网络安全加固

网络安全加固技术分析发表时间：2021-4-29童永清余望来源：万方数据关键字：网络安全加固技术信息化调查找茬投稿收藏评论好文推荐打印社区分享各种安全防范措施就好比是一块块木板，这些木板集成在一起构成一个木桶，这个木桶中承载着的水就好比网络中运行的各种业务。各种业务能否安全、稳定地运转取决于两点：一是最矮木板的高度，二是各块木板之间是否存在缝隙。为了使木桶中的水能承载得更多、更持久，我们需要对木桶进行安全加固，一方面提高最矮木板的高度，一方面消除木板间的缝隙。以下从网络边界、服务器、内网等几个方面介绍网络安全加固的一些原则和措施。

目前，企业和机构的网络面临着各种安全威胁，如黑客攻击、恶意软件、信息泄露、拒绝服务、内部破坏。相应地，我们采取了．许多防范措施，如安装防火墙和杀毒软件、进行信息加密和访问控制、采用扫描技术和入侵检测技术。各种网络安全防御措施不是孤立的，而是作为一个整体为一个网络提供安全保障。各种安全防范措施就好比是一块块木板，这些木板集成在一起构成一个木桶，这个木桶中承载着的水就好比网络中运行的各种业务。

各种业务能否安全、稳定地运转取决于两点：一是最矮木板的高度，二是各块木板之间是否存在缝隙。为了使木桶中的水能承载得更多、更持久，我们需要对木桶进行安全加固，一方面提高最矮木板的高度，一方面消除木板间的缝隙。以下从网络边界、服务器、内网等几个方面介绍网络安全加固的一些原则和措施。

1网络边界安全加固

路由器作为网络边界最重要的设备，也是进入内网的第一道防线。边界路由器的安全缺陷来源于操作系统，路由协议、硬件、配置。路由器上运行的操作系统通常存在安全隐患，主要表现为远程溢出漏洞和默认开放的服务。除了及时F载补丁修复漏洞外，路由器操作系统默认开放的许多服务通常存任着安全风险，加固的方法是根据最小特权原则关闭不需要的服务，同时对用户和进程赋予完成任务所需的最小权限。一些路由协议，如RIP，对收到的路由信息不进行任何校验和认证，由此能造成网络拓扑信息泄露或因收到恶意路由而导致网络瘫痪。对此需要添加认证，确保通信对象是可信的。CDP协议(CiscoDiscoveryProtocal)会造成路由器操作系统版本等信息的泄露，一般应予以关闭。路由器硬件可能因发生故障或受到恶意攻击而停机，为此需要进行备份。

加固边界路由器最重要的方法是进行安全配置，建立合适的访问控制表(ACL)。ACL(AccessControlList)规定哪些IP地址和协议可以通过边界路由器，而哪些被阻止，由此确保流量安全进出网络。定制访问控制表通常应遵守这样的原则：流量如果不被明确允许，就应该被拒绝。假设某组织的网络通过一个Cisco路由器连入互联网，下面为该组织定制一个ACL：

首先拒绝所有向内传输而源地址是内部IP的流量，以防止利用内部地址进行IP欺骗：

denyip192．168．1．0/24any

接着允许向内传输的已建立TCP连接的流量进入内网，确保正常通信：

路由器通过包过滤提供了一定的防护措施，但它不能根据状态对流过的数据包进行检查。基于状态的防火墙可以满是这一要求，但其本身存在一些不足和缺陷，如防火墙不能防范不经由它的攻击、不能解决来自内部的攻击、不能防止利用服务器漏涧进行的攻击、不能阻止病毒和蠕虫文件的传输。为此，通过合理建设网络，制定并执行安全规定，确保所有流入和流出的流量都经过边界防火墙。同时，边界防火墙需要与其他防护措施协同工作，如通过强化内网特别是服务器的安全来减少安全威胁，提供日志等信息给入侵检测系统以帮助其检测攻击行为。

边界防火墙通常放置在边界路由器和交换机之间，是网络边界的重要组成部分。与路由器一样，其策略配置非常关键。由于各组织机构网络和业务需求的不同，防火墙的配置策略也有较大的差别。对于防火墙的安全配置，可以遵循以下几项原则：(1)区别流入和流出流量，分别制定策略；(2)只有开放服务所需要的端口才开放，其他端口一律关闭；(3)频繁执行的策略放置在前，较少执行的策略放置在后，以此提高过滤效率；(4)根据病毒警告临时性地关闭某些端口；(5)若业务需要启用防火墙的DMZ(非军事化区)功能，将服务器放置在DMZ中。2服务器安全加固

网络中各种服务器，如Web服务器、FTP服务器、E—mail服务器，是黑客攻击的重点目标，其安全性至关重要。虽然通过路由器的包过滤和防火墙的访问控制，大大增强了安全性。但黑客还可以利用服务器的漏洞或配置错误进行攻击，以图获取系统控制权或实现拒绝服务。

这里以IISWeb服务器为例介绍Web服务器的一些加固措施。微软的IIS由于其功能强大、简单易用，是当前Windows平台上最常用的Web服务器之一。但IISWeb服务器存在着许多致命的漏洞。常用的加固措施有：

(1)删除无效的映射。在默认情况下，IIS会自动创建多种应用程序的映射关系。这些应用程序映射大多没有任何作用，而其中许多却存在安全漏洞，极易被攻击者利用。

(2)取消匿名访问和进行内容分级。IIS默认情况下允许匿名访问，这往往给攻击者带来便利。为降低服务器受到攻击的风险，限制对服务器的访问非常重要。最好能对访问的用户进行身份认证。为了阻止用户随意查看站点的所有内容，可以启用内容分级功能。

(3)使用SSL加密通信。通常状态下，HTTP协议以明文的方式传输信息，攻击者通过使用嗅探器可以轻易地截获传输的账号和密码。为了防止嗅探，可以对IIS服务器进行SSL加密验证，保证传输内容的机密性。

(4)使用安全工具进行加固。除了及时安装补丁修补漏洞外，还可以使用专门的工具对IIS进行安全加固。如安全工具IISLockTool，它可以帮助网管员设置IIS的安全属性、关闭一些不必要的服务、阻止一些已知的攻击。又如工具URLScan，它可以自动过滤不合法的访问请求。许多攻击酃是通过精心构造URL请求来实现的，通过使用URLScan，可以大大减小攻击的成功率。

3内网安全加固

据统计，安全威胁的70％来自于内部，包括末授权的访问、有意或无意而留下的安全漏洞和信息泄露、内部人员的恶意攻击。因此，有必要加强内部网络的安全，可以重点针对以下几个方面进行安全加固：主机的脆弱性、攻击类型、人员安全意识和行为习惯。

内网安全加同通常有两种方式，一是购买专门的安全加固软件，二是利用主机提供的安全配置功能。Windows下内网专用安全加同软件可以对用户操作权限和访问权限进行细化和控制，监测主机和网络资源的使用，阻断一些常见的内网攻击行为，提供详细的安全日志和审计功能。Unix平台下有EntrustACX软件，它可以将C2安全级的Solaris、HPUX提升到B安全级。

这里以WindoWS2021/XP为例，介绍几项针对主机脆弱性的安全加固措施：(1)禁用或删除不必要的服务，启用与安全有关的服务。例如，关闭威胁性较大的TerminalServices服务，保汪EventLog、SecurityAccountsManager等服务开启。(2)加强账户安全。如将Administrator账户的权限设置为最低，而配以一个非常复杂的密码，扰乱入侵者的攻击；禁止枚举用户名；设置密码策略加强口令安全。(3)关闭NetBl0S服务，取消默认共享。一些低级的攻击往往利用NetBIOS服务和默认共享进行。(4)设置审计策略。安全审计是一个安全网络必须支持的功能特性。审计信息对于确定问题和攻击行为非常有用，可以作为事故处理的重要依据，还可为网络犯罪或泄密提供证据。(5)修改注册表项防范针对TCP/IP协议弱点的攻击。如为了抵御SYN攻击，可以将注册表中HKEY—LOCAL—MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters下键SynAttackProtect的值设置为2。

近年来，以广告软件、间谍软件、僵尸程序、木马为代表的恶意软件大肆对主三机进行攻击。为此需要安装并及时更新防恶意软件的软件，如360安全卫士。同时，内网中的每台主机必须安装防火墙和杀毒软件。

网络中的许多安全威胁和漏洞是因为工作人员安全意识淡薄和不执行安全规程造成的。为此，需要根据机构网络和业务特点修改现有规程或重新制定符合实际需要的安全规程，征制定前先取得管理层的支持，在制定过程中积极征求工作人员的意见。在安全规程实施前，对工作人员进行安全培圳，以提高其安全意识和安全操作技能。内网安全的加固除了技术手段予以保证外，很重要的一点是制度的建立和执行。

4安全扫描和模拟攻击

对网络进行安全加固的另一个重要途径是进行安全扫描和模拟攻击。安全扫描包括端口扣描和漏洞扫描，前者主要用于探测主机开放的