區域網安全詳細解析

　　一、回顧常見的攻擊方式

　　【漏洞掃描與利用】：

　　通過特定的操作過程，或使用專門地漏洞攻擊程式，利用現有作業系統、應用軟體中的漏洞，來入侵系統或獲取特殊許可權。如網頁木馬利用了IE等瀏覽器的漏洞、SQL注入利用了網頁程式碼的漏洞。

　　【病毒木馬植入】：

　　通過向用戶系統中植入病毒或木馬程式，破壞使用者資料、竊取使用者資訊或者暗中控制使用者系統。如傳送帶有病毒的電子郵件、通過網站掛馬等方式都可以將病毒或木馬安裝到使用者系統中。

　　【DDoS攻擊】：

　　DDoSDistributed Denial of Service就是分散式拒絕服務，最基本的DoS攻擊就是利用合理的服務請求來佔用過多的服務資源，從而使伺服器無法處理合法使用者的請求。很多DoS攻擊源一起攻擊某臺伺服器就組成了DDoS攻擊。

　　【網路釣魚】：

　　攻擊者利用欺騙性的電子郵件、簡訊或QQ等引誘使用者訪問偽造的網站來進行網路詐騙，受害者往往會洩露自己的私密資訊，如銀行卡號與密碼、身份證號等。從外觀上來看，攻擊者偽造的網站與真正的網站幾乎一模一樣，網站域名也比較相似。如招商銀行的真正網址為wwwNaNbchina，攻擊者偽造一個外觀相仿的wwwNaNdchina站點，並向受害者傳送譬如“您的網銀賬號於x月x日登入失敗超過15次，為了提高賬號安全性，建議登入

　　除此之外，還有密碼破解、網路監聽、電子郵件攻擊等攻擊方式。

　　二、區域網安全防護

　　1、物理安全

　　存放位置：將關鍵裝置集中存放到一個單獨的機房中，並提供良好的通風、消防

　　電氣設施條件

　　人員管理：對進入機房的人員進行嚴格管理，儘可能減少能夠直接接觸物理裝置

　　的人員數量

　　硬體冗餘：對關鍵硬體提供硬體冗餘，如RAID磁碟陣列、熱備份路由、UPS不

　　間斷電源等

　　2、網路安全

　　埠管理：關閉非必要開放的埠，若有可能，網路服務儘量使用非預設埠，

　　如遠端桌面連線所使用的3389埠，最好將其更改為其他埠

　　加密傳輸：儘量使用加密的通訊方式傳輸資料據，如HTTPS、，IPsec...，

　　一般只對TCP協議的埠加密，UDP埠不加密

　　入侵檢測：啟用入侵檢測，對所有的訪問請求進行特徵識別，及時丟棄或封鎖攻

　　擊請求，併發送擊擊警告

　　3、系統安全

　　系統/軟體漏洞：選用正版應用軟體，並及時安裝各種漏洞及修復補丁

　　賬號/許可權管理：對系統賬號設定高強度的複雜密碼，並定期進行更換，對特定

　　人員開放其所需的最小許可權

　　軟體/服務管理：解除安裝無關軟體，關閉非必要的系統服務

　　病毒/木馬防護：統一部署防病毒軟體，並啟用實時監控

　　4、資料安全

　　資料加密：對保密性要求較高的資料據進行加密，如可以使用微軟的EFS

　　Encrypting File System來對檔案系統進行加密

　　使用者管理：嚴格控制使用者對關鍵資料的訪問，並記錄使用者的訪問日誌

　　資料備份：對關鍵資料進行備份，制定合理的備份方案，可以將其備份到遠端

　　伺服器、或儲存到光碟、磁帶等物理介質中，並保證備份的可用性

　　三、部署網路版防病毒軟體

　　Ø對區域網安全最大的威脅，其實並不是來自外部的攻擊，而是來自於區域網內部的攻擊

　　Ø由於終端使用者的安全意識、安全技能的匱乏，加之Internet上病毒、木馬氾濫成災，導致使用者在瀏覽網頁的時候，很容易在不知不覺中將病毒、木馬帶入到區域網中

　　1、網路版防病毒軟體介紹特點

　　可以遠端安裝或解除安裝客戶端防病毒軟體

　　可以禁止使用者自行解除安裝客戶端防病毒軟體

　　可以在全網範圍內統一制定、分發和執行防病策略

　　可以遠端監控客戶端的系統健康狀態

　　提供遠端報警手段，可以自動將病毒資訊傳送給網路管理員

　　允許客戶端使用者自定義防病毒策略

　　2、部署Symantec網路版防病毒軟體

　　ØSymantec Endpoint Protection企業版是Symantec公司推出的網路版防毒軟體，由管理臺和客戶端組成

　　Ø它集成了防病毒、反間諜軟體、防火牆和入侵防禦以及裝置與應用程式控制功能。通過集中式管理功能，可以幫助物理和虛擬系統防禦各種型別攻擊

　　部署Symantec的相關元件：

　　該軟體需要IIS功能的支援，所以需要在Server 2008上安裝IIS7.0及相關的ASP.NET、CGI、IIS6.0管理相容性角色服務

　　四、防火牆介紹

　　1、防火牆的概念

　　Ø為了防止黑客入侵，企業內部網在接入Internet時必須構築一道安全的“護城河”，通過“護城河”將內部網保護起來，這個“護城河”就是防火牆

　　Ø防火牆的英文名稱"Fire Wall",它是目前最重要的網路護護裝置之一

　　ØWindows系統都有一個自帶的防火牆，通過啟用Windows防火牆，可以有效地攔截外界對系統的非法訪問和入侵，提高計算機系統的安全。

　　2、防火牆的主要功能

　　v強化安全策略

　　§限制使用者的對內、對外訪問

　　v記錄使用者的上網活動

　　§監視區域網使用者的上網行為

　　v隱藏網路拓撲

　　§隱藏內部網路

　　§緩解公共IP地址短缺矛盾

　　v檢查安全策略

　　§過濾不安全服務，提高網路安全性

　　3、防火牆的分類

　　1、按防火牆的功能分類

　　包過濾型防火牆

　　Ø硬體防火牆，包過濾技術是防火牆最傳統、最基本的技術

　　Ø它工作在OSIOpen System Interconnection參考模型的網路層

　　Ø它根據資料包頭源地址、目的地址、埠號和協議型別等標誌來確定是否允許資料包通過

　　應用代理型防火牆

　　Ø軟體防火牆，它工作在OSI的最高層，即應用層

　　Ø使用這種防火牆，可以實施較強的資料流監控、過濾、記錄和報告功能

　　狀態檢測型防火牆

　　Ø硬體防火牆，該防火牆是由包過濾型防火牆發展而來的

　　Ø它可以動態地根據實際應用需求，自動生成或刪除相應的包過濾規則，而無需管理員手動干預

　　Ø這種防火牆不但能夠根據包的源地址、目標地址、協議型別、源埠、目標埠等資料包進行控制，而且能夠記錄通過防火牆的連線狀態，直接對包裡的資料進行處理

　　2、按防火牆的軟硬體形式分類

　　軟體防火牆

　　Ø軟體防火牆運行於特定的計算機上，需要預先安裝的作業系統的支援，一般來說這臺計算機就是整個網路的閘道器

　　Ø軟體防火牆就像其他的軟體產口一樣，需要先在計算機上安裝並執行配置後才可以使用，如微軟的TMG防火牆

　　硬體防火牆

　　Ø硬體防火牆使用專用晶片處理網路資料包，CPU只做管理使用

　　Ø採用專門的作業系統平臺，從而避免了通用作業系統的安全性漏洞，如Cisco Asa防火牆

　　4、常用的風款防火牆

　　1、NetScreen 系列防火牆

　　集成了防火牆、、入侵檢測和流量管理功能

　　2、Cisco ASA 5500系列防火牆

　　提供了豐富的應用安全、網路控制、 等功能

　　3、天融信防火牆

　　集成了防火牆、防病毒、入侵檢測、等功能

　　4、TMG防火牆軟體防火牆

　　TMG屬於微軟Forefront產品系列中的一款，主要負責網路邊緣範圍的安全防範與保護，可以與活動目錄、NAP等進行完美的整合，實現更加全面、便捷的安全管控。

　　除了具有傳統防火牆的主要功能之外，它還具有以下功能。

　　完美支援64位記憶體定址

　　不受4G記憶體的定址限制，在記憶體讀寫及管理方面得到極大的效能提升。

　　Web反病毒與過濾

　　通過URL篩選、惡意軟體檢查、HTTS檢查等方式對Web訪問進行檢查，將病毒、間諜軟體等拒之門外。

　　快取

　　對於需要處理大量Web流量的企業，通過快取功能，可以大大提升使用者的上網速度，降低頻寬成本