中小型企業(yè)網(wǎng)網(wǎng)絡安全方案

紅帆生物公司網(wǎng)絡安全

方案紅帆生物新疆農(nóng)業(yè)職業(yè)技術學院09高網(wǎng)（3）班李國尊TOC\o"1-5"\h\z\o"CurrentDocument"第一章網(wǎng)絡系統(tǒng)概況 3\o"CurrentDocument"第二章需求分析 4\o"CurrentDocument"第三章網(wǎng)絡安全項目實施 5\o"CurrentDocument"3.1創(chuàng)建打印服務器安全策略 5\o"CurrentDocument"WEB服務器配置與安全方案實施 6WEB服務器的安全設置 6FTP服務器配置與安全方案實施 7FTP服務器的安全管理設置 7\o"CurrentDocument"第四章紅番公司網(wǎng)絡安全方案測試 10\o"CurrentDocument"4.1方案測試 10\o"CurrentDocument"第五章結論 11第一章網(wǎng)絡系統(tǒng)概況在分析這個紅帆科技公司企業(yè)局域網(wǎng)的安全風險時，應考慮到網(wǎng)絡的如下幾個特點：網(wǎng)絡與Internet直接連結，因此在進行安全方案設計時要考慮與Internet連結的有關風險，包括可能通過Internet傳播進來病毒，黑客攻擊，來自Internet的非授權訪問等。網(wǎng)絡中存在公開服務器，如共享打印機服務、FTP服務安全方案設計時應該考慮采用安全服務器網(wǎng)絡，避免公開服務器的安全風險擴散到內(nèi)部。內(nèi)部網(wǎng)絡中存在許多不同的原因，有時候工作需要有外來人員進入企業(yè)內(nèi)部，防止不法分子盜取公司內(nèi)部資料，以及大肆搞破壞，于是針對服務一些重要的資料實行保護，有效的防止這些事情發(fā)生，保護公司利益。第二章需求分析紅帆科技公司網(wǎng)絡應用需求1、 企業(yè)網(wǎng)一與Internet連接，員工可通過互聯(lián)網(wǎng)獲取資源和信息.所以要在員工在訪問互聯(lián)網(wǎng)的同時能安全的上網(wǎng)，禁止惡意網(wǎng)站和不良信息的下載，防止病毒感染。2、 建設企業(yè)WEB網(wǎng)站，實現(xiàn)企業(yè)的對外宣傳以及發(fā)布企業(yè)內(nèi)部信息。所以，在發(fā)布企業(yè)內(nèi)部信息的同時防止非法的訪問以及黑客攻擊。3、 在企業(yè)局域網(wǎng)網(wǎng)內(nèi)實現(xiàn)文件傳輸共享（FTP）。在訪問FTP需要身份認證，防止外來人員進行惡意的破壞。4、 實現(xiàn)企業(yè)行政、員工的共享打印服務，由于公司的經(jīng)濟能力，不能為每個員工都配置一臺打印機，于是就出現(xiàn)了打印服務，需要保障打印服務的安全性能。目前，有越來越多的人使用打印機，尤其是在辦公領域打印機更起著越來越重要的作用，如打印文檔、表格、照片等已離不開打印機。用戶使用環(huán)境如公司的規(guī)模較大時，或者使用不同的系統(tǒng)來辦公，不可能為每一個人配備一臺打印機（事實上也是不經(jīng)濟的），這時候就產(chǎn)生了共享打印機資源的問題了。即把一臺打印機放在固定的一個位置，通過不同的途徑將其共享，這樣常常就是需要使用打印服務器了。下面就是我們要說到的安裝共享打印機的幾個類型，現(xiàn)在網(wǎng)絡技術和網(wǎng)絡建設已經(jīng)比較發(fā)達了，如果一份文件的地理位置在總公司的某臺計算機上，分公司的人員想要獲得這個文件的打印件，只需要一臺裝有打印服務器的網(wǎng)絡打印機，就可以由總公司的人員通過網(wǎng)絡將這個文件發(fā)送到分公司的網(wǎng)絡打印機上打印出來，如此方便的打印服務就要依靠打印服務器來完成了。第三章網(wǎng)絡安全項目實施3.1創(chuàng)建打印服務器安全策略1） 在新引用計算機上創(chuàng)建WindowsServer2003SP1的新安裝。2） 通過“控制面板”、“添加或刪除程序”、“添加/刪除Windows組件”來安裝安全配置向?qū)ЫM件。3） 將計算機加入到域，這將應用來自父OU的所有安全設置。4） 僅安裝和配置共享此角色的每個服務器所必需的應用程序。例如，特定于角色的服務、軟件和管理代理、磁帶備份代理以及防病毒或反間諜軟件實用程序。5） 啟動SCWGUI，選擇“創(chuàng)建新的策略”，然后將其指向引用計算機。6） 確保檢測到的打印服務器角色適合于環(huán)境。7） 確保檢測到的客戶端功能和檢測到的管理選項適合于環(huán)境。8） 確保您的基準所需要的任何附加服務（例如備份代理或防病毒軟件）已被檢測到。9） 確定如何處理的環(huán)境中的未指定服務。為了獲得附加的安全，可能需要將此策略設置配置為“禁用”。應該對此配置進行測試，然后再將其部署到生產(chǎn)網(wǎng)絡中，因為若生產(chǎn)服務器所運行的附加服務未復制到引用服務器上，部署此配置就會造成問題。10） 確保在“網(wǎng)絡安全”部分中取消選中“跳過這一部分”，然后單擊“下一步”。前面標識的相應端口和應用程序被配置為Windows防火墻的例夕卜。11） 在“注冊表設置”部分中，單擊“跳過這一部分”復選框，然后單擊“下一步”。這些策略設置從提供的INF文件中導入。12） 在“審核策略”部分中，單擊“跳過這一部分”復選框，然后單擊“下一步”。這些策略設置從提供的INF文件中導入。13） 包括相應的安全模板，并且以適當?shù)拿Q保存策略。3.2WEB服務器配置與安全方案實施3.2.1WEB服務器的安全設置WEB服務器是企業(yè)網(wǎng)Intranet網(wǎng)站的核心，其中的數(shù)據(jù)資料非常重要，一旦遭到破壞將會給企業(yè)造成不可彌補的損失，管理好、使用好、保護好WEB服務器中的資源，是一項至關重要的工作。WEB安全服務器主要存在的漏洞包括：1） 物理路徑泄露2） CGI源代碼泄露3） 目錄遍歷4） 執(zhí)行任意命令5） 緩沖區(qū)溢出6） 拒絕服務。不使用默認的WEB站點，將IIS目錄與系統(tǒng)磁盤分開。將網(wǎng)站內(nèi)容移動到非系統(tǒng)驅(qū)動器，不使用默認的Inetpub目錄，以減輕目錄遍歷攻擊（這種攻擊試圖瀏覽WEB服務器的目錄結構）帶來的危險（一定要驗證所有的虛擬目錄是否均指向目標驅(qū)動器）。刪除IIS默認創(chuàng)建的Inetpub目錄（在系統(tǒng)磁盤上）并配置網(wǎng)站訪問權限。為WEB服務器配置站點、目錄和文件的訪問權限。刪除系統(tǒng)盤下的虛擬目錄：vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。刪除不必要的IIS擴展名映射。右鍵單擊“默認WEB站點一屬性…主目錄f配置”，打開應用程序窗口，去掉不必要的應用程序映射，主要為shtml、shtm、stm。更改IIS日志的路徑。右鍵單擊“默認WEB站點f屬性f網(wǎng)站f在啟用日志記錄下f點擊屬性更改設置。只選擇網(wǎng)站和WEB應用程序正確運行所必需的服務和子組件。開始f控制面板f添加或刪除程序f添加/刪除Windows組件f應用程序服務器f詳細信息fInternet信息服務（IIS）f詳細信息f然后通過選擇或清除相應組件或服務的復選框，來選擇或取消相應的IIS組件和服務。IIS子組件和服務的推薦設置：禁用：后臺智能傳輸服務（BITS）服務器擴展、FTP服務、FrontPage2002ServerExtensions^Internet打印、NNTP服務。啟用：公用文件、Internet信息服務管理器、萬維網(wǎng)服務。刪除未使用的帳戶，設置強密碼，使用以最低特權的帳戶。避免攻擊者通過使用以高級特權運行的帳戶來獲取未經(jīng)授權的資源訪問權。限制對服務器的匿名連接，確保禁用來賓帳戶；重命名管理員帳戶并分配一個強密碼以增強安全性。重命名IUSR帳戶。在IIS元數(shù)據(jù)庫中更改IUSR帳戶的值：“管理工具"一"Internet信息服務（IIS）管理器”f右鍵單擊“本地計算機”f“屬性”f選中“允許直接編輯配置數(shù)據(jù)庫”復選框f“確定”f瀏覽至MetaBase.xml文件的位置，默認情況下為C:“Windows"system32"inetsrvf右鍵單擊MetaBase.xml文件f"編輯"f搜索"AnonymousUserName"屬性，…鍵入IUSR帳戶的新名稱f在"文件”菜單上f單擊"退出”f單擊"是”。使用應用程序池來隔離應用程序，提高WEB服務器的可靠性和安全性。FTP服務器配置與安全方案實施FTP服務器的安全管理設置1）取消匿名訪問功能默認情況下服務器托管，Windows2000系統(tǒng)的FTP服務器是允許匿名訪問的，雖然匿名訪問為用戶上傳、下載文件提供方便，但卻存在極大的安全隱患。用戶不需要申請合法的賬號，就能訪問FTP服務器，甚至還可以上傳、下載文件，特別對于一些存儲重要資料的FTP服務器，服務器托管很容易出現(xiàn)泄密的情況，因此建議用戶取消匿名訪問功能。在Windows2003系統(tǒng)中，點擊“開始f程序f管理工具-^Internet服務管理器”，彈出管理控制臺窗口。然后展開窗口左側的本地計算機選項，就能看到IIS5.0自帶的FTP服務器，取消匿名訪問功能。右鍵點擊“默認FTP站點”項，在右鍵菜單中選擇“屬性”，服務器托管接著彈出默認FTP站點屬性對話框，切換到“安全賬號”標簽頁，取消“允許匿名連接”前的勾選，最后點擊“確定”按鈕，這樣用戶就不能使用匿名賬號訪問FTP服務器了，必須擁有合法賬號。2） 啟用日志記錄Windows日志記錄著系統(tǒng)運行的一切信息，如訪問時間、客戶機IP地址、使用的登錄賬號等，這些信息對于FTP服務器的穩(wěn)定運行具有很重要的意義，一旦服務器出現(xiàn)問題，就可以查看FTP日志，找到故障所在，及時排除。因此一定要啟用FTP日志記錄。3） 在默認FTP站點屬性對話框中，切換到“FTP站點”標簽頁，一定要確?！皢⒂萌罩居涗洝边x項被選中，這樣就可以在“事件查看器”中查看FTP日志記錄了，TCP/IP訪問限制為了保證公司FTP服務器的安全，還可以拒絕某些IP地址的訪問。在默認FTP站點屬性對話框中，切換到“目錄安全性”標簽頁，選中“授權訪問”單選項，然后在“以下所列除外”框中點擊“添加”按鈕，彈出“拒絕以下訪問”對話框，這里可以拒絕單個IP地址或一組IP地址訪問，服務器托管以單個IP地址為例，選中“單機”選項，然后在“IP地址”欄中輸入該機器的IP地址，最后點擊“確定”按鈕。這樣添加到列表中的IP地址都不能訪問FTP服務器了。4） 合理設置組策略通過對組策略項目的修改，也可以增強公司FTP服務器的安全性。在Windows2003系統(tǒng)中，進入到“控制面板f管理工具”，運行本地安全策略工具。1、審核賬戶登錄事件在本地安全設置窗口中，服務器托管依次展開“安全設置f本地策略f審核策略”，然后在右側的框體中找到“審核賬戶登錄事件”項目，雙擊打開該項目，在設置對話框中選中“成功”和“失敗”這兩項，最后點擊“確定”按鈕。該策略生效后，F(xiàn)TP用戶的每次登錄都會被記錄到日志中。2、 增強賬號密碼的復雜性一些FTP賬號的密碼設置的過于簡單，就有可能被“不法之徒”所破解。為了提高公司FTP服務器的安全性，必須強制用戶設置復雜的賬號密碼。在本地安全設置窗口中，服務器托管依次展開“安全設置f賬戶策略f密碼策略”，在右側框體中找到“密碼必須符合復雜性要求”項，雙擊打開后，選中“已啟用”單選項，最后點擊“確定”按鈕。然后，打開“密碼長度最小值”項，為FTP賬號密碼設置最短字符限制。這樣以來，密碼的安全性就大大增強了。3、 賬號登錄限制有些非法用戶使用黑客工具，反復登錄FTP服務器，來猜測賬號密碼。這是非常危險的，因此建議大家對賬號登錄次數(shù)進行限制。依次展開“安全設置f賬戶策略f賬戶鎖定策略”，服務器托管在右側框體中找到“賬戶鎖定閾值”項，雙擊打開后，設置賬號登錄的最大次數(shù)，為3次如果超過此數(shù)值，賬號會被自動鎖定，如圖4.3.2-6設置。接著打開“賬戶鎖定時間”項，設置FTP賬號被鎖定的時間，賬號一旦被鎖定，超過30分鐘，才能重新使用，通過服務器托管以上幾步設置后，紅番公司的FTP服務器將會更加安全，再也不用怕被非法入侵了。第四章紅帆安全方案測試4.1方案測試打印服務的一些安全設置，沒有進行身份認證無法正常使用打印服務器，有效的防止他人浪費共享資源。在共享打印機的時候，設置優(yōu)先級，使用后臺打印，以便程序更快的技術打印，設置首先打印后臺文檔，并且保留打印的文檔。FTP服務器設置了獨立權限，這里的權限設置需要分兩部分來進行，即對FTP服務器主目錄的權限設置和對各個用戶文件夾的權限設置。，在“FTP的高級安全設置”對話框中雙擊“權限列表”中的“拒絕FTP寫入”選項，打開“FTP的權限設置”對話框。在“應用到”下拉列表中選中“只有該文件夾”選項，連續(xù)單擊“確定”按鈕完成設置需權限保護的文件夾必須在NTFS分區(qū)中創(chuàng)建，F(xiàn)AT32分區(qū)內(nèi)的資源無法設置權限。至此，設置工作就全部結束了。在任意一臺機器上以用戶“xpzx”的身份登錄FTP服務器，你會發(fā)現(xiàn)該用戶只能在“xpzx”文件夾中任意讀寫，而無法看到主目錄和其他用戶目錄的內(nèi)容。WEB服務測試，首先禁用了對某個資源的Web服務器權限（如“讀取”權限），則所有用戶都不能查看該資源，無論這些用戶帳戶應用的NTFS權限設置如何。如果您啟用了對某個資源的Web服務器權限（如“讀取”權限），則所有用戶都可以查看該資源，