嘉兴烟草规范网络接入安全
开篇:润墨网以专业的文秘视角,为您筛选了一篇嘉兴烟草规范网络接入安全范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
针对烟草行业网络应用日趋多样化的特点,嘉兴烟草采用防控结合的办法,构建了安全的网络环境,确保信息系统的稳定运行。
嘉兴烟草的网络经过十多年的建设,硬件上逐步完善,主干线路上的路由器、交换机等设备全部采用双机热备,广域网的线路带宽达到了16M+16M+2M+2M四条线路热备,城域网采用裸光纤通信,配送中心、专卖指挥中心等关键场所采用1000M通信,满足了当前视频与数据通信的需要,其网络结构见图。
近几年,国外企业网出现的安全事故数不胜数,但在国内仍旧有很多企业没有意识到企业网安全的重要性。因此,我们在积极建设企业网的同时,应该借鉴国外企业网建设和管理的经验,在网络安全上多考虑一些,消除企业网中可能出现的危险和漏洞,使花费不少财力、人力和时间建立起来的网络真正达到预想的效果。
嘉兴烟草网络的接入和使用情况,主要可分为三部分: 互联网接入(包括内网访问外网,外网访问内网服务器,VPN用户通过SSL VPN设备访问公司内部网络); 烟草专网的接入(包括上联省局的线路和下联县公司的线路); 银联网络接入(包括工行、农行、信用合作社等三家)。
整个公司的局域网可以划分为三个主要的区域: 互联网区域、内部网络、公开服务器区域。内部网络又可按照所属的部门、职能、安全重要程度分为许多子网,包括: 财务子网、领导子网、办公子网、市场部子网、服务器子网等。在不同的区域,不同的部门,可以采取不同的安全策略防止来自网络的危害,保证网络正常、高效地使用。因此,制定安全规范非常重要,本文提出的是根据实践经验所总结的安全措施。
规范互联网接入
外网接入是影响网络安全的主要因素,嘉兴烟草采用全地区统一外网接入方式。在目前无法实行内外网物理隔离的条件下,采用防火墙进行隔离,需要在防火墙上做严格的配置。防火墙规则是安全策略的技术基础,规则设计应遵循以下思路和原则:
建立规则文件。明确每条规则的作用,不在规则内的流量应予以阻止。建立规则文件非常重要,因为网络的重大错误往往是防火墙配置的错误造成的。
网络地址转换要谨慎。地址转换配置(NAT)分为源地址转换和目的地址转换。在源地址转换的配置中,需要配置源地址到伪装源地址(转换后的源地址)的转换规则,要为源地址设置一个伪装的合法地址。在源地址转换时,使内部子网的地址能利用一个伪装的合法地址达到访问外部网的目的,这样就省去了占用多个合法IP的资源; 在目的地址转换的配置中,需要配置目标地址到真实目标地址之间的转换规则。在目的地址转换时,系统必须把目标地址和端口转换成真实的内部子网或DMZ区的地址,端口才能进行数据传送,这样系统可以指定某一子网或DMZ区的IP地址和相关端口接收外部网的数据。
路由设置必须合理。防火墙一般提供静态路由,这是由网络管理员在启动网络路由功能之前预先建立起一个路由映射表。要访问某一子网的用户必须经过路由表中配置的网关地址,才能到达该子网。有时,不但要防止来自外部的黑客攻击,还要防止来自内网盗用他人的主机IP进行非法活动。采用内部网段的IP地址与网卡MAC地址绑定的方式,可防止内部主机盗用其他主机的IP进行未授权的活动,该设置具体可以在每个县的核心交换机上做,并且可有效地防止Arp攻击。
规则力求简单。一个简单的规则集是建立一个安全防火墙的关键所在。应尽量保持规则集简洁和简短,因为规则越多,就越可能犯错误。一个好的规则最好不超过30条,规则少还意味着只分析少数的规则,这样,防火墙的CPU周期就短,效率可大大提高。当要遵从很多规则时,就要认真检查整个安全体系结构,而不仅是防火墙的。
规则次序很关键。同样的规则,以不同的次序放置,可能会完全改变防火墙的运转情况。一些防火墙具有自动给规则排序的特性,很多防火墙以顺序方式检查信息包。一般来说,应该将较特殊的规则放在前,较普通的规则放在后,这样可防止防火墙配置错误。
注意更改控制。恰当地组织好规则之后,写上注释并经常更新它们。注释可以帮助管理员明白哪条规则做什么。对规则理解得越透彻,错误配置的可能性就越小。特别是在规则较多时,建议当规则被修改时,把规则更改者的名字、变更的日期和时间、变更的原因加入注释中,这可以帮助管理员跟踪谁修改了哪条规则以及修改的原因。
做好审计工作。在安全审计中,经常能看到某个防火墙由于某个规则配置的错误而将机构暴露在巨大的危险之中。因此,不仅要对防火墙的操作进行审计,还要对审计内容本身进行审计。同时审计中要有明确的权限,充分保证审计内容的完全性。
路由安全为重
在网络的接入过程中,路由器是网络系统的主要设备,也是网络安全的前沿关口。如果路由器连自身的安全都无法保障,整个网络也就毫无安全可言。因此在网络安全管理上,必须对路由器进行合理规划、配置,采取必要的安全保护措施,避免因路由器自身的安全问题而给整个网络系统带来漏洞和风险。
下面是一些加强路由器安全的具体措施,用以阻止对路由器的攻击,并防范网络信息被窃取。
增加认证功能,提高网络安全性。路由器的一个重要功能是路由的管理和维护,目前具有一定规模的网络都采用动态的路由协议,烟草专网用的是Ospf协议。当一台设置了相同路由协议和相同区域标示符的路由器加入网络后,会学习网络上的路由信息表。但此种方法可能导致网络拓扑信息泄漏,也可能由于向网络发送自己的路由信息表,扰乱网络上正常工作的路由信息表,严重时可能使整个网络瘫痪。这个问题的解决办法是对网络内的路由器之间相互交流的路由信息进行认证。当路由器配置了认证方式,就会鉴别路由信息的收发方。有两种鉴别方式,其中“纯文本方式”安全性低,建议使用“MD5方式”。
物理安全防范。路由器控制端口是具有特殊权限的端口,如果攻击者物理接触路由器后,断电重启,实施“密码修复流程”后,就可以完全控制路由器,这就要求对进入机房的人员进行严格的审核。
保护路由器口令。在备份的路由器配置文件中,密码即使是用加密的形式存放,密码明文也仍存在被破解的可能。一旦密码泄漏,网络也就毫无安全可言,所以应当特别注意口令的保护工作。
管理HTTP服务。HTTP服务提供Web管理接口。“no ip http server”可以停止HTTP服务。如果必须使用HTTP,一定要使用访问列表“ip http access-class”命令,严格过滤允许的IP地址,同时用“ip http authentication ”命令设定授权限制。
抵御spoofing(欺骗)类攻击。使用访问控制列表,过滤掉所有目标地址为网络广播地址和宣称来自内部网络,而实际上却是来自外部的数据包。在路由器端口配置:ip access-group list in number 访问控制列表如下:
access-list number deny icmp any any redirect
access-list number deny ip 127.0.0.0 0.255.255.255 any
access-list number deny ip 224.0.0.0 31.255.255.255 any
access-list number deny ip host 0.0.0.0 any(注: 上述四行命令将过滤BOOTP/DHCP 应用中的部分数据包,在类似环境中使用时要有充分的认识。)
防止包嗅探。黑客经常将嗅探软件安装在已经侵入的网络上的计算机内,监视网络数据流,从而盗窃密码,包括SNMP通信密码,也包括路由器的登录和特权密码。网络管理员在不可信任的网络上不要用非加密协议登录路由器。如果路由器支持加密协议,请使用SSH或 Kerberized Telnet,或使用IPSec加密路由器所有的管理流。
校验数据流路径的合法性。使用RPF (Reverse Path Forwarding,反相路径转发)校验,由于攻击者地址是违法的,所以攻击包被丢弃,从而达到抵御spoofing攻击的目的。RPF反相路径转发的配置命令为: ip verify unicast rpf。注意: 首先要支持 CEF(Cisco Express Forwarding,快速转发)。
防止SYN攻击。目前,一些路由器的软件平台可以开启TCP拦截功能,防止SYN攻击,工作模式分拦截和监视两种,默认情况是拦截模式。(拦截模式: 路由器响应到达的SYN请求,并且代替服务器发送一个SYN-ACK报文,然后等待客户机ACK,如果收到ACK,再将原来的SYN报文发送到服务器; 监视模式: 路由器允许SYN请求直接到达服务器,如果这个会话在30秒内没有建立起来,路由器就会发送一个RST,以清除这个连接。)首先,配置访问列表,以备开启需要保护的IP地址: access list [1-199] [deny|permit] tcp any destination destination-wildcard。然后,开启TCP拦截: Ip tcp intercept mode intercept Ip tcp intercept list access list-number Ip tcp intercept mode watch。
使用安全的SNMP管理方案。SNMP广泛应用在路由器的监控、配置方面。SNMP Version 1在穿越公网的管理应用方面,安全性低,不适合使用。利用访问列表仅仅允许来自特定工作站的SNMP访问可以提升SNMP服务的安全性能。配置命令:snmp-server community (xxxxx RW xx xx是访问控制列表号)SNMP Version 2使用MD5数字身份鉴别方式。不同的路由器设备配置不同的数字签名密码,这是提高整体安全性能的有效手段。
设备备份系统。根据用户的网络情况,应注意骨干交换机、路由器等核心网络设备的备份。备份设备可以在段时间内替代网络中实际使用的设备,一旦核心设备出现故障,使用备件替换以减少网络故障时间。在交换机的配置上,应该给所有接入网络的IP设备进行IP和MAC的绑定,以防Arp病毒对整个网络造成影响,影响业务系统的正常运行。
链接一
规范其他设备接入
除了上述网络设备之外,与网络接入的其他相关设备也是响影安全的因素,任何一处的安全薄弱点被恶意攻击者利用的话,都有可能导致整个安全体系的崩溃,这就是安全的“木桶原理“。
服务器安全管理
1. 防病毒软件病毒库定期升级。
2. 服务器定期扫描、加固。
3. 防火墙日志备份、分析。
4. 入侵检测等安全设备日志备份。
5. 服务器日志备份。
6. 为了防止同一网段有服务器中病毒后发动Arp攻击,并影响其他服务器上应用的正常使用,应该在核心交换上做IP与MAC的绑定。
7. 对服务器进行安全设置。服务器使用NTFS文件系统、关闭默认共享、修改共享权限、对系统管理员账号改名处理、禁用TCP/IP 上的NetBIOS、防范拒绝服务攻击、IIS的安全配置等都非常重要。
管理好员工电脑接入
员工个人电脑是网络中接入数量最多的设备,我们在实践中进行如下管理办法:
1. 在主交换机上划分不同的VLAN网段。对关键应用,如呼叫中心、仓储管理、分拣等工作场所使用单独的网段,并禁止上外网,确保网络病毒不在这些关键网段中爆发。
2. 在主交换机上采用IP与MAC绑定技术。可以有效防止个人非法修改IP地址,阻止Arp等网络病毒的传播。
3. 采用Power IDS网络审计监控、网路岗等软件,对个人电脑进行安全监控。
4. 禁止3G等无线网卡在个人工作电脑上使用。以防止外网接入无法控制。
网络安全不单是指网络设备的安全,也是指与网络有关的所有设备与行为综合形成的结果。它们共同形成了木桶的安全效应。嘉兴烟草的网络建设遵循国家局、省局制定的网络规范,几年来达到了安全运行无事故,保证了信息系统的正常使用。
链接二
关闭非安全服务的指令
关闭察看路由器诊断的信息。关闭命令如下: no service tcp-small-servers no service udp-small-servers。
关闭查看路由器当前的用户列表。关闭命令为: no service finger。
关闭CDP服务。在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息: 设备平台、操作系统版本、端口、IP地址等重要信息。可以用命令: no cdp running或no cdp enable关闭这个服务。
关闭路由器接收带源路由标记的数据包。将带有源路由选项的数据流丢弃。 “IP source-route”是一个全局配置命令,允许路由器处理带源路由选项标记的数据流。启用源路由选项后,源路由信息指定的路由使数据流能够越过默认的路由,这种包就可能绕过防火墙。关闭命令如下: no ip source-route。
关闭路由器广播包的转发。Sumrf D.o.S攻击以有广播转发配置的路由器作为反射板,占用网络资源,甚至造成网络的瘫痪。应在每个端口应用“no ip directed-broadcast”关闭路由器广播包。