 |
教你如何巧用三层交换安全策略预防病毒
www.hx99.org 阅读: 时间:2007-07-09 整理:华西黑盟
------------------------------------------------------------------ |
目前计算机所面临的威胁大体可分为两种:一是对中信息的威胁;二是对中设备的威胁。影响计算机的因素很多,主要是软件的和“后门”,这些和缺陷恰恰是进行攻击的首选目标。一些攻入内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。软件的“后门”都是软件公司的设计人员为了自己方便而设置的,一旦“后门”打开,造成的后果将不堪设想。其实,三层交换机的安全策略也具备预防病毒的功能。下面我们详细介绍一下如何利用三层交换机的安全策略预防病毒。计算机的安全策略又分为物理安全策略和访问控制策略
1、物理安全策略
物理安全策略的目的是保护计算机系统、器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境。
2、访问控制策略
访问控制是安全防范和保护的主要策略,它的主要任务是保证资源不被非法使用和非常访问。它也是维护系统安全、保护资源的重要手段。安全策略分为入网访问控制、的权限控制、目录级安全控制、属性安全控制、器安全控制、监测和锁定控制、端口和节点的安全控制等。为各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证安全最重要的核心策略之一。病毒入侵的主要来源通过软件的“后门”。包过滤设置在层,首先应建立一定数量的信息过滤表,信息过滤表是以其收到的包头信息为基础而建成的。信息包头含有包源IP地址、目的IP地址、传输协议类型(TCP、UDP、ICMP等)、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。当一个包满足过滤表中的规则时,则允许包通过,否则禁止通过。这种防火墙可以用于禁止外部不合法用户对内部的访问,也可以用来禁止访问某些类型。但包过滤不能识别有危险的信息包,无法实施对应用级协议的处理,也无法处理UDP、RPC或动态的协议。根据每个局域网的防病毒要求,建立局域网防病毒控制系统,分别设置有针对性的防病毒策略。
划分VLAN
1、基于交换机的虚拟局域网
基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。可以基于层来划分VLAN,有两种方案,一种按协议(如果中存在多协议)来划分;另一种是按层地址(最常见的是TCP/IP中的子网段地址)来划分。建立VLAN也可使用与管理路由相同的策略。根据IP子网、IPX号及其他协议划分VLAN。同一协议的工作站划分为一个VLAN,交换机检查广播帧的以太帧标题域,查看其协议类型,若已存在该协议的VLAN,则加入源端口,否则,创建—个新的VLAN。这种方式构成的VLAN,不但大大减少了人工配置VLAN的工作量,同时保证了用户自由地增加、移动和修改。不同VLAN网段上的站点可属于同一VLAN,在不同VLAN上的站点也可在同一物理网段上。利用层定义VLAN缺点也是有的。与利用MAC地址的形式相比,基于层的VLAN需要分析各种协议的地址格式并进行相应的转换。因此,使用层信息来定义VLAN的交换机要比使用链路层信息的交换机在速度上占劣势。
2、增强的安全性
共享式LAN上的广播必然会产生安全性问题,因为上的所有用户都能监测到流经的业务,用户只要插入任一活动端口就可访问网段上的广播包。采用VLAN提供的安全机制,可以限制特定用户的访问,控制广播组的大小和位置,甚至锁定成员的MAC地址,这样,就限制了未经安全许可的用户和成员对的使用。
设置访问控制列表
首先根据各单位的需求,制定不同的策略,比如文件的传输、游戏等。在制定策略之前,我们首先要了解什么样的文件依靠计算机上哪个端口来传输。端口大约分为三类:公认端口(0—1023):它们紧密绑定于一些。通常这些端口的通讯明确表明了某种的协议。例如:80端口实际上总是HTTP通讯,110端口实际上是pop3通讯。注册端口(1024—49151):它们松散地绑定于一些。也就是说有许多绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。动态和/或私有端口(49152—65535):理论上,不应为分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。例如:
TheseACLsaretoblockvirusattack(这些访问控制列表要堵塞病毒攻击)
YouneedtomakesureallyourexpectednetworkservicearenotblockedbytheseACLs
(你需要确定你的需要的中不备访问控制列表要堵塞)
TheseACLs'precedencearewithin1001~1500(访问控制列表优先在1001-1500)
SQLSlammer/MS-SQLServerWorm(病毒)
createaccess-listudp1434-d-deudpdestinationanyip-port1434sourceany
ip-portanydenyportsanyprecedence1001(创建列表为udp1434-d-de,凡是
来源于1434端口的包都优先于1001)
W32/Blasterworm(病毒)
createaccess-listudp69-d-deudpdestinationanyip-port69sourceanyip-port
anydenyportsanyprecedence1011(创建列表为udp69-d-deudp,凡是来源于69
端口的包都优先于1011)
createaccess-listudp135-d-deudpdestinationanyip-port135sourceanyip-port
anydenyportsanyprecedence1013(创建列表为udp135-d-deudp,凡是来源于135
端口的包都优先于1013)
端口隔离:使用交换机system-guard检测功能、设置当前最大可检测染毒主机的数目、设置每次地址学习相关参数,system-guardenable(使能system-guard检测功能,在使用防火墙功能前,请确保端口的优先级配置处于缺省状态,即:端口的优先级为0,且交换机对于报文中的cos优先级不信任。)
system-guarddetect-maxnum5(设置当前最大可检测的染毒主机数目5台)
system-guarddetect-thresholdIP-record-thresholdrecord-times-thresholdisolate-time
(该命令可以设置地址学习数目的上限、重复检测次数的上限和隔离时间。)
举例来说,在设置了地址学习数目的上限为50、重复检测次数的上限为3、隔离时间为5后,系统如果连续3次检测到来自源IP的地址每次IP地址学习数目都超过了50,系统就认为受到了攻击,将此源IP检测出来,在5倍的老化周期内不学习来自此源IP的报文中的目的IP地址。
结束语
随着计算机和通信的发展,计算机将日益成为工业、农业和国防等方面的重要信息交换手段,渗透到社会生活的各个领域。因此,认清的脆弱性和潜在威胁,采取强有力的安全策略,对于保障的安全性将变得十分重要。
|
|
| ------------------------------------------------------------------------------------------- |
上一篇:口令攻击的主要方式及相关防护的手段
下一篇:如何防范你的个人网站被黑 |
| ------------------------------------------------------------------------------------------- |
|
|
|
 |
|
|
当前位置:
