内网管理－写方案用的上

zq2007

　　　　　　　　　　　　　　　　　　　　　　网络管理员减负法宝 内网管理方案

内网的安全一直是令人头疼的问题，尤其对一些有密级的单位，即使使用了物理隔离设备，也不能杜绝病毒木马的侵害，甚至黑客的攻击，给网管员的工作带来了很多的麻烦。
    在实现了内网管理后，网络管理员维护的机器少了，工作量也减小了。以前上班忙的晕头转向，这边的机器正常了，那边又出了问题，刚回到座位，电话又响了。现在可好了，网络速度明显加快，是原来速度的二到三倍，遭受病毒木马攻击少了九成以上，机器偶尔会有些小问题。个人的工作也有条不紊，还有充电学习的时间了。
     
    内网管理的定义：
    由此可见，内网管理是非常必要的。那什么是内网管理呢？内网管理就是企业内部网络的管理，就是监督、组织和控制局域网网络通信服务，目的是确保计算机网络的持续正常运行，并在计算机网络运行出现异常时能及时响应和排除故障。一般包括配置管理、性能管理、安全管理、故障管理等。安全管理是内网管理中的一个重要内容，正受到业界及用户的广泛关注。除了建立一套安全防护系统外，网络安全制度的建立和人员安全意识的培养也是不可少的。
    内网管理的现状：
在网络应用的深入和技术频繁升级的同时，非法访问、恶意攻击等安全威胁也在不断推陈出新，愈演愈烈。由于很多企业缺乏有效的管理机制，像BT、 电驴等下载软件占用大量的带宽，造成网络阻塞，影响了正常业务的开办。有些部门的数据存在很强的机密性，比如财务和人事档案，却没有任何保护措施，造成机密文件被盗时有发生。病毒的肆虐，木马的横行，致使员工抱怨，老板愤怒，下载缓慢，业务受损，甚至企业陷入瘫痪。另一方面网络中的设备、操作系统、应用系统数量众多、构成复杂，差异性非常大，而且各自都具有自己的控制管理平台，网管员需要学习、了解不同平台的使用及管理方法，并应用这些管理控制平台去管理网络中的对象(设备、系统、用户等)，也为管理带来了相当大的难度。
    内网管理的内容：
借助于好的网管软件，对网络的结构和设备的图形化管理就变得容易多了。它能够直观显示、监控和前瞻性的管理网络。还可以通过VLAN的设置将局域网设备从逻辑上划分成一个个网段，将不同的工作区域划分开，实现对数据的安全保护。通过软件对网络内部流量监控和数据分析，可以帮助我们查看非法的进程和服务，并禁止屏蔽掉，释放带宽，保障正常业务的顺利进行。建立一套有效的网络管理制度，包括对员工的管理，提高他们的工作效率，做好安全防护，使用防火墙、VPN、IDS、防病毒、身份认证、数据加密、安全审计等措施和管理系统。为更好的开展企业业务，提高企业运行效率做好服务。
    内网管理带来的好处：
有了高效的内网管理机制后，不但减轻了网管员的工作负担，而且有利于员工专心工作，玩游戏，聊天做和工作无关的人少了，遭受病毒木马攻击的机会也少了，整体的工作效率提高了。而且大大提高了企业生产力。高效而有序的企业网络，对业务发展起到了很强的支撑作用。

network

network

zq2007

外部网络的入侵就像一个人被打了脸；

而对内部网络的成功入侵，就像一个人被伤及了五脏六腑……

通常的安全策略的一个基本假设是：网络的一边即外部的所有人是不可信任的，另一边即内部的所有人是可信任的。因此包括防火墙在内的一系列的措施被广泛使用。但在实际环境中， 80%的攻击和越权访问来自于内部，也就是说，防火墙等一系列措施在对付网络安全的主要威胁时束手无策。随着内网应用的不断发展，在一定的意义上，内部网络的应用远复杂于传统外部网络的应用，内网甚至包含了许多外网所没有的应用，如各种辅助设计应用、办公自动化系统、各种管理系统、财务系统等。这些应用往往非常庞大，很可能会给系统造成更多的漏洞。并且，如今网络攻击的手段变得越来简单，通过许多黑客软件便可以轻易对网络实施有效果的攻击。更为重要的是，内部网络上大多数的应用，对企业是很重要的，甚至是严格保密的，一旦出现涉密、破坏的事件，将产生严重后果。这些都使得内网安全问题变得越来越重要和突出。

全网安全以内网为核心

在安全领域，我们经常可以听到黑客们攻破和破坏系统的报道，因此所有人都非常关注来自Internet的远程黑客攻击，并配备了很多边界式防火墙系统。这些措施无疑对网络的安全起到了良好的保护作用，但是，有一个基本的但又非常重要的事实却经常被忽视：

80%以上的网络攻击事件源于网络内部。

恶性的黑客攻击事件一般都会先控制局域网络内部的一台Server，然后以此为根据地，再伺机对Internet上其他主机发起恶性攻击。

要想从根本上杜绝恶性攻击事件的发生，必须首先强化企业内部网络的安全防范与安全管理。

这些事实足以证明，内网安全是整体网络安全的基石和出发点，我们在关注外网安全的同时，必须要加倍地重视内部网络的安全控制，必须加大内网安全策略的规划力度和投资力度。内网安全问题是我们在制定安全策略时必须要考虑的重点之一，只有这样才能事半功倍。

在建立一个完善的网络安全策略时，应该是以内网安全控制为核心，以应用系统安全、操作系统安全、网络病毒防护、入侵检测系统监测、边界式防火墙隔离、动态安全漏洞扫描与回馈、安全管理制度保障为不同防线的复合环型结构。

内网的安全隐患

内网安全危害分为三大类：操作失误、存心捣乱及用户无知。操作失误包括用户不经意获得了不应该拥有的权限，虽然自己没有恶意，但这些新授权的用户无意中会给数据和系统带来严重破坏。正确的措施就是取消过高的权限。但基于查询的分析却无法显示，谁拥有引发问题的权限，也无法显示是谁授予了这些权限。 以在职员工和已辞职员工的蓄意破坏为例，可能存在的企业内部安全漏洞包括：满腹牢骚的员工离开公司后设立特洛伊木马以获得访问权，在职员工被解雇或工作变动前造成严重破坏等；对用户和用户组权限管理不善，会常常导致员工离开后很长时间仍能访问极重要的公司系统。对这种恶意事件，正确措施包括取消权限、消除捣乱的机会、通知管理员，若有必要，收集证据把非法活动记录在案。传统的安全措施如入侵检测和基于查询的分析无法显示这类活动的作恶者。

对高度重视存储空间和工作效率的公司来说，由于员工无知引起的安全漏洞会造成极大的代价。如员工下载大量MP3和图像文件而使服务器不堪重负以危及整个网络的性能。合理的安全政策响应机制包括教育用户、删除违反政策的文件及通知管理员和管理部门。基于查询的分析就无法采取这些行动。

公司利用包括实时事件跟踪和自动执行政策的积极主动的安全政策管理工具，就能够成功瓦解违反内部安全政策的每次破坏。不管居心不良还是破坏危害极大，由具有实时执行功能的实时审查工具跟踪的合理政策几乎能够消除所有重大安全漏洞。这种工具可以揭示谁破坏了安全、破坏情况及何时发生，但也许更重要的是，它能采取自愈行动，使系统恢复到攻击前的状态。

内网安全交换机是关键

通常讲的采用防火墙和VPN技术并不能彻底消除安全隐患，尤其是对隐藏在内部网络的合法攻击者，这些技术经常束手无策。目前很多的被动式的防范技术很难有效解决内网络的安全问题。比如防火墙，反查找能力比较薄弱，它只简单地记录活动状态，并没把所记录的活动状态资料和物理端口关联起来,导致反查功能很难实现。

侵检测软件包（IDS）对于来自内部的入侵行为无法向管理员做出报告，更让人担忧的是，无法调查内部员工造成的破坏程度。为克服这个难题，许多组织利用基于查询的内部分析工具来加强内部安全，发现未授权的活动。基于查询的分析工具虽然为发现安全漏洞或滥用网络权限提供了有效方法，但最多也只能算是被动的补救办法，即使最警惕的基于查询的分析，通常也要晚一个小时。

而网络边缘设备（交换机），却可以轻易实现这些功能。另外从网络的层次上来说，链路层的安全，主要是接入设备和核心设备链路的安全性，目前部署在交换机上的802.1x、802.1w标准协议就可以轻松实现链路的安全快速实现和切换。此外，对于网络层以上的安全，例如一些主要依靠广播方式传播的病毒、S拒绝服务攻击等，可以通过对交换机器端口的流量控制等一些方式来很好地解决。例如，作为对付2003年1月底肆虐全球的“SQL slammer”蠕虫病毒的措施之一，就可以通过禁止交换机上采用UDP 1434端口来得已防范。

因此要做好内网的安全，交换机是关键。

部署交换机上的安全

在内网安全构造中，交换机是非常重要的，它在整个内网安全体系中起了决定性的作用。目前市面上的大多数两层、三层交换机都有丰富的安全功能，比如三一通讯的Crosskey系列交换机、港湾网络μHammer系列交换机、锐捷网络的Star-S6808。在构建内网安全时，要了解这些交换机有些什么安全功能，如何工作，如何部署，一层有问题时会不会影响整个网络。

抵挡DoS攻击：从可用性出发，交换机需要能抵挡拒绝服务式DoS攻击，并在攻击期间保持可用性。理想状态是它们在受到攻击时应该能够做出反应，屏蔽攻击IP及端口。每件事件都会立即反应并记录在日志中，同时它们也能识别并对蠕虫攻击做出反应。

交换机使用FTP、HTTP、Telnet或SSH都会有代码漏洞，在漏洞被发现并报告后，可以通过厂商升级包或补丁，来弥补漏洞。

基于角色的管理给予管理员最低程度的许可来完成任务，允许分派任务，提供检查及平衡，只有受信任的连接才能管理。管理权限可赋予设备或其他主机，例如管理权限可授予一定IP地址及特定的TCP/UDP端口。控制管理权限的最好办法是在授权进入前分权限，可以通过认证和账户服务器，例如远程接入服务、终端服务或LDAP服务。

远程连接的加密：很多情况下，管理员需要远程管理交换机，通常只能从公共网络上访问。为了保证管理传输的安全，需要加密协议：SSH是所有远程命令行设置和文件传输的标准协议，基于Web的则用SSL或TLS协议，LDAP通常是通讯的协议，而SSL/TLS则加密此通讯。

SNMP用来发现、监控、配置网络设备，SNMP 3是足够安全的版本，可以保证授权的通信。

建立登录控制可以减轻受攻击的可能性，设定尝试登录的次数，在遇到这种扫描时能做出反应。详细的日志在发现尝试破解密码及端口扫描时是非常有效的。

交换机的配置文件的安全也是不容忽视的，通常配置文件保存在安全的位置，在混乱的情况下，可以取出备份文件，安装并激活系统，恢复到已知状态。有些交换机结合了入侵检测的功能，一些通过端口映射支持，允许管理员选择监控端口。虚拟网络的角色虚拟的本地网络VLAN是第二层上的有限广播域，由一组计算机设备组成，通常位于多个LAN上，可能跨越一个或多个LAN交换机，而与它们的物理位置无关，设备之间好像在同一个网络间通信一样，允许管理员将网络分为多个可管理运行良好的小块，将啬、移动、更改设备、用户及权限的任务简化。

VLAN可在各种形式上形成，如交换口、MAC地址、IP地址、协议类型、DHCP、802.1X标准或用户自定义。这些可以单独或组合部署。VLAN认证技术在用户通过认证过程后授权给用户进入一个或多个VLAN，该授权不是给予设备。

防火墙可以控制网络之间的访问，最广泛应用的是嵌在传统路由器和多层交换机上的，也称作ACLs。防火墙的不同主要在于他们扫描包的深度，是端到端的直接通讯还是通过代理，是否有session。在网络之间的访问控制中，路由过滤措施可以基于源/目标交换槽或端口、源/目标VLAN、源/目标IP、或TCP/UDP端口、ICMP类型、或MAC地址。对于某些交换机和路由器，动态ACL标准可以由用户通过认证过程后被创建，就像是认证的VLAN，不过是在第三层上。当未知的源地址要求连入已知的内部目标时是有用的。

现在的内网要求设计成各层次都是安全的，通过部署交换机的安全设置，企业可以用传统的安全技术创建强壮、各层都安全的内网系统。

交换机安全还需互动

要做好全面的内网安全，光靠在交换上设置安全机制还是远远不够的。我们必须采取主动防范方法，使交换机和其它第三方软件联动起来，比如交换机端口的身份认证和IDS的有机结合。目前很多交换设备厂商都推出了这种联动的内网安全防范措施，例如，锐捷网络（原实达网络）就把交换机的安全机制与自身研发的网络警察（IDS）软件较好地结合起来，三一通讯、港湾网络也实现了自身产品与第三方IDS软件的哟有机结合。交换机的安全与入侵检测软件的联动，进一步提高了内网的安全程度。

network

rh41x