Intranet網(wǎng)絡架構(gòu)安全評估

引言： 企業(yè)計算機網(wǎng)絡（Intranet）系統(tǒng)的安全將受到越來越多的威脅，企業(yè)職員必須進一步提高網(wǎng)絡安全意識，高度重視并確保網(wǎng)絡的安全、穩(wěn)定運行。本文從從網(wǎng)絡建設規(guī)范性、網(wǎng)絡可靠性、網(wǎng)絡邊界安全性、網(wǎng)絡協(xié)議安全分析、網(wǎng)絡流量分析、網(wǎng)絡通信安全、網(wǎng)絡安全管理等7個方面對網(wǎng)絡架構(gòu)進行評估，確保網(wǎng)絡架構(gòu)安全。

在企業(yè)信息化建設過程中，網(wǎng)絡是任何信息化建設的基礎(chǔ)。企業(yè)領(lǐng)導、技術(shù)管理人員都必須進一步提高計算機網(wǎng)絡安全意識，確保網(wǎng)絡的安全、穩(wěn)定運行。

某大型企業(yè)一直重視網(wǎng)絡基礎(chǔ)建設，并通過加大投入盡可能采取相關(guān)技術(shù)手段確保其網(wǎng)絡安全，但通過對該公司網(wǎng)絡架構(gòu)安全評估過程中發(fā)現(xiàn)仍然存在較多安全缺陷，如圖1。

圖1 網(wǎng)絡拓撲圖

Intranet網(wǎng)絡架構(gòu)安全評估方案

根據(jù)該公司組織結(jié)構(gòu)和網(wǎng)絡系統(tǒng)的特點，采取以顧問訪談、文檔分析等方式，輔助安全漏洞掃描、人工安全檢查等技術(shù)手段，對網(wǎng)絡系統(tǒng)各方面的安全狀況進行全面考察、充分分析后得到當前網(wǎng)絡架構(gòu)的現(xiàn)狀以及評估方案。

從安全區(qū)域的角度來看，該公司整個網(wǎng)絡架構(gòu)可分為：出口區(qū)、DMZ區(qū)、內(nèi)部服務器區(qū)以及用戶接入?yún)^(qū)。

對該公司網(wǎng)絡架構(gòu)評估從網(wǎng)絡建設規(guī)范性、網(wǎng)絡可靠性、網(wǎng)絡邊界安全性、網(wǎng)絡協(xié)議安全分析、網(wǎng)絡流量分析、網(wǎng)絡通信安全、網(wǎng)絡安全管理等7個方面進行全面評估，對存在的安全風險給出了下列相關(guān)建議。

網(wǎng)絡建設規(guī)范性

1.IP地址規(guī)劃

IP地址規(guī)劃合理，地址分配易于管理，具有連續(xù)性。

2.網(wǎng)絡設備命名

網(wǎng)絡設備命名不夠規(guī)范。

建議采用以下命名方法：AA_xYYYY_zz． 其 中：AA表示物理位置的全拼；x表示交換機s或路由器r；YYYY表示設備型號；zz表示設備序號，用01、02等表示。

3. 網(wǎng)絡架構(gòu)

網(wǎng)絡架構(gòu)清晰，層次分明，邊界明確。安全邊界明確，對敏感系統(tǒng)例如DMZ、財務人事系統(tǒng)同其他系統(tǒng)以防火墻或者劃分VLAN的方式進行了有效隔離。VPN用戶從外網(wǎng)登錄后可以訪問整個內(nèi)網(wǎng)，存在一定的安全隱患。

建議嚴格限制VPN網(wǎng)段對內(nèi)網(wǎng)的訪問。遵循“缺省關(guān)閉，按需求開通”原則，嚴格限制VPN網(wǎng)段對內(nèi)網(wǎng)的訪問。

網(wǎng)絡可靠性

1.鏈路可靠性

網(wǎng)通與中電飛華兩條互聯(lián)網(wǎng)鏈路相互獨立，沒有充分利用做到鏈路互備。

建議在防火墻上進行路由設置，實現(xiàn)雙鏈路互備，提高鏈路可靠性。

2.設備可靠性

核心交換機和防火墻無備份，存在單點故障隱患。

建議增加一臺核心交換機和一臺防火墻與現(xiàn)網(wǎng)交換機和防火墻組成雙機熱備的工作模式，增強設備可靠性。

網(wǎng)絡邊界安全性

1.防火墻

防火墻配置了嚴格的訪問控制策略，有效保證了內(nèi)網(wǎng)和DMZ區(qū)服務器的安全性。但對互聯(lián)網(wǎng)開放了radmin、telnet等遠程管理服務，存在較大的安全隱患。

建議在防火墻上配置禁止互聯(lián)網(wǎng)用戶訪問ramdin、telnet等服務，或者配置只允許可信IP訪問。

2.內(nèi)網(wǎng)VLAN劃分

核心交換機進行了VLAN 劃分，并配置了訪問控制列表（ACL）。ACL目前只對財務和人事網(wǎng)段進行了保護，對于客戶端訪問服務器區(qū)沒有任何限制措施，部分對外網(wǎng)提供服務的服務器與其他內(nèi)網(wǎng)服務器在同一VLAN，存在較大的安全隱患，如滲透測試所示，外網(wǎng)攻擊者若控制一臺外網(wǎng)服務器，就有可能控制整個內(nèi)網(wǎng)。

建議根據(jù)業(yè)務需要，配置ACL，嚴格限制客戶端對服務器區(qū)的訪問；為對外網(wǎng)提供服務的服務器單獨劃分一個VLAN，并在該VLAN與內(nèi)網(wǎng)之間部署防火墻，嚴格限制內(nèi)外網(wǎng)服務器之間的訪問。

網(wǎng)絡協(xié)議安全分析

路由協(xié)議：采用高效的靜態(tài)路由協(xié)議和OSPF等動態(tài)路由協(xié)議相結(jié)合，對于目前的網(wǎng)絡結(jié)構(gòu)是合理有效的。

網(wǎng)絡流量分析

流量監(jiān)控、流量分析：部署了QQview對網(wǎng)絡中的流量與用戶行為進行監(jiān)測和管理，優(yōu)化了網(wǎng)絡流量。

網(wǎng)絡通信安全

1.入侵檢測

沒有部署入侵檢測設備，在本次的滲透測試過程中，即使測試人員從互聯(lián)網(wǎng)成功進入了內(nèi)網(wǎng)，也沒有系統(tǒng)對以上攻擊行為進行告警。

建議在互聯(lián)網(wǎng)出口及核心交換機上部署IDS或IPS，監(jiān)控及阻斷來自互聯(lián)網(wǎng)及內(nèi)部惡意用戶的入侵行為。

2.抗拒絕服務

未充分考慮分布式拒絕服務攻擊（DDoS）的威脅，缺乏防御日益猖獗的DDoS攻擊的有效手段。

建議部署專用的抗拒絕服務設備以增強網(wǎng)絡安全性。

網(wǎng)絡安全管理

1.遠程管理

對核心交換機的管理使用的是Telnet明文方式，容易被非法用戶竊聽、進而獲取管理員權(quán)限。沒有針對Telnet登錄IP配置ACL策略，可能導致不可信的IP對設備進行口令猜測、暴力破解。

建議設置Telnet訪問控制列表，只允許通過信任IP進行遠程管理,使用SSH加密管理方式代替Telnet。

2.日志管理

缺乏集中日志分析系統(tǒng)，對設備的訪問、常見信息以及異常信息的原始記錄，是處理和分析問題的一個重要輔助手段和監(jiān)控方式。

建議部署集中日志分析系統(tǒng)，協(xié)助網(wǎng)絡管理員全面分析網(wǎng)絡設備產(chǎn)生的日志。