当前位置:文档之家› 中小型企业网网络安全方案

中小型企业网网络安全方案

红帆生物公司网络安全方案新疆农业职业技术学院09高网(3)班李国尊目录第一章网络系统概况 (3)第二章需求分析 (4)第三章网络安全项目实施 (5)3.1 创建打印服务器安全策略 (5)3.2 WEB服务器配置与安全方案实施 (6)3.2.1 WEB服务器的安全设置 (6)3.3 FTP服务器配置与安全方案实施 (7)3.3.1 FTP服务器的安全管理设置 (7)第四章红番公司网络安全方案测试 (10)4.1 方案测试 (10)第五章结论 (11)第一章网络系统概况在分析这个红帆科技公司企业局域网的安全风险时,应考虑到网络的如下几个特点:网络与Internet直接连结,因此在进行安全方案设计时要考虑与Internet连结的有关风险,包括可能通过Internet传播进来病毒,黑客攻击,来自Internet 的非授权访问等。

网络中存在公开服务器,如共享打印机服务、FTP服务安全方案设计时应该考虑采用安全服务器网络,避免公开服务器的安全风险扩散到内部。

内部网络中存在许多不同的原因,有时候工作需要有外来人员进入企业内部,防止不法分子盗取公司内部资料,以及大肆搞破坏,于是针对服务一些重要的资料实行保护,有效的防止这些事情发生,保护公司利益。

第二章需求分析红帆科技公司网络应用需求1、企业网一与Internet连接,员工可通过互联网获取资源和信息.所以要在员工在访问互联网的同时能安全的上网,禁止恶意网站和不良信息的下载,防止病毒感染。

2、建设企业WEB网站,实现企业的对外宣传以及发布企业内部信息。

所以,在发布企业内部信息的同时防止非法的访问以及黑客攻击。

3、在企业局域网网内实现文件传输共享(FTP)。

在访问FTP需要身份认证,防止外来人员进行恶意的破坏。

4、实现企业行政、员工的共享打印服务,由于公司的经济能力,不能为每个员工都配置一台打印机,于是就出现了打印服务,需要保障打印服务的安全性能。

目前,有越来越多的人使用打印机,尤其是在办公领域打印机更起着越来越重要的作用,如打印文档、表格、照片等已离不开打印机。

用户使用环境如公司的规模较大时,或者使用不同的系统来办公,不可能为每一个人配备一台打印机(事实上也是不经济的),这时候就产生了共享打印机资源的问题了。

即把一台打印机放在固定的一个位置,通过不同的途径将其共享,这样常常就是需要使用打印服务器了。

下面就是我们要说到的安装共享打印机的几个类型,现在网络技术和网络建设已经比较发达了,如果一份文件的地理位置在总公司的某台计算机上,分公司的人员想要获得这个文件的打印件,只需要一台装有打印服务器的网络打印机,就可以由总公司的人员通过网络将这个文件发送到分公司的网络打印机上打印出来,如此方便的打印服务就要依靠打印服务器来完成了。

第三章网络安全项目实施3.1创建打印服务器安全策略1)在新引用计算机上创建 Windows Server 2003 SP1 的新安装。

2)通过“控制面板”、“添加或删除程序”、“添加/删除 Windows 组件”来安装安全配置向导组件。

3)将计算机加入到域,这将应用来自父 OU 的所有安全设置。

4)仅安装和配置共享此角色的每个服务器所必需的应用程序。

例如,特定于角色的服务、软件和管理代理、磁带备份代理以及防病毒或反间谍软件实用程序。

5)启动 SCW GUI,选择“创建新的策略”,然后将其指向引用计算机。

6)确保检测到的打印服务器角色适合于环境。

7)确保检测到的客户端功能和检测到的管理选项适合于环境。

8)确保您的基准所需要的任何附加服务(例如备份代理或防病毒软件)已被检测到。

9)确定如何处理的环境中的未指定服务。

为了获得附加的安全,可能需要将此策略设置配置为“禁用”。

应该对此配置进行测试,然后再将其部署到生产网络中,因为若生产服务器所运行的附加服务未复制到引用服务器上,部署此配置就会造成问题。

10)确保在“网络安全”部分中取消选中“跳过这一部分”,然后单击“下一步”。

前面标识的相应端口和应用程序被配置为 Windows 防火墙的例外。

11)在“注册表设置”部分中,单击“跳过这一部分”复选框,然后单击“下一步”。

这些策略设置从提供的 INF 文件中导入。

12)在“审核策略”部分中,单击“跳过这一部分”复选框,然后单击“下一步”。

这些策略设置从提供的 INF 文件中导入。

13)包括相应的安全模板,并且以适当的名称保存策略。

3.2 WEB服务器配置与安全方案实施3.2.1WEB服务器的安全设置WEB服务器是企业网Intranet网站的核心,其中的数据资料非常重要,一旦遭到破坏将会给企业造成不可弥补的损失,管理好、使用好、保护好WEB服务器中的资源,是一项至关重要的工作。

WEB安全服务器主要存在的漏洞包括:1)物理路径泄露2)CGI源代码泄露3)目录遍历4)执行任意命令5)缓冲区溢出6)拒绝服务。

不使用默认的WEB站点,将IIS目录与系统磁盘分开。

将网站内容移动到非系统驱动器,不使用默认的 Inetpub目录,以减轻目录遍历攻击(这种攻击试图浏览 WEB 服务器的目录结构)带来的危险(一定要验证所有的虚拟目录是否均指向目标驱动器)。

删除IIS默认创建的Inetpub目录(在系统磁盘上)并配置网站访问权限。

为WEB 服务器配置站点、目录和文件的访问权限。

删除系统盘下的虚拟目录:vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

删除不必要的IIS扩展名映射。

右键单击“默认WEB站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射,主要为shtml、shtm、stm。

更改IIS日志的路径。

右键单击“默认WEB站点→属性→网站→在启用日志记录下→点击属性更改设置。

只选择网站和 WEB 应用程序正确运行所必需的服务和子组件。

开始→控制面板→ 添加或删除程序→添加/删除 Windows 组件→应用程序服务器→详细信息→ Internet 信息服务(IIS) →详细信息→然后通过选择或清除相应组件或服务的复选框,来选择或取消相应的 IIS 组件和服务。

IIS 子组件和服务的推荐设置:禁用:后台智能传输服务 (BITS) 服务器扩展、FTP 服务、FrontPage 2002 Server Extensions、Internet 打印、NNTP 服务。

启用:公用文件、Internet 信息服务管理器、万维网服务。

删除未使用的帐户,设置强密码,使用以最低特权的帐户。

避免攻击者通过使用以高级特权运行的帐户来获取未经授权的资源访问权。

限制对服务器的匿名连接,确保禁用来宾帐户;重命名管理员帐户并分配一个强密码以增强安全性。

重命名 IUSR 帐户。

在 IIS 元数据库中更改 IUSR 帐户的值:“管理工具”→“Internet 信息服务 (IIS) 管理器” →右键单击“本地计算机”→“属性”→选中“允许直接编辑配置数据库”复选框→“确定”→ 浏览至 MetaBase.xml 文件的位置,默认情况下为C:“Windows“system32“inetsrv →右键单击MetaBase.xml 文件→“编辑” → 搜索“AnonymousUserName”属性,→键入IUSR 帐户的新名称→在“文件”菜单上→单击“退出”→单击“是”。

使用应用程序池来隔离应用程序,提高 WEB 服务器的可靠性和安全性。

3.3 FTP服务器配置与安全方案实施3.3.1FTP服务器的安全管理设置1)取消匿名访问功能默认情况下服务器托管,Windows2000系统的FTP服务器是允许匿名访问的,虽然匿名访问为用户上传、下载文件提供方便,但却存在极大的安全隐患。

用户不需要申请合法的账号,就能访问FTP服务器,甚至还可以上传、下载文件,特别对于一些存储重要资料的FTP服务器,服务器托管很容易出现泄密的情况,因此建议用户取消匿名访问功能。

在Windows2003系统中,点击“开始→程序→管理工具→Internet服务管理器”,弹出管理控制台窗口。

然后展开窗口左侧的本地计算机选项,就能看到IIS5.0自带的FTP服务器,取消匿名访问功能。

右键点击“默认FTP站点”项,在右键菜单中选择“属性”,服务器托管接着弹出默认FTP站点属性对话框,切换到“安全账号”标签页,取消“允许匿名连接”前的勾选,最后点击“确定”按钮,这样用户就不能使用匿名账号访问FTP 服务器了,必须拥有合法账号。

2)启用日志记录Windows日志记录着系统运行的一切信息,如访问时间、客户机IP地址、使用的登录账号等,这些信息对于FTP服务器的稳定运行具有很重要的意义,一旦服务器出现问题,就可以查看FTP日志,找到故障所在,及时排除。

因此一定要启用FTP日志记录。

3)在默认FTP站点属性对话框中,切换到“FTP站点”标签页,一定要确保“启用日志记录”选项被选中,这样就可以在“事件查看器”中查看FTP日志记录了,TCP/IP访问限制为了保证公司FTP服务器的安全,还可以拒绝某些IP地址的访问。

在默认FTP 站点属性对话框中,切换到“目录安全性”标签页,选中“授权访问”单选项,然后在“以下所列除外”框中点击“添加”按钮,弹出“拒绝以下访问”对话框,这里可以拒绝单个IP地址或一组IP地址访问,服务器托管以单个IP地址为例,选中“单机”选项,然后在“IP地址”栏中输入该机器的IP地址,最后点击“确定”按钮。

这样添加到列表中的IP地址都不能访问FTP服务器了。

4)合理设置组策略通过对组策略项目的修改,也可以增强公司FTP服务器的安全性。

在Windows2003系统中,进入到“控制面板→管理工具”,运行本地安全策略工具。

1、审核账户登录事件在本地安全设置窗口中,服务器托管依次展开“安全设置→本地策略→审核策略”,然后在右侧的框体中找到“审核账户登录事件”项目,双击打开该项目,在设置对话框中选中“成功”和“失败”这两项,最后点击“确定”按钮。

该策略生效后,FTP用户的每次登录都会被记录到日志中。

2、增强账号密码的复杂性一些FTP账号的密码设置的过于简单,就有可能被“不法之徒”所破解。

为了提高公司FTP服务器的安全性,必须强制用户设置复杂的账号密码。

在本地安全设置窗口中,服务器托管依次展开“安全设置→账户策略→密码策略”,在右侧框体中找到“密码必须符合复杂性要求”项,双击打开后,选中“已启用”单选项,最后点击“确定”按钮。

然后,打开“密码长度最小值”项,为FTP账号密码设置最短字符限制。

这样以来,密码的安全性就大大增强了。

3、账号登录限制有些非法用户使用黑客工具,反复登录FTP服务器,来猜测账号密码。

这是非常危险的,因此建议大家对账号登录次数进行限制。

相关主题