿這些范文能點(diǎn)燃您思維的火花,激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。
關(guān)鍵詞:網(wǎng)絡(luò)安全設(shè)計(jì)容錯(cuò)
1、網(wǎng)絡(luò)安全和防火墻
除了關(guān)注全球互聯(lián)網(wǎng)對(duì)用戶單位業(yè)務(wù)的積極影響之外,同時(shí)也要充分考慮到將因特網(wǎng)作為用戶單位內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)延伸后的安全問題,若沒有合適的防火墻解決方案,系統(tǒng)就會(huì)成為網(wǎng)絡(luò)黑客們的眾矢之的,所以惡意闖入來(lái)自四面八方,并進(jìn)行某些惡意行為,例如:信息偷竊,甚至故意破壞。除了日趨嚴(yán)重的外部威脅以外,單位內(nèi)部對(duì)系統(tǒng)安全構(gòu)成危害的行為也在不斷增加,許多系統(tǒng)侵入者都非常隱蔽,給網(wǎng)絡(luò)系統(tǒng)安全造成潛在的很大損害,而當(dāng)其所造成的危害被發(fā)現(xiàn)時(shí)往往已為時(shí)過(guò)晚。
網(wǎng)絡(luò)安全的主要技術(shù)是防火墻技術(shù)(Firewall),防火墻技術(shù)的核心思想是在不安全的網(wǎng)間網(wǎng)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。目前其實(shí)現(xiàn)方式有兩種,即基于包過(guò)濾(PacketFilter)的防火墻和基于(Proxy)的防火墻。包過(guò)濾型防火墻處在網(wǎng)絡(luò)層,根據(jù)IP包的包頭信息來(lái)對(duì)信息的訪問進(jìn)行控制,而IP包的包頭主要包括以下信息:IP包的源地址、目的地址、包類型、端口號(hào),因此包過(guò)濾型防火墻主要完成基于地址和端口的過(guò)濾功能。基于的防火墻,也叫應(yīng)用層防火墻,處于應(yīng)用層,可對(duì)IP地址和發(fā)生在該IP地址上的具體應(yīng)用進(jìn)行控制,由于它能識(shí)別應(yīng)用協(xié)議,因此可對(duì)應(yīng)用的整個(gè)過(guò)程進(jìn)行控制,比如在應(yīng)用建立時(shí)的密碼驗(yàn)證、在FIP應(yīng)用中允許某站點(diǎn)get而不允許put等等。這兩種防火墻各有優(yōu)缺點(diǎn),包過(guò)濾型防火墻由于基于網(wǎng)絡(luò)層,因此對(duì)用戶來(lái)說(shuō)比較透明,但它一般采用“沒被禁止的就是允許的”這一策略,在它失效時(shí),網(wǎng)絡(luò)是暢通的,這時(shí)內(nèi)部網(wǎng)絡(luò)將失去安全的屏障,而應(yīng)用層防火墻采用“沒被允許的就是禁止的”這一策略,在它失效時(shí),內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)是隔離的,因此應(yīng)用層防火墻要比包過(guò)濾型防火墻安全。
大多數(shù)路由器均支持包過(guò)濾功能,比如在Cisco路由器上可以通過(guò)設(shè)置稱為access-list的過(guò)濾規(guī)則來(lái)實(shí)現(xiàn)包過(guò)濾功能:禁止外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的某些重要機(jī)器的訪問,禁止內(nèi)部網(wǎng)絡(luò)主機(jī)對(duì)Internet上部分站點(diǎn)的訪問;并可利用端口號(hào)來(lái)選擇控制的應(yīng)用協(xié)議,比如TELNET的端口號(hào)為23、FTP的端口號(hào)為21、WWW的端口號(hào)為80等,這樣就可以設(shè)置一些較復(fù)雜的規(guī)則,比如可以允許某臺(tái)機(jī)器對(duì)Internet具有Email訪問功能,卻不能利用WWW和FIP等。
2、網(wǎng)絡(luò)容錯(cuò)
計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是整個(gè)業(yè)務(wù)運(yùn)行的平臺(tái),服務(wù)器是整個(gè)網(wǎng)絡(luò)運(yùn)行的心臟,它能否可靠運(yùn)行直接影響到日常業(yè)務(wù)的運(yùn)作。
在主服務(wù)器發(fā)生故障的情況下,備用機(jī)能自動(dòng)啟動(dòng)為主服務(wù)器,全面代替主服務(wù)器響應(yīng)全部的網(wǎng)絡(luò)服務(wù)請(qǐng)求,直至主服務(wù)器被恢復(fù)。由于采用了雙機(jī)模式,備份服務(wù)器和主服務(wù)器的數(shù)據(jù)和程序完全一致,不會(huì)出現(xiàn)數(shù)據(jù)丟失的情況。
2.1概述
近年來(lái),計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的普及大大提高了我們的工作效率,但同時(shí)也給我們的工作提出了更高的要求,無(wú)論是主管領(lǐng)導(dǎo)還是網(wǎng)絡(luò)系統(tǒng)管理員都要面對(duì)一些非常嚴(yán)峻的問題,其中最值得關(guān)注的就是系統(tǒng)失效問題和數(shù)據(jù)安全。
造成計(jì)算機(jī)系統(tǒng)失效的因素歸納起來(lái)可分為兩類:一類是自然災(zāi)害(包括人為破壞);另一類是系統(tǒng)缺陷,即計(jì)算機(jī)系統(tǒng)自身的不可靠因素,如:誤操作、軟件缺陷、硬件老化、病毒等。電壓突然波動(dòng)等原因都有可能造成硬盤損壞。主要有下列兩種故障:
網(wǎng)絡(luò)設(shè)備故障:傳輸距離過(guò)長(zhǎng)、設(shè)備添加與移動(dòng)、傳輸介質(zhì)的質(zhì)量問題和老化都有可能造成網(wǎng)絡(luò)故障。
2.2邏輯故障
邏輯故障包括兩種,第一種是系統(tǒng)雖然能夠正常運(yùn)行,但實(shí)際已經(jīng)有部分損壞,如數(shù)據(jù)文件丟失、程序丟失等。第二種是系統(tǒng)本身雖然完好無(wú)損,可是系統(tǒng)中的部分?jǐn)?shù)據(jù)是錯(cuò)誤的,這類故障的隱蔽性很強(qiáng),通常難以發(fā)現(xiàn),更難以修復(fù)。
常見的幾種邏輯故障包括:
1)數(shù)據(jù)不完整:系統(tǒng)缺少完成業(yè)務(wù)所必須的數(shù)據(jù);
2)數(shù)據(jù)不一致:系統(tǒng)數(shù)據(jù)是完全的,但邏輯關(guān)系不正確;
3)數(shù)據(jù)錯(cuò)誤:系統(tǒng)數(shù)據(jù)是完全的,也符合邏輯關(guān)系,但數(shù)據(jù)是錯(cuò)誤的,與實(shí)際不符。
邏輯故障隱蔽性強(qiáng),往往帶有巨大的破壞性,是造成損失的主要原因。系統(tǒng)的正常運(yùn)轉(zhuǎn)和數(shù)據(jù)的安全對(duì)我們?nèi)绱酥匾话踩蛩赜植荒芑乇堋D敲丛鯓硬拍芴岣呦到y(tǒng)的可用性?以及在遇到災(zāi)難時(shí)又如何盡快恢復(fù)系統(tǒng),將損失減少到最小?
2.3措施方案
對(duì)服務(wù)器進(jìn)行容錯(cuò),對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)采取完善的備份措施。常言道有備無(wú)患,只有這樣網(wǎng)絡(luò)才會(huì)發(fā)揮它的效能,而不是包袱。
系統(tǒng)擁有好的備份系統(tǒng)和備份方案,可以將災(zāi)難的損失減小到最低程度。一般地,在硬件一級(jí)有磁盤鏡像、磁盤陣列、雙機(jī)容錯(cuò)等備份方案;在軟件一級(jí)有熱修復(fù)、數(shù)據(jù)拷貝等措施。
磁盤鏡像/硬盤雙工:可以防止單個(gè)硬盤的物理故障,但無(wú)法防止邏輯故障,而且當(dāng)一個(gè)硬盤出現(xiàn)故障時(shí),系統(tǒng)無(wú)法工作。對(duì)普通網(wǎng)絡(luò)應(yīng)用這是最基本的容錯(cuò)手段,WindowsNT和Netware均支持軟件硬盤鏡像,但運(yùn)行時(shí)系統(tǒng)資源被大量占用,且不穩(wěn)定,系統(tǒng)盤的鏡像往往不能正常啟動(dòng)。
磁盤陣列:磁盤陣列(RAID)是一項(xiàng)非常優(yōu)秀的容錯(cuò)技術(shù),以Escort系列為例,它支持RAID0至RAID5,可以防止單個(gè)硬盤的物理故障。不但滿足了容錯(cuò)的要求,容量可以很大且性能得以極大提升。磁盤陣列以SCSI與服務(wù)器相連,支持各種操作系統(tǒng),磁盤陣列的應(yīng)用解決了磁盤上的數(shù)據(jù)安全問題,對(duì)于系統(tǒng)級(jí)物理故障可以采取雙機(jī)容錯(cuò)的方式。
雙機(jī)容錯(cuò):可以防止單臺(tái)計(jì)算機(jī)的物理故障,當(dāng)一臺(tái)計(jì)算機(jī)出現(xiàn)故障時(shí),系統(tǒng)仍然可以工作。數(shù)據(jù)不會(huì)丟失,備份服務(wù)器可以在很短時(shí)間內(nèi)接替工作。
熱修復(fù):可以防止硬盤的區(qū)域性損壞,但無(wú)法防止邏輯故障,當(dāng)出現(xiàn)故障時(shí),系統(tǒng)予以修復(fù)后,可以繼續(xù)工作。
數(shù)據(jù)拷貝:可以防止系統(tǒng)的物理故障,在一定程度上防止邏輯故障。
由上述可知,前四種措施可以防止一般的物理故障,在出現(xiàn)系統(tǒng)損壞(整個(gè)系統(tǒng)遭受災(zāi)難性打擊)和邏輯故障的情況下,則需要采取第五種措施。在有嚴(yán)格的備份方案和計(jì)劃的前提下,數(shù)據(jù)備份能夠在一定程度上防止邏輯故障。然而,上述方案中沒有一種措施能夠使系統(tǒng)從大的災(zāi)難中迅速恢復(fù)出來(lái)。當(dāng)災(zāi)難發(fā)生時(shí),即使所有5種措施都采用了,仍然需要按下列步驟進(jìn)行恢復(fù):1)恢復(fù)硬件;2)重新裝入操作系統(tǒng);3)設(shè)置操作系統(tǒng)(驅(qū)動(dòng)程序設(shè)置、系統(tǒng)設(shè)置、用戶設(shè)置等);4)重新裝入應(yīng)用程序,進(jìn)行系統(tǒng)設(shè)置;5)用最新的備份恢復(fù)系統(tǒng)數(shù)據(jù)。
即使一切順利,這一過(guò)程也至少需要1~3天時(shí)間。這么漫長(zhǎng)的恢復(fù)時(shí)間幾乎是不可忍受的,也會(huì)嚴(yán)重?fù)p害企業(yè)聲譽(yù)。由此可見:完善的安全的系統(tǒng)數(shù)據(jù)方案應(yīng)有雙機(jī)容錯(cuò)和嚴(yán)格的備份和災(zāi)難恢復(fù)計(jì)劃。
雙機(jī)容錯(cuò)軟件針對(duì)不同的操作系統(tǒng)有不同軟件和版本,如Novell的FSTIII、Standby,WindowsNT中有Ncr的LifekeeperforNT、Neocluster、WindowsNTmscluster,Unix環(huán)境下的容錯(cuò)軟件有DHBS、GDS、東方龍馬等等。服務(wù)器可以是任何INTEL基礎(chǔ)上的平臺(tái),SERVER的型號(hào)、配置不必一致,只需硬件平臺(tái)能保證NT運(yùn)行;磁盤陣列正常使用。
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析
對(duì)于信息網(wǎng)所面臨的安全風(fēng)險(xiǎn)涉及網(wǎng)絡(luò)環(huán)境多方面,包括:1)自然災(zāi)害——水災(zāi)、火災(zāi)、地震等;2)電子化系統(tǒng)故障——系統(tǒng)硬件、電力系統(tǒng)故障等;3)人員無(wú)意識(shí)行為——編碼缺陷、系統(tǒng)配置漏洞、誤操作及無(wú)意泄漏等;4)人員蓄意行為——網(wǎng)絡(luò)環(huán)境可用性破壞、惡意攻擊等。
其中,前三個(gè)方面的風(fēng)險(xiǎn)能夠通過(guò)增強(qiáng)對(duì)網(wǎng)絡(luò)環(huán)境的抗自然災(zāi)害的能力、加強(qiáng)網(wǎng)絡(luò)設(shè)備管理維護(hù)、系統(tǒng)操作管理等手段來(lái)加以完善,盡可能將風(fēng)險(xiǎn)降低到能夠被控制和管理的程度。
而對(duì)于第四方面的安全風(fēng)險(xiǎn),對(duì)整個(gè)信息網(wǎng)的安全環(huán)境所構(gòu)成的危害最大,同時(shí)也是最難于管理與防范的。且不僅僅能夠通過(guò)加強(qiáng)對(duì)網(wǎng)絡(luò)環(huán)境及人員的安全管理所能夠?qū)崿F(xiàn)的,盡管安全管理非常重要。
同時(shí)需要相應(yīng)的安全技術(shù)手段輔助完成。這也是本安全方案所要詳細(xì)闡述的。
對(duì)于在信息網(wǎng)環(huán)境中,采取何種安全技術(shù)手段且如何實(shí)現(xiàn),就需要通過(guò)對(duì)前面提到第四方面的安全風(fēng)險(xiǎn)的分析的基礎(chǔ)上,針對(duì)信息網(wǎng)安全需求來(lái)確定。
對(duì)于風(fēng)險(xiǎn)來(lái)說(shuō),它應(yīng)包括那些可以被管理但又不能被清除的,以及那些能夠中斷網(wǎng)絡(luò)工作流并對(duì)工作環(huán)境造成破壞性的威脅。其中,主要包括:1)對(duì)于網(wǎng)絡(luò)應(yīng)用服務(wù)的非授權(quán)訪問;2)信息交互的保密性;3)網(wǎng)絡(luò)病毒的傳播與滲入;4)網(wǎng)絡(luò)黑客行為。
通過(guò)對(duì)以上主要的網(wǎng)絡(luò)威脅分析,能夠準(zhǔn)確把握信息網(wǎng)的網(wǎng)絡(luò)安全需求。
4、安全管理的兩個(gè)方面
4.1內(nèi)部安全管理
主要是建立內(nèi)部安全管理制度,如機(jī)房管理制度、設(shè)備管理制度、安全系統(tǒng)管理制度、病毒防范制度、操作安全管理制度、安全事件應(yīng)急制度等,并采取切實(shí)有效的措施保證制度的執(zhí)行。內(nèi)部安全管理主要采取行政手段和技術(shù)手段相結(jié)合的方法。
4.2網(wǎng)絡(luò)安全管理
在網(wǎng)絡(luò)上設(shè)置防病毒安全檢測(cè)系統(tǒng)后,必須保證防病毒系統(tǒng)的設(shè)置正確,且其配置不允許被隨便修改。采用用戶和口令認(rèn)證機(jī)制加強(qiáng)對(duì)用戶的管理,可以通過(guò)軟件本身和一些網(wǎng)絡(luò)層的管理工具來(lái)實(shí)現(xiàn)。
安全方案:根據(jù)對(duì)信息網(wǎng)現(xiàn)階段的安全需求分析,在設(shè)計(jì)安全方案時(shí),將采取一切有力的措施,來(lái)實(shí)現(xiàn)信息網(wǎng)現(xiàn)階段的安全目標(biāo),考慮到現(xiàn)階段對(duì)網(wǎng)絡(luò)病毒的管理要求,提出對(duì)網(wǎng)絡(luò)病毒防范和管理控制建議,并提出了現(xiàn)階段的網(wǎng)絡(luò)安全管理方案。如可選用防病毒的是瑞星企業(yè)版。
網(wǎng)絡(luò)設(shè)備的安全配置:信息網(wǎng)中,整個(gè)網(wǎng)絡(luò)的安全首先要確保網(wǎng)絡(luò)設(shè)備的安全,保證非授權(quán)用戶不能訪問網(wǎng)絡(luò)任意的網(wǎng)絡(luò)通訊設(shè)備(例如:路由器,交換機(jī)等)。對(duì)不同型號(hào)、廠家的網(wǎng)絡(luò)設(shè)備,要防范的內(nèi)容是一樣的,但具體的配置方法須依照設(shè)備要求來(lái)實(shí)現(xiàn)。
對(duì)服務(wù)器訪問的控制:對(duì)于服務(wù)器用戶可以設(shè)置不同的用戶權(quán)限,如“非特權(quán)”和“特權(quán)”兩種訪問權(quán)限,非特權(quán)訪問權(quán)限允許用戶在服務(wù)器上查詢某些公眾信息但無(wú)法對(duì)服務(wù)器進(jìn)行配置,特權(quán)訪問權(quán)限則允許用戶對(duì)服務(wù)器進(jìn)行完全的配置。
對(duì)服務(wù)器訪問的控制建議使用以下的方式:1)控制臺(tái)訪問控制;2)限制訪問空閑時(shí)間;3)口令的保護(hù);4)多級(jí)管理員權(quán)限。
采用六級(jí)安全機(jī)制:路由器級(jí)(包過(guò)濾)、硬件防火墻級(jí)、網(wǎng)管級(jí)、操作系統(tǒng)級(jí)、數(shù)據(jù)庫(kù)級(jí)、應(yīng)用級(jí),涵蓋了從物理層到應(yīng)用層的所有范圍。
路由器級(jí):第一道防火墻采用Cisco2811路由器實(shí)現(xiàn)包過(guò)濾,完成系統(tǒng)的訪問控制功能,屏蔽掉關(guān)鍵服務(wù)器的MAC地址,禁止外部對(duì)內(nèi)部某些重要主機(jī)的訪問,同時(shí)禁止內(nèi)部對(duì)外部某些站點(diǎn)或網(wǎng)絡(luò)的訪問。
防火墻級(jí):系統(tǒng)采用Cisco公司的防火墻產(chǎn)品PIX520,它是一種硬件解決方案。主要優(yōu)點(diǎn)在于,比其它防火墻方式更安全有效,而且,更好的支持多媒體信息的傳輸,使用與管理更方便。PIX具有雙以太網(wǎng)口(內(nèi)部網(wǎng)與DMZ各一個(gè));可組成虛擬專用網(wǎng)并加密;在防止非法侵入的同時(shí)還可有效的限制內(nèi)部對(duì)外的訪問。
網(wǎng)管級(jí):利用CISCO公司CISCOWORKSWINDOWS的網(wǎng)管功能,劃分VLAN。
操作系統(tǒng)級(jí):選用Windows2000SEVER或windows2003swever作為服務(wù)器操作系統(tǒng),它采用了增強(qiáng)的安全措施,通過(guò)登陸認(rèn)證、用戶授權(quán)、信息加密等安全機(jī)制限制了用戶對(duì)關(guān)鍵數(shù)據(jù)的非法操作。
數(shù)據(jù)庫(kù)級(jí)(ORACLE):ORACLE支持維護(hù)管理數(shù)據(jù)庫(kù)服務(wù)器、各種數(shù)據(jù)庫(kù)設(shè)備,對(duì)象(包括表),用戶及擁有的權(quán)限等,建立具有不同訪問權(quán)限的多種類型的用戶組,并能對(duì)用戶進(jìn)行分組授權(quán)。
Oracle完全滿足NCSC的C2級(jí)安全標(biāo)準(zhǔn),并早已通過(guò)相應(yīng)的標(biāo)準(zhǔn)測(cè)試,在B1級(jí)的操作系統(tǒng)上,ORACLE早已提供滿足NCSC的B1級(jí)或ITSEC的ITSE。
5、如何實(shí)現(xiàn)防火墻
每一種不徹底公開的內(nèi)部網(wǎng)絡(luò)與Internet最大的區(qū)別是安全性,網(wǎng)絡(luò)建成后,內(nèi)部網(wǎng)與公共網(wǎng)之間將實(shí)現(xiàn)單向訪問控制,通過(guò)防火墻進(jìn)行隔離。防火墻技術(shù)是實(shí)現(xiàn)網(wǎng)絡(luò)安全的重要保證。它可分為兩種,即基于包過(guò)濾(PACKETFILTER)的網(wǎng)絡(luò)級(jí)防火墻和基于(PROXY)的應(yīng)用級(jí)防火墻。
6、結(jié)束語(yǔ)
這兩種防火墻各有優(yōu)缺點(diǎn),在一般的內(nèi)部網(wǎng)防火墻構(gòu)架中,綜合利用了這兩種技術(shù),下面是整個(gè)防火墻系統(tǒng)的介紹:第一道防火墻采用CISCO路由器實(shí)現(xiàn)包過(guò)濾,完成訪問控制功能:禁止外部對(duì)內(nèi)部某些重要主機(jī)的訪問,同時(shí)禁止內(nèi)部對(duì)外部某些站點(diǎn)或網(wǎng)絡(luò)的訪問。第二道防火墻采用一臺(tái)工作站來(lái)充當(dāng)服務(wù)器,實(shí)現(xiàn)內(nèi)部網(wǎng)對(duì)INTERNET的訪問,同時(shí)實(shí)現(xiàn)隔離功能,禁止外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問。