當(dāng)前位置:工程項目OA系統(tǒng) > 泛普各地 > 陜西OA系統(tǒng) > 西安OA系統(tǒng) > 西安OA快博
巧用三層交換安全策略預(yù)防病毒
目前計算機網(wǎng)絡(luò)所面臨的威脅大體可分為兩種:一是對網(wǎng)絡(luò)中信息的威脅;二是對網(wǎng)絡(luò)中設(shè)備的威脅。影響計算機網(wǎng)絡(luò)的因素很多,主要是網(wǎng)絡(luò)軟件的漏洞和“后門”,這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)。
一些黑客攻入網(wǎng)絡(luò)內(nèi)部的事件,這些事件的大部分就是因為安全措施不完善所招致的苦果。軟件的“后門”都是軟件公司的設(shè)計編程人員為了自己方便而設(shè)置的,一旦“后門”打開,造成的后果將不堪設(shè)想。其實,三層交換機的安全策略也具備預(yù)防病毒的功能。下面我們詳細(xì)介紹一下如何利用三層交換機的安全策略預(yù)防病毒。
計算機網(wǎng)絡(luò)的安全策略又分為物理安全策略和訪問控制策略
1、物理安全策略
物理安全策略的目的是保護(hù)計算機系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊;驗證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作;確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境。
2、訪問控制策略
訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。安全策略分為入網(wǎng)訪問控制、網(wǎng)絡(luò)的權(quán)限控制、目錄級安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點的安全控制等。為各種安全策略必須相互配合才能真正起到保護(hù)作用,但訪問控制可以說是保證網(wǎng)絡(luò)安全最重要的核心策略之一。
病毒入侵的主要來源通過軟件的“后門”。包過濾設(shè)置在網(wǎng)絡(luò)層,首先應(yīng)建立一定數(shù)量的信息過濾表,信息過濾表是以其收到的數(shù)據(jù)包頭信息為基礎(chǔ)而建成的。信息包頭含有數(shù)據(jù)包源IP地址、目的IP地址、傳輸協(xié)議類型(TCP、UDP、ICMP等)、協(xié)議源端口號、協(xié)議目的端口號、連接請求方向、ICMP報文類型等。當(dāng)一個數(shù)據(jù)包滿足過濾表中的規(guī)則時,則允許數(shù)據(jù)包通過,否則禁止通過。這種防火墻可以用于禁止外部不合法用戶對內(nèi)部的訪問,也可以用來禁止訪問某些服務(wù)類型。但包過濾技術(shù)不能識別有危險的信息包,無法實施對應(yīng)用級協(xié)議的處理,也無法處理UDP、RPC或動態(tài)的協(xié)議。根據(jù)每個局域網(wǎng)的防病毒要求,建立局域網(wǎng)防病毒控制系統(tǒng),分別設(shè)置有針對性的防病毒策略。
劃分VLAN
1、基于交換機的虛擬局域網(wǎng)能夠為局域網(wǎng)解決沖突域、廣播域、帶寬問題??梢曰诰W(wǎng)絡(luò)層來劃分VLAN,有兩種方案,一種按協(xié)議(如果網(wǎng)絡(luò)中存在多協(xié)議)來劃分;另一種是按網(wǎng)絡(luò)層地址(最常見的是TCP/IP中的子網(wǎng)段地址)來劃分。
建立VLAN也可使用與管理路由相同的策略。根據(jù)IP子網(wǎng)、IPX網(wǎng)絡(luò)號及其他協(xié)議劃分VLAN。同一協(xié)議的工作站劃分為一個VLAN,交換機檢查廣播幀的以太幀標(biāo)題域,查看其協(xié)議類型,若已存在該協(xié)議的VLAN,則加入源端口,否則,創(chuàng)建—個新的VLAN。這種方式構(gòu)成的VLAN,不但大大減少了人工配置VLAN的工作量,同時保證了用戶自由地增加、移動和修改。不同VLAN網(wǎng)段上的站點可屬于同一VLAN,在不同VLAN上的站點也可在同一物理網(wǎng)段上。
利用網(wǎng)絡(luò)層定義VLAN缺點也是有的。與利用MAC地址的形式相比,基于網(wǎng)絡(luò)層的VLAN需要分析各種協(xié)議的地址格式并進(jìn)行相應(yīng)的轉(zhuǎn)換。因此,使用網(wǎng)絡(luò)層信息來定義VLAN的交換機要比使用數(shù)據(jù)鏈路層信息的交換機在速度上占劣勢。
2、增強網(wǎng)絡(luò)的安全性
共享式LAN上的廣播必然會產(chǎn)生安全性問題,因為網(wǎng)絡(luò)上的所有用戶都能監(jiān)測到流經(jīng)的業(yè)務(wù),用戶只要插入任一活動端口就可訪問網(wǎng)段上的廣播包。采用VLAN提供的安全機制,可以限制特定用戶的訪問,控制廣播組的大小和位置,甚至鎖定網(wǎng)絡(luò)成員的MAC地址,這樣,就限制了未經(jīng)安全許可的用戶和網(wǎng)絡(luò)成員對網(wǎng)絡(luò)的使用。
設(shè)置訪問控制列表
首先根據(jù)各單位的需求,制定不同的策略,比如文件的傳輸、游戲等。在制定策略之前,我們首先要了解什么樣的文件依靠計算機上哪個端口來傳輸。端口大約分為三類:
公認(rèn)端口(0—1023):它們緊密綁定于一些服務(wù)。通常這些端口的通訊明確表明了某種服務(wù)的協(xié)議。例如:80端口實際上總是HTTP通訊,110端口實際上是pop3通訊。
注冊端口(1024—49151):它們松散地綁定于一些服務(wù)。也就是說有許多服務(wù)綁定于這些端口,這些端口同樣用于許多其它目的。例如:許多系統(tǒng)處理動態(tài)端口從1024左右開始。
動態(tài)和/或私有端口(49152—65535):理論上,不應(yīng)為服務(wù)分配這些端口。實際上,機器通常從1024起分配動態(tài)端口。但也有例外:SUN的RPC端口從32768開始。例如:
# These ACLs are to block virus attack (這些訪問控制列表要堵塞病毒攻擊)
# You need to make sure all your expected network service are not blocked by these ACLs
(你需要確定你的需要的網(wǎng)絡(luò)服務(wù)中不備訪問控制列表要堵塞)
# These ACLs' precedence are within 1001 ~ 1500(訪問控制列表優(yōu)先在1001-1500)
SQL Slammer/MS-SQL Server Worm(病毒)
create access-list udp1434-d-de udp destination any ip-port 1434 source any ip-port any deny ports any precedence 1001(創(chuàng)建數(shù)據(jù)列表為udp1434-d-de,凡是來源于1434端口的數(shù)據(jù)包都優(yōu)先于1001)
#W32/Blaster worm (病毒)
create access-list udp69-d-de udp destination any ip-port 69 source any ip-port any deny ports any precedence 1011(創(chuàng)建數(shù)據(jù)列表為udp69-d-de udp,凡是來源于69端口的數(shù)據(jù)包都優(yōu)先于1011)
create access-list udp135-d-de udp destination any ip-port 135 source any ip-port any deny ports any precedence 1013(創(chuàng)建數(shù)據(jù)列表為udp135-d-de udp,凡是來源于135端口的數(shù)據(jù)包都優(yōu)先于1013)
端口隔離: 使用交換機system-guard檢測功能、設(shè)置當(dāng)前最大可檢測染毒主機的數(shù)目、設(shè)置每次地址學(xué)習(xí)相關(guān)參數(shù), system-guard enable ( 使能system-guard檢測功能,在使用防火墻功能前,請確保端口的優(yōu)先級配置處于缺省狀態(tài),即:端口的優(yōu)先級為0,且交換機對于報文中的cos優(yōu)先級不信任。)
system-guard detect-maxnum 5 (設(shè)置當(dāng)前最大可檢測的染毒主機數(shù)目5臺)
system-guard detect-threshold IP-record-threshold record-times-threshold isolate-time
(該命令可以設(shè)置地址學(xué)習(xí)數(shù)目的上限、重復(fù)檢測次數(shù)的上限和隔離時間。)
舉例來說,在設(shè)置了地址學(xué)習(xí)數(shù)目的上限為50、重復(fù)檢測次數(shù)的上限為3、隔離時間為5后,系統(tǒng)如果連續(xù)3次檢測到來自源IP的地址每次IP地址學(xué)習(xí)數(shù)目都超過了50,系統(tǒng)就認(rèn)為受到了攻擊,將此源IP檢測出來,在5倍的老化周期內(nèi)不學(xué)習(xí)來自此源IP的報文中的目的IP地址。
結(jié)束語
隨著計算機技術(shù)和通信技術(shù)的發(fā)展,計算機網(wǎng)絡(luò)將日益成為工業(yè)、農(nóng)業(yè)和國防等方面的重要信息交換手段,滲透到社會生活的各個領(lǐng)域。因此,認(rèn)清網(wǎng)絡(luò)的脆弱性和潛在威脅,采取強有力的安全策略,對于保障網(wǎng)絡(luò)的安全性將變得十分重要。 (it168)
- 1中小企業(yè)存儲系統(tǒng)需要具備的四大特性
- 22008年十二大熱門技術(shù)逐個盤點
- 3在CMMI推廣過程中EPG常犯的錯誤
- 4陳年給如風(fēng)達(dá)打氣:雖有調(diào)整 仍是凡客核心
- 59000人和平集會悼念南京大屠殺同胞遇難75周年
- 6京東惡意訂單解釋權(quán)遭質(zhì)疑 嚴(yán)重侵犯客戶權(quán)益
- 7基于Tivoli Provisioning Manager實現(xiàn)系統(tǒng)環(huán)境的遠(yuǎn)程快速部署
- 8XX市民宗委信息化服務(wù)平臺需求分析報告
- 9針對不同需求 淺析虛擬化四大形式
- 10中國強硬令菲律賓震驚 菲媒鼓吹建同盟應(yīng)對危機
- 119大安全悖論
- 12VoIP叫板企業(yè)通信
- 132008年中國.NET技術(shù)應(yīng)用趨勢分析
- 14OA系統(tǒng)為客戶打造“財務(wù)預(yù)算管理與網(wǎng)上報銷”
- 15勝勢盛典,智造中國櫥柜新紀(jì)元——2012中國櫥柜行業(yè)年會
- 16六西格瑪設(shè)計中的統(tǒng)計分析軟件
- 17計世獨家:六大技術(shù)將科幻變?yōu)楝F(xiàn)實
- 18實現(xiàn)網(wǎng)絡(luò)接入與內(nèi)外用戶安全的均衡
- 19選擇合適的數(shù)據(jù)挖掘算法
- 20兩大主題 主導(dǎo)軟件開發(fā)
- 21獨家:公用存儲 企業(yè)存儲領(lǐng)域的發(fā)展遠(yuǎn)景
- 22技術(shù)突破還是信息安全的末日
- 23涂料企業(yè) 通過細(xì)節(jié)來強化細(xì)分市場
- 24小型車駕照明年取消樁考 統(tǒng)一改為“倒車入庫”
- 25開源軟件曙光初現(xiàn)
- 26西安本土OA協(xié)同管理軟件廠商都有哪些?
- 27無線網(wǎng)絡(luò)安全指南 PEAP驗證
- 28OA系統(tǒng)辦公管理系統(tǒng)的項目協(xié)作管理功能好用嗎?
- 29組策略管理Vista網(wǎng)絡(luò)
- 30怎樣用iReport制作Web報表
成都公司:成都市成華區(qū)建設(shè)南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓