企业网络安全案例分析演示文稿.pptVIP

物理安全 物理安全是整体安全策略的基石。保护企业服务器所在地点的物理安全是首要任务。 保护范围包括在办公楼内的服务器机房或整个数据中心。还应该注意进入办公楼的入口。如果有人随便可以进入办公楼内，那么他们即使无法登录到网络，也会有许多机会发起攻击。攻击包括： 拒绝服务（例如，将一台膝上型电脑插入网络作为一个 DHCP 服务器，或者切断服务器电源） 数据窃取（例如，偷窃膝上型电脑或嗅探内部网络的数据包） 运行恶意代码（例如在内部启动蠕虫程序，散播病毒） 窃取关键的安全信息（例如备份磁带、操作手册和网络图，员工通信录） 当前第30页\共有59页\编于星期日\18点 防止信息泄露 攻击者总是要挖空心思找到有关企业网络环境的信息。信息本身有时非常有用，但有的时候，它也是获取进一步信息和资源的一种手段。 防范信息收集的关键是限制外界对您的资源进行未经授权的访问。确保这种防范效果的方法包括（但是不限于）： 确保网络上只有那些已标识的特定设备能够建立远程访问连接。 在通过外部防火墙直接连接 Internet 的计算机上关闭TCP/IP 上的 NetBIOS，包括端口 135、137、139 和 445。 对于Web服务器，在防火墙或者服务器上仅启用端口 80 和 443。 审查企业对外网站上的信息以确保： 该站点上使用的电子邮件地址不是管理员帐户。 没有透露网络技术 审查员工向新闻组和论坛张贴的内容，避免暴露企业内部信息，包括管理员在技术论坛上求助技术问题。 审查为一般公众提供的信息有没有您的 IP 地址和域名注册信息。 确保攻击者无法通过对DNS服务器执行区域传输。通过转储 DNS 中的所有记录，攻击者可以清楚地发现最易于攻击的计算机。 减少服务器暴露的技术细节。 当前第31页\共有59页\编于星期日\18点 规划网络安全 将企业网络划分和定义为以下几部分： 内部网络 需要被外部访问的企业网络（停火区，DMZ） 商业伙伴的网络 远程访问（远程机构或者用户） Internet 在防火墙，路由器上进行访问控制和隔离 使用基于网络和基于主机的入侵监测系统，提供预警机制，最好能够和防火墙联动。 当前第32页\共有59页\编于星期日\18点 防火墙 近乎线性的吞吐速度，在HTTP吞吐量测试方 面，ISA Server的吞吐量保持为每秒1.59 GB 应用层性能较好的防火墙 (数据来源： ) 单台服务器可以处理48,000个并发连接 缓存 改善了带宽的利用效率和Web内容的响应时间 应用层的精细控制上网行为和丰富的拓展 允许管理员控制上网行为和为紧急任务分配较高的带宽优先级 ISA Server：Windows平台上的最佳防火墙 当前第33页\共有59页\编于星期日\18点 Firewall Internet 应用案例 - 小型网络或分公司的配置 企业內部网络 Access Policy rules - IP包, 应用程序, 用户, 组等的访问策略 Bandwidth rules - 不同Internet request所分配不同带宽的规则 Publishing rules - 将Internet服务(如web,ftp,mail)透过防火墙 的保护发布給外网用户 Intrusion Detection - 防火墙入侵监测 Monitor and Logging – 进出流量分析与报表 当前第34页\共有59页\编于星期日\18点 实施案例——北京市环保局 Internet ISA Server 100台工作站 ISA Server 2000 TrendMicro InterScan 当前第35页\共有59页\编于星期日\18点 DMZ方式1: 一个防火墙连接3个网络 (3-homed) Internet 内部网络 DMZ区 ISA服务器 当前第36页\共有59页\编于星期日\18点 实施案例----新晨集团() ISA Server 2000 Internet Internal Network Perimeter Network Mail Server DNS Web Server 当前第37页\共有59页\编于星期日\18点 应用范例 – 广域网络的配置 总部 分支机构 ISA 加速分支机构的访问速度 实现内部的安全控制（不同部门和网络之间部署防火墙) 统一的策略管理 当前第38页\共有59页\编于星期日\18点 DMZ方式2: “背靠背”模式 Internet 内部网 DMZ 区 Web 服务器 数据库服务器 ISA服务器 ISA服务器 当前第39页\共有59页\编于星期日\18点 Internet ISA Server阵列 FireWall (