1、网络平安防护工作总结通信网络平安防护工作总结为提高网络通讯防护水平,从网络结构平安、网络访问控制、边界完整性几个大方向上采取一系列技术手段保障通信网络平安稳定,总结如下:(1)网络冗余和备份使用电信和网通双城域网冗余线路接入 , 目前电信城域网的接入带宽是 20M,联通城域网的接入带宽是 20M.可根据日后用户的不断增多和务业的开展需求再向相关网络效劳提供商定购更大的线路带宽。2)路由器平安控制业务效劳器及路由器之间配置静态路由,并进行访问控制列表控制数据流向。 Qos保证方向使用金 (Dscp32), 银(Dscp8), 铜(Dscp0) 的等级标识路由器的 Qos 方式来分配线路带宽的优先
2、级 , 保证在网络流量出现拥堵时优先为重要的数据流和效劳类型预留带宽并优先传送。(3)防火墙平安控制主机房现有配备有主备_x000E_juniper_x000E_防火墙和深信服_x000E_waf_x000E_防火墙,juniper_x000E_防火墙具备_x000E_ips_x000E_、杀毒等功能模块,深信服_x000E_waf_x000E_防火墙主要用于网页攻击防护,可防止_x000E_sql_x000E_注入、跨站攻击、黑客挂马等攻击。防火墙使用_x000E_Untrust,Trunst_x000E_和 DMZ区域来划分网络_x000E_, 使用策略来控制各个区域之间的平安访问。(4)
3、IP 子网划分 / 地址转换和绑定已为办公区域 , 效劳器以及各个路由器之间划分 IP 子网段 , 保证各个子网的 IP 可用性和整个网络的 IP 地址非重复性。使用NAT,PAT,VIP,MIP 对内外网 IP 地址的映射转换 , 在路由器和防火墙上使用 IP 地址与 MAC地址绑定的方式来防止发生地址欺骗行为。效劳器及各个路由器之间划分 IP 子网划分 :/16(5)网络域平安隔离和限制生产网络和办公网络隔离, 连接生产必须通过连接 vpn 才能连接到生产网络。在网络边界部署堡垒机 , 通过堡垒机认证后才可以对路由器进行平安访问操作 , 在操作过程中堡垒时机将所有操作过程视频录像, 方便平
4、安审计以及系统变更后可能出现的问题,迅速查找定位。另外路由器配置访问控制列表只允许堡垒机和备机 IP 地址对其登陆操作 , 在路由器中配置 3A认证效劳 , 通过TACAS效劳器作为认证 , 授权。(6)网络平安审记网络设备配置日志效劳 , 把设备相关的日志消息统一发送到日志效劳器上作记录及统计操作 . 日志效劳器设置只允许网管主机的访问 , 保证设备日志消息的平安性和完整性。logging buffered 102400logging trap debugginglogging source-interface Loopback0logging XX.XX.XX.XX( 日志效劳器 IP)(
5、7)内外网非法连接阻断和定位交换机划分 Vlan 方式隔离开内外网区域关闭空闲没有使用的网络设备端口 , 防止非授权设备的私自接入网络 . 如发现非授权设备接入网络 , 可在日志效劳器匹配端口关键字对其跟踪记录。内部网络用户那么采用 MAC地址绑定进行有效阻断。 已为办公网络划分子网并做地址绑定, 部署有深信服上网行为管理设备,防止非受权设备私自接入网络(8)网络 ARP欺骗攻击主机与效劳器安装防火墙软件 , 将网关 IP 与 MAC之间作 ARP绑定 , 防止因 ARP欺骗攻击导致设备无法连接网络在上安装杀毒软件,使用上网行为管理防止非法连接外网, Arp00 AAAA.BBBB.CCCC9
6、)DOS/DDOS攻击已在防火墙部著 DOS/DDOS攻击防范措施,具体有ICMP,UDP,SYN洪水攻击保护 ,SYN-ACK-ACK代理保护,会话数据流源地址和目标地址条目限制等。 另外我们建立网络流量监控系流,可以即时反映流网实时流量, 并与电信与联通网络效劳提供商建立良好的沟通渠道, 发现线路流量异常即时联系相关网管部请求协助检查 如防火墙无法解决的需人工干预查出受攻击的主机地址后配置访问列表过滤掉非法的异常流量。(10)网络设备最小化配置所有网络设备(包括但不限于防火墙、路由器、交换机)一律要求最小化配置, 关闭无用的协议, 如 RPC协议、ftp 协议等,只开放使用端口,非使用一律关闭。(11)漏洞扫描定期使用 nessus 漏洞扫描攻击对网络设备进行漏洞扫描,假设扫描发现漏洞并进行漏洞修补。
