东华理工大学毕业设计(论文) 企业局域网的安全设计方案
打开Norton Antivirus防病毒软件客户端的安装网页。在该页面上,单击\立即安装\按钮,即可开始安装Norton Antivirus防病毒软件客户端。
b、配置防病毒软件客户端
在完成Norton Antivirus防病毒客户端安装后,就可以在客户机的任务栏系统托盘中看到一个盾牌图标,双击该图标将弹出Norton Antivirus防病毒客户端的主窗口。
在该窗口左侧树形导航栏中,双击\配置\项将其打开,在该项下,选中\文件系统实时防护\项,这时右侧内容窗口将显示Norton Antivirus防病毒客户端的具体设置内容,可以根据实际需要设置其中的相应选项,设置完成单击 \确定\按钮即可将设置生效。
至此,网络便可以安全的防御病毒的攻击了。 3.3.6 攻击检测技术及方法
互联网的普及给网络管理人员带来了极大的挑战,随处可得的黑客工具和系统漏洞信息使我们的网络无时无刻不处于危险之中。一般来说,一个典型的网络攻击是以大量的端口扫描等手段获取关于攻击对象的信息为开端的,这个过程必然产生大量的异常网络流量,预示着即将到来的真正攻击。然而当前被广泛使用的网络产品都具有一个普遍的弱点——被动防御,即对这些重要的网络攻击先兆熟视无睹,错过了最佳的防御时间。为了扭转这种不利的局面,变被动防御为积极防御,就要求网管人员对网络的运行状态进行实时监控以便随时发现入侵征兆并进行具体的分析,然后及时进行干预,从而取得防患于未然的效果。完成这种功能的安全产品就是网络入侵检测系统(Network Intrusion Detection Systems,NIDS)。
本系统采用三层分布式体系结构:网络入侵探测器、入侵事件数据库和基于Web的分析控制台。为了避免不必要的网络流量,我们将网络入侵探测器和入侵事件数据库整合在一台主机中,用标准浏览器异地访问主机上的Web服务器作为分析控制台,两者之间的通信采用HTTPS安全加密协议传输。
由于实现本系统所需的软件较多,有必要在此进行简要的说明: Snort 1.8.6 功能简述:网络入侵探测器;
Libpcap 0.7.1 功能简述:Snort所依赖的网络抓包库; MySQL 3.23.49 功能简述:入侵事件数据库; Apache 1.3.24 功能简述:Web服务器;
Mod_ssl 2.8.8 功能简述:为Apache提供SSL加密功能的模块; OpenSSL 0.9.6d 功能简述:开放源代码SSL加密库,为mod_ssl所依赖; MM 1.1.3 功能简述:为Apache的模块提供共享内存服务; PHP 4.0.6 功能简述:ACID的实现语言;
GD 1.8.4 功能简述:被PHP用来即时生成PNG和JPG图像的库;
22
东华理工大学毕业设计(论文) 企业局域网的安全设计方案
ACID 0.9.6b21 功能简述:基于Web的入侵事件数据库分析控制台; ADODB 2.00 功能简述:为ACID提供便捷的数据库接口; PHPlot 4.4.6 功能简述:ACID所依赖的制图库; (1) 安装及配置
在正式进行软件安装之前,请检查系统,确保拥有符合ANSI标准的C/C++编译器等软件开发工具。
a、安装MySQL
首先,以超级用户的身份登录系统,创建mysql 用户和mysql用户组; 然后,以mysql身份登录,执行下列命令: $gzip -d -c mysql-3.23.49.tar.gz | tar xvf - $cd mysql-3.23.49 $./configure $make
$make install
这样,就按照缺省配置将MySQL安装在/usr/local目录下。然后将源代码树中的缺省配置文件my.cnf拷贝到/etc目录下。接下来,以超级用户身份执行源码树中scripts目录下的可执行脚本文件mysql_install_db来创建初始数据库。用/etc/init.d/mysql.server启动数据库服务器后,使用/usr/local/bin/mysqladmin程序来改变数据库管理员的口令。
b、安装Snort
首先安装Snort所依赖的库libpcap:
#gzip -d -c libpcap-0.7.1.tar.gz | tar xvf - #cd libpcap-0.7.1 #./configure #make
#make install
这样libpcap缺省地安装在/usr/local目录下。 然后开始安装Snort:
#gzip -d -c snort-1.8.6.tar.gz | tar xvf - #cd snort-1.8.6
#./configure --prefix=/usr/local \\ --with-mysql=/usr/local \\
--with-libpcap-includes=/usr/local \\ --with-libpcap-libraries-/usr/local #make
23
东华理工大学毕业设计(论文) 企业局域网的安全设计方案
#make install
安装完毕后,将源码树中的snort.conf文件、classification.config文件和规则文件(*.rules)拷贝到系统的/etc目录下。
按照下列步骤配置Snort将其捕获的网络信息输出到MySQL数据库: ● 创建Snort入侵事件数据库和存档数据库:
#/usr/local/bin/mysqladmin -u root -p create snort
#/usr/local/bin/mysqladmin -u root -p create snort_archive ● 执行Snort源码树下contrib目录下的create_mysql SQL脚本文件创建相关表:
#/usr/local/bin/mysql -u root -D snort -p < create_mysql
#/usr/local/bin/mysql -u root -D snort_archive -p < create_mysql ● 编辑/etc/snort.conf文件,在output plugin 段中加入如下一行: output database: alert, mysql, user=root password=abc123
dbname=snort host=localhost c、安装Apache ● 安装MM库
#gzip -d -c mm-1.1.3.tar.gz | tar xvf - #cd mm-1.1.3 #./configure #make
#make install
MM库被按照缺省配置安装在/usr/local目录下。 ● 安装OpenSSL
#gzip -d -c openssl-0.9.6d.tar.gz | tar xvf - #cd openssl-0.9.6d #./config #make #make test
#make install
OpenSSL按照缺省设置安装在/usr/local目录下。 ● 为Apache扩展mod_ssl代码
#gzip -d -c apache-1.3.24.tar.gz | tar xvf - #gzip -d -c mod_ssl-2.8.8-1.3.24.tar.gz | tar xvf - #cd mod_ssl-2.8.8-1.3.24
#./configure --with-apache=apache-1.3.24
24
东华理工大学毕业设计(论文) 企业局域网的安全设计方案
该命令运行成功之后,会有提示说明已经成功扩展了Apache的源代码。 ● 安装Apache #cd ../apache-1.3.24 #SSL_BASE=/usr/local \\ EAPI_MM=/usr/local \\
./configure -enable-module=so \\ --enable-module=ssl \\ --prefix=/usr/local #make
#make certificate
#make install
其中,make certificate命令是为mod_ssl生成所需的安全证书,按照提示输入相应信息即可。这样,Apache就被安装在了/usr/local目录下。
d、安装PHP
首先安装为PHP提供既时生成PNG和JPG图象功能的GD库: #gzip -d -c gd-1.8.4.tar.gz | tar xvf - #cd gd-1.8.4 #make
#make install
按照缺省配置,将其安装到/usr/local目录下。接下来开始正式安装PHP: #gzip -d -c php-4.0.6.tar.gz | tar xvf - #cd php-4.0.6
#./configure -with-mysql=/usr/local \\ --with-apxs=/usr/local/bin/apxs \\ --with-gd=/usr/local #make
#make install
此处采用的是PHP的Apache动态模块DSO安装模式,完成之后,将会在/usr/local/libexec目录下生成Apache DSO模块libphp4.so。然后,还需将源码树中的PHP缺省配置文件php.ini-dist拷贝到/etc目录下并更名为php.ini;最后为了通知Apache启用PHP模块,编辑Apache的配置文件httpd.conf加入如下两行: AddType application/x-httpd-php .php
LoadModule
php4_module
libexec/libphp4.so
至此完成PHP的安装。 e、安装ACID
25
东华理工大学毕业设计(论文) 企业局域网的安全设计方案
该部分的安装工作具体包括三个软件包:adodb200.tar.gz、
phplot-4.4.6.tar.gz和acid-0.9.6b21.tar.gz。安装过程十分简单,只需分别将这三个软件包解压缩并展开在Apache服务器的文档根目录下即可,具体操作如下所示: #cd /usr/local/htdocs
#gzip -d -c adodb200.tar.gz | tar xvf - #gzip -d -c phplot-4.4.6.tar.gz | tar xvf - #gzip -d -c acid-0.9.6b21.tar.gz | tar xvf - #chown -R root:other *
#chmod -R 755 *
然后开始配置工作,转到acid-0.9.6b21目录下编辑ACID的配置文件:acid_conf.php给下列变量赋值: $Dblib_path=\ $DBtype=\ $alert_dbname=\ $alert_host=\ $alert_port=\ $alert_user=\ $alert_password=\ $archive_dbname=\ $archive_host=\ $archive_port=\ $archive_user=\ $archive_password=\ $ChartLib_path=\ $Chart_file_format=\
$portscan_file=\ 至此,网络入侵检测系统的软件安装工作结束。
(2) 系统部署及运行
系统被部署在网络服务器所处的DMZ区,用来监控来自互联网和内网的网络流量。负责监控的网络探测器Snort使用无IP地址的网卡进行监听以保证网络入侵检测系统自身的安全;通过另一块网卡接入内网并为其分配内网所使用的私有IP地址,以便从内网访问分析控制台程序ACID。通过启用Apache服务器的用户身份验证和访问控制机制并结合SSL以保证系统的访问安全。
另外,布署网络入侵检测系统的关键是应当保证系统的监听网卡所连接的设备端口能够\看到\受监控网段的全部网络流量。在共享式网络中这不是问题,但在交换式
26
企业网络安全解决方案的设计
