局域網(wǎng)安全

一、回顧常見的***方式

【漏洞掃描與利用】：

通過特定的操作過程，或使用專門地漏洞***程序，利用現(xiàn)有操作系統(tǒng)、應(yīng)用軟件中的漏洞，來***系統(tǒng)或獲取特殊權(quán)限。如網(wǎng)頁***利用了IE等瀏覽器的漏洞、SQL注入利用了網(wǎng)頁代碼的漏洞。

【病毒***植入】：

通過向用戶系統(tǒng)中植入病毒或***程序，破壞用戶數(shù)據(jù)、竊取用戶信息或者暗中控制用戶系統(tǒng)。如發(fā)送帶有病毒的電子郵件、通過網(wǎng)站掛馬等方式都可以將病毒或***安裝到用戶系統(tǒng)中。

【DDoS***】：

DDoS（Distributed Denial of Service）就是分布式拒絕服務(wù)，最基本的DoS***就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使服務(wù)器無法處理合法用戶的請求。很多DoS***源一起***某臺服務(wù)器就組成了DDoS***。

【網(wǎng)絡(luò)釣魚】：

***者利用欺騙性的電子郵件、短信或QQ等引誘用戶訪問偽造的網(wǎng)站來進行網(wǎng)絡(luò)詐騙，受害者往往會泄露自己的私密信息，如銀行卡號與密碼、×××號等。從外觀上來看，***者偽造的網(wǎng)站與真正的網(wǎng)站幾乎一模一樣，網(wǎng)站域名也比較相似。如招商銀行的真正網(wǎng)址為wwwNaNbchina.com，***者偽造一個外觀相仿的wwwNaNdchina.com站點，并向受害者發(fā)送譬如“您的網(wǎng)銀賬號于x月x日登錄失敗超過15次，為了提高賬號安全性，建議登錄http://wwwNaNdchina.com網(wǎng)站重置密碼……”的郵件，從而誘使其訪問偽造的站點以盜取用戶的網(wǎng)銀賬號和密碼等信息。

除此之外，還有密碼破解、網(wǎng)絡(luò)監(jiān)聽、電子郵件***等***方式。

二、局域網(wǎng)安全防護

（1）、物理安全

存放位置：將關(guān)鍵設(shè)備集中存放到一個單獨的機房中，并提供良好的通風(fēng)、消防

電氣設(shè)施條件

人員管理：對進入機房的人員進行嚴(yán)格管理，盡可能減少能夠直接接觸物理設(shè)備

的人員數(shù)量

硬件冗余：對關(guān)鍵硬件提供硬件冗余，如RAID磁盤陣列、熱備份路由、UPS不

間斷電源等

（2）、網(wǎng)絡(luò)安全

端口管理：關(guān)閉非必要開放的端口，若有可能，網(wǎng)絡(luò)服務(wù)盡量使用非默認(rèn)端口，

如遠(yuǎn)程桌面連接所使用的3389端口，最好將其更改為其他端口

加密傳輸：盡量使用加密的通信方式傳輸數(shù)據(jù)據(jù)，如HTTPS、×××，IPsec...，

一般只對TCP協(xié)議的端口加密，UDP端口不加密

***檢測：啟用***檢測，對所有的訪問請求進行特征識別，及時丟棄或封鎖攻

擊請求，并發(fā)送擊擊警告

（3）、系統(tǒng)安全

系統(tǒng)/軟件漏洞：選用正版應(yīng)用軟件，并及時安裝各種漏洞及修復(fù)補丁

賬號/權(quán)限管理：對系統(tǒng)賬號設(shè)置高強度的復(fù)雜密碼，并定期進行更換，對特定

人員開放其所需的最小權(quán)限

軟件/服務(wù)管理：卸載無關(guān)軟件，關(guān)閉非必要的系統(tǒng)服務(wù)

病毒/***防護：統(tǒng)一部署防病毒軟件，并啟用實時監(jiān)控

（4）、數(shù)據(jù)安全

數(shù)據(jù)加密：對保密性要求較高的數(shù)據(jù)據(jù)進行加密，如可以使用微軟的EFS

（Encrypting File System）來對文件系統(tǒng)進行加密

用戶管理：嚴(yán)格控制用戶對關(guān)鍵數(shù)據(jù)的訪問，并記錄用戶的訪問日志

數(shù)據(jù)備份：對關(guān)鍵數(shù)據(jù)進行備份，制定合理的備份方案，可以將其備份到遠(yuǎn)程

服務(wù)器、或保存到光盤、磁帶等物理介質(zhì)中，并保證備份的可用性

三、部署網(wǎng)絡(luò)版防病毒軟件

Ø對局域網(wǎng)安全大的威脅，其實并不是來自外部的***，而是來自于局域網(wǎng)內(nèi)部的***

Ø由于終端用戶的安全意識、安全技能的匱乏，加之Internet上病毒、***泛濫成災(zāi)，導(dǎo)致用戶在瀏覽網(wǎng)頁的時候，很容易在不知不覺中將病毒、***帶入到局域網(wǎng)中

（1）、網(wǎng)絡(luò)版防病毒軟件介紹（特點）

可以遠(yuǎn)程安裝或卸載客戶端防病毒軟件

可以禁止用戶自行卸載客戶端防病毒軟件

可以在全網(wǎng)范圍內(nèi)統(tǒng)一制定、分發(fā)和執(zhí)行防病策略

可以遠(yuǎn)程監(jiān)控客戶端的系統(tǒng)健康狀態(tài)

提供遠(yuǎn)程報警手段，可以自動將病毒信息發(fā)送給網(wǎng)絡(luò)管理員

允許客戶端用戶自定義防病毒策略

（2）、部署Symantec網(wǎng)絡(luò)版防病毒軟件

ØSymantec Endpoint Protection企業(yè)版是Symantec公司推出的網(wǎng)絡(luò)版殺毒軟件，由管理臺和客戶端組成

Ø它集成了防病毒、反間諜軟件、防火墻和***防御以及設(shè)備與應(yīng)用程序控制功能。通過集中式管理功能，可以幫助物理和虛擬系統(tǒng)防御各種類型***

部署Symantec的相關(guān)組件：

該軟件需要IIS功能的支持，所以需要在Server 2008上安裝IIS7.0及相關(guān)的ASP.NET、CGI、IIS6.0管理兼容性角色服務(wù)

四、防火墻介紹

（1）、防火墻的概念

Ø為了防止******，企業(yè)內(nèi)部網(wǎng)在接入Internet時必須構(gòu)筑一道安全的“護城河”，通過“護城河”將內(nèi)部網(wǎng)保護起來，這個“護城河”就是防火墻

Ø防火墻的英文名稱"Fire Wall",它是目前最重要的網(wǎng)絡(luò)護護設(shè)備之一

ØWindows系統(tǒng)都有一個自帶的防火墻，通過啟用Windows防火墻，可以有效地攔截外界對系統(tǒng)的非法訪問和***，提高計算機系統(tǒng)的安全，如下圖：

（2）、防火墻的主要功能

v強化安全策略

§限制用戶的對內(nèi)、對外訪問

v記錄用戶的上網(wǎng)活動

§監(jiān)視局域網(wǎng)用戶的上網(wǎng)行為

v隱藏網(wǎng)絡(luò)拓?fù)?/strong>

§隱藏內(nèi)部網(wǎng)絡(luò)

§緩解公共IP地址短缺矛盾

v檢查安全策略

§過濾不安全服務(wù)，提高網(wǎng)絡(luò)安全性

（3）、防火墻的分類

1、按防火墻的功能分類

包過濾型防火墻

Ø硬件防火墻，包過濾技術(shù)是防火墻最傳統(tǒng)、最基本的技術(shù)

Ø它工作在OSI（Open System Interconnection）參考模型的網(wǎng)絡(luò)層

Ø它根據(jù)數(shù)據(jù)包頭源地址、目的地址、端口號和協(xié)議類型等標(biāo)志來確定是否允許數(shù)據(jù)包通過

應(yīng)用代理型防火墻

Ø軟件防火墻，它工作在OSI的最高層，即應(yīng)用層

Ø使用這種防火墻，可以實施較強的數(shù)據(jù)流監(jiān)控、過濾、記錄和報告功能

狀態(tài)檢測型防火墻

Ø硬件防火墻，該防火墻是由包過濾型防火墻發(fā)展而來的

Ø它可以動態(tài)地根據(jù)實際應(yīng)用需求，自動生成或刪除相應(yīng)的包過濾規(guī)則，而無需管理員手動干預(yù)

Ø這種防火墻不但能夠根據(jù)包的源地址、目標(biāo)地址、協(xié)議類型、源端口、目標(biāo)端口等數(shù)據(jù)包進行控制，而且能夠記錄通過防火墻的連接狀態(tài)，直接對包里的數(shù)據(jù)進行處理

2、按防火墻的軟硬件形式分類

軟件防火墻

Ø軟件防火墻運行于特定的計算機上，需要預(yù)先安裝的操作系統(tǒng)的支持，一般來說這臺計算機就是整個網(wǎng)絡(luò)的網(wǎng)關(guān)

Ø軟件防火墻就像其他的軟件產(chǎn)口一樣，需要先在計算機上安裝并運行配置后才可以使用，如微軟的TMG防火墻

硬件防火墻

Ø硬件防火墻使用專用芯片處理網(wǎng)絡(luò)數(shù)據(jù)包，CPU只做管理使用

Ø采用專門的操作系統(tǒng)平臺，從而避免了通用操作系統(tǒng)的安全性漏洞，如Cisco Asa防火墻

（4）、常用的風(fēng)款防火墻

1、NetScreen 系列防火墻

集成了防火墻、×××、***檢測和流量管理功能 （如圖）

2、Cisco ASA 5500系列防火墻

提供了豐富的應(yīng)用安全、網(wǎng)絡(luò)控制、 ×××等功能 （如圖）

3、天融信防火墻

集成了防火墻、防病毒、***檢測、×××等功能（如圖）

4、TMG防火墻（軟件防火墻）

TMG屬于微軟Forefront產(chǎn)品系列中的一款，主要負(fù)責(zé)網(wǎng)絡(luò)邊緣范圍的安全防范與保護，可以與活動目錄、NAP等進行完美的集成，實現(xiàn)更加全面、便捷的安全管控。

除了具有傳統(tǒng)防火墻的主要功能之外，它還具有以下功能。

完美支持64位內(nèi)存尋址

不受4G內(nèi)存的尋址限制，在內(nèi)存讀寫及管理方面得到極大的性能提升。

Web反病毒與過濾

通過URL篩選、惡意軟件檢查、HTTS檢查等方式對Web訪問進行檢查，將病毒、間諜軟件等拒之門外。

緩存

對于需要處理大量Web流量的企業(yè)，通過緩存功能，可以大大提升用戶的上網(wǎng)速度，降低帶寬成本

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。