关于企业的网络安全策略的东西

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <!-- saved from url=(0037)http://www.rdsk.net/docs/policy_3.htm --> <HTML><HEAD><TITLE>企业的网络安全策略</TITLE> <META http-equiv=Content-Type content="text/html; charset=gb2312"> <META http-equiv=Content-Language content=zh-cn><LINK href="企业的网络安全策略2.files/index.css" type=text/css rel=STYLESHEET> <META content=网络安全热线-防火墙 name=description> <META content="网络安全,系统维护,黑客,防火墙，攻击,个人主页, Linux,Solaris, network, security, system, Internet, personal homepage" name=keywords> <META content="MSHTML 6.00.2600.0" name=GENERATOR></HEAD> <BODY> <P class=Red align=center>本站内容多为站长原作，部分整理自网上，欢迎参考，转载请注明出处。</P> <DIV align=center> <CENTER> <H2>企业的网络安全策略(3)</H2> <TABLE cellSpacing=1 width=568 border=0> <TBODY> <TR> <TD class=outtext width=403><FONT color=#c0c0c0 size=1>您现在的位置是在：<A href="http://www.rdsk.net/index.html">首页</A>-安全策略-企业的网络安全策略</FONT></TD></CENTER> <TD class=outtext width=147><FONT color=#c0c0c0 size=1>★本站原作★</FONT></TD></TR> <CENTER> <TR> <TD width=600 colSpan=2><IMG height=11 src="企业的网络安全策略2.files/eyeline.gif" width=560 border=0><BR></TD></TR></TBODY></TABLE></CENTER></DIV><BR> <DIV align=center> <CENTER> <TABLE cellPadding=2 width=756 border=0> <TBODY> <TR> <TD width=746><FONT size=2>3 网络安全元素</FONT> <P><FONT size=2>3.1 物理安全<BR><BR>物理安全的目的是保护路由器、交换机、工作站、各种网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击；验证用户的身份和使用权限、防止用户越权操作；确保网络设备有一个良好的电磁兼容工作环境；建立完备的机房安全管理制度，妥善保管备份磁带和文档资料；防止非法人员进入机房进行偷窃和破坏活动。 抑制和防止电磁泄漏是物理安全的一个主要问题。目前主要防护措施有两类：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护，这类防护措施又可分为以下两种：一是采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；二是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。 在物理安全方面，Internet网和传统电信网非常类似。<BR><BR>3.2 网络隔离与防火墙技术<BR><BR>3.2.1 网络隔离<BR><BR>根据功能、保密水平、安全水平等要求的差异将网络进行分段隔离，对整个网络的安全性有很多好处。可以实现更为细化的安全控制体系，将攻击和入侵造成的威胁分别限制在较小的子网内，提高网络整体的安全水平。路由器、虚拟局域网(VLAN)、防火墙是当前主要的网络分段手段。前面两种的配置较为直观，下面主要分析防火墙技术。<BR><BR>3.2.2 防火墙<BR><BR>防火墙在网络中的地位与它的名字非常相似，它根据网络安全水平和可信任关系将网络划分成一些相对独立的子网，两侧间的通信受到防火墙的检查控制。它可以根据即定的安全策略允许特定的用户和数据包穿过，同时将安全策略不允许的用户和数据包隔断，达到保护高安全等级的子网、阻止墙外黑客的攻击、限制入侵蔓延等目的。根据防火墙的位置，可以分为外部防火墙和内部防火墙。外部防火墙将企业网与外部因特网隔离开来，而内部防火墙的任务经常是在各个部门子网之间进行通信检查控制。网络安全体系不应该提供外部系统跨越安全系统直接到达受保护的内部网络系统的途径。安全体系在任何情况下都不应该被旁路。 防火墙并不是万能的，它在很多方面存在弱点。它无法防止来自防火墙内侧的攻击，对各种已识别类型的攻击的防御有赖于正确的配置，对各种最新的攻击类型的防御取决于防火墙知识库更新的速度和相应的配置更新的速度。一般来说，防火墙擅长于保护设备服务，而不擅长保护数据。并且，防火墙可能会导致内部网络安全管理的松懈。<BR><BR>3.2.3 防火墙的基本类型<BR><BR>实现防火墙的技术包括两大类型：包过滤(PF)、应用级防火墙。它们之间各有所长，具体使用哪一种或是否混合使用，要看具体需要。<BR><BR><BR>1. 包过滤型防火墙<BR><BR>　　检查的范围涉及网络层、传输层和会话层，过滤匹配的原则可以包括源地址、目的地址、传输协议、目的端口等。还可以根据TCP序列号、TCP连接的握手序列（如SYN、ACK）的逻辑分析等进行判断，较为有效地抵御类似IP Spoofing、Sync flooding等类型的攻击。路由器通过配置其中的访问控制列表可以作为包过滤防火墙使用，但是过多的控制列表会严重降低路由器的性能。所以在业务量较大的场合需要将路由和包过滤两种功能分开，也就是说有必要单独购买专门防火墙。<BR><BR>访问控制表（ACL）定义了各种规则来表明是否同意或拒绝包的通过，表一是典型ACL示例。 包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。 如果规则都不符合，则缺省操作为丢弃该包。包过滤型防火墙 配置简洁、速度快、费用较低，并且对用户透明，但是对应用层的 信息无法控制，对内网的保护有限。</FONT></P> <P align=center><FONT color=#000080 size=2>表一 访问控制列表（<FONT color=#000080>ACL</FONT>）示例</FONT></P> <P align=center>　 <DIV align=center> <CENTER> <TABLE borderColor=#000000 cellSpacing=1 cellPadding=7 border=1> <TBODY> <TR> <TD vAlign=top>　</TD> <TD vAlign=top><B> <P align=center><FONT lang=ZH-CN face=黑体 color=#000080 size=2>源IP</FONT></B></P></TD> <TD vAlign=top><B> <P align=center><FONT lang=ZH-CN face=黑体 color=#000080 size=2>源端口</FONT></B></P></TD> <TD vAlign=top><B> <P align=center><FONT lang=ZH-CN face=黑体 color=#000080 size=2>目的IP</FONT></B></P></TD> <TD vAlign=top><B> <P align=center><FONT lang=ZH-CN face=黑体 color=#000080 size=2>目的端口</FONT></B></P></TD> <TD vAlign=top><B> <P align=center><FONT lang=ZH-CN face=黑体 color=#000080 size=2>协议</FONT></B></P></TD> <TD vAlign=top><B> <P align=center><FONT lang=ZH-CN face=黑体 color=#000080 size=2>动作</FONT></B></P></TD> <TD vAlign=top><B> <P align=center><FONT lang=ZH-CN face=黑体 color=#000080 size=2>记录</FONT></B></P></TD> <TD vAlign=top><B> <P align=center><FONT lang=ZH-CN face=黑体 color=#000080 size=2>备注</FONT></B></P></TD></TR> <TR> <TD vAlign=top> <P align=center><FONT size=3>1</FONT></P></TD> <TD vAlign=top> <P align=center><FONT size=3>intra_ip</FONT></P></TD> <TD vAlign=top> <P align=center><FONT size=3>any</FONT></P></TD> <TD vAlign=top> <P align=center><FONT size=3>any</FONT></P></TD> <TD vAlign=top> <P align=center><FONT size=3>Any</FONT></P></TD> <TD vAlign=top> <P align=center><FONT size=3>udp/tcp</FONT></P></TD> <TD vAlign=top> <P align=center><FONT size=3>Deny</FONT></P></TD> <TD vAlign=top>　</TD> <TD vAlign=top><FONT size=3> <P>防止外部</FONT><FONT size=3>IP spoof</FONT></P></TD></TR> <TR> <TD vAlign=top> <P align=center><FONT size=3>2</FONT></P></TD> <TD vAlign=top> <P align=center><FONT size=3>any</FONT></P></TD> <TD vAlign=top> <P align=center><FONT size=3>any</FONT></P></TD> <TD vAlign=top> <P align=center><FONT size=3>Www_ip</FONT></P></TD> <TD vAlign=top> <P align=center><FONT size=3>80</FONT></P></TD> <TD vAlign=top> <P align=center><FONT size=3>udp/tcp</FONT></P></TD> <TD vAlign=top> <P align=center><FONT size=3>Permit</FONT></P></TD> <TD vAlign=top>　</TD> <TD vAlign=top><FONT size=3> <P>允许</FONT><FONT size=3>WWW</FONT></P></TD></TR> <TR> <TD vAlign=top> <P align=center><FONT size=3>3</FONT></P></TD> <TD vAlign=top> <P align=center><FONT size=3>any</FONT></P></TD> <TD vAlign=top> <P align=center><FONT size=3>any</FONT></P></TD> <TD vA