网络服务的安全体系设计与实施
本文针对网络服务的安全体系进行安全保障分析,依据分析进行对网络设备、安全设备进行设计与实施,从而达到一个相对稳定的安全体系。网络服务是Internet的支撑,其安全问题具有举足轻重的地位。于各网络服务的工作原理为基准,详细分析所面临的安全威胁,相应的提出了网络服务的安全防护策略及安全体系,并以某高等院校的网络为例,深入研究并设计出相对稳定、安全的网络服务体系,利用相应的安全配置实施方案。
目录
一、引言 5
二、常用网络服务 5
(一)网络服务概述 5
1. DNS服务 5
2. WEB服务 5
3. Mail服务 5
4. FTP服务 5
5. 远程登录服务 6
6. 数据库 6
7. 网络设备管理 6
(二)常用服务安全威胁 6
1. 拒绝服务攻击 6
2. 数据嗅探 6
3. WEB攻击 7
4. 注入攻击 7
5. 木马及病毒 7
6. 第三方劫持 7
三、基于网络服务的安全体系设计与实施以为例 8
(一) 项目描述 8
1. 网络应用状况描述 8
2. 网络应用安全需求分析 8
(二) 安全体系设计 8
1. 拓扑设计 8
2. 网络安全体系规划 9
(三) 网络安全体系实施 10
1. 防火墙部署 10
2. 安全网关部署 16
3. web防护部署 24
4. 网络流量监控部署 29
四、网络安全体系测试 32
致谢 34
参考文献 35
一、引言
现代社会对网络的倚重越见显著,各种应用服务在带给社会便利的同时也产生了很多的安全性问题,而这些问题对人们的工作、生活和学习产生了较大的负面影响。因此在我们提供成使用服务时,对服务的安全问题也需要非常重视。
本课题针对人们时常工作、学习和生活中所使用的常用服务进行分析,总结常用服务安全威胁,并针对这些安全威胁进行防护对
*好棒文|www.hbsrm.com +Q: ^3^5`1^9`1^6^0`7^2#
策研究,设计能初步保护网络服务的安全防护体系,并进行部署实施。
二、常用网络服务
(一)网络服务概述
在一些网络体系中,主要涉及的网络服务有DNS服务、WEB服务、Mail服务、FTP服务;在设备安全上,涉及Telnet服务及SSH服务、数据安全、交换机和路由器的简单防护等。
DNS服务
DNS能够组建不同的区域,在这些区域中采用独立的数据库进行地址、主机名的相关查询。
DNS防护体系与防护策略
有效使用DNS转发器;有效使用DNS广告者;有效使用DNS解析者;尽量保护DNS不受缓存侵害等;使DNS只用安全连接;禁用区域传输;使用防火墙来控制DNS访问等。
WEB服务
Web服务是通关WEB协议向大众提供服务,它是一种面向废物的技术。
WEB防护体系与防护策略
尽可能保护用户的重要信息;确保输入内容的可靠性;确保输入的内容应该较为简单,不应包含相关执行的代码;提交的错误提示中包含了精炼内容,避免过多信息让攻击者获知;有效的配置管理过程等。
Mail服务
Mail服务主要用于电子邮件的收发、信息传递。
Mail防护体系与防护策略
配备一个稳定的邮件系统,操作平台;配备优秀的防垃圾病毒硬件网关;
加强邮件系统管理;
FTP服务
FTP 使用TCP 生成一个虚拟连接用于控制信息,然后再生成一个单独的 TCP 连接用于数据传输。
FTP防护体系与防护策略
建立数据连接的机制。
禁止使用PORT命令等。
远程登录服务
远程登录是一个 允许授权用户进入网络中的其他计算机的一种UNIX 命令。
远程登录主要是为使用者提供了在本地计算机上操控或使用远程计算机。通过在终端使用TELNET远程操控并联至服务器端,可直接管理该域内的设备,从而为使用者带来方便。
数据库
数据库防护体系与防护策略
需使用安全账号策略;需使用安全密码策略;尽可能加强数据库日志的记录;使用协议加密;禁止随便探测TCP/IP端口;修改TCP/IP使用的端口等。
网络设备管理
交换机及路由器防护体系与防护策略
配置密码;命令迁移;关闭不必要的服务;配置验证;配置控制;配置日志等。
(二)常用服务安全威胁
拒绝服务攻击
拒绝服务攻击指使请求者发出服务要求被强行终止。攻击者通过拒绝服务攻击,迫使服务器的缓冲区出现故障,不再接收请求;使用IP欺骗,影响用户的连接。主要拒绝服务攻击包括:
DDoS攻击
DDoS攻击可分为两类,具体如下:
按攻击发起者分类
僵尸网络:大量僵尸网络利用DNS处处超负荷的域名查询请求。
模拟工具:采用外部工具制造伪IP并发送海量DNS查询。
按攻击特征分类
Flood攻击:通关发送大量查询报文致使DNS查询产生错误甚至无法查询。
资源消耗攻击:通关大量且持续的迭代查询,致使消耗大量服务器资源。
DNS欺骗
DNS欺骗主要包括缓存污染、DNS信息劫持及DNS重定向。
系统漏洞
数据嗅探
数据嗅探指攻击者利用CAM溢出攻击欺骗交换机,使得始终交换机以泛洪方式转发数据,攻击者同时将攻击机网卡工作方式设置在混杂模式,在进行这些操作后,攻击者就能够接收到不应该转发给他们的数据,配合密码破解,ARP欺骗的手段,攻击者有可能获得敏感数据或改变数据流方向。
WEB攻击
入侵者通过Web服务程序的SQL注入漏洞、网站操作系统漏洞等得到Web服务器的控制权限,攻击或盗取网站资源。以下为WEB攻击的主要威胁:
失效的账户和线程管理;
非法输入;跨站点脚本攻击;注入式攻击; 缓存溢出问题; 异常错误处理;不安全的存储;程序拒绝服务攻击;不安全的配置管理等。
注入攻击
经过向SQL下令插入到Web表单的非法字符串,最终达到欺骗服务器执行其他SQL命令。
数据库面临高权威的主要滥用的威胁,提升权限,SQL注入,缺乏审计记录、网络漏洞、拒绝服务、法律权利的滥用与数据库通信协议漏洞,缺乏认证、数据备份曝光。
具相关调查总结出信息泄露呈现为:
由于运维人员直接接触敏感数据,大部分数据常常于公司、企业内部泄露。
目录
一、引言 5
二、常用网络服务 5
(一)网络服务概述 5
1. DNS服务 5
2. WEB服务 5
3. Mail服务 5
4. FTP服务 5
5. 远程登录服务 6
6. 数据库 6
7. 网络设备管理 6
(二)常用服务安全威胁 6
1. 拒绝服务攻击 6
2. 数据嗅探 6
3. WEB攻击 7
4. 注入攻击 7
5. 木马及病毒 7
6. 第三方劫持 7
三、基于网络服务的安全体系设计与实施以为例 8
(一) 项目描述 8
1. 网络应用状况描述 8
2. 网络应用安全需求分析 8
(二) 安全体系设计 8
1. 拓扑设计 8
2. 网络安全体系规划 9
(三) 网络安全体系实施 10
1. 防火墙部署 10
2. 安全网关部署 16
3. web防护部署 24
4. 网络流量监控部署 29
四、网络安全体系测试 32
致谢 34
参考文献 35
一、引言
现代社会对网络的倚重越见显著,各种应用服务在带给社会便利的同时也产生了很多的安全性问题,而这些问题对人们的工作、生活和学习产生了较大的负面影响。因此在我们提供成使用服务时,对服务的安全问题也需要非常重视。
本课题针对人们时常工作、学习和生活中所使用的常用服务进行分析,总结常用服务安全威胁,并针对这些安全威胁进行防护对
*好棒文|www.hbsrm.com +Q: ^3^5`1^9`1^6^0`7^2#
策研究,设计能初步保护网络服务的安全防护体系,并进行部署实施。
二、常用网络服务
(一)网络服务概述
在一些网络体系中,主要涉及的网络服务有DNS服务、WEB服务、Mail服务、FTP服务;在设备安全上,涉及Telnet服务及SSH服务、数据安全、交换机和路由器的简单防护等。
DNS服务
DNS能够组建不同的区域,在这些区域中采用独立的数据库进行地址、主机名的相关查询。
DNS防护体系与防护策略
有效使用DNS转发器;有效使用DNS广告者;有效使用DNS解析者;尽量保护DNS不受缓存侵害等;使DNS只用安全连接;禁用区域传输;使用防火墙来控制DNS访问等。
WEB服务
Web服务是通关WEB协议向大众提供服务,它是一种面向废物的技术。
WEB防护体系与防护策略
尽可能保护用户的重要信息;确保输入内容的可靠性;确保输入的内容应该较为简单,不应包含相关执行的代码;提交的错误提示中包含了精炼内容,避免过多信息让攻击者获知;有效的配置管理过程等。
Mail服务
Mail服务主要用于电子邮件的收发、信息传递。
Mail防护体系与防护策略
配备一个稳定的邮件系统,操作平台;配备优秀的防垃圾病毒硬件网关;
加强邮件系统管理;
FTP服务
FTP 使用TCP 生成一个虚拟连接用于控制信息,然后再生成一个单独的 TCP 连接用于数据传输。
FTP防护体系与防护策略
建立数据连接的机制。
禁止使用PORT命令等。
远程登录服务
远程登录是一个 允许授权用户进入网络中的其他计算机的一种UNIX 命令。
远程登录主要是为使用者提供了在本地计算机上操控或使用远程计算机。通过在终端使用TELNET远程操控并联至服务器端,可直接管理该域内的设备,从而为使用者带来方便。
数据库
数据库防护体系与防护策略
需使用安全账号策略;需使用安全密码策略;尽可能加强数据库日志的记录;使用协议加密;禁止随便探测TCP/IP端口;修改TCP/IP使用的端口等。
网络设备管理
交换机及路由器防护体系与防护策略
配置密码;命令迁移;关闭不必要的服务;配置验证;配置控制;配置日志等。
(二)常用服务安全威胁
拒绝服务攻击
拒绝服务攻击指使请求者发出服务要求被强行终止。攻击者通过拒绝服务攻击,迫使服务器的缓冲区出现故障,不再接收请求;使用IP欺骗,影响用户的连接。主要拒绝服务攻击包括:
DDoS攻击
DDoS攻击可分为两类,具体如下:
按攻击发起者分类
僵尸网络:大量僵尸网络利用DNS处处超负荷的域名查询请求。
模拟工具:采用外部工具制造伪IP并发送海量DNS查询。
按攻击特征分类
Flood攻击:通关发送大量查询报文致使DNS查询产生错误甚至无法查询。
资源消耗攻击:通关大量且持续的迭代查询,致使消耗大量服务器资源。
DNS欺骗
DNS欺骗主要包括缓存污染、DNS信息劫持及DNS重定向。
系统漏洞
数据嗅探
数据嗅探指攻击者利用CAM溢出攻击欺骗交换机,使得始终交换机以泛洪方式转发数据,攻击者同时将攻击机网卡工作方式设置在混杂模式,在进行这些操作后,攻击者就能够接收到不应该转发给他们的数据,配合密码破解,ARP欺骗的手段,攻击者有可能获得敏感数据或改变数据流方向。
WEB攻击
入侵者通过Web服务程序的SQL注入漏洞、网站操作系统漏洞等得到Web服务器的控制权限,攻击或盗取网站资源。以下为WEB攻击的主要威胁:
失效的账户和线程管理;
非法输入;跨站点脚本攻击;注入式攻击; 缓存溢出问题; 异常错误处理;不安全的存储;程序拒绝服务攻击;不安全的配置管理等。
注入攻击
经过向SQL下令插入到Web表单的非法字符串,最终达到欺骗服务器执行其他SQL命令。
数据库面临高权威的主要滥用的威胁,提升权限,SQL注入,缺乏审计记录、网络漏洞、拒绝服务、法律权利的滥用与数据库通信协议漏洞,缺乏认证、数据备份曝光。
具相关调查总结出信息泄露呈现为:
由于运维人员直接接触敏感数据,大部分数据常常于公司、企业内部泄露。
版权保护: 本文由 hbsrm.com编辑,转载请保留链接: www.hbsrm.com/jsj/wljs/555.html
