《构架内部网络与internet安全连接的》由会员分享,可在线阅读,更多相关《构架内部网络与internet安全连接的(9页珍藏版)》请在金锄头文库上搜索。
1、构架企事业单位内部网络与 Internet 安全连接的方案及方法摘要:讨论了威胁局域网与 Internet 共享连接的安全因素,对入侵攻 击和病毒破坏的途径和方法进行了分析。指出:互联的计算机网络系统共享、互通、开放、易于扩散的特性,既有来自外部的安全威 胁,又有内部用户的引入侵害。结合网络互联技术和安全防护技术方法,提出构架系 统内部网络与 Internet 安全连接和建立安全可靠虚拟私有网的实行方案和方法。关键词:Internet 安全连接 防火墙 网关 虚拟私有网引 言目前,一些企事业单位均建立了内部计算机局域网,随着业务交流的扩大,资料传递、资料信息共享和办公自动化等实际需求的出现,地
2、面宽带通信传输的高速、稳定可靠和易维护,从而选择通过宽带、DDN、ADSL 等实现局域网与 Interne 的共享互联成为企事业单位的首选方案。与 Internet 的互联,计算机信息系统具有了共享、互通、开放、易于扩散等特性,网络系统的安全问题凸现,合理安全的互联构架方案是系统稳定可靠运行的保障,它应具备防护措施完善、可靠、灵活、经济又能保证各项业务工作需求等特点。1 网络安全的主要威胁和基本对策1.1 主要安全威胁计算机信息网络系统主要的安全威胁是入侵攻击和病毒破坏。入侵攻击主要来自黑客或一些不良者,其目的是为了窃取信息或情报、传播不良信息、获取网络系统的控制权,滥用资源和特权,制造恶作剧
3、。信息网络系统一旦遭到入侵,网络系统失控,会造成机密信息被窃、传输阻断、资料丢失,直至主机和网络系统被破坏。计算机病毒主要源自游戏和恶作剧,蓄意破坏及软件自我保护。其危害轻者造成计算机运算速度降低、功能失常;重者造成数据资料破坏、丢失,甚至系统崩溃。Internet 技术的发展,入侵攻击与病毒已无明显界限区别,计算机病毒的定义和广度正在逐步发生变化,新近出现的“特洛依木马”和“蠕虫”已具有了入侵攻击和病毒破坏的双重危害,是计算机病毒1或入侵破坏的进一步深化。 “特洛依杩” (Trojan horse)的潜伏执行非授权功能技术,可以很巧妙完成黑客任务, “蠕虫” (worm)分布式扩散传播特定信
4、息功能,经常造成网络系统瘫痪。1.2 入侵攻击和病毒破坏的途径和方法入侵攻击一般有以下步骤和方法:选中攻击目标,首先要取得其 IP 地址,然后收集目标系统有关信息(如运行的操作系统、开放的服务等) 。主要用 ping、 tracert/traceronte 等常用信息获取命令和端口扫描技术(如 TCP connectc() 、TCP SYN 扫描) 。 通过系统常用服务或网络监听来搜集帐号,采用字典穷举法获取口令;用工具软件获得帐号和口令。此法失败,则通过分析目标系统的服务程序或操作系统本身的安全漏洞,寻找攻击点。通过窃取的帐户或掌握的安全漏洞,获得对系统的控制权,实现入侵攻击。入侵攻击过程如
5、图-1 所示。另一种入侵攻击方式就是通过获取的邮箱地址,发送带有后门程序的邮件,并诱使你运行它,不知不觉地使你的主机成为攻击的 Server 端,攻击者自己运行 Client 端程序,就能实现入侵控制,如 Back Orifice 黑客程序,就是通过这一方法入侵上网计算机的。图1 网络黑客入侵攻击过程示意图根据计算机病毒传播机理可知,只要能够进行数据交换的介质都可能成为计算机病毒的传播途径,来自 Internet 病毒入侵破坏的最主要途径是电子邮件和不良网站连接传播;还有内部网络用户数据交换时带毒文件的传播。这里的安全问题其实还涉及到对内部网络用户有效合理的使用控制,内部用户无节制使用造成泄密
6、、引入侵害、病毒,往往成为网络安全的一大隐患。1.3 安全防护的主要对策从网络入侵攻击的步骤可知,入侵攻击的第一步就是确定被攻击主机的 IP 地址,否则入侵就无从谈起。因此,隐蔽并保护主机和网络系统的 IP 地址,是构筑安全防护的首要措施,主要可采用防火墙技术和设置网关的方法,包括正确的系统设置(访问限制、规则控制等) 。但作为一个严密的安全系统,不能仅依靠隐藏 IP 地址来保护,要有公开 IP 地址下的安全防护机制,也即还要有服务端口封锁、漏洞扫描及补漏、入侵检测、VPN 等安全技术保护措施。选中目标分析系统漏 洞获取控制 权安装后门程 序获取或修改信息其它非法活 动获取用户信 息攻击主机2
7、对病毒破坏主要采用防毒软件监控、查杀和制定相应的内部网络用户使用守则来阻止。预防引入侵害、泄密和病毒,必须建立对内部用户的权力限制和使用控制的机制。2 构筑安全的与 Internet 互联的方案和方法2.1 共享连接 Internet 方案的选择2.1.1 共享连接方式的选择一个安全的与 Internet 互联网络系统应具备以下三个方面:(1)将内部网与外部公网隔开的边界控制机制。从 IP 层面上对网络进行防护,通过程序权限控制、IP 规则定义、端口封锁有效阻截入侵攻击。(2)具有访问控制(Access Control) ,用户认证和授权(Anthentication&Anthori2atio
8、n) ,内容过滤(Content Filtering) ,病毒检测(Virus Scan)等功能。(3)对内部用户的有效合理的使用控制功能。阻断黑客后门程序通过邮件进入,不良网站连接侵害以及黄色传播,都是网络系统安全的重要一环。就有的企业系统的实际工作而言,对一些特定用机(用户)作访问 Internet 的限制使用是非常必要的。例如对于实时数据采集又必须要实行互连共享的专用计算机,必然要严格控制其非业务上网和进行严密的内容过滤控制,以保证数据采集传输的正常进行。在选择共享方式和方案设计上,应尽量具备和满足上述三个方面的功能要求。局域网通过宽带实现与 Internet 高速连接共享使用,主要有两
9、种方式:一是使用专用路由方式实现共享,即路由器以太网接入;二是采用代理服务器(Proxy server)方式,一般是在 Linux 或 Windows操作平台下安装代理服务器软件做网关来实现。采用路由器方式有设置方便、简单及工作稳定、易维护等优点,但缺少访问控制、用户授权、服务定制等功能,只有简单的协议和安全选项,没有内容过滤和对内部用户定制控制功能,这些恰是安全的网络系统所必需的。因路由工作在网络层,此种接入形式,其安全性较差。采用代理服务器(Proxy server)方式,在 Linux 或 Windows 操作平台下安装代理服务器软件做网关,安装防火墙软件作防护,实现局域共享使用 Int
10、ernet 的方案,容易达到安全功能的要求,且对内部用户的使用控制灵活、方便,能满足各类用户的需要。但此方案,维护管理复杂,工作稳定性稍差,要用一个性能好的代理服务器,投入的成本相对较大。在此方式下,防火墙技术来实现上述(1)的防护功能;网关综合了内部网络对于安全的要求,除了作为代理服务器可以实现对信息的过滤、访问控制、用户认证和授权、防止封锁服务以及带宽管理等服务功能外,还起到外部网络申请访口内部网络的中间转接作用,从而能有效隐藏内部 IP 地址。防火墙的 IP 层面过滤实现了基本的访问控制,网关在应用层面上作为防火墙的扩展,承担了更复杂细致的访问控制,其操作方式的安全控制规则构架了较理想的
11、安全服务。32.1.2 路由器接入方式硬件选择及安全防护路由器又称为信由,是用于互连两个不同类型的通信子网的硬件设备,目前,广泛用于企业的内部网与外部网、Internet 的互连,它执行 OSI 网络层及其下层的协议转换。路由器的性能主要由其响应速度、执行存取转发以及大量分组格式转换和处理能力构成,随着技术的发展和实际需要,路由器的扩展功能也成为其性能要求,例如防火墙功能、支持 VPN 构建服务功能等。选择路由器时,首先应考虑以满足需要为标准,一是响应处理、承载能力能否满足;二是是否具备工作需要的扩展功能,例如:对于需要建立企业私有网的,就要选择具有支持 VPN 构建服务扩展功能的路由器。其次
12、要考虑选购设备的性价比和服务商的售后服务、技术培训支持。在实际的选择上,应尽量选择高性能的品牌产品,目前国内华为的 Quidway RXXX 系列是不错的选择。 采用路由器互连方式,其安全防护措施,可以选择路由与防火墙一体的路由器,但由于路由协议的灵活,也使其本具有安全漏洞,很容易受到外部网络“黑客”的攻击;并且由于防火墙规则设置也会大大降低路由器的性能。实际应用中发现:此种类型路由器防火墙产生的传输延迟、瓶颈现象特别明显,且不能完全阻止受病毒感染文件的传输。对于此种互连方式较理想的防护构筑及措施是:如选择带防火墙功能的路由器,则尽量简化规则,把它作为构建安全的第一道屏障,只作一些基本的规则设
13、置。较实际可行的防护措施是在终端用户机上安装防火墙和病毒查杀监测软件;加强对用户的管理,实行用户和IP 分组管理。2.1.3 代理服务方式系统平台选择及安全防护2.1.3.1 系统平台及应用软件选择通过实际的使用比较,从通用性和使用技术要求角度考虑,代理服务方式,选择 Windows2000 Advanced Server 或 Windows 2003 Server 作为系统服务平台有设置灵活、方便、稳定性好,便于管理的特点;其 NTFS 文件系统增强了系统的安全性。另一方面,Windows Advanced Server 可以同时为扩展服务开通 WEB、FTP 服务及作为 VPN 拨号服务器
14、,不需增加任何硬件投入,实现一机多用途,从而实现Intranet 构建,等于没花额外的的投资创建了一个新的企业 IS,是一种经济的组网方式。在代理服务器软件中,MS Proxy 是较理想的代理服务器软件,该软件具备了其它代理服务器软件的一切优点,既提供 Internet 帐户设置、访问控制、用户授权、端口控制、访口站点控制服务,还提供了作为 Web 服务器的反向代理功能及作为高速缓存服务器和安全有效的防火墙功能。通过对目前几种防火墙软件的比较,选用国内的天网防火墙软件较好,主要是该防火墙软自定义 IP规则、端口管理较全面,设置较灵活。最终的安全连接构架如图-2 所示。4图-2 局域网与 Int
15、ernet 安全连接构架图此外,还应在服务器主机上安装一套瑞星或金山毒霸实时监控反病毒软件。 2.1.3.2 其它的安全策略及管理经过防火墙和网关的安全防护作用,内部用户登录网站或开放 Web 服务时,仍存在一些安全隐患:IP 地址和用户泄露以及通过浏览器的入侵等。在服务器主机和用户机上要作一些必要的设置。(1)代理服务器开通 WEB 服务时,外部访问网站上静态 HTML 主页时,IIS 响应用的一个 ContentLocation 头文件将包含服务器的 IP 地址内容,会导致隐藏在防火墙或代理服务器后面的 IP 地址泄漏。应对 IIS 进行适当的配置:在 Internet 服务器管理中“默认
16、站点”的自定义, “HTTP 头”部分“添加” ,“自定义头名称”处输入“Content-locetion” ,同时将静态页面文件改名为ASP。(2)许多 web 站点使用 cookie 跟踪访问者,分析使用 web 浏览器时生成的包含个人信息的 cookie 文件,以获得用户名和密码,应对浏览器安全级别进行自定义修改,将 cookie 选项设置为禁用。(3)为了防止上网聊天招致代码入侵攻击,对浏览器安全级别进行自定义修改,禁用“脚本/活动脚本”和“java” 。(4)在网关上设置对不良网站网点的禁止访问,对气象业务用机,限制使用 SMTP、P0P3 服务。(5)正确设置防火墙软件,应自定义 IP 规则,设置封锁所有木马端口。2.2 实现企事业内部机构远程可靠安全连接的方法以上的方案和方法,只能说是实现了单位的网络中心工作单元与 Internet 的互连,虽然做了许多安全上的防护措施,但从信息传递通道和方式上来看,还是一种公网意义上传递渠道,实际工作中,严格意义上的信息安全要求,公网上是不能走“私有
