巧用三层交换安全策略预防病毒
目前计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络的因素很多,主要是网络软件的漏洞和“后门”,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。
一些黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。软件的“后门”都是软件公司的设计编程人员为了自己方便而设置的,一旦“后门”打开,造成的后果将不堪设想。其实,三层交换机的安全策略也具备预防病毒的功能。下面我们详细介绍一下如何利用三层交换机的安全策略预防病毒。
计算机网络的安全策略又分为物理安全策略和访问控制策略
1、物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境。
2、访问控制策略
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。安全策略分为入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制等。为各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。
病毒入侵的主要来源通过软件的“后门”。包过滤设置在网络层,首先应建立一定数量的信息过滤表,信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型(TCP、UDP、ICMP等)、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。当一个数据包满足过滤表中的规则时,则允许数据包通过,否则禁止通过。这种防火墙可以用于禁止外部不合法用户对内部的访问,也可以用来禁止访问某些服务类型。但包过滤技术不能识别有危险的信息包,无法实施对应用级协议的处理,也无法处理UDP、RPC或动态的协议。根据每个局域网的防病毒要求,建立局域网防病毒控制系统,分别设置有针对性的防病毒策略。
划分VLAN
1、基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。可以基于网络层来划分VLAN,有两种方案,一种按协议(如果网络中存在多协议)来划分;另一种是按网络层地址(最常见的是TCP/IP中的子网段地址)来划分。
建立VLAN也可使用与管理路由相同的策略。根据IP子网、IPX网络号及其他协议划分VLAN。同一协议的工作站划分为一个VLAN,交换机检查广播帧的以太帧标题域,查看其协议类型,若已存在该协议的VLAN,则加入源端口,否则,创建—个新的VLAN。这种方式构成的VLAN,不但大大减少了人工配置VLAN的工作量,同时保证了用户自由地增加、移动和修改。不同VLAN网段上的站点可属于同一VLAN,在不同VLAN上的站点也可在同一物理网段上。
利用网络层定义VLAN缺点也是有的。与利用MAC地址的形式相比,基于网络层的VLAN需要分析各种协议的地址格式并进行相应的转换。因此,使用网络层信息来定义VLAN的交换机要比使用数据链路层信息的交换机在速度上占劣势。
2、增强网络的安全性
共享式LAN上的广播必然会产生安全性问题,因为网络上的所有用户都能监测到流经的业务,用户只要插入任一活动端口就可访问网段上的广播包。采用VLAN提供的安全机制,可以限制特定用户的访问,控制广播组的大小和位置,甚至锁定网络成员的MAC地址,这样,就限制了未经安全许可的用户和网络成员对网络的使用。
设置访问控制列表
首先根据各单位的需求,制定不同的策略,比如文件的传输、游戏等。在制定策略之前,我们首先要了解什么样的文件依靠计算机上哪个端口来传输。端口大约分为三类:
公认端口(0—1023):它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯,110端口实际上是pop3通讯。
注册端口(1024—49151):它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。
动态和/或私有端口(49152—65535):理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。例如:
# These ACLs are to block virus attack (这些访问控制列表要堵塞病毒攻击)
# You need to make sure all your expected network service are not blocked by these ACLs
(你需要确定你的需要的网络服务中不备访问控制列表要堵塞)
# These ACLs' precedence are within 1001 ~ 1500(访问控制列表优先在1001-1500)
SQL Slammer/MS-SQL Server Worm(病毒)
create access-list udp1434-d-de udp destination any ip-port 1434 source any ip-port any deny ports any precedence 1001(创建数据列表为udp1434-d-de,凡是来源于1434端口的数据包都优先于1001)
#W32/Blaster worm (病毒)
create access-list udp69-d-de udp destination any ip-port 69 source any ip-port any deny ports any precedence 1011(创建数据列表为udp69-d-de udp,凡是来源于69端口的数据包都优先于1011)
create access-list udp135-d-de udp destination any ip-port 135 source any ip-port any deny ports any precedence 1013(创建数据列表为udp135-d-de udp,凡是来源于135端口的数据包都优先于1013)
端口隔离: 使用交换机system-guard检测功能、设置当前最大可检测染毒主机的数目、设置每次地址学习相关参数, system-guard enable ( 使能system-guard检测功能,在使用防火墙功能前,请确保端口的优先级配置处于缺省状态,即:端口的优先级为0,且交换机对于报文中的cos优先级不信任。)
system-guard detect-maxnum 5 (设置当前最大可检测的染毒主机数目5台)
system-guard detect-threshold IP-record-threshold record-times-threshold isolate-time
(该命令可以设置地址学习数目的上限、重复检测次数的上限和隔离时间。)
举例来说,在设置了地址学习数目的上限为50、重复检测次数的上限为3、隔离时间为5后,系统如果连续3次检测到来自源IP的地址每次IP地址学习数目都超过了50,系统就认为受到了攻击,将此源IP检测出来,在5倍的老化周期内不学习来自此源IP的报文中的目的IP地址。
结束语
随着计算机技术和通信技术的发展,计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段,渗透到社会生活的各个领域。因此,认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性将变得十分重要。 (it168)
- 1中小企业存储系统需要具备的四大特性
- 22008年十二大热门技术逐个盘点
- 3在CMMI推广过程中EPG常犯的错误
- 4陈年给如风达打气:虽有调整 仍是凡客核心
- 59000人和平集会悼念南京大屠杀同胞遇难75周年
- 6京东恶意订单解释权遭质疑 严重侵犯客户权益
- 7基于Tivoli Provisioning Manager实现系统环境的远程快速部署
- 8XX市民宗委信息化服务平台需求分析报告
- 9针对不同需求 浅析虚拟化四大形式
- 10中国强硬令菲律宾震惊 菲媒鼓吹建同盟应对危机
- 119大安全悖论
- 12VoIP叫板企业通信
- 132008年中国.NET技术应用趋势分析
- 14OA系统为客户打造“财务预算管理与网上报销”
- 15胜势盛典,智造中国橱柜新纪元——2012中国橱柜行业年会
- 16六西格玛设计中的统计分析软件
- 17计世独家:六大技术将科幻变为现实
- 18实现网络接入与内外用户安全的均衡
- 19选择合适的数据挖掘算法
- 20两大主题 主导软件开发
- 21独家:公用存储 企业存储领域的发展远景
- 22技术突破还是信息安全的末日
- 23涂料企业 通过细节来强化细分市场
- 24小型车驾照明年取消桩考 统一改为“倒车入库”
- 25开源软件曙光初现
- 26西安本土OA协同管理软件厂商都有哪些?
- 27无线网络安全指南 PEAP验证
- 28OA系统办公管理系统的项目协作管理功能好用吗?
- 29组策略管理Vista网络
- 30怎样用iReport制作Web报表