网闸部署图
如上图所示,在公司总部网络与Internet之间即防火墙Cisco PIX 525防火
墙(硬件防火墙与入侵检测系统天融信新一代入侵防御系统TopIDP之间部署网闸产品华御安全隔离与信息交换系统(网闸)SU-GAP3000-H2,是在防火墙后的另一道安全防线,实现公司内部网络与外部网络的物理和协议上的安全隔离,使当防火墙被攻破或绕过时,也能保证系统的安全,提高公司系统的安全性。
4) VPN实现
VPN技术原理
VPN是对在公共通信基础设施上构建虚拟专用或私有网连接的技术总称,VPN的隔离
特性提供某种程度的通信保密性和虚拟性。VPN在本质上并不是完全独立的网络,与真实网络的差别在于VPN以隔离方式通过公用网,VPN外的节点不能与VPN内的节点通信。根据实现的层次不同,VPN技术分为应用层VPN、会话层VPN、网络层VPN、链路层VPN。
15
产品选取
Cisco PIX 525防火墙(硬件防火墙)实现了在Internet或所有IP网络上的安全保密通信。它集成了VPN的主要功能 - 隧道、数据加密、安全性和防火墙,能够提供一种安全、可扩展的平台来更好、更经济高效地使用公共数据服务来实现远程访问、远程办公和外部网连接。525可以同时连接高达4个VPN层,为用户提供完整的IPsec标准实施方法,其中IPsec保证了保密性、完整性和认证能力。对于安全数据加密,Cisco的IPsec实现方法全部支持56位数据加密标准(DES)和168位三重DES算法以及AES算法。因此不用另外选购VPN技术产品,通过配置Cisco PIX 525防火墙(硬件防火墙)来实现VPN功能。
部署方案
配置Cisco PIX 525防火墙(硬件防火墙)的VPN功能,用网络层的VPN技术实现网络
层的VPN。网络层VPN 技术之一的IPSec 也是IETF 支持的标准之一,它是第三层即IP层的加密。 IPSec 不是某种特殊的加密算法或认证算法,也没有在它的数据结构中指定某种特殊的加密算法或认证算法,它只是一个开放的结构,定义在IP数据包格式中,不同的加密算法都可以利用IPSec定义的体系结构在网络数据传输过程中实施。
IPSec协议可以设置成在两种模式下运行:一种是隧道(tunnel)模式,一种是传输(transport)模式。在隧道模式下,IPSec 把IPv4 数据包封装在安全的IP帧中。传输模式是为了保护端到端的安全性,即在这种模式下不会隐藏路由信息。隧道模式是最安全的,但会带来较大的系统开销。
配置防火墙的VPN功能后,公司总部和北京办之间构建了VPN,能够利用Internet实现公司总部和北京办之间的通信,阻断了VPN外的用户与VPN内的通信。
3.2 系统安全
主机操作系统主要是Linux和Windows,存在Linux和Windows的常见漏洞和安全问题,因此要采用安全技术和机制尽可能的实现系统平台的安全,以保证公司系统的安全运作。
16
1) Windows系统安全性实现
Windows系统的安全机制有标识验证、资源访问控制、NT文件系统、安全审计、等。其安全实现有初级、中级和高级实现方式,可根据不同企业的安全需求进行设计。X研究所是我国重要的军工研究所,拥有强大的军事装备研发实力,在研发过程中充分应用信息技术,对系统平台的安全要求较高,应采用高级Windows 安全设计方法高级篇。系统平台安全实现如下:
1. 关闭 DirectDraw
这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响,但是对于绝大多数的商业站点都应该是没有影响的。修改注册表 HKLM\\SYSTEM\\CurrentControlSet\\Control\\GraphicsDrivers\\DCI 的Timeout(REG_DWORD)为 0 即可。
2.关闭默认共享
win2000安装好以后,系统会创建一些隐藏的共享,你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章,相信大家一定对它不陌生。要禁止这些共享 ,打开 管理工具>计算机管理>共享文件夹>共享 在相应的共享文件夹上按右键,点停止共享即可,不过机器重新启动后,这些共享又会重新开启的。
3.禁止dump file的产生
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而,它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它,打开 控制面板>系统属性>高级>启动和故障恢复 把 写入调试信息 改成无。要用的时候,可以再重新打开它。
4.使用文件加密系统EFS
Windows2000 强大的加密系统能够给磁盘,文件夹,文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。
17
5.加密temp文件夹
一些应用程序在安装和升级的时候,会把一些东西拷贝到temp文件夹,但是当程序升级完毕或关闭的时候,它们并不会自己清除temp文件夹的内容。所以,给temp文件夹加密可以给你的文件多一层保护。
6.锁住注册表
在windows2000中,只有administrators和Backup Operators才有从网络上访问注册表的权限。
7.关机时清除掉页面文件
页面文件也就是调度文件,是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文件中也可能含有另外一些敏感的资料。 要在关机的时候清楚页面文件,可以编辑注册表 HKLM\\SYSTEM\\CurrentControlSet\\Control\\Session Manager\\Memory Management 把ClearPageFileAtShutdown的值设置成1。 8.禁止从软盘和CD Rom启动系统
一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高,可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。
9.考虑使用智能卡来代替密码
对于密码,总是使安全管理员进退两难,容易受到 10phtcrack 等工具的攻击,如果密码太复杂,用户把为了记住密码,会把密码到处乱写。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
10.考虑使用IPSec
正如其名字的含义,IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据,而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。
18
2) Linux
经过十年的发展,Linux的功能在不断增强,其安全机制亦在逐步完善。按照TCSEC评估标准,目前Linux的安全级基本达到了C2,更高安全级别的Linux系统正在开发之中。 下面我们来看一看Linux已有的安全机制,这些机制有些已被标准的Linux所接纳,有些只是提供了“补丁”程序。
为实现系统平台安全性,Linux提供了如下的安全机制:
1. PAM机制
PAM(Pluggable Authentication Modules)是一套共享库,其目的是提供一个框架和一套编程接口,将认证工作由程序员交给管理员,PAM允许管理员在多种认证方法之间作出选择,它能够改变本地认证方法而不需要重新编译与认证相关的应用程序。
PAM的功能包括:
? 加密口令(包括DES以外的算法); ? 对用户进行资源限制,防止DOS攻击; ? 允许随意Shadow口令;
? 限制特定用户在指定时间从指定地点登录;
? 引入概念“client plug-in agents”,使PAM支持C/S应用中的机器——机器认
证成为可能。
PAM为更有效的认证方法的开发提供了便利,在此基础上可以很容易地开发出替代常规的用户名加口令的认证方法,如智能卡、指纹识别等认证方法。
2. 入侵检测系统
入侵检测技术是一项相对比较新的技术,很少有操作系统安装了入侵检测工具,事实上,标准的Linux发布版本也是最近才配备了这种工具。尽管入侵检测系统的历史很短,但发展却很快,目前比较流行的入侵检测系统有Snort、Portsentry、 Lids等。
19