中小型企業(yè)網(wǎng)網(wǎng)絡(luò)安全方案

紅帆生物公司網(wǎng)絡(luò)安全

方案紅帆生物新疆農(nóng)業(yè)職業(yè)技術(shù)學(xué)院09高網(wǎng)（3）班李國(guó)尊TOC\o"1-5"\h\z\o"CurrentDocument"第一章網(wǎng)絡(luò)系統(tǒng)概況 3\o"CurrentDocument"第二章需求分析 4\o"CurrentDocument"第三章網(wǎng)絡(luò)安全項(xiàng)目實(shí)施 5\o"CurrentDocument"3.1創(chuàng)建打印服務(wù)器安全策略 5\o"CurrentDocument"WEB服務(wù)器配置與安全方案實(shí)施 6WEB服務(wù)器的安全設(shè)置 6FTP服務(wù)器配置與安全方案實(shí)施 7FTP服務(wù)器的安全管理設(shè)置 7\o"CurrentDocument"第四章紅番公司網(wǎng)絡(luò)安全方案測(cè)試 10\o"CurrentDocument"4.1方案測(cè)試 10\o"CurrentDocument"第五章結(jié)論 11第一章網(wǎng)絡(luò)系統(tǒng)概況在分析這個(gè)紅帆科技公司企業(yè)局域網(wǎng)的安全風(fēng)險(xiǎn)時(shí)，應(yīng)考慮到網(wǎng)絡(luò)的如下幾個(gè)特點(diǎn)：網(wǎng)絡(luò)與Internet直接連結(jié)，因此在進(jìn)行安全方案設(shè)計(jì)時(shí)要考慮與Internet連結(jié)的有關(guān)風(fēng)險(xiǎn)，包括可能通過(guò)Internet傳播進(jìn)來(lái)病毒，黑客攻擊，來(lái)自Internet的非授權(quán)訪問(wèn)等。網(wǎng)絡(luò)中存在公開(kāi)服務(wù)器，如共享打印機(jī)服務(wù)、FTP服務(wù)安全方案設(shè)計(jì)時(shí)應(yīng)該考慮采用安全服務(wù)器網(wǎng)絡(luò)，避免公開(kāi)服務(wù)器的安全風(fēng)險(xiǎn)擴(kuò)散到內(nèi)部。內(nèi)部網(wǎng)絡(luò)中存在許多不同的原因，有時(shí)候工作需要有外來(lái)人員進(jìn)入企業(yè)內(nèi)部，防止不法分子盜取公司內(nèi)部資料，以及大肆搞破壞，于是針對(duì)服務(wù)一些重要的資料實(shí)行保護(hù)，有效的防止這些事情發(fā)生，保護(hù)公司利益。第二章需求分析紅帆科技公司網(wǎng)絡(luò)應(yīng)用需求1、 企業(yè)網(wǎng)一與Internet連接，員工可通過(guò)互聯(lián)網(wǎng)獲取資源和信息.所以要在員工在訪問(wèn)互聯(lián)網(wǎng)的同時(shí)能安全的上網(wǎng)，禁止惡意網(wǎng)站和不良信息的下載，防止病毒感染。2、 建設(shè)企業(yè)WEB網(wǎng)站，實(shí)現(xiàn)企業(yè)的對(duì)外宣傳以及發(fā)布企業(yè)內(nèi)部信息。所以，在發(fā)布企業(yè)內(nèi)部信息的同時(shí)防止非法的訪問(wèn)以及黑客攻擊。3、 在企業(yè)局域網(wǎng)網(wǎng)內(nèi)實(shí)現(xiàn)文件傳輸共享（FTP）。在訪問(wèn)FTP需要身份認(rèn)證，防止外來(lái)人員進(jìn)行惡意的破壞。4、 實(shí)現(xiàn)企業(yè)行政、員工的共享打印服務(wù)，由于公司的經(jīng)濟(jì)能力，不能為每個(gè)員工都配置一臺(tái)打印機(jī)，于是就出現(xiàn)了打印服務(wù)，需要保障打印服務(wù)的安全性能。目前，有越來(lái)越多的人使用打印機(jī)，尤其是在辦公領(lǐng)域打印機(jī)更起著越來(lái)越重要的作用，如打印文檔、表格、照片等已離不開(kāi)打印機(jī)。用戶使用環(huán)境如公司的規(guī)模較大時(shí)，或者使用不同的系統(tǒng)來(lái)辦公，不可能為每一個(gè)人配備一臺(tái)打印機(jī)（事實(shí)上也是不經(jīng)濟(jì)的），這時(shí)候就產(chǎn)生了共享打印機(jī)資源的問(wèn)題了。即把一臺(tái)打印機(jī)放在固定的一個(gè)位置，通過(guò)不同的途徑將其共享，這樣常常就是需要使用打印服務(wù)器了。下面就是我們要說(shuō)到的安裝共享打印機(jī)的幾個(gè)類(lèi)型，現(xiàn)在網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)建設(shè)已經(jīng)比較發(fā)達(dá)了，如果一份文件的地理位置在總公司的某臺(tái)計(jì)算機(jī)上，分公司的人員想要獲得這個(gè)文件的打印件，只需要一臺(tái)裝有打印服務(wù)器的網(wǎng)絡(luò)打印機(jī)，就可以由總公司的人員通過(guò)網(wǎng)絡(luò)將這個(gè)文件發(fā)送到分公司的網(wǎng)絡(luò)打印機(jī)上打印出來(lái)，如此方便的打印服務(wù)就要依靠打印服務(wù)器來(lái)完成了。第三章網(wǎng)絡(luò)安全項(xiàng)目實(shí)施3.1創(chuàng)建打印服務(wù)器安全策略1） 在新引用計(jì)算機(jī)上創(chuàng)建WindowsServer2003SP1的新安裝。2） 通過(guò)“控制面板”、“添加或刪除程序”、“添加/刪除Windows組件”來(lái)安裝安全配置向?qū)ЫM件。3） 將計(jì)算機(jī)加入到域，這將應(yīng)用來(lái)自父OU的所有安全設(shè)置。4） 僅安裝和配置共享此角色的每個(gè)服務(wù)器所必需的應(yīng)用程序。例如，特定于角色的服務(wù)、軟件和管理代理、磁帶備份代理以及防病毒或反間諜軟件實(shí)用程序。5） 啟動(dòng)SCWGUI，選擇“創(chuàng)建新的策略”，然后將其指向引用計(jì)算機(jī)。6） 確保檢測(cè)到的打印服務(wù)器角色適合于環(huán)境。7） 確保檢測(cè)到的客戶端功能和檢測(cè)到的管理選項(xiàng)適合于環(huán)境。8） 確保您的基準(zhǔn)所需要的任何附加服務(wù)（例如備份代理或防病毒軟件）已被檢測(cè)到。9） 確定如何處理的環(huán)境中的未指定服務(wù)。為了獲得附加的安全，可能需要將此策略設(shè)置配置為“禁用”。應(yīng)該對(duì)此配置進(jìn)行測(cè)試，然后再將其部署到生產(chǎn)網(wǎng)絡(luò)中，因?yàn)槿羯a(chǎn)服務(wù)器所運(yùn)行的附加服務(wù)未復(fù)制到引用服務(wù)器上，部署此配置就會(huì)造成問(wèn)題。10） 確保在“網(wǎng)絡(luò)安全”部分中取消選中“跳過(guò)這一部分”，然后單擊“下一步”。前面標(biāo)識(shí)的相應(yīng)端口和應(yīng)用程序被配置為Windows防火墻的例夕卜。11） 在“注冊(cè)表設(shè)置”部分中，單擊“跳過(guò)這一部分”復(fù)選框，然后單擊“下一步”。這些策略設(shè)置從提供的INF文件中導(dǎo)入。12） 在“審核策略”部分中，單擊“跳過(guò)這一部分”復(fù)選框，然后單擊“下一步”。這些策略設(shè)置從提供的INF文件中導(dǎo)入。13） 包括相應(yīng)的安全模板，并且以適當(dāng)?shù)拿Q保存策略。3.2WEB服務(wù)器配置與安全方案實(shí)施3.2.1WEB服務(wù)器的安全設(shè)置WEB服務(wù)器是企業(yè)網(wǎng)Intranet網(wǎng)站的核心，其中的數(shù)據(jù)資料非常重要，一旦遭到破壞將會(huì)給企業(yè)造成不可彌補(bǔ)的損失，管理好、使用好、保護(hù)好WEB服務(wù)器中的資源，是一項(xiàng)至關(guān)重要的工作。WEB安全服務(wù)器主要存在的漏洞包括：1） 物理路徑泄露2） CGI源代碼泄露3） 目錄遍歷4） 執(zhí)行任意命令5） 緩沖區(qū)溢出6） 拒絕服務(wù)。不使用默認(rèn)的WEB站點(diǎn)，將IIS目錄與系統(tǒng)磁盤(pán)分開(kāi)。將網(wǎng)站內(nèi)容移動(dòng)到非系統(tǒng)驅(qū)動(dòng)器，不使用默認(rèn)的Inetpub目錄，以減輕目錄遍歷攻擊（這種攻擊試圖瀏覽WEB服務(wù)器的目錄結(jié)構(gòu)）帶來(lái)的危險(xiǎn)（一定要驗(yàn)證所有的虛擬目錄是否均指向目標(biāo)驅(qū)動(dòng)器）。刪除IIS默認(rèn)創(chuàng)建的Inetpub目錄（在系統(tǒng)磁盤(pán)上）并配置網(wǎng)站訪問(wèn)權(quán)限。為WEB服務(wù)器配置站點(diǎn)、目錄和文件的訪問(wèn)權(quán)限。刪除系統(tǒng)盤(pán)下的虛擬目錄：vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。刪除不必要的IIS擴(kuò)展名映射。右鍵單擊“默認(rèn)WEB站點(diǎn)一屬性…主目錄f配置”，打開(kāi)應(yīng)用程序窗口，去掉不必要的應(yīng)用程序映射，主要為shtml、shtm、stm。更改IIS日志的路徑。右鍵單擊“默認(rèn)WEB站點(diǎn)f屬性f網(wǎng)站f在啟用日志記錄下f點(diǎn)擊屬性更改設(shè)置。只選擇網(wǎng)站和WEB應(yīng)用程序正確運(yùn)行所必需的服務(wù)和子組件。開(kāi)始f控制面板f添加或刪除程序f添加/刪除Windows組件f應(yīng)用程序服務(wù)器f詳細(xì)信息fInternet信息服務(wù)（IIS）f詳細(xì)信息f然后通過(guò)選擇或清除相應(yīng)組件或服務(wù)的復(fù)選框，來(lái)選擇或取消相應(yīng)的IIS組件和服務(wù)。IIS子組件和服務(wù)的推薦設(shè)置：禁用：后臺(tái)智能傳輸服務(wù)（BITS）服務(wù)器擴(kuò)展、FTP服務(wù)、FrontPage2002ServerExtensions^Internet打印、NNTP服務(wù)。啟用：公用文件、Internet信息服務(wù)管理器、萬(wàn)維網(wǎng)服務(wù)。刪除未使用的帳戶，設(shè)置強(qiáng)密碼，使用以最低特權(quán)的帳戶。避免攻擊者通過(guò)使用以高級(jí)特權(quán)運(yùn)行的帳戶來(lái)獲取未經(jīng)授權(quán)的資源訪問(wèn)權(quán)。限制對(duì)服務(wù)器的匿名連接，確保禁用來(lái)賓帳戶；重命名管理員帳戶并分配一個(gè)強(qiáng)密碼以增強(qiáng)安全性。重命名IUSR帳戶。在IIS元數(shù)據(jù)庫(kù)中更改IUSR帳戶的值：“管理工具"一"Internet信息服務(wù)（IIS）管理器”f右鍵單擊“本地計(jì)算機(jī)”f“屬性”f選中“允許直接編輯配置數(shù)據(jù)庫(kù)”復(fù)選框f“確定”f瀏覽至MetaBase.xml文件的位置，默認(rèn)情況下為C:“Windows"system32"inetsrvf右鍵單擊MetaBase.xml文件f"編輯"f搜索"AnonymousUserName"屬性，…鍵入IUSR帳戶的新名稱f在"文件”菜單上f單擊"退出”f單擊"是”。使用應(yīng)用程序池來(lái)隔離應(yīng)用程序，提高WEB服務(wù)器的可靠性和安全性。FTP服務(wù)器配置與安全方案實(shí)施FTP服務(wù)器的安全管理設(shè)置1）取消匿名訪問(wèn)功能默認(rèn)情況下服務(wù)器托管，Windows2000系統(tǒng)的FTP服務(wù)器是允許匿名訪問(wèn)的，雖然匿名訪問(wèn)為用戶上傳、下載文件提供方便，但卻存在極大的安全隱患。用戶不需要申請(qǐng)合法的賬號(hào)，就能訪問(wèn)FTP服務(wù)器，甚至還可以上傳、下載文件，特別對(duì)于一些存儲(chǔ)重要資料的FTP服務(wù)器，服務(wù)器托管很容易出現(xiàn)泄密的情況，因此建議用戶取消匿名訪問(wèn)功能。在Windows2003系統(tǒng)中，點(diǎn)擊“開(kāi)始f程序f管理工具-^Internet服務(wù)管理器”，彈出管理控制臺(tái)窗口。然后展開(kāi)窗口左側(cè)的本地計(jì)算機(jī)選項(xiàng)，就能看到IIS5.0自帶的FTP服務(wù)器，取消匿名訪問(wèn)功能。右鍵點(diǎn)擊“默認(rèn)FTP站點(diǎn)”項(xiàng)，在右鍵菜單中選擇“屬性”，服務(wù)器托管接著彈出默認(rèn)FTP站點(diǎn)屬性對(duì)話框，切換到“安全賬號(hào)”標(biāo)簽頁(yè)，取消“允許匿名連接”前的勾選，最后點(diǎn)擊“確定”按鈕，這樣用戶就不能使用匿名賬號(hào)訪問(wèn)FTP服務(wù)器了，必須擁有合法賬號(hào)。2） 啟用日志記錄Windows日志記錄著系統(tǒng)運(yùn)行的一切信息，如訪問(wèn)時(shí)間、客戶機(jī)IP地址、使用的登錄賬號(hào)等，這些信息對(duì)于FTP服務(wù)器的穩(wěn)定運(yùn)行具有很重要的意義，一旦服務(wù)器出現(xiàn)問(wèn)題，就可以查看FTP日志，找到故障所在，及時(shí)排除。因此一定要啟用FTP日志記錄。3） 在默認(rèn)FTP站點(diǎn)屬性對(duì)話框中，切換到“FTP站點(diǎn)”標(biāo)簽頁(yè)，一定要確?！皢⒂萌罩居涗洝边x項(xiàng)被選中，這樣就可以在“事件查看器”中查看FTP日志記錄了，TCP/IP訪問(wèn)限制為了保證公司FTP服務(wù)器的安全，還可以拒絕某些IP地址的訪問(wèn)。在默認(rèn)FTP站點(diǎn)屬性對(duì)話框中，切換到“目錄安全性”標(biāo)簽頁(yè)，選中“授權(quán)訪問(wèn)”單選項(xiàng)，然后在“以下所列除外”框中點(diǎn)擊“添加”按鈕，彈出“拒絕以下訪問(wèn)”對(duì)話框，這里可以拒絕單個(gè)IP地址或一組IP地址訪問(wèn)，服務(wù)器托管以單個(gè)IP地址為例，選中“單機(jī)”選項(xiàng)，然后在“IP地址”欄中輸入該機(jī)器的IP地址，最后點(diǎn)擊“確定”按鈕。這樣添加到列表中的IP地址都不能訪問(wèn)FTP服務(wù)器了。4） 合理設(shè)置組策略通過(guò)對(duì)組策略項(xiàng)目的修改，也可以增強(qiáng)公司FTP服務(wù)器的安全性。在Windows2003系統(tǒng)中，進(jìn)入到“控制面板f管理工具”，運(yùn)行本地安全策略工具。1、審核賬戶登錄事件在本地安全設(shè)置窗口中，服務(wù)器托管依次展開(kāi)“安全設(shè)置f本地策略f審核策略”，然后在右側(cè)的框體中找到“審核賬戶登錄事件”項(xiàng)目，雙擊打開(kāi)該項(xiàng)目，在設(shè)置對(duì)話框中選中“成功”和“失敗”這兩項(xiàng)，最后點(diǎn)擊“確定”按鈕。該策略生效后，F(xiàn)TP用戶的每次登錄都會(huì)被記錄到日志中。2、 增強(qiáng)賬號(hào)密碼的復(fù)雜性一些FTP賬號(hào)的密碼設(shè)置的過(guò)于簡(jiǎn)單，就有可能被“不法之徒”所破解。為了提高公司FTP服務(wù)器的安全性，必須強(qiáng)制用戶設(shè)置復(fù)雜的賬號(hào)密碼。在本地安全設(shè)置窗口中，服務(wù)器托管依次展開(kāi)“安全設(shè)置f賬戶策略f密碼策略”，在右側(cè)框體中找到“密碼必須符合復(fù)雜性要求”項(xiàng)，雙擊打開(kāi)后，選中“已啟用”單選項(xiàng)，最后點(diǎn)擊“確定”按鈕。然后，打開(kāi)“密碼長(zhǎng)度最小值”項(xiàng)，為FTP賬號(hào)密碼設(shè)置最短字符限制。這樣以來(lái)，密碼的安全性就大大增強(qiáng)了。3、 賬號(hào)登錄限制有些非法用戶使用黑客工具，反復(fù)登錄FTP服務(wù)器，來(lái)猜測(cè)賬號(hào)密碼。這是非常危險(xiǎn)的，因此建議大家對(duì)賬號(hào)登錄次數(shù)進(jìn)行限制。依次展開(kāi)“安全設(shè)置f賬戶策略f賬戶鎖定策略”，服務(wù)器托管在右側(cè)框體中找到“賬戶鎖定閾值”項(xiàng)，雙擊打開(kāi)后，設(shè)置賬號(hào)登錄的最大次數(shù)，為3次如果超過(guò)此數(shù)值，賬號(hào)會(huì)被自動(dòng)鎖定，如圖4.3.2-6設(shè)置。接著打開(kāi)“賬戶鎖定時(shí)間”項(xiàng)，設(shè)置FTP賬號(hào)被鎖定的時(shí)間，賬號(hào)一旦被鎖定，超過(guò)30分鐘，才能重新使用，通過(guò)服務(wù)器托管以上幾步設(shè)置后，紅番公司的FTP服務(wù)器將會(huì)更加安全，再也不用怕被非法入侵了。第四章紅帆安全方案測(cè)試4.1方案測(cè)試打印服務(wù)的一些安全設(shè)置，沒(méi)有進(jìn)行身份認(rèn)證無(wú)法正常使用打印服務(wù)器，有效的防止他人浪費(fèi)共享資源。在共享打印機(jī)的時(shí)候，設(shè)置優(yōu)先級(jí)，使用后臺(tái)打印，以便程序更快的技術(shù)打印，設(shè)置首先打印后臺(tái)文檔，并且保留打印的文檔。FTP服務(wù)器設(shè)置了獨(dú)立權(quán)限，這里的權(quán)限設(shè)置需要分兩部分來(lái)進(jìn)行，即對(duì)FTP服務(wù)器主目錄的權(quán)限設(shè)置和對(duì)各個(gè)用戶文件夾的權(quán)限設(shè)置。，在“FTP的高級(jí)安全設(shè)置”對(duì)話框中雙擊“權(quán)限列表”中的“拒絕FTP寫(xiě)入”選項(xiàng)，打開(kāi)“FTP的權(quán)限設(shè)置”對(duì)話框。在“應(yīng)用到”下拉列表中選中“只有該文件夾”選項(xiàng)，連續(xù)單擊“確定”按鈕完成設(shè)置需權(quán)限保護(hù)的文件夾必須在NTFS分區(qū)中創(chuàng)建，F(xiàn)AT32分區(qū)內(nèi)的資源無(wú)法設(shè)置權(quán)限。至此，設(shè)置工作就全部結(jié)束了。在任意一臺(tái)機(jī)器上以用戶“xpzx”的身份登錄FTP服務(wù)器，你會(huì)發(fā)現(xiàn)該用戶只能在“xpzx”文件夾中任意讀寫(xiě)，而無(wú)法看到主目錄和其他用戶目錄的內(nèi)容。WEB服務(wù)測(cè)試，首先禁用了對(duì)某個(gè)資源的Web服務(wù)器權(quán)限（如“讀取”權(quán)限），則所有用戶都不能查看該資源，無(wú)論這些用戶帳戶應(yīng)用的NTFS權(quán)限設(shè)置如何。如果您啟用了對(duì)某個(gè)資源的Web服務(wù)器權(quán)限（如“讀取”權(quán)限），則所有用戶都可以查看該資源，