##網絡安全結構
- 網絡設備的安全(路由器和交換機等)
- 操作系統的安全(Windows和Linux)
- 應用程序(Web,Exchange,SQL server)
##網絡安全的威脅問題
####1.網絡設備面臨的威脅
- 弱口令(密碼的強度不夠)
- IOS自身的缺陷
- 非授權用戶可以管理設備
- CDP協議造成的泄漏
####2.操作系統面臨的威脅
Windows
- Windows內核消息處理本地緩衝區溢出漏洞
- 系統管理員的口令強度不夠
- 未用NTFS分區進行文件的管理
- 未啓用審覈策略
- 開啓了不必要的服務
- 沒有及時更新系統漏洞補丁
Linux
- 拒絕Dos攻擊
- 本地用戶獲取非授權文件的讀寫權限
- 遠程用戶獲得root權限
- 遠程用戶獲得特權文件的讀寫權限 ####3.操作系統面臨的威脅
- Exchange主要是垃圾郵件的危害和系統漏洞的攻擊
- 對於SQL server主要是對SA這個超級管理員的口令設置太簡單,導致暴露信息而被攻擊
- Web服務器主要是黑客非法攻擊內部站點
Web服務器存在的漏洞主要有
- 物理路徑泄漏
- CGI源代碼泄漏
- 目錄遍歷
- 執行任意命令
- 緩衝區溢出
- 拒絕服務
- 跨站腳本執行 ####4.企業面臨的其他威脅有:基於木馬的入侵和來自企業,內網的破壞行爲等等
##網絡的安全管理方案
####1.設備安全防護
######路由器的安全管理 配置管理路由器的五種方法
- 1、Console口接終端
- 2、運行終端仿真軟件的PC
- 3、通過AUX連接Modem,通過電話線與遠方終端相連
- 4、通過網絡中的TETP服務器
- 5、通過Telnet程序
- 6、通過網絡中的SNMP網管工作站
針對路由的攻擊主要類型
- 通過某種手段或途徑獲得管理權限,直接侵入系統內部。
- 通過遠程攻擊的方法造成路由器崩潰死機或運行效率顯著下降。
######路由器的安全解決方案
- 及時修補程序與更新IOS
- 阻止非必要的數據流(利用ACL)
- 加強管理和訪問控制:應用強密碼策略(加密)、控制遠程訪問和控制檯訪問、關閉基於Web的設置
- 關閉其他不必要的服務(bootp,dns等)
- 關閉審覈和查看日誌(AAA日誌,SNMP日誌和系統日誌)
######交換機的安全管理方案
- 修補程序與更新IOS
- 使用管理訪問控制系統
- 禁用未使用的端口
- 關閉危險服務(http等)
- 利用VLAN技術加強內部網絡安全
####2.操作系統的安全防護
######Windows的安全管理方案
######基本設置
- 停用guest賬戶
- 限制不必要的用戶數量
- 改名administrator帳號(重命名或新建帳號在賦予權限)
- 共享文件的權限從“everyone”組改成授權用戶
- 使用安全口令
- 啓用賬戶策略
- 使用NTFS分區
######增強設置
- 關閉不必要的服務
- 設定安全策略
- 打開審計策略
- 把敏感文件放在另外的服務器上
- 系統上不顯示上次登陸名(打開系統註冊表,更改註冊表中的HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName 選項,把REG_SZ的鍵值改成“1”)
- 禁止建立空連接(把註冊表中Local— Machine\System\CurrentControlSet\ Control\LSA-RestrictAnonymous的值改成“1”)
- 關閉默認共享(在註冊表中添加 HKEY_LOCAL_MACHINE\SYSTEM\Current ControlSet\Services\LanmanServer\Parameters把AutoShare 的DWORD鍵值改爲"00000000")
- 使用MBSA掃描系統漏洞
######Linux的安全管理方案
- 用GRUB口令
- 除所有的特殊帳戶
- 改默認的密碼長度
- 開密碼的shadow支持功能
- 止所有不必要的服務
- 蔽系統信息
- 允許root從不同的控制檯上登錄
- 禁止隨意通過su命令將普通用戶更換改爲root用戶
- 止按“Ctrl+Alt+Del”鍵關閉命令
- 用遠程SSH進行登錄
- 置防火牆
- 持最新的系統內核
- 問安全站點
####3.應用程序的安全防護
######web服務器的安全管理
- 打系統補丁
- 利用SSL安全訪問
- 只開放那個web服務器端口
- web服務器方專門區域,防火牆保護
- IIS安裝目錄不要放在系統盤,存在NTFS分區
- 設置www目錄的訪問權限 ######SQL server的安全管理
- 確認已安裝SQL最新補丁程序
- 使用安全的帳號策略
- 選擇正確的身份驗證模式
- 加強數據庫日誌記錄
- 除去不需要的網絡協議