广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 2871 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] 建立防火墙的主动性网路安全防护体系
建立防火墙的主动性网路安全防护体系

赛迪网资讯中心 2006/10/10

防火墙和其他反病毒类软体都是很好的安全产品,但是要让你的网路体系具有最高级别的安全等级,还需要你具有一定的主动性。

你是不是每天都会留意各种骇客攻击、病毒和蠕虫入侵等消息?不过当你看到这些消息时,也许你的系统已经受到攻击了。而现在,我要给你介绍一种更具主动性的网路安全模型,通过它,就算再出现什么新病毒,你也可以对企业的网路系统感到放心。

类似于防火墙或者反XX类软体(如反病毒、反垃圾邮件、反间谍软体等),都是属于被动型或者说是反应型安全措施。在攻击到来时,这类软体都会产生相应的对抗动作,它们可以作为整个安全体系的一部分,但是,你还需要建立一种具有主动性的安全模型,防护任何未知的攻击,保护网路安全。另外,虽然在安全方面时刻保持警惕是非常必要的,但是事实上很少有企业有能力24小时不间断的派人守护网路。

在实现一个具有主动性的网路安全架构前,你需要对现有的主流网路安全体系有一个大概的了解。防护方法包括四个方面:防火墙、VPN、反病毒软体,以及入侵检测系统(IDS)。防火墙可以检测数据包并试图阻止有问题的数据包,但是它并不能识别入侵,而且有时候会将有用的数据包阻止。VPN则是在两个不安全的电脑间建立起一个受保护的专用通道,但是它并不能保护网路中的资料。反病毒软体是与其自身的规则密不可分的,而且面对骇客攻击,基本没有什么反抗能力。同样,入侵检测系统也是一个纯粹的受激反应系统,在入侵发生后才会有所动作。

虽然这四项基本的安全措施对企业来说至关重要,但是实际上,一个企业也许花费了上百万购买和建立的防火墙、VPN、反病毒软体以及IDS系统,但是面对骇客所采用的“通用漏洞批露”(CVE)攻击方法却显得无能为力。CVE本质上说是应用程式内部的漏洞,它可以被骇客利用,用来攻击网路、窃取资讯,并使网路瘫痪。据2004 E-Crime Survey(2004 电子犯罪调查)显示,90%的网路安全问题都是由于CVE引起的。

具有主动性的网路安全模式是对上述四种安全措施的综合管理,使得用户可以从这四种安全措施中获得最大的安全性,同时也是为用户添加一个漏洞管理系统。在这种系统中,一个更有效的防火墙可以正确的拦截数据资料。一个更有效的反病毒程式则更少机会被激活,因为攻击系统的病毒数量更少了。而IDS则成为了一个备份系统,因为很少人能入侵系统而激活报警机制。而使用漏洞管理系统来防止CVE带来的入侵则是整个系统最重要的部分。

为什么这么说呢?从上面提到的调查看,95%的攻击是由于系统的漏洞或对系统的错误配置而造成的。在现实生活中也是一样,大家都试图将窃贼拒之门外,而很少考虑到当盗贼已经进入屋子后该怎防护。正如你不会在外出时让大门敞开,为什么不给网路再加一把锁呢。

实现主动性的网路安全模型

那么作为一家企业的技术人员,你该如何保护企业的网路呢?下面我会介绍几个简单的步骤,帮助你实现一个具有主动性的安全网路。首先你需要开发一套安全策略,并强迫所有企业人员遵守这一规则。同时,你需要遮罩所有的移 动设备,并开启无线网路的加密功能以增强网路的安全级别。为你的无线路由器打好补丁并确保防火墙可以正常工作是非常重要的。之后检查系统漏洞,如果发现漏洞就立即用补丁或其他方法将其保护起来,这样可以防止骇客利用这些漏洞窃取公司的资料,或者令你的网路瘫痪。以下是各个步骤的实现细节:

开发一个安全策略

实现良好的网路安全总是以一个能够起到作用的安全策略为开始的。就算这个安全策略只有一页,公司的全体人员包括总经理在内,都必须按照这个策略来执行。基本的规则包括从指导员工如何建立可靠的密码到业务连续计划以及灾难恢复计划(BCP和DRP)。比如,你应该有针对客户的财产和其他保密资讯的备份策略,比如一个镜象系统,以便在灾难发生后可以迅速恢复数据。在有些情况,你的BCP和DRP也许需要一个“冷”或“热”的站点,以便当灾难发生或者有攻击时你可以快速将员工的工作重新定向到新的站点。执行一个共同的安全策略也就意味着你向具有主动性安全网路迈出了第一步。

减少对安全策略的破坏

不论是有限网路,还是NB或者无线设备,都很有可能出现破坏安全策略的情况。很多系统没有装防病毒软体、防火墙软体,同时却安装了很多点对点的传输程式(如Kazaa、Napster、Gnutella、BT、eMule等)以及即时消息软体等,它们都是网路安全漏洞的根源。因此,你必须强制所有的终端安装反病毒软体,并开启Windows XP内建的防火墙,或者安装商业级的桌面防火墙软体,同时卸载点对点共用程式以及乱七八糟的聊天软体。

封锁移动设备

对于企业的网路来说,最大的威胁可能就是来自那些随处移 动的NB或其他移 动终端,它们具有网路的接入许可权,可以随时接入公司的网路。但是正因为它们具有移 动特性,可以随着员工迁移到其他不安全的网路并暴露在骇客的攻击之下,当这些笔记本电脑再次回到公司的网路环境时,就成了最大的安全隐患。其他无线终端也和NB有类似的情况。

据Forrester Research调查,到2005年,世界总共将有3500万移 动设备用户,而到2010年,这个数字将增加到150亿。我们不是数学家,不需要具体算出到底这些移 动设备会给企业的网路增加多少受攻击的几率,只需要知道这将是企业网路安全所面临的巨大考验。任何一个系统都有可能由于未经验证的用户的访问而被感染。

通过安全策略,你可以让网路针对无线终端具有更多的审核,比如快速检测到无线终端的接入,然后验证这些终端是否符合你的安全策略,是否是经过认证的用户,是否有明显的系统漏洞等。

开启无线网路加密功能

在无线网路系统中,无线网路加密 (Wireless Encryption,WEP)应该处于开启状态,并应该设置为最高安全级别。而且管理者的用户名和密码需要经常及时更换。但是这些措施也并不能够完全防止骇客通过你的无线路由器入侵企业内部网路。这是由于在大多数无线路由器中,都包含有目前尚未被修补的CVE,骇客可以利用这些CVE进行攻击。一些高级的骇客会下载免费的工具对这些漏洞进行更高级的利用,以此完全攻破你的安全系统。

为无线路由器做更新,并使用其内建的防火墙功能

我强烈建议用户在使用无线路由器即时更新产品的韧体,而且如果无线路由器有内建防火墙功能,一定学习如何使用并配置它,开启这个防火墙。你也可以限制同时接入无线路由器的用户数量,如果企业员工数量不是很多,完全没有必要让路由器设置为可以接纳无限多的用户。比如企业只有十五个员工,那么就设置无线路由器只能同时接入十五个连接好了。

设置你的防火墙

虽然防火墙并没有特别强的安全主动性,但是它可以很好的完成自己该做的那份工作。你应该为防火墙设置智慧化的规则,以便关闭那些可能成为骇客入侵途径的端口。比如1045端口就是SASSER蠕虫的攻击端口,因此你需要为防火墙建立规则,遮罩所有系统上的1045端口。另外,当笔记本或其他无线设备连接到网路中时,防火墙也应该具有动态的规则来遮罩这些移 动终端的危险端口。

目前与安全有关的商业软体相当丰富,你可以从网上下载相应的产品来帮助你保护企业网路。这类产品从安全策略模板到反病毒、反垃圾邮件程式等,应有尽有。微软也针对系统的漏洞不断给出升级更新。所有这些工具都可以有效地提升网路的安全等级,因此你应该充分利用它们。

禁止潜在的可被骇客利用的对象

“浏览器助手(BHO)”是最常见的可被骇客利用的对象。它一般用来监测用户的页面导航情况以及监控文件下载。BHO一般是在用户不知情的情况下被安装在系统中的,由于它可以将外界的资讯存入你的系统,因此对网路安全来说是一个威胁。有些人利用BHO对象开发出了间谍软体,并尽量将起隐藏起来。一般来说,间谍软体都会不断变种,尽量避免被流行的间谍软体检测程式所发现,直到间谍软体检测程式进行了升级。如果你想看看自己的系统中到底有多少BHO,可以从Definitive Solutions公司的网站上下载BHODemon工具进行检测。

BHO是通过ADODB流对象在IE中运行的。通过禁止ADODB流对象,你就可以防止BHO写入文件、运行程式以及在你的系统上进行其他一些动作。要禁止ADODB流对象,你可以访问微软的技术支援页面。

留意最新的威胁

据电脑安全协会 (CSI)表示,2002 CSI/FBI电脑犯罪和安全调查显示,“电脑犯罪和资讯安全的威胁仍然不衰退,并且趋向于金融领域”。因此,你需要时刻留意网路上的最新安全资讯,以便保护自己的企业。网路上很多地方可以提供最新的安全资讯。

系统上已知的漏洞被称为“通用漏洞批露”(CVEs),它是由MITRE组织汇编整理的漏洞资讯。通过打补丁或其他措施,你可以将网路中所有系统的CVE漏洞弥补好。目前通过工具软体,你可以快速检测系统的CVE漏洞并将其修补好。有关这方面更多的资讯,你可以查阅cve.mitre.org网站。

总的来说,一个具有主动性的网路安全模型是以一个良好的安全策略为起点的。之后你需要确保这个安全策略可以被彻底贯彻执行。最后,由于移 动办公用户的存在,你的企业和网路经常处在变化中,你需要时刻比那些骇客、蠕虫、恶意员工以及各种互联网罪犯提前行动。要做到先行一步,你应该时刻具有主动性的眼光并在第一时刻更新的你安全策略,同时你要确保系统已经安装了足够的防护产品,来阻止骇客的各种进攻尝试。虽然安全性永远都不是百分之百的,但这样做足可以使你处于优势地位。



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾 和信超媒体宽带网 | Posted:2006-10-19 00:23 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.072158 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言