课件分析课件3

1、ISP 的职责在小型企业或 ISP 工作 第 8 章目标描述 ISP 安全策略和规程。描述 ISP 在实施安全保护时使用的工具。描述 ISP 的监控和管理。描述 ISP 在维护和恢复方面的职责。内容8.1 ISP 在安全方面的考虑因素8.2 安全工具8.3 监控和管理 ISP8.4 备份和灾难恢复8.1 ISP 在安全方面的考虑因素8.1.1 ISP 安全计算机上任何活动的 Internet 连接都有可能让计算机成为恶意活动的攻击目标。如果 ISP 托管着 Web 或电子商务网站，可能会将含有财务数据或银行帐户信息的机密文件存储在其服务器上。ISP 的安全服务还保护着位于服务提供商所在地的服务

2、器。服务提供商经常需要帮助客户保护其本地网络和工作站，以降低安全风险。8.1.1 ISP 安全为避免成为攻击的目标，许多 ISP 为客户提供管理型桌面安全服务。现场支持技术人员的一项重要工作便是在客户端计算机上采取最佳安全做法。ISP 支持技术人员可以提供的部分安全服务包括：帮助客户端设置安全的设备密码通过补丁管理和软件升级保护应用程序删除可能形成漏洞的多余应用程序和服务确保应用程序和服务仅供必要的用户使用配置桌面防火墙和病毒检查软件对软件和服务执行安全扫描，确定技术人员必须保护的安全漏洞。8.1.2 最佳安全作法常用的数据安全功能和规程包括：加密服务器硬盘中存储的数据设置权限，限制对文件和文

3、件夹的访问根据用户帐户或用户组成员资格允许或拒绝访问如果允许访问，则根据用户帐户或用户组成员资格分配不同的权限级别在分配访问文件和文件夹的权限时，最佳安全做法是遵循最小权限的原则。8.1.2 最佳安全作法身份认证、授权和记帐 (AAA) 是网络管理员为提高对攻击者入侵网络的防范能力而采取的三步式措施。身份认证：要求用户提供用户名和密码以验明其身份。授权：为用户分配使用特定资源和执行特定任务的权限。记帐：记录使用的应用程序及其使用时间。AAA 可用于不同类型的网络连接，它需要一个数据库来记录用户证书、权限和帐户统计数据。本地身份认证是 AAA 最简单的形式，它在网关路由器上保留本地数据库。如果某

4、组织有大量用户要使用 AAA 进行身份认证，则必须在单独的服务器上保留一个数据库。8.1.3 数据加密默认情况下，通过网络发送的数据未经保护，是明文传输的。非授权的个人可以在传输未经保护的数据时加以拦截，这样便可以避开为数据设置的所有文件系统安全措施。数字加密是对客户端与服务器之间所有传输的数据进行加密的一个过程。在两台计算机之间交换机密信息时，最佳做法是使用安全版本的协议。在用户必须提交信用卡或银行帐户等信息时，必须使用安全协议。使用 Internet 和查看供人们公开访问的网站时，则不需要保护传输的数据，否则，仅仅增加了计算开销。8.1.3 数据加密有许多网络协议可供应用程序使用。有些协议

5、具有安全版本，有些则没有。实验操作 保护本地数据和传输的数据.pdf8.2 安全工具DoS （标准的拒绝服务）攻击是指服务器或服务受到攻击而导致合法用户无法使用服务。标准 DoS 攻击的部分示例包括 SYN 泛洪攻击、ping 泛洪、LAND 攻击、带宽消耗攻击和缓冲区溢出攻击。DDoS（分布式拒绝服务）攻击是指使用多台计算机攻击一个特定的目标。在 DDoS 攻击中，攻击者对许多台受到入侵的计算机系统（通常是 Internet 上的计算机系统）拥有权限，从而可以远程发动攻击。DDoS 攻击的性质通常与标准 DoS 攻击的性质相同，但 DDoS 攻击是同时从多个计算机系统上发出的。DRDoS（分

6、布式反射拒绝服务）攻击是指攻击者发送欺骗性或虚假请求到 Internet 上的许多计算机系统，并将请求的源地址修改为目标计算机系统。接收请求的计算机系统将会作出响应。当计算机系统响应请求时，所有这些请求都会导向同一目标计算机系统。攻击的反射特性使得攻击的来源非常难以确认。8.2.1 访问列表和端口过滤尽管使用了 AAA 和加密，但 ISP 仍然必须防范许多不同类型的攻击。目前有三种主要的拒绝服务攻击。8.2.1 访问列表和端口过滤端口过滤是根据特定的 TCP 或 UDP 端口控制通信流量。许多服务器操作系统具有通过端口过滤限制访问的选项。这样，服务器既可以提供所需服务，又可以受到保护。网络路由

7、器和交换机也可以利用端口过滤来控制通信流量和保护对设备的访问。ISP 必须能够过滤可能损害 ISP 网络或服务器运营的网络流量。实验操作 规划访问列表和端口过滤.pdf8.2.1 访问列表和端口过滤访问列表用来根据源和（或）目的 IP 地址确定允许或拒绝通过网络的通信，也可以允许或拒绝所用协议的源和（或）目的端口上的通信。管理员在网络设备（如路由器）上创建访问列表，以控制是转发通信还是作出拦截。访问列表只是第一条防线，还不足以保护网络安全。它只能禁止访问网络，而不能帮助网络防范各种类型的恶意攻击。ISP 必须能够过滤可能损害 ISP 网络或服务器运营的网络流量。PDF 8.2.2 防火墙防火墙

8、是一种网络硬件或软件，用于定义可以进出网络特定区域的通信以及处理通信的方式。访问列表是防火墙使用的工具之一。防火墙的访问列表可能非常复杂。防火墙使用访问列表来控制允许通过或需要拦截的流量，并随着新功能的开发和新威胁的涌现而不断演变。 不同的防火墙具有不同的功能。动态数据包过滤防火墙或状态防火墙将跟踪源设备与目的设备之间的通信过程。防火墙的功能越多，处理数据包所需的时间就越长。8.2.2 防火墙防火墙可以为整个网络以及内部本地网段（如服务器群）提供边界安全。防火墙还控制着可以进入受保护的本地网络的通信类型。某些组织可以选择实施内部防火墙来保护敏感区域。PT 规划基于网络的防火墙.pka8.2.3

9、 IDS and IPSIDS（入侵检测系统）是一种基于软件或硬件的解决方案，它被动地监听网络通信。网络通信并非直接流过 IDS 设备，IDS 通过网络接口监控通信。当它检测到恶意通信时，就会发送警报到预配置的管理站。IPS（入侵防御系统）则是一种主动式物理设备或软件功能。通信从 IPS 的一个接口进入，从另外一个接口送出。IPS 可检测网络通信中的实际数据包，并实时允许或拒绝想进入网络的数据包。IDS 和 IPS 技术都部署为传感器。IDS 或 IPS 传感器 可以是：使用 IPS 版本 Cisco IOS 配置的路由器专门设计为提供专用 IDS 或 IPS 服务的设备（硬件）安装在自适应安

10、全设备 (ASA)、交换机或路由器中的网络模块8.2.3 IDS and IPSIDS 解决方案在检测入侵时作被动反应。它们根据网络通信或计算机活动的特征码检测入侵。它不会阻止初始通信到达目的地，而是对检测到的活动作出响应。在正常配置下，IDS 在检测到恶意通信时，可以主动重新配置网络设备（例如安全设备或路由器）来拦截其它的恶意通信，但是最初的恶意流量已经通过网络到达预定目的地，而无法拦截。只有后续的流量才会受到拦截。因此，IDS 设备无法阻止某些入侵。处于防火墙之外，用于拦截大多数的恶意流量。处于防火墙之后，用来检测防火墙的不当配置。8.2.3 IDS and IPSIPS 解决方案可主动作

11、出反应，它们可以实时拦截所有可疑的活动。当 IPS 检测到恶意流量时，可以立即予以拦截。然后，IPS 会依照配置发送警报，将入侵的相关信息通知管理站。由于 IPS 可以主动防范攻击，最初及后续的恶意流量都会遭到拦截。IPS 是一种入侵检测设备，而非软件。IPS 检查整个数据包。因此，对于防火墙无法拦截或无法配置为拦截的新攻击，IPS 都可以立即加以拦截。8.2.3 IDS and IPS8.2.4 无线安全在 ISP 提供的服务当中，有时候会包括为客户创建可登录到无线局域网 (WLAN) 的无线热点。无线网络易于实施，但如果配置不正确，便很容易受到攻击。无线信号可以穿透墙壁，因此在企业建筑物之

12、外也可以访问。可以采用以下方法保护无线网络：MAC 地址过滤WEP（有线等效保密）加密无线节点之间发送的数据，应只用于不支持新版无线安全协议的旧设备WPA（Wifi 保护访问）使用临时密钥完整协议 (TKIP)，提供相互身份认证的机制，永远不会传送密钥WPA2（Wifi 保护访问 2 ）使用更安全的“高级加密标准”(AES) 加密技术8.2.4 无线安全PT 在无线路由器上配置 WEP.pka8.2.5 主机安全无论网络中是否存在防护层，服务器若未得到正确的保护，都容易遭受攻击。保护服务器的方法之一是使用基于主机的防火墙。基于主机的防火墙是在主机操作系统上直接运行的软件。它帮助主机防范可能穿透

13、所有其它防护层的恶意攻击。启用基于主机的防火墙时，既要允许访问完成工作任务所需的网络资源，又要防止应用程序给恶意攻击留下漏洞。ISP 使用基于主机的防火墙来限制对服务器上特定服务的访问。使用基于主机的防火墙时，ISP 通过封锁对无关端口的访问来保护服务器及客户的数据。8.2.5 主机安全ISP 服务器利用基于主机的防火墙来防范各种不同类型的攻击和漏洞。已知的攻击可被利用的服务蠕虫和病毒后门和特洛伊木马8.2.5 主机安全除了基于主机的防火墙之外，还可以在主机上安装 Anti-X 软件。Anti-X 软件可以帮助计算机系统防范病毒、蠕虫、间谍软件、恶意软件、网络钓鱼甚至垃圾邮件。必须使用事件管理

14、程序来跟踪所有事件和相应的解决方案，以防病毒感染再次发生。事件管理是 ISP 管理和维护客户数据所必需的程序。实验操作 研究 Anti-X 软件产品.pdf8.3 监控和管理 ISP8.3.1 服务等级协议ISP 和用户通常签订有称为服务等级协议 (SLA) 的合同。该合同上清楚地列明了双方的期望和义务。典型的 SLA 包括以下几部分：服务说明费用跟踪和报告问题管理安全协议的终止服务中断时的赔偿可用性、性能和可靠性SLA 是一个重要的文档，其中清楚地列明了网络的管理、监控和维护等相关条款。实验操作 解释服务等级协议.pdf8.3.2 监控网络链路性能ISP 负责监控和检查设备的连通性，包括属于

15、 ISP 的任务设备，以及位于客户所在地但 ISP 在 SLA 中已经表示同意监控的设备。初始配置时如果设备无法通过网络访问，或者必须对设备进行目视检查，则适合采用带外管理。在管理可以通过网络访问的服务器时，带内管理比带外管理更适合，可全面检查网络的设计等。PT 通过 Wireshark 执行网络捕捉.pdf传统的带内管理协议包括 Telnet、SSH、HTTP 和 SNMP（简单网络管理协议）。8.3.3 选择带内带外工具SNMP 是一种网络管理协议，可让网络管理员收集有关网络及相应设备的数据SNMP 主要包括四部分：管理站装有 SNMP 管理应用程序的计算机，供管理员监控和配置网络。管理代

16、理SNMP 管理的设备上安装的软件管理信息库 (MIB)设备所保留的其自身与网络性能参数相关的数据库。网络管理协议管理站与管理代理之间使用的通信协议。CiscoWorks 等工具中包含 SNMP 管理系统软件。Internet 上有可供下载的 CiscoWorks 免费版本。SNMP 管理代理软件通常内嵌于服务器、路由器和交换机的操作系统中。8.3.3 选择带内带外工具管理站包含供管理员配置网络设备的 SNMP 管理应用程序，还存储着这些设备的有关数据。管理站通过轮询设备来收集信息。轮询是指管理站向代理请求特定信息。代理的任务是响应轮询，向管理站报告信息。当管理站轮询代理时，代理将调用 MIB

17、 中存储的统计信息。代理还可以使用陷阱配置。陷阱是代理中触发警报的事件。代理的特定区域配置了必须保持的阈值或上限，例如可以访问特定端口的流量。如果超过了阈值，代理就会发送警报消息到管理站。这样可以避免管理站不断轮询网络设备。管理站和受管理的设备通过可以访问设备的社区 ID（称为社区字符串）加以标识。 8.3.3 选择带内带外工具维护设备日志并定期核查是网络监控的重要部分。Syslog 是日志系统事件的一项标准。像 SNMP 一样，Syslog 也是一种应用层协议，可让设备发送信息到管理站上安装和运行的 Syslog 守护进程。Syslog 系统由 Syslog 服务器和 Syslog 客户端组

18、成。Syslog 服务器接受和处理来自 Syslog 客户端的日志消息。客户端是受到监控的设备。Syslog 客户端生成日志消息并将其发送到 Syslog 服务器。日志消息通常包含日志消息 ID、消息类型、设备发送消息的时间戳（日期、时间）以及消息文本。根据发送 Syslog 消息的网络设备，Syslog 消息可能还会包含其它项目。8.3.3 选择带内带外工具8.4备份和灾难恢复8.4.1 备份介质果丢失网站中存储的内容，将可能需要数百甚至数千工时来恢复这些数据。在内容恢复期间如果发生停机事故，则造成的业务损失更是无法估量。数据备份非常重要。IT 专业人员的工作是尽力降低丢失数据的风险，同时为

19、丢失的任何数据提供快速恢复的服务。8.4.1 备份介质当 ISP 需要备份其数据时，必须权衡备份解决方案的成本与效率。当今市面上有许多类型的备份介质，包括磁带介质、光存储介质、硬盘介质和固态介质等。备份介质的选择可能是一个复杂的过程，因为影响选择的因素有很多。其中的部分因素包括：数据量介质的价格介质的性能介质的可靠性离站存储的便利性8.4.1 备份介质磁带仍然是最常见的备份介质类型之一。磁带有以下几种类型：数字数据存储 (DDS)数字音频磁带 (DAT)数字线性磁带 (DLT)线性开放磁带 (LTO)光存储介质是少量数据的常见选择。一张 CD 的存储容量为 700MB，DVD 的单面双层光盘最

20、多可以支持 8.5GB，而每张 HD-DVD 和蓝光盘片的容量超过 25GB。ISP 可以使用光存储介质将 Web 内容数据递交给客户。客户也可以使用此介质将网站内容递交给 ISP Web 托管网站。带有内置 CD 或 DVD 驱动器的计算机系统可以轻松访问光存储介质。8.4.1 备份介质基于硬盘的备份系统因其驱动器成本低、容量高而越来越受欢迎。但基于硬盘的备份系统难以实现离站存储。大型磁盘阵列，如直接连接存储 (DAS)、网络连接存储 (NAS) 和存储区域网络 (SAN) 等，都无法移动。基于硬盘的备份系统通常与磁带备份系统结合使用，以利于离站存储。在分级备份解决方案中同时使用硬盘和磁带，

21、既可以在恢复时快速从本地硬盘获取数据，又可拥有长期存档的解决方案。固态存储是指没有任何活动部件的非易失性存储介质。固态介质形式多样，既有邮票大小、只能存储 1GB 数据的小型驱动器，也有路由器大小、可以存储 1000GB (1TB) 数据的封装。固态存储适合于需要快速存储和检索数据的场合。固态数据存储系统的应用包括数据库加速、高清晰视频访问、数据检索和 SANS。高容量固态存储设备的成本很高，但随着技术的不断成熟，价格会越来越低。8.4.2 文件备份方法正常（完全）备份 将复制所有选取的文件，并将每个文件标记为已经备份。选择正常备份时，只需要最新的备份便可恢复所有文件，从而加速和简化恢复过程。

22、完全备份耗时最长。差异备份 只复制自上次完全备份后更改过的文件。在执行下一次完全备份之前，差异备份过程会一直运行。这样可以缩短备份的时间。增量备份 只保存自上次增量备份后创建或更改的文件。增量备份的速度最快，但恢复时间最长。选择备份解决方案之后，必须决定如何执行备份。有三种方法可供选择。8.4.2 文件备份方法备份系统需要定期维护以确保正常运行。确保备份能成功的一些步骤包括：替换介质查看备份日志执行试验性恢复执行驱动器维护实验操作 规划备份解决方案.pdf8.4.3 灾难恢复的最佳做法数据备份是任何灾难恢复计划的重要组成部分。灾难恢复计划是一份综合文档，说明如何快速恢复工作，以及在灾难发生时或

23、发生后如何保持企业的运作。灾难恢复计划的目标是确保企业可以顺利适应灾难引起的物理变化和社会变化。灾难的范围很广，包括影响网络结构的自然灾害和网络本身遇到的恶意攻击等。灾难恢复计划可包括服务可以迁移到的外部位置、网络设备和服务器的切换信息、以及备份连接选项等信息。在制定灾难恢复计划时，必须完全了解对维护营作极关键的一些服务。灾难期间可能需要提供的服务包括：数据库应用服务器系统管理服务器Web数据存储目录106391108.4.3 灾难恢复的最佳做法漏洞评估：应分析评估关键业务流程及相关应用在常见灾难面前的脆弱性。风险评估：还应该分析灾难发生的风险及其给企业带来的相关影响和成本。在评估风险时，应制定一个列表，列出最可能发生的十种灾难及其影响，其中包括企业被完全摧毁的场景。知会管理层：应将分析报告提交给高级管理层，获得他们对灾难恢复项目的批准。为应对灾难而维护的设备和场地的成本可能会很高。因此必须让高级管理层了解灾难可能造成的影响。8.4.3 灾难恢复的最佳做法成立规划小组：应成立一个规划小组负责管理灾难恢复策略和计划的制订与实施。当灾难