爱华网1
计算机科学与技术学院
课程设计报告
2013— 2014学年第一学期
课程名称 网络信息安全 设计题目 企业网络安全方案 姓 名 学 号 专业班级 指导教师
2013 年 12 月 20
日
2
摘要
随着计算机网络的快速发展和和网络技术的提高,电脑已经进入了千家万户,网络给我们的生活带来了极大的方便。但是当它给我们带来方便的同时,它也给我们带来不好的影响,比如网络监听,网络敲诈, 计算机病毒攻击我们的电脑, 网络骇客等等,这些影响不仅使我们精神受伤, 更让我们的物质和财产受到破坏,尤其是大型企业,如果网络系统出现故障或者瘫痪, 那将承受巨大的物质财产损失。
一个企业的业务和正常运行大部分依赖计算机网络,企业的重要数据信息都被保存在计算机中,如果在公共网络空间下,很容易丢失或者被一些不法人士获取。由于黑客的攻击、病毒的入侵、以及人为操作的不当等,都有可能威胁到重要信息数据,这些危害也越来越受到人们的重视。因此,根据企业的实际情况建立一套切实可行的安全网络方案来改善这个情况,使企业的数据机密信息得以保护,并且可以保证企业的网络顺畅的工作,有助于公司的长远发展。
网络安全,是计算机信息系统安全的一个重要方面,计算机网络安全就是保证网络信息存储、处理的安全和信息传输安全的问题,信息安全是指防止信息财产被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辩识、控制;确保信息的保密性、完整性、可用性、可控性。信息安全包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密和鉴别几个方面。设计一个安全网络系统,必须做到既能有效地防止对网络系统的各种各样的攻击,保证系统的安全,同时又要有较高的成本效益,操作的简易性,以及对用户的透明性和界面的友好性。本文从网络安全的提出及定义、网络系统安全风险分析,网络攻击的一般手段,企业局域网安全设计的原则及其配置方案提出一些见解,针对常见网络故障进行分析及解决,以使企业中的用户在计算机网络方面增强安全防范意识,实现了企业局域网的网络安全。
关键词:计算机病毒; 企业; 防火墙; 局域网; 服务器安全
目录
3
摘要.....................................................................................................................2
(一)网络安全概述.........................................................................................4
1,网络安全的概念...........................................................................................4
2,网络系统的特...............................................................................................4
,3,局域网在企业中应用?..............................................................................5
(二)威胁企业网络安全的因素?.................................................................5 1,企业网络现状...............................................................................................5.
2,物理威胁.......................................................................................................7
3,系统威胁.......................................................................................................7
4,平台安全威胁...............................................................................................7
5,局域网内部威胁...........................................................................................7
6,互联网威胁....................................................................................................8
7,网络攻击........................................................................................................9
(三)针对威胁的解决方案
(1)针对威胁进行的配置
1.1 物理安全技术.........................................................................................9
1.2 路由器配置............................................................................................10
1.3 防火墙配置............................................................................................12
1.4 内部网络隔离........................................................................................13
1.5 局域网防病毒设置................................................................................15
1.6 攻击检测技术及方法............................................................................16
(2)设计安全企业网络的原则.......................................................................18
(3) 企业网络及改进后的方案........................................................................18
(4) 审计与监控技术的实施............................................................................19
(5 信息安全.....................................................................................................21
(6)常见网络故障解决..................................................................................22
(四)结束语.....................................................................................................24
参考文献............................................................................................................24 一, 网络安全概述
4
1, 网络安全的概念
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。
2,网络系统的特点
有此图看出,计算机网络是一个互相连通的网络,计算机面临着黑客、病毒、特洛伊木马程序、系统后门和窥探等多个方面安全威胁。尽管近年来计算机网络安全技术取得了巨大的进展,但计算机网络系统的安全性,比以往任何时候都更加脆弱。主要表现在他极易受到攻击和侵害,他的抗打击力和防护力很弱,其脆弱性主要表现在如下几个方面。
(1) 操作系统的安全脆弱性操作系统不安全,是计算机系统不安全的根本原因。 使用TCP/IP协议的网络所提供的FTP、E-mail、RPC和NFS都包含许多不安全的因素。
比如;
A 计算机硬件的故障;由于生产工艺和制造商的原因,计算机硬件系统本身有故障
B 软件本身的“后门”软;件本身的“后门”是软件公司为了方便自己进入而
5
在开发时预留设置的,一方面为软件调试进一步开发或远程维护提供了方便,但同时也为非法入侵提供了通道,入侵者可以利用“后门”多次进入系统
C 软件的漏洞;软件中不可避免的漏洞和缺陷,成了黑客攻击的首选目标,典型的如操作系统中的BUGS
D 数据库管理系统的安全;大量信息存储在数据库中,然而对这些数据库系统在安全方面的考虑却很少。数据库管理系统安全必须与操作系统的安全相配套,例如,DBMS的安全级别是B2级,操作系统的安全级别也应是B2级,但实践中往往不是这样。
(2) 防火墙的局限性;防火墙依然存在着一些不能防范的威胁,例如不能防范不经过防火墙的攻击,及很难防范网络内部攻击及病毒威胁等。
(4) 天灾人祸,天灾指不可控制的自然灾害,如地震、雷击等。人祸是指人为因素对计算机网络系统构成的威胁,人祸可分为有意的和无意的,有意的是指人为的恶意攻击、违纪、违法和计算机犯罪。无意是指误操作造成的不良后果,如文件的误删除、误输入,安全配置不当,用户口令选择不慎,账号泄露或与别人共享。
(5) 其他方面的原因; 如环境和灾害的影响,计算机领域中任何重大的技术进步,都对安全性构成新的威胁等。
总之,系统自身的脆弱和不足,是造成网络安全问题的内部根源,但系统本身的脆弱性,社会对系统的依赖性这一对矛盾又将促进网络安全技术的不断发展和进步。
3, 局域网在企业中的应用
企业的局域网可以为用户提供如下主要应用:
(1) 文件共享、办公自动化、WWW服务、电子邮件服务;
(2) 文件数据的统一存储;
(3) 针对特定的应用在数据库服务器上进行二次开发(比如财务系统);
(4) 提供与Internet的访问;
(5) 通过公开服务器对外发布企业信息、发送电子邮件等;
(二)威胁企业网络安全的因素
1,企业网络现状
中国国内目前的企业需要的网络安全产品不仅仅是简单的安装,更重要的是要有针对复杂网络应用的一体化解决方案,如:网络安全、病毒检测、网站过滤等等。其着眼点在于:国内外领先的厂商产品;具备处理突发事件的能力;能够实时监控并易于管理;提供安全策略配置定制;是用户能够很容易地完善自身安
6
全体系。
然而,有网络的地方就有安全的问题。过去的网络大多是封闭式的,因而比较容易确保其安全性,简单的安全性设备就足以承担其任务。然而,当今的网络已经发生了变化,确保网络的安全性和可用性已经成为更加复杂而且必需的任务。用户每一次连接到网络上,原有的安全状况就会发生变化。所以,很多企业频繁地成为网络犯罪的牺牲品。因为当今网络业务的复杂性,依靠早期的简单安全设备已经对这些安全问题无能为力了。网络攻击在迅速地增多:网络攻击通常利用网络某些内在特点,进行非授权的访问、窃取密码、拒绝服务等等。
考虑到业务的损失和生产效率的下降,以及排除故障和修复损坏设备所导致的额外开支等方面,对网络安全的破坏可能是毁灭性的。此外,严重的网络安全问题还可能导致企业的公众形象的破坏、法律上的责任乃至客户信心的丧失,并进而造成的成本损失将是无法估量的。
如图,上图为一企业的大概网络拓扑图,经过分析,公司网络主要分为4个部分,一部分为工厂生产网络,一部分是负责销售、网站维护和构想工作等的写字楼办公网络,另两部分为领导决策的主网络以及公司的服务器群。其优点是结构简单灵活可靠性高,共享性强,适合于一点发送、多点接收的场合,容易扩展网络,使用的电缆少,且安装容易。缺点是安全行不高,维护不方便,分支节点出现故障会影响整个网络。
其网络的交换机路由器已经经过一部分设置与设备NAT技术,使公司内部合理通信访问,工厂办公地点不能上网,员工办公阶段时间性的上网,领导办公没有限制。这都有效提高了公司的工作质量与安全性,我们在这基础上,再设置一些安全措施,设计出一套完整的安全解决方案。
2,物理威胁
7
网络的物理安全主要是指地震、水灾、火灾等环境事故,电源故障,人为操作失误或错误,设备被盗、被毁,电磁干扰,线路截获以及高可用性的硬件,双机多冗余的设计,机房环境及报警系统,安全意识等。它是整个网络系统安全的前提,在这个企业局域网内,由于网络的物理跨度不大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以避免的
3,系统威胁
所谓系统的安全是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信任。网络操作系统、网络硬件平台的可靠性:对于中国来说,恐怕没有绝对安全的操作系统可以选择,无论是Microsoft的Windows NT或者其他任何商用UNIX操作系统,其开发厂商必然有其Back-Door。我们可以这样讲,没有完全安全的操作系统。但是,我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性。因此,不但要选用尽可能可靠的操作系统和硬件平台,而且必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性。其次应该严格限制登录者的操作权限,将其操作权限限制在最小的范围内
4,平台安全威胁
网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。
公开服务器面临的企业威胁,局域网内公开服务器区(WWW、EMAIL等服务器)作为公司的信息发布平台,一旦不能运行后者受到攻击,对企业的声誉影响巨大。同时公开服务器本身要为外界服务,必须开放相应的服务。每天,黑客都在试图闯入Internet节点,这些节点如果不保持警惕,可能连黑客怎么闯入的都不知道,甚至会成为黑客入侵其他站点的跳板。因此,企业局域网的管理人员对Internet安全事故做出有效反应变得十分重要。我们有必要将公开服务器、内部网络与外部网络进行隔离,避免网络结构信息外泄。同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其他的请求服务在到达主机之前就应该遭到拒绝。整个网络结构和路由状况安全的应用往往是建立在网络系统之上的。网络系统的成熟与否直接影响安全系统成功的建设。在这个企业局域网络系统中,只使用了一台路由器,作为与Internet连结的边界路由器,网络结构相对简单,具体配置时可以考虑使用静态路由,这就大大减少了因网络结构和网络路由造成的安全风险。
5,局域网内部威胁
(1) 应用的安全风险
8
应用系统的安全是动态的、不断变化的,其结果是安全漏洞也不断增加且隐藏越来越深。因此,保证应用系统的安全也是一个随网络发展不断完善的过程。 应用的安全性涉及到信息、数据的安全性。信息的安全性涉及到机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。由于这个企业局域网跨度不大,绝大部分重要信息都在内部传递,因此信息的机密性和完整性是可以保证的。对于有些特别重要的信息需要对内部进行保密的可以考虑在应用级进行加密,针对具体的应用直接在应用系统开发时进行加密。
(2) 管理的安全风险
管理是网络安全中最重要的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。管理混乱使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。所以我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。
建立全新的网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和网络安全解决方案的结合。
(3) 不满的内部员工
不满的内部员工可能在WWW站点上开些小玩笑,甚至破坏。不论如何,他们最熟悉服务器、小程序、脚本和系统的弱点。例如他们可以传出至关重要的信息、泄露安全重要信息、错误地进入数据库、删除数据等等。
6,互联网威胁
(1) 黑客攻击
黑客们的攻击行动是无时无刻不在进行的,而且会利用系统和管理上一切可能利用的漏洞。公开服务器存在漏洞的一个典型例证,是黑客可以轻易地骗过公开服务器软件,得到服务器的口令文件并将之送回。黑客侵入服务器后,有可能修改特权,从普通用户变为高级用户,一旦成功,黑客可以直接进入口令文件。黑客还能开发欺骗程序,将其装入服务器中,用以监听登录会话。当它发现有用户登录时,便开始存储一个文件,这样黑客就拥有了他人的帐户和口令。这时为了防止黑客,需要设置公开服务器,使得它不离开自己的空间而进入另外的目录。另外,还应设置组特权,不允许任何使用公开服务器的人访问WWW页面文件以外的东西。在这个企业的局域网内我们可以综合采用防火墙技术、入侵检测技术、访问控制技术来保护网络内的信息资源,
(2)恶意代码
9
恶意代码不限于病毒,还包括蠕虫、特洛伊木马、逻辑炸弹和其他未经同意的软件。所以应该加强对恶意代码的检测
(3) 病毒的攻击
计算机病毒一直是计算机安全的主要威胁。病毒不是独立存在的,它隐蔽在其他可执行的程序之中,既有破坏性,又有传染性和潜伏性。轻则影响机器运行速度,使机器不能正常运行,重则使机器处于瘫痪,会给用户带来不可估量的损失。能在Internet上传播的新型病毒,例如通过E-Mail传播的病毒,增加了这种威胁的程度。
7,网络攻击
非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。
信息泄漏或丢失:指敏感数据在有意或无意中被泄漏出去或丢失,通常包括信息在传输中或者存储介质中丢失、泄漏,或通过建立隐蔽隧道窃取敏感信息等。 破坏数据完整性:以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意修改数据,以干扰用户的正常使用。
拒绝服务攻击:它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
利用网络传播病毒:通过网络传播计算机病毒等
(三)针对威胁的解决方案
针对威胁进行的配置
1.1 物理安全技术
保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提,它主要包括三个方面:
环境安全:对系统所在环境的安全保护,如区域保护和灾难保护;
设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截
10
获、抗电磁干扰及电源保护等;
媒体安全:包括媒体数据的安全及媒体本身的安全
1.2 路由器配置
(1) 路由器网络服务安全配置
a、禁止CDP(Cisco Discovery Protocol)。
Router(Config)#no cdp run
Router(Config-if)# no cdp enable
b、禁止其他的TCP、UDP Small服务。
Router(Config)# no service tcp-small-servers
Router(Config)# no service udp-small-servers
c、禁止Finger服务。
Router(Config)# no ip finger
Router(Config)# no service finger
d、禁止HTTP服务。
Router(Config)# no ip http server
启用了HTTP服务则需要对其进行安全配置:设置用户名和密码,采用访问列表进行控制。
e、禁止BOOTP服务。
Router(Config)# no ip bootp server
f、禁止IP Source Routing。
Router(Config)# no ip source-route
g、禁止IP Directed Broadcast。
Router(Config)# no ip directed-broadcast
h、禁止IP Classless。
Router(Config)# no ip classless
i、禁止ICMP协议的IP Unreachables, Redirects, Mask Replies。 Router(Config-if)# no ip unreacheables
Router(Config-if)# no ip redirects
Router(Config-if)# no ip mask-reply
j、明确禁止不使用的端口。
Router(Config)# interface eth0/3
Router(Config)# shutdown</P><P>
11
(2) 路由器路由协议安全配置
Router# config t
!启用CEF
Router(Config)# ip cef
!启用Unicast Reverse-Path Verification
Router(Config)# interface eth0/1
Router(Config-if)# ip verify unicast reverse-path </P><P>ACL方式: interface pos1/0
ip verify unicast reverse-path 190
(3) 路由器其他安全配置
Router(Config)# access-list 100 deny ip 172.0.0.0 0.255.255.255 any Router(Config)# access-list 100 deny ip 172.18.124.0 255.255.255.0 any
Router(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any Router(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any Router(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any Router(Config)# access-list 100 deny ip 172.18.124.0 255.255.255.0 any
Router(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any Router(Config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 any Router(Config)# access-list 100 deny ip 204.152.64.0 0.0.2.255 any Router(Config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any Router(Config)# access-list 100 permit ip any any
Router(Config-if)# ip access-group 100 in</P><P>
b、采用访问列表控制流出内部网络的地址必须是属于内部网络的。 Router(Config)# no access-list 101
Router(Config)# access-list 101 permit ip 172.18.124.0 255.255.255.0 any
Router(Config)# access-list 101 deny ip any any
Router(Config)# interface eth 0/1
Router(Config-if)# description “internet Ethernet”
Router(Config-if)# ip address 172.18.124.0 255.255.255.0
Router(Config-if)# ip access-group 101 in</P><P>
12
1.3 防火墙配置
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
(1) 防火墙的基本配置原则
防火墙的配置过程中需坚持以下三个基本原则:
a、简单实用
b、全面深入
c、内外兼顾
(2) 防火墙的基本配置
a、用一条防火墙自带的串行电缆从笔记本电脑的COM口连到Cisco PIX 525防火墙的console口;
b、开启所连电脑和防火墙的电源,进入Windows系统自带的"超级终端",通讯参数可按系统默认。进入防火墙初始化配置,在其中主要设置有:Date(日期)、time
(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等,完成后也就建立了一个初始化设置了。此时的提示符为:pix255>。
c、修改此特权用户模式密码。
命令格式为:enable password **************** [encrypted],这个密码必须大于16位。Encrypted选项是确定所加密码是否需要加密。
d、激活以太端口
必须用enable进入,然后进入configure模式
PIX525>enable
Password:
PIX525#config t
PIX525(config)#interface ethernet0 auto
PIX525(config)#interface ethernet1 auto
在默认情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了,但是outside必须命令配置激活。
e,配置以太端口IP 地址
13
采用命令为:ip address
内部网络为:172.18.124.0 255.255.255.0
外部网络为:222.20.16.0 255.255.255.0
PIX525(config)#ip address inside 172.18.124.0 255.255.255.0 PIX525(config)#ip address outside 222.20.16.1 255.255.255.0
1.4 内部网络隔离
为了减少企业局域网内部的威胁,我们利用VLAN技术来实现对内部子网的物理隔离。通过在交换机上划分VLAN可以将整个网络划分为几个不同的广播域,实现内部一个网段与另一个网段的物理隔离。这样,就能防止影响一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个更敏感。通过将信任网段与不信任网段划分在不同的VLAN段内,就可以限制局部网络安全问题对全局网络造成具体的的影响
配置过程:
第1步:设置好超级终端,连接上1900交换机,通过超级终端配置交换机的VLAN,连接成功后出现如下所示的主配置界面(交换机在此之前已完成了基本信息的配置):
1 user(s) now active on Management Console.
User Interface Menu
[M] Menus
[K] Command Line
[I] IP Configuration
Enter Selection:
第2步:单击K按键,选择主界面菜单中[K] Command Line选项 ,进入如下命令行配置界面:
CLI session with the switch is open.
To end the CLI session,enter [Exit ]
第3步:在上一步>提示符下输入进入特权模式命令enable,进入特权模式,命令格式为>enable,此时就进入了交换机配置的特权模式提示符:
#config t
Enter configuration commands,one per line.End with CNTL/Z
(config)#
第4步:为了安全和方便起见,我们分别给这3个Catalyst 1900交换机起个名字,并且设置特权模式的登陆密码。下面仅以Switch1为例进行介绍。配置代码如下:
14
(config)#hostname Switch1
Switch1(config)# enable password level 15 ******
Switch1(config)#
第5步:设置VLAN名称。因四个VLAN分属于不同的交换机,VLAN命名的命令为 vlan‘vlan号’name‘vlan名称’,在Switch1、Switch2、Switch3交换机上配置2、3、4、5号VLAN的代码为:
Switch1 (config)#vlan 2 name Prod
Switch2 (config)#vlan 3 name Fina
Switch3 (config)#vlan 4 name Huma
Switch3 (config)#vlan 5 name Info
第6步
对Switch1
Switch1(config)#int e0/2
Switch1(config-if)#vlan-membership static 2
??
Switch1(config-if)#int e0/21
Switch1(config-if)#vlan-membership static 2
Switch1(config-if)#
对Switch2
Switch2(config)#int e0/2
Switch2(config-if)#vlan-membership static 3
??
Switch2(config-if)#int e0/16
Switch2(config-if)#vlan-membership static 3
Switch2(config-if)#
对Switch3
Switch3(config)#int e0/2
Switch3(config-if)#vlan-membership static 4
??
Switch3(config-if)#int e0/9
Switch3(config-if)#vlan-membership static 4
Switch3(config-if)#
下面是VLAN5(Info)的配置代码:
Switch3(config)#int e0/10
Switch3(config-if)#vlan-membership static 5
15
??
Switch3(config-if)#int e0/21
Switch3(config-if)#vlan-membership static 5
Switch3(config-if)#
1.5 局域网防病毒设置
随着网络病毒的泛滥,对于一个局域网来说,以前各扫门前雪的防病毒方式经显得力不从心了,如果仅靠局域网中部分计算机的单机版防病毒软件,根本不可能做到对病毒的及时防御。因此,在局域网中构建一个完整的防病毒体系己经成为当务之急,网络防病毒软件也应运而生。接下来,就是我们企业局域网中对防病毒软件的安装配置过程。
在我们的企业局域网安全方案中,使用的是Symantec Antivirus8.0企业版,下面,介绍一下该防病毒软件的安装和配置方法:
(1) 安装和配置防病毒服务器
安装Symantec Antivirus防病毒软件安装Symantec Antivirus防病毒软件,为了便于管理,我们在局域网控制中心选择一台计算机作为Symantec Antivirns防病毒软件的服务器端。
按照安装说明提示,安装Symantec Antivirus防病毒软件的服务器端,其过程是全中文提示,并且自动安装的,因此,安装过程不作详细介绍了。等安装完成了Norton Antivirus防病毒服务器所有必须组件之后。接下来就可以对其进行配置了。
b、配置防病毒服务器
Norton Antivirus防病毒服务器是通过"Symantec系统中心"进行统一管理的,通过"Symantec系统中心"控制台,我们可以创建新的服务器组,同时还可以管理服务器组的成员计算机。也可以监视服务器组中成员计算机病毒软件的运行情况。在正常使用上述功能前,我们首先应该对Norton Antivirus防病毒服务器进行一些初始化配置,具体的方法如下:
打开"开始"菜单"程序"项"Symantec系统中心"菜单项。单击其中"Symantec系统中心控制台"程序列表。运行Symantec系统中心控制台,在弹出的"Symantec系统中心控制台"窗口"树状"列表中。双击Symantec系统中心,列表项,将其展开。在出现的"系统等级"列表项中,双击鼠标左键。将该列表项展开,这时在该项下面将出现我们安装Norton Antivirus防病毒服务器时所建立的服务器组名。
16
在该服务器组上单击鼠标右键,在弹出的右键菜单上。选择"解除服务器组的锁定"菜单项。
这时,将弹出"解锁服务器组的锁定"对话框。在"密码"对话框中。输入安装Norton Antivirus防病毒服务器时安装程序提供的默认密码(注意大小写),并单击"确定"按钮进行解锁。
接下来,可以看到服务器组下列出了刚刚安装的Norton Antivirus防病毒服务器计算机名。在默认情况下,新建的服务器组中的Norton Antivirus防病毒服务器还不是一级服务器,如果一个服务器组中没有一级服务器,将无法执行某些Symantec产品管理操作。因此。必须指定一台安装有Norton Antivirus防病毒服务器的计算机作为一级服务器,具体的方法是:
在树状列表中选中要作为一级服务器的计算机,并在其上单击鼠标右键,在弹出的右键菜单中,选择"使服务器成为一级服务器"菜单项,这时将弹出"是否将该服务器作为一级服务器"提示框,单击"是"按钮,即可将其转换为一级服务器。
c、安装邮件防病毒服务器
d、配置邮件防病毒服务器
(2) 安装和配置防病毒软件客户端
a、安装防病毒软件客户端
b、配置防病毒软件客户端
1.6 攻击检测技术及方法
互联网的普及给网络管理人员带来了极大的挑战,随处可得的黑客工具和系统漏洞信息使我们的网络无时无刻不处于危险之中。一般来说,一个典型的网络攻击是以大量的端口扫描等手段获取关于攻击对象的信息为开端的,这个过程必然产生大量的异常网络流量,预示着即将到来的真正攻击。然而当前被广泛使用的网络产品都具有一个普遍的弱点——被动防御,即对这些重要的网络攻击先兆熟视无睹,错过了最佳的防御时间。为了扭转这种不利的局面,变被动防御为积极防御,就要求网管人员对网络的运行状态进行实时监控以便随时发现入侵征兆并进行具体的分析,然后及时进行干预,从而取得防患于未然的效果。完成这种功能的安全产品就是网络入侵检测系统(Network Intrusion Detection Systems,NIDS)。
通过安装及配置一些软件来进行检测攻击:网络入侵探测器、入侵事件数据库和网络抓包库
Snort 1.8.6 功能简述:网络入侵探测器;
Libpcap 0.7.1 功能简述:Snort所依赖的网络抓包库;
17
MySQL 3.23.49 功能简述:入侵事件数据库;
a、安装MySQL
首先,以超级用户的身份登录系统,创建mysql 用户和mysql用户组; 然后,以mysql身份登录,执行下列命令:
$gzip -d -c mysql-3.23.49.tar.gz | tar xvf -
$cd mysql-3.23.49
$./configure
$make
$make install
这样,就按照缺省配置将MySQL安装在/usr/local目录下。然后将源代码树中的缺省配置文件my.cnf拷贝到/etc目录下。接下来,以超级用户身份执行源码树中scripts目录下的可执行脚本文件mysql_install_db来创建初始数据库。用/etc/init.d/mysql.server启动数据库服务器后,使用
/usr/local/bin/mysqladmin程序来改变数据库管理员的口令。
b、安装Snort
首先安装Snort所依赖的库libpcap:
#gzip -d -c libpcap-0.7.1.tar.gz | tar xvf -
#cd libpcap-0.7.1
#./configure
#make
#make install
这样libpcap缺省地安装在/usr/local目录下。
然后开始安装Snort:
#gzip -d -c snort-1.8.6.tar.gz | tar xvf -
#cd snort-1.8.6
#./configure --prefix=/usr/local
--with-mysql=/usr/local
--with-libpcap-includes=/usr/local
--with-libpcap-libraries-/usr/local
#make
#make install
安装完毕后,将源码树中的snort.conf文件、classification.config文件和规则文件(*.rules)拷贝到系统的/etc目录下。
按照下列步骤配置Snort将其捕获的网络信息输出到MySQL数据库: ● 创建Snort入侵事件数据库和存档数据库:
18
#/usr/local/bin/mysqladmin -u root -p create snort
#/usr/local/bin/mysqladmin -u root -p create snort_archive ● 执行Snort源码树下contrib目录下的create_mysql SQL脚本文件创建相关表:
#/usr/local/bin/mysql -u root -D snort -p < create_mysql
#/usr/local/bin/mysql -u root -D snort_archive -p < create_mysql ● 编辑/etc/snort.conf文件,在output plugin 段中加入如下一行: output database: alert, mysql, user=root password=abc123 dbname=snort host=localhost
(2)设计安全网络的原则
网络信息系统的安全管理主要基于三个原则。
多人负责原则:每一项与安全有关的活动,都必须有两人或多人在场。这些人应是系统主管领导指派的,他们忠诚可靠,能胜任此项工作;他们应该签署工作情况记录以证明安全工作已得到保障。
任期有限原则:一般地讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。
职责分离原则:在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。
(3) 企业网络及改进后的方案
19
在原拓扑图的基础上,增加了重要的防火墙,并把工厂办公子网的连接换到主交换机上,避免了员工子网交换机如果出现问题故障,导致重要生产线子网不能工作的问题。即是完全把企业的拓扑改成主流的星形拓扑结构。员工办公子网中间也可多增加一些交换机,减轻负担,对里面的部门分化也比较容易管理,再加上只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,就能达到在现有设备基础上,实现网络安全的目标。
(4) 审计与监控技术的实施
审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能看出系统正被怎样的使用。对于确定是否有网络攻击的情况,审计信息对于去定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统的识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集与积累并且加以分析,有选择性地对其中的某些站点或用户进行审计跟踪,以便对发现或可能产生的破坏性行为提供有力的证据。
本公司局域网系统是通过软件IpTraf来实现网络的监控与审计,具体措施如下:
(1) 安装
将iptraf-2.7.0.tar.gz上传到防火墙的 /home/yan/ 目录下
# cd /home/yan
20
# tar zxf iptraf-2.7.0.tar.gz
# cd iptraf-2.7.0
# ./Setup
至此,安装完毕
安装程序会将执行程序安装到 /usr/local/bin 目录下,并创 /var/local/iptraf 目录放置iptraf的配置文件,同时创建 /var/log/iptraf 目录放置iptraf产生的日志文件
(2) 运行iptraf
确认环境变量的PATH变量包含路径 /usr/local/bin
# iptraf
运行iptraf后会产生一个字符界面的菜单,点击 x 可以退出 iptraf,各菜单说明如下:
a、菜单Configure...
在这里可以对 iptraf 进行配置,所有的修改都将保存在文件:/var/local/iptraf/iptraf.cfg 中
--- Reverse DNS Lookups 选项,对IP地址反查 DNS名,默认是关闭的 --- TCP/UDP Service Names 选项,使用服务器代替端口号,例如用www 代替80,默认是关闭的
--- Force promiscuous 混杂模式,此时网卡将接受所有到达的数据,不管是不是发给自己的。
--- Color 终端显示彩色,当然用telnet ,ssh连接除外,也就是用不支持颜色的终端连接肯定还是没有颜色。
--- Logging 同时产生日志文件,在/var/log/iptraf 目录下
--- Activity mode 可以选择统计单位是kbit/sec 还是 kbyte/sec
--- Source MAC addrs in traffic monitor 选择后,会显示数据包的源MAC地址
b、菜单Filters...
在这里设置过滤规则,这是最有用的选项了,从远端连入监控机时,自己的机器与监控机会产生源源不断的tcp数据包,此时就可以将自己的IP地址排除在外。
它包括六个选项,分别是:Tcp、Udp、Other IP、ARP、RARP、Non-ip。我们只说明TCP,其他选项的配置都很相似。
--- Defining a New Filter
选择Defining a New Filter后,会出来一对话框,要求填入对所建的当前规则的描述名,然后回车确定,Ctrl+x取消
21
在接着出现的对话框里,Host name/IP address的First里面填源地址,Second里填目标地址,Wildcard mask 的两个框里面分别是源地址和目标地址所对应的掩码。
Port栏要求填入要过滤的端口号,0表示任意端口号
Include/Exclude栏要求填入I或者E,I表示包括,E表示排除
填写完毕,回车确认,Ctrl+x取消
--- Applying a Filter
我们在上一步定义过滤规则会存储为一个过滤列表,在没有应用之前并即使重新启不起作用,在这里选择我们应用那些过滤规则。所有应用的规则会一直起作用
动iptraf。我们可以执行Detaching a Filter来取消执行当前所有应用的规则。
--- Editing a Defined Filter 编辑一个已经存在的规则
--- Deleting a Defined Filter 删除一个已经定义的规则
--- Detaching a Filter 取消执行当前所有应用的规则
c、菜单IP Traffic Monitor
IP数据包流量实时监控窗口,在这里可以实时的看到每一个连接的流量状态,它有两个窗口,上面的是TCP的连接状态,下面的窗口可以看到UDP、ICMP、OSPF、IGRP、IGP、IGMP、GRE、ARP、RARP的数据包。点击s键选择排序,按照包的数量排序,也可按照字节的大小排序,当你开始监控IP Traffic时,程序会提示你输入Log文件的文件名,默认的是ip_traffic-1.log。
在一个比较繁忙的网络里,显示的结果可能很乱,可以使用Filters菜单过滤显示来找到有用的数据。
d、菜单General Interface Statistics
显示每个网络设备出去和进入的数据流量统计信息,包括总计、IP包、非IP包、Bad IP包、还有每秒的流速,单位是kbit/sec或者是kbyte/sec ,这由Configure菜单的Activity选项决定。
e、菜单Detailed Interface Statistics
这里包括了每个网络设备的详细的统计信息,很简单,不再赘述。
f、Statistical Breakdowns
这里提供更详细的统计信息,可以按包的大小分类,分别统计,也可以按Tcp/Udp的服务来分类统计,也不再赘述。
g、LAN Station Statistics
提供对每个网络地址通过本机的数据的统计信息。
(5) 信息安全
22
VPN是企业实现安全远程互联的有效方法。VPN主要应用特点包括:基于封装安全负载标准ESP-DES(Encapsulating Securiry Payload–Data Encryption Standard)的IPSec;专有网络通过端口地址转换技术访问Internet。
配置过程及测试步骤:
在前面我们已经对路由器作了初始化配置,下面直接进入VPN设置过程
(1) 配置路由器的以太网接口,并测试与本地计算机的连通性
关键是配置IP地址和启用以太网接口。测试时,使用基本的测试命令ping。 huadong(config)#inter eth0/0
huadong(config-if)#ip address 172.18.124.1 255.255.255.0
huadong(config-if)#no shutdown
在IP地址为172.18.124.100的计算机上:
c:>ping 172.18.124.1
Pinging 172.18.124.1 with 32 bytes of data:
Reply from 172.18.124.1 bytes=32 time=5ms TTL=255
??
(2) 配置路由器NAT网络
a、配置外出路由并测试
主要是配置缺省路由。
huadong(config)#ip route 0.0.0.0 0.0.0.0 210.75.32.9
huadong#ping 211.100.15.36
结果证明本路由器可以通过ISP访问Internet
(6)常见网络故障解决
IP冲突解决
发生IP冲突主要有以下几个原因。有些人对TCP/IP不了解,不小心修改了这些信息。另外在维修调试机器的时候,用一些临时的IP地址,结果忘了改过来而出现冲突。另外还有一种我们深恶痛绝的情况,就是有人窃用他人的IP地址。
接到冲突报告后,要做几件事情,首先要确定冲突发生的VLAN。通过IP规划的vlan定义以及冲突的IP地址,可以找到冲突地址所在的网段。这对成功地找到网卡MAC地址非常关键,因为有些网络命令不能跨网段存取。
下面先把客户机与网络隔离,对于有非法的IP地址的微机,权且容它运行去吧,这样我们倒有机会设法找到它了。再对网络做一些测试,主要的命令有ping命令和arp命令。使用ping命令,假设冲突的IP地址为172.18.124.69,在msdos窗口,命令格式如下:
23
C:\WIDOWS\〉ping 172.18.124.69
Request timed out
Reply from 172.18.124.69 : bytes=32 time〈1ms TTL=128 〉
Reply from 172.18.124.69 : bytes=32 time〈1ms TTL=128 〉
Reply from 172.18.124.69 : bytes=32 time〈1ms TTL=128 〉
我们之所以要ping这台机器,有两个目的,首先我必须肯定要找的那台机器确实在网络上,其次,我想知道这台机器的网卡的MAC地址。下面使用第二个命令arp查找MAC地址,arp命令只能在某一个VLAN中使用有效,它是低层协议,而且不能跨路由。
C:\WIDOWS\〉arp –a
Interface: ...... on Inerface ......
Internet Address/Physical Address/Type
172.18.124.69/00-00-22-35-62-53/ dynamic
这就说明冲突IP地址172.18.124.69 处网卡的MAC地址是00-00-22-35-62-53。接下来我们要找的是MAC地址为00-00-22-35-62-53的网卡的具体物理位置,然后解决冲突。
DNS错误
出现DNS解析故障最大的症状访问就是站点对应的IP地址没有问题,然而访问
他的域名就会出现错误。
解决DNS解析故障:
计算机出现了DNS解析故障后不要着急,解决的方法也很简单
(1) 用nslookup来判断是否真的是DNS解析故障
第一步:通过“开始->运行->输入CMD”后回车进入命令行模式。
第二步:输入nslookup命令后回车,将进入DNS解析查询界面。
第三步:命令行窗口中会显示出当前系统所使用的DNS服务器地址,例如DNS服务器IP为202.106.0.20。
第四步:接下来输入无法访问的站点对应的域名。例如输入www.softer.com,假如不能访问,那么DNS解析应该是不能够正常进行的。我们会收到DNS request timed out,timeout was 2 seconds的提示信息。这说明我们的计算机确实出现了DNS解析故障。
小提示:如果DNS解析正常的话,会反馈回正确的IP地址,例如用www.sohu.com这个地址进行查询解析,会得到name:sohu.com,addresses:61.135.133.103,61.135.133.104的信息。
(2) 查询DNS服务器工作是否正常
这时候就要看看自己计算机使用的DNS地址是多少了,并且查询他的运行情
24
况。
第一步:通过“开始->运行->输入CMD”后回车进入命令行模式。
第二步:输入ipconfig /all命令来查询网络参数。
第三步:在ipconfig /all显示信息中我们能够看到一个地方写着DNS SERVERS,这个就是我们的DNS服务器地址。例如是202.106.0.20和202.106.46.151。从这个地址可以看出是个外网地址,如果使用外网DNS出现解析错误时,我们可以更换一个其他的DNS服务器地址即可解决问题。
第四步:如果在DNS服务器处显示的是公司的内部网络地址,那么说明公司的DNS解析工作是交给公司内部的DNS服务器来完成的,这时需要检查这个DNS服务器,在DNS服务器上进行nslookup操作看是否可以正常解析。解决DNS服务器上的DNS服务故障,一般来说问题也能够解决
(五)结束语
在这次的设计学习中,不仅巩固了前段时间在思科CCNA培训班学到的很多知识,还学到了许多新的知识。对自己所学的专业已经有了较深的认识。在设计方案中,吸取了大量书本以及网络上的知识,大大扩展了自己知识面的同时,还认识了自己学习的专业在社会上的应用,初次把大量的知识应用到实践中去,发现了许许多多的问题,体会到了书本上学不到的东西,从实践中成长许多。真正认识到单单的理论学习是不够的,理论知识最基本,只有理论结合实践,遇到问题及时解决,吸取大量的实践经验,才对自己有莫大的帮助。计算机网络是一门很有用的学科,同时网络信息安全问题更是现在都很重视的问题。这次的课程设计中,特别感谢刘老师您,在设计期间一直陪伴我们,虽然在此期间我们有些同学不愿上课,但我们去做实验的,有的却做得很认真。通过此次的设计,迫使我对网络及网络安全方面有了更深层次的了解,设计一个全方位的安全方案是非常不容易的,涉及的方面也很多,要考虑到的东西方方面面,还需要认识到各种的配置使用与兼容性。但由于增加了自己对这方面的知识,对网络的安全方面更感兴趣。虽说网络信息安全课程结束了,但现在仅仅是开始!
参考文献
[1] [美] Todd Lammle:CCNA 学习指南(袁国忠 徐宏). 人民邮电出版社
[2] 祁 明.网络安全与保密. 北京:高等教育出版社,2001
[3] 洪 峰.Cisco路由器管理. 北京:中国电力出版社,2000-1-1
[4] 郭 军.网络管理. 北京:北京邮电大学出版社,2001
[5] (美)查普曼 等 著.Cisco安全PIX防火墙(李逢天译). 北京:人民邮电出版社 2002-8-1
[6] (美)迪尔(Deal,R.)著. Cisco VPN完全配置指南(姚军玲,郭稚晖 译). 北京:人民邮电出版社
[7] (美)赫卡拜,[美]麦奎瑞 著. Cisco现场手册:Catalyst交换机配置(张辉 译). 北京人民邮电出版社
[8] (美)Michael Wynston著. Cisco 企业管理解决方案(第1卷)(师夷工作室译). 北京:中国青年出版社
25
