内网安全
问题对于企业来说,应该从四个层次入手,综合考虑企业的内网安全问题,在IT运维方面即是确定用户的行为安全;最后当用户经过层层的安全检查,又如何保障登机的安全,企业还需要对其基础设施的配置安全性进行检验。以上四方面对应起来就是IT运维管理中的接入安全、桌面安全、行为安全和配置安全,要做好内网安全管理工作,企业应该采用一套严格的运维安全软件来把把控好内网所有网络参与者的安全合法性。
第一道闸门接入安全
企业要最大限度保障内网安全性,首先应该明确内网用户身份,通过非法接入内网而造成内网安全事故的案例已经屡见不鲜。所以IT部门的管理人员也应该从安全身份认证入手,确保内网使用人员的合法性。具体应该如何进行接入安全的管理,我建议从两方面来进行,首先管理员对内网的IP进行合理的规划和分配,加强对于IP地址资源的管控。例如,固定用户分配一定数量的IP,而预留一部分IP给临时访问用户,同时对临时访问用户设定权限,在指定时间段访问指定的网络,从而有效提高了IP资源的利用率和内网的安全等级。
另一个方面则是进一步强调登记合法IP用户,因为内网虽然匹配好IP和设备,但使用人员并不一定会尊守IP规则,即有可能私自篡改IP地址,或者非法使用他人设备,这种情况同样需要进行防范。管理人员通过运维管理软件,设定相应的规则,当有人非法占用他人IP时就发出告警,则能确定非法终端,从而采取断网措施,有效避免了抢占IP资源带来的内网秩序混乱问题。
第二道闸门桌面安全
桌面是所以内网参与者的活动场所,因此规范好终端桌面的使用成为管理员的又一重要责任。而具体操作中,管理员可以通过对安全使用区域的控制、增强安全运行的辅助、安全事件的统计分析、安全规范的使用这四个方面来落实。首先内网对于不同的用户要确定其可以访问的范围,即对其可访问区域的管控。例如,一业务人员可以对ERP系统和INTERNET资源进行合法访问,而对于财务系统,他是无法进行访问的。通过用户级别的划分规范了整个网络的使用范围,有效杜绝了非法访问事件的发生。
其次,管理员需要经常对增强安全运行采取一些辅助措施,主要是指对于终端的系统漏洞、软件漏洞、环境漏洞进行时刻监测,一旦有新的漏洞产生,则立即下载最新的补丁文件进行全内网范围的安装,提高了内网终端设备的安全等级;再次,安全统计分析功能,对于内网发生的安全问题进行历史记录对比分析,从而总结出内网可能存在的安全隐患,采取解决方案一次性解决问题;最后就是执行安全等级规范,通过一系列的安全等级设置,管理人员可以实时查看全网所有装备的安全情况总览,从而扫除了安全盲点,对于改善企业内网的安全等级起到了积极的导向作用。
第三道闸门行为安全
顾名思义,我们从终端的合法性以及使用者身份的合法性方面都经过了严格的确认,那进一步则需要规范使用者的操作行为,从而真正达到内网的安全无忧。管理人员通过管理软件预置的多种安全分析模式,运用数据流分析工具,通过IP异常帧流量、IP扫描捕捉、扫描端口的IP三个层次进行分析,可以智能识别内网的异常数据流行为,并最终分析其数据来源,定位到终端设备,便于管理员直接采取措施,切断异常设备的网络,恢复内网的正常运行。
第四道闸门配置管理
内网系统赖以正常运行的一个重要条件就是设备的配置参数,内网安全管理同样也需要关注此环节。一般来说,管理软件会对内网系统的网络设备、主机设备的配置参数进行自动备份,同时对于配置参数进行实时监测,当有参数更改时则发出告警,管理人员能够根据备份的配置参数恢复设备的配置,从而确保内网所有设备正常运行,也从硬件平台上为整个内网系统运转提供了支撑。
以上四个方面可谓环环相扣,层层深入,企业的IT部门运用管理软件严格按照以上四个步骤进行安全管理,必将提高内网安全等级,将内网安全事故发生几率降到最低,真正成为企业网络安全的“守护神”。
内网安全问题逐渐成为企业所关注的话题,一旦企业的网络系统出现安全问题则带来的影响可能是致命性的。所以企业应该予以重视。
【编辑推荐】
求内网安全的方案?
欣全向公司巡路免疫网络解决方案是在企业网络中实现安全免疫,打造免疫网络的途径和方法。 在目前网络架构不做重大改变的前提下,实施部署巡路免疫网络解决方案,可以顺利地将一个普通网络升级为免疫网络。 巡路免疫网络解决方案不是一个单独的产品,而是一套由软硬件、内网安全协议、安全策略构成的完整组件。 在巡路免疫网络解决方案中,采用了各种技术手段实现免疫网络的基本要求。 比如: 1、通过在接入网关设备中加入安全功能,如ARP先天免疫、内网防火墙、滤窗技术等,实现了网络设备中融合安全功能的要求; 2、通过强制安装终端免疫驱动,在网络的末端节点进行部署。 更重要的是在网卡一级对底层协议也进行管控,实现了深度防御和控制。 3、通过对全网安全策略组合的综合设置、预定和学习,实现了主动防御,对已知和未知的攻击行为起到抑制、干预,阻止其发作的作用。 4、通过运行在服务器上的运营中心,对来自网关和终端驱动的报警信息、异常流量、身份核查等进行处理,对网络的运行状况进行审计评估,还负责安全策略的升级和下发等工作。 5、内网安全和管理协议将接入网关、服务器、终端驱动等各部分网络设备和安全功能,构成一个完整的体系,实现了全网设备联动 巡路免疫网络解决方案的功能特色: 1、 对终端身份的严格管理。 终端MAC取自网卡,有效防范了MAC克隆和假冒;将真实MAC与真实IP一一对应;再通过免疫驱动对本机数据进行免疫封装;真实MAC、真实IP、免疫标记三者合一,这个技术手段其他方案少有做到。 所以,巡路免疫方案能解决二级路由下的终端管理、IP-MAC完全克隆。 。 。 。 等其他解决不了或解决不彻底的问题。 2、 终端驱动实现的是双向的控制。 他不仅仅抵御外部对本机的威胁,更重要的是抑制从本机发起的攻击。 这和个人防火墙桌面系统的理念显著不同。 在受到ARP欺骗、骷髅头。 。 。 等协议病毒攻击时,能起到主动干预的作用,使其不能发作。 3、 群防群控是明显针对内网的功能。 每一个免疫驱动都具有感知同一个网段内其他主机非法接入、发生攻击行为的能力,并告知可能不在同一个广播域内的免疫运行中心和网关,从而由免疫网络对该行为进行相应处理。 4、 提供的2-7层的全面保护,还能够对各层协议过程的监控和策略控制。 深入到2层协议的控制,是巡路免疫网络解决方案的特有功能。 而能够对各层协议过程的监控和策略控制,更是它的独到之处。 现在普遍的解决方案,基本上是路由器负责 3层转发,防火墙、UTM等进行3层以上的管理,唯独缺少对“局域网至关重要的二层管理”,免疫驱动恰恰在这个位置发挥作用。 而上网行为管理这类的软硬件,在应用层进行工作,对2、3层的协议攻击更是无能为力。 5、 对未知的协议攻击,能够有效发挥(告警提示、主动拦截)作用,是真正的主动防御。 6、 免疫接入网关在NAT过程中,采取了专用算法,摒弃了其他接入路由器、网关产品需要IP-MAC映射的NAT转发算法,使ARP对免疫接入网关的欺骗不起作用。 这叫做ARP先天免疫。 7、 具有完善的全网监控手段,对内网所有终端的病毒攻击、异常行为及时告警,对内外网带宽的流量即时显示、统计和状况评估。 监控中心可以做到远程操作。 “防火墙、入侵检测系统、防病毒等“老三样”组成的安全网络,堵漏洞、做高墙、防外攻,防不胜防。 ” 沈院士这样概括目前信息安全的基本状况。 老三样在目前网络安全应用上已经明显过时了。 深圳地区 内网安全管理热线
求企业局域网管理方案 ~!!!!高手进
那也先说下机子数量和规模,网络带宽及配置要求等等才行吧…… 为了200分,稍微谈谈吧:)假设是200台机子吧,路由器和交换机之类硬件配置就不用说了吧 软件嘛,操作系统用WIN2003 server enterprise 企业版,推荐一并安装R2升级包,所有机器组局域网,用一台千兆网卡做域控,架设web、smtp、流媒体、打印机、文件等服务器,其他机做为域成员加入进来,内网IP各用各的,外网用端口映射到一个IP(当然,如果你的企业有钱那参照具体情况了,重要的服务器各用各的外网IP),用域控做网络流量负载平衡,域控机器配置要强,如果你网络流量大,建议用专业级服务器,至强+2Gb+SCSI硬盘之类,看你环境要求了,如果必要可以上双至强,再用一台512mb内存的p4 2.0G以上机做备份域控,这样主域控上下线或重启或出故障不影响域内成员正常工作,备份域控凑合就可以了,按我上面的要求就行,当然,有钱可以用好的 如果你安全性要求高,建议路由前端用普通P4+512Mb内存机器架ISA2004 server组防火墙,配置的好效果比一般的硬件防火墙要好,完全不影响网络环境运行,域内成员可以裸奔不怕毒和黑 至于域内成员机,如果仅全力供应片源或做做一般的平面设计,当前主流家用机型就够用了 服务器建议用hp 360G系列,目前价位不算高,性价比还不错,售后很好,如果你对建网不怎么了解,可以让他们帮你装,买他们的服务器就是要利用他们的人力资源嘛 路由器可以选用飞鱼星4200以上机型,电信网通双WAN口,是可以提供150~250台机器的大型网吧专用的,内置参数非常丰富,同样适合用于中小企业 至于网管软件,网络负载平衡靠ISA,DHCP/DNS/WEB/打印机/文件共享等靠IIS6.0,如果觉得不用杀毒软件不放心,上SAV3.0,至于成员机出问题需要求助什么的,直接用远程连接就可以,当然用pcanywhere效果也一样,方便一点,至于说小工具之类的,推荐聚生网管,其他就没什么了,我很少用到第三方软件,微软产品足够对付了,另外科室或者部门内部上工作组也行,只是安全性低,不能做到用户之间的完全隔离,有悖网管职责:) Win2000完全不在考虑之内,如果牵涉到域控级别的更改,麻烦死了,2003非常强大了,看你水平啦,反正我不用任何杀毒软件,就一个ISA裸奔的,至今还没出现什么安全问题,IP安全机制筛选的强悍就行:) 另外再多罗嗦几句,板卡不要买七彩虹的,我上过当,七彩虹本身是咨讯公司,没有任何板卡生产能力,都是同德代工的,以为它的出货量大,就选了它,结果广告上的指标参数和实际产品根本不同,水份太多太多了,售后也很烂,特此建议…… 楼下别再抄袭我了,每天都被抄走好几个200分最佳,实在是郁闷!
怎样才能防治局域网中的病毒
现在局域网中感染ARP病毒的情况比较多,清理和防范都比较困难,给不少的网络管理员造成了很多的困扰。 下面就是个人在处理这个问题的一些经验,同时也在网上翻阅了不少的参考资料。 ARP病毒的症状有时候无法正常上网,有时候有好了,包括访问网上邻居也是如此,拷贝文件无法完成,出现错误;局域网内的ARP包爆增,使用ARP查询的时候会发现不正常的MAC地址,或者是错误的MAC地址对应,还有就是一个MAC地址对应多个IP的情况也会有出现。 ARP攻击的原理ARP欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。 或者,ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内,或者与自己网络MAC数据库MAC/IP不匹配。 这些统统第一时间报警,查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道那台机器在发起攻击了。 现在有网络管理工具比如网络执法官、P2P终结者也会使用同样的方式来伪装成网关,欺骗客户端对网关的访问,也就是会获取发到网关的流量,从而实现网络流量管理和网络监控等功能,同时也会对网络管理带来潜在的危害,就是可以很容易的获取用户的密码等相关信息。 处理办法通用的处理流程1.先保证网络正常运行方法一:编辑一个***文件内容如下 s**.**.**.**(网关ip) ************(网关MAC地址)end让网络用户点击就可以了!办法二:编辑一个注册表问题,键值如下:Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]MAC=arp s网关IP地址网关MAC地址然后保存成Reg文件以后在每个客户端上点击导入注册表。 2.找到感染ARP病毒的机器a、在电脑上ping一下网关的IP地址,然后使用ARP -a的命令看得到的网关对应的MAC地址是否与实际情况相符,如不符,可去查找与该MAC地址对应的电脑。 b、使用抓包工具,分析所得到的ARP数据报。 有些ARP病毒是会把通往网关的路径指向自己,有些是发出虚假ARP回应包来混淆网络通信。 第一种处理比较容易,第二种处理比较困难,如果杀毒软件不能正确识别病毒的话,往往需要手工查找感染病毒的电脑和手工处理病毒,比较困难。 c、使用MAC地址扫描工具,Nbtscan扫描全网段IP地址和MAC地址对应表,有助于判断感染ARP病毒对应MAC地址和IP地址。 预防措施1、及时升级客户端的操作系统和应用程式补丁;2、安装和更新杀毒软件。 3、如果网络规模较少,尽量使用手动指定IP设置,而不是使用DHCP来分配IP地址。 4、如果交换机支持,在交换机上绑定MAC地址与IP地址。 (不过这个实在不是好主意)
发表评论