网络攻击、网络病毒防范处理、
网络安全可控性
苏 亮
2009-04
主要内容
• 1、集团网络现状
• 2、网络安全需求分析
• 3、网络安全可控性分析
• 4、常见网络攻击及防范
• 5、常见网络病毒及防范
现 状
• 出口:
中兴 US2010双机热备—电信30M+网通10M+DMZ
二级分公司:2M SDH专线
三级分公司:VPN
• 核心三层:中兴T160G双机, 起STP
• 汇聚层:中兴US5928,双线路,划VLAN
• 接入层:中兴US2852
• 客户端: XP SP2,域管理,norton11企业版,
safe360
防火墙(双机)
Internet接入switch
核心三层交换机
SDH专线
防火墙 路由器 路由器
DDOS
九州通网络拓朴
三层交换机
应用服务器终端
防火墙
2MB光纤
30M
B光
纤
10MB光
纤
VPN
应用服务器终端
集团总部 二级公司 三级公司
VPN
VPN
应用服务器终端
防火墙
VPN
双三层交换机冗
余
汇聚层交换机
三层交换机
防火墙/VPN
外部服务器
DMZ区
说明:
一级骨干网络;
二级内部网络;
三级内部网络;
四级内部网络。
双防火墙冗余
双核心交换机冗
余
汇聚层交换机
10M
B光
纤
需求分析
安全可控的网络
• 当企业建设一个相对封闭的内部网络时,一定要保证对该网络做到完全控制,所
谓完全控制,在这里包含以下几层含义:
• 1、连入网络的节点的监控。内部网络是相对封闭的环境,对于网络中的节点信息
和与连入内部网络的节点,要做详细的监控和及时的防范。
• 2、非法对外访问的监控。内部网络中的节点通过非正当渠道对外访问,如通过
Modem拨号的方式连入外部网络的方式,及时发现并做到安全防范。
• 3、网络数据实时监控和审计。针对内部网络中的传输数据,通过网络设备做到实
时监控,实时发现可疑信息并报警,同时做相应的安全审计,从而为事后的电子取证
提供有力的依据。
• 4、实时病毒监控。对内部网络进行实时的病毒防范,对网络中病毒的防护状况做
实时监控,包括重要的服务器、工作站和工作PC等网络安全系统。
• 5、全网的统一监控。对全网的安全数据做到统一管理,统一下发安全策略,统一
分析安全数据,得出全网安全状况和风险级别。
网络安全可控性
• 1、网络安全管理制度的建设
• 2、网络使用人员安全意识的培养
• 3、网络安全防护系统建设
如何构建整体安全方案
整体的安全方案分成三部分
• 技术方案
安全产品是网络安全的基石,通过在网络中安装一定的安全设备,能够
使得网络的结构更加清晰,安全性得到显著增强;同时能够有效降低安全管
理的难度,提高安全管理的有效性。
• 服务方案
在安全服务方案中,采用不同的安全服务,定期对网络进行检测、改进,
以达到动态增进网络安全性,最大限度发挥安全设备作用的目的。
• 支持方案
技术支持是整个安全方案的重要补充。其主要作用是在用户网络发生重
要安全事件后,通过及时、高效的安全服务,达到尽快恢复网络应用的目的
8
一 、技术方案
• 1、防火墙
• 2、入侵检测
• 3、网络防病毒软件控制中心以及客户端软件
• 4、邮件防病毒服务器
• 5、反垃圾邮件系统
• 6、动态口令认证系统
• 7、网络管理软件
• 8、QOS流量管理
• 9、重要终端个人防护软件
• …
9
二、安全服务解决方案
• 1、网络拓扑分析
• 2、中心机房管理制度制订以及修改
• 3、操作系统补丁升级
• 4、防病毒软件病毒库定期升级
• 5、服务器定期扫描、加固
• 6 、防火墙日志备份、分析
• 7、入侵检测等安全设备日志备份
• 8、服务器日志备份
• 9、设备备份系统
• 10、信息备份系统
• 11、定期总体安全分析报告
10
三、技术支持解决方案
• 1、故障排除
• 2、灾难恢复
• 3、查找攻击源
• 4、实时检索日志文件
• 5、即时查杀病毒
• 6、即时网络监控
11
分布实施建议意见
• 1、第一阶段
• (1)技术方面,采用防火墙、网络防病毒软件、页面防篡改系统来建立一个结构上较完善
的网络系统。
• (2)服务方面,进行网络拓扑分析、建立中心机房管理制度、建立操作系统以及防病毒软
件定期升级机制、对重要服务器的访问日志进行备份,通过这些服务,增强网络的抗干扰
性。
• (3)支持方面,要求服务商提供故障排除服务,以提高网络的可靠性,降低网络故障对网
络的整体影响。
• 2、第二阶段
• 在第一阶段安全建设的基础上,进一步增加网络安全设备,采纳新的安全服务和技术支持
来增强网络的可用性。
• (1)技术方面,采用入侵检测、邮件防病毒软件、动态口令认证系统、并在重要客户端安
装个人版防护软件。
• (2)服务方面,对服务器进行定期扫描与加固、对防火墙日志进行备份与分析、对入侵检
测设备的日志进行备份、建立设备备份系统以及文件备份系统。
• (3)支持方面,要求服务商提供灾难恢复、实时日志检索、实时查杀病毒、实时网络监控
等技术支持。
• 3、第三阶段
• 在这一阶段,采取的措施以进一步提高网络效率为主。
• (1)技术方面,采用反垃圾邮件系统、网络管理软件、QOS流量管理软件。
• (2)服务方面,采用白客渗透测试,要求服务商定期提供整体安全分析报告。
• (3)支持方面,要求能够实时或者事后查找攻击源。
12
常见网络病毒及防范
• 一、常见病毒感染方式
1、利用系统和程序的漏洞
2、通过诱惑和欺骗让用户执行带毒程序
• 二、防范
1、及时打补丁
2、安装杀毒软件并且保持最新的更新
3、养成良好的上网习惯
4、不运行来路不明的程序
5、对常见进程和上网的程序心中有数,至少使用一款软
件防火墙
6、使用高强度的密码
• 发现电脑异常的一般解决步骤(不一定是病毒,前提是安装了
杀毒软件并更新到最新):
1、用管理员帐号进入安全模式
2、清空C:\Documents and Settings\用户名\Local
Settings\Temp、C:\Documents and Settings\用户名\Local
Settings\Temporary Internet Files和C:\WINDOWS\Temp目录
下的所有文件
3、打开 safe360,在“高级-启动项状态”中,删除可疑的启
动文件
4、使用safe360扫描和清理木马
5、右击“我的电脑-管理-服务和应用程序-服务”,禁用可疑的
服务
6、重启
ARP欺骗攻击
• ARP(AddressResolutionProtocol)地址解析协议用于将计算机的网
络地址转化为物理地址
• 简单的说就是:这种病毒自身可以伪造一些ARP回应包。这些包的源IP地址一般是重
要设备的IP地址(比如网关),而那个源MAC地址可能是自己的MAC,也可能是一个无
用的MAC地址。而目的IP地址和目的MAC地址都是广播地址,这样的话,这个新的
ARP条目就会发送到网络中的任何一个设备中。然后,这些设备就会更新自己的ARP
缓存,这样一来呢,就达到欺骗的效果了。以后我们的机器在往重要的设备上发送数
据的时候,就会先检查自己的ARP缓存啊,确实存在这么一个ARP条目,殊不知已经
是被掉包的了。所以呢,我们发送的数据就不会按照我们原来的意愿,到达真正的目
的地。
• 中毒特征:网络不定时掉线 、网络不通、部分机器掉线,将交换机重启可以暂时正常、
使用arp –a发现网关mac地址改变
IP欺骗及防范技术
——会话劫持
一般
欺骗
会话
劫持
ARP欺骗攻击
• 解决措施:
1、在命令行模式下输入arp -a命令来查看当前本机储存在本地系统
ARP缓存中IP和MAC对应关系的信息,使用arp –d 删除缓存,或者用
arp –s绑定重要设备的MAC
2、安装 arp 病毒防火墙
3、双向绑定
常见网络攻击及防范
TCP/IP的每个层次都存在攻击
Telnet SMTPDNSFTP
UDPTCP
IP
以太网无线网络SATNETARPNET
应用程序攻击
拒绝服务攻击
数据监听和窃取
硬件设备破坏
电磁监听
拒绝服务攻击(DoS)
SYN (我可以连接吗?)
ACK (可以)/SYN(请确认!)
攻击者
受害者
伪造地址进行SYN请求
为何还没
回应就是让你
白等
不能建立正常的连接
DoS攻击技术——DDoS技术
混合型、自动的攻击混合型、自动的攻击
Workstation
Via Email
File Server
Workstation
Mail Server
Internet
混合型攻击:蠕虫
Web Server
Via Web Page
Workstation
Web Server
Mail Gateway
防病毒
防火墙
入侵检测
风险管理
攻击的发展趋势
攻击的发展趋势
• 漏洞趋势
– 严重程度中等或较高的漏洞急剧增加,新漏洞被利用越来越容易(大约
60%不需或很少需用代码)
• 混合型威胁趋势
– 将病毒、蠕虫、特洛伊木马和恶意代码的特性与服务器和 Internet 漏
洞结合起来而发起、传播和扩散的攻击,例:红色代码和尼姆达等。
• 主动恶意代码趋势
– 制造方法:简单并工具化
– 技术特征:智能性、攻击性和多态性,采用加密、变换、插入等技术
手段巧妙地伪装自身,躲避甚至攻击防御检测软件.
– 表现形式:多种多样,没有了固定的端口,没有了更多的连接,甚至发
展到可以在网络的任何一层生根发芽,复制传播,难以检测。
• 受攻击未来领域
– 即时消息:MSN,Yahoo,ICQ,OICQ等
– 对等程序(P2P)
– 移动设备
常见的安全防范措施
常用的安全防范措施
• 物理层
• 网络层
– 路由交换策略
– VLAN划分
– 防火墙、隔离网闸
– 入侵检测
– 抗拒绝服务
– 传输加密
• 系统层
– 漏洞扫描
– 系统安全加固
– SUS补丁安全管理
• 应用层
– 防病毒
– 安全功能增强
• 管理层
– 独立的管理队伍
– 统一的管理策略
• 访问控制
• 认证
• NAT
• 加密
• 防病毒、内容过滤
• 流量管理
常用的安全防护措施-防火墙
入侵检测系统
Firewall
Servers
DMZ
IDS Agent
Intranet
监控中心
router
攻击者
发现攻击
发现攻击
发现攻击
报警
报警
IDS Agent
漏洞扫描系统
地方网管
scanner
监控中心
地方网管
地方网管
地方网管
地方网管
市场部
工程部
route
r
开发部
ServersFirewall
漏洞扫描产品应用
系统安全加固
• 基本安全配置检测和优化
• 密码系统安全检测和增强
• 系统后门检测
• 提供访问控制策略和工具
• 增强远程维护的安全性
• 文件系统完整性审计
• 增强的系统日志分析
• 系统升级与补丁安装
Windows系统安全加固
• 使用Windows update安装最新补丁;
• 更改密码长度最小值、密码最长存留期、密码最短存
留期、帐号锁定计数器、帐户锁定时间、帐户锁定阀
值,保障帐号以及口令的安全;
• 将默认Administrator用户和组改名,禁用Guests并将
Guest改名;
• 开启安全审核策略;
• 卸载不需要的服务;
• 将暂时不需要开放的服务停止;
• 限制特定执行文件的权限;
• 调整事件日志的大小、覆盖策略;
• 禁止匿名用户连接;
• 删除主机管理共享;
• 安装防病毒软件、个人防火墙。
32
医 药 通 九 州
健 康 送 万 家
JOINTOWN GROUP CO., LTD.
谢 谢!