今很多企業都建設了企業網並透過各種渠道接入了Internet,企業的運作越來越融人計算機網路,但隨之產生的網路安全問題也日漸明顯地擺在了網路管理員面前。
對於網路管理者來說,網路的安全管理直接關係到企業工作的穩定和正常開展。而企業對安全性的要求有其自身的特殊性,除了傳統意義上的資訊保安以外,還應提高對病毒、惡意攻擊以及物理裝置的安全防範。
本文根據本人在企業任職多年網路管理員的實際,側重談了下如何加強對企業網路的安全管理。主要分別從企業內部網路安全管理與病毒防範、企業伺服器的安全、基於VLAN的企業網路安全部署三個角度作了調查和研究。
一、企業內部網路安全管理與病毒防範
在網路環境下,病毒傳播擴散快,僅用單機版防病毒產品已經很難徹底防範和清除網路病毒,必須有適合於區域網的全方位防病毒產品。
在企業網路中,可以配置一臺高效能的汁算機安裝網路版防毒軟體的控制端,負責管理各終端主機病毒的防治工作,在各使用者主機上安裝網路版防毒軟體的客戶端。透過防毒軟體的控制檯進行定時防毒的設定和自動升級的設定,確保防毒和升級的時效性,使網路具有較強的防病毒能力。
(一)使用和配置防火牆
防火牆是網路的第一道防線,一般安裝在內網與外網的交界處,如各級路由器上。利用防火牆,在網路通訊時執行一種訪問控制尺度,允許防火牆同意訪間的使用者與資料進入自己的內部網路,同時將不允許的使用者與資料拒之門外,最大限度地阻止網路外的駭客訪問自己的網路,防止他們隨意更改、移動甚至刪除網路上的重要資訊。
防火牆是一種行之有效且應用廣泛的網路安全機制,可有效防止Internet上的不安全因素蔓延到企業內部。所以,防火牆是企業網路安全的重要一環。
(二)採用入提檢測系統
入侵檢測系統是一種對網路傳輸進行即時監視,在發現可疑傳輸時發出警報或者採取主動反應措施的網路安全裝置。它與其他網路安全裝置的不同之處在於是一種積極主動的安全防護技術。入侵檢測系統一般要安裝在網路的關鍵點上,如Internet接入路由器之後的第一臺交換機上,在入侵檢測系統中利用審計記錄,入侵檢測系統能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統的安全。
(三)Web, Email的安全監測系統
在網路的WWW伺服器、Email伺服器等環節中使用網路安全監測系統,實時跟蹤、監視網路,截獲Internet網上傳輸的內容,並將其還原成完整的WWW,Email,FTP, Telnet應用的內容,建立儲存相應記錄的資料庫。及時發現在網路上傳輸的非法內容,及時採取有效措施。
(四)漏洞掃描系統
解決網路層安全問題,首先要清楚網路中存在哪些安全隱患、脆弱點。面對企業龐大的網路,僅僅依靠個人的技術和經驗尋找安全漏洞、做出評估.顯然是不現實的。我們可以尋找一種能查詢網路安全漏洞、評估並提出修改建議的網路安全掃描工具,利用最佳化系統配置和安裝安全補丁等多種方式最大可能地彌補最新的安全漏洞和消除安全隱患。可以利用各種駭客工具,定期對網路模擬攻擊從而暴露出網路的漏洞,以便更好地發現和杜絕網路中的安全隱患。
(五)ARP病毒的防禦
ARP是Address Resolution Protocol的縮寫,即地址解析協議,它是一個位於TCP/IP協議棧中的低層協議,負責將某個IP地址解析成對應的MAC地址。它是系統進行通訊的基礎。是以信任為基礎的,如果破壞了這個信任,那就形成ARP欺騙了。區域網經常會受到來自各方面的攻擊,導致不能正常工作,其中ARP攻擊是一個經常發生的攻擊,只要有一臺電腦感染ARP,就可能導致整個區域網都無法上網,嚴重的甚至可能帶來整個網路的癱瘓,這給網路使用者造成了很大的不便,因此瞭解ARP攻擊原理,防禦ARP攻擊是保障企業網路正常工作應該引起重視的一個問題。目前對於ARP攻擊防禦問題出現最多是繫結IP地址和MAC地址或使用ARP防護軟體。
採用繫結IP地址和MAC地址這種方式進行繫結,如果網路中有上百臺計算機,這個工作量是非常大的.所以這種方式不推薦在大型網路中使用,企業內部更適合使用ARP防護軟體,目前ARP防護軟體很多,比較常用的ARP工具軟體主要是360ARP防火牆、AntiARP、彩影ARP防火牆等。可以在這類軟體中繫結IP地址和閘道器,另外這類軟體還會在提示框內出現病毒主機的MAC地址,方便我們快速找到攻擊源,然後進行清除。根據實際網路環境,我們採取相應的防禦方法,還是非常有效的。
(六)使用GHOST軟體備份作業系統
Ghost(是General Hardware Oriented Software Transfer的縮寫譯為“面向通用型硬體系統傳送器”)軟體是美國賽門鐵克公司推出的一款出色的硬碟備份還原工具,可以實現FAT16, FAT32, NTFS,OS2等多種硬碟分割槽格式的分割槽及硬碟的備份還原。該技術的應用有效地解決了計算機系統崩潰,重新安裝作業系統及後續應用程式需要花費大量時間的問題。提供了一種便捷、高效的途徑。
Ghos,的備份還原是以硬碟的扇區為單位進行的,也就是說可以將一個硬碟上的物理資訊完整複製,而不僅僅是資料的簡單複製。Ghost支援將分割槽或硬碟直接備份到一個副檔名為.gho。的檔案裡(賽門鐵克公司把這種檔案稱為映象檔案),也支援直接備份到另一個分割槽或硬碟裡。
網路管理者可以在完成作業系統及各種驅動的安裝後,將常用的軟體(如防毒、媒體播放軟體、office。辦公軟體等)安裝到系統所在盤,接著安裝作業系統和常用軟體的各種升級補丁,然後最佳化系統,最後做系統盤的克隆備份,這樣就可以在下次出現系統故障時免去安裝系統及相關應用軟體的麻煩,提高工作效率、節約大量的時間。
二、企業網路伺服器的安全
企業網路伺服器的安全一般可分為硬體系統安全及軟體系統安全。
(一)硬體系統的安全防護
硬體系統的安全主要是指防止意外事件或人為破壞裝置。機房和機櫃的鑰匙一定要管理好,不要讓無關人員隨意進入機房;放置伺服器的機房應做好防雷、防電、防火、防水、防高溫等常規防護工作。
(二)軟體系統的安全防護
同硬體系統相比,伺服器軟體系統的安全問題是最多的。
1、安裝補丁程式
補丁程式即修復系統漏洞的程式。一般在一個軟體的開發過程中,一開始有很多因素是沒有考慮到的,但是隨著時問的推移,軟體所存在的問題會慢慢的被發現。這時候.為了對軟體本身存在的問題進行修復,軟體開發者會發布相應的補丁,目前大部分企業伺服器使用的是微軟的Windows Server作業系統,由於使用的人比較多,漏洞不斷被發現,所以微軟也經常有新的補丁程式釋出。我們應及時安裝好新的補丁程式,配置好自動升級功能,以防漏洞被非授權人員利用。
2、安裝防火牆與防毒軟體
在企業網路中,重要的資料通常儲存在整個中心結點的伺服器上,所以保證伺服器免受病毒攻擊就成了保證企業網路安全的重要任務。我們可以在伺服器上安裝最新的防毒軟體和防火牆,透過合理的配置達到防禦病毒破壞,抵制非法人侵的目的。
3、加強作業系統許可權管理和口令管理
刪除所有非法使用者;禁止Guest使用者,因為駭客常用Guest進行系統控制;對於Administrator則應進行改名操作並設定足夠複雜的密碼,密碼至少8個字元,至少包含四類字元中的三類,即大寫字母、小寫字母、數字,以及鍵盤上的符號。
4、關閉伺服器上沒有必要的網路服務
系統安全的最大漏洞就在於網路服務,對於系統中沒有必要的服務我們就應關閉,往往是越精簡的系統越安全。
5、監測系統日誌
系統日誌即記錄系統中硬體、軟體和系統問題的資訊,同時還可以監視系統中發生的事件。使用者可以透過它來檢查錯誤發生的原因,或者尋找受到攻擊時攻擊者留下的痕跡,便於及時解決出現的問題。
6、定期對伺服器檔案進行備份與維護
為防止不能預料的系統故障或使用者不小心的非法操作,系統管理員需要定期備份伺服器上的重要檔案。伺服器最好採用RAID方式進行備份,重要的資料還應儲存在其它伺服器上或者備份在光碟中。監視伺服器上資源的使用情況,刪除過期和無用的檔案,確保伺服器高效執行。
三、基於VLAN的企業網路安全部署
VLAN(Virtual Local Area Network)即“虛擬區域網”。ULAN是一種將區域網裝置從邏輯上劃分成一個個網段,從而實現虛擬工作組的資料交換技術。這一技術主要應用於交換機和路由器中.但主流應用還是在交換機之中。但又不是所有交換機都具有此功能,只有VLAN協議的第三層以上交換機才具有此功能。
採用透過將企業網路劃分為虛擬網路VLAN網段,可以強化網路管理和網路安全,控制不必要的資料廣播。在共享網路中,一個物理的網段就是一個廣播域。而在交換網路中,廣播域可以是有一組任意選定的第二層網路地址(MAC地址)組成的虛擬網段。這樣,網路中工作組的劃分可以突破共享網路中的地理位置限制,而完全根據管理功能來劃分。
VLAN技術的核心是網路分段,根據不同的應用業務以及不同的安全級別,將網路分段並進行隔離,實現相互問的訪問控制以達到限制非法訪問的目的。為了提高網路的安全性,應避免將企業不同部門處於同一網段,可將不同部門劃分在不同的VLAN中。設定VLAN還可以縮小ARP病毒的影響範圍,ARP病毒的有效作用域為帶毒主機所在的廣播域。
按照使用的需要在企業網內設定多個廣播域可以有效抑制由ARP病毒發作造成的廣播風暴。ULAN技術很好地解決了網路管理的問題,提高了網路的安全性。
企業網路安全是一個系統性工程,不能僅僅依靠技術,還需要建立相應的管理制度,將各種技術與管理手段結合在一起,就能生成一個高效、通用、安全的網路系統。