中小型企業網絡安全解決方案

0中小型企業網絡安全的解決方案公司越來越多地依賴網絡，面臨著網絡安全問題。由于人才的缺乏和觀念的落后,許多企業在遭受了無可挽回的損失以后,才覺察到網絡安全的重要性。筆者依據多年的實踐經驗,提出了一個簡單可靠的解決方案,可以滿足大多數中小企業對計算機網絡安全的需求。雖然絕對安全的計算機網絡在現實中并不存在,但是可以通過對安全隱患的分析,結合中小型企業對網絡安全的一般需求,制定出一個安全策略,并以此為基礎建立起網絡安全機制,從而在最大程度上保護企業網絡的安全性,使其免遭攻擊;即使遭受了攻擊,也能把損失降到最低。1堅持被外部網絡所訪問的原則一般中小型企業的局域網擁有十幾臺至上百臺計算機不等。其中的Web、FTP、電子郵件、DNS等服務器應能被內外網絡的計算機所訪問;數據庫服務器一般只面向內部網絡,不應被外部網絡所訪問;所有的工作站都不能被外部網絡所訪問。局域網中的工作站有些可以訪問外部網絡,有些則被禁止。局域網中的所有計算機都應能抵御來自于外部的黑客或病毒的攻擊。如圖1所示。2計算機病毒動態任何一個固定的IP地址都會成為攻擊者攻擊的潛在目標。攻擊的形式多種多樣,目前主要有以下幾種:1)網絡嗅探器(Sniffer)。攻擊者通過嗅探器截獲網絡上的數據流,對報文進行分析,破譯出其想要的信息,如服務器的密碼,發往某個地址的電子郵件等。2)IP欺騙(IPSpoofing)。攻擊者偽造一個IP地址,使接收者誤以為是局域網內的合法地址。3)端口掃描。攻擊者通過掃描程序可以檢測出服務器上的安全脆弱點。4)密碼攻擊。通過一遍又一遍的自動試探,獲取服務器的密碼。5)拒絕服務(DoS)攻擊。通過大量消耗對方的網絡資源使合法的用戶無法訪問網絡。6)應用層的攻擊。應用層的攻擊又有許多方式。系統中的許多服務軟件本身可能含有安全方面的缺陷,可被黑客用來發動攻擊。例如微軟的InternetInformationServer,華盛頓大學的FTP服務器軟件,以及Unix系統上廣泛使用的SendMail郵件服務程序,都曾經被發現存在安全漏洞。7)特洛依木馬。特洛依木馬是隱含在合法程序中、或者偽裝成合法程序的未授權代碼,在用戶未知的情況下竊取密碼或執行用戶所不希望的任務。8)計算機病毒。能夠自我復制的計算機代碼,可以在系統間進行傳播并破壞系統,有些特洛依木馬也屬于病毒的范疇。網絡使病毒的傳播速度和危害程度達到前所未有的地步。隨著網絡技術的發展,新的攻擊手段也在不斷產生。例如有些Web站點的網頁內可能含有一些惡意代碼,利用Java或ActiveX技術在瀏覽者的計算機中植入特洛依木馬或病毒。還有一些雖然不一定有惡意、但是對計算機的安全性可能產生影響的行為,如通過Cookie或共享軟件的廣告欄收集別人的系統信息和個人隱私。垃圾郵件的防治對于系統管理員來說,也是一個必須考慮的安全問題。3使用軟件的安全目標對安全隱患有了一定的了解,首先應制定一個全面可行的安全策略。概括地講,我們的策略是:利用路由器、防火墻和代理服務器,通過軟、硬件相結合,在局域網的內部和外部,在客戶端和服務器之間,在用戶和網絡之間筑起3道屏障,利用集中式的密碼管理、端口過濾、協議過濾、報文過濾、內容過濾、惡意代碼過濾、拒絕服務攻擊檢測、網絡地址轉換(NAT)、地址過濾、日志檢查等綜合手段,把企業內部網絡遭受攻擊的可能性和成功率降到最低,確保網絡的安全運行。根據這一策略,我們提出一個具體的安全方案,如圖2所示。我們用路由器作為抵御外來攻擊的第一道屏障。大多數主流廠商的路由器,如Cisco的路由器,都有內置的安全功能,主要設置有:①基于內容的訪問控制。這是路由器最新的安全特征,不僅支持傳統的地址過濾、端口過濾和報文過濾,還能對應用層的協議進行監控,防止建立非法的網絡聯接,并使掃描程序失效;②Java過濾,防止惡意代碼;③拒絕服務攻擊的檢測和防止,通過檢測報文頭并丟棄可疑的報文來實施;④防IP欺騙技術;⑤通過加密技術和對IPSec的支持防止嗅探器。通過路由器的設置,可以達到以下目的。①外部網絡無法訪問內部網絡;②內部網絡部分主機可直接訪問Internet,部分主機需通過代理服務器訪問Internet;③內、外網絡都能訪問DMZ中的網絡服務(WWW、FTP、E-mail、DNS);④只有內部網絡可以訪問DMZ中的POP3服務;⑤DMZ中的主機不能主動與內、外網絡建立聯接。當第一道屏障建立好以后,網絡的安全性有了基本保障。在網絡服務器上,使用軟件防火墻,如CheckPointFireWall-1作為第二道屏障。軟件防火墻為用戶提供了一個易于配置及維護的安全規則,而且大多提供簡潔、強大的圖形界面,使系統管理員能方便地定義對服務器訪問的安全認證。軟件防火墻也提供了工具用于檢測和防止諸如DoS等攻擊,其內容安全機制則提供了對URL的過濾,對Java和ActiveX的過濾,以及對垃圾郵件的過濾。軟件防火墻還提供了網絡狀態的實時監控和運行日志的管理功能。最后,我們為局域網中那些有更高安全要求的主機以及被共享使用的主機提供一個代理服務器。這些主機采用特別的IP地址把自己隱藏起來。代理服務器一般也提供協議過濾、地址過濾等多級安全機制,這就構成了企業網絡的第三道屏障。4網絡管理員有了上述的3道屏障,企業的網絡安全有了全面的保障,但是網絡管理員還不可以高枕無憂。網絡的安全管理是一個動態的、不斷完善的過程,即使忽略了很小的一個細節,也可能帶來意想不到的危險。因此,網絡管理員應保持良好的工作習慣。1)對網絡設備和服務器的物理訪問應作嚴格限制;2)建立良好的密碼管理機制;3)