图片 4

网络管理十二杀招经验谈

第一、物理安全

1.物理安全

防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,有选择地接受外部访问,对内部强化设备监管、控制对服务器与外部网络的访问,在被保护网络和外部网络之间架起一道屏障,以防止发生不可预测的、潜在的破坏性侵入。防火墙有两种,硬件防火墙和软件防火墙,他们都能起到保护作用并筛选出网络上的攻击者。在这里主要给大家介绍一下我们在企业网络安全实际运用中所常见的硬件防火墙。

除了要保证要有电脑锁之外,我们更多的要注意防火,要将电线和网络放在比较隐蔽的地方。我们还要准备UPS,以确保网络能够以持续的电压运行,在电子学中,峰值电压是一个非常重要的概念,峰值电压高的时候可以烧坏电器,迫使网络瘫痪,峰值电压最小的时候,网络根本不能运行。使用UPS可以排除这些意外。另外我们要做好防老鼠咬坏网线。

(1)除了要保证要有电脑锁之外,更多的要注意防火,要将电线和网络放在比较隐蔽的地方。

  一、防火墙基础原理

第二、系统安全口令安全)

(2)还要准备UPS,以确保网络能够以持续的电压运行。在电子学中,峰值电压是一个非常重要的概念,峰值电压高的时候甚至可以烧坏电器,迫使网络瘫痪;峰值电压最小的时候,网络根本不能运行。使用UPS可以帮助我们排除这些意外。

  1、防火墙技术

我们要尽量使用大小写字母和数字以及特殊符号混合的密码,但是自己要记住,我也见过很多这样的网管,他的密码设置的的确是复杂也安全,但是经常自己都记不来,每次都要翻看笔记本。另外我们最好不要使用空口令或者是带有空格的,这样很容易被一些黑客识破。

(3)另外,我们防止网线、电线被老鼠、蟑螂等生物咬坏。

  防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。下面,我们将介绍这些手段的工作机理及特点,并介绍一些防火墙的主流产品。

我们也可以在屏保、重要的应用程序上添加密码,以确保双重安全。

2.系统安全(口令安全)

  包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。包过滤的最大优点是对用户透明,传输性能高。但由于安全控制层次在网络层、传输层,安全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。

第三、打补丁

要尽量使用大小写字母和数字以及特殊符号混合的密码,但是自己要记住。虽然密码设置是复杂且安全,但是也要防止忘记。另外,最好不要使用空口令或者是带有空格的,很容易被一些黑客识破。我们也可以在屏保、重要的应用程序上添加密码,以确保双重安全。

  状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。这种方式的好处在于:由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包(通常是大量的数据包)通过散列算法,直接进行状态检查,从而使得性能得到了较大提高;而且,由于状态表是动态的,因而可以有选择地、动态地开通1024号以上的端口,使得安全性得到进一步地提高。

我们要及时的对系统补丁进行更新,大多数病毒和黑客都是通过系统漏洞进来的,例如今年五一风靡全球臭名昭著的振荡波就是利用了微软的漏洞ms04-011进来的。还有一直杀不掉的SQLSERVER上的病毒slammer也是通过SQL的漏洞进来的。所以我们要及时对系统和应用程序打上最新的补丁,例如IE、OUTLOOK、SQL、OFFICE等应用程序。

3.更新系统补丁

  2、防火墙工作原理

另外我们要把那些不需要的服务关闭,例如TELNET,还有关闭Guset帐号等。

要及时更新系统补丁,大多数病毒和黑客都是通过系统漏洞进来的。

  (1)包过滤防火墙

第四、安装防病毒软件

例如:“假补丁”变种是利用微软MS04-011漏洞进行传播的木马病毒,自动开机自起,窃取用户计算机上的用户名和密码,并自动下载并执行蠕虫副本,利用微软MS04-011漏洞进行传播。这个变种还可以利用被感染计算机转发垃圾邮件。“代理木马”变种是一种利用网络共享传播的木马下载器,中止安全程序,感染安全设备,利用密码字典破解弱密码,感染共享文件。

  包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。

病毒扫描就是对机器中的所有文件和邮件内容以及带有。exe的可执行文件进行扫描,扫描的结果包括清除病毒,删除被感染文件,或将被感染文件和病毒放在一台隔离文件夹里面。所以我们要对全网的机器从网站服务器到邮件服务器到文件服务器知道客户机都要安装杀毒软件,并保持最新的病毒定义码。我们知道病毒一旦进入电脑,他会疯狂的自我复制,遍布全网,造成的危害巨大,甚至可以使得系统崩溃,丢失所有的重要资料。所以我们要至少每周一次对全网的电脑进行集中杀毒,并定期的清除隔离病毒的文件夹。

另外,我们要把那些不需要的服务关闭,例如TELNET、Guset帐号等。

图片 1
图1:包过滤防火墙工作原理图

第五、应用程序

4.安装防病毒软件

  (2)应用网关防火墙

我们都知道病毒有超过一半都是通过电子邮件进来的,所以除了在邮件服务器上安装防病毒软件之外,还要对PC机上的outlook防护,我们要提高警惕性,当收到那些无标题的邮件,或是你不认识的人发过来的,或是全是英语例如什么happy99,money,然后又带有一个附件的邮件,建议您最好直接删除,不要去点击附件,因为百分之九十以上是病毒。我前段时间就在一个政府部门碰到这样的情况,他们单位有三个人一直收到邮件,一个小时竟然奇迹般的收到了2000多封邮件,致使最后邮箱爆破,起初他们怀疑是黑客进入了他们的网络,最后当问到这几个人他们都说收到了一封邮件,一个附件,当去打开附件的时候,便不断的收到邮件了,直至最后邮箱撑破。最后查出还是病毒惹的祸。

病毒扫描就是对机器中的所有文件和邮件内容以及带有.exe的可执行文件进行扫描,扫描的结果包括清除病毒,删除被感染文件,或将被感染文件和病毒放在一台隔离文件夹里面。针对全网的机器,在网站服务器、邮件服务器、文件服务器都要安装杀毒软件,并保持最新的病毒定义码。

  应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。然而,应用网关防火墙是通过打破客户机/服务器模式实现的。每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。所以,应用网关防火墙具有可伸缩性差的缺点。(图2)

除了不去查看这些邮件之外,我们还要利用一下outlook中带有的黑名单功能和邮件过虑的功能。

众所周知,病毒一旦进入电脑,它会疯狂的自我复制、遍布全网,造成的危害巨大,甚至可以让系统崩溃,丢失重要资料,所以至少每周一次对全网的电脑进行集中杀毒,并定期的清除隔离病毒的文件夹。

图片 2
图2:应用网关防火墙工作原理图

很多黑客都是通过你访问网页的时候进来的,你是否经常碰到这种情况,当你打开一个网页的时候,会不断的跳出非常多窗口,你关都关不掉,这就是黑客已经进入了你的电脑,并试图控制你的电脑。

5.应用程序

  (3)状态检测防火墙

所以我们要将IE的安全性调高一点,经常删除一些cookies和脱机文件,还有就是禁用那些ActiveX的控件。

有50%以上的病毒是通过电子邮件进行传播,除了在邮件服务器上安装防病毒软件之外,还要对PC的outlook进行防护。当收到那些无标题的邮件;或者是你不认识的人发过来的;或者全是英语,例如:happy66、money等等,邮件中还带有一个附件;建议最好直接删除,不要去点击附件,因为附件有90%以上几率是危险文件或病毒。

  状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。可以这样说,状态检测包过滤防火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为。(图3)

第六、代理服务器

有时候还要利用一下outlook、foxmail中的黑名单功能和邮件过滤功能,避免不去查看危险邮件。

图片 3
图3:状态检测防火墙工作原理图
 

代理服务器最先被利用的目的是可以加速访问我们经常看的网站,因为代理服务器都有缓冲的功能,在这里可以保留一些网站与IP地址的对应关系。

6.代理服务器

  4)复合型防火墙

要想了解代理服务器,首先要了解它的工作原理:

代理服务器,有缓冲的功能,可以加速访问我们经常看的网站,还可以保留一些网站与IP地址的对应关系。

  复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基于ASIC架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能,多单元融为一体,是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。(图4)

环境:局域网里面有一台机器装有双网卡,充当代理服务器,其余电脑通过它来访问网络。

代理服务器的优点:可以隐藏内网的机器,可以防止黑客的直接攻击,还可以节省公网IP。

图片 4
图4:复合型防火墙工作原理图

1、内网一台机器要访问新浪,于是将请求发送给代理服务器。

代理服务器的缺点:每次访问都要经过服务器,访问速度会变慢。如果代理服务器被攻击或者损坏,其余电脑将不能访问网络。

  3、四类防火墙的对比

2、代理服务器对发来的请求进行检查,包括题头和内容,然后去掉不必要的或违反约定的内容。

7.防火墙

  包过滤防火墙:包过滤防火墙不检查数据区,包过滤防火墙不建立连接状态表,前后报文无关,应用层控制很弱。

3、代理服务器重新整合数据包,然后将请求发送给下一级网关。

防火墙的基本工作原理就是数据包过滤,通过查看题头的数据包是否含有非法的数据,防火墙会自动将此屏蔽。

  应用网关防火墙:不检查IP、TCP报头,不建立连接状态表,网络层保护比较弱。

4、新浪网回复请求,找到对应的IP地址。

  状态检测防火墙:不检查数据区,建立连接状态表,前后报文相关,应用层控制很弱。

5、代理服务器依然检查题头和内容是否合法,去掉不适当的内容。

  复合型防火墙:可以检查整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细,会话控制较弱。

6、重新整合请求,然后将结果发送给内网的那台机器。

  4、防火墙术语

由此可以看出,代理服务器的优点是可以隐藏内网的机器,这样可以防止黑客的直接攻击,另外可以节省公网IP。缺点就是每次都要经由服务器,这样访问速度会变慢。另外当代理服务器被攻击或者是损坏的时候,其余电脑将不能访问网络。

  网关:在两个设备之间提供转发服务的系统。网关是互联网应用程序在两台主机之间处理流量的防火墙。这个术语是非常常见的。

第七、防火墙

  DMZ非军事化区:为了配置管理方便,内部网中需要向外提供服务的服务器往往放在一个单独的网段,这个网段便是非军事化区。防火墙一般配备三块网卡,在配置时一般分别分别连接内部网,internet和DMZ。

提到防火墙,顾名思义,就是防火的一道墙。防火墙的最根本工作原理就是数据包过滤。实际上在数据包过滤的提出之前,都已经出现了防火墙。

  吞吐量:网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。

数据包过滤,就是通过查看题头的数据包是否含有非法的数据,我们将此屏蔽。

  最大连接数:和吞吐量一样,数字越大越好。但是最大连接数更贴近实际网络情况,网络中大多数连接是指所建立的一个虚拟通道。防火墙对每个连接的处理也好耗费资源,因此最大连接数成为考验防火墙这方面能力的指标。

举个简单的例子,假如体育中心有一场刘德华演唱会,检票员坐镇门口,他首先检查你的票是否对应,是否今天的,然后撕下右边的一条,将剩余的给你,然后告诉你演唱会现场在哪里,告诉你怎么走。这个基本上就是数据包过滤的工作流程吧。

  数据包转发率:是指在所有安全规则配置正确的情况下,防火墙对数据流量的处理速度。

你也许经常听到你们老板说:要增加一台机器它可以禁止我们不想要的网站,可以禁止一些邮件它经常给我们发送垃圾邮件和病毒等,但是没有一个老板会说:要增加一台机器它可以禁止我们不愿意访问的数据包。实际意思就是这样。接下来我们推荐几个常用的数据包过滤工具。

  SSL:SSL(Secure Sockets
Layer)是由Netscape公司开发的一套Internet数据安全协议,当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。