單位網路安全問題解決過程

2021-06-15 22:17:42 字數 4330 閱讀 4566

原網路狀況描述

本地isp採用dhcp動態給所有使用者分配合法的公網位址,所以,造成我們的計算機獲取的都是合法公網位址,直接暴露在公網之上;而且每次啟動ip位址都會變,即使緊挨著的兩台計算機,共享印表機和資料也很困難;a作為www伺服器,b儲存各種資料;使用者的應用水平、計算機安全意識和自我防護能力嚴重不足。防毒軟體不會公升級,甚至有的使用者還嫌個人防火牆礙事,自行關掉甚至解除安裝,結果造成計算機不斷的被病毒感染,不斷被黑客攻擊,給網管人員帶來了巨大的工作負擔。事故、故障的頻出,很大的影響了辦公,網路得不到充分的利用。

網管人員每天都在忙著防毒,打補丁,抓木馬,重灌系統,就像乙個消防隊員。還得負責單位**開發、維護,工作量可想而知。網路改造勢在必行了。經過一番調查,學習,反覆驗證,制定了以下方案。新規劃的網路拓撲圖如圖2所示:

圖2 改造後的網路拓撲圖

這次的重點是啟用了一台cisco2620路由器,並做如下設定(命令清單見後):

a) nat轉換,隱藏區域網內部計算機的ip位址,這樣解決了客戶機直接暴露在公網上的問題;同時也把所有的客戶機放到了乙個網段內,便於網路管理,便於印表機和資料共享;

b) acl(訪問控制列表)過濾。對流經的資料報進行過濾,把已知不安全的位址段、埠遮蔽;

c) 位址繫結。防止使用者盜用ip位址,造成位址衝突,避免被入侵者利用;

d) 還有控制對路由器的telnet訪問一些輔助安全設定,詳見命令清單。

伺服器方面

a) 每台伺服器仍然有介面直接接入公網,這樣可以保證訪問速度;

b) 由於天網防火牆似乎對伺服器雙至強處理器相容性不好,頻繁出錯,於是決定伺服器使用windows2003自帶的防火牆進行保護,只開啟需要的埠,其餘關閉;

c) a伺服器仍提供www服務,b伺服器安裝ftp服務用於滿足大量的資料交換;

ip位址每個辦公室分配5個,保留20個給網路中心,保留50個機動使用。

路由器命令清單

nat設定命令

! 定義位址池和訪問列表、設定nat轉換

router(config)# ip nat pool jyj 192.168.1.1 192.168.1.255 255.255.255.0

router(config)# access-list 99 pemit 192.168.1.0 0.0.0.255

router(config)# ip nat inside source list 99 pool jyj overload

!定義靜態對映,特定的伺服器需要

router(config)# ip nat inside source static 192.168.1.192 111.222.111.222

! 進入內部埠配置模式,指定nat內部埠

router(config)# int f0/0

router(config-line)# ip nat inside

!進入外部埠配置模式,指定nat外部埠

router(config)# int e1/0

router(config-line)# ip nat outside

(說明: 本部分命令為網上參考.需注意採用正確的工作模式,一般為以下三種模式的一種:

* 特權模式

* 全域性配置模式

* 區域性配置模式)

nat設定命令說明

復用動態位址轉換首先是一種動態位址轉換,它可以允許多個內部位址共用乙個內部合法位址。只申請到少量ip位址但卻經常同時有多於合法位址個數的使用者上外部網路的情況,這種轉換極為有用。

配置步驟:

1. 在全域性設定模式下,定義內部合法位址池

ip nat pool 位址池名字 起始ip位址 終止ip位址 子網掩碼

注:其中位址池名字可以任意設定。

2. 在全域性設定模式下,定義乙個標準access-list規則以允許哪些內部位址可以進行動態位址轉換。

access-list 標號 permit 源位址 萬用字元

注:其中標號為1-99之間的整數。

3. 在全域性設定模式下,設定在內部的本地位址與內部合法ip位址間建立復用動態位址轉換。

ip nat inside source list 訪問列表標號 pool 內部合法位址池名字 overload

4. 在埠設定狀態下,指定與內部網路相連的內部埠

ip nat inside

5. 在埠設定狀態下,指定與外部網路相連的外部埠

ip nat outside

telnet 設定

!指定telnet登入口令

router(config)# line vty 0 4

router(config-line)# login

router(config-line)# password jyj

!指定line vty 0 4 埠 ip過濾表,只允許內網telnet登入

router(config-line)# ip access-class 99 in

!指定enable口令,必需設定,否則telnet無法使用enable模式

router(config)#enable password jyj

ip位址繫結

router(config)# arp 192.168.1.* ***x.***x.***x arpa

router(config)# no arp 192.168.1.*   ***x.***x.***x

router(config) #arp   192.168.1.*   0000.0000.0000 arpa

1將不用的位址繫結為不存在的mac位址,防止被盜用

(注: 命令列中的「*」為具體位址。)

acl設定命令列表

! 用於控制icmp掃瞄

router(config) # access-list 101 deny icmp any any echo

! 控制外網使用保留位址訪問,防止位址欺騙攻擊,共有以下位址段需要控制

!192.168.0.0,掩碼255.255.0.0

router(config) # access-list 101 deny ip 192.168.0.0 0.0.255.255 any

!172.16.0.0(255.255.0.0),10.0.0.0(255.0.0.0),127.0.0.0(255.0.0.0),169.254.0.0(255.255.0.0),

!192.0.2.0(0.0.0.255),224.0.0.0(15.255.255.255)20.20.20.0(255.255.255.0),204.152.64.0(0.0.2.255),

!0.0.0.0(0.255.255.255)

! 用於關閉的埠列表(為了保險起見,tcp和udp都關閉相應埠) :

router(config) # access-list 101 deny tcp   any   any   eq   69

!134 135 136   137   138   445 139   443   593   4444   1434  

!允許其它的通訊

router(config) # access-list 101 permit   ip   any   any

!將訪問列表載入到外部埠e0/0

router(config)#int e0/0

router(config-if)#ip access-group 101 in

改造總結

網路改造完成後,至今沒有發生大面積病毒傳染造成網路執行不暢,也沒有發現黑客入侵現象。網路一下子清靜了許多。

1. 架設isa防火牆。作為網路接入的冗餘措施,更能對資料流進行精細的檢查、控制,比如:

a) 對外,更有效的防止各種各樣的攻擊,入侵檢測;

b) 對內,可以進行bt控制,qq控制,網路遊戲的控制。

c) 惡意外掛程式,惡意**。

2. 網路版防毒軟體、個人防火牆的安裝,例如:symantec client security。這樣可以避免使用者自行關閉防毒軟體或者防火牆軟體,在網路安全上產生漏洞。

其實路由器的功能還很強大,比如ssl的驗證,vpn的實施,大家可以充分挖掘cisco裝置的潛力。

關於網路規模與資金投入的思考

網路安全問題是要解決的,但是應該怎樣看待這個問題呢?置之不理是斷然不行的,但是為此大量的投入也是需要慎重考慮的,筆者就曾經見過一些中小學建網,買裝置非cisco,華為,symantec等名牌不用,非專業防火牆不用,但是作為乙個規模一般的校園網在裝置上投入如此之大,確實有些浪費,不如把這些資金用到網路管理人員、教師的培訓上,做到以人為本,充分激發工作人員的勞動積極性,才能讓網路在有限的條件下,保證最大的安全性。

網路安全問題解答

tcp協議存在哪些典型的安全漏洞?如何應對這些漏洞?tcp使用三次握手機制來建立一條連線,握手的第一哥報文為syn包 第二個報文為syn ack包,標明它應答的第乙個syn包同時繼續握手的過程 第三個報文僅僅是乙個應答,表示為ack包。若a方為連線方,b方為響應方,期間可能的威脅有 1.攻擊者監聽b...

執行緒安全問題解決方案

實現賣票案例出現了執行緒安全問題,賣出了不存在和重複的票 解決執行緒安全的第一種方法 使用同步 塊 格式 synchronized 鎖物件 注意 1.同步 塊中的鎖物件,可以使用任意物件 2.但是必須保證多個執行緒使用的鎖物件是同乙個 3.鎖物件作用 把同步 塊鎖住,只讓乙個執行緒在同步 塊中執行 ...

AppScan安全問題解決方案

一 環境準備 三 高危常見問題解決方案 1.sql盲注 主要就是通過注入sql的關鍵字,來破壞原有的查詢,導致頁面報錯 a.看看幾種常見的盲注方式 b.解決方案 思路 sql注入與sql盲注實際的攻入方式不同,但是解決思路都是通過過濾特殊字元,只是過濾的字元稍有差異。實際解決 從以上幾種注入可以看出...