資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。摘要:無線網(wǎng)狀網(wǎng)由網(wǎng)格路由器和網(wǎng)格客戶端組成,其中網(wǎng)狀路由器具有最小可移動性,形成了無線網(wǎng)狀網(wǎng)的骨干,它們同時為網(wǎng)狀客戶端和普通客戶端提供網(wǎng)絡(luò)訪問。針對大型公司,網(wǎng)絡(luò)情況復(fù)雜,針對這種網(wǎng)絡(luò)環(huán)境,網(wǎng)絡(luò)安全特別重要。無線網(wǎng)狀網(wǎng)將承載大量不同應(yīng)用的無線服務(wù)。盡管近期無線網(wǎng)狀網(wǎng)有了快速進(jìn)步,但許多研究始終面臨著各協(xié)議層的挑戰(zhàn)。本文將呈現(xiàn)給大家針對某大型公司的網(wǎng)絡(luò)拓?fù)?進(jìn)行網(wǎng)絡(luò)安全規(guī)劃。本文將從分析安全需求、制定安全策略、完善安全措施、部署安全產(chǎn)品、強(qiáng)化安全管理五個方面來闡述對問題的分析和解決。關(guān)鍵詞:網(wǎng)絡(luò)安全;安全審計;路由協(xié)議;安全策略;一．網(wǎng)絡(luò)結(jié)構(gòu)示意圖以及安全設(shè)計要求1.網(wǎng)絡(luò)拓?fù)鋱D如下2.安全設(shè)計要求設(shè)計一套基于入侵檢測、安全審計、安全掃描的安全解決方案。要求從分析安全需求、指定安全策略、完善安全措施、部署安全產(chǎn)品、強(qiáng)化安全管理五個方面來闡述設(shè)計的安全方案。網(wǎng)絡(luò)安全需求分析主要網(wǎng)絡(luò)安全威脅網(wǎng)絡(luò)系統(tǒng)的可靠于準(zhǔn)是基于通訊子網(wǎng)、計算機(jī)硬件和操作系統(tǒng)及各種應(yīng)用軟件等各方面、各層次的良好運行。因此,它的風(fēng)險將來自于企業(yè)的各個關(guān)鍵點可能造成的威脅,這些威脅可能造成總體功能的失效。由于在這種廣域網(wǎng)分布式計算環(huán)境中,相對于過去的局域網(wǎng)、主機(jī)環(huán)境、單機(jī)環(huán)境,安全問題變得越來越復(fù)雜和突出,因此網(wǎng)絡(luò)安全分析成為制定有效的安全管理策略和選擇有作用的安全技術(shù)實施措施的基礎(chǔ)。安全保障不能完成基于思想教育或新任。而應(yīng)基于”最低權(quán)限”和”互相監(jiān)督”法則,減少保密信息的介入范圍,盡力消除使用者為使用資源不得不信任她人或被她人信任的問題,建立起完整的安全控制體系和保證體系。經(jīng)過以上對該網(wǎng)絡(luò)結(jié)構(gòu)的分析和闡述,當(dāng)前該網(wǎng)絡(luò)的規(guī)模大,結(jié)構(gòu)復(fù)雜,包括下屬多個分公司和辦事處,經(jīng)過VPN和總公司聯(lián)通的出差人員。該網(wǎng)絡(luò)上運行著各種各樣的主機(jī)和應(yīng)用程序,使用了多種網(wǎng)絡(luò)設(shè)備;同時,由于多種業(yè)務(wù)需求,又和許多其它網(wǎng)絡(luò)進(jìn)行連接。因此,該計算機(jī)網(wǎng)絡(luò)安全應(yīng)該從以下幾個方面進(jìn)行考慮:外部網(wǎng)絡(luò)連接及數(shù)據(jù)訪問出差在外的移動用戶的連接;分公司主機(jī)對總公司和其它分公司辦事處的連接;各種類型的辦事處對總公司和分公司的連接;托管服務(wù)器網(wǎng)站對外提供的公共服務(wù);內(nèi)部網(wǎng)絡(luò)連接經(jīng)過DDN專線連接的托管服務(wù)器網(wǎng)站;辦公自動化網(wǎng)絡(luò);同一網(wǎng)段中不同部門間的連接連接在同一交換機(jī)上的不同部門的主機(jī)和工作站的安全問題;其中外部網(wǎng)絡(luò)攻擊威脅主要來自(1),內(nèi)部網(wǎng)絡(luò)安全問題集中在(2)、(3)。來自外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的安全威脅(1)來自外部網(wǎng)絡(luò)的安全威脅由于業(yè)務(wù)的需要,網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行了連接,這些安全威脅主要包括:內(nèi)部網(wǎng)絡(luò)和這些外部網(wǎng)絡(luò)之間的連接為直接連接,外部網(wǎng)絡(luò)能夠直接訪問內(nèi)部網(wǎng)絡(luò)主機(jī)。由于外部和內(nèi)部經(jīng)過一條VPN隧道相連通沒有相應(yīng)的隔離措施,內(nèi)部系統(tǒng)比較容易遭到攻擊。由于業(yè)務(wù)需要,公司員工經(jīng)常需要出差,而且該移動用戶使用當(dāng)?shù)氐腎SP撥號上網(wǎng)連接上Internet進(jìn)入內(nèi)部網(wǎng)網(wǎng)絡(luò),這時非法的Internet用戶也能夠經(jīng)過各種手段訪問內(nèi)部網(wǎng)絡(luò)。這種連接使內(nèi)部網(wǎng)絡(luò)很容易受到來自Internet的攻擊。對于來自外網(wǎng)的各種攻擊,我們能夠利用防病毒、防火墻和防黑客技術(shù)加以防范。在本次分析的拓?fù)鋱D中對于總公司的內(nèi)網(wǎng),在內(nèi)網(wǎng)口分別加入了網(wǎng)絡(luò)監(jiān)控設(shè)備,殺毒中心和防火墻,能夠有效的抵御來自外網(wǎng)的大部分攻擊。(2)來自內(nèi)部網(wǎng)絡(luò)的安全威脅從拓?fù)鋱D中能夠看到,該企業(yè)整個計算機(jī)網(wǎng)絡(luò)有一定的規(guī)模,分為多個層次,網(wǎng)絡(luò)上的節(jié)點眾多,網(wǎng)絡(luò)應(yīng)用復(fù)雜,網(wǎng)絡(luò)管理困難。管理的難點主要有:網(wǎng)絡(luò)實際結(jié)構(gòu)無法控制;網(wǎng)管人員無法及時了解網(wǎng)絡(luò)的運行狀況;無法了解網(wǎng)絡(luò)的漏洞和可能發(fā)生的攻擊;對于已經(jīng)或正在發(fā)生的攻擊缺乏有效的追查手段。內(nèi)部網(wǎng)絡(luò)的安全涉及到技術(shù)、應(yīng)用以及管理等多方面的因素,只有及時發(fā)現(xiàn)問題,確定網(wǎng)絡(luò)安全威脅的來源才能制定全面的安全策略,有效的保證網(wǎng)絡(luò)安全。安全策略制定安全策略分安全管理策略和安全技術(shù)實施策略兩個方面:安全管理策略安全系統(tǒng)需要人來執(zhí)行,即使是最好的、最值得信賴的系統(tǒng)安全措施,也不能完全由計算機(jī)系統(tǒng)來完全承擔(dān)安全保證任務(wù),因此必須建立完備的安全組織和管理制度。安全技術(shù)策略技術(shù)策略要針對網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、信息共享授權(quán)提出具體措施。由于網(wǎng)絡(luò)的互連是在鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層不同協(xié)議層來實現(xiàn),各個層的功能特性和安全特性也不同,因而其網(wǎng)絡(luò)安全措施也不相同。物理層安全涉及傳輸介質(zhì)的安全特性,抗干擾、防竊聽將是物理層安全措施制定的重點。在鏈路層,經(jīng)過”橋”這一互連設(shè)備的見識和控制作用,使我們能夠建立一定程度的虛擬局域網(wǎng),對物理和邏輯網(wǎng)段進(jìn)行有效的分割和隔離,消除不同安全級別邏輯網(wǎng)段間的竊聽可能。在網(wǎng)絡(luò)層,能夠經(jīng)過對不同子網(wǎng)的定義和對路由器的路由表控制來限制子網(wǎng)間的接點通信,經(jīng)過對主機(jī)路由表的控制來控制與之直接通信的節(jié)點。同時,利用網(wǎng)關(guān)的安全控制能力,能夠限制節(jié)點的通信、應(yīng)用服務(wù),并加強(qiáng)外部用戶識別和驗證能力。對網(wǎng)絡(luò)進(jìn)行級別劃分與控制,網(wǎng)絡(luò)級別的劃分大致包括Internet—企業(yè)網(wǎng)、骨干網(wǎng)—區(qū)域網(wǎng)、區(qū)域網(wǎng)—部門網(wǎng)、部門網(wǎng)—工作組網(wǎng)等。其中internet—企業(yè)網(wǎng)的接口要采用專業(yè)防火墻,骨干網(wǎng)—區(qū)域網(wǎng)、區(qū)域網(wǎng)—部門網(wǎng)的接口利用路由器的可控路由表、安全郵件服務(wù)器、安全撥號驗證服務(wù)器和安全級別較高的操作系統(tǒng)。增強(qiáng)網(wǎng)絡(luò)互連的分割和過濾控制,也能夠大大提高安全保密性。安全措施完善中心的網(wǎng)絡(luò)結(jié)構(gòu)中采用了大量的交換機(jī),作為骨干交換設(shè)備的交換機(jī)往往也是攻擊者發(fā)起攻擊的對象,一旦交換機(jī)被攻擊,整個網(wǎng)絡(luò)可能存在癱瘓的嚴(yán)重后果,交換機(jī)內(nèi)依賴的是固有的網(wǎng)絡(luò)操作系統(tǒng)ios,解決交換機(jī)的安全問題也應(yīng)依靠口令和自身漏洞修補(bǔ)等多方面來考慮。中心互連設(shè)備中使用了大量的路由、交換設(shè)備。她們都支持SNMP簡單網(wǎng)管協(xié)議,而且當(dāng)前我們的監(jiān)控體系是符合SNMP協(xié)議來實現(xiàn)監(jiān)控功能的,這些設(shè)備都維護(hù)著一個含有設(shè)備運行狀態(tài)、接口信息等資料的MIBS庫,運行著SNMP的主機(jī)或設(shè)備能夠成為SNMPAGENT。SNMP管理端和代理端的通信驗證問題僅僅取決兩個community值,一個是RO值,另一個是RW值,擁有RO值的管理端能夠查看設(shè)備的一些信息包括名稱、接口、ip地址等;擁有RW值得管理端則能夠完全管理該設(shè)備。但大多支持SNMP的互連設(shè)備都是出于運行模式,至少有一個RO的默認(rèn)值為public,這樣會泄露很多的重要信息。另外,擁有RW默認(rèn)值的設(shè)備在互聯(lián)網(wǎng)上也很多,導(dǎo)致互聯(lián)網(wǎng)設(shè)備的癱瘓和流量不正常,如果沒有冗余設(shè)備,那樣整個內(nèi)部網(wǎng)絡(luò)就會癱瘓。另外還需要在內(nèi)網(wǎng)對VLAN進(jìn)行安全劃分。在骨干將還擊上按不同應(yīng)用劃分VLAN,并配置三層路由,按照應(yīng)用和職責(zé)平直訪問控制列表,重點保護(hù)內(nèi)網(wǎng)中重要的部門VLAN,在其它交換機(jī)上配置trunkon,使其識別骨干交換機(jī)的VLAN劃分和安全策略配置。將網(wǎng)絡(luò)設(shè)備的管理IP設(shè)置在受保護(hù)的VLAN中,并修改ACL使得其它網(wǎng)段的主機(jī)無法遠(yuǎn)程登錄到交換機(jī)系統(tǒng)。登錄交換機(jī)后對鏈路實施加密傳輸,保證信息不被竊取。部署安全產(chǎn)品在進(jìn)行網(wǎng)絡(luò)安全方案的產(chǎn)品選擇時,要求安全產(chǎn)品至少應(yīng)包含以下功能:訪問控制:經(jīng)過對特定網(wǎng)段、服務(wù)建立的訪問控制體系,將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前;檢查安全漏洞:經(jīng)過對安全漏洞的周期檢查,即使攻擊能夠達(dá)到目標(biāo),也可使絕大多數(shù)攻擊無效;攻擊監(jiān)控:經(jīng)過對特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系,可實時監(jiān)測出絕大多數(shù)攻擊,并采取相應(yīng)的行動(如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等);加密通訊:主動的加密通訊,可使攻擊者不能了解、修改敏感信息;認(rèn)證:良好的認(rèn)證體系可防止攻擊者假冒合法用戶;備份和回復(fù):良好的備份和恢復(fù)機(jī)制,能夠在攻擊造成損失時,盡快的恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù);多層防御:攻擊者在突破第一道防線后,延緩或阻斷其到達(dá)攻擊目標(biāo);隱藏內(nèi)部信息:使攻擊者不能了解系統(tǒng)內(nèi)部的基本情況;設(shè)立安全監(jiān)控中心:為信息系統(tǒng)提供安全體系管理、監(jiān)控,保護(hù)及緊急情況服務(wù)。強(qiáng)化安全管理計算機(jī)信息系統(tǒng)的安全管理主要基于三個原則:多人負(fù)責(zé)原則每項與安全有關(guān)的活動必須有兩人或多人在場。任期有限原則一般來說,任何人最好不要長期擔(dān)任與安全有關(guān)的職務(wù)。職責(zé)分離原則除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn),在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)外、與安全有關(guān)的任何事。信息系統(tǒng)的安全管理部門應(yīng)根據(jù)以上管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性,指定相應(yīng)的管理制度或采用相應(yīng)的規(guī)范,其具體工作有:確定該系統(tǒng)的安全等級;根據(jù)確定的安全等級,確定安全管理的范圍;制定相應(yīng)的機(jī)房出入管理制度,對安全等級要求較高的系統(tǒng),要實行分區(qū)控制,限制工作人員出入與己無關(guān)的區(qū)域;制定嚴(yán)格的操作規(guī)程,操作規(guī)程要根據(jù)職責(zé)分離和多人負(fù)責(zé)原則,各負(fù)其責(zé),不能超越自己的管轄范圍;指定完備的系統(tǒng)維