安全分析:内外设防 让局域网安全高枕无忧

目前,网络中各式各样的非法攻击,让人防不胜防。为了远离恶意攻击,我们必须要对网络进行层层设防,才能有效提升网络安全的保障能力。

对黑客入侵进行设防

黑客攻击现在是层出不穷,以商业利益和经济利益为主的非法攻击正大行其道,其利用的攻击技术也是让人眼花缭乱,例如:恶意用户使用网络监听技术来截获内网用户的登录账号信息,并冒充内网的合法用户进行恶意登录,获取内网中的重要数据信息;恶意用户通过网络嗅探工具来扫描测试内网客户端系统和网络设备存在的安全漏洞和关键信息,如开放的TCP端口、网络IP地址、操作系统类型、保存登录账号的系统文件,并利用这些信息尝试进行内网攻击;恶意用户通过对内网的重要服务器进行不停地ping攻击,造成目标服务器系统有限的系统资源被过度消耗,最终使得服务器系统不能正常工作,甚至发生瘫痪现象等。

由于单位内部网络常常会涉及到单位的许多隐私信息,甚至会涉及到重大的商业秘密,防范黑客进行恶意攻击,保护重要数据的安全显得更加重要、更加迫切:

1、保护边界安全

单位内部网络与外部网络进行数据交换传输是单位日常办公的必然要求,因此,任何严格的安全防范措施也难保证内网不存在安全漏洞,所以我们有必要在单位内网的边界位置处设立信息安全岛。借助信息安全岛,来将单位内网中的信息与外网中的信息实现物理隔离,确保内、外网在交换、传输数据信息时能够安全地进行。

所谓信息安全岛,其实就是一个独立的过渡网络,它既不属于单位内部网络,也不属于外部网络,它所处的位置就在内、外网的交界处,它的作用就是既要将单位内网与外网物理隔离开来,避免黑客直接入侵到单位内网系统,又要保证内、外网的数据信息能够正常地进行交换传输。信息安全岛在工作的时候,会通过一定的技术把来自外网的信息进行提取,之后将提取出来的信息通过数据摆渡技术发送到单位内网中,完成数据的交换传输,在这一过程中内网与外网在物理上是隔离断开的,这样一来就能防止黑客的长驱直入。

此外,为了进一步保护网络边界的安全,我们可以结合其他技术手段进行安全防护,例如进行访问控制、进行入侵检测、进行认证授权、进行地址转换、进行数据过滤、进行恶意代码防护、进行病毒入侵测试等等。

2、保护服务器安全

在单位内部网络中,服务器系统通常扮演一个非常重要的角色,因为它是整个内网稳定运行的基础,同时也是内网重要数据的存储中心,所以对服务器系统的运行环境进行保护,避免黑客直接入侵服务器应该是单位内网安全防护的重点。我们可以根据服务器的重要程度,采用分级保护的办法,来构建服务器的安全运行环境,安全保护等级最高的应该是专业的服务器系统,其次是内网中的加密服务器系统,之后就是内网中的普通服务器系统,最后就是公共服务器系统。

对于那些非常重要,有着特别要求的专业服务器系统,我们可以在该系统所在工作子网的边界位置处使用专业保密设备配合硬件防火墙的办法,来禁止来历不明的用户对其进行随意访问,并且对进出服务器系统的任何数据信息进行自动加密。对于那些相对重要的加密服务器系统来说,我们可以将它们连接到三层交换机上,并将其划分到一个独立的虚拟工作子网中,确保加密服务器系统与其他子网全部逻辑隔离,同时采用访问控制技术来让有权限的用户进行访问,同时禁止那些没有授权的用户进行访问。对于那些重要性一般的普通服务器系统来说,我们只要在三层交换机上设置适当的权限规则,控制来自外网的用户随意访问就行了。而对于那些直接对外发布的服务器系统来说,我们能做的就是采用一般的入侵防护技术以及网络防火墙或杀毒软件来保护就行了。

对病毒传播进行设防

现在的网络病毒疯狂肆虐,它主要是通过网络传输通道进行非法传播、扩散的,传染的对象就是网络中的一些重要可执行文件,这些病毒通常破坏力大,传染性强,它们常常会利用网络中各个系统的漏洞实施非法攻击,来窃取网络中重要系统的控制权。所以,单位内网的安全防护系统很重要的任务,拒绝网络病毒的攻击。

1、使用防病毒网关

防病毒网关是一个基于安全操作系统平台的在网关处具有防病毒功能的硬件设备,该设备可以对进出内网的数据信息进行分析过滤,阻止病毒代码从该设备穿过渗透到单位内部网络,同时能够有效预防蠕虫病毒攻击,以及垃圾邮件对单位内网正常办公的干扰。在单位内部网络中,防病毒网关是一个很重要的安全防线,能够抑制来自外网的病毒入侵内网。例如,笔者单位采用了天融信网络卫士防病毒网关,该设备采用流扫描技术来获得很高的性能,同时大大减少网络延迟和超时。流扫描技术在收到文件的一部分时就开始扫描,大大减少总的处理时间。在传统的使用随机存取算法的防病毒系统中,只有当整个文件都被收到的时候才开始扫描,总的扫描时间比较长,性能较低。防病毒网关实现了真正的即插即用,不需要改动现有网络的任何设置。在单位内网部署好防病毒网关后,只需要连接上网线,开启电源,并进行合适的配置,就可以对进出内网的数据信息进行病毒扫描测试,而且这是单位内网与外网直接联系的唯一桥梁,能够在很大程度上抑制外网病毒的疯狂入侵。

2、部署补丁服务器

预防网络病毒,最主要的就是预防蠕虫病毒,而蠕虫病毒很多时候都是利用内网系统中的漏洞进行传播、扩散的,为此我们需要在内网中对各个应用系统的漏洞补丁程序进行强化管理,确保各种漏洞能够被及时堵住。有鉴于此,我们有必要在内网中安装部署补丁分发服务器,让单位内网中的应用系统直接连到服务器上下载补丁,使得更新补丁时间大大缩短,提高了安全性。另外对于没有连到外网的应用系统只要在内网中可以访问这台补丁服务器,也能随时安装最新的补丁,这样就可以有效地防止漏洞型病毒在内网的疯狂传播。

3、部署防病毒服务器

除了要做好上面的安全防范措施外,我们还需要在内网中安装部署防病毒服务器,来强制内网中的所有客户端系统自动在线更新病毒库,同时我们也要定期通过外网对防病毒服务器进行更新病毒库,至少要保证每周一次,通过不断升级病毒库,保证防病毒程序可以及时发现内网中的新型病毒。有了防病毒系统的保障,那么整个内网的病毒入侵就能得到有效监控、管理,同时对出现在内网中的网络病毒能够及时测试、查杀。

对内部攻击进行设防

所谓“明枪易躲,暗箭难防”,对于处于明处的外部攻击,相对来说比较容易防范,而对于来自单位内网中的恶意攻击,那就非常难防范了。首先,在内网中进行共享访问时,一些重要的数据信息很容易对外泄密;其次内网中的网络管理员有可能在不经意间暴露具有超级权限的登录账号信息,或者是对外泄露内网中重要资源的存储位置,也有可能将内网的组网结构泄露出去;此外,还存在这样一种可能,那就是内网用户故意将黑客程序放置在共享文件夹中做陷阱等现象。所以,提升网络安全能力,不仅仅是防范来自外网的安全威胁,更要防范来自内网的安全隐患。

为了预防内网中的重要信息对外泄密,或者预防来自内网的恶意攻击,从技术层面上来说,我们可以在单位内网中安装部署安全隐患扫描监测系统,主机监控系统、内网用户管理系统、事件分析响应系统;对于内网中的重要服务器系统来说,我们还要单独安装部署身份认证系统、资源管理系统、VPN连接系统、内容过滤系统、防火墙系统以及进行IP地址绑定操作等。除了要采取这些技术措施外,更为重要的工作就是建立一套行之有效的内网安全管理制度,以便约束内网用户的上网行为,并定期进行严格督查内网安全制度的落实,相信这样一来可以更加有效地管理内网安全。

对终端系统进行设防

在将重点安全防控力量部署在内网服务器系统的同时,也要加强对内网普通客户端系统的安全防范,因为许多非法攻击常常会通过客户端系统间接实现。要对普通终端系统进行安全防范,可以采取下面一些措施:

1、更新补丁

要及时从微软公司的官方网站中下载安装最新的系统漏洞补丁程序,确保终端系统的漏洞可以被正确堵住。

2、安全宣传

要定期对内网用户进行安全宣传,提高他们的上网安全意识,其中包括不能轻易运行一些来历不明的应用程序、要及时更新杀毒软件的病毒库、安装使用最新版本的个人防火墙、定期进行漏洞扫描以及病毒查杀操作、要从正规的官方网站中下载信息、不轻易打开陌生邮件的附近内容等等。

3、正确设置

主要就是对IE浏览器的安全设置,包括分级审查、Cookie设置、本地安全设置以及脚本设置等等。在防范脚本攻击时,只要打开IE浏览器窗口,依次点击“工具”、“Internet选项”、“安全”、“自定义级别”,将安全级别调整为“安全级-高”,同时在“ActiveX控件和插件”位置处要将脚本项设置为“禁用”。这样设置后,当客户端系统的用户使用IE浏览网页时,就能有效避免恶意网页中恶意代码的攻击。

4、取消共享

很多时候,木马程序都是通过共享访问通道植入到内网客户端系统中的,为此我们必须取消本地资源的所有共享设置,如果确实要进行共享访问的话,必须将共享资源设置成“只读”权限,同时要设置共享访问密码。关闭共享很简单,只要用鼠标右击“网络邻居”,执行“属性”命令,然后取消选中“文件和打印共享”组件的选中状态就可以了。

5、禁用Guest

有很多非法入侵都是通过Guest账号间接获得超级用户的密码或者权限的,要是不想把内网的客户端系统给别人当玩具,那还是禁止该账号的好。打开控制面板,依次双击“用户账户”、“管理其他账户”,再单击Guest账号,之后点关闭来宾账户就可以了。