Intranet網(wǎng)絡(luò)架構(gòu)安全評估

引言： 企業(yè)計算機(jī)網(wǎng)絡(luò)（Intranet）系統(tǒng)的安全將受到越來越多的威脅，企業(yè)職員必須進(jìn)一步提高網(wǎng)絡(luò)安全意識，高度重視并確保網(wǎng)絡(luò)的安全、穩(wěn)定運行。本文從從網(wǎng)絡(luò)建設(shè)規(guī)范性、網(wǎng)絡(luò)可靠性、網(wǎng)絡(luò)邊界安全性、網(wǎng)絡(luò)協(xié)議安全分析、網(wǎng)絡(luò)流量分析、網(wǎng)絡(luò)通信安全、網(wǎng)絡(luò)安全管理等7個方面對網(wǎng)絡(luò)架構(gòu)進(jìn)行評估，確保網(wǎng)絡(luò)架構(gòu)安全。

在企業(yè)信息化建設(shè)過程中，網(wǎng)絡(luò)是任何信息化建設(shè)的基礎(chǔ)。企業(yè)領(lǐng)導(dǎo)、技術(shù)管理人員都必須進(jìn)一步提高計算機(jī)網(wǎng)絡(luò)安全意識，確保網(wǎng)絡(luò)的安全、穩(wěn)定運行。

某大型企業(yè)一直重視網(wǎng)絡(luò)基礎(chǔ)建設(shè)，并通過加大投入盡可能采取相關(guān)技術(shù)手段確保其網(wǎng)絡(luò)安全，但通過對該公司網(wǎng)絡(luò)架構(gòu)安全評估過程中發(fā)現(xiàn)仍然存在較多安全缺陷，如圖1。

圖1 網(wǎng)絡(luò)拓?fù)鋱D

Intranet網(wǎng)絡(luò)架構(gòu)安全評估方案

根據(jù)該公司組織結(jié)構(gòu)和網(wǎng)絡(luò)系統(tǒng)的特點，采取以顧問訪談、文檔分析等方式，輔助安全漏洞掃描、人工安全檢查等技術(shù)手段，對網(wǎng)絡(luò)系統(tǒng)各方面的安全狀況進(jìn)行全面考察、充分分析后得到當(dāng)前網(wǎng)絡(luò)架構(gòu)的現(xiàn)狀以及評估方案。

從安全區(qū)域的角度來看，該公司整個網(wǎng)絡(luò)架構(gòu)可分為：出口區(qū)、DMZ區(qū)、內(nèi)部服務(wù)器區(qū)以及用戶接入?yún)^(qū)。

對該公司網(wǎng)絡(luò)架構(gòu)評估從網(wǎng)絡(luò)建設(shè)規(guī)范性、網(wǎng)絡(luò)可靠性、網(wǎng)絡(luò)邊界安全性、網(wǎng)絡(luò)協(xié)議安全分析、網(wǎng)絡(luò)流量分析、網(wǎng)絡(luò)通信安全、網(wǎng)絡(luò)安全管理等7個方面進(jìn)行全面評估，對存在的安全風(fēng)險給出了下列相關(guān)建議。

網(wǎng)絡(luò)建設(shè)規(guī)范性

1.IP地址規(guī)劃

IP地址規(guī)劃合理，地址分配易于管理，具有連續(xù)性。

2.網(wǎng)絡(luò)設(shè)備命名

網(wǎng)絡(luò)設(shè)備命名不夠規(guī)范。

建議采用以下命名方法：AA_xYYYY_zz． 其 中：AA表示物理位置的全拼；x表示交換機(jī)s或路由器r；YYYY表示設(shè)備型號；zz表示設(shè)備序號，用01、02等表示。

3. 網(wǎng)絡(luò)架構(gòu)

網(wǎng)絡(luò)架構(gòu)清晰，層次分明，邊界明確。安全邊界明確，對敏感系統(tǒng)例如DMZ、財務(wù)人事系統(tǒng)同其他系統(tǒng)以防火墻或者劃分VLAN的方式進(jìn)行了有效隔離。VPN用戶從外網(wǎng)登錄后可以訪問整個內(nèi)網(wǎng)，存在一定的安全隱患。

建議嚴(yán)格限制VPN網(wǎng)段對內(nèi)網(wǎng)的訪問。遵循“缺省關(guān)閉，按需求開通”原則，嚴(yán)格限制VPN網(wǎng)段對內(nèi)網(wǎng)的訪問。

網(wǎng)絡(luò)可靠性

1.鏈路可靠性

網(wǎng)通與中電飛華兩條互聯(lián)網(wǎng)鏈路相互獨立，沒有充分利用做到鏈路互備。

建議在防火墻上進(jìn)行路由設(shè)置，實現(xiàn)雙鏈路互備，提高鏈路可靠性。

2.設(shè)備可靠性

核心交換機(jī)和防火墻無備份，存在單點故障隱患。

建議增加一臺核心交換機(jī)和一臺防火墻與現(xiàn)網(wǎng)交換機(jī)和防火墻組成雙機(jī)熱備的工作模式，增強(qiáng)設(shè)備可靠性。

網(wǎng)絡(luò)邊界安全性

1.防火墻

防火墻配置了嚴(yán)格的訪問控制策略，有效保證了內(nèi)網(wǎng)和DMZ區(qū)服務(wù)器的安全性。但對互聯(lián)網(wǎng)開放了radmin、telnet等遠(yuǎn)程管理服務(wù)，存在較大的安全隱患。

建議在防火墻上配置禁止互聯(lián)網(wǎng)用戶訪問ramdin、telnet等服務(wù)，或者配置只允許可信IP訪問。

2.內(nèi)網(wǎng)VLAN劃分

核心交換機(jī)進(jìn)行了VLAN 劃分，并配置了訪問控制列表（ACL）。ACL目前只對財務(wù)和人事網(wǎng)段進(jìn)行了保護(hù)，對于客戶端訪問服務(wù)器區(qū)沒有任何限制措施，部分對外網(wǎng)提供服務(wù)的服務(wù)器與其他內(nèi)網(wǎng)服務(wù)器在同一VLAN，存在較大的安全隱患，如滲透測試所示，外網(wǎng)攻擊者若控制一臺外網(wǎng)服務(wù)器，就有可能控制整個內(nèi)網(wǎng)。

建議根據(jù)業(yè)務(wù)需要，配置ACL，嚴(yán)格限制客戶端對服務(wù)器區(qū)的訪問；為對外網(wǎng)提供服務(wù)的服務(wù)器單獨劃分一個VLAN，并在該VLAN與內(nèi)網(wǎng)之間部署防火墻，嚴(yán)格限制內(nèi)外網(wǎng)服務(wù)器之間的訪問。

網(wǎng)絡(luò)協(xié)議安全分析

路由協(xié)議：采用高效的靜態(tài)路由協(xié)議和OSPF等動態(tài)路由協(xié)議相結(jié)合，對于目前的網(wǎng)絡(luò)結(jié)構(gòu)是合理有效的。

網(wǎng)絡(luò)流量分析

流量監(jiān)控、流量分析：部署了QQview對網(wǎng)絡(luò)中的流量與用戶行為進(jìn)行監(jiān)測和管理，優(yōu)化了網(wǎng)絡(luò)流量。

網(wǎng)絡(luò)通信安全

1.入侵檢測

沒有部署入侵檢測設(shè)備，在本次的滲透測試過程中，即使測試人員從互聯(lián)網(wǎng)成功進(jìn)入了內(nèi)網(wǎng)，也沒有系統(tǒng)對以上攻擊行為進(jìn)行告警。

建議在互聯(lián)網(wǎng)出口及核心交換機(jī)上部署IDS或IPS，監(jiān)控及阻斷來自互聯(lián)網(wǎng)及內(nèi)部惡意用戶的入侵行為。

2.抗拒絕服務(wù)

未充分考慮分布式拒絕服務(wù)攻擊（DDoS）的威脅，缺乏防御日益猖獗的DDoS攻擊的有效手段。

建議部署專用的抗拒絕服務(wù)設(shè)備以增強(qiáng)網(wǎng)絡(luò)安全性。

網(wǎng)絡(luò)安全管理

1.遠(yuǎn)程管理

對核心交換機(jī)的管理使用的是Telnet明文方式，容易被非法用戶竊聽、進(jìn)而獲取管理員權(quán)限。沒有針對Telnet登錄IP配置ACL策略，可能導(dǎo)致不可信的IP對設(shè)備進(jìn)行口令猜測、暴力破解。

建議設(shè)置Telnet訪問控制列表，只允許通過信任IP進(jìn)行遠(yuǎn)程管理,使用SSH加密管理方式代替Telnet。

2.日志管理

缺乏集中日志分析系統(tǒng)，對設(shè)備的訪問、常見信息以及異常信息的原始記錄，是處理和分析問題的一個重要輔助手段和監(jiān)控方式。

建議部署集中日志分析系統(tǒng)，協(xié)助網(wǎng)絡(luò)管理員全面分析網(wǎng)絡(luò)設(shè)備產(chǎn)生的日志。