一,網絡安全結構:
1,網絡設備的安全(路由器和交換機等);
2,操作系統的安全(Windows和Linux);
3,應用程序(Web,Exchange,SQL server)
二,網絡安全的威脅問題:
1, 網絡設備面臨的威脅
- 弱口令(密碼的強度不夠)
- IOS自身的缺陷
- 非授權用戶可以管理設備
- CDP協議造成的泄漏
2, 操作系統面臨的威脅
Windows:
- Windows內核消息處理本地緩衝區溢出漏洞
- 系統管理員的口令強度不夠
- 未用NTFS分區進行文件的管理
- 未啓用審覈策略
- 開啓了不必要的服務
- 沒有及時更新系統漏洞補丁
Linux:
- 拒絕Dos***
- 本地用戶獲取非授權文件的讀寫權限
- 遠程用戶獲得root權限
- 遠程用戶獲得特權文件的讀寫權限
3,應用程序面臨的威脅
Exchange主要是垃圾郵件的危害和系統漏洞的***;對於SQL server主要是對SA這個超級管理員的口令設置太簡單,導致暴露信息而被***;Web服務器主要是***非法***內部站點。
Web服務器存在的漏洞主要有:
物理路徑泄漏
CGI源代碼泄漏
目錄遍歷
執行任意命令
緩衝區溢出
拒絕服務
跨站腳本執行
4,企業面臨的其他威脅有:基於***的***和來自企業
內網的破壞行爲等等。
三,網絡的安全管理方案:
1,設備安全防護:
◆路由器的安全管理:
●配置管理路由器的五種方法:Console口接終端
運行終端仿真軟件的PC
通過AUX連接Modem,通過電話線與遠方終端相連
通過網絡中的TETP服務器
通過Telnet程序
通過網絡中的SNMP網管工作站
●針對路由的***主要類型:
> 通過某種手段或途徑獲得管理權限,直接侵入系統內部。
>通過遠程***的方法造成路由器崩潰死機或運行效率顯著下降。
●路由器的安全解決方案:
>及時修補程序與更新IOS;
>阻止非必要的數據流(利用ACL);
>加強管理和訪問控制:應用強密碼策略(加密)
控制遠程訪問和控制檯訪問
關閉基於Web的設置
>關閉其他不必要的服務(bootp,dns等);
>關閉審覈和查看日誌(AAA日誌,SNMP日誌和系統日誌)。
◆交換機的安全管理方案:
>修補程序與更新IOS;
>使用管理訪問控制系統;
>禁用未使用的端口;
>關閉危險服務(http等);
>利用VLAN技術加強內部網絡安全。
2,操作系統的安全防護:
◆Windows的安全管理方案:
基本設置:
>停用guest賬戶
>限制不必要的用戶數量
>改名administrator帳號(重命名或新建帳號在賦予權限)
>共享文件的權限從“everyone”組改成授權用戶
>使用安全口令
>啓用賬戶策略
>使用NTFS分區
增強設置:
>關閉不必要的服務
>設定安全策略
>打開審計策略
>把敏感文件放在另外的服務器上
>系統上不顯示上次登陸名(打開系統註冊表,更改註冊表中的HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName
選項,把REG_SZ的鍵值改成“1”)
>禁止建立空連接(把註冊表中Local—
Machine\System\CurrentControlSet\
Control\LSA-RestrictAnonymous的值改成“1”)
>關閉默認共享(在註冊表中添加
HKEY_LOCAL_MACHINE\SYSTEM\Current
ControlSet\Services\LanmanServer\Parameters把AutoShare
的DWORD鍵值改爲"00000000")
>使用MBSA掃描系統漏洞
◆Linux的安全管理方案:
>使用GRUB口令
>刪除所有的特殊帳戶
>修改默認的密碼長度
>打開密碼的shadow支持功能
>禁止所有不必要的服務
>屏蔽系統信息
>不允許root從不同的控制檯上登錄
> 禁止隨意通過su命令將普通用戶更換改爲root用戶
>禁止按“Ctrl+Alt+Del”鍵關閉命令
>使用遠程SSH進行登錄
>配置防火牆
>保持最新的系統內核
>訪問安全站點
3,應用程序的安全防護:
◆ web服務器的安全管理:
>打系統補丁
>利用SSL安全訪問
>只開放那個web服務器端口
>web服務器方專門區域,防火牆保護
>IIS安裝目錄不要放在系統盤,存在NTFS分區
>設置www目錄的訪問權限
◆SQL server的安全管理:
>確認已安裝SQL最新補丁程序
>使用安全的帳號策略
>選擇正確的身份驗證模式
>加強數據庫日誌記錄
>除去不需要的網絡協議