三通IT学院 门户 网络技术 查看内容

2014-1-21 14:32
防火墙在生产环境中的安全实践与应用

摘要 : 网络病毒的传播方式各种各样,有的是由于系统缺陷或软件漏洞被黑客攻陷,有的则是人们使用了带病毒的存储器或访问了带病毒的网站。电子邮件也是病毒的极好载体,通过邮件的收发病毒可被迅速传播,并且能够快速地扩散 ...

时光与梦2014-1-21 14:325200
网络病毒的传播方式各种各样,有的是由于系统缺陷或软件漏洞被黑客攻陷,有的则是人们使用了带病毒的存储器或访问了带病毒的网站。电子邮件也是病毒的极好载体,通过邮件的收发病毒可被迅速传播,并且能够快速地扩散。


  对于企业来说,黑客的入侵、信息的被窃取与被篡改,以及带病毒信息的传播,都会危及企业的信息安全。企业网络管理得好,可以提高企业的工作和生产效率,否则会影响正常的工作秩序,甚至给企业带来重大或致命的损失。据国外统计,计算机病毒正在以10种/周的速度递增,而据我国公安部的统计,国内计算机病毒也正在以4至6种,月的速度递增。
  因此,面对日益增多的计算机病毒和网络黑客的入侵,进行有效的预防和防范,以保护企业网络信息资源十分重要。
  1.企业内网防病毒现状及存在的问题
  要建立企业有效的防病毒安全网络系统,首先应了解目前企业的网络系统状况,然后才能根据企业信息化发展的实际需求,做出合理和高性价比的防病毒安全网络系统方案。
  1.1 企业网络现状分析
  一般企业虽然都有防火墙作内网的网络保护,但网络的许多新应用已经抛弃了陈旧的防火墙架构,比如聊天、视频、文件传输,这些应用程序都需要在Web上运行,黑客之所以攻击这些目标就是因为这些流量对于防火墙来说是不可见的,并且看起来是类似合法的。
  过去的十几年中,在网络安全领域,状态防火墙一直是处于第一道防线上。它就像是管理端口和协议的交通警察,在网络工程师制定的成千上万条规则的基础上,为流量采取最晗当的措施。当低策略的防火墙设备已不能抵挡一些新型网络病毒的攻击时,它的局限性就很明显了。
  1.2 企业防病毒现状及问题
  在许多企业中,企业网络只以防火墙设备来抵抗外来者的入侵和攻击,员工计算机也只采用单机版的杀毒软件来保护计算机不被病毒感染,而单靠这几种简单措施是不能有效防范网络病毒侵袭的。企业网络中存在的病毒类型主要有:
  (1)引导型病毒;
  (2)宏病毒;
  (3)文件型病毒;
  (4)蠕虫病毒;
  (5)木马病毒;
  (6)恶意插件及恶意程序。
  这些病毒对企业员工的计算机造成了极大的影响,严重的会使文件、数据丢失和系统崩溃。下面就企业防病毒中主要存在的问题作一分析。
  1.2.1 企业网络查杀病毒能力差
  一般企业由于没有使用统一的网络杀毒软件,所以就很难对企业内网形成有效的防护和监管。同时由于计算机使用人员的水平不一,他们对病毒的防范和处置能力也不一样,一旦等到网络管理人员发现病毒暴发或蔓延时,病毒实际上已扩散到整个局域网中了。
  1.2.2 企业邮件服务器受病毒的影响
  电子邮件是企业员工进行信息传递最常用的工具之一。造成电子邮件不安全的原因有:一是包括邮件服务器在内的网络安全系统受到攻击(如利用垃圾邮件、病毒邮件或“钓鱼”邮件);二是电子邮件本身受到攻击(如盗用发件人电子邮件账号、窃取或篡改邮件内容)。
  邮件服务器若无防病毒监控,则容易出现大量的垃圾邮件。接收一封带有病毒的电子邮件后,不但该计算机会中病毒,而且当转发邮件后,病毒还会迅速传播给其他人,轻则会造成文件打不开,严重时计算机中相应的文件都会被感染或受损。
  1.2.3 计算机系统漏洞管理弱
  系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误,这种缺陷或错误有可能被不法者或电脑黑客所利用,通过植入木马、病毒等方式来攻击或控制整个电脑,窃取电脑中的重要资料和信息,甚至破坏整个系统。网络病毒往往通过系统漏洞展开攻击,企业若对每台计算机的系统漏洞没有一种统一管理,那么这种状况下引发的病毒就不能得到很好的监控。
##########NextPage##########
2.网络病毒分析
  计算机病毒是指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据、影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。它虽然只是一组指令或代码,但其具有的危害性相当大,它可以具有较强的寄生性、隐蔽性、可传染性和相当大的破坏力。
  此外,在网络发展的同时,病毒也在发展,现在的病毒已经不是传统意义上的单一病毒了,它们往往是一个病毒载体身兼数职,其自身就是文件型、木马型、漏洞型和邮件型的混合体,这样的病毒危害性更大,查杀起来也更困难。
  2.1 网络病毒常见种类
  木马病毒它是一种后门程序,一般会潜伏在操作系统之中,具有较强的隐蔽性。它不会自我繁殖,也不“刻意”地去感染其他文件。它的目的是窃取用户的资料,以使施种者可以任意毁坏、窃取被种者的文件,如帐号、密码等,它甚至可以远程操控被种者的电脑。
  蠕虫病毒它会利用操作系统和程序的漏洞主动发起攻击,每一个蠕虫都有一个能够扫描到计算机漏洞的模块,一旦它发现了漏洞就会立刻传播出去,这就是它危害性极大的根本原因。蠕虫可以在感染一台计算机后,再通过局域网感染网络内的所有计算机。被感染后的网络会因为蠕虫发送的大量数据包而使网速异常缓慢,计算机会因为CPU、内存占用过高而导致死机。
  2.2 网络病毒传播方式
  网络病毒是指通过计算机网络进行传播的病毒。它主要是通过网络的服务器访问、电子邮件收发,以及FTP文件交换、磁盘文件共享与交换等形式进行传播。
  2.2.1 通过系统漏洞传播
  在Windows操作系统中,漏洞型病毒的传播最为广泛。由于Windows操作系统内部存在着漏洞,即使用户没有运行不安全的软件或者打开有安全隐患的连接,漏洞型病毒也会利用这些漏洞对计算机发起攻击。2004年风靡的“冲击波”和“震荡波”病毒就是漏洞型病毒的一种,它们造成了全世界大量网络计算机的瘫痪,由此也给全世界造成了巨大的经济损失。
  2.2.2 通过服务器传播
  这类病毒是利用一些常见的漏洞来获得远程服务器主机的控制权,然后,病毒可以随意传染至服务器,再通过服务器,将病毒传染至访问该服务器的客户机。还有些病毒可以在局域网内搜索FFP,并向上传送带病毒文件,然后再利用欺骗手段欺骗用户下载运行。
  2.2.3 通过邮件传播
  邮件型病毒是通过电子邮件传播的病毒。它一般会隐藏在邮件的附件之中,用伪造虚假的信息,诱骗用户打开或者下载附件,从而感染病毒。邮件型病毒甚至可以通过浏览器的漏洞进行传播,也就是说,即使用户仅仅是查看了邮件内容,而没有打开邮件中的病毒附件,病毒也可以入侵计算机。
  2.3 企业内网的病毒传播特点
  在企业局域网环境下,网络病毒除了具有可触发性、可执行性、可传播性和破坏性等计算机病毒的共性外,它们还具有一些新的特点。
  (1)感染速度快:在单机环境下,病毒只能通过存贮介质从一台计算机带到另一台,而在网络中,它则可以通过网络通讯机制进行迅速扩散。根据测定,正常使用的网络情况下,只要有一台计算机有病毒,它就可在几十分钟内将网上的数百台计算机全部感染。
  (2)扩散面广:由于病毒在网络中扩散非常快,扩散范围很大,它不但能迅速传染局域网内的所有计算机,它还能通过远程服务器将病毒在瞬间传播到千里之外。
  (3)传播形式复杂多样:计算机病毒在网络上一般是通过“工作站一服务器一工作站”的途径进行传播的,但传播的形式复杂多样。
  (4)难于彻底清除:单机上的计算机病毒有时可通过删除带毒文件、低级格式化硬盘等措施将病毒彻底清除,而网络中,只要有一台计算机未能杀毒干净,就可能使整个网络重新被病毒感染,甚至刚刚完成杀毒的一台计算机,就有可能立刻被网上另一台带毒计算机所感染。因此,仅对单台计算机进行网络病毒杀毒并不能彻底解决病毒对整个网络的危害。
  (5)破坏性大:网络病毒将直接影响网络的运行,轻则降低速度,影响工作效率,重则使网络崩溃,破坏服务器信息,使一个企业多年的信息化成果毁于一旦。
  (6)潜在性:网络一旦感染了病毒,即使病毒已被清除,其潜在的危险性也是巨大的。根据统计,病毒在网络上被清除后,85%的网络会在30天内被再次感染。
  2.3.1 邮件传播特点
  在企业局域网中,病毒的第一大传播来源是电子邮件。若企业邮件系统缺少对邮件病毒的防范控制,加上很多用户在接收外部邮件后,没有对附件进行病毒查杀即直接打开,或在不知情的状态下转发邮件,结果就会导致自己和他人的计算机被大面积感染。有的邮件病毒还会自动转发和群发,也会造成企业内网计算机的集体中毒。
  2.3.2 移动介质传播特点
  目前移动硬盘、u盘的成本在不断下降,而容量却在不断增大。它们的大容量和携带方便,使得它们的使用频率大大增加,但随之而来的是,它们也成了企业的另一大病毒传播途径。
  2.3.3 访问网页传播特点
  由于现在许多企业都实现了办公计算机化和网络化,计算机访问互联网的频率也很高。一些网站出于不同的目的,会在网页代码和下载软件中放入病毒,用户的计算机在访问时,由于浏览器的安全设置不完善,会出现浏览器主页被更改、设置选项被锁定等现象。有的病毒进入计算机后,使得计算机速度变得很慢,甚至无法工作。这种形式正逐渐成为企业的又一主要的病毒来源,并且,随着时间的推移,有发展成为第一大病毒来源的趋势。
  2.3.4 即时通讯软件传播特点
  企业员工对内或对外交流使用即时通讯软件(QQ等)的比较普遍。由于这种通讯方式传输文件的方便性和即时性,故它的使用率非常高。同时由于计算机上针对这种方式的防病毒能力不强,故在接收文件的同时,病毒也容易被带入计算机中,并在局域网中进行传播,目前这种途径已是企业的第四大病毒来源。

##########NextPage##########
3.企业防病毒需求分析

  在全球网络病毒日益猖獗的今天,企业采取必要的网络安全防范措施是非常重要的,它有利于保障企业计算机系统和数据信息的安全,因止匕也成了企业局域网建设!必不可少的重要内容。

  3.1“加高”防火墙。增强服务器防病毒能力

  在企业网络中,防火墙所起的作用是非常重要的。但是,只有当防火墙成为内部和外部网络之间通信的惟一通道时,它才可以全面、有效地保护企业内网不受侵害,最大限度地阻止网络中的黑客来访。

  有些企业虽然已有防火墙设备,但随着攻击变得越来越复杂,一些陈旧的防火墙设备也应该不断更新。只有这样,才能更主动地阻止新的威胁。

  3.2 提升邮件服务器防病毒能力

  企业邮件服务器病毒防范能力薄弱,病毒邮件量、垃圾邮件量越来越多,企业员工就需要花费大量的时间去接收、识别、清理邮件,而且一不小心就会中了邮件带来的病毒,这些都将严重影响企业的信息安全和工作效率。

  一个完整的企业邮箱服务系统应该包含邮件收发系统、反垃圾邮件系统、反病毒系统和邮件归档备份系统,这些是邮件服务器所必备的,也是企业需加强和改进的。

  3.3 提高网络杀毒软件性能

  防火墙是一种网络隔离控制技术,它不能有效地防御来自网络内部的病毒攻击。当企业内网已感染病毒时,则需要靠杀毒软件来查杀。故如何及时有效地防治、控制、清除企业局域网中的病毒,这也是企业对网络病毒防范的一个重点。

  安全软件是主动防御系统的一个发展方向,它能够自动实现对未知威胁的拦截和清除,而不需要用户去关注防御的具体细节,它还能够进行杀毒软件的主动更新、主动漏洞扫描和修复、以及对病毒的自动处理等。

  企业有一套安全可靠的网络版杀毒软件,就能对整个网络进行集中管理,及时地掌握网络中各个节点的病毒监测状态,及时发现病毒并加以清除。这样,在实际工作中既可方便网络管理员,又能在最大程度上减少整个网络的安全漏洞。

  3.4 加强企业网络管理能力

  3.4.1 建立病毒预警、漏洞管理机制

  病毒传播途径主要是网络,所以需主动地去发现通过网络传播的恶意病毒代码,并对传播这种代码的源头进行处理。对代码的种类进行收集、分析和统计,借助于网络病毒预警系统掌握病毒疫情分布情况,这样可以为企业网络管理员提供准确的病毒瘦隋,从而保证病毒防治具有针对性和科学性,减少盲目性。针对漏洞型病毒,最根本的办法就是安装补丁以消除漏洞,因此,补丁管理也需要十分及时。如果补丁管理工作晚于病毒的攻击,那么企业就有可能因此而遭受伤害。

  值得指出的是,在实际的企业局域网中,计算机配置的档次高低各异,操作系统和应用软件千差万别,网络管理员要想同时对几十甚至几百台计算机及时快速地打上新补丁几乎是不可能的,因此,建立一整套的病毒预警体系和漏洞管理机制是十分必要的。

  3.4.2 阻断网络资源滥用

  在对企业的调查中发现,员工的上网速度变慢,其原因除了计算机感染病毒和外部攻击外,也有一部分是由于员工自身不良的上网行为,如上班时经常浏览跟工作无关的网站,占用了大量的网络带宽,严重影响了整个网络的运行。同时,不良的上网行为也增加了病毒的侵入机会,可能造成企业网络病毒感染率的上升。所以对企业员工的上网行为也需要通过阻断这种网络资源的滥用来加强管理。

  3.5 提高企业员工防病毒能力

  虽然很多企业都有一套较完整的计算机防病毒管理制度,但有的员工防病毒意识仍然不强,有的制度形同虚设。针对这种情况,企业应着重加强对员工计算机防病毒意识的教育,培养员工使用计算机的良好习惯,自觉地在使用外来移动介质(u盘、移动硬盘等)之前进行检查,不轻易使用网上下载的软件。另外,在企业局域网中使用的软件,也应做到统一规范管理,企业还应加强对员工使用权限的管理,严格做到一人一权限。
##########NextPage##########

4.企业防病毒策略

  为了企业局域网的安全,在做企业防病毒策略方案时,应遵循国际上的一些标准和我国对计算机病毒防治的管理办法,并充分利用企业原有的防病毒系统,以减少整个防病毒系统的设计风险和实施风险。

  4.1 企业计算机网络安全原则

  国际上对计算机网络的信息安全管理系统制定有相应的标准,我国2000年发布施行的《计算机病毒防治管理办法》也对计算机病毒防治管理作了详细的规定,这些标准和办法都是在综合考虑各种因素后制定的,因而具有一定的可实施性、可扩展性和完备性与均衡性,它们都遵循着网络安全的基本原则。

  网络安全防范体系在整体设计过程中应遵循以下9项原则一:

  (1)网络信息安全的木桶原则;

  (2)网络信息安全的整体性原则;

  (3)安全性评价与平衡原则;

  (4)标准化与一致性原则;

  (5)技术与管理相结合原则;

  (6)统筹规划,分步实施原则;

  (7)等级性原则;

  (8)动态发展原则;

  (9)易操作性原则。

  4.2 企业局域网防病毒安全策略

  企业防病毒安全体系可采用多层次防范,通过防火墙、服务器防护、防毒预警和杀病毒软件等一系列的管理和监控,使企业的防病毒系统更具有科学性和合理性。

  企业防病毒安全系统可采用下列产品来实现:防火墙、上网行为管理、三层交换机、邮件服务器防病毒插件(含反垃圾软件)、防病毒预警系统和网络版杀毒系统。

  5.企业防病毒策略的实施

  5.1 防火墙、上网行为管理的布署

  防火墙是保障内部网络安全的一道重要屏障。我们在做方案时考虑到了以下几点:

  (1)防火墙的架构采用硬件体系;

  (2)防火墙要求的并发会话数量;

  (3)外部访问的类型和范围要求;

  (4)需要的VPN(虚拟专用网)协议数量和类型;

  (5)喜欢的管理用户界面。

  我们在实践中选用了新一代的防火墙设备,它不但具有基础的网络安全功能,而且还可以针对一个入侵行为中的各种技术手段,进行统一的检测和防护。

  我们选用的上网行为管理设备,能够很好地对局域网内每台计算机的上网行为进行精准识别,对用户的流量、P2P下载等进行策略设置,方便地实现上网权限的灵活分配,有效防止了企业有限带宽的资源滥用,保障了企业OA、ERP等系统的应用能获得足够的带宽支持。同时该设备还可防御DOS攻击、ARP欺骗等恶意威胁,并具有网关杀毒功能,阻挡病毒进入局域网。

  5.2 三层交换机布署

  三层交换机在企业网络设备中起到了“中流砥柱”的作用,若一个网络中,几百台计算机都在一个子网中,就会毫无安全可言,同时也会因为无法分割广播域而无法隔离广播风暴。

  为了避免在交换机上进行广播所引起的广播风暴,我们将三层交换机设备在局域网中作VLAN划分,考虑到企业局域网安全和应用的需要,对不需要上外网的网段进行禁用外网的设置,以保证网络的安全。

  5.3 邮件服务器防病毒的布署

  为了更有效地防范病毒邮件,我们在邮件服务器软件中增加垃圾邮件过滤和封锁以及反病毒插件,使邮件到达邮件服务器时便对邮件的正文和附件进行病毒扫描,一旦发现问题,就拒绝接收该邮件,这样,在邮件处理的最初就能截断病毒的源头。

  通过配置安全选项,极大地提高了员工的邮件安全,保障了邮件用户最小限度地遭受恶意宣传邮件、垃圾邮件、病毒邮件的骚扰和攻击,同时也减轻了管理员防治病毒的工作压力。

  5.4 防病毒预警系统和网络杀毒软件布署

  企业局域网安装网络版防病毒软件系统,通过服务器就可实现对所有局域网终端电脑进行病毒查杀及系统软件的补丁安装。

  使用网络版防病毒软件,网络管理员可以通过联网的任意一台计算机,对一个客户端、一个工作组或整个局域网进行各种日常操作。同时,客户端在发现病毒后,也会将相关信息上报至中心服务器,以使管理员能在第一时间掌握局域网内的病毒发生情况并加以处理。

  6.结束语

  我们的局域网防病毒解决方案,实施效果良好,局域网内的病毒大大减少,企业的带宽得到了合理分配和使用,企业信息化管理系统在使用中的网速提升较为明显,网络管理员了解和控制整个内网中的病毒情况也变得更为方便、及时和准确,企业的网络数据售息也变得更为安全了。

  企业防病毒工作是一项需要长期坚持和全体员工共同参与的系统工程,是以技术为基础,制度为规范的工作,企业必须严格执行有关计算机病毒防治的规章制度,才能使企业防病毒工作做得更扎实、有效。


鲜花

握手

雷人

路过

鸡蛋
收藏 分享 邀请

最新评论

返回顶部