某高校网络安全设计方案
设计背景
某高校是我省省属重点大学。该校拥有已开通信息点1 万多个,上网电脑一万多台,校园网师生用户群多达2 万余人。校园网已经成为全校师生员工日常学习、工作中不可或缺的重要信息平台。
某高校的网络结构分为核心、汇聚和接入3 个层次,网络类型分为教学子网、办公子网、学生宿舍子网。接入方式包括拨号上网、宽带接入、无线上联等各种形式。校园网双出口结构,可以通过ChinaNet,也可以通过CERNET 进入互联网。学校有16 个C 的教育网IP 地址和8 个ChinaNet 的IP 地址。目前提供的网络服务有:WWW 服务、MAIL 服务、FTP 服务、VOD 服务,图书馆电子图书数据库服务等。
需求分析与调查
网络应用需求
根据要求学校校园网络主要实现以下服务:
Internet公共服务:WWW 服务、MAIL 服务、FTP 服务、VOD 服务,图书馆电子图书数据库服务
网络安全需求
1、网络结构安全分析
网络拓扑结构设计直接影响网络系统的安全性。
设计时将公开服务器(WEB、DNS、E—mail等)和及内部其它业务网络进行必要的隔离;
对的服务请求进行过滤,只允许正常通信的数据包到达相应主机,其它的请求服务在到达主机之前就应该拒绝。
2、系统安全分析
系统的安全指整个网络操作系统和网络硬件平台是否可靠且值得信任。 选用尽可能可靠的操作系统和硬件平台,并对操作系统进行安全配置,而且必须加强登录过程的认证,确保用户的合法性;
严格登录者的操作权限,将其完成的操作在最小的范围内。
3、应用系统安全分析
尽可能建立安全的系统平台,而且通过专业的安全工具不断发现漏洞,修补漏洞,提高系统的安全性;
对用户使用计算机进行身份认证,对于重要信息的通讯必须授权,传输必须加密;
采用多层次的访问控制与权限控制手段,实现对数据的安全保护,采用加密
技术,保证网上传输的信息的机密性与完整性。
4、管理安全风险分析
管理是网络中安全最最重要的部分。责权不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。
必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为; 制定健全的管理制度和严格管理相结合。
网络安全设计
网络安全产品选型
网络安全产品采用一体化集成设备 趋势科技网络防毒墙1200-S型
Network VirusWall 1200提供任何其它设备厂商无法比拟的安全保护功能。它能全面准确地阻止网络蠕虫及其对漏洞的利用。它通过阻止不兼容的设备进入网络以防止感染病毒。它同样还可以在病毒爆发期间隔离受感受的网络段,并自动进行远程清除。
Network VirusWall 1200根据局域网(LAN)或专用虚拟网(VPN)网段的网络流量进行部署,解决威胁网络安全的蠕虫问题。采用标准的10/100 Base-T接口,可以承担最大256位用户的一个网段的保护。
网络拓扑图
网络出口设计:
出口采用唯一路由器,在核心交换机和路由器间设置防火墙,隔离过滤数据包,对校园网进行控制。
通信子网安全设计:
通过划分VLAN,将各栋楼宇从网络上隔离开来,严格控制访问权限,特别是子网与子网严格分开,否则容易造成露。各交换机采用dot1X认证,防止非法通信设备接入
网络安全配置
操作系统安全配置
物理安全
服务器应放置在安装了监视器的隔离房间内,并且监视器应当保留15天以
内的录像记录。另外,机箱、键盘、抽屉等要上锁,以保证旁人即使在无人值守时也无法使用此计算机,钥匙要放在安全的地方。 停止Guest帐号
将Guest帐号停止掉,任何时候不允许Guest帐号登录系统并给Guest帐号加上一个复杂的密码,修改Guest帐号属性,设置拒绝远程访问。 用户数量
去掉所有的测试帐户、共享帐号和普通部门帐号,等等。用户组策略设置相应权限、并且经常检查系统的帐号,删除已经不适用的帐号。 更改管理员帐号名称
在Windows 2000系统中管理员Administrator帐号是不能被停用的,应修改管理员帐户并建立一个名为Administrator的普通用户,将其权限设置为最低,并且加上一个复杂密码。 设置陷阱账号
所谓的陷阱帐号是创建一个名为“Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。
更改文件共享的默认权限
将共享文件的权限从“Everyon\"更改为\"授权用户”,”Everyone\"意味着任何有权进入网络的用户都能够访问这些共享文件。 安全密码
好的密码对于一个网络是非常重要的,但是也是最容易被忽略的。 安全期内无法破解出来的密码就是好密码,也就是说,如果得到了密码文档,必须花43天或者更长的时间才能破解出来,密码策略是42天必须改密码。 屏幕保护密码
设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。 NTFS分区
把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT、FAT32的文件系统安全得多。 防病毒软件
Windows操作系统没有附带杀毒软件,一个好的杀毒软件不仅能够杀除一些病毒程序,还可以查杀大量的木马和黑客工具。设置了杀毒软件,黑客使用那些著名的木马程序就毫无用武之地了。同时一定要注意经常升级病毒库。 备份盘的安全
一旦系统资料被黑客破坏,备份盘将是恢复资料的唯一途径。备份完资料后,把备份盘防在安全的地方。
应用服务器系统配置
服务器系统配置
安装操作系统后,安装装杀毒软件和系统漏洞补丁,并升级病毒库对系统进行全面扫描。删除Windows Server 2003默认共享,启用windows连接防火墙,只开放web服务,修改磁盘权限并设置本地安全策略。 IIS配置
让asp脚本以system权限运行:修改asp脚本所对应的虚拟目录,把\"应用程序保护\"修改为\"低\";
防止asp木马:删除system32\\scrrun.dll/e/d guests和system32\\shell32.dll/e/d guests文件;
解决HTTP500内部错误:iis http500内部错误大部分原因主要是由于iwam账号的密码不同步造成的。同步iwam_myserver账号在com+应用程序中的密码即可解决问题。执行cscript c:\\inetpub\\adminscripts\\synciwam.vbs –v命令; 增强iis防御SYN Flood的能力:同时允许打开的半连接数量使用微软建议值,服务器设为100,高级服务器设为500;判断是否存在攻击的触发点使用微软建议值,服务器为80,高级服务器为400;设置等待SYN-ACK时间项值为2,消耗时间为21秒;设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
设置syn攻击保护的临界点:当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5;禁止IP源路由。缺省项值为1,设置为2,表示丢弃所有接受的源路由包;处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒;
隐藏iis版本:使用16进制编辑器修改iis存放IIS BANNER的dll文件; 其他设置:自己新建的网站目录不应在系统盘,删除系统盘\\inetpub目录;删除不用的映射在\"应用程序配置\"里,只给必要的脚本执行权限:ASP、ASPX;为网站创建系统用户并只提供读取和写入的权限;设置应用程及子目录的执行权限 :主应用程序目录中的\"属性--应用程序设置--执行权限\"设为纯脚本 ;在不需要执行asp、asp.net的子目录中执行权限设为无。
恶意代码的防范系统设计
在Internet安全问题中,包括计算机病毒(Virus)、蠕虫(worm)、木马程序(Trojan Horse)等等在内的计算机恶意代码发生的频率越来越高,其造成的破坏越来越大,日益引起了人们的关注。
恶意代码成为信息战、网络战的重要手段。日益严重的恶意代码问题,不仅使企业及用户蒙受了巨大经济损失,而且使国家的安全面临着严重威胁。
基于主机的恶意代码防范方法
基于特征的扫描技术
基于主机的恶意代码防范方法是目前检测恶意代码最常用的技术,主要源于模式匹配的思想。扫描程序工作之前,必须先建立恶意代码的特征文件,根据特征文件中的特征串,在扫描文件中进行匹配查找。用户通过更新特征文件更新扫描软件,查找最新的恶意代码版本。这种技术广泛地应用于目前的反病毒引擎中 。 校验和 校验和
校验和是一种保护信息资源完整性的控制技术,例如Hash 值和循环冗余码等。只要文件内部有一个比特发生了变化,校验和值就会改变。未被恶意代码感染的系统首先会生成检测数据,然后周期性地使用校验和法检测文件的改变情况。运用校验和法检查恶意代码有3 种方法:
(1)在恶意代码检测软件中设置校验和法。对检测的对象文件计算其正常状态的校验和并将其写入被查文件中或检测工具中,而后进行比较。
(2)在应用程序中嵌入校验和法。将文件正常状态的校验和写入文件本身中,每当应用程序启动时,比较现行校验和与原始校验和,实现应用程序的自我检测
功能。
(3)将校验和程序常驻内存。每当应用程序开始运行时,自动比较检查应用程序内部或别的文件中预留保存的校验和。 沙箱技术
沙箱技术指根据系统中每一个可执行程序的访问资源,以及系统赋予的权限建立应用程序的“沙箱”,恶意代码的运行。每个应用程序都运行在自己的且受保护的“沙箱”之中,不能影响其它程序的运行。同样,这些程序的运行也不能影响操作系统的正常运行,操作系统与驱动程序也存活在自己的“沙箱”之中。美国加州大学Berkeley 实验室开发了基于Solaris 操作系统的沙箱系统,应用程序经过系统底层调用解释执行,系统自动判断应用程序调用的底层函数是否符合系统的安全要求,并决定是否执行。
对于每个应用程序,沙箱都为其准备了一个配置文件,该文件能够访问的资源与系统赋予的权限。Windows XP /2003操作系统提供了一种软件策略,隔离具有潜在危害的代码。这种隔离技术其实也是一种沙箱技术,可以保护系统免受通过电子邮件和Internet传染的各种恶意代码的侵害。这些策略允许选择系统管理应用程序的方式:应用程序既可以被“运行”,也可以“禁止运行”。通过在“沙箱”中执行不受信任的代码与脚本,系统可以甚至防止恶意代码对系统完整性的破坏。
基于网络的恶意代码防范方法
由于恶意代码具有相当的复杂性和行为不确定性,恶意代码的防范需要多种技术综合应用,包括恶意代码监测与预警、恶意代码传播抑制、恶意代码漏洞自动修复、恶意代码阻断等。基于网络的恶意代码防范方法包括:恶意代码检测防御和恶意代码预警。
其中常见的恶意代码检测防御包括: 基于GrIDS的恶意代码检测 基于PLD硬件的检测防御 基于HoneyPot的检测防御 基于CCDC的检测防御。
恶意代码防范措施与产品
邮件安全网关设置
增设一台服务器,作为邮件安全网关服务器,安装SMG,在DNS服务器上,修MX(mailexchanger)记录,将邮件服务器域名通过MX记录指向运行SMG的服务器的IP地址,对SMG 进行配置,添加内部邮件服务器的地址或者域名,设置当SMG 对信息进行安全检验后,将合法的邮件信息根据系统的配置,转发到内部电子邮件系统,配置后端邮件服务器,使得所有来自后端外发的邮件被导向运行SMG 的服务器。
文件/应用服务器防毒设置
在网络中心增设一台服务器安装Windows 2000 Server,作为防病毒服务器,在此服务器上安装ServerProtect的信息服务器及管理控制台,作为ServerProtect的管理中心,从管理控制台在每一台服务器上安装ServerProtect的标准服务器防毒墙。 网络客户端防毒墙设置
在网络中心的防病毒服务器上安装防毒墙的网络版服务器和控制端,通过“客户机打包程序”和WEB页面安装等方法安装校园内的客户机。
安装基于HTTP的OfficeScan服务器,通过基于Web浏览器的管理控制台来管理客户机,实现从网络上的任何位置来访问管理控制台。
应用防火墙设置
远程用户认证策略
远程用户不能通过放置于防火墙后的未经认证的Modem访问系统;PPP/SLIP连接必须通过防火墙认证; 拨入/拨出策略
拨入/拨出能力必须在设计防火墙时进行考虑和集成;外部拨入用户必须通过防火墙的认证。 公共信息服务策略
公共信息服务器的安全必须集成到防火墙中并对公共信息服务器进行严格的安全控制;为公共信息服务器定义折中的安全策略允许提供公共服务;对公共信息服务和商业信息进行安全策略区分。 防火墙必须符合以下几个基本原则:
支持“禁止任何服务除非被明确允许”的设计策略; 支持实际的安全; 支持增强的认证机制;
使用过滤技术以允许或拒绝对特定主机的访问,IP过滤描述语言应该灵活,界面友好,并支持源IP和目的IP,协议类型,源和目的TCP/UDP口,以及到达和离开界面;
能为FTP、TELNET提供代理服务,以提供增强和集中的认证管理机制。如果提供其它的服务也必须通过代理服务器;
支持集中的SMTP处理,减少内部网和远程系统的直接连接; 支持对公共公共信息服务
