企业网络安全策略

企业网络安全结构一、 应用程序安全二、 操作系统（服务器）安全三、 网络设备（路由器、交换机）安全（一） 网络设备（路由器、交换机）的安全隐患弱口令IOS自身漏洞非授权用户可以随意管理设备CDP协议造成信息的泄露（二） 操作系统的安全隐患WINDOWS系统未及时安装补丁开启了不必要的服务管理员口令设置过于简单默认共享漏洞LINUX系统账号与口令安全NFS文件系统漏洞作为ROOT身份运行程序安全（三） 应用程序的安全隐患WEB服务IIS5.0超长文件名请求存在漏洞其他漏洞邮件服务垃圾邮件邮件附件中的病毒数据库SA账号为空（四） 企业网络面临的其他威胁病毒蠕虫木马冰河灰鸽子来自企业内部的攻击对企业不满的员工对安全不了解的员工网络安全解决方案（六个方面）网络设备服务器操作系统安全应用程序安全防火墙IDS网络防病毒体系路由器、交换机的安全管理及时升级IOS安全配置ROUTER(CONFIG)#LINEVTY04ROUTER(CONFIG-LINE)#LOGINROUTER(CONFIG-LINE)#PASSWORDAAAROUTER(CONFIG-LINE)#EXEC-TIMEOUT10ROUTER(CONFIG)#LINECONSOLE0ROUTER(CONFIG-LINE)#TRANSPORTINPUTNONEROUTER(CONFIG-LINE)#PASSWORDAAAROUTER(CONFIG)#LINEAUX0ROUTER(CONFIG-CONFIG)#TRANSPORTINPUTNONEROUTER(CONFIG-CONFIG)#NOEXECROUTER(CONFIG)#SERVICEPASSWORD-ENCRYPTIONROUTER(CONFIG)#ENABLESECRETAAAROUTER(CONFIG)#NOIPHTTPSERVER关闭路由器的WEB管理端口)ROUTER(CONFIG)#ACCESS-LIST101DENYICMPANYHOSTECHOROUTER(CONFIG)#ACCESS-LIST101PERMITIPANYANYROUTER(CONFIG-IF)#IPACCESS-GROUP101IN(利用ACL禁止PING路由器外部端口)ROUTER(CONFIG)#NOCDPRUN(关闭路由器上的全部端口的CDP协议)ROUTER(CONFIG-IF)#NOCDPENABLE(关闭路由器上的某个端口的CDP协议)ROUTER(CONFIG)#NOIPDOMAIN-LOOKUPROUTER(CONFIG)#NOIPBOOTPSERVERROUTER(CONFIG)#NOSNMP-SERVERROUTER(CONFIG)#NOSNMP-SERVERCOMMUNITYPUBLICROROUTER(CONFIG)#NOSNMP-SERVERCOMMUNITYADMINRW(禁止路由器上不必要的服务)操作系统的安全设置（一）WINDOWS系统的安全设置禁止不必要系统服务端口REMOTEREGISTRYSERVICEMESSENGERFTPWEBNETBIOSTELNET设置本地安全策略打开审计策略本地安全策略-本地策略-审核策略-审核登录事件本地安全策略-本地策略-审核策略-审核帐户登录事件本地安全策略-本地策略-审核策略-审核对象访问重命名管理员帐户本地安全策略-本地策略-安全选项-登录时不显示用户名本地安全策略-本地策略-安全选项-设置帐户密码策略本地安全策略-帐户策略-密码策略-设置帐户锁定策略本地安全策略-帐户策略-帐户锁定策略本地安全策略更改后运行命令：GPUPDATE/FORCE使之生效文件系统采用NTFS，重要文件夹启用审核策略禁止建立空连接HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous=1关闭默认磁盘共享HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver\parameters\AutoShareServer\REG_DWORD=0x0关闭默认ADMIN共享HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver\parameters\AutoShareWks\REG_DWORD=0x0（二）LINUX系统安全设置1.使用GRUB口令，避免用户绕过ROOT口令登录系统编辑/boot/grub/grub.conf,加入password=即可2册。除所有不必要的用户账号：lp,shutdown,halt,news,uucp,operator,games,gopher等#userdellp#groupdellp修改默认ROOT密码长度（默认为5位，建议修改为8位）编辑/etc/pam.d/system-authpasswordrequiredpam_cracklib.soretry=3minlen=8difok=3passwordrequiredpam_unix.somd5use_authtok打开密码shadow支持功能#chattr+i/etc/shadow（即使root用户也无法修改用户密码）#chattr+i/etc/shadow5..取消所有不必要的服务telnet,http等默认启动的服务关闭telnet，编辑/etc/inetd.d/telnet,修改disable=no为disable=yes重新启动系统超级守护进程servicexinetdrestart修改/etc/xinetd.conf的权限为600，只允许root来读写该文件chmod600/etc/xinetd.conf查看系统中已安装的服务ll/etc/xinetd.d查看系统启动的服务netstat-ntl屏蔽系统信息rm/etc/issuerm/etc/禁用ctrl+alt+del关闭系统编辑/etc/inittab将ca::ctrlaltdel:/sbin/shutdown-t3-rnow改为ca::ctrlaltdel:/sbin/shutdown-t3-rnow不允许root用户从不同的控制台进行登录编辑/etc/securetty，在不需要登录的TTY设备前加#使用SSH进行远程连接ssh-lroot00使用SSH客户端软件连接LINUX禁止普通用户通过SU命令变为ROOT用户编辑/etc/pam.d/su加入以下内容authsufficient/lib/security/pam_rootok.sodebugauthrequired/lib/security/pam_wheel.sogroup=wheelwheel为系统隐含的组，只有加入改组的用户才能用SU命令改为ROOT用户例:#gpasswd-azhang3wheel配置防火墙iptables保持最新的系统内