《企业网络安全策略.docx》由会员分享,可在线阅读,更多相关《企业网络安全策略.docx(4页珍藏版)》请在金锄头文库上搜索。
1、企业网络平安结构一、应用程序平安二、操作系统(服务器)平安三、网络设备(路由器、交换机)平安(-)网络设备(路由器、交换机)的平安隐患1. 弱口令2. IOS自身漏洞3. 非授权用户可以随意管理设备4. CDP协议造成信息的泄露(-)操作系统的平安隐患1. WINDOWS 系统未及时安装补丁开启了不必要的服务管理员口令设置过于简单默认共享漏洞2. LINUX 系统账号与口令平安NFS文件系统漏洞作为ROOT身份运行程序平安(三)应用程序的平安隐患1 .WEB服务IIS5.0超长文件名请求存在漏洞其他漏洞2 .邮件服务垃圾邮件邮件附件中的病毒3 .数据库SA账号为空(四)企业网络面临的其他威胁1
2、 .病毒蠕虫2 .木马冰河灰鸽子3 .来自企业内部的攻击对企业不满的员工对平安不了解的员工网络平安解决方案(六个方面)1 .网络设备2 .服务器操作系统平安3 .应用程序平安4 .防火墙5 . IDS6 .网络防病毒体系路由器、交换机的平安管理1 .及时升级IOS.平安配置ROUTER(CONHG)# LINE VTY 0 4ROUTER(CONFIG-LINE)# LOGINROUTER(CONFIG-LINE)# PASSWORD AAAROUTER(CONFIG-LINE)# EXEC-TIMEOUT 10ROUTER(CONFIG)# LINE CONSOLE 0ROUTER(CONF
3、IG-LINE)# TRANSPORT INPUT NONEROUTER(CONFIG-LINE)# PASSWORD AAAROUTER(CONFIG)# LINE AUX 0ROUTER(CONFIG-CONFIG)# TRANSPORT INPUT NONEROUTER(CONFIG-CONFIG)# NO EXECROUTER(CONFIG)# SERVICE PASSWORD-ENCRYPTIONROUTER(CONFIG)# ENABLE SECRET AAAROUTER(CONFIG)# NO IP SERVER (关闭路由器的 WEB 管理端口)ROUTER(CONFIG)#
4、ACCESS-LIST 101 DENY ICMP ANY HOST 192.168.0.1 ECHOROUTER(CONFIG)# ACCESS-LIST 101 PERMIT IP ANY ANYROUTER(CONFIG-IF)# IP ACCESS-GROUP 101 IN(利用ACL禁止PING路由器外部端口)ROUTER(CONFIG)# NO CDP RUN (关闭路由器上的全部端口的CDP协,议)ROUTER(CONFIG-IF)# NO CDP ENABLE (关闭路由器上的某个端口的CDP协议)ROUTER(CONFIG)# NO IP DOMAIN-LOOKUPROUTE
5、R(CONFIG)# NO IP BOOTP SERVERROUTER(CONHG)# NO SNMP-SERVERROUTER(CONFIG)# NO SNMP-SERVER COMMUNITY PUBLIC ROROUTER(CONFIG)# NO SNMP-SERVER COMMUNITY ADMIN RW(禁止路由器上不必要的服务)操作系统的平安设置()WINDOWS系统的平安设置禁止不必要系统服务端口REMOTE REGISTRY SERVICEMESSENGERFTPWEBNETBIOSTELNET设置本地平安策略翻开审计策略本地平安策略-本地策略审核策略-审核登录事件本地平安策略
6、-本地策略-审核策略-审核帐户登录事件本地平安策略-本地策略审核策略-审核对象访问重命名管理员帐户本地平安策略-本地策略-平安选项-登录时不显示用户名本地平安策略-本地策略-平安选项-设置帐户密码策略本地平安策略-帐户策略-密码策略-设置帐户锁定策略本地平安策略-帐户策略-帐户锁定策略本地平安策略更改后运行命令:GPUPDATE /FORCE使之生效文件系统采用NTFS,重要文件夹启用审核策略禁止建立空连接HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSARestrictAnonymous=l 关闭默认磁盘共享HKEY_LOCAL_MACHI
7、NESystemCurrentControlSetServiceslanmanserverparametersAutoShare ServerREG_DWORD=OxO关闭默认ADMIN共享HKEY_LOCAL_MACHINESystemCurrentControlSetServiceslanmanserverparametersAutoShare Wks REG_DWORD=OxO(二)LINUX系统平安设置1 .使用GRUB 口令,防止用户绕过ROOT 口令登录系统编辑 /boot/grub/grub.conf,力口入 password= 123456 即可2 .删除所有不必要的用户账号:
8、Ip, shutdown , halt, news, uucp, operator, games, gopher 等# userdel Ip#groupdcl Ip3 .修改默认ROOT密码长度(默认为5位,建议修改为8位)编辑 /etc/pam.d/system-authpassword required pam_cracklib.so retry=3 minlen=8 difok=3password required pam_unix.so md5 use_authtok4,翻开密码shadow支持功能#chattr +i /etc/shadow (即使root用户也无法修改用户密码)#c
9、hattr +i /etc/shadow.取消所有不必要的服务telnet, 等默认启动的服务关闭 telnet,编辑/etc/inetd.d/telnet,修改disable=no 为 disable=yes重新启动系统超级守护进程# service xinetd restart修改/etc/xinetd.conf的权限为600,只允许root来读写该文件# chmod 600 /etc/xinetd.conf查看系统中已安装的服务# 11 /etc/xinetd.d查看系统启动的服务# netstat -ntl.屏蔽系统信息# rm /etc/issue# rm /etc/7,禁用ctrl
10、+alt+del关闭系统编辑/etc/inittab 将ca:ctrlaltdel:/sbin/shutdown -t3 -r now改为# ca:ctrlaltdel:/sbin/shutdown -t3 -r now.不允许root用户从不同的控制台进行登录编辑/etc/securetty,在不需要登录的TTY设备前加#.使用SSH进行远程连接使用SSH客户端软件连接LINUX.禁止普通用户通过SU命令变为ROOT用户编辑/etc/pam.d/su加入以下内容auth sufficient /lib/security/pam_rootok.so debugauth required /lib/security/pam_wheel.so group=wheelwheel为系统隐含的组,只有加入改组的用户才能用SU命令改为ROOT用户 例:#gpasswd -a zhang3 wheel8 .配置防火墙iptables.保持最新的系统内核(到LINUX网站更新)应用程序的平安设置WEB平安随时下载平安补丁只开放80端口放置在专门的区域内利用SSL平安访问将IIS的安装目录和数据与系统磁盘分开设置WWW目录的访问权限SQL SERVER的平安安装SQL SERVER的最新补丁程序使用平安的账号策略选择正确的身份验证模式加强数据库日志记录除去不需要的网络协议
