企业网的安全规划(共27页)

1、企业网的安全规划 企业(qy)网的安全规划第一章 概述(i sh)1. 网络安全概述(i sh)1.1 网络安全的概念网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。从网络运行和管理者角度说，他们希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁，制止和防御网络黑客的

2、攻击。从社会教育和意识形态角度来讲，网络上不健康的内容，会对社会的稳定和人类的发展造成阻碍，必须对其进行控制。1.2 网络安全系统的脆弱性计算机面临着黑客、病毒、特洛伊木马程序、系统后门和窥探等多个方面安全威胁。尽管近年来计算机网络安全技术取得了巨大的进展，但计算机网络系统的安全性，比以往任何时候都更加脆弱。主要表现在他极易受到攻击和侵害，他的抗打击力和防护力很弱，其脆弱性主要表现在如下几个方面。 (1) 操作系统的安全脆弱性操作系统不安全，是计算机系统不安全的根本原因。(2) 网络系统的安全脆弱性网络安全的脆弱性 使用TCP/IP协议的网络所提供的FTP、E-mail、RPC和NFS都包含许

3、多不安全的因素。 计算机硬件的故障(gzhng) 由于生产工艺和制造商的原因，计算机硬件系统(xtng)本身有故障， 软件(run jin)的漏洞 软件中不可避免的漏洞和缺陷，成了黑客攻击的首选目标，典型的如操作系统中的BUGS。 (3) 数据库管理系统的安全脆弱性大量信息存储在数据库中，然而对这些数据库系统在安全方面的考虑却很少。数据库管理系统安全必须与操作系统的安全相配套，例如，DBMS的安全级别是B2级，操作系统的安全级别也应是B2级，但实践中往往不是这样。 (4) 防火墙的局限性防火墙依然存在着一些不能防范的威胁，例如不能防范不经过防火墙的攻击，及很难防范网络内部攻击及病毒威胁等。(5

4、) 天灾人祸天灾指不可控制的自然灾害，如地震、雷击等。人祸是指人为因素对计算机网络系统构成的威胁，人祸可分为有意的和无意的，有意的是指人为的恶意攻击、违纪、违法和计算机犯罪。无意是指误操作造成的不良后果，如文件的误删除、误输入，安全配置不当，用户口令选择不慎，账号泄露或与别人共享。 (6) 其他方面的原因如环境和灾害的影响，计算机领域中任何重大的技术进步，都对安全性构成 新的威胁等。总之，系统自身的脆弱和不足，是造成网络安全问题的内部根源，但系统本身的脆弱性，社会对系统的依赖性这一对矛盾又将促进网络安全技术的不断发展和进步。2. 网络安全模型 计算机网络系统安全的概念是相对的，每一个系统都具有

5、潜在的危险。安全具有动态性，需要适应变化的环境，并能作出相应的调整，以确保计算机网络系统的安全。一个最常见的安全模型(mxng)就是PDRR模型(mxng)：PDRR模型(mxng)就是4个英文单词的头字符，Protection（防护）、Detection（检测）、Response（响应）、Recovery（恢复）。这四个部分构成了一个动态的信息安全周期，如图1-1所示：图1-1 网络安全模型安全策略的每一部分包括一组相应的安全措施来实施一定的安全功能。安全策略的第一部分就是防御。根据系统已知的所有安全问题做出防御的措施，如打补丁、访问控制、数据加密等等。防御作为安全策略的第一个战线。安全策略

6、的第二个战线就是检测。攻击者如果穿过了防御系统，检测系统就会检测出来。这个安全战线的功能就是检测出入侵者的身份，包括攻击源、系统损失等。一旦检测出入侵，响应系统开始响应包括事件处理和其他业务。安全策略的最后一个战线就是系统恢复。在入侵事件发生后，把系统恢复到原来的状态。每次发生入侵事件，防御系统都要更新，保证相同类型的入侵事件不能再发生，所以整个安全策略包括防御、检测、响应和恢复，这四个方面组成了一个信息安全周期。3. 企业局域网的应用 企业的局域网可以为用户提供如下主要应用： (1) 文件共享、办公自动化、WWW服务、电子邮件服务； (2) 文件数据的统一存储； (3) 针对特定的应用在数据

7、库服务器上进行二次开发(比如财务系统)； (4) 提供(tgng)与Internet的访问；通过公开服务器对外发布企业信息(xnx)、发送电子邮件等；第二章 服务平台的搭建(d jin)1. Windows server 2008 的安装过程服务器的操作系统是 Windows Server 2008,客户机的操作系统是 Windows XP。 1.1 配置 硬件需求条件：处理器：最低：1.4 GHz（x64处理器），内存：最低：512 MB RAM最大：8 GB（基础版）或32 GB，可用磁盘空间：最低：32 GB或以上。1.2 安装步骤：进入安装程序启动画面：图2-1 启动安装程序Windo

8、ws Server 2008 R2 Enterprise（完全安装）后点击下一步：图2-2 完全(wnqun)安装程序选择(xunz)我接受许可(xk)条款后点击下一步：图2-3 接受条款选择驱动器选项（高级）：图2-4 选择(xunz)驱动器输入分区(fn q)大小的值后，点击确定(qudng)后点击下一步：图2-5 输入分区大小值重新启动计算机后进入后续的安装过程，如下图：图2-6 重新启动程序(chngx)Windows server 2008的安装(nzhung)注意事项 1.先在测试(csh)计算机上安装一个 Windows Server 2008。2.在 Windows Serve

9、r 2008上安装应用程序。如果出现提示，要求安装该应用程序的权限，则单击“允许”并继续安装。如果安装成功，请转至步骤 6。3.如果应用程序安装失败，且未出现安装权限提示，则右键单击 EXE 安装程序然后选择“以管理员身份运行该程序”，重新安装应用程序。如果安装成功，请转至步骤 6。注意 如果使用 MSI 进行安装则无需执行该步骤。4.如果收到 OS 版本、CLSID 注册或文件复制之类的错误，则右键单击 EXE 安装程序文件，选择“兼容性”选项卡，然后选择 Windows Server 2003 (Service Pack 1) 兼容性模式。5.回到步骤 2。如果无法安装应用程序，则转至步骤

10、 9。6.现在应用程序应该已完成安装。7.启动应用程序。如果应用程序未正常启动或显示有错误，则为应用程序 EXE 应用 Windows Server 2003 (Service Pack 1) 兼容性模式并再试一次。8.如果应用程序成功(chnggng)启动，则遍历通常用于测试 Windows Server 2003 (Service Pack 1) 上的应用程序的整套测试。验证应用程序的功能并确认应用程序运行正常。如果所有主要功能均通过测试，则转至步骤 10。9.如果(rgu)应用程序安装和启动不成功、崩溃、出现错误或未通过主要功能测试，则可能是一小部分应用程序受到 Windows Serv

11、er 2008变更的影响。10.该方案(fng n)完成。 各种( zhn)服务的搭建1. DNS 服务(fw)出现DNS解析故障(gzhng)最大的症状就是访问站点对应的IP地址没有问题，然而访问他的域名就会出现错误。解决DNS解析故障：计算机出现了DNS解析故障后不要着急，解决的方法也很简单(1) 用nslookup来判断是否真的是DNS解析故障第一步：通过“开始-运行-输入CMD”后回车进入命令行模式。第二步：输入nslookup命令后回车，将进入DNS解析查询界面。第三步：命令行窗口中会显示出当前系统所使用的DNS服务器地址，例如DNS服务器IP为0。第四步：接下来输入无法访问的站点对

12、应的域名。例如输入，假如不能访问，那么DNS解析应该是不能够正常进行的。我们会收到DNS request timed out，timeout was 2 seconds的提示信息。这说明我们的计算机确实出现了DNS解析故障。小提示：如果DNS解析正常的话，会反馈回正确的IP地址，例如用这个地址进行查询解析，会得到name:，addresses：03,04的信息。(2) 查询DNS服务器工作是否正常这时候就要看看自己计算机使用的DNS地址是多少了，并且查询他的运行情况。第一步：通过“开始-运行-输入CMD”后回车进入命令行模式。第二步：输入ipconfig /all命令来查询网络参数。第三步：在

13、ipconfig /all显示信息中我们能够看到一个地方写着DNS SERVERS，这个就是我们的DNS服务器地址(dzh)。例如是0和51。从这个地址可以看出是个外网地址，如果使用外网DNS出现解析错误时，我们可以更换一个其他的DNS服务器地址即可解决问题。第四步：如果在DNS服务器处显示的是公司的内部网络地址，那么说明公司的DNS解析工作是交给公司内部的DNS服务器来完成的，这时需要检查这个DNS服务器，在DNS服务器上进行nslookup操作看是否可以正常解析。解决(jiju)DNS服务器上的DNS服务故障，一般来说问题也能够解决。(3) 清除(qngch)DNS缓存信息法当计算机对域名

14、访问时并不是每次访问都需要向DNS服务器寻求帮助的，一般来说当解析工作完成一次后，该解析条目会保存在计算机的DNS缓存列表中，如果这时DNS解析出现更改变动的话，由于DNS缓存列表信息没有改变，在计算机对该域名访问时仍然不会连接DNS服务器获取最新解析信息，会根据自己计算机上保存的缓存对应关系来解析，这样就会出现DNS解析故障。这时应该通过清除DNS缓存的命令来解决故障。第一步：通过“开始-运行-输入CMD”进入命令行模式。第二步：在命令行模式中我们可以看到在ipconfig /?中有一个名为/flushdns的参数，这个就是清除DNS缓存信息的命令。第三步：执行ipconfig /flush

15、dns命令，当出现“successfully flushed the dns resolver cache”的提示时就说明当前计算机的缓存信息已经被成功清除。第四步：接下来我们再访问域名时，就会到DNS服务器上获取最新解析地址，再也不会出现因为以前的缓存造成解析错误故障了。DHCP 服务登录目标服务器，开“服务器管理器”：图 3-1 登录(dn l)目标服务器添加(tin ji)角色：图 3-2 添加(tin ji)服务器角色选择DHCP服务器：图 3-3 选择(xunz)DHCP服务器Web服务(fw)在Windows Server 2008中，IIS角色(ju s)作为可选组件。默认安装的

16、情况下，Windows Server 2008不安装IIS。为了能够清晰地说明问题，本章讲解内容建立在Web服务器只向局域网提供服务的基础之上。 3.1 安装IIS启动Windows Server 2008时系统默认会启动“初始配置任务”窗口，如图3-4所示，帮助管理员完成新服务器的安装和初始化配置。如果没有启动该窗口，可以通过“开始-管理工具-服务器管理器”，打开服务器管理器窗口。图 3-4 安装(nzhung)IIS点击(din j)“添加(tin ji)角色”，打开“添加角色向导”的第一步“选择服务器角色”窗口，选择“Web服务器IIS”复选框，如图3-5所示。图 3-5 添加服务器角色

17、单击“下一步”按钮，显示如图“3-6”所示“Web服务器(IIS)”对话框，列出了Web服务器的简要介绍及注意事项。图 3-6 Web服务器的简要(jinyo)介绍及注意事项单击“下一步(y b)”按钮，显示(xinsh)如图3-7所示“选择角色服务”对话框，列出了Web服务器所包含的所有组件，用户可以手动选择。此处需要注意的是，“应用程序开发”角色服务中的几项尽量都选中，这样配置的Web服务器将可以支持相应技术开发的Web应用程序。FTP服务器选项是配置FTP服务器需要安装的组件。图 3-7 选择(xunz)角色服务单击“下一步(y b)”按钮，显示(xinsh)如图“3-8”所示“确认安装

18、选择”对话框。列出了前面选择的角色服务和功能，以供核对。图 3-8 确认安装选择单击“安装”按钮，即可开始安装Web服务器。安装完成后，显示 “安装结果”对话框。单击“关闭”按钮，Web服务器安装完成。 企业网的安全(nqun)配置路由器的配置(pizh) 作为企业(qy)局域网与外部Internet互联网络连接的第一关，路由器的配置是很重要的，既要保证网络的畅通，也不能忽略网络的安全性而只取其一（我们所使用的是Cisco 2514路由器），因此，除了对路由器与Internet外网连接配置外，我们对路由器还采用了如下安全配置：(1) 路由器网络服务安全配置a、禁止CDP(Cisco Disco

19、very Protocol)。Router(Config)#no cdp run Router(Config-if)# no cdp enableb、禁止其他的TCP、UDP Small服务。Router(Config)# no service tcp-small-serversRouter(Config)# no service udp-small-servers c、禁止Finger服务。Router(Config)# no ip fingerRouter(Config)# no service fingerd、禁止HTTP服务。 Router(Config)# no ip http se

20、rver 启用了HTTP服务则需要对其进行安全配置：设置用户名和密码，采用访问列表进行控制。 e、禁止BOOTP服务。Router(Config)# no ip bootp server f、禁止(jnzh)IP Source Routing。Router(Config)# no ip source-route g、禁止(jnzh)IP Directed Broadcast。Router(Config)# no ip directed-broadcast h、禁止(jnzh)IP Classless。Router(Config)# no ip classless i、禁止ICMP协议的IP U

21、nreachables, Redirects, Mask Replies。Router(Config-if)# no ip unreacheablesRouter(Config-if)# no ip redirectsRouter(Config-if)# no ip mask-reply j、明确禁止不使用的端口。Router(Config)# interface eth0/3Router(Config)# shutdown(2) 路由器路由协议安全配置 a、启用IP Unicast Reverse-Path Verification。它能够检查源IP地址的准确性，从而可以防止一定的IP Sp

22、ooling。b、配置uRPF。uRPF有三种方式，strict方式、ACL方式和loose方式。在接入路由器上实施时，对于通过单链路接入网络的用户，建议采用strict方式；对于通过多条链路接入到网络的用户，可以采用ACL方式和loose方式。在出口路由器上实施时，采用loose方式。Strict方式：Router# config t！启用CEFRouter(Config)# ip cef！启用Unicast Reverse-Path VerificationRouter(Config)# interface eth0/1Router(Config-if)# ip verify unicas

23、t reverse-path ACL方式：interface pos1/0ip verify unicast reverse-path 190access-list 190 permit ip customer network customer network mask anyaccess-list 190 deny ip any any log 这个功能检查每一个经过(jnggu)路由器的数据包的源地址，若是不符合ACL的，路由器将丢弃该数据包。Loose方式(fngsh)：interface pos 1/0ip ver unicast source reachable-via any这个功

24、能检查每一个经过路由器的数据包，在路由器的路由表中若没有该数据包源IP地址的路由，路由器将丢弃(diq)该数据包。2 启用OSPF路由协议的认证。默认的OSPF认证密码是明文传输的，建议启用MD5认证。并设置一定强度密钥(key,相对的路由器必须有相同的Key)。 c、RIP协议的认证。只有RIP-V2支持，RIP-1不支持。建议启用RIP-V2。并且采用MD5认证。普通认证同样是明文传输的。 d、启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口。建议对于不需要路由的端口，启用passive-interface。但是，在RIP协议是只是禁止转发路由信息，并没

25、有禁止接收。在OSPF协议中是禁止转发和接收路由信息。 e、启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流。如：Router(Config)# access-list 10 deny Router(Config)# access-list 10 permit any ！禁止路由器接收更新网络的路由信息Router(Config)# router ospf 100Router(Config-router)# distribute-list 10 in！禁止路由器转发传播网络的路由信息Router(Config)# router ospf 100Router(Config-route

26、r)# distribute-list 10 out(3) 路由器其他(qt)安全配置 a、IP欺骗(qpin)简单防护。如过滤非公有地址访问内部网络。过滤自己内部网络地址；回环地址(/8)；RFC1918私有(syu)地址；DHCP自定义地址(/16)；科学文档作者测试用地址(/24)；不用的组播地址(/4)；SUN公司的古老的测试地址(/24;/23)；全网络地址(/8)。Router(Config)# access-list 100 deny ip 55 any Router(Config)# access-list 100 deny ip any Router(Config)# acc

27、ess-list 100 deny ip 55 any Router(Config)# access-list 100 deny ip 55 any Router(Config)# access-list 100 deny ip 55 any Router(Config)# access-list 100 deny ip anyRouter(Config)# access-list 100 deny ip 55 any Router(Config)# access-list 100 deny ip 55 any Router(Config)# access-list 100 deny ip 5

28、5 any Router(Config)# access-list 100 deny ip 55 any Router(Config)# access-list 100 permit ip any anyRouter(Config-if)# ip access-group 100 in b、采用访问列表控制流出内部网络的地址必须是属于内部网络的。Router(Config)# no access-list 101Router(Config)# access-list 101 permit ip anyRouter(Config)# access-list 101 deny ip any any

29、 Router(Config)# interface eth 0/1Router(Config-if)# description “internet Ethernet”Router(Config-if)# ip address Router(Config-if)# ip access-group 101 in防火墙的配置(pizh) 网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信(tng xn

30、)是否被允许，并监视网络运行状态。(1) 防火墙的基本配置(pizh)原则防火墙的配置过程中需坚持以下三个基本原则： a、简单实用 b、全面深入 c、内外兼顾 (2) 防火墙的基本配置 a、用一条防火墙自带的串行电缆从笔记本电脑的COM口连到Cisco PIX 525防火墙的console口； b、开启所连电脑和防火墙的电源，进入Windows系统自带的超级终端，通讯参数可按系统默认。进入防火墙初始化配置，在其中主要设置有：Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等，完成后也就建立了一个初始化

31、设置了。此时的提示符为：pix255。 c、修改此特权用户模式密码。 命令(mng lng)格式为：enable password * encrypted，这个密码必须(bx)大于16位。Encrypted选项是确定所加密码是否需要加密。 d、激活(j hu)以太端口必须用enable进入，然后进入configure模式PIX525enablePassword:PIX525#config tPIX525(config)#interface ethernet0 autoPIX525(config)#interface ethernet1 auto在默认情况下ethernet0是属外部网卡outs

32、ide, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了，但是outside必须命令配置激活。 e、命名端口与安全级别采用命令nameifPIX525(config)#nameif ethernet0 outside security0PIX525(config)#nameif ethernet0 outside security100security0是外部端口outside的安全级别（0安全级别最高）security100是内部端口inside的安全级别,如果中间还有以太口，则security10，security20等等命名，多个网卡组

33、成多个网络，一般情况下增加一个以太口作为DMZ(Demilitarized Zones非武装区域)。 f、配置以太端口IP 地址采用命令为：ip address内部网络为： 外部网络为： PIX525(config)#ip address inside PIX525(config)#ip address outside g、配置远程访问telnet在默认情况下，PIX的以太端口是不允许(ynx)telnet的，这一点与路由器有区别。Inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。PIX525(config)#telnet insidePIX525(conf

34、ig)#telnet outside测试(csh)telnet在开始(kish)-运行telnet PIX passwd:输入密码：* h、访问列表(access-list)访问列表也是Firewall的主要部分，有permit和deny两个功能，网络协议一般有IP|TCP|UDP|ICMP等等，允许访问主机:54的www,端口为：80PIX525(config)#access-list 100 permit ip any host 54 eq wwwPIX525(config)#access-list 100 deny ip any anyPIX525(config)#access-grou

35、p 100 in interface outside i、地址转换（NAT）和端口转换(PAT)NAT跟路由器基本是一样的，首先必须定义IP Pool，提供给内部IP地址转换的地址段，接着定义内部网段。PIX525(config)#global (outside) 1 00-00 netmask PIX525(config)#nat (outside) 1 外部地址是很有限的，主机必须单独占用一个IP地址，解决公用一个外部IP(01),则必须配置PAT，这样就能解决更多用户同时共享一个IP,有点像代理服务器一样的功能。配置如下：PIX525(config)#global (outside) 1

36、 00-00 netmask PIX525(config)#global (outside) 1 01 netmask PIX525(config)#nat (outside) 1 j、DHCP Server在内部网络，为了维护的集中管理和充分利用有限(yuxin)IP地址，都会启用动态主机分配IP地址服务器（DHCP Server），Cisco Firewall PIX都具有这种功能，下面配置DHCP Server,地址段为0055DNS: 主 备8主域名(y mn)称：DHCP Client 通过(tnggu)PIX FirewallPIX525(config)#ip address dh

37、cpDHCP Server配置PIX525(config)#dhcp address 0055 insidePIX525(config)#dhcp dns 8PIX525(config)#dhcp domain k、静态端口重定向(Port Redirection with Statics) 端口重定向的功能，允许外部用户通过一个特殊的IP地址/端口通过防火墙传输到内部指定的内部服务器。其中重定向后的地址可以是单一外部地址、共享的外部地址转换端口（PAT），或者是共享的外部端口。这种方式并不是直接与内部服务器连接，而是通过端口重定向连接的，所以可使内部服务器很安全。命令格式有两种，分别适用于I

38、P包和TCP/UDP通信： static(internal_if_name, external_if_name)global_ip|interfacelocal_ipnetmask mask max_conns emb_limitnorandomseq static (internal_if_name, external_if_name) tcp|udpglobal_ip|interface global_port local_ip local_port netmask mask max_conns emb_limit norandomseq此命令中的以上各参数解释如下：internal_if

39、_name：内部接口名称；external_if_name：外部接口名称；tcp|udp：选择(xunz)通信协议(xiy)类型；global_ip|interface：重定向后的外部IP地址或共享端口；local_ip：本地IP地址；netmask mask：本地子网掩码；max_conns：允许的最大TCP连接数，默认为0，即不限制(xinzh)；emb_limit：允许从此端口发起的连接数，默认也为0，即不限制；norandomseq：不对数据包排序，此参数通常不用选。 我们具体实施如下 外部用户向9的主机发出Telnet请求时，重定向到。 外部用户向9的主机发出FTP请求时，重定向到。 外部用户向08的端口发出Telnet请求时，重定向到。 外部用户向防火墙的外部地址16发出Telnet请求时，重定向到。 外部用户向防火墙的外部地址16发出HTTP请求时，重定向到。 外部用户向防火墙的外部地址08的8080端口发出HTTP请求时，重定向到的80号端口。 以上重定向过程要求如图4-1所示，防火墙的内部端口IP地址为，外部端口地址为16。图 4-1 防火墙内部(nib)端口的IP地址以上各项重定向要求对应(duyng)