網(wǎng)絡(luò)接入安全

規(guī)范互聯(lián)網(wǎng)接入外網(wǎng)接入是影響網(wǎng)絡(luò)安全的主要因素，嘉興煙草采用全地區(qū)統(tǒng)一外網(wǎng)接入方式。在目前無法實(shí)行內(nèi)外網(wǎng)物理隔離的條件下，采用防火墻進(jìn)行隔離，需要在防火墻上做嚴(yán)格的配置。防火墻規(guī)則是安全策略的技術(shù)基礎(chǔ)，規(guī)則設(shè)計(jì)應(yīng)遵循以下思路和原則:建立規(guī)則文件。明確每條規(guī)則的作用，不在規(guī)則內(nèi)的流量應(yīng)予以阻止。建立規(guī)則文件非常重要，因?yàn)榫W(wǎng)絡(luò)的重大錯(cuò)誤往往是防火墻配置的錯(cuò)誤造成的。網(wǎng)絡(luò)地址轉(zhuǎn)換要謹(jǐn)慎。地址轉(zhuǎn)換配置（NAT）分為源地址轉(zhuǎn)換和目的地址轉(zhuǎn)換。在源地址轉(zhuǎn)換的配置中，需要配置源地址到偽裝源地址（轉(zhuǎn)換后的源地址）的轉(zhuǎn)換規(guī)則，要為源地址設(shè)置一個(gè)偽裝的合法地址。在源地址轉(zhuǎn)換時(shí)，使內(nèi)部子網(wǎng)的地址能利用一個(gè)偽裝的合法地址達(dá)到訪問外部網(wǎng)的目的,這樣就省去了占用多個(gè)合法IP的資源；在目的地址轉(zhuǎn)換的配置中,需要配置目標(biāo)地址到真實(shí)目標(biāo)地址之間的轉(zhuǎn)換規(guī)則。在目的地址轉(zhuǎn)換時(shí)，系統(tǒng)必須把目標(biāo)地址和端口轉(zhuǎn)換成真實(shí)的內(nèi)部子網(wǎng)或DMZ區(qū)的地址，端口才能進(jìn)行數(shù)據(jù)傳送，這樣系統(tǒng)可以指定某一子網(wǎng)或DMZ區(qū)的IP地址和相關(guān)端口接收外部網(wǎng)的數(shù)據(jù)。路由設(shè)置必須合理。防火墻一般提供靜態(tài)路由，這是由網(wǎng)絡(luò)管理員在啟動(dòng)網(wǎng)絡(luò)路由功能之前預(yù)先建立起一個(gè)路由映射表。要訪問某一子網(wǎng)的用戶必須經(jīng)過路由表中配置的網(wǎng)關(guān)地址才能到達(dá)該子網(wǎng)。有時(shí)，不但要防止來自外部的黑客攻擊，還要防止來自內(nèi)網(wǎng)盜用他人的主機(jī)IP進(jìn)行非法活動(dòng)。采用內(nèi)部網(wǎng)段的IP地址與網(wǎng)卡MAC地址綁定的方式，可防止內(nèi)部主機(jī)盜用其他主機(jī)的IP進(jìn)行未授權(quán)的活動(dòng)，該設(shè)置具體可以在每個(gè)縣的核心交換機(jī)上做，并且可有效地防止Arp攻擊。規(guī)則力求簡單。一個(gè)簡單的規(guī)則集是建立一個(gè)安全防火墻的關(guān)鍵所在。應(yīng)盡量保持規(guī)則集簡潔和簡短，因?yàn)橐?guī)則越多，就越可能犯錯(cuò)誤。一個(gè)好的規(guī)則最好不超過30條，規(guī)則少還意味著只分析少數(shù)的規(guī)則，這樣，防火墻的CPU周期就短，效率可大大提高。當(dāng)要遵從很多規(guī)則時(shí)，就要認(rèn)真檢查整個(gè)安全體系結(jié)構(gòu)，而不僅是防火墻的。r韭井中心鬥齡氐電血4卜囲3ajr韭井中心鬥齡氐電血4卜囲3aj卷由器荊lOfJM ttOOMQ膿務(wù)辭3ffl‘—規(guī)則次序很關(guān)鍵。同樣的規(guī)則，以不同的次序放置，可能會(huì)完全改變防火墻的運(yùn)轉(zhuǎn)情況。一些防火墻具有自動(dòng)給規(guī)則排序的特性，很多防火墻以順序方式檢查信息包。一般來說，應(yīng)該將較特殊的規(guī)則放在前，較普通的規(guī)則放在后，這樣可防止防火墻配置錯(cuò)誤。注意更改控制。恰當(dāng)?shù)亟M織好規(guī)則之后，寫上注釋并經(jīng)常更新它們。注釋可以幫助管理員明白哪條規(guī)則做什么。對(duì)規(guī)則理解得越透徹，錯(cuò)誤配置的可能性就越小。特別是在規(guī)則較多時(shí)，建議當(dāng)規(guī)則被修改時(shí)，把規(guī)則更改者的名字、變更的日期和時(shí)間、變更的原因加入注釋中，這可以幫助管理員跟蹤誰修改了哪條規(guī)則以及修改的原因。做好審計(jì)工作。在安全審計(jì)中，經(jīng)常能看到某個(gè)防火墻由于某個(gè)規(guī)則配置的錯(cuò)誤而將機(jī)構(gòu)暴露在巨大的危險(xiǎn)之中。因此，不僅要對(duì)防火墻的操作進(jìn)行審計(jì)，還要對(duì)審計(jì)內(nèi)容本身進(jìn)行審計(jì)。同時(shí)審計(jì)中要有明確的權(quán)限，充分保證審計(jì)內(nèi)容的完全性。路由安全為重在網(wǎng)絡(luò)的接入過程中，路由器是網(wǎng)絡(luò)系統(tǒng)的主要設(shè)備，也是網(wǎng)絡(luò)安全的前沿關(guān)口。如果路由器連自身的安全都無法保障，整個(gè)網(wǎng)絡(luò)也就毫無安全可言。因此在網(wǎng)絡(luò)安全管理上，必須對(duì)路由器進(jìn)行合理規(guī)劃、配置，采取必要的安全保護(hù)措施，避免因路由器自身的安全問題而給整個(gè)網(wǎng)絡(luò)系統(tǒng)帶來漏洞和風(fēng)險(xiǎn)。下面是一些加強(qiáng)路由器安全的具體措施，用以阻止對(duì)路由器的攻擊，并防范網(wǎng)絡(luò)信息被竊取。增加認(rèn)證功能，提高網(wǎng)絡(luò)安全性。路由器的一個(gè)重要功能是路由的管理和維護(hù)，目前具有一定規(guī)模的網(wǎng)絡(luò)都采用動(dòng)態(tài)的路由協(xié)議，煙草專網(wǎng)用的是Ospf協(xié)議。當(dāng)一臺(tái)設(shè)置了相同路由協(xié)議和相同區(qū)域標(biāo)示符的路由器加入網(wǎng)絡(luò)后，會(huì)學(xué)習(xí)網(wǎng)絡(luò)上的路由信息表。但此種方法可能導(dǎo)致網(wǎng)絡(luò)拓?fù)湫畔⑿孤部赡苡捎谙蚓W(wǎng)絡(luò)發(fā)送自己的路由信息表，擾亂網(wǎng)絡(luò)上正常工作的路由信息表，嚴(yán)重時(shí)可能使整個(gè)網(wǎng)絡(luò)癱瘓。這個(gè)問題的解決辦法是對(duì)網(wǎng)絡(luò)內(nèi)的路由器之間相互交流的路由信息進(jìn)行認(rèn)證。當(dāng)路由器配置了認(rèn)證方式，就會(huì)鑒別路由信息的收發(fā)方。有兩種鑒別方式，其中“純文本方式”安全性低，建議使用“MD5方式”。物理安全防范。路由器控制端口是具有特殊權(quán)限的端口，如果攻擊者物理接觸路由器后，斷電重啟，實(shí)施“密碼修復(fù)流程”后，就可以完全控制路由器，這就要求對(duì)進(jìn)入機(jī)房的人員進(jìn)行嚴(yán)格的審核。保護(hù)路由器口令。在備份的路由器配置文件中，密碼即使是用加密的形式存放，密碼明文也仍存在被破解的可能。一旦密碼泄漏，網(wǎng)絡(luò)也就毫無安全可言，所以應(yīng)當(dāng)特別注意口令的保護(hù)工作。管理HTTP服務(wù)。HTTP服務(wù)提供Web管理接口?！皀oiphttpserver”可以停止HTTP服務(wù)。如果必須使用HTTP,—定要使用訪問列表“iphttpaccess-class”命令，嚴(yán)格過濾允許的IP地址，同時(shí)用“iphttpauthentication”命令設(shè)定授權(quán)限制。抵御spoofing（欺騙）類攻擊。使用訪問控制列表，過濾掉所有目標(biāo)地址為網(wǎng)絡(luò)廣播地址和宣稱來自內(nèi)部網(wǎng)絡(luò)，而實(shí)際上卻是來自外部的數(shù)據(jù)包。在路由器端口配置:ipaccess-grouplistinnumber訪問控制列表如下:access-listnumberdenyicmpanyanyredirectaccess-listnumberdenyip55anyaccess-listnumberdenyip55anyaccess-listnumberdenyiphostany（注：上述四行命令將過濾BOOTP/DHCP應(yīng)用中的部分?jǐn)?shù)據(jù)包，在類似環(huán)境中使用時(shí)要有充分的認(rèn)識(shí)。）防止包嗅探。黑客經(jīng)常將嗅探軟件安裝在已經(jīng)侵入的網(wǎng)絡(luò)上的計(jì)算機(jī)內(nèi)，監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)流，從而盜竊密碼，包括SNMP通信密碼，也包括路由器的登錄和特權(quán)密碼。網(wǎng)絡(luò)管理員在不可信任的網(wǎng)絡(luò)上不要用非加密協(xié)議登錄路由器。如果路由器支持加密協(xié)議，請(qǐng)使用SSH或KerberizedTelnet，或使用IPSec加密路由器所有的管理流。校驗(yàn)數(shù)據(jù)流路徑的合法性。使用RPF（ReversePathForwarding，反相路徑轉(zhuǎn)發(fā)）校驗(yàn)，由于攻擊者地址是違法的，所以攻擊包被丟棄，從而達(dá)到抵御spoofing攻擊的目的。RPF反相路徑轉(zhuǎn)發(fā)的配置命令為：ipverifyunicastrpf。注意：首先要支持CEF（CiscoExpressForwarding，快速轉(zhuǎn)發(fā)）。防止SYN攻擊。目前，一些路由器的軟件平臺(tái)可以開啟TCP攔截功能，防止SYN攻擊，工作模式分?jǐn)r截和監(jiān)視兩種，默認(rèn)情況是攔截模式。（攔截模式：路由器響應(yīng)到達(dá)的SYN請(qǐng)求，并且代替服務(wù)器發(fā)送一個(gè)SYN-ACK報(bào)文，然后等待客戶機(jī)ACK，如果收到ACK，再將原來的SYN報(bào)文發(fā)送到服務(wù)器；監(jiān)視模式：路由器允許SYN請(qǐng)求直接到達(dá)服務(wù)器，如果這個(gè)會(huì)話在30秒內(nèi)沒有建立起來，路由器就會(huì)發(fā)送一個(gè)RST，以清除這個(gè)連接。）首先，配置訪問列表，以備開啟需要保護(hù)的IP地址：accesslist[1-199][deny|permit]tcpanydestinationdestination-wildcard。然后，開啟TCP攔截：IptcpinterceptmodeinterceptIptcpinterceptlistaccesslist-numberIptcpinterceptmodewatch。使用安全的SNMP管理方案。SNMP廣泛應(yīng)用在路由器的監(jiān)控、配置方面。SNMPVersion1在穿越公網(wǎng)的管理應(yīng)用方面，安全性低，不適合使用。利用訪問列表僅僅允許來自特定工作站的SNMP訪問可以提升SNMP服務(wù)的安全性能。配置命令:snmp-servercommunity（xxxxxRWxxxx是訪問控制列表號(hào)）SNMPVersion2使用MD5數(shù)字身份鑒別方式。不同的路由器設(shè)備配置不同的數(shù)字簽名密碼，這是提高整體安全性能的有效手段。設(shè)備備份系統(tǒng)。根據(jù)用戶的網(wǎng)絡(luò)情況，應(yīng)注意骨干交換機(jī)、路由器等核心網(wǎng)絡(luò)設(shè)備的備份。備份設(shè)備可以在段時(shí)間內(nèi)替代網(wǎng)絡(luò)中實(shí)際使用的設(shè)備，一旦核心設(shè)備出現(xiàn)故障，使用備件替換以減少網(wǎng)絡(luò)故障時(shí)間。在交換機(jī)的配置上，應(yīng)該給所有接入網(wǎng)絡(luò)的IP設(shè)備進(jìn)行IP和MAC的綁定，以防Arp病毒對(duì)整個(gè)網(wǎng)絡(luò)造成影響，影響業(yè)務(wù)系統(tǒng)的正常運(yùn)行。鏈接一規(guī)范其他設(shè)備接入除了上述網(wǎng)絡(luò)設(shè)備之外，與網(wǎng)絡(luò)接入的其他相關(guān)設(shè)備也是響影安全的因素，任何一處的安全薄弱點(diǎn)被惡意攻擊者利用的話，都有可能導(dǎo)致整個(gè)安全體系的崩潰，這就是安全的“木桶原理“。服務(wù)器安全管理防病毒軟件病毒庫定期升級(jí)。服務(wù)器定期掃描、加固。防火墻日志備份、分析。入侵檢測等安全設(shè)備日志備份。服務(wù)器日志備份。為了防止同一網(wǎng)段有服務(wù)器中病毒后發(fā)動(dòng)Arp攻擊，并影響其他服務(wù)器上應(yīng)用的正常使用，應(yīng)該在核心交換上做IP與MAC的綁定。對(duì)服務(wù)器進(jìn)行安全設(shè)置。服務(wù)器使用NTFS文件系統(tǒng)、關(guān)閉默認(rèn)共享、修改共享權(quán)限、對(duì)系統(tǒng)管理員賬號(hào)改名處理、禁用TCP/IP上的NetBIOS、防范拒絕服務(wù)攻擊、IIS的安全配置等都非常重要。管理好員工電腦接入員工個(gè)人電腦是網(wǎng)絡(luò)中接入數(shù)量最多的設(shè)備，我們?cè)趯?shí)踐中進(jìn)行如下管理辦法:在主交換機(jī)上劃分不同的VLAN網(wǎng)段。對(duì)關(guān)鍵應(yīng)用，如呼叫中心、倉儲(chǔ)管理、分揀等工作場所使用單獨(dú)的網(wǎng)段，并禁止上外網(wǎng)，確保網(wǎng)絡(luò)病毒不在這些關(guān)鍵網(wǎng)段中爆發(fā)。在主交換機(jī)上采用IP與MAC綁定技術(shù)?？梢杂行Х乐箓€(gè)人非法修改IP地址，阻止Arp等網(wǎng)絡(luò)病毒的傳播。采用PowerIDS網(wǎng)絡(luò)審計(jì)監(jiān)控、網(wǎng)路崗等軟件，對(duì)個(gè)人電腦進(jìn)行安全監(jiān)控。禁止3G等無線網(wǎng)卡在個(gè)人工作電腦上使用。以防止外網(wǎng)接入無法控制。網(wǎng)絡(luò)安全不單是指網(wǎng)絡(luò)設(shè)備的安全，也是指與網(wǎng)絡(luò)有關(guān)的所有設(shè)備與行為綜合形成的結(jié)果。它們共同形成了木桶的安全效應(yīng)。嘉興煙草的網(wǎng)絡(luò)建設(shè)遵循國家局、省局制定的網(wǎng)絡(luò)規(guī)范，幾年來達(dá)到了安全運(yùn)行無事故，保證了信息系統(tǒng)的正常使用。鏈接二關(guān)閉非安全服務(wù)的指令關(guān)閉察看路由器診斷的信息。關(guān)閉命令如下:noservicetcp-small-serversnoserviceudp-small-servers。關(guān)閉查看路由器當(dāng)前的用戶列表。關(guān)閉命令為:noservicefinger。關(guān)閉CDP服務(wù)。在OSI二層協(xié)議即鏈路層的基礎(chǔ)上可發(fā)現(xiàn)對(duì)端路由器的部分配置信息設(shè)備平臺(tái)、操作系統(tǒng)版本、端口、IP地址等重要信息?？梢杂妹頽ocdprunning或nocdpenable關(guān)閉這個(gè)服務(wù)。關(guān)閉路由器接收帶源路由標(biāo)記的數(shù)據(jù)包。將帶有源路由選