提高DCN网络安全计划

　　DCN(数据通信网)是吉林省联通公司的专用数据通信网，不仅是公司的生产网，同时也承载了大量的业务系统，如计费系统、BSS系统、ERP、网络资产管理系统、运营决策支持系统、办公自动化系统等各类信息系统。我们分公司的DCN网络连接市局32局向、33局向、35局向、36局向、37局向网络和5个县公司的网络，上联省公司和吉林市分公司备份节点。我们DCN网络各类接人节点在建设时间、接入设备、技术标准上各不相同，交换机设备有中兴T64G、思科Cisco3550、Cisco2950、Cisco 2924、Cisco1924等，路由设备有中兴T64E、GAR、思科Cisco3745、华为2501等，加上各类服务器和维护终端500余台，维护压力比较大。在不增加投资情况下，利用现有设备采用切实可行的技术手段来保证DCN网络安全运行是本文分析的重点。

 

　　1、加强网络安全方案

 

　　1.1由于通信企业内部业务种类多，服务器和终端数量庞大，为了保障各类信息系统稳定运行，必须有效隔离各类业务网段，具体办法是在核心三层交换机T32C上划分VLAN隔离不同业务网段，通过路由策路和增加访间控制列表(ACL)控制对不同信息资源的访问从而有效的保证服务器等关键设备的安全，隔离各类网络故障，避免引起连锁事件。

 

 

　　1.2加强网络规划文档和网络拓扑图的管理，及时更新网络规划文档和网络拓扑图。

 

 

　　1.3加强对IP地址的统一规划和管理，划分专用网络管理地址段，IP地址进行统一分配和回收，为了保证IP地址不被盗用或随意修改引发网络故障，采取理和MAC绑定策略，交换机端口和MAC地址绑定策略，防止IP地址盗用和欺骗行为，保障信息系统安全。

 

 

　　以Cisco3550交换机设里为例说明IP和MAC地址绑定操作(华为、中兴等网络设备都可以实现类似操作)：

 

　　Switch#config terminal

 

　　#进人配置模式

 

　　Switch(canfig)#arp ip-address mac-address area alias

 

　　执行绑定命令，其中Ip-address是IP地址，mac-address是该IP对应的网卡地址。

 

　　也可以进行批量绑定，具体操作是:

 

　　在cisco核心交换机上执行show arp命令，获得当前ip地址和mac地址对应关系

 

　　Switch(config)#show arp

 

　　Internet 133.111.120.215 一0010.dce7.954a ARPA

 

　　Internet 133.111.120.208一000c.7675.3975 ARPA

 

　　Internet 133.111.120.209一0014.2af1.32df ARPA

 

　　利用UtralEdit等工具对获得的结果进行格式化操作，形成以下对应关系:

 

　　arp 133.111.120.215   0010.dce7.954a arpa alias

 

　　arp 133.111.120.208   000c.7675.3975 arpa alias

 

　　arp 133.111.120.209   0014.2ef1.32df arpa alias

 

　　将以上内容复制到交换机CLI下执行，完成批量绑定操作。

 

　　思科2950交换机端口和MAC地址绑定设置命令为:

 

　　Switch#config terminal

 

　　#进入配置模式

 

　　Swiich(config)#Interface fastethernet 0/1

 

　　#进入具体端口配置模式

 

　　Switch(config-if)#Switchport port-secruity

 

　　#配置端口安全模式

 

　　Switc6(config-if)switchport port-security mac-address MAC(主机MAC地址)

 

　　#配置该端口要绑定的主机的MAC地址

 

　　Switch (config-if)no switchport port-security mac-address MAC(主机MAC地址)

 

　　#删除绑定主机的MAC地址

 

 

　　注意：以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。因此对于终端不多，办公位置相对固定的环境，安全性要求较高的网段可以采用交换机端口和MAC地址绑定策略，因为部署该策路工作量较大但安全性较高。对于终端数量较多，可以采用IP和MAC绑定策路，该策略部署简单，而且可以采用批处理进行批量绑定，也可以将空闲IP地址进行虚拟绑定，防止空闲IP地址被滥用。[page]　　1.4加强网络设备远程管理安全，设置网络设备用户登陆名和口令验证，在主要网络设备启用SSH远程管理，对网络管理操作数据进行加密传输，替代Telnet明文传输方式，避免网络信息被截获。Cisco3550交换机设置SSH：

 

　　Cisco3550#conf t

 

　　Cisco3550 (config)#ip domain-name thtx

 

　　确保路由器有主机名和域名，建立thtx域名

 

　　Ciaeo3550 (config)#crypto key generate rsa

 

　　产生RSA密钥

 

　　The name for the keys will be: Ciaco3550.thtx

 

　　Choose the size of the key modulus the range of 360 to 2048 for your General Purpose Keys. Choosing a key modules greater than 512 may take a few minutes.

 

　　How many bite in the modules [512]:

 

　　Generating fiSA keys…

 

　　[OK]

 

　　Cieco3550 (cvttfig)#lusemame admire password 123

 

　　创建登陆用户名和密码

 

　　Cisco3550 (config)#line vty 0 4

 

　　定义允许五个Telnet访问(编码0-4)，

 

　　Cisco3550 (config-line)#login local

 

　　用路由器中的用户名和密码登录

 

　　Cisco3550 (config-line)#transport input telnet ssh

 

　　设置Telnet访问协议为ssh。

 

　　Cisco3550 (config-line)#end

 

　　Cisco3550#write

 

　　华为Edumen系列防火墙SSH设置命令为:

 

　　[Eudemon] rsa local-key-pair create

 

　　生成本地密钥对

 

　　#用户登录验证方式为password。

 

　　[Eudemon]user-interface vty 0 4

 

　　[Eudemon-ui-vty0-4] authentication-mode aaa

 

　　[Eudemon-ui-vty0-4] protocol inbound ssh

 

　　[Eudemon-ui-vty0-4] quit

 

　　以上命令设置用户登陆协议为ssh.

 

　　[Eudemon] aaa

 

　　[Eudemon-aaa] local-user client001 password simple huswei

 

　　[Eudemon-aaa] authentication-scheme client001

 

　　[Eudemon-aaa-authen-client001] authentication-mode local

 

　　[Eudemon] ssh user client001 authentication-type password

 

　　建立ssh登陆用户client001

 

　　下面就可以使用Putty等支持ssh的工具，安全管理网络设备了。

 

 

　　1.5在DCN网的办公网段Internet出口处设置硬件防火墙，设置安全访问规则，在NAT转换和路由策略上仅允许办公网段进行地址转换上网，业务网段不允许上网。定期检查防火墙访问日志，及时发现问题并处理。

 

 

　　通过以上措施的实施，DCN网的安全会得到柑当大的改善，网络故障逐步下降，网络安全性进一步提高。

 

2、加强服务器、终端安全方案

 

　　2.1服务器的防护要从安全扫描和人侵防护方面进行。应用基于服务器的安全漏洞扫描和策略一致性评估工具检查各应用系统是否符合业界最佳安全实践和规范。同时，基于服务器人侵检侧系统在被重点检测的服务器上智能分析判断网络实时联接和系统审计日志。如果其中主体活动十分可疑，入侵检测系统就会采取相应措施。

 

 

　　2.2统一规划服务器和终端的命名规则，避免网络设备重名引起的网络故障，在设备出现问题可以及时快速地定位故障点。

 

 

　　2.3在DCN网络中终端的操作系统大部分是Windows系统，Windows系统漏洞常常会成为病毒、播虫等攻击的对象，需要我们及时给系统打上最新的安全漏洞补丁，如果终端太多，只靠维护人员手工打补丁非常费时。我们可以采用在网络中部署微软WSUS服务，自动更新网络中Windows系统，使得更新补丁时间大大缩短，提高了系统安全性。此外WSUS服务是免费的，而且服务器安装设置简单，可以设置下载补了的语言版本、补丁类型( windows、office )等、是否发布补丁以及何时发布补丁等策略。客户端安装有两种方式:通过组策略方式来配置和修改注册表方式来配置。对于没有采用AD域方式管理的网络环境，建议采用注册表导入方式。

 

 

　　Windows Registry Editor Version 5.00

 

　　[HKEY LOCAL_MACHINESOFTWAREPoliciesMicrosoftSWindowsWindowsUpdate]

 

　　"WUServer”=”http://wsusserver "

 

　　"WUStatusServer"="http://wsusserver "

 

　　[HKEY-_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU]

 

　　"UseWUServer”=dword:00000001

 

　　其中 http://wsusserver为客户端升级补丁指定的WSUS服务器网址。

 

　　2.4加强网络安全教育和培训，禁止用户安装非生产、办公用软件。[page]　　3.全面部署网络防病毒软件方案

 

　　目前计算机病毒对信息系统的危害不仅是对单个信息终端进行格式化硬盘、删除文件数据造成损失，而且对于企业网络的攻击更加猖狂，单机防病毒软件已经无法满足通信企业网络安全要求，因此必须在企业网络中统一部署网络防毒软件，布置服务器和终端自动升级策略、定期查杀策略、病毒预警策略等，对网络中的终端进行统一的病毒防护监视管理。而且要制定紧急病毒应对方案。公司目前采用SyrnantecAntivims企业版防病毒软件，部署两台防病毒服务器，设置为主备用。500余台终端全部部署完毕，运行了一段时间来看，网络病毒对系统的攻击得到有效遏制，效果比较明显。

 

 

　　除了在网络中部署防病毒软件以外，还在核心路由器T6E、边界路由器GAR、思科83745和T32C交换机上设置访问控制列表，封堵常见病毒传播端口等措施阻止病毒的传播和危害。在CISCO3745路由器防病毒ACL设置:

 

　　用于控制Blaster蛹虫的传播

 

　　access-list 110 deny tcp any any eq 4444

 

　　ucess-list 110 deny udp any any eq 69

 

　　用于控制Blaster蠕虫的扫描和攻击

 

　　cress-list 110 deny tcp any any eq 135

 

　　arsess-list 110 deny udp any any eq 135

 

　　access-list 110 deny tcp any any eq 139

 

　　access-list 110 deny udp any any eq 139

 

　　access-list 110 deny tcp any any eq 445

 

　　access-list 110 deny udp any any rq 445

 

　　access-list 110 deny tcp any any eq 593

 

　　access-list 110 deny udp any any eq 593

 

　　用于控制Slammer蠕虫的传播

 

　　access-list 110 deny udp any any eq 1434

 

　　用于允许正常报文通过

 

　　access-list 110 permit ip any any

 

　　将ACL应用到制定接口

 

　　interface eth0/0一一外网接口启用ACL过滤;

 

　　ip access-group 110 in(数据报流人方向应用ACL)

 

　　interface eth0/1—内网接口启用ACL过滤;

 

　　ip access-group 110 in(数据报流入方向应用ACL)

 

　　4、加强网络远程访问的安全方案

 

　　4.1对关键网络设备访问时，我们采取SSH访问替代Telnet访问的方法，防止网络管理信息被窃听，增强安全性能。

 

 

　　4.2如果员下和厂商要进行远程访问，我们可以采用Windows server 2003构建VPN服务器，并启用端口筛选策略，仅允许PPTP通信流量通过，并设置路由策略仅允许远程访问用户访问指定资源。同时启用密码安全策略，限制密码长度在8位以上，符合密码复杂性要求，设置密码必须包括大小写字母、数字和符号，强制密码定期修改。对用户的远程访问记录日志并定期检查。

 

 

　　4.3维护人员为了提高工作效率常常采用远程控制工具对服务器进行远程维护。常用的远程控制软件包括PcanyWhere,RemotelyAnywhere,DameWhere,VNC以及系统自带的远程桌面访问功能等。采用PCanyWhere作为远程控制工具，可以通过设置多种安全协议等提高安全性能;DameWare支持多种加密协议和IP过滤功能，有效的提高了远程控制的安全;远程桌面可以修改默认3389端口，提高安全性;WIN2003 SP1中加人了一个称作SSL安全连接远程桌面的功能，我们可以通过认证证书使用SSL连接被控端，这样对于没有证书的黑客就无法攻击被控端日算机了，使得系统默认的远程管理工具安全性大大提高。

 

 

　　5、结束语

 

　　本文仅就本公司DCN网络安全工作所采用的一些技术方法进行了阐述。随着网络技术的广泛应用，业界提出了多种网络安全技术，合理地使用这些技术将成为解决网络安全问题的基础。但更为重要的是需要加强网络安全制度建设，才能从根本上解决网络安全问题。相信未来公司DCN网络的安全性一定会大大提高。