基于企業網絡安全策略設計與實現研究

李金勇

【摘要】當前，計算機信息化發展迅猛，安全成為企業發展必須面對的問題。本文立足實際，對企業網絡安全策略的部署與實現方法進行了分析探討。

【關鍵詞】企業網絡 信息安全 策略設計

隨著社會經濟的快速發展，計算機信息技術介入人們生活的方方面面。企業網絡的信息安全策略是涵蓋多方面的，既有管理安全，也有技術安全，既有物理安全策略，也有網絡安全策略。企業網絡應實現科學的安全管理模式，結合網絡設備功能的不同對整體網絡進行有效分區，可分為專網區、服務器區以及內網公共區，并部署入侵檢測系統與防火墻系統，對內部用戶威脅到網絡安全的行為進行阻斷。下面著重闡述企業信息系統的網絡層安全策略：

一、企業網絡設備安全策略分析

隨著網絡安全形勢的日趨嚴峻，不斷有新的攻擊手段被發現，而這些手段的攻擊目標也已經從用戶終端、服務器厭延展至交換機、路由器等硬件設施。而交換機與路由器屬于網絡核心層的重點設備，如果這些設備退出服務，企業信息系統網絡安全便會面臨很大的威脅。由此本文給出以下的網絡設備安全策略。

最大化地關閉網絡交換機上的服務種類。尤其是不經常使用的服務更應關閉，舉例來講：交換機的鄰居發現服務CDP，其功能是辨認一個網絡端口連接到哪一個另外的網絡端口，鄰居發現服務鎖發出和接收的數據包很容易暴露用戶終端的屬性信息，包括交換機端口與用戶終端的IP信息，網絡交換機的型號與版本信息，本地虛擬局域網屬性等。因此，本文建議在不常使用此服務的情況下，應該關閉鄰居發現服務。另外，一些同樣不常使用的服務，包括交換機自舉服務、文件傳輸服務、簡單文件傳輸服務、網絡時間同步服務、查詢用戶情況服務、簡單網絡管理服務、源路徑路由服務、代理ARP服務等等。

企業信息系統的網管往往以Telnet協議實現對全網所有交換機、路由器的配置與管理。眾所周知，此協議使用的是明文傳輸模式，因此在信息安全方面不輸于非?？煽康膮f議。入侵者只要以抓包軟件便能夠輕易得知網管的登錄ID與密碼，以抓包軟件同樣能夠獲取網絡管理員發出、受到的全部數據。所以在網絡管理中，應引入安全性能更高的協議，本文推薦SSH（Secure Shell Client）協議。這種協議借助RSA生成安全性能極高的簽名證書，通過該證書，全部以SSH協議進行傳輸的數據包都被良好加密。此外VTP 的安全使用也是一個應該得到重視的問題，VTP應配置強口令。

二、企業信息系統網絡端口安全策略

由于大部分企業網絡的終端均以網絡交換機在接入層連入網絡，而網絡交換機屬于工作在ISO第二層的設備，當前有不少以第二層為目標的非法攻擊行為，為網絡帶來了不容忽視的安全威脅。

二層網絡交換機使用的數據轉發方式是以CAM表為基礎的。在網絡交換機加點之后，首選會清空CAM 表，并立即啟動數據幀源地址學習，并將這些信息存入交換機CAM表中。這時候，加入非法入侵者通過偽造自身的MAC地址并不停地發出數據幀結構，便很容易導致網絡交換機CAM表溢出，服務失效。而此時便會導致該MAC的流量向交換機其他端口轉發，為非法入侵者提供網絡竊聽的機會，很容易造成攻擊風險。本文所推薦的策略是：網絡交換機的端口安全維護應隨時打開；在交換機配置中設置其學習MAC地址的最大數目為1；設置網絡交換機能夠存儲其學習到的全部MAC地址；一旦網絡交換機的安全保護被觸發，則丟棄全部MAC 地址的流量，發送告警信息。對網絡交換機進行以上的配置，一方面能夠防止基于交換機MAC地址的泛洪攻擊，另一方面也能對網絡內部的合法地址做好記錄。

在成功阻止未知MAC地址接入的基礎上，還應阻止來自已知地址的攻擊。本文推薦基于MAC限流的策略，這是由于網絡交換機不必向所有端口廣播未知幀，因此可以對未知幀進行阻止，增強網絡交換機安全性。

三、企業信息系統網絡BPDU防護策略

一般情況下，企業的內部網絡往往以網絡交換機作為網絡拓撲的支撐，因為考慮到交換機通道的溝通，加之系統冷、熱備份的出發點，在企業網絡中是存在第二層環路的，這就容易引發多個幀副本的出現，甚至引起基于第二層的數據包廣播風暴，為了避免此種情況的發生，企業網絡往往引入了STP協議。而這種協議的效果則取決于交換機共享的BPDU信息。這就為一些攻擊者提供了機會，通過假冒優先級低的BPDU數據包，攻擊者向二層網絡交換機發送。由于這種情況下入侵檢測系統與網絡防火墻均無法生效，就導致攻擊者能夠方便地獲取網絡信息?？梢圆捎玫姆婪洞胧椋涸诙泳W絡交換機啟用BPDU過濾器模塊。該模塊能夠控制此端口，使其對BPDU數據包不進行任何處理，加入收到此種類型的數據包，該端口將會自動設置為“服務停止”。在此基礎上，在根交換機上引入鏈路監控體系。一旦該交換機設備檢測到優先級更高的 BPDU數據包，則發出“失效”的消息，及時阻塞端口。

四、企業信息系統網絡Spoof防護策略

在企業內部網絡中，往往有著大量的終端機，出于安全性與可靠性的考慮，這些終端機均以動態主機設置協議獲得自身的IP地址。這就為Spoof 攻擊留下了機會。在這種攻擊中，非法入侵者會將自身假冒動態主機設置協議服務器，同時向用戶主機發出假冒的動態IP配置數據包，導致用戶無法獲取真實IP，不能聯網?？梢圆捎玫姆婪洞胧椋阂雱討B主機設置協議Snooping 策略。在二層網絡交換機上安裝Snooping模塊并激活，系統便會把設備的全部可用端口設置為untrust 接口。這種接口能夠收到消息，并丟棄假冒的動態IP配置數據包，從而防止Spoof 攻擊帶來的風險。

考慮到地址解析協議在安全方面的防范性不足，加入非法入侵者不斷地發出ARP數據包，便容易導致全部用戶終端的ARP表退出服務，除去靜態綁定IP與MAC之外，本文推薦動態ARP監測策略。此種策略會將交換機全部端口設置為untrust狀態。此種狀態之下，端口將無法發出ARP的響應，因此，黨用戶主機染毒時，其發出的假冒ARP數據包將由于與列表不匹配而被丟棄，系統安全得到了保障。

五、結束語

網絡安全是一項綜合的管理工程，意義重大。企業的網絡安全一旦出現問題，極有可能造成巨大損失，到那時即使再投入大量資金進行彌補也為時已晚。因此，企業應未雨綢繆，認清事實、正視事實、立足長遠，重視網絡安全問題，這樣才能保證企業網絡的安全，從而實現企業長足發展。

參考文獻：

[1]楊湧.提高企業網絡安全策略研究[J].網絡安全技術與應用，2016，（10）.