美章网 资料文库 局域网防火墙及预防病毒策略范文

局域网防火墙及预防病毒策略范文

本站小编为你精心准备了局域网防火墙及预防病毒策略参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。

局域网防火墙及预防病毒策略

关键词:网络安全设计容错

1、网络安全和防火墙

除了关注全球互联网对用户单位业务的积极影响之外,同时也要充分考虑到将因特网作为用户单位内部计算机网络延伸后的安全问题,若没有合适的防火墙解决方案,系统就会成为网络黑客们的众矢之的,所以恶意闯入来自四面八方,并进行某些恶意行为,例如:信息偷窃,甚至故意破坏。除了日趋严重的外部威胁以外,单位内部对系统安全构成危害的行为也在不断增加,许多系统侵入者都非常隐蔽,给网络系统安全造成潜在的很大损害,而当其所造成的危害被发现时往往已为时过晚。

网络安全的主要技术是防火墙技术(Firewall),防火墙技术的核心思想是在不安全的网间网环境中构造一个相对安全的子网环境。目前其实现方式有两种,即基于包过滤(PacketFilter)的防火墙和基于(Proxy)的防火墙。包过滤型防火墙处在网络层,根据IP包的包头信息来对信息的访问进行控制,而IP包的包头主要包括以下信息:IP包的源地址、目的地址、包类型、端口号,因此包过滤型防火墙主要完成基于地址和端口的过滤功能。基于的防火墙,也叫应用层防火墙,处于应用层,可对IP地址和发生在该IP地址上的具体应用进行控制,由于它能识别应用协议,因此可对应用的整个过程进行控制,比如在应用建立时的密码验证、在FIP应用中允许某站点get而不允许put等等。这两种防火墙各有优缺点,包过滤型防火墙由于基于网络层,因此对用户来说比较透明,但它一般采用“没被禁止的就是允许的”这一策略,在它失效时,网络是畅通的,这时内部网络将失去安全的屏障,而应用层防火墙采用“没被允许的就是禁止的”这一策略,在它失效时,内部网络与外部网络是隔离的,因此应用层防火墙要比包过滤型防火墙安全。

大多数路由器均支持包过滤功能,比如在Cisco路由器上可以通过设置称为access-list的过滤规则来实现包过滤功能:禁止外部网络对内部网络的某些重要机器的访问,禁止内部网络主机对Internet上部分站点的访问;并可利用端口号来选择控制的应用协议,比如TELNET的端口号为23、FTP的端口号为21、WWW的端口号为80等,这样就可以设置一些较复杂的规则,比如可以允许某台机器对Internet具有Email访问功能,却不能利用WWW和FIP等。

2、网络容错

计算机网络系统是整个业务运行的平台,服务器是整个网络运行的心脏,它能否可靠运行直接影响到日常业务的运作。

在主服务器发生故障的情况下,备用机能自动启动为主服务器,全面代替主服务器响应全部的网络服务请求,直至主服务器被恢复。由于采用了双机模式,备份服务器和主服务器的数据和程序完全一致,不会出现数据丢失的情况。

2.1概述

近年来,计算机和网络技术的普及大大提高了我们的工作效率,但同时也给我们的工作提出了更高的要求,无论是主管领导还是网络系统管理员都要面对一些非常严峻的问题,其中最值得关注的就是系统失效问题和数据安全。

造成计算机系统失效的因素归纳起来可分为两类:一类是自然灾害(包括人为破坏);另一类是系统缺陷,即计算机系统自身的不可靠因素,如:误操作、软件缺陷、硬件老化、病毒等。电压突然波动等原因都有可能造成硬盘损坏。主要有下列两种故障:

网络设备故障:传输距离过长、设备添加与移动、传输介质的质量问题和老化都有可能造成网络故障。

2.2逻辑故障

逻辑故障包括两种,第一种是系统虽然能够正常运行,但实际已经有部分损坏,如数据文件丢失、程序丢失等。第二种是系统本身虽然完好无损,可是系统中的部分数据是错误的,这类故障的隐蔽性很强,通常难以发现,更难以修复。

常见的几种逻辑故障包括:

1)数据不完整:系统缺少完成业务所必须的数据;

2)数据不一致:系统数据是完全的,但逻辑关系不正确;

3)数据错误:系统数据是完全的,也符合逻辑关系,但数据是错误的,与实际不符。

逻辑故障隐蔽性强,往往带有巨大的破坏性,是造成损失的主要原因。系统的正常运转和数据的安全对我们如此重要,而不安全因素又不能回避。那么怎样才能提高系统的可用性?以及在遇到灾难时又如何尽快恢复系统,将损失减少到最小?

2.3措施方案

对服务器进行容错,对整个网络系统采取完善的备份措施。常言道有备无患,只有这样网络才会发挥它的效能,而不是包袱。

系统拥有好的备份系统和备份方案,可以将灾难的损失减小到最低程度。一般地,在硬件一级有磁盘镜像、磁盘阵列、双机容错等备份方案;在软件一级有热修复、数据拷贝等措施。

磁盘镜像/硬盘双工:可以防止单个硬盘的物理故障,但无法防止逻辑故障,而且当一个硬盘出现故障时,系统无法工作。对普通网络应用这是最基本的容错手段,WindowsNT和Netware均支持软件硬盘镜像,但运行时系统资源被大量占用,且不稳定,系统盘的镜像往往不能正常启动。

磁盘阵列:磁盘阵列(RAID)是一项非常优秀的容错技术,以Escort系列为例,它支持RAID0至RAID5,可以防止单个硬盘的物理故障。不但满足了容错的要求,容量可以很大且性能得以极大提升。磁盘阵列以SCSI与服务器相连,支持各种操作系统,磁盘阵列的应用解决了磁盘上的数据安全问题,对于系统级物理故障可以采取双机容错的方式。

双机容错:可以防止单台计算机的物理故障,当一台计算机出现故障时,系统仍然可以工作。数据不会丢失,备份服务器可以在很短时间内接替工作。

热修复:可以防止硬盘的区域性损坏,但无法防止逻辑故障,当出现故障时,系统予以修复后,可以继续工作。

数据拷贝:可以防止系统的物理故障,在一定程度上防止逻辑故障。

由上述可知,前四种措施可以防止一般的物理故障,在出现系统损坏(整个系统遭受灾难性打击)和逻辑故障的情况下,则需要采取第五种措施。在有严格的备份方案和计划的前提下,数据备份能够在一定程度上防止逻辑故障。然而,上述方案中没有一种措施能够使系统从大的灾难中迅速恢复出来。当灾难发生时,即使所有5种措施都采用了,仍然需要按下列步骤进行恢复:1)恢复硬件;2)重新装入操作系统;3)设置操作系统(驱动程序设置、系统设置、用户设置等);4)重新装入应用程序,进行系统设置;5)用最新的备份恢复系统数据。

即使一切顺利,这一过程也至少需要1~3天时间。这么漫长的恢复时间几乎是不可忍受的,也会严重损害企业声誉。由此可见:完善的安全的系统数据方案应有双机容错和严格的备份和灾难恢复计划。

双机容错软件针对不同的操作系统有不同软件和版本,如Novell的FSTIII、Standby,WindowsNT中有Ncr的LifekeeperforNT、Neocluster、WindowsNTmscluster,Unix环境下的容错软件有DHBS、GDS、东方龙马等等。服务器可以是任何INTEL基础上的平台,SERVER的型号、配置不必一致,只需硬件平台能保证NT运行;磁盘阵列正常使用。

3、局域网防火墙及防病毒解决方案

网络安全风险分析

对于信息网所面临的安全风险涉及网络环境多方面,包括:1)自然灾害——水灾、火灾、地震等;2)电子化系统故障——系统硬件、电力系统故障等;3)人员无意识行为——编码缺陷、系统配置漏洞、误操作及无意泄漏等;4)人员蓄意行为——网络环境可用性破坏、恶意攻击等。

其中,前三个方面的风险能够通过增强对网络环境的抗自然灾害的能力、加强网络设备管理维护、系统操作管理等手段来加以完善,尽可能将风险降低到能够被控制和管理的程度。

而对于第四方面的安全风险,对整个信息网的安全环境所构成的危害最大,同时也是最难于管理与防范的。且不仅仅能够通过加强对网络环境及人员的安全管理所能够实现的,尽管安全管理非常重要。

同时需要相应的安全技术手段辅助完成。这也是本安全方案所要详细阐述的。

对于在信息网环境中,采取何种安全技术手段且如何实现,就需要通过对前面提到第四方面的安全风险的分析的基础上,针对信息网安全需求来确定。

对于风险来说,它应包括那些可以被管理但又不能被清除的,以及那些能够中断网络工作流并对工作环境造成破坏性的威胁。其中,主要包括:1)对于网络应用服务的非授权访问;2)信息交互的保密性;3)网络病毒的传播与渗入;4)网络黑客行为。

通过对以上主要的网络威胁分析,能够准确把握信息网的网络安全需求。

4、安全管理的两个方面

4.1内部安全管理

主要是建立内部安全管理制度,如机房管理制度、设备管理制度、安全系统管理制度、病毒防范制度、操作安全管理制度、安全事件应急制度等,并采取切实有效的措施保证制度的执行。内部安全管理主要采取行政手段和技术手段相结合的方法。

4.2网络安全管理

在网络上设置防病毒安全检测系统后,必须保证防病毒系统的设置正确,且其配置不允许被随便修改。采用用户和口令认证机制加强对用户的管理,可以通过软件本身和一些网络层的管理工具来实现。

安全方案:根据对信息网现阶段的安全需求分析,在设计安全方案时,将采取一切有力的措施,来实现信息网现阶段的安全目标,考虑到现阶段对网络病毒的管理要求,提出对网络病毒防范和管理控制建议,并提出了现阶段的网络安全管理方案。如可选用防病毒的是瑞星企业版。

网络设备的安全配置:信息网中,整个网络的安全首先要确保网络设备的安全,保证非授权用户不能访问网络任意的网络通讯设备(例如:路由器,交换机等)。对不同型号、厂家的网络设备,要防范的内容是一样的,但具体的配置方法须依照设备要求来实现。

对服务器访问的控制:对于服务器用户可以设置不同的用户权限,如“非特权”和“特权”两种访问权限,非特权访问权限允许用户在服务器上查询某些公众信息但无法对服务器进行配置,特权访问权限则允许用户对服务器进行完全的配置。

对服务器访问的控制建议使用以下的方式:1)控制台访问控制;2)限制访问空闲时间;3)口令的保护;4)多级管理员权限。

采用六级安全机制:路由器级(包过滤)、硬件防火墙级、网管级、操作系统级、数据库级、应用级,涵盖了从物理层到应用层的所有范围。

路由器级:第一道防火墙采用Cisco2811路由器实现包过滤,完成系统的访问控制功能,屏蔽掉关键服务器的MAC地址,禁止外部对内部某些重要主机的访问,同时禁止内部对外部某些站点或网络的访问。

防火墙级:系统采用Cisco公司的防火墙产品PIX520,它是一种硬件解决方案。主要优点在于,比其它防火墙方式更安全有效,而且,更好的支持多媒体信息的传输,使用与管理更方便。PIX具有双以太网口(内部网与DMZ各一个);可组成虚拟专用网并加密;在防止非法侵入的同时还可有效的限制内部对外的访问。

网管级:利用CISCO公司CISCOWORKSWINDOWS的网管功能,划分VLAN。

操作系统级:选用Windows2000SEVER或windows2003swever作为服务器操作系统,它采用了增强的安全措施,通过登陆认证、用户授权、信息加密等安全机制限制了用户对关键数据的非法操作。

数据库级(ORACLE):ORACLE支持维护管理数据库服务器、各种数据库设备,对象(包括表),用户及拥有的权限等,建立具有不同访问权限的多种类型的用户组,并能对用户进行分组授权。

Oracle完全满足NCSC的C2级安全标准,并早已通过相应的标准测试,在B1级的操作系统上,ORACLE早已提供满足NCSC的B1级或ITSEC的ITSE。

5、如何实现防火墙

每一种不彻底公开的内部网络与Internet最大的区别是安全性,网络建成后,内部网与公共网之间将实现单向访问控制,通过防火墙进行隔离。防火墙技术是实现网络安全的重要保证。它可分为两种,即基于包过滤(PACKETFILTER)的网络级防火墙和基于(PROXY)的应用级防火墙。

6、结束语

这两种防火墙各有优缺点,在一般的内部网防火墙构架中,综合利用了这两种技术,下面是整个防火墙系统的介绍:第一道防火墙采用CISCO路由器实现包过滤,完成访问控制功能:禁止外部对内部某些重要主机的访问,同时禁止内部对外部某些站点或网络的访问。第二道防火墙采用一台工作站来充当服务器,实现内部网对INTERNET的访问,同时实现隔离功能,禁止外部网络对内部网络的访问。