今很多企業(yè)都建設(shè)了企業(yè)網(wǎng)并通過各種渠道接入了Internet��,企業(yè)的運(yùn)作越來越融人計(jì)算機(jī)網(wǎng)絡(luò)����,但隨之產(chǎn)生的網(wǎng)絡(luò)安全問題也日漸明顯地?cái)[在了網(wǎng)絡(luò)管理員面前�。
對(duì)于網(wǎng)絡(luò)管理者來說,網(wǎng)絡(luò)的安全管理直接關(guān)系到企業(yè)工作的穩(wěn)定和正常開展��。而企業(yè)對(duì)安全性的要求有其自身的特殊性�,除了傳統(tǒng)意義上的信息安全以外�,還應(yīng)提高對(duì)病毒、惡意攻擊以及物理設(shè)備的安全防范��。
本文根據(jù)本人在企業(yè)任職多年網(wǎng)絡(luò)管理員的實(shí)際�����,側(cè)重談了下如何加強(qiáng)對(duì)企業(yè)網(wǎng)絡(luò)的安全管理��。主要分別從企業(yè)內(nèi)部網(wǎng)絡(luò)安全管理與病毒防范���、企業(yè)服務(wù)器的安全�、基于VLAN的企業(yè)網(wǎng)絡(luò)安全部署三個(gè)角度作了調(diào)查和研究。
一���、企業(yè)內(nèi)部網(wǎng)絡(luò)安全管理與病毒防范
在網(wǎng)絡(luò)環(huán)境下�����,病毒傳播擴(kuò)散快���,僅用單機(jī)版防病毒產(chǎn)品已經(jīng)很難徹底防范和清除網(wǎng)絡(luò)病毒,必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品��。
在企業(yè)網(wǎng)絡(luò)中��,可以配置一臺(tái)高性能的汁算機(jī)安裝網(wǎng)絡(luò)版殺毒軟件的控制端��,負(fù)責(zé)管理各終端主機(jī)病毒的防治工作�,在各用戶主機(jī)上安裝網(wǎng)絡(luò)版殺毒軟件的客戶端。通過殺毒軟件的控制臺(tái)進(jìn)行定時(shí)殺毒的設(shè)置和自動(dòng)升級(jí)的設(shè)置�,確保殺毒和升級(jí)的時(shí)效性,使網(wǎng)絡(luò)具有較強(qiáng)的防病毒能力���。
(一)使用和配置防火墻
防火墻是網(wǎng)絡(luò)的第一道防線���,一般安裝在內(nèi)網(wǎng)與外網(wǎng)的交界處�����,如各級(jí)路由器上��。利用防火墻���,在網(wǎng)絡(luò)通訊時(shí)執(zhí)行一種訪問控制尺度,允許防火墻同意訪間的用戶與數(shù)據(jù)進(jìn)入自己的內(nèi)部網(wǎng)絡(luò)����,同時(shí)將不允許的用戶與數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)外的黑客訪問自己的網(wǎng)絡(luò)��,防止他們隨意更改���、移動(dòng)甚至刪除網(wǎng)絡(luò)上的重要信息。
防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機(jī)制���,可有效防止Internet上的不安全因素蔓延到企業(yè)內(nèi)部����。所以,防火墻是企業(yè)網(wǎng)絡(luò)安全的重要一環(huán)��。
(二)采用入提檢測(cè)系統(tǒng)
入侵檢測(cè)系統(tǒng)是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視�����,在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備���。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處在于是一種積極主動(dòng)的安全防護(hù)技術(shù)����。入侵檢測(cè)系統(tǒng)一般要安裝在網(wǎng)絡(luò)的關(guān)鍵點(diǎn)上�,如Internet接入路由器之后的第一臺(tái)交換機(jī)上,在入侵檢測(cè)系統(tǒng)中利用審計(jì)記錄���,入侵檢測(cè)系統(tǒng)能夠識(shí)別出任何不希望有的活動(dòng)�,從而達(dá)到限制這些活動(dòng)�����,以保護(hù)系統(tǒng)的安全����。
(三)Web, Email的安全監(jiān)測(cè)系統(tǒng)
在網(wǎng)絡(luò)的WWW服務(wù)器���、Email服務(wù)器等環(huán)節(jié)中使用網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng),實(shí)時(shí)跟蹤��、監(jiān)視網(wǎng)絡(luò)��,截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容���,并將其還原成完整的WWW�����,Email�,F(xiàn)TP, Telnet應(yīng)用的內(nèi)容�,建立保存相應(yīng)記錄的數(shù)據(jù)庫(kù)。及時(shí)發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容�����,及時(shí)采取有效措施���。
(四)漏洞掃描系統(tǒng)
解決網(wǎng)絡(luò)層安全問題�����,首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患���、脆弱點(diǎn)。面對(duì)企業(yè)龐大的網(wǎng)絡(luò)��,僅僅依靠個(gè)人的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞�����、做出評(píng)估.顯然是不現(xiàn)實(shí)的�����。我們可以尋找一種能查找網(wǎng)絡(luò)安全漏洞�����、評(píng)估并提出修改建議的網(wǎng)絡(luò)安全掃描工具����,利用優(yōu)化系統(tǒng)配置和安裝安全補(bǔ)丁等多種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患??梢岳酶鞣N黑客工具�,定期對(duì)網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞����,以便更好地發(fā)現(xiàn)和杜絕網(wǎng)絡(luò)中的安全隱患。
(五)ARP病毒的防御
ARP是Address Resolution Protocol的縮寫���,即地址解析協(xié)議���,它是一個(gè)位于TCP/IP協(xié)議棧中的低層協(xié)議,負(fù)責(zé)將某個(gè)IP地址解析成對(duì)應(yīng)的MAC地址�。它是系統(tǒng)進(jìn)行通訊的基礎(chǔ)。是以信任為基礎(chǔ)的�����,如果破壞了這個(gè)信任�����,那就形成ARP欺騙了���。局域網(wǎng)經(jīng)常會(huì)受到來自各方面的攻擊��,導(dǎo)致不能正常工作���,其中ARP攻擊是一個(gè)經(jīng)常發(fā)生的攻擊,只要有一臺(tái)電腦感染ARP,就可能導(dǎo)致整個(gè)局域網(wǎng)都無法上網(wǎng)�,嚴(yán)重的甚至可能帶來整個(gè)網(wǎng)絡(luò)的癱瘓,這給網(wǎng)絡(luò)用戶造成了很大的不便���,因此了解ARP攻擊原理���,防御ARP攻擊是保障企業(yè)網(wǎng)絡(luò)正常工作應(yīng)該引起重視的一個(gè)問題。目前對(duì)于ARP攻擊防御問題出現(xiàn)最多是綁定IP地址和MAC地址或使用ARP防護(hù)軟件�����。
采用綁定IP地址和MAC地址這種方式進(jìn)行綁定��,如果網(wǎng)絡(luò)中有上百臺(tái)計(jì)算機(jī)����,這個(gè)工作量是非常大的.所以這種方式不推薦在大型網(wǎng)絡(luò)中使用,企業(yè)內(nèi)部更適合使用ARP防護(hù)軟件����,目前ARP防護(hù)軟件很多,比較常用的ARP工具軟件主要是360ARP防火墻��、AntiARP、彩影ARP防火墻等���?�?梢栽谶@類軟件中綁定IP地址和網(wǎng)關(guān)�,另外這類軟件還會(huì)在提示框內(nèi)出現(xiàn)病毒主機(jī)的MAC地址�����,方便我們快速找到攻擊源���,然后進(jìn)行清除�。根據(jù)實(shí)際網(wǎng)絡(luò)環(huán)境�����,我們采取相應(yīng)的防御方法���,還是非常有效的�。
(六)使用GHOST軟件備份操作系統(tǒng)
