|
【中图分类号】G250【文献标识码】A【文章编号】1004-1019(2008)10-019 -01
网络极大地提高了政府办事的效率,但同时也带来网络安全的风险。政府网络设计中必须制定网络安全策略,保证内部网络的完整性和安全性。为了保证网络的安全,可以采取以下安全措施。
1.防火墙部署
在政府官方网站与Inter之间采用状态检测包过滤技术,实现快速的基于源/目的IP地址、服务、用户和时间的细粒度访问控制。通过记录新建应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在系统中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态检查表,就可以快速通过。这种方式的好处在于:由于不需要对每个数据包进行规则检查,而是通过专门设计的算法实现同一连接的后续数据包(通常是大量的数据包)直接进入状态检查,从而较大提升系统性能。
2.网络安全预警系统的部署
入侵检测能力是衡量一个防御体系是否完整有效的重要因素,根据政府网络的特点,我们采用瑞星网络安瑞星网络版杀毒软件的部署,为了实现在整个局域网内病毒的防护,我们在可能感染和传播病毒的地方采取相应的防病毒手段,实现远程安装、智能升级、远程报警、集中管理、分布查杀病毒等多种安全防护功能。
3.防毒墙的部署
在Internet与政府网内网之间部署瑞星防毒墙或其他防毒设施。其中WWW、E-mail、FTP、DNS服务器连接在防火墙的DMZ区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与Internet连接。这样,通过Internet进来的外网用户只能访问到对外公开的一些服务(如WWW、E-mail、FTP、DNS等),既保护内网资源不被非法访问或破坏,也阻止了内部用户对外部不良资源的使用,并能够对发生的安全事件进行跟踪和审计。
4.病毒的防范
设立防毒网关,防火墙无法防止病毒的传播,因而需要安装基于Internet网关的防毒软件,具体可以安装到代理服务器上,以防止Internet病毒及Java程序对系统的破坏。
5.访问控制
利用身份认证技术对于拨号进入政府网的用户进行严格控制,在拨号线路上加装保密机,使无保密机的用户无法拨通;通过用户名和口令的认真检查用户身份;利用回拨技术再次确认和限制非法用户的入侵。
这是政府网络安全的一个方案。另外,可以采取另一个方案。那就是构筑整体的网络安全架构。
1.ARP攻击防范和伪DHCP防范以及其他
(1)政府网的ARP防范方案
政府网的分布层交换机为三层交换机,支持硬件ACL功能。这样就可以将中毒机器单独隔离。在二层半(或者三层)交换机端口上手工添加IP+MAC绑定,交换机端口芯片则会根据所绑定的信息对所有报文进行检查,不匹配的报文将被丢弃。而且当ARP报文内部内容部分(sender address项)不符合绑定内容或者伪造有假网关信息,则该ARP报文也会被丢弃,该过程由硬件完成,对交换性能无影响。中毒机器被单独隔离,所有PC的IP地址被绑定,不会再有IP冲突的问题。
(2)针对伪DHCP欺骗
我们将用户端口设置为非信任端口,非信任端口下是不允许接DHCP服务器的,所以即使有伪DHCP服务器挂在内网,也不会欺骗到其他的用户。
(3)针对用户私改IP地址
内网用户都是通过自动获取地址的方式上网,但是如果有用户手动篡改自己的IP修改为其他用户通过自动获取得来的IP,这样就会导致正常用户发现内网地址有重复,可能会导致此用户不能上网。针对这种情况,我们在汇聚层交换机开启DHCP snooping分发地址保护功能,一旦用户获取到了一个地址,那么交换机就会对这个分发出去的IP和用户的MAC进行保护,自动绑定到对应端口,其他用户即使手动篡改为此IP,修改者也发现无法上网,而正常获取到地址的用户还是正常上网。
2.FLOOD攻击防范、环路检测防范
针对FLOOD攻击,我们可以在端口下设置IP计时器――IP计时器和ARP计时器的处理机制比较相似,如果一台设备在一段时间内发送目的IP不同的数据包过多,交换机同样会封锁此设备一段时间。
二层以上的交换机支持生成数协议,这就意味着如果一根网线在交换机上自环,交换机为了保护整个网络不会产生环路,会主动关闭掉一个端口来清除环路。
转载注明来源:http://www.ybaotk.com |
上一篇:关于计算机软硬件维护问题的研究与思考下一篇:媒介场景――网络对日常社会行为的影响
|