1、通信网络安全防护工作总结 为 提高 网络通讯 防护水平, 从 网络结构 安全 、网络 访问控制、 边 界完整性 几 个 大 方向 上 采取一 系列 技术 手段 保障 通 信网络安全稳定, 总结如 下: ( 1) 网络冗余和备份 使用电信和网通双城域网冗余线路接入 ,目前电信城域网的接入带宽是 20M,联通城域网的接入带宽是 20M.可 根据日后用户的不断增多和务业的发展需求再向相关网络服务提供商定购更大的线路带宽。 ( 2) 路由器安全控制 业务服务器及路由器之间配置静态路由,并进行访问控制列表控制数据流向。 Qos 保证 方向 使用金 (Dscp32),银 (Dscp8),铜(Dscp0)的
2、等级标识路由器的 Qos 方式来分配线路带宽的优先级 ,保证在网络流量出现拥堵时优先为重要的数据流和服务类型预留带宽并优先传送。 ( 3) 防火墙安全控制 主机房现有配备有主备 juniper防火墙和深信服 waf防火墙,juniper 防火墙具备 ips、杀毒等功能模块,深信服 waf 防火墙主要用于网页攻击防护,可防止 sql 注入、跨站攻击、黑客挂马等攻击。 防火墙使用 Untrust,Trunst 和 DMZ 区域来划分网络 ,使用策略来控制各个区域之间的安全访问 。 ( 4) IP 子网划分 /地址转换和绑定 已为办公区域 ,服务器以及各个路由器之间划分 IP 子网段 ,保证各个子网
3、的 IP 可用性和整个网络的 IP 地址非重复性。使用NAT,PAT,VIP,MIP 对内外网 IP 地址的映射转换 ,在路由器和防火墙上使用 IP 地址与 MAC 地址绑定的方式来防止发生地址欺骗行为。服务器及各个路由器之间划分 IP 子网划分 :172.16.0.0/16 ( 5) 网络域安全隔离和限制 生产网络和办公网络隔离,连接生产必须通过连接 vpn 才能连接到生产网络。 在网络边界部署堡垒机 ,通过堡垒机认证后才可以对路由器进行安全访问操作 ,在操作过程中堡垒机会将所有操作过程视频录像 ,方便安全审计以及系统变更后可能出现的问题,迅速查找定位。另外路由器配置访问控制列表只允许堡垒机
4、和备机 IP地址对其登陆操作 ,在路由器中配置 3A认证服务 ,通过TACAS 服务器作为认证 ,授权。 ( 6) 网络安全审记 网络设备配置日志服务 ,把设备相关的日志消息统一发送到日志服务器上作记录及统计操作 .日志服务器设置只允许网管主机的访问 ,保证设备日志消息的安全性和完整性。 logging buffered 102400 logging trap debugging logging source-interface Loopback0 logging XX.XX.XX.XX(日志服务器 IP) ( 7) 内外网非法连接阻断和定位 交换机划分 Vlan 方式隔离开内外网区域关闭空闲
5、没有使用的网络设备端口 ,防止非授权设备的私自接入网络 .如发现非授权设备接入网络 ,可在日志服务器匹配端口关键字对其跟踪记录。内部网络用户则采用 MAC 地址绑定进行有效阻断。已为办公网络划分子网并做地址绑定, 部署有深信服 上网行为管理设备,防止非受权设备私自接入网络 ( 8) 网络 ARP 欺骗攻击 主机与服务器安装防火墙软件 ,将网关 IP 与 MAC 之间作 ARP绑 定 ,防止因 ARP 欺骗攻击导致设备无法连接网络在上安装杀毒软件,使用上网行为管理防止非法连接外网, Arp 192.168.100.100 AAAA.BBBB.CCCC ( 9) DOS/DDOS 攻击 已在防火墙
6、部著 DOS/DDOS 攻击防范措施,具体有ICMP,UDP,SYN 洪水攻击保护 ,SYN-ACK-ACK 代理保护,会话数据流源地址和目标地址条目限制等。另外我们建立网络流量监控系流,可以即时反映流网实时流量,并与电信与联通网络服务提供商建立良好的沟通渠道,发现线路流量异常即时联系相关网管部请求协助检查 如防火墙无法解决的需人工干预查出受攻击的主机地址后配置访问列表过滤掉非法的异常流量。 ( 10)网络设备最小化配置 所有网络设备(包括但不限于防火墙、路由器、交换机)一律要求最小化配置,关闭无用的协议,如 RPC 协议、 ftp 协议等, 只开放使用端口,非使用一律关闭。 ( 11) 漏洞扫描 定期使用 nessus 漏洞扫描攻击对网络设备进行漏洞扫描,若扫描发现漏洞并进行漏洞修补。