千家信息网

局域网安全详细说明

发表于:2024-11-22 作者:千家信息网编辑
千家信息网最后更新 2024年11月22日,局域网安全一、回顾常见的***方式【漏洞扫描与利用】:通过特定的操作过程,或使用专门地漏洞***程序,利用现有操作系统、应用软件中的漏洞,来***系统或获取特殊权限。如网页***利用了IE等浏览器的漏
千家信息网最后更新 2024年11月22日局域网安全详细说明

局域网安全

一、回顾常见的***方式

【漏洞扫描与利用】:

通过特定的操作过程,或使用专门地漏洞***程序,利用现有操作系统、应用软件中的漏洞,来***系统或获取特殊权限。如网页***利用了IE等浏览器的漏洞、SQL注入利用了网页代码的漏洞

【病毒***植入】

通过向用户系统中植入病毒或***程序,破坏用户数据、窃取用户信息或者暗中控制用户系统。如发送带有病毒的电子邮件、通过网站挂马等方式都可以将病毒或***安装到用户系统中。

【DDoS***】:

DDoS(Distributed Denial of Service)就是分布式拒绝服务,最基本的DoS***就是利用合理的服务请求来占用过多的服务资源,从而使服务器无法处理合法用户的请求。很多DoS***源一起***某台服务器就组成了DDoS***。

【网络钓鱼】:

***者利用欺骗性的电子邮件、短信或QQ等引诱用户访问伪造的网站来进行网络诈骗,受害者往往会泄露自己的私密信息,如银行卡号与密码、×××号等。从外观上来看,***者伪造的网站与真正的网站几乎一模一样,网站域名也比较相似。如招商银行的真正网址为wwwNaNbchina.com,***者伪造一个外观相仿的wwwNaNdchina.com站点,并向受害者发送譬如"您的网银账号于x月x日登录失败超过15次,为了提高账号安全性,建议登录http://wwwNaNdchina.com网站重置密码……"的邮件,从而诱使其访问伪造的站点以盗取用户的网银账号和密码等信息。

除此之外,还有密码破解、网络监听、电子邮件***等***方式。

二、局域网安全防护

(1)、物理安全

存放位置:将关键设备集中存放到一个单独的机房中,并提供良好的通风、消防

电气设施条件

人员管理:对进入机房的人员进行严格管理,尽可能减少能够直接接触物理设备

的人员数量

硬件冗余:对关键硬件提供硬件冗余,如RAID磁盘阵列、热备份路由、UPS不

间断电源等

(2)、网络安全

端口管理:关闭非必要开放的端口,若有可能,网络服务尽量使用非默认端口,

如远程桌面连接所使用的3389端口,最好将其更改为其他端口

加密传输:尽量使用加密的通信方式传输数据据,如HTTPS、×××,IPsec...,

一般只对TCP协议的端口加密,UDP端口不加密

***检测:启用***检测,对所有的访问请求进行特征识别,及时丢弃或封锁攻

击请求,并发送击击警告

(3)、系统安全

系统/软件漏洞:选用正版应用软件,并及时安装各种漏洞及修复补丁

账号/权限管理:对系统账号设置高强度的复杂密码,并定期进行更换,对特定

人员开放其所需的最小权限

软件/服务管理:卸载无关软件,关闭非必要的系统服务

病毒/***防护:统一部署防病毒软件,并启用实时监控

(4)、数据安全

数据加密:对保密性要求较高的数据据进行加密,如可以使用微软的EFS

(Encrypting File System)来对文件系统进行加密

用户管理:严格控制用户对关键数据的访问,并记录用户的访问日志

数据备份:对关键数据进行备份,制定合理的备份方案,可以将其备份到远程

服务器、或保存到光盘、磁带等物理介质中,并保证备份的可用性

三、部署网络版防病毒软件

Ø对局域网安全最大的威胁,其实并不是来自外部的***,而是来自于局域网内部的***

Ø由于终端用户的安全意识、安全技能的匮乏,加之Internet上病毒、***泛滥成灾,导致用户在浏览网页的时候,很容易在不知不觉中将病毒、***带入到局域网中

(1)、网络版防病毒软件介绍(特点)

可以远程安装或卸载客户端防病毒软件

可以禁止用户自行卸载客户端防病毒软件

可以在全网范围内统一制定、分发和执行防病策略

可以远程监控客户端的系统健康状态

提供远程报警手段,可以自动将病毒信息发送给网络管理员

允许客户端用户自定义防病毒策略

(2)、部署Symantec网络版防病毒软件

ØSymantec Endpoint Protection企业版是Symantec公司推出的网络版杀毒软件,由管理台和客户端组成

Ø它集成了防病毒、反间谍软件、防火墙和***防御以及设备与应用程序控制功能。通过集中式管理功能,可以帮助物理和虚拟系统防御各种类型***

部署Symantec的相关组件:

该软件需要IIS功能的支持,所以需要在Server 2008上安装IIS7.0及相关的ASP.NET、CGI、IIS6.0管理兼容性角色服务


四、防火墙介绍

(1)、防火墙的概念

Ø为了防止******,企业内部网在接入Internet时必须构筑一道安全的"护城河",通过"护城河"将内部网保护起来,这个"护城河"就是防火墙

Ø防火墙的英文名称"Fire Wall",它是目前最重要的网络护护设备之一

ØWindows系统都有一个自带的防火墙,通过启用Windows防火墙,可以有效地拦截外界对系统的非法访问和***,提高计算机系统的安全,如下图:





(2)、防火墙的主要功能

v强化安全策略

§限制用户的对内、对外访问

v记录用户的上网活动

§监视局域网用户的上网行为

v隐藏网络拓扑

§隐藏内部网络

§缓解公共IP地址短缺矛盾

v检查安全策略

§过滤不安全服务,提高网络安全性

(3)、防火墙的分类

1、按防火墙的功能分类

包过滤型防火墙

Ø硬件防火墙,包过滤技术是防火墙最传统、最基本的技术

Ø它工作在OSI(Open System Interconnection)参考模型的网络层

Ø它根据数据包头源地址、目的地址、端口号和协议类型等标志来确定是否允许数据包通过

应用代理型防火墙

Ø软件防火墙,它工作在OSI的最高层,即应用层

Ø使用这种防火墙,可以实施较强的数据流监控、过滤、记录和报告功能

状态检测型防火墙

Ø硬件防火墙,该防火墙是由包过滤型防火墙发展而来的

Ø它可以动态地根据实际应用需求,自动生成或删除相应的包过滤规则,而无需管理员手动干预

Ø这种防火墙不但能够根据包的源地址、目标地址、协议类型、源端口、目标端口等数据包进行控制,而且能够记录通过防火墙的连接状态,直接对包里的数据进行处理

2、按防火墙的软硬件形式分类

软件防火墙

Ø软件防火墙运行于特定的计算机上,需要预先安装的操作系统的支持,一般来说这台计算机就是整个网络的网关

Ø软件防火墙就像其他的软件产口一样,需要先在计算机上安装并运行配置后才可以使用,如微软的TMG防火墙

硬件防火墙

Ø硬件防火墙使用专用芯片处理网络数据包,CPU只做管理使用

Ø采用专门的操作系统平台,从而避免了通用操作系统的安全性漏洞,如Cisco Asa防火墙

(4)、常用的风款防火墙

1、NetScreen 系列防火墙

集成了防火墙、×××、***检测和流量管理功能 (如图)


2、Cisco ASA 5500系列防火墙

提供了丰富的应用安全、网络控制、 ×××等功能 (如图)


3、天融信防火墙

集成了防火墙、防病毒、***检测、×××等功能(如图)


4、TMG防火墙(软件防火墙)

TMG属于微软Forefront产品系列中的一款,主要负责网络边缘范围的安全防范与保护,可以与活动目录、NAP等进行完美的集成,实现更加全面、便捷的安全管控。

除了具有传统防火墙的主要功能之外,它还具有以下功能。

完美支持64位内存寻址

不受4G内存的寻址限制,在内存读写及管理方面得到极大的性能提升。

Web反病毒与过滤

通过URL筛选、恶意软件检查、HTTS检查等方式对Web访问进行检查,将病毒、间谍软件等拒之门外。

缓存

对于需要处理大量Web流量的企业,通过缓存功能,可以大大提升用户的上网速度,降低带宽成本








0