荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: Chair (银发之射手), 信区: Security
标  题: 网络安全具体实施方法
发信站: 荔园晨风BBS站 (Mon May 21 17:21:09 2001) , 转信


  因为有图表在里面,所以有图表的地方是看不到的。
                        网络安全具体实施方法

一.    按照《网络安全管理条例》规定规划拓扑结构
1.              把服务器,用户,公司内部等不同性质和使用特点的机器划分在
不同的网段上,中间使用路由或相应的具有路由功能的设备连接起来,避免物理上
的直接相连

2.      严格划分访问权限,遵从不被允许的就是被拒绝的访问原则(防火墙设置
在后具体描述)

3.      把不同功能的和不需要相互通信的服务器用VLAN划分出去,等同与物理层上的
断开(在图2上体现)

4.      如非必要,使用交换机而不使用共享式的HUB(图中所有交换机)

5.      把internet和用户与服务器之间用防火墙隔离。严格遵从不被允许就是被禁
止的,则分为3个区域,可信任区(trusted),不可信任区(untrusted),中立区
(DMZ)。任何在可信任区内的机器不能被其他2个区的机器访问,DMZ的SERVER经过
NAT后能被untrusted区的机器访问。根据IP作出详细的访问控制,流量控制等

6.      在主干线路需要做双机背份以保证链路畅通。(路由1,路由2)

7.      兼顾性能与安全,DNS服务器需要在FIREWALL内外个做一个,外部只是提供
简单的少数几个主机(www,MX记录等),防止网络结构从DNS处被查询得知,内部DNS
来做具体配置,内部DNS严禁外部机器访问。


8.      在必要的地方设置透明Sniffer,建议使用服务器做透明Bridge+Sniffer,不要
使用Hub+Sinffer主机的形式。(如Sniffer1,Sniffer2)对主机要求较高。

9.      处于主干的设备需要高性能,高可靠性,选择时要注意。

10.     要求所有设备可远程管理。设置单一管理单元(图2,网络管理主机)























 图 一。 整体拓扑图


二.    服务器区具体设置
1.      必须有大型UPS供电系统,保证电源的供给可靠稳定,能支持服务器区断市电后能
正常供
电5小时或以上。

2.      透明Sniffer的使用,由于Sniffer数据量大而且容易造成瓶颈,可以有
选择的使用,本例是放在紧跟Firewall后,为最安拓扑,也为性能最
低拓扑,具体放置位置由具体情况决定,如只放在Web服务器之前。
如性能要求很高的话,把Sniffer换成NIDS。(网络入侵检测系统)
(图2为图1的服务器区详细结构图,图2 Sniffer为图 1的Sniffer 1)

2.      在中心交换机上配置VLAN,按功能划分组别,这里分为Web组,
Proxy组,SMTP组。陷阱主机,日志主机,内部DNS服务器等
端口为公共绑定端口。

3.      陷阱主机是是专门设置漏洞让别人入侵的。当然,都是假漏洞。限制
陷阱主机的流量,记录所有source和target IP 为陷阱主机的IP包。
作为证据记录。

4.      所有服务器都必须开启SYSLOG服务,把所有日志都备份一份到日志服
务器中。日志服务器除了SYSLOG和加密通讯外一律不开任何服务。
同样也只开相相应的端口。日志主机性能要求一般,但硬盘一定要大。

5.      数据库服务器不能直接接在交换机上,应该和直接调用他的主机用网卡
相连或另起一端以太网段,降低暴露危险。

6.      所有主机之间除必要通信外禁止直接通信。

7.      设置网管主机,设置只有此主机的IP与MAC才能访问所有机器。所有
通信禁止使用明文,必须为加密通信。

8.      网管主机需要配置MODEM和电话一个,方便远程拨号管理。注意应该使用IP包
加密。

        9.      在机房装监视器,保留1星期的录象记录。


                                                图.2            服务器区拓扑图


三.    防火墙配置
1.      防火墙配置注意事项很多,一个比较完善的RULES起码要300行。
所以这里以商业防火墙为蓝本讲解。

        2.总原则:非允许的就是禁止的,这条规则贯穿这个配置方案。


2.      防火墙配置次序:
a)      BLOCK或者DROP掉所有可能的IP欺骗的包,包括
A类,B类,C类保留IP,网卡上的回路IP。IANA上的IP也BLOCK
b)      关掉所有的带有IP选项的IP包,包括icmp-redirect,souce-route,带外数据等。
c)      BLOCK或者DROP掉短包和不正常分片包。
d)      只允许SYN连接开放端口,使用KEEP STATE。其他包一律拒绝。
e)      限制icmp等非用户大量使用的数据流量,200P/S够了。
f)      有很多古怪的FIREWALL方法,建议对FIREWALL不熟悉的网管不要使用。



--

        假使龙城飞将在,

            不叫胡虏渡关山。
※ 来源:.荔园晨风BBS站WWW bbs.szu.edu.cn. [FROM: 210.21.196.38]
※ 修改:·Chair 於 May 21 18:13:20 修改本文·[FROM: 202.119.32.102]


[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店