? 防火墙对拨号用户的安全控制。防火墙可以鉴别出拨号用户与其它用户,并针对拨号用户设置一些过滤规则,防止非法用户入侵内部网络。
? 应用安全平台的安全控制。在拨号用户通过拨号路由器和防火墙的控制之后,如果希望访问某些受到应用安全平台加强管理的资源时,还需要通过应用安全平台的安全控制。应用安全平台可以鉴别出针对每个应用系统设置的用户身份。
防病毒网关配置
为了防范病毒通过Internet进入**房产局域网内部,我们建议在**房产网络局域网内部外部网接口处配置防病毒网关,对所有进出各部门的数据进行检查,特别是通过HTTP方式传送的WEB页面中所带的Script小程序、通过FTP和EMAIL传送的文件(特别是可执行文件、DOC、.EXL文件等)。
通过配置防病毒网关,可以防范病毒从Internet传入各江西网络局域网内,也可以防范某些病毒从局域网向外传播时泄漏一些敏感资料。
防病毒网关作为整个防病毒体系的一个必不可少的部分,可以在配置防病毒体系统一配置,并通过各局域网病毒软件的管理中心统一管理、统一升级。
网络平台安全管理
1. 关键网络互联设备的安全保障
在**房产综合系统中,对整个网络的安全来讲,首先要确保的是网络设备的安全,保证非授权用户不能访问路由器、交换机或防火墙等关键设备。对于不同的网络设备、不同厂家的网络设备,要防范的内容是一样的,但具体的配置方法可能不同。
为了保障网络设备的安全性,需考虑以下几个方面的因素;
1)对网络设备的安全控制。对于可访问路由器等网络设备的用户可以设置不同的用户权限,如“非特权”和“特权”两咱访问权限,非特以访问权限允许
用户在路由器上查询某些信息但无法对路由器进行配置;特权访问权限则允许用户对路由器进行完全的配置。对路由器访问的控制可使用以下几种方式:
? 控制台访问控制; ? 限制访问空闲时间; ? 口令的加密;
? 对Telnet访问的控制; ? 多管理员授权级别。
2)统一的用户的认证与授权。在一个管理域内,配置一个或多个认证服务器,对整个网络设备的认证、授权以及审计跟踪进行统一管理,对认证服务器作相应的配置,保证用户口令不在网络上传输,并定期更换口令。网络设备的管理可以采用网管系统中选用的产品。
3)控制SNMP访问,通过对设备的配置,使得只能由某个指定IP地址的网管工作站才能进行网络管理,对路由器或网络设备进行读写操作。
4)关闭设备上不必要的服务,如Echo(7)、Discard(9)、Daytime(13)、Chargen(19)、Finger(79)等端口,可以防止设备负载过高而造成的拒绝服务类型的攻击。
2. 路由信息的安全交换
路由器之间交换的路由信息的真实性、完整性和保密性对网络的正常运行至关重要。有些路由协议(如RIP)对所收到的路由信息不做任何检查与啐证,攻击者很容易向路由器发送假的路由信息,由路由器之间自动的路由信息交换而扩展到整条路径上,从而声明一条假的路径,使得本来应该发往某个特定主机的信息全部发送到攻击者自己的机器上去,甚至造成整个网络的瘫痪。
因此,路由器和路由协议必须保证路由信息的认证与完整性,重要节点间还应支持路由信息加密。推荐使用安全路由器和安全的路由协议,能够利用各种密码技术实现路由器间相互认证,保证路由信息的完整性、保密性。不知道密钥的路由器无法参与整个管理和其间的路由信息交换。
除了假冒路由的攻击,管理员配置的失误也常常是造成网络路由故障的因素。特别是不同管理域之间的路由信息交换,比如省级网络边界路由器与设区市级主干网络路由器之间,如果使用动态路由协议,一旦省级网络管理员错误配置了一条路由,该路由很快被传播到整个网络,造成网络的不连通故障。我们建议各级局域网在与上级单位的网络相联时,尽量采用静态路由方式,将动态路由配置的失误局限在本地,同时明确了网络管理员的权利与责任。
3. 域名系统的安全
域名系统(Domain Name System)为域名向IP地址的转换提供了分布式数据库管理机制。当某一用户连接某个远程主机时,攻击者可以对该用户的域名解析请求发送一个域名服务器响应报文,从而把用户的连接转向到攻击者控制的一台主机,这样攻击者就可以收集口令、监听或者篡改数据,。域名系统攻击和路由攻击相结合对网络可能造成灾难性的破坏。
各级信息网网络中心必须保证域名服务器的系统安全,省对下属各单位子网的域名的登记注册需有一套严格的审批手续。各种客户端和服务器、网络互连设备的域名服务器配置,一定不能使用未经**房产局批准的域名服务器,以防域名欺骗。
对域名服务器可以前杉应用安全平台产品提供更进一步的安全保障。 网络管理系统中一般都存储着网络设备的配置等重要管理信息,提供控制网络设备的工具,网络管理系统和网络设备与服务之间传输着配置命令的重要信息。网络管理系统的安全可靠将会影响整个网络的安全。许多网管系统提供了基于Web的管理界面,致使具有浏览器的任何用户都可以访问网络管理系统。
因此,网络管理系统需要严格的身份认证、对于来自非控制台的用户,需要强认证机制,不能在网络上明码传输口令;
对不同网络管理员,根据其任务和角色提供不同级别的授权控制; 对管理员的每次使用和对网络设备的操作,需要有完善的审计机制,以便于
故障的恢复、责任的追查;
网络管理系统和被管理设备支持SNMPv2使用对称密钥技术和MD等单项HASH函数实现网络系统与被管理设备间的认证与数据的完整性和保密性;被管理设备通过设置视图(View)和读写权限,控制来自网络管理工作站的访问。
用于存放设备配置信息的TFTP服务器需要高度安全的配置,保护路由器配置文件不被人非法获取。
安全检测和实时监控系统
在经济允许的情况下,对于**房产综合信息网络系统可以配置安全检测和实时监控系统。
安全检测系统可以通过模拟已知的各种黑客攻击手段,找出系统存在的各种漏洞,从而在被真正的黑客之前,及时采取措施。
安全检测系统一般是定期执行,扫描防火墙、路由器等各种网络设备、各种服务器的操作系统以及WEB等各种应用系统。
安全检测系统可以配置在数据中心,对网络上的所有服务器、网络设备进行检测。
实时监控系统黑客攻击方法,抽取出了大量的访问特征,如在短时间内发送大量的数据包等。实时监控系统一般有很多探测头,位于网络的保敏感地段,如防火墙两侧,探测头抓获所有通过的数据包,一旦发现有可疑的数据包,即通过各种方式,如警报、邮件等向管理员报警,并终止该连接。
由于现在的黑客攻击手段主要是利用操作系统及其各种服务存在的漏洞,因此配置安全检测和时监控系统对于加强操作系统配置管理,保证系统安全具有更重要的意义。
实时监控系统配置在关键的路由地段,如防火墙的两侧。如下图所示。(图11-5)
公共数据网 DDN 对外服务器区 WEB Server DNS DNS 路由器 Mail 内部服务入侵检测探头 防火墙 实时监控 外室网络 (图11-5)
安全检测和实时监控系统设计
外室网络 安全检测、实时监控和前面提到的各种安全措施,为**房产综合信息网络系统构成了一个立体化的网络安全防御体系。
§11.10 网络防病毒体系
1.防病毒途径
网络环境下的防病毒必须层层设防,逐层把关,堵住病毒传播的各种可能途径,包括:
网关防病毒
Internet是现在病毒传播的一个最主要的路径,访问Internet网站可能会感染蠕虫病毒,从Internet下载软件和数据可能会同时把病毒、黑客程序都带