安卓版下载

Intranet网络架构安全评估

2016-11-26 06:42
网络安全和信息化 2016年8期
关键词:交换机防火墙架构

引言: 企业计算机网络(Intranet)系统的安全将受到越来越多的威胁,企业职员必须进一步提高网络安全意识,高度重视并确保网络的安全、稳定运行。本文从从网络建设规范性、网络可靠性、网络边界安全性、网络协议安全分析、网络流量分析、网络通信安全、网络安全管理等7个方面对网络架构进行评估,确保网络架构安全。

在企业信息化建设过程中,网络是任何信息化建设的基础。企业领导、技术管理人员都必须进一步提高计算机网络安全意识,确保网络的安全、稳定运行。

某大型企业一直重视网络基础建设,并通过加大投入尽可能采取相关技术手段确保其网络安全,但通过对该公司网络架构安全评估过程中发现仍然存在较多安全缺陷,如图1。

图1 网络拓扑图

Intranet网络架构安全评估方案

根据该公司组织结构和网络系统的特点,采取以顾问访谈、文档分析等方式,辅助安全漏洞扫描、人工安全检查等技术手段,对网络系统各方面的安全状况进行全面考察、充分分析后得到当前网络架构的现状以及评估方案。

从安全区域的角度来看,该公司整个网络架构可分为:出口区、DMZ区、内部服务器区以及用户接入区。

对该公司网络架构评估从网络建设规范性、网络可靠性、网络边界安全性、网络协议安全分析、网络流量分析、网络通信安全、网络安全管理等7个方面进行全面评估,对存在的安全风险给出了下列相关建议。

网络建设规范性

1.IP地址规划

IP地址规划合理,地址分配易于管理,具有连续性。

2.网络设备命名

网络设备命名不够规范。

建议采用以下命名方法:AA_xYYYY_zz. 其 中:AA表示物理位置的全拼;x表示交换机s或路由器r;YYYY表示设备型号;zz表示设备序号,用01、02等表示。

3. 网络架构

网络架构清晰,层次分明,边界明确。安全边界明确,对敏感系统例如DMZ、财务人事系统同其他系统以防火墙或者划分VLAN的方式进行了有效隔离。VPN用户从外网登录后可以访问整个内网,存在一定的安全隐患。

建议严格限制VPN网段对内网的访问。遵循“缺省关闭,按需求开通”原则,严格限制VPN网段对内网的访问。

网络可靠性

1.链路可靠性

网通与中电飞华两条互联网链路相互独立,没有充分利用做到链路互备。

建议在防火墙上进行路由设置,实现双链路互备,提高链路可靠性。

2.设备可靠性

核心交换机和防火墙无备份,存在单点故障隐患。

建议增加一台核心交换机和一台防火墙与现网交换机和防火墙组成双机热备的工作模式,增强设备可靠性。

网络边界安全性

1.防火墙

防火墙配置了严格的访问控制策略,有效保证了内网和DMZ区服务器的安全性。但对互联网开放了radmin、telnet等远程管理服务,存在较大的安全隐患。

建议在防火墙上配置禁止互联网用户访问ramdin、telnet等服务,或者配置只允许可信IP访问。

2.内网VLAN划分

核心交换机进行了VLAN 划分,并配置了访问控制列表(ACL)。ACL目前只对财务和人事网段进行了保护,对于客户端访问服务器区没有任何限制措施,部分对外网提供服务的服务器与其他内网服务器在同一VLAN,存在较大的安全隐患,如渗透测试所示,外网攻击者若控制一台外网服务器,就有可能控制整个内网。

建议根据业务需要,配置ACL,严格限制客户端对服务器区的访问;为对外网提供服务的服务器单独划分一个VLAN,并在该VLAN与内网之间部署防火墙,严格限制内外网服务器之间的访问。

网络协议安全分析

路由协议:采用高效的静态路由协议和OSPF等动态路由协议相结合,对于目前的网络结构是合理有效的。

网络流量分析

流量监控、流量分析:部署了QQview对网络中的流量与用户行为进行监测和管理,优化了网络流量。

网络通信安全

1.入侵检测

没有部署入侵检测设备,在本次的渗透测试过程中,即使测试人员从互联网成功进入了内网,也没有系统对以上攻击行为进行告警。

建议在互联网出口及核心交换机上部署IDS或IPS,监控及阻断来自互联网及内部恶意用户的入侵行为。

2.抗拒绝服务

未充分考虑分布式拒绝服务攻击(DDoS)的威胁,缺乏防御日益猖獗的DDoS攻击的有效手段。

建议部署专用的抗拒绝服务设备以增强网络安全性。

网络安全管理

1.远程管理

对核心交换机的管理使用的是Telnet明文方式,容易被非法用户窃听、进而获取管理员权限。没有针对Telnet登录IP配置ACL策略,可能导致不可信的IP对设备进行口令猜测、暴力破解。

建议设置Telnet访问控制列表,只允许通过信任IP进行远程管理,使用SSH加密管理方式代替Telnet。

2.日志管理

缺乏集中日志分析系统,对设备的访问、常见信息以及异常信息的原始记录,是处理和分析问题的一个重要辅助手段和监控方式。

建议部署集中日志分析系统,协助网络管理员全面分析网络设备产生的日志。

猜你喜欢
交换机防火墙架构
基于FPGA的RNN硬件加速架构
成都信息工程大学学报(2022年4期)2022-11-18
功能架构在电子电气架构开发中的应用和实践
汽车工程(2021年12期)2021-03-08
基于云服务的图书馆IT架构
时代人物(2019年27期)2019-10-23
构建防控金融风险“防火墙”
当代陕西(2019年15期)2019-09-02
基于地铁交换机电源设计思考
电子制作(2019年24期)2019-02-23
修复损坏的交换机NOS
网络安全和信息化(2018年6期)2018-11-07
使用链路聚合进行交换机互联
网络安全和信息化(2017年8期)2017-11-07
WebGIS架构下的地理信息系统构建研究
计算机测量与控制(2017年6期)2017-07-01
在舌尖上筑牢抵御“僵尸肉”的防火墙
IT时代周刊(2015年7期)2015-11-11
罗克韦尔自动化交换机Allen-Bradley ArmorStratix 5700
自动化博览(2014年9期)2014-02-28

网络安全和信息化2016年8期

网络安全和信息化的其它文章
移动应用安全保护神
云桌面:除了VMware、Citrix,还有麒麟!
他们为什么要“磨洋工”?— —“IT生存法则”之IT外包模式
为数据中心全生命周期保驾护航
——专访艾默生网络能源大中华区副总裁丁麒钢
SOHO局域网的设计和组建
启明星辰与北信源成立合资公司
杂志排行

  1. 1《工程建设与设计》2024年6期

  2. 2《安徽建筑》2024年1期

  3. 3《人生与伴侣·共同关注》2024年2期

  4. 4《花卉》2024年6期

  5. 5《天津教育》2024年3期

  6. 6《现代经济信息》2024年5期

  7. 7《世界热带农业信息》2024年3期

  8. 8《家庭医学》2024年2期

  9. 9《学周刊》2024年10期

  10. 10《中国中医药现代远程教育》2024年8期

关于参考网