一键复制
为了确保我们的努力取得实效,就不得不需要事先制定方案,方案是书面计划,具有内容条理清楚、步骤清晰的特点。方案书写有哪些要求呢?我们怎样才能写好一篇方案呢?下面是小编为大家收集的方案策划范文,供大家参考借鉴,希望可以帮助到有需要的朋友。
企业网络安全综合设计方案篇一
目:大连理工大学网络高等教育毕业论文
——网络安全设计
学习中心:xxx
层 次: 高中起点专科
专 业: 网络计算机
年 级: 200x年秋季 学 号: 200x106329xx
学 生: xx 指导教师: 孙晰锐 完成日期: 20xx年 0x月 1x 日
目录
1、网络安全问题………………………………………………3
2、设计的安全性………………………………………………3 可用性…………………………………………………………..3 机密性…………………………………………………………..3 完整性…………………………………………………………..3 可控性…………………………………………………………..3 可审查性………………………………………………………..3 访问控制………………………………………………………..3 数据加密………………………………………………………..3 安全审计………………………………………………………..3
3、安全设计方案………………………………………………5 设备选型………………………………………………………..5 网络安全………………………………………………………..7 访问控制………………………………………………………...9 入侵检测………………………………………………………..104、总结…………………………………………………………111、网络安全问题
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。
网络安全性可以被粗略地分为4个相互交织的部分:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来
2、设计的安全性
通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即,可用性: 授权实体有权访问数据
机密性: 信息不暴露给未授权实体或进程
完整性: 保证数据不被未授权修改
可控性: 控制授权范围内的信息流向及操作方式
可审查性:对出现的安全问题提供依据与手段
访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的lan或网段进行隔离,并实现相互的访问控制。
数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。
安全审计: 是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏
针对企业现阶段网络系统的网络结构和业务流程,结合企业今后进行的网络
化应用范围的拓展考虑,企业网主要的安全威胁和安全漏洞包括以下几方面:
(1)内部窃密和破坏
由于企业网络上同时接入了其它部门的网络系统,因此容易出现其它部门不怀好意的人员(或外部非法人员利用其它部门的计算机)通过网络进入内部网络,并进一步窃取和破坏其中的重要信息(如领导的网络帐号和口令、重要文件等),因此这种风险是必须采取措施进行防范的。
(2)搭线(网络)窃听
这种威胁是网络最容易发生的。攻击者可以采用如sniffer等网络协议分析工具,在internet网络安全的薄弱处进入internet,并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息)的内容。对企业网络系统来讲,由于存在跨越internet的内部通信(与上级、下级)这种威胁等级是相当高的,因此也是本方案考虑的重点。
(3)假冒
这种威胁既可能来自企业网内部用户,也可能来自internet内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户,诱骗其他用户或系统管理员,从而获得用户名/口令等敏感信息,进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。
(4)完整性破坏
这种威胁主要指信息在传输过程中或者存储期间被篡改或修改,使得信息/数据失去了原有的真实性,从而变得不可用或造成广泛的负面影响。由于xxx企业网内有许多重要信息,因此那些不怀好意的用户和非法用户就会通过网络对没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息,从而影响工作的正常进行。
(5)其它网络的攻击
企业网络系统是接入到internet上的,这样就有可能会遭到internet上黑客、恶意用户等的网络攻击,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等。因此这也是需要采取相应的安全措施进行防范。
(6)管理及操作人员缺乏安全知识
由于信息和网络技术发展迅猛,信息的应用和安全技术相对滞后,用户在引入和采用安全设备和系统时,缺乏全面和深入的培训和学习,对信息安全的重要性与技术认识不足,很容易使安全设备/系统成为摆设,不能使其发挥正确的作用。如本来对某些通信和操作需要限制,为了方便,设置成全开放状态等等,从而出现网络漏洞。
由于网络安全产品的技术含量大,因此,对操作管理人员的培训显得尤为重要。这样,使安全设备能够尽量发挥其作用,避免使用上的漏洞。
(7)雷击
由于网络系统中涉及很多的网络设备、终端、线路等,而这些都是通过通信电缆进行传输,因此极易受到雷击,造成连锁反应,使整个网络瘫痪,设备损坏,造成严重后果。因此,为避免遭受感应雷击的危害和静电干扰、电磁辐射干扰等引起的瞬间电压浪涌电压的损坏,有必要对整个网络系统采取相应的防雷措施。
3、网络安全设计方案
(1)网络拓扑结构图
设备选型
传统的组网已经不能满足现在网络应用的变化了,在组网的初期必须考虑到安全和网络的问题,考虑到这个问题我们就不能不考虑免疫网络的作用以及前景如何。
免疫网络——
免疫网络是企业信息网络的一种安全形式。“免疫”是生物医学的名词,它指的是人体所具有的“生理防御、自身稳定与免疫监视”的特定功能。
就像我们耳熟能详的电脑病毒一样,在电脑行业,“病毒”就是对医学名词形象的借用。同样,“免疫”也被借用于说明计算机网络的一种能力和作用。免疫就是让企业的内部网络也像人体一样具备“防御、稳定、监视”的功能。这样的网络就称之为免疫网络。
免疫网络的主要理念是自主防御和管理,它通过源头抑制、群防群控、全网联动使网络内每一个节点都具有安全功能,在面临攻击时调动各种安全资源进行应对。
它具有安全和网络功能融合、全网设备联动、可信接入、深度防御和控制、精细带宽管理、业务感知、全网监测评估等主要特征。下面让我们看看这几个特征的距离内容 安全和网络功能的融合
①网络架构的融合,主要包括网关和终端的融合
网关方面:arp先天免疫原理—nat表中添加源mac地址滤窗防火墙—封包检测,ip分片检查
udp洪水终端方面:驱动部分—免疫标记 ②网络协议的融合—行为特征和网络行为的融合 全网设备的联动
①驱动与运营中心的联动分收策略 ②驱动与驱动的联动ip地址冲突 ③网关和驱动的联动群防群控
④运营中心和网关的联动(外网攻击,上下线 可信接入
①mac地址的可信(类似于dna),生物身份 ②传输的可信(免疫标记)深度防御和控制
①深入到每个终端的网卡 深入到协议的最低层
深入到二级路由,多级路由器下 精细带宽管理
①身份精细—ip/mac的精确 ②位置精确—终端驱动 ③路径细分(特殊的ip)④流量去向(内,公网)⑤应用流控(qq,msn)业务感知
协议区分和应用感知
它与防火墙(fw)、入侵检测系统(ids)、防病毒等“老三样”组成的安全网络相比,突破了被动防御、边界防护的局限,着重从内网的角度解决攻击问题,应对目前网络攻击复杂性、多样性、更多从内网发起的趋势,更有效地解决网络威胁。
同时,安全和管理密不可分。免疫网络对基于可信身份的带宽管理、业务感知和控制,以及对全网安全问题和工作效能的监测、分析、统计、评估,保证了企业网络的可管可控,大大提高了通信效率和可靠性。
安全架构分析
根据企业网络现状及发展趋势,主要安全措施从以下几个方面进行考虑:
网络传输保护
主要是数据加密保护
主要网络安全隔离
通用措施是采用防火墙
网络病毒防护
采用网络防病毒系统
广域网接入部分的入侵检测
采用入侵检测系统
系统漏洞分析
采用漏洞分析设备
定期安全审计
主要包括两部分:内容审计和网络通信审计
重要数据的备份
重要信息点的防电磁泄露
网络安全结构的可伸缩性
包括安全设备的可伸缩性,即能根据用户的需要随时进行规模、功能扩展
网络防雷
(2)网络安全
作为企业应用业务系统的承载平台,网络系统的安全显得尤为重要。由于许多重要的信息都通过网络进行交换,网络传输
由于企业中心内部网络存在两套网络系统,其中一套为企业内部网络,主要运行的是内部办公、业务系统等;另一套是与internet相连,通过adsl接入,并与企业系统内部的上、下级机构网络相连。通过公共线路建立跨越internet的企业集团内部局域网,并通过网络进行数据交换、信息共享。而internet本身就缺乏有效的安全保护,如果不采取相应的安全措施,易受到来自网络上任意主机的监听而造成重要信息的泄密或非法篡改,产生严重的后果。
由于现在越来越多的政府、金融机构、企业等用户采用vpn技术来构建它们的跨越公共网络的内联网系统,因此在本解决方案中对网络传输安全部分推荐采用vpn设备来构建内联网。可在每级管理域内设置一套vpn设备,由vpn设备实现网络传输的加密保护。根据企业三级网络结构,vpn设置如下图所示:
图为三级 vpn设置拓扑图
每一级的设置及管理方法相同。即在每一级的中心网络安装一台vpn设备和一台vpn认证服务器(vpn-ca),在所属的直属单位的网络接入处安装一台vpn设备,由上级的vpn认证服务器通过网络对下一级的vpn设备进行集中统一的网络化管理。可达到以下几个目的:
网络传输数据保护
由安装在网络上的vpn设备实现各内部网络之间的数据传输加密保护,并可同时采取加密或隧道的方式进行传输
网络隔离保护
与internet进行隔离,控制内网与internet的相互访问
集中统一管理,提高网络安全性
降低成本(设备成本和维护成本)
其中,在各级中心网络的vpn设备设置如下图:
图为中心网络vpn设置图
由一台vpn管理机对ca、中心vpn设备、分支机构vpn设备进行统一网络管理。将对外服务器放置于vpn设备的dmz口与内部网络进行隔离,禁止外网直接访问内网,控制内网的对外访问、记录日志。这样即使服务器被攻破,内部网络仍然安全。
下级单位的vpn设备放置如下图所示:
图为下级单位vpn设置图
从图可知,下属机构的vpn设备放置于内部网络与路由器之间,其配置、管理由上级机构通过网络实现,下属机构不需要做任何的管理,仅需要检查是否通电即可。由于安全设备属于特殊的网络设备,其维护、管理需要相应的专业人员,而采取这种管理方式以后,就可以降低下属机构的维护成本和对专业技术人员的要求,这对有着庞大下属、分支机构的单位来讲将是一笔不小的费用。
由于网络安全的是一个综合的系统工程,是由许多因素决定的,而不是仅仅采用高档的安全产品就能解决,因此对安全设备的管理就显得尤为重要。由于一般的安全产品在管理上是各自管理,因而很容易因为某个设备的设置不当,而使整个网络出现重大的安全隐患。而用户的技术人员往往不可能都是专业的,因此,容易出现上述现象;同时,每个维护人员的水平也有差异,容易出现相互配置上的错误使网络中断。所以,在安全设备的选择上应当选择可以进行网络化集中管理的设备,这样,由少量的专业人员对主要安全设备进行管理、配置,提高整体网络的安全性和稳定性。
(3)访问控制
由于企业广域网网络部分通过公共网络建立,其在网络上必定会受到来自internet上许多非法用户的攻击和访问,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等,因此,采取相应的安全措施是必不可少的。通常,对网络的访问控制最成熟的是采用防火墙技术来实现的,本方案中选择带防火墙功能的vpn设备来实现网络安全隔离,可满足以下几个方面的要求:
控制外部合法用户对内部网络的网络访问;
控制外部合法用户对服务器的访问;
禁止外部非法用户对内部网络的访问;
控制内部用户对外部网络的网络;
阻止外部用户对内部的网络攻击;
防止内部主机的ip欺骗;
对外隐藏内部ip地址和网络拓扑结构;
网络监控;
网络日志审计;
详细配置拓扑图见图
由于采用防火墙、vpn技术融为一体的安全设备,并采取网络化的统一管理,因此具有以下几个方面的优点:
管理、维护简单、方便;
安全性高(可有效降低在安全设备使用上的配置漏洞);
硬件成本和维护成本低;
网络运行的稳定性更高
由于是采用一体化设备,比之传统解决方案中采用防火墙和加密机两个设备而言,其稳定性更高,故障率更低。
(4)入侵检测
网络安全不可能完全依靠单一产品来实现,网络安全是个整体的,必须配相应的安全产品。
作为必要的补充,入侵检测系统(ids)可与安全vpn系统形成互补。
入侵检测系统是根据已有的、最新的和可预见的攻击手段的信息代码对进出网络的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送e-mail)。
从而防止针对网络的攻击与犯罪行为。
入侵检测系统一般包括控制台和探测器(网络引擎)。
控制台用作制定及管理所有探测器(网络引擎)。
探测器(网络引擎)用作监听进出网络的访问行为,根据控制台的指令执行相应行为。
由于探测器采取的是监听而不是过滤数据包,因此,入侵检测系统的应用不会对网络系统性能造成多大影响。
入侵检测系统的设置如下图:
从上图可知,入侵检测仪在网络接如上与vpn设备并接使用。入侵检测仪在使用上是独立网络使用的,网络数据全部通过vpn设备,而入侵检测设备在网络上进行疹听,监控网络状况,一旦发现攻击行为将通过报警、通知vpn设备中断网络(即ids与vpn联动功能)等方式进行控制(即安全设备自适应机制),最后将攻击行为进行日志记录以供以后审查。
4、总结
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
企业网络安全综合设计方案篇二
[摘要] 计算机网络安全建设是涉及我国经济发展、社会发展和国家安全的重大问题。本文结合网络安全建设的全面信息,在对网络系统详细的需求分析基础上,依照计算机网络安全设计目标和计算机网络安全系统的总体规划,设计了一个完整的、立体的、多层次的网络安全防御体系。
[关键词] 网络安全方案设计实现
一、计算机网络安全方案设计与实现概述
影响网络安全的因素很多,全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术,等等。为了保护网络系统的安全,行整合,建立一个完整的、立体的、解决方案,可以防止安全风险的各个方面的问题。
二、计算机网络安全方案设计并实现
1.桌面安全系统
用户的重要信息都是以文件的形式存储在磁盘上,这样可以提高办公的效率,动办公的情况更是如此。件泄密等安全隐患。
本设计方案采用清华紫光公司出品的紫光信息安全保护系统”的商品名称。紫光算协处理器(cau)、只读存储器(储器(e2prom)等,以及固化在tem)、硬件id号、各种密钥和加密算法等。紫光artcos,其安全模块可防止非法数据的侵入和数据的篡改,2.病毒防护系统
基于单位目前网络的现状,在网络中添加一台服务器,用于安装必须结合网络的具体需求,将多种安全措施进多层次的网络安全防御体系,ss锁的内部集成了包括中央处理器(rom),随机存储器(rom内部的芯片操作系统这样一个全面的网络安全使用户可以方便地存取、修改、分发。造成泄密。特别是对于移防止文“紫光s锁”是清华紫光“桌面计算机cpu)、加密运ram)、电可擦除可编程只读存cos(chip operating syss锁采用了通过中国人民银行认证的sm防止非法软件对s锁进行操作。imss。
保护网络安全的技术、手段也很多。一般来说,保护网络安但同时也造成用户的信息易受到攻击,因此,需要对移动用户的文件及文件夹进行本地安全管理,锁产品,(1)邮件防毒。采用趋势科技的scanmail for notes。该产品可以和domino的群件服务器无缝相结合并内嵌到notes的数据库中,可防止病毒入侵到lotuenotes的数据库及电子邮件,实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何notes工作站或web界面远程控管防毒管理工作,并提供实时监控病毒流量的活动记录报告。scanmail是notes domino server使用率最高的防病毒软件。
(2)服务器防毒。
采用趋势科技的serverprotect。
该产品的最大特点是内含集中管理的概念,防毒模块和管理模块可分开安装。
一方面使所有服务器的防毒系统可以从单点进行部署,管理和更新。
(3)客户端防毒。
采用趋势科技的使管理者通过单点控制所有客户机上的防毒模块,更新。
其最大特点是拥有灵活的产品集中部署方式,不受支持sms,登录域脚本,共享安装以外,还支持纯(4)集中控管tvcs。
管理员可以通过此工具在整个趋势科技的防病毒软件,支持跨域和跨网段的管理,无论运行于何种平台和位置,装和分发代理部署,网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报,给管理带来极大的便利。
3.动态口令身份认证系统动态口令系统在国际公开的密码算法基础上,通过十次以上的非线性迭代运算,先进的身份认证及加解密流程、先进的密钥管理方式,从整体上保证了系统的安全性。
4.访问控制“防火墙。
单位安全网由多个具有不同安全信任度的网络部分构成,访问、辨别身份伪装等方面存在着很大的缺陷,方案选用四台网御防火墙,这些重要部门的访问控制。通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙,过防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段,保护了单位网络服务器,使其不受来自内部的攻击,来自单位网内部其他部门的网络的攻击。一方面减少了整个防毒系统对原系统的影响,另
officescan。该产品作为网络版的客户端防毒系统,并可以自动对所有客户端的防毒模块进行windows域管理模式的约束,除web的部署方式。
企业范围内进行配置、监视和维护并能显示基于服务器的防病毒产品状态。tvcs在整个网络中总起一个单一管理控制台作用。简便的安
结合生成动态口令的特点,加以精心修改,完成时间参数与密钥充分的混合扩散。在此基础上,采用在控制不可信连接、分辨非法从而构成了对网络安全的重要隐患。本设计实现通彼此隔离。这样不仅也保护了各部门网络和数据服务器不受如果有人闯进您的一个部门,或者如果病毒开始蔓
分别配置在高性能服务器和三个重要部门的局域网出入口,延,网段能够限制造成的损坏进一步扩大。5.信息加密、信息完整性校验
为有效解决办公区之间信息的传输安全,可以在多个子网之间建立起独立的安全通道,通过严格的加密和认证措施来保证通道中传送的数据的完整性、真实性和私有性。
sjw-22网络密码机系统组成网络密码机(硬件):是一个基于专用内核,具有自主版权的高级通信保护控制系统。
本地管理器(软件)络密码机本地管理系统软件。
中心管理器(软件)机设备进行统一管理的系统软件。
6.安全审计系统根据以上多层次安全防范的策略,安全网的安全建设可采取的方法,“内审息是否泄密,以解决内层安全。
安全审计系统能帮助用户对安全网的安全进行实时监控,及时发现整个网络上的动态,发现网络入侵和违规行为,重要的一种手段,安全审计系统包括识别、记录、存储、分析与安全相关行为有关的信息。
在安全网中使用的安全审计系统应实现如下功能:成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。本设计方案选用汉邦安全审计系统是针对目前网络发展现状及存在的安全问题,人员而设计的一套网络安全产品,制系统。
(1)安全审计系统由安全监控中心和主机传感器两个部分构成。主机传感器安装在要监视的目标主机上,其监视目标主机的人机界面操作、监控及共享资源的使用情况。心为主机传感器设定监控规则,文件保护审计和主机信息审计。①文件保护审计::是一个安装于密码机本地管理平台上的基于网络或串口方式的网
:是一个安装于中心管理平台(忠实记录网络上发生的一切,”的安全审计系统作为安全审计工具。是一个分布在整个安全网范围内的网络安全监视监测、同时获得监控结果、windows系统)上的对全网的密码“加密”、“外防”、“内审”相结合提供取证手段。作为网络安全十分安全审计数据生
面向企事业的网络管理控ras连接、监控网络连接情况网络管理员通过安全监控中主要功能有
”是对系统内部进行监视、审查,识别系统是否正在受到攻击以及内部机密信安全审计自动响应、“汉邦软科安全监控中心是管理平台和监控平台,报警信息以及日志的审计。文件保护安装在审计中心,可有效的对被审计主机端的文件进行管理
规则设置,包括禁止读、禁止写、禁止删除、禁止修改属性、禁止重命名、记录日志、提供报警等功能。以及对文件保护进行用户管理。
②主机信息审计:对网络内公共资源中,所有主机进行审计,可以审计到主机的机器名、当前用户、操作系统类型、ip地址信息。
(2)资源监控系统主要有四类功能。①监视屏幕:在用户指定的时间段内,系统自动每隔数秒或数分截获一次屏幕;用户实时控制屏幕截获的开始和结束。
②监视键盘:在用户指定的时间段内,截获户实时控制键盘截获的开始和结束。③监测监控ras连接:在用户指定的时间段内,记录所有的时控制ass连接信息截获的开始和结束。当连接的操作。
④监测监控网络连接:在用户指定的时间段内,记录所有的网络连接信息udp,netbios)。用户实时控制网络连接信息截获的开始和结束。由用户指定非法的网络连接列表,当出现非法连接时,系统将自动进行报警或挂断连接的操作。单位内网中安全审计系统采集的数据来源于安全传感器,保证探头能够采集进出网络的所有数据。上,负责为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。内网中的安全计算机为600台,需要安装7.入侵检测系统ids
入侵检测作为一种积极主动的安全防护技术,实时保护,在网络系统受到危害之前拦截和响应入侵。的角度出发,入侵检测理应受到人们的高度重视,可以看出。
根据网络流量和保护数据的重要程度,选择的交换机处放置,核心交换机放置控制台,和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。在单位安全内网中,入侵检测系统运行于有敏感数据的几个要害部门子网和其他部门子网之间,通过实时截取网络上的是数据流,他网络违规活动。8.漏洞扫描系统
本内网网络的安全性决定了整个系统的安全性。患扫描i型联动型产品。i型联动型产品适用于该内网这样的高端用户,持式扫描仪和机架型扫描服务器结合一体,网管人员就可以很方便的实现了集中管理的功能。网络人员使用i型联动型产品,程较高的扫描速度的扫描,可以实现和策略。同时移动式扫描仪可以跨越网段、支持定时和多ip地址的自动扫描,网管人员可以很轻松的就可以进行整个网络的扫描,根据系统提供的扫描报告,配合我们提供的三级服务体系,高了工作效率。
联动扫描系统支持多线程扫描,网管人员可以很轻松的对自己的网络进行扫描和漏洞的弥补。
同时提供了host sensor programgas连接非法时,系统将自动进行报警或挂断计算机,所以应在安全计算机安装主机安全监控中心安装在信息中心的一台主机600个传感器。
提供了对内部攻击、从网络安全的立体纵深、这从国际入侵检测产品市场的蓬勃ids探测器(百兆)配置在内部关键子网监控和管理所有的探测器因此提供了对内部攻击分析网络通讯会话轨迹,在内网高性能服务器处配置一台网络隐200信息点以上的多个网络进行多线ids、防火墙联动,尤其适合于制定全网统一的安全穿透防火墙,实现分布式扫描,服务器和扫描仪都大大的减轻了工作负担,支持定时和多ras连接信息。
用户实(外部攻击和误操作的 寻找网络攻击模式和其i型联动型产品由手ip地址的自动扫描,web,单位发展就用户的所有键盘输入,。
包括:tcp多层次防御 就可以很方便的对极大的提有较高的扫描速度,方式的远程
管理,网管不需要改变如何的网络拓扑结构和添加其他的应用程序就可以轻轻松松的保证了网络的安全性。另外对于信息点少、网络环境变化大的内网配置网络隐患扫描ii型移动式扫描仪。移动式扫描仪使用灵活,可以跨越网段、穿透防火墙,对重点的服务器和网络设备直接扫描防护,这样保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能地消除安全隐患。
在防火墙处部署联动扫描系统,在部门交换机处部署移动式扫描仪,实现放火墙、联动扫描系统和移动式扫描仪之间的联动,保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能的消除安全隐患,尽可能早地发现安全漏洞并进行修补,优化资源,提高网络的运行效率和安全性。
三、结束语
随着网络应用的深入普及,网络安全越来越重要,有了更高的要求。一个特定系统的网络安全方案,系统的实际应用而做。由于各个系统的应用不同,化为一个模式,用这个模子去套所有的信息系统。本文根据网络安全系统设计的总体规划控制、信息加密、信息完整性校验、抗抵赖、安全审计、入侵检测、漏洞扫描等方面安全技术和管理措施设计出一整套解决方案,目的是建立一个完整的、防御体系。
论文参考
国家和企业都对建立一个安全的网络应建立在对网络风险分析的基础上,结合不能简单地把信息系统的网络安全方案固,从桌面系统安全、病毒防护、身份鉴别、访问立体的、多层次的网络安全
企业网络安全综合设计方案篇三
编号:abs20160501
企业网络设计方案
关键字:网络,安全,vpn,防火墙,防病毒
班 级:ay 姓 名:ay 日 期:2016-05-19
目 录
摘 要..........................................................3 第一章 企业网络安全概述........................................4 1.1 企业网络的主要安全隐患...................................4 1.2 企业网络的安全误区.......................................4 第二章 企业网络安全现状分析...................................6 2.1 公司背景.................................................6 2.2 企业网络安全需求.........................................6 2.3 需求分析.................................................6 2.4 企业网络结构.............................................7 第三章 企业网络安全解决实施....................................9 3.1物理安全..................................................9 3.2企业网络接入配置.........................................10 3.3网络防火墙配置...........................................13 3.4配置验证查看.............................................21 3.5网络防病毒措施...........................................24 总 结........................................................2。
摘 要
近几年来,internet技术日趋成熟,已经开始了从以提供和保证网络联通性为主要目标的第一代internet技术向以提供网络数据信息服务为特征的第二代internet技术的过渡。
这些都促使了计算机网络互联技术迅速的大规模使用。
众所周知,作为全球使用范围最大的信息网,internet自身协议的开放性极大地方便了各种计算机连网,拓宽了共享资源。
但是,由于在早期网络协议设计上对安全问题的忽视,以及在管理和使用上的无政府状态,逐渐使internet自身安全受到严重威胁,与它有关的安全事故屡有发生。
网络安全的威胁主要表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。
因此本论文为企业构架网络安全体系,主要运用vlan划分、防火墙技术、vpn、病毒防护等技术,来实现企业的网络安全。
第一章 企业网络安全概述
1.1 企业网络的主要安全隐患
现在网络安全系统所要防范的不再仅是病毒感染,更多的是基于网络的非法入侵、攻击和访问,同时企业网络安全隐患的来源有内、外网之分,很多情况下内部网络安全威胁要远远大于外部网络,因为内部中实施入侵和攻击更加容易,企业网络安全威胁的主要来源主要包括。
1)病毒、木马和恶意软件的入侵。2)网络黑客的攻击。
3)重要文件或邮件的非法窃取、访问与操作。4)关键部门的非法访问和敏感信息外泄。5)外网的非法入侵。
6)备份数据和存储媒体的损坏、丢失。
针对这些安全隐患,所采取的安全策略可以通过安装专业的网络版病毒防护系统,同时也要加强内部网络的安全管理,配置好防火墙过滤策略和系统本身的各项安全措施,及时安装系统安全补丁,有条件的还可以在内、外网之间安装网络扫描检测、网络嗅探器、ids、ips系统,甚至配置网络安全隔离系统,对内、外网络进行安全隔离;加强内部网络的安全管理,严格实行“最小权限”原则,为各个用户配置好恰当的用户权限;同时对一些敏感数据进行加密保护,对数据还可以进行数字签名措施;根据企业实际需要配置好相应的数据策略,并按策略认真执行。
1.2 企业网络的安全误区
(一)安装防火墙就安全了
防火墙主要工作都是控制存取与过滤封包,所以对dos攻击、非法存取与篡改封包等攻击模式的防范极为有效,可以提供网络周边的安全防护。但如果攻击行为不经过防火墙,或是将应用层的攻击程序隐藏在正常的封包内,便力不从心了,许多防火墙只是工作在网络层。
防火墙的原理是“防外不防内”,对内部网络的访问不进行任何阻挠,而事实上,企业网络安全事件绝大部分还是源于企业内部。
(二)安装了最新的杀毒软件就不怕病毒了
安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒,但这并不能保证就没有病毒入侵了,因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现。
(三)在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效
网络版杀毒软件核心就是集中的网络防毒系统管理。网络版杀毒软件可以在一台服务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、监控整个网络的病毒。同时对于整个网络,管理非常方便,对于单机版是不可能做到的。
(四)只要不上网就不会中毒
虽然不少病毒是通过网页传播的,但像qq聊天接发邮件同样是病毒传播的主要途径,而且盗版光盘以及u盘等也会存在着病毒。所以只要计算机开着,就要防范病毒。
(五)文件设置只读就可以避免感染病毒
设置只读只是调用系统的几个命令,而病毒或黑客程序也可以做到这一点,设置只读并不能有效防毒,不过在局域网中为了共享安全,放置误删除,还是比较有用的。
(六)网络安全主要来自外部
基于内部的网络攻击更加容易,不需要借助于其他的网络连接方式,就可以直接在内部网络中实施攻击。所以,加强内部网络安全管理,特别是用户帐户管理,如帐户密码、临时帐户、过期帐户和权限等方面的管理非常必要了。
第二章 企业网络安全现状分析
2.1 公司背景
xx科技有限公司是一家有100名员工的中小型科技公司,主要以软件应用开发为主营项目的软件企业。公司有一个局域网,约100台计算机,服务器的操作系统是 windows server 2008,客户机的操作系统是 windows 7,在工作组的模式下一人一机办公。公司对网络的依赖性很强,主要业务都要涉及互联网以及内部网络。随着公司的发展现有的网络安全已经不能满足公司的需要,因此构建健全的网络安全体系是当前的重中之重。
2.2 企业网络安全需求
xx科技有限公司根据业务发展需求,建设一个小型的企业网,有web、mail等服务器和办公区客户机。企业分为财务部门和业务部门,需要他们之间相互隔离。同时由于考虑到inteneter的安全性,以及网络安全等一些因素,如ddos、arp等。因此本企业的网络安全构架要求如下:
(1)根据公司现有的网络设备组网规划(2)保护网络系统的可用性(3)保护网络系统服务的连续性
(4)防范网络资源的非法访问及非授权访问(5)防范入侵者的恶意攻击与破坏
(6)保护企业信息通过网上传输过程中的机密性、完整性(7)防范病毒的侵害(8)实现网络的安全管理。
2.3 需求分析
通过了解xx科技有限公司的需求与现状,为实现xx科技有限公司的网络安全建设实施网络系统改造,提高企业网络系统运行的稳定性,保证企业各种设计信息的安全性,避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护,记录用户对客户端计算机中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用情况进行追踪,防范外来计算机的侵入而造成破坏。通过网络的改造,使管理
者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要
(1)构建良好的环境确保企业物理设备的安全(2)划分vlan控制内网安全(3)安装防火墙体系
(4)建立vpn(虚拟专用网络)确保数据安全(5)安装防病毒服务器(6)加强企业对网络资源的管理
2.4 企业网络结构
网络拓扑图,如下图所示:
总部网络情况:
防火墙fw1作为出口nat设备,从网络运营商处获得接入固定ip为202.10.1.2/30,网关ip为202.10.1.1/30,经由防火墙分为dmz区域和trust区域。
防火墙上fw1做nat转换。分配给trust区域的地址为10.1.1.0 /24,通过fw1上ge0/0/0端口连接网络,接口地址为10.1.1.1/24。dmz内主要有各类的服务器,地址分配为10.1.2.0 /24。通过fw1上ge0/0/1端口连接网络,接口地址为10.1.2.1 /24。
建立ipsec隧道,使总部和分支可以互访。
分部网络情况:
防火墙fw2作为出口nat设备,从网络运营商处获得接入固定ip为202.20.1.2/30,网关ip为202.20.1.1/30。通过fw1上ge0/0/1端口连接内部网络,接口地址为10.1.1.1/24。
建立ipsec隧道,使分部和总部可以互访。
第三章 企业网络安全解决实施
3.1物理安全
企业网络中保护网络设备的物理安全是其整个计算机网络系统安全的前提,物理安全是指保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏。
针对网络的物理安全主要考虑的问题是环境、场地和设备的安全及物理访问控制和应急处置计划等。物理安全在整个计算机网络信息系统安全中占有重要地位。它主要包括以下几个方面: 1)保证机房环境安全
信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最基本的环境。要从一下三个方面考虑:a.自然灾害、物理损坏和设备故障 b.电磁辐射、乘机而入、痕迹泄漏等 c.操作失误、意外疏漏等 2)选用合适的传输介质
屏蔽式双绞线的抗干扰能力更强,且要求必须配有支持屏蔽功能的连接器件和要求介质有良好的接地(最好多处接地),对于干扰严重的区域应使用屏蔽式双绞线,并将其放在金属管内以增强抗干扰能力。
光纤是超长距离和高容量传输系统最有效的途径,从传输特性等分析,无论何种光纤都有传输频带宽、速率高、传输损耗低、传输距离远、抗雷电和电磁的干扰性好保密性好,不易被窃听或被截获数据、传输的误码率很低,可靠性高,体积小和重量轻等特点。与双绞线或同轴电缆不同的是光纤不辐射能量,能够有效地阻止窃听。3)保证供电安全可靠
计算机和网络主干设备对交流电源的质量要求十分严格,对交流电的电压和频率,对电源波形的正弦性,对三相电源的对称性,对供电的连续性、可靠性稳定性和抗干扰性等各项指标,都要求保持在允许偏差范围内。机房的供配电系统设计既要满足设备自身运转的要求,又要满足网络应用的要求,必须做到保证网络系统运行的可靠性,保证设备的设计寿命保证信息安全保证机房人员的工作环境。
3.2企业网络接入配置
vlan技术能有效隔离局域网,防止网内的攻击,所以部署网络中按部门进行了vlan划分,划分为以下两个vlan:
业务部门 vlan 10
交换机sw1接入核心交换机 财务部门 vlan 20
交换机sw2接入核心交换机 核心交换机 vlan间路由 核心交换机hsw1 核心交换机hsw1配置步骤: 1)建立vlan 10 20 100 2)ge0/0/1加入vlan10, ge0/0/2加入vlan30, ge0/0/24加入vlan100 3)建立svi并配置相应ip地址: vlanif10:192.168.1.1/24 vlanif20:192.168.2.1/24 vlanif100:10.1.1.2/24 4)配置rip路由协议:
network 192.168.1.0 network 192.168.2.0 network 10.1.1.0 5)配置acl拒绝其它部门对财务部访问,outbound→ge0/0/2。
详细配置:
# sysname hsw1 # info-center source ds channel 0 log state off trap state off # vlan batch 10 20 100 # cluster enable ntdp enable ndp enable # drop illegal-mac alarm # dhcp enable # diffserv domain default
# acl number 3001 rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 15 deny ip source 20.0.0.0 0.255.255.255 destination 192.168.2.0 0.0.0.255 # traffic classifier tc1 operator and if-match acl 3001 # traffic behavior tb1 deny # traffic policy tp1 classifier tc1 behavior tb1 # drop-profile default # ip pool qqww gateway-list 192.168.1.1 network 192.168.1.0 mask 255.255.255.0 excluded-ip-address 192.168.1.254 # ip pool vlan20 gateway-list 192.168.2.1 network 192.168.2.0 mask 255.255.255.0 excluded-ip-address 192.168.2.200 192.168.2.254 # aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password simple admin local-user admin service-type http # interface vlanif1 # interface vlanif10 ip address 192.168.1.1 255.255.255.0 dhcp select global # interface vlanif20 ip address 192.168.2.1 255.255.255.0 dhcp select globa。
# interface vlanif100 ip address 10.1.1.2 255.255.255.0 # interface meth0/0/1 # interface gigabitethernet0/0/1 port link-type access port default vlan 10 # interface gigabitethernet0/0/2 port link-type access port default vlan 20 traffic-policy tp1 outbound # interface gigabitethernet0/0/3 # interface gigabitethernet0/0/4 # interface gigabitethernet0/0/5 # interface gigabitethernet0/0/6 # interface gigabitethernet0/0/7 # interface gigabitethernet0/0/8 # interface gigabitethernet0/0/9 # interface gigabitethernet0/0/10 # interface gigabitethernet0/0/11 # interface gigabitethernet0/0/12 # interface gigabitethernet0/0/13 # interface gigabitethernet0/0/14 # interface gigabitethernet0/0/15 # interface gigabitethernet0/0/16 # interface gigabitethernet0/0/17 # interface gigabitethernet0/0/1。
# interface gigabitethernet0/0/19 # interface gigabitethernet0/0/20 # interface gigabitethernet0/0/21 # interface gigabitethernet0/0/22 # interface gigabitethernet0/0/23 # interface gigabitethernet0/0/24 port link-type access port default vlan 100 # interface null0 # rip 1 version 2 network 192.168.1.0 network 192.168.2.0 network 10.0.0.0 # ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 # user-interface con 0 user-interface vty 0 4 # port-group de # return 3.3网络防火墙配。
防火墙fw1基本配置步骤:
1)配置ge0/0/0的ip地址10.1.1.1/24,并加入trust区域;
配置ge0/0/1的ip地址10.1.2.1/24,并加入dmz区域;
配置ge0/0/2的ip地址202.10.1.2/30,并加入untrust区域;
2)配置允许安全区域间包过滤。3)配置rip路由协议:
network 10.0.0.0 network 202.10.1.0
4)配置nat,出口ge0/0/2。
5)配置总部至分部的点到点ipsce隧道:
配置acl,匹配ipsec流量 配置ipsec安全提议1 配置ike安全提议 配置ike peer 配置ipsec安全策略 在接口ge 0/0/2上应用策略
详细配置:
# cli_version=v300r001
# last configuration was changed at 2016/05/18 16:22:21 from console0 #*****begin****public****# # stp region-configuration region-name b05fe31530c0 active region-configuration # acl number 3002 rule 5 permit ip source 192.168.0.0 0.0.255.255 destination 20.1.0.0 0.0.255.255 rule 10 permit ip source 10.1.0.0 0.0.255.255 destination 20.1.0.0 0.0.255.255 # ike proposal 1 # ike peer 1 exchange-mode aggressive pre-shared-key %$%$upiwvoh!8>qmd(cfw@>f+,#w%$%$ ike-proposal 1 remote-address 202.20.1.2 # ipsec proposal 1 # ipsec policy map 1 isakmp security acl 3002 ike-peer 1 proposal 1 # interface gigabitethernet0/0/0 alias ge0/mgm。
ip address 10.1.1.1 255.255.255.0 # interface gigabitethernet0/0/1 ip address 10.1.2.1 255.255.255.0 # interface gigabitethernet0/0/2 ip address 202.10.1.2 255.255.255.252 ipsec policy map # interface gigabitethernet0/0/3 # interface gigabitethernet0/0/4 # interface gigabitethernet0/0/5 # interface gigabitethernet0/0/6 # interface gigabitethernet0/0/7 # interface gigabitethernet0/0/8 # interface null0 alias null0 # firewall zone local set priority 100 # firewall zone trust set priority 85 add interface gigabitethernet0/0/0 # firewall zone untrust set priority 5 add interface gigabitethernet0/0/2 # firewall zone dmz set priority 50 add interface gigabitethernet0/0/1 # aaa local-user admin password cipher %$%$i$6`rbf34,paqv9b&7i4*“vm%$%$ local-user admin service-type web terminal telnet local-user admin level 15 authentication-scheme default # authorization-scheme defaul。
# accounting-scheme default # domain default # # rip 1 version 2 network 10.0.0.0 network 202.10.1.0 # nqa-jitter tag-version 1 # banner enable # user-interface con 0 authentication-mode none user-interface vty 0 4 authentication-mode none protocol inbound all # slb # right-manager server-group # sysname fw1 # l2tp domain suffix-separator @ # firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction outbound # ip df-unreachables enable # firewall ipv6 session link-state check firewall ipv6 statistic system enable # dns resolve 。
firewall statistic system enable # pki ocsp response cache refresh interval 0 pki ocsp response cache number 0 # undo dns proxy # license-server domain # web-manager enable # policy interzone local untrust inbound policy 1 action permit # policy interzone local dmz inbound policy 1 action permit # policy interzone trust untrust inbound policy 1 action permit # policy interzone trust untrust outbound policy 1 action permit # policy interzone trust dmz inbound policy 1 action permit # policy interzone trust dmz outbound policy 1 action permit # nat-policy interzone trust untrust outbound policy 1 action source-nat policy source 192.168.0.0 0.0.255.255 policy source 10.1.0.0 0.0.255.255 easy-ip gigabitethernet0/0/2 # return #-----end----。
防火墙fw2基本配置步骤如下:
1)配置ge0/0/0的ip地址202.20.1.2/30,并加入untrust区域;
配置ge0/0/1的ip地址20.1.1.1/24,并加入trust区域;
2)配置允许安全区域间包过滤。3)配置rip路由协议:
network 20.0.0.0 network 202.10.1.0 4)配置nat,出口ge0/0/0。
5)配置分部至总部的点到点ipsce隧道:
配置acl,匹配ipsec流量 配置ipsec安全提议1 配置ike安全提议 配置ike peer 配置ipsec安全策略 在接口ge 0/0/2上应用策略
详细配置:
# cli_version=v300r001 # last configuration was changed at 2016/05/18 16:22:59 from console0 #*****begin****public****# # stp region-configuration region-name 405fd915c0bf active region-configuration # acl number 3002 rule 5 permit ip source 20.1.0.0 0.0.255.255 destination 10.1.0.0 0.0.255.255 rule 10 permit ip source 20.1.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255 # ike proposal 1 # ike peer 1 exchange-mode aggressive pre-shared-key %$%$;3c|#{7es#ud2ws|”x<6+=4+%$%$ ike-proposal 1 remote-address 202.10.1.2 。
ipsec proposal 1 # ipsec policy map 1 isakmp security acl 3002 ike-peer 1 proposal 1 # interface gigabitethernet0/0/0 alias ge0/mgmt ip address 202.20.1.2 255.255.255.252 ipsec policy map # interface gigabitethernet0/0/1 ip address 20.1.1.1 255.255.255.0 # interface gigabitethernet0/0/2 # interface gigabitethernet0/0/3 # interface gigabitethernet0/0/4 # interface gigabitethernet0/0/5 # interface gigabitethernet0/0/6 # interface gigabitethernet0/0/7 # interface gigabitethernet0/0/8 # interface null0 alias null0 # firewall zone local set priority 100 # firewall zone trust set priority 85 add interface gigabitethernet0/0/1 # firewall zone untrust set priority 5 add interface gigabitethernet0/0/0 # firewall zone dmz set priority 50 。
aaa local-user admin password cipher %$%$dj“t@”dxqh@383<@pql#*~6-%$%$ local-user admin service-type web terminal telnet local-user admin level 15 authentication-scheme default # authorization-scheme default # accounting-scheme default # domain default # # rip 1 version 2 network 202.20.1.0 network 20.0.0.0 # nqa-jitter tag-version 1 # banner enable # user-interface con 0 authentication-mode none user-interface vty 0 4 authentication-mode none protocol inbound all # slb # right-manager server-group # sysname fw2 # l2tp domain suffix-separator @ # firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction outbound 。
ip df-unreachables enable # firewall ipv6 session link-state check firewall ipv6 statistic system enable # dns resolve # firewall statistic system enable # pki ocsp response cache refresh interval 0 pki ocsp response cache number 0 # undo dns proxy # license-server domain # web-manager enable # policy interzone local untrust inbound policy 1 action permit # policy interzone local dmz inbound policy 1 action permit # policy interzone trust untrust inbound policy 1 action permit # policy interzone trust untrust outbound policy 1 action permit # return #-----end----# 3.4配置验证查。
验证路由:
连通性测试
分部网络至总部业务部网络正常连通,至服务器网络正常连通:
分部网络至总部财务部网络不能到达:
3.5网络防病毒措施
针对网络的现状,在综合考虑了公司对防病毒系统的性能要求、成本和安全性以后,我选用瑞星杀毒软件网络版来在内网中进行防病毒系统的建立。产品特点: 瑞星杀毒软件网络版是为各种简单或复杂网络环境设计的计算机病毒网络防护系统,即适用于包含若干台主机的单一网段网络,也适用于包含各种web服务器、邮件服务器、应用服务器,以及分布在不同城市,包含数十万台主机的超大型网络。网络版具有以下显著特点:
(1)先进的体系结构(2)超强的杀毒能力(3)完备的远程控制(4)方便的分级、分组管理
网络瑞星杀毒软件网络版的主控制中心部署在dmz服务器区,子控制中心部署在核心层交换机的一台服务器上。
控制中心负责整个网络版的管理与控制,是整个网络版的核心,在部署网络时,必须首先安装。除了对网络中的计算机进行日常的管理与控制外,它还实时地记录着 网络版防护体系内每台计算机上的病毒监控、查杀病毒和升级等信息。在1个网段内仅允许安装1台控制中心。根据控制中心所处的网段的不同,可以将控制中心划分为主控制中心和子控制中心,子控制中心除了要 完成控制中心的功能外,还要负责与它的上级——主控制中心进行通信。这里的“主”和“子”是一个 相对的概念:每个控制中心对于它的下级的网段来说都是主控制中心,对于它的上级的网段来说又是子控制中心,这种控制结构可以根据网络的需要无限的延伸下去。
为企业网络安装好网络版杀毒软件后,为期配置软件的安全策略。对企业客户端计算机的软件实现更为完善的远程控制功能,利用软件控制中心的“策略设置”功能组来实现。在此功能中可以针对单一客户端、逻辑组、全网进行具有针对性的安全策略设置。在“策略设置”下拉菜单中,我们可以找到“扫描设置”、“反垃圾邮件”、“网址过滤”等与平时安全应用密切相关的各项应用配置选项。
为企业网络 网络版杀毒软件配置“扫描设置”,扫描设置可对当前选择的任意组或者任意节点的客户端进行更加细化的扫描设置。企业可以自己设定适合于自己网络环境的扫描方案,针对不同的策略对不同的客户端进行分发不同的扫描命令。可以下发以下命令到节点计算机:扫描目标,定时扫描,分类扫描,不扫描文件夹,扫描报告,简单而实用的设置页大大的增加了网络管理的易用性。
总 结
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
本论文从企业角度描述了网络安全的解决方案,目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏。比如防火墙,认证,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方面的网络安全问题的解决,可以使读者有对网络安全技术的更深刻的了解。
企业网络安全综合设计方案篇四
某校园网方案.........................................................2 网络防火墙设计中的问题..............................................17 如何构建网络整体安全方案............................................25 四台cisco防火墙实现vpn网络........................................31 企业级防火墙选购热点................................................35 增强路由器安全的十个技巧............................................38 启明星辰银行安全防御方案............................................39 神码基金公司信息安全解决方案........................................40 安天校园网解决方案..................................................43 网络入侵检测解决方案................................................46 企业需要什么样的ids 测试ids的几个性能指标..........................48 东软安全助力武汉信用风险管理信息系统................................52 某校园网方案 1.1设计原。
1.充分满足现在以及未来3-5年内的网络需求,既要保证校园网能很好的为学校服务,又要保护学校的投资。
2.强大的安全管理措施,四分建设、六分管理,管理维护的好坏是校园网正常运行的关键
3.在满足学校的需求的前提下,建出自己的特色 1.2网络建设需求 网络的稳定性要求
整个网络需要具有高度的稳定性,能够满足不同用户对网络访问的不同要求
网络高性能需求
整个网络系统需要具有很高的性能,能够满足各种流媒体的无障碍传输,保证校园网各种应用的畅通无阻
认证计费效率高,对用户的认证和计费不会对网络性能造成瓶颈 网络安全需求 防止ip地址冲突 非法站点访问过滤 非法言论的准确追踪 恶意攻击的实时处理 记录访问日志提供完整审计 网络管理需求
需要方便的进行用户管理,包括开户、销户、资料修改和查询 需要能够对网络设备进行集中的统一管理 需要对网络故障进行快速高效的处理 第二章、某校园网方案设计 2.1校园网现网拓扑图 整个网络采用二级的网络架构:核心、接入。
核心采用一台rg-s4909,负责整个校园网的数据转发,同时为接入交换机s1926f+、内部服务器提供百兆接口。网络出口采用rg-wall1200防火墙。原有网络设备功能较少,无法进行安全防护,已经不能满足应用的需求。
2.2校园网设备更新方案
方案一:不更换核心设备
核心仍然采用锐捷网络s4909交换机,在中校区增加一台sam服务器,部署sam系统,同时东校区和西校区各用3台s2126g替换原有s1926f+,其中汇聚交换机各采用一台新增的s2126g,剩余的两台s2126g用于加强对关键机器的保护,中校区的网络结构也做相应的调整,采用现有的两台s2126g做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。
方案二:更换核心设备
核心采用一台锐捷网络面向10万兆平台设计的多业务ipv6路由交换机rg-s8606,负责整个校园网的数据转发。
在中校区增加一台sam服务器,部署sam系统,同时东校区和西校区各用3台s2126g替换原有s1926f+。
将原有的s4909放到东校区做为汇聚设备,下接三台s2126g实现安全控制,其它二层交换机分别接入相应的s2126g。
西校区汇聚采用一台s2126g,剩余两台s2126g用于保护重点机器,其它交换机接入对应的s2126g。
中校区的网络结构也做相应的调整,采用现有的两台s2126g做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。
2.3骨干网络设计
骨干网络由rg-s8606构成,核心交换机rg-s8606主要具有5特性:
1、骨干网带宽设计:千兆骨干,可平滑升级到万兆
整个骨干网采用千兆双规线路的设计,二条线路通过vrrp冗余路由协议和ospf动态路由协议实现负载分担和冗余备份,以后,随着网络流量的增加,可以将链路升级到万兆。
2、骨干设备的安全设计:css安全体系架构
3、css之硬件cpp cpp即cpu protect policy,rg-s8606采用硬件来实现,cpp提供管理模块和线卡cpu的保护功能,对发往cpu的数据流进行带宽限制(总带宽、qos队列带宽、类型报文带宽),这样,对于arp攻击的数据流、针对cpu的网络攻击和病毒数据流,rg-s8606分配给其的带宽非常的有限,不会影响其正常工作。
由于锐捷10万兆产品rg-s8606采用硬件的方式实现,不影响整机的运行效率
4、css之spoh技术
现在的网络需要更安全、需要为不同的业务提供不同的处理优先级,这样,大量的acl和qos需要部署,需要核心交换机来处理,而这些应用属于对交换机硬件资源消耗非常大的,核心交换机rg-s8606通过在交换机的每一个用户端口上增加一个ffp(快速过滤处理器),专门用来处理acl和qos,相当于把交换机的每一个端口都变成了一台独立的交换机,可以保证在非常复杂的网络环境中核心交换机的高性
能。
2.4网络安全设计
2.4.1某校园网网络安全需求分析
1、网络病毒的防范
病毒产生的原因:某校园网很重要的一个特征就是用户数比较多,会有很多的pc机缺乏有效的病毒防范手段,这样,当用户在频繁的访问internet的时候,通过局域网共享文件的时候,通过u盘,光盘拷贝文件的时候,系统都会感染上病毒,当某个学生感染上病毒后,他会向校园网的每一个角落发送,发送给其他用户,发送给服务器。
病毒对校园网的影响:校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗,用户正常的网络访问得不到响应,办公平台不能使用;资源库、vod不能点播;internet上不了,学生、老师面临着看着丰富的校园网资源却不能使用的 尴尬境地。
2、防止ip、mac地址的盗用
ip、mac地址的盗用的原因:某校园网采用静态ip地址方案,如果缺乏有效的ip、mac地址管理手段,用户可以随意的更改ip地址,在网卡属性的高级选项中可以随意的更改mac地址。如果用户有意无意的更改自己的ip、mac地址,会引起多方冲突,如果与网关地址冲突,同一网段内的所有用户都不能使用网络;如果恶意用户发送虚假的ip、mac的对应关系,用户的大量上网数据包都落入恶意用户的手中,造成arp欺骗攻击。
ip、mac地址的盗用对校园网的影响:在用户看来,校园网络是一个很不可靠是会给我带来很多麻烦的网络,因为大量的ip、mac冲突的现象导致了用户经常不能使用网络上的资源,而且,用户在正常工作和学习时候,自己的电脑上会经常弹出mac地址冲突的对话框。由于担心一些机密信息比如银行卡账户、密码、邮箱密码泄漏,用户会尽量减少网络的使用,这样,学生、老师对校园网以及网络中心的信心会逐渐减弱,投入几百万的校园网也就不能充分发挥其服务于教学的作用,造成很大程度上的资源浪费。
3、安全事故发生时候,需要准确定位到用户 安全事故发生时候,需要准确定位到用户原因:
国家的要求:2002年,朱镕基签署了282号令,要求各大internet运营机构(包括高校)必须要保存60天的用户上网记录,以待相关部门审计。
校园网正常运行的需求:如果说不能准确的定位到用户,学生会在网络中肆无忌弹进行各种非法的活动,会使得校园网变成“黑客”娱乐的天堂,更严重的是,如
果当某个学生在校外的某个站点发布了大量涉及政治的言论,这时候公安部门的网络信息安全监察科找到我们的时候,我们无法处理,学校或者说网络中心只有替学生背这个黑锅。
4、安全事故发生时候,不能准确定位到用户的影响:
一旦发生这种涉及到政治的安全事情发生后,很容易在社会上广泛传播,上级主管部门会对学校做出处理;同时也会大大降低学校在社会上的影响力,降低家长、学生对学校的满意度,对以后学生的招生也是大有影响的。
5、用户上网时间的控制
无法控制学生上网时间的影响:如果缺乏有效的机制来限制用户的上网时间,学生可能会利用一切机会上网,会旷课。学生家长会对学校产生强烈的不满,会认为学校及其的不负责任,不是在教书育人。这对学校的声誉以及学校的长期发展是及其不利的。
6、用户网络权限的控制
在校园网中,不同用户的访问权限应该是不一样的,比如学生应该只能够访问资源服务器,上网,不能访问办公网络、财务网络。办公网络的用户因该不能访问财务网络。因此,需要对用户网络权限进行严格的控制。
7、各种网络攻击的有效屏蔽
校园网中常见的网络攻击比如mac flood、syn flood、dos攻击、扫描攻击、arp欺骗攻击、流量攻击、非法组播源、非法dhcp服务器及dhcp攻击、窃取交换机的管理员密码、发送大量的广播报文,这些攻击的存在,会扰乱网络的正常运行,降低了校园网的效率。
2.4.2某校园网网络安全方案设计思想 2.4.2.1安全到边缘的设计思想
用户在访问网络的过程中,首先要经过的就是交换机,如果我们能在用户试图进入网络的时候,也就是在接入层交换机上部署网络安全无疑是达到更好的效果。2.4.2.2全局安全的设计思想
锐捷网络提倡的是从全局的角度来把控网络安全,安全不是某一个设备的事情,应该让网络中的所有设备都发挥其安全功能,互相协作,形成一个全民皆兵的网络,最终从全局的角度把控网络安全。2.4.2.3全程安全的设计思想
用户的网络访问行为可以分为三个阶段,包括访问网络前、访问网络的时候、访问网络后。对着每一个阶段,都应该有严格的安全控制措施。2.4.3某校园网网络安全方案
锐捷网络结合sam系统和交换机嵌入式安全防护机制设计的特点,从三个方面实现网络安全:事前的准确身份认证、事中的实时处理、事后的完整审计。2.4.3.1事前的身份认证
对于每一个需要访问网络的用户,我们需要对其身份进行验证,身份验证信息包括用户的用户名/密码、用户pc的ip地址、用户pc的mac地址、用户pc所在交换机的ip地址、用户pc所在交换机的端口号、用户被系统定义的允许访问网络的时间,通过以上信息的绑定,可以达到如下的效果:
每一个用户的身份在整个校园网中是唯一,避免了个人信息被盗用. 当安全事故发生的时候,只要能够发现肇事者的一项信息比如ip地址,就可以准确定位到该用户,便于事情的处理。
只有经过网络中心授权的用户才能够访问校园网,防止非法用户的非法接入,这也切断了恶意用户企图向校园网中传播网络病毒、黑客程序的通道。2.4.3.2网络攻击的防范
1、常见网络病毒的防范
对于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒,通过部署扩展的acl,能够对这些病毒所使用的tcp、udp的端口进行防范,一旦某个用户不小心感染上了这种类型的病毒,不会影响到网络中的其他用户,保证了校园网网络带宽的合理使用。
2、未知网络病毒的防范
对于未知的网络病毒,通过在网络中部署基于数据流类型的带宽控制功能,为不同的网络应用分配不同的网络带宽,保证了关键应用比如web、课件资源库、邮件数据流有足够可用的带宽,当新的病毒产生时,不会影响到主要网络应用的运行,从而保证了网络的高可用性。
3、防止ip地址盗用和arp攻击
通过对每一个arp报文进行深度的检测,即检测arp报文中的源ip和源mac是否和端口安全规则一致,如果不一致,视为更改了ip地址,所有的数据包都不能进入网络,这样可有效防止安全端口上的arp欺骗,防止非法信息点冒充网络关键设备的ip(如服务器),造成网络通讯混乱。
4、防止假冒ip、mac发起的mac floodsyn flood攻击 通过部署ip、mac、端口绑定和ip+mac绑定(只需简单的一个命令就可以实现)。并实现端口反查功能,追查源ip、mac访问,追查恶意用户。有效的防止通过假冒源ip/mac地址进行网络的攻击,进一步增强网络的安全性。
5、非法组播源的屏蔽
锐捷产品均支持imgp源端口检查,实现全网杜绝非法组播源,指严格限定igmp组播流的进入端口。
当igmp源端口检查关闭时,从任何端口进入的视频流均是合法的,交换机会把它们转发到已注册的端口。
当igmp源端口检查打开时,只有从路由连接口进入的视频流才是合法的,交换机把它们转发向已注册的端口;而从非路由连接口进入的视频流被视为是非法的,将被丢弃。
锐捷产品支持igmp源端口检查,有效控制非法组播,实现全网杜绝非法组播源,更好地提高了网络的安全性和全网的性能,同时可以有效杜绝以组播方式的传播病毒.在校园网流媒体应用多元化和潮流下具有明显的优势,而且也是网络带宽合理的分配所必须的。
同时igmp源端口检查,具有效率更高、配置更简单、更加实用的特点,更加适用于校园运营网络大规模的应用环境。
6、对dos攻击,扫描攻击的屏蔽
通过在校园网中部署防止dos攻击,扫描攻击,能够有效的避免这二种攻击行为,节省了网络带宽,避免了网络设备、服务器遭受到此类攻击时导致的网络中断。
2.4.3.3事后的完整审计
当用户访问完网络后,会保存有完备的用户上网日志纪录,包括某个用户名,使用那个ip地址,mac地址是多少,通过那一台交换机的哪一个端口,什么时候开始访问网络,什么时候结束,产生了多少流量。如果安全事故发生,可以通过查询该日志,来唯一的确定该用户的身份,便于了事情的处理。2.5网络管理设计
网络管理包括设备管理、用户管理、网络故障管理 2.5.1网络用户管理
网络用户管理见网络运营设计开户部分 2.5.2网络设备管理
网络设备的管理通过starview实现,主要提供以下功能,这些功能也是我们常见的解决问题的思路:
1、网络现状及故障的自动发现和了解
starview能自动发现网络拓扑结构,让网络管理员对整个校园网了如指掌,对于用户私自挂接的hub、交换机等设备能及时地发现,提前消除各种安全隐患。对于网络中的异常故障,比如某台交换机的cpu利用率过高,某条链路上的流量负载过大,starview都可以以不同的颜色进行显示,方便管理员及时地发现网络中的异常情况。
2、网络流量的查看
starview在网络初步异常的情况下,能进一步的察看网络中的详细流量,从而为网络故障的定位提供了丰富的数据支持。
3、网络故障的信息自动报告
starview支持故障信息的自动告警,当网络设备出现故障时,会通过trap的方式进行告警,网络管理员的界面上能看到各种故障信息,这些信息同样为管理员的故
障排除提供了丰富的信息。
4、设备面板管理
starview的设备面板管理能够很清楚的看到校园中设备的面板,包括端口数量、状态等等,同时可以很方便的登陆到设备上,进行配置的修改,完善以及各种信息
的察看。
5、rgnos操作系统的批量升级
校园网很大的一个特点就是规模大,需要使用大量的接入层交换机,如果需要对这些交换机进行升级,一台一台的操作,会给管理员的工作带来很大的压力,starview提供的操作系统的批量升级功能,能够很方便的一次对所有的相同型号的交换机进行升级,加大的较少了网络管理员的工作量。
2.5.3网络故障管理
随着校园网用户数的增多,尤其是宿舍网运营的开始,用户网络故障的排除会成为校园网管理工作的重点和难点,传统的网络故障解决方式主要是这样一个流程:
2.6流量管理系统设计
网络中的流量情况是网络是否正常的关键,网络中大量的p2p软件的使用,已经对各种网络业务的正常开展产生了非常严重的影响,有的学校甚至因为p2p软件的泛滥,直接导致了网络出口的瘫痪。2.6.1方案一:传统的流量管理方案
传统的流量管理方案的做法很多就是简单的封堵这些p2p软件,从而达到控制流量的目的,这有三大弊端, 第一:这些软件之所以有如此强大的生命力,是因为用户通过使用这些软件的确能快速的获取各种有用的资源,如果简单的通过禁止的方式,用户的意见会非常的大,同时,各种有用的资源我们很难获取。
第二:各种新型的,对网络带宽消耗更大的应用软件也在不断的出现。所谓道高一尺,魔高一丈,一味的封堵这些软件,我们永远处于被动的局面,显然不能从根本上解决这个问题。
第三:我们无法获取网络中的流量信息,无法为校园网的优化,网络管理,网络故障预防和排除提供数据支撑。
2.6.2方案二:锐捷的流量管理与控制方案
锐捷网络的流量管理主要通过rg-ntd+日志处理软件+rg-sam系统来实现。
ntd是锐捷流量管理解决方案的重要组成部分,我们希望能为用户提供一种流量控制和管理的方法而不单纯是流量计费,锐捷的流量管理方案有三大功能:
第一:为sam系统对用户进行流量计费提供原始数据,这是我们已经实现了的功能。该功能能满足不同消费层次的用户对带宽的需求,经济条件好一点,可以多用点流量,提高了用户的满意度。而且,对于以后新出现的功能更加强大的下载软件,都不必担心用户任意使用造成带宽拥塞。
第二:提供日志审计和带宽管理功能,通过ntd、sam、日志系统的结合,能够做到基于用户身份对用户进行管理,做到将用户名、源ip、目的ip直接关联,通过目的ip,可以直接定位到用户名,安全事件处理起来非常的方便,同时还能提供p2p的限速,带宽管理等功能,这一部分的功能我们会在明年4月份提供。 第三:能够对网络中的各种流量了如指掌,可以对用户经常访问的资源进行分析对比,为应用系统的建设、服务器的升级改造提供数据支持;能够及时的发现网络中的病毒、恶意流量,从而进行有效的防范,结合认证计费系统sam,能够捕捉到事件源头,并于做出处理。
总体来说,流量控制和管理和日志系统的整体解决方案对于校园网的长期健康可持续发展是很有帮助的。
网络防火墙设计中的问题
1.方案:硬件?还是软件?
现在防火墙的功能越来越多越花哨,如此多的功能必然要求系统有一个高效的处理能力。
防火墙从实现上可以分为软件防火墙和硬件防火墙。软件防火墙以checkpoint 公司的firewall-i为代表,其实现是通过 dev_add_pack的办法加载过滤函数(linux,其他操作系统没有作分析,估计类似),通过在操作系统底层做工作来实现防火墙的各种功能和优 化。国内也有一些所谓的软件防火墙,但据了解大多是所谓“个人”防火墙,而且功能及其有限,故不在此讨论范围。
在国内目前已通过公安部检验的防火墙中,硬件防火墙占绝大多数。硬件防火墙一种是从硬件到软件都单独设计,典型如netscreen防火墙不但软件部分单独设计,硬件部分也采用专门的asic集成电路。
另外一种就是基于pc架构的使用经过定制的通用操作系统的所谓硬件防火墙。目前国内绝大
多数防火墙都属于这种类型。
虽然都号称硬件防火墙,国内厂家和国外厂家还是存在着巨大区别。
硬件防火墙需要在硬 件和软件两方面同时下功夫,国外厂家的通常做法是软件运算硬件化,其所设计或选用的运行平台本身的性能可能并不高,但它将主要的运算程序(查表运算是防火 墙的主要工作)做成芯片,以减少主机cpu的运算压力。
国内厂家的防火墙硬件平台基本上采用通用pc系统或工业pc架构(直接原因是可以节省硬件开发成 本),在提高硬件性能方面所能做的工作仅仅是提升系统cpu的处理能力,增大内存容量而已。
现在国内防火墙的一个典型结构就是:工业主板+x86+128(256)m内存+doc/dom+硬盘(或不要硬盘而另增加一个日志服务器)+百兆网卡 这 样一个工业pc结构。
在软件性能方面,国内外厂家的差别就更大了,国外(一些著名)厂家均是采用专用的操 作系统,自行设计防火墙。而国内所有厂家操作系统系统都是基于通用的 linux,无一例外。各厂家的区别仅仅在于对linux系统本身和防火墙部分(2.2内核为ipchains,2.4以后内核为netfilter)所 作的改动量有多大。
事实上,linux只是一个通用操作系统,它并没有针对防火墙功能做什么优化,而且 其处理大数据量通信方面的能力一直并不突出,甚至比较低下(这也是 linux一直只是低端服务器的宠儿的重要原因,我自己认为,在这一点上它还不如bsd系列,据说国外有用bsd做防火墙的,国内尚未见到)。
现在绝大部 分厂家,甚至包括号称国内最大的天融信,在软件方面所作的工作无非也就是系统有针对性的裁减、防火墙部分代码的少量改动(绝大部分还是没有什么改动)和少 量的系统补丁。
而且我们在分析各厂家产品时可以注意这一点,如果哪个厂家对系统本身做了什么大的改动,它肯定会把这个视为一个重要的卖点,大吹特吹,遗憾 的是似乎还没有什么厂家有能力去做宣传(天融信似乎有一个类似于checkpoint的功能:开放式的安全应用接口 topsec,但它究竟做了多少工作,还需要去仔细了解)。
目前国内厂家也已经认识到这个问题,有些在做一些底层的工作,但有明显成效的,似乎还没有。
在此我们仅针对以linux(或其他通用操作系统)为基础的、以pc架构为硬件载体的防火墙做讨论,以下如不特别提出,均同。2.内核和防火墙设计
现在有一种商业卖点,即所谓“建立在安全操作系统之上的第四代防火墙”(关于防火墙 分代的问题,目前有很多讨论,比较一致的是把包过滤防火墙称为第一代防火墙,把应用型防火墙(一般结合了包过滤功能,因此也成为混合型防火墙)称为第二代 防火墙,有些厂家把增加了检测通信信息、状态检测和应用监测的防火墙称为第三代防火墙,更有甚者在此基础上提出了采用安全操作系统的防火墙,并把这个称为 第四代防火墙)。
所谓安全操作系统,其实大多用的还是linux,所不同的是需要做一些内核加固和简单改造的工作,主要有以下: 取消危险的系统调用,或者截获系统调用,稍加改动(如加载一些llkm); 限制命令执行权限; 取消ip转发功能; 检查每个分组的接口; 采用随机连接序号; 驻留分组过滤模块; 取消动态路由功能。
采用多个安全内核(这个只见有人提出,但未见到实例,对此不是很清楚)。以上诸多工作,其实基本上都没有对内核源码做太大改动,因此从个人角度来看算不上可以太夸大的地方。
对于防火墙部分,国内大部分已经升级到2.4内核所支持的netfilter。
netfilter已经是一个功能比较完善的防火墙框架,它已经支持基于状态的监测(通过connection track模块实现)。
而且netfilter是一个设计很合理的框架,可以在适当的位置上登记一些需要的处理函数,正式代码中已经登记了许多处理函数,如在nf_ip_forward点上登记了装发的包过滤功能(包过滤等功能便是由这些正式登记的函数实现的)。
我们也可以登记自己的处理函数,在功能上作 扩展(如加入简单的ids功能等等)。
这一点是国内厂家可以做文章的地方,至于netfilter源码的修改,对国内厂家来说似乎不太现实。
至于采用其它防火墙模型的,目前还没有看到(可能是netfilter已经设计的很成功,不需要我们再去做太多工作)。3.自我保护能力(安全性)
由于防火墙的特殊功能和特殊位置,它自然是众多攻击者的目标,因此它的自我包括能力在设计过程中应该放在首要的位置。a.管理上的安全性
防火墙需要一个管理界面,而管理过程如何设计的更安全,是一个很重要的问题。目前有两种方案。
a.设置专门的服务端口
为了减少管理上的风险和降低设计上的难度,有一些防火墙(如东方龙马)在防火墙上专 门添加了一个服务端口,这个端口只是用来和管理主机连接。除了专用的服务口外,防火墙不接受来自任何其它端口的直接访问。这样做的显著特点就是降低了设计 上的难度,由于管理通信是单独的通道,无论是内网主机、外网主机还是dmz内主机都无法窃听到该通信,安全性显然很高,而且设计时也无需考虑通信过程加密 的问题。
然而这样做,我们需要单独设置一台管理主机,显然太过浪费,而且这样管理起来的灵活性也不好。b.通信过程加密
这样无需一个专门的端口,内网任意一台主机都可以在适当的情况下成为管理主机,管理主
机和防火墙之间采用加密的方式通信。
目前国内有采用的是使用自定义协议、一次性口令认证。对加密这个领域了解不多,不做详 细讨论。
b.对来自外部(和内部)攻击的反应能力 目前常见的来自外部的攻击方式主要有: a.dos(ddos)攻击
(分布式)拒绝服务攻击是目前一种很普遍的攻击方式,在预防上也是非常困难的。目前 防火墙对于这种攻击似乎没有太多的解决办法,主要是提高防火墙本身的健壮性(如增加缓冲区大小)。在linux内核中有一个防止syn flooding攻击的选项:config_syn_cookies,它是通过为每一个syn建立一个缓冲(cookie)来分辨可信请求和不可信请求。另外对于icmp攻击,可以通过关闭icmp 回应来实现。
b.ip假冒(ip spoofing)
ip假冒是指一个非法的主机假冒内部的主机地址,骗取服务器的“信任”,从而达到对网络的攻击目的。
第一,防火墙设计上应该知道网络内外的ip地址分配,从而丢弃所有来自网络外部但却有内部地址的数据包。实际实现起来非常简单,只要在内核中打开rp_filter功能即可。
第二,防火墙将内网的实际地址隐蔽起来,外网很难知道内部的ip地址,攻击难度加大。ip假冒主要来自外部,对内网无需考虑此问题(其实同时内网的ip假冒情况也可以得到遏制)。c.特洛伊木马
防火墙本身预防木马比较简单,只要不让系统不能执行下载的程序即可。
一个需要说明的地方是必须指出的是,防火墙能抗特洛伊木马的攻击并不意味着内网主机 也能防止木马攻击。事实上,内网主机可能会透过防火墙下载执行携带木马的程序而感染。内网主机的在预防木马方面的安全性仍然需要主机自己解决(防火墙只能 在内网主机感染木马以后起一定的防范作用)。d.口令字攻击
口令字攻击既可能来自外部,也可能来自内部,主要是来自内部。(在管理主机与防火墙通过单独接口通信的情况下,口令字攻击是不存在的)
来自外部的攻击即用穷举的办法猜测防火墙管理的口令字,这个很容易解决,只要不把管理部分提供给外部接口即可。
内部的口令字攻击主要是穷举和嗅探,其中以嗅探危害最大。嗅探指监测网络截获管理主机给防火墙的口令字,如果口令字已加密,则解密得到口令字。目前一般采用一次性口令和禁止直接登录防火墙的措施来防止对口令字的攻击。e.邮件诈骗
邮件诈骗是目前越来越突出的攻击方式。防火墙本身防止邮件诈骗非常简单,不接收任何邮件就可以了。然而象木马攻击一样,内网主机仍可收发邮件,邮件诈骗的危险仍然存在,其解决办法一个是内网主机本身采取措施防止邮件诈骗,另一个是在防火墙上做过滤。
f.对抗防火墙(anti-firewall)
目前一个网络安全中一个研究的热点就是对抗网络安全产品如防火墙。一种是分析防火墙 功能和探测防火墙内部网络结构,典型的如firewalk。另外有一些其他的网络安全性分析工具本身具有双刃性,这类工具用于攻击网络,也可能会很有效的 探测到防火墙和内部网络的安全缺陷,典型的如satan和iss公司的 internet security scanner。目前对于这种探测(攻击)手段,尚无有效的预防措施,因为防火墙本身是一个被动的东西,它只能靠隐藏内部网络结构和提高自身的安全性来对 抗这些攻击。
c.透明代理的采用 应用代理防火墙一般是通过设置不同用户的访问权限来实现,这样就需要有用户认证体 系。以前的防火墙在访问方式上主要是要求用户登录进系统(如果采用 sock代理的方式则需要修改客户应用)。透明代理的采用,可以降低系统登录固有的安全风险和出错概率,从而提高了防火墙的安全性。4.透明性
防火墙的透明性指防火墙对于用户是透明的,在防火墙接入网络时,网络和用户无需做任何设置和改动,也根本意识不到防火墙的存在。
防火墙作为一个实际存在的物理设备,要想放入已存在地网络中又不对网络有任何影响,就必须以网桥的方式置入网络。传统方式下,防火墙安装时,更象是一台路由器或者网关,原有网络拓扑结构往往需要改变,网络设备(包括主机和路由器)的设置(ip和网关、dns、路由表等等)也需要改变。但如果防火墙采用了透明模式,即采用类似网桥的方式运行,用户将不必重新设定和修改路由,也不需要知道防 火墙的位置,防火墙就可以直接安装和放置到网络中使用。
透明模式最大的好处在于现有网络无需做任何改动,这就方便了很多客户,再者,从透明 模式转换到非透明模式又很容易,适用性显然较广。当然,此时的防火墙仅仅起到一个防火墙的作用,其他网关位置的功能如nat、vpn功能不再适用,当然,其他功能如透明代理还可以 继续使用。
目前透明模式的实现上可采用arp代理和路由技术实现。此时防火墙相当于一个arp代理的功能。内网(可以仍含有路由器或子网,依次类推)、防火墙、路由器的位置大致如下:
内网―――――防火墙―――――路由器
(需要说明的是,这种方式是绝大多数校园网级网络的实现方式)
内网主机要想实现透明访问,必须能够透明的传送内网和路由器之间的arp包,而此时 由于事实上内网和路由器之间无法连通,防火墙就必须配置成一个arp代理(arp proxy)在内网主机和路由器之间传递arp包。防火墙所要做的就是当路由器发送arp广播包询问内网内的某一主机的硬件地址时,防火墙用和路由器相连 接口的mac地址回送arp包;内网内某一主机发送arp广播包询问路由器的硬件地址时,防火墙用和内网相连接口的mac地址回送arp包,因此路由器和 内网主机都认为将数据包发给了对方,而实际上是发给了防火墙转发。
显然,此时防火墙还必须实现路由转发,使内外网之间的数据包能够透明的转发。另外,防火墙要起到防火墙的作用,显然还需要把数据包上传给本身应用层处理(此时实现应用层代理、过滤等功能),此时需要端口转发来实现(?这个地方不是十分清 楚,也没找到相关资料)。透明模式和非透明模式在网络拓扑结构上的最大区别就是:透明模式的两块网卡(与路由器相连的和与内网相连的)在一个网段(也和子 网在同一个网段);而非透明模式的两块网卡分别属于两个网段(内网可能是内部不可路由地址,外网则是合法地址)。这个过程如下:
1.用arp代理实现路由器和子网的透明连接(网络层)2.用路由转发在ip层实现数据包传递(ip层)3.用端口重定向实现ip包上传到应用层(ip层)
前边我们讨论过透明代理,和这里所说的防火墙的透明模式是两个概念。透明代理主要是 为实现内网主机可以透明的访问外网,而无需考虑自己是不可路由地址还是可路由地址。内网主机在使用内部网络地址的情况下仍然可以使用透明代理,此时防火墙 既起到网关的作用又起到代理服务器的作用(显然此时不是透明模式)。
需要澄清的一点是,内外网地址的转换(即nat,透明代理也是一种特殊的地址转换)和透明模式之间并没有必然的联系。透明模式下的防火墙能实现透明代理,非透明模式下的防火墙(此时它必然又是一个网关)也能实现透明代理。它们的共同点在于可以简化内网客户的设置而已。
目前国内大多防火墙都实现了透明代理,但实现了透明模式的并不多。这些防火墙可以很明显的从其广告中看出来:如果哪个防火墙实现了透明模式,它的广告中肯定会和透明代理区分开而大书特书的。5.可靠性
防火墙系统处于网络的关键部位,其可靠性显然非常重要。一个故障频频、可靠性很差的 产品显然不可能让人放心,而且防火墙居于内外网交界的关键位置,一旦防火墙出现问题,整个内网的主机都将根本无法访问外网,这甚至比路由器故障(路由器的 拓扑结构一般都是冗余设计)更让人无法承受。防火墙的可靠性也表现在两个方面:硬件和软件。
国外成熟厂商的防火墙产品硬件方面的可靠性一般较高,采用专门硬件架构且不必多说,采用pc架构的其硬件也多是专门设计,系统各个部分从网络接口到存储设备(一般为电子硬盘)集成在一起(一块板子),这样自然提高了产品的可靠性。国内则明显参差不齐,大相径庭,大多直接使用pc架构,且多为工业pc,采用现成的网卡,doc/dom作为存储设备。工业pc虽然可靠性比普通pc要高不少,但是毕竟其仍然是拼凑式的,设备各部分分立,从可靠性的角度看显然不如集成的(著名的水桶原理)。
国内已经有部分厂家意识到了这个问题,开始自行设计硬件。但大多数厂家还是从成本的角度考虑使用通用pc架构。
另外一方面,软件可靠性的提高也是防火墙优劣的主要差别所在。而国内整个软件行业的 可靠性体系还没有成熟,软件可靠性测试大多处于极其初级的水平(可靠性测试和bug测试完全是两个概念)。一方面是可靠性体系建立不起来,一方面是为了迎 合用户的需求和跟随网络应用的不断发展,多数防火墙厂商一直处于不断的扩充和修改中,其可靠性更不能让人恭维。
总的来说,如同国内大多数行业(除了少数如航天、航空)一样,网络安全产品特别是防火墙的可靠性似乎还没有引起人们的重视。6.市场定位
市场上防火墙的售价极为悬殊,从数万元到数十万元,甚至到百万元不等。
由于用户数量不同,用户安全要求不同,功能要求不同,因此防火墙的价格也不尽相同。
厂商因而也有所区分,多数厂家还推出模块化产品,以符合各种不同用户的要求。
总的说来,防火墙是以用户数量作为大的分界线。
如checkpoint的一个报价: checkpoint firewall-1 4.1 25user 19000.00 checkpoint firewall-1 4.1 50user 31000.00 checkpoint firewall-1 4.1 100user 51000.00 checkpoint firewall-1 4.1 250user 64000.00 checkpoint firewall-1 4.1 无限用户 131000.00 从用户量上防火墙可以分为: a. 10-25用户。
这个区间主要用户为单一用户、家庭、小型办公室等小型网络环境。防火墙一般为10m(针对
硬件防火墙而言),两网络接口,涵盖防火墙基本功能:包过滤、透明模式、网络地址转换、状态检测、管理、实时报警、日志。一般另有可选功能:vpn、带宽管理等等。
这个区间的防火墙报价一般在万元以上2万元以下(没有vpn和带宽管理的价格更低)。
据调查,这个区间的防火墙反而种类不多,也许是国内厂商不屑于这个市场的缘故?
b. 25-100用户
这个区间用户主要为小型企业网。防火墙开始升级到100m,三或更多网络接口。vpn、带宽管
理往往成为标准模块。
这个区间的防火墙报价从3万到15万不等,根据功能价格有较大区别。相对来说,这个区间上
硬件防火墙价格明显高于软件防火墙。
目前国内防火墙绝大部分集中在这个区间中。c. 100-数百用户
这个区间主要为中型企业网,重要网站、isp、asp、数据中心等使用。这个区间的 防火墙较多考虑高容量、高速度、低延迟、高可靠性以及防火墙本身的健壮性。并且开始支持双机热备份。这个区间的防火墙报价一般在20万以上。这样的中高端 防火墙国内较少,有也是25-100用户的升级版,其可用性令人怀疑。d. 数百用户以上
这个区间是高端防火墙,主要用于校园网、大型idc等等。我们接触较少,不多做讨论。当然其价格也很高端,从数十万到数百万不等。
总的来说,防火墙的价格和用户数量、功能模块密切相关,在用户数量相同的情况下,功 能越多,价格就越贵。如netscreen的百兆防火墙: netscreen-100f(ac power)-带防火墙+流量控制等功能,交流电源,没有vpn功能报价在¥260,000而在此基础上增加了128位vpn功能的报价则高出5万元: ¥317,500 7. 研发费用
如同其他网络安全产品一样,防火墙的研发费用也是很高的。防火墙由于技术含量较高,人员技术储备要求较高,防火墙核心部分的研发必须要对操作系统有相当的熟悉,所需为unix系统下开发人员,而目前国内真正能拿的出手的unix程序员数 量还是太少(远远少于windows平台下开发人员),人员成本很高。
总的来说,防火墙的研发是一个大项目,而且其前期定位一定要准确,该做什么、不该做什么,哪些功能得实现,哪些功能不必实现、哪些功能可以在后期实现,一定要清楚,否则费用会远远超出预计。
下边对一个中小型企业级防火墙的研发费用作个简单的估计。研发时,防火墙可以细分为(当然在具体操作时往往需要再具体划分): 内核模块
防火墙模块(含状态检测模块)nat模块 带宽管理模块 通信协议模块 管理模块
图形用户界面模块(或者web界面模块)透明代理模块(实质属于nat模块)
透明模式模块(包括arp代理子模块、路由转发子模块等)各应用代理模块(包括url过滤模块)vpn模块
流量统计与计费模块 审计模块
其他模块(如mac、ip地址绑定模块、简单的ids、自我保护等等)
上边把防火墙划分为12个模块,其中每一个模块都有相当的工作量要做,除了弹性较大 的内核模块和防火墙模块(它们的工作量可能异常的大,视设计目标不同),其他模块暂定10人周的话就需要120周(vpn的工作量也相当大),两个主模块 各按20人周计算,防火墙实现总共需要150人周。加上前期10- 15人周论证、定方案,后期20人周(保守数字)集成、测试,前后总共需要约210人周。按每人周1200元开发费用(折合工资5000月,但由于有运行 费用、保险等费用摊分,个人工资应远低于这个数字),开发费用约需25万。
显然,这个数字只是一个局外人估计的下限,实际的研发应该超出这个数字很多。8. 可升级能力(适用性)和灵活性
对用户来说,防火墙作为大成本投入的商品,势必要考虑到可升级性的问题,如果防火墙 不能升级,那它的可用性和可选择余地势必要大打折扣。目前国内防火墙一般都是软件可升级的,这是因为大多数防火墙采用电子硬盘(少数采用磁盘),实现升级 功能只要很小的工作量要做。但究竟升级些什么内容?升级周期多长一次?这就涉及到一个灵活性的问题。防火墙的灵活性主要体现在以下几点: a. 易于升级
b. 支持大量协议
c. 易于管理(如纳入通用设备管理体系(支持snmp)而不是单列出来)d. 功能可扩展
这里对功能可扩展做一简单讨论。
一般情况下,防火墙在设计完成以后,其过滤规则都是 定死的,用户可定制的余地很小。
特别如url过滤规则(对支持url过滤的防火墙而言),当前网络中的漏洞是不断发现的,如最近很猖獗的codered攻 击的就是windows机器iis服务器的ida漏洞,而我们如果能够及时定义过滤规则,对于“get /”的请求及时过滤,那么内网主机(此时一般为dmz内主机)的安全性就会高很多,内网管理人员也不必时时密切关注网络漏洞(这是 个工作量很大,既耗费体力又容易出现遗漏的工作)。
这样大部分工作留给防火墙厂家来做(相应需要有一个漏洞监测体系),用户肯定会满意很多。
另外,灵活性 一开始也往往不是前期设计所能设计的很完美的,它需要和用户具体实践相配合。
另外灵活性也是和具体环境密切结合的,往往需要在不同的用户环境里考虑。
如何构建网络整体安全方案
整体的安全方案分成技术方案、服务方案以及支持方案三部分。
一、技术解决方案
安全产品是网络安全的基石,通过在网络中安装一定的安全设备,能够使得网络的结构更加清晰,安全性得到显著增强;同时能够有效降低安全管理的难度,提高安全管理的有效性。
下面介绍在局域网中增加的安全设备的安装位置以及他们的作用。
1、防火墙
安装位置:局域网与路由器之间;%3fid%3d1974 上下载stick,其编译起来并不麻烦,只需查看帮助即可。需要指出的是,绝大多数的ids都是从snort得到众多借鉴的,建议用户试用一下 stick。
2.ids漏报
和ids误报相比,漏报其实更危险。采用ids技术就是为了在发现入侵时给出告警信息。如果入侵者入侵成功而ids尚未告警,ids便失去存在的意义。笔者从国外网站上看到一篇文章,它对利用tcp连接特点让 ids做漏报进行了详细的描述,同时还给出一些实现漏报的办法,给笔者提供了一种新思路: ids想要防止欺骗,就要尽可能地模仿tcp/ip栈的实现。但是从效率和实现的复杂性考虑,ids并不能很容易地做到这一点。
这种方法比较适合智能化的ids,好的ids一般为了减少误报,会像现在一些高端的防火墙一样基于状态进行判断,而不是根据单个的报文进行判断。这样上面谈到的stick对这种ids一般不起作用。但是用户应该注意到,这种简单的ids只是字符串匹配,一旦匹配成功,即可报警。
2001年4月,又出了一个让ids漏报的程序admmutate,据说它可以动态改变shellcode。本来ids依靠提取公开的溢出程序的特征码来报警,特征码变了以后,ids就报不出来了。但是程序还一样起作用,服务器一样被黑。这个程序的作者是ktwo(http: //),我们可以从http:///c/上下载该程序。用户不妨也试试它,以检测自己的ids产品性能。不过,admmutate只能对依靠检查字符串匹配告警的ids起作用,如果ids还依靠长度和可打印字符等综合指标,则admmutate将很容易被ids监控到。
企业网络安全综合设计方案篇五
企业网络安全综合设计方案 企业网络分析
此处请根据用户实际情况做简要分析
网络威胁、风险分析
针对xxx企业现阶段网络系统的网络结构和业务流程,结合xxx企业今后进行的网络化应用范围的拓展考虑,xxx企业网主要的安全威胁和安全漏洞包括以下几方面:
2.1内部窃密和破坏
由于xxx企业网络上同时接入了其它部门的网络系统,因此容易出现其它部门不怀好意的人员(或外部非法人员利用其它部门的计算机)通过网络进入内部网络,并进一步窃取和破坏其中的重要信息(如领导的网络帐号和口令、重要文件等),因此这种风险是必须采取措施进行防范的。
2.2 搭线(网络)窃听
这种威胁是网络最容易发生的。攻击者可以采用如sniffer等网络协议分析工具,在internet网络安全的薄弱处进入internet,并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息)的内容。对xxx企业网络系统来讲,由于存在跨越internet的内部通信(与上级、下级)这种威胁等级是相当高的,因此也是本方案考虑的重点。
2.3 假冒
这种威胁既可能来自xxx企业网内部用户,也可能来自internet内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户,诱骗其他用户或系统管理员,从而获得用户名/口令等敏感信息,进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。
2.4 完整性破坏
这种威胁主要指信息在传输过程中或者存储期间被篡改或修改,使得信息/数据失去了原有的真实性,从而变得不可用或造成广泛的负面影响。由于xxx企业网内有许多重要信息,因此那些不怀好意的用户和非法用户就会通过网络对没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息,从而影响工作的正常进行。
2.5 其它网络的攻击
xxx企业网络系统是接入到internet上的,这样就有可能会遭到internet上黑客、恶意用户等的网络攻击,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等。因此这也是需要采取相应的安全措施进行防范。
2.6 管理及操作人员缺乏安全知识
由于信息和网络技术发展迅猛,信息的应用和安全技术相对滞后,用户在引入和采用安全设备和系统时,缺乏全面和深入的培训和学习,对信息安全的重要性与技术认识不足,很容易使安全设备/系统成为摆设,不能使其发挥正确的作用。如本来对某些通信和操作需要限制,为了方便,设置成全开放状态等等,从而出现网络漏洞。
由于网络安全产品的技术含量大,因此,对操作管理人员的培训显得尤为重要。这样,使安全设备能够尽量发挥其作用,避免使用上的漏洞。
2.7 雷击
由于网络系统中涉及很多的网络设备、终端、线路等,而这些都是通过通信电缆进行传输,因此极易受到雷击,造成连锁反应,使整个网络瘫痪,设备损坏,造成严重后果。因此,为避免遭受感应雷击的危害和静电干扰、电磁辐射干扰等引起的瞬间电压浪涌电压的损坏,有必要对整个网络系统采取相应的防雷措施。
注:部分描述地方需要进行调整,请根据用户实际情况叙述。
安全系统建设原则
xxx企业网络系统安全建设原则为:
1)系统性原则
xxx企业网络系统整个安全系统的建设要有系统性和适应性,不因网络和应用技术的发展、信息系统攻防技术的深化和演变、系统升级和配置的变化,而导致在系统的整个生命期内的安全保护能力和抗御风险的能力降低。
2)技术先进性原则
xxx企业网络系统整个安全系统的设计采用先进的安全体系进行结构性设计,选用先进、成熟的安全技术和设备,实施中采用先进可靠的工艺和技术,提高系统运行的可靠性和稳定性。
3)管理可控性原则
系统的所有安全设备(管理、维护和配置)都应自主可控;系统安全设备的采购必须有严格的手续;安全设备必须有相应机构的认证或许可标记;安全设备供应商应具备相应资质并可信。
安全系统实施方案的设计和施工单位应具备相应资质并可信。
4)适度安全性原则
系统安全方案应充分考虑保护对象的价值与保护成本之间的平衡性,在允许的风险范围内尽量减少安全服务的规模和复杂性,使之具有可操作性,避免超出用户所能理解的范围,变得很难执行或无法执行。
5)技术与管理相结合原则
xxx企业网络系统安全建设是一个复杂的系统工程,它包括产品、过程和人的因素,因此它的安全解决方案,必须在考虑技术解决方案的同时充分考虑管理、法律、法规方面的制约和调控作用。单靠技术或单靠管理都不可能真正解决安全问题的,必须坚持技术和管理相结合的原则。
6)测评认证原则
xxx企业网络系统作为重要的政务系统,其系统的安全方案和工程设计必须通过国家有关部门的评审,采用的安全产品和保密设备需经过国家主管理部门的认可。
7)系统可伸缩性原则
xxx企业网络系统将随着网络和应用技术的发展而发生变化,同时信息安全技术也在发展,因此安全系统的建设必须考虑系统可升级性和可伸缩性。重要和关键的安全设备不因网络变化或更换而废弃。
网络安全总体设计
一个网络系统的安全建设通常包括许多方面,包括物理安全、数据安全、网络安全、系统安全、安全管理等,而一个安全系统的安全等级,又是按照木桶原理来实现的。根据xxx企业各级内部网络机构、广域网结构、和三级网络管理、应用业务系统的特点,本方案主要从以下几个方面进行安全设计:
l 网络系统安全;
l 应用系统安全;
l 物理安全;
l 安全管理;
4.1 安全设计总体考虑
根据xxx企业网络现状及发展趋势,主要安全措施从以下几个方面进行考虑:
l 网络传输保护
主要是数据加密保护
l 主要网络安全隔离
通用措施是采用防火墙
l 网络病毒防护
采用网络防病毒系统
l 广域网接入部分的入侵检测
采用入侵检测系统
l 系统漏洞分析
采用漏洞分析设备
l 定期安全审计
主要包括两部分:内容审计和网络通信审计
l 重要数据的备份
l 重要信息点的防电磁泄露
l 网络安全结构的可伸缩性
包括安全设备的可伸缩性,即能根据用户的需要随时进行规模、功能扩展
l 网络防雷
4.2 网络安全
作为xxx企业应用业务系统的承载平台,网络系统的安全显得尤为重要。由于许多重要的信息都通过网络进行交换,4.2.1 网络传输
由于xxx企业中心内部网络存在两套网络系统,其中一套为企业内部网络,主要运行的是内部办公、业务系统等;另一套是与internet相连,通过adsl接入,并与企业系统内部的上、下级机构网络相连。通过公共线路建立跨越internet的企业集团内部局域网,并通过网络进行数据交换、信息共享。而internet本身就缺乏有效的安全保护,如果不采取相应的安全措施,易受到来自网络上任意主机的监听而造成重要信息的泄密或非法篡改,产生严重的后果。
由于现在越来越多的政府、金融机构、企业等用户采用vpn技术来构建它们的跨越公共网络的内联网系统,因此在本解决方案中对网络传输安全部分推荐采用vpn设备来构建内联网。可在每级管理域内设置一套vpn设备,由vpn设备实现网络传输的加密保护。根据xxx企业三级网络结构,vpn设置如下图所示:
图4-1三级 vpn设置拓扑图
每一级的设置及管理方法相同。即在每一级的中心网络安装一台vpn设备和一台vpn认证服务器(vpn-ca),在所属的直属单位的网络接入处安装一台vpn设备,由上级的vpn认证服务器通过网络对下一级的vpn设备进行集中统一的网络化管理。可达到以下几个目的:
l 网络传输数据保护;
由安装在网络上的vpn设备实现各内部网络之间的数据传输加密保护,并可同时采取加密或隧道的方式进行传输
l 网络隔离保护;
与internet进行隔离,控制内网与internet的相互访问
l 集中统一管理,提高网络安全性;
l 降低成本(设备成本和维护成本);
其中,在各级中心网络的vpn设备设置如下图:
图4-2 中心网络vpn设置图
由一台vpn管理机对ca、中心vpn设备、分支机构vpn设备进行统一网络管理。将对外服务器放置于vpn设备的dmz口与内部网络进行隔离,禁止外网直接访问内网,控制内网的对外访问、记录日志。这样即使服务器被攻破,内部网络仍然安全。
下级单位的vpn设备放置如下图所示:
图4-3 下级单位vpn设置图
从图4-4可知,下属机构的vpn设备放置于内部网络与路由器之间,其配置、管理由上级机构通过网络实现,下属机构不需要做任何的管理,仅需要检查是否通电即可。由于安全设备属于特殊的网络设备,其维护、管理需要相应的专业人员,而采取这种管理方式以后,就可以降低下属机构的维护成本和对专业技术人员的要求,这对有着庞大下属、分支机构的单位来讲将是一笔不小的费用。
由于网络安全的是一个综合的系统工程,是由许多因素决定的,而不是仅仅采用高档的安全产品就能解决,因此对安全设备的管理就显得尤为重要。由于一般的安全产品在管理上是各自管理,因而很容易因为某个设备的设置不当,而使整个网络出现重大的安全隐患。而用户的技术人员往往不可能都是专业的,因此,容易出现上述现象;同时,每个维护人员的水平也有差异,容易出现相互配置上的错误使网络中断。所以,在安全设备的选择上应当选择可以进行网络化集中管理的设备,这样,由少量的专业人员对主要安全设备进行管理、配置,提高整体网络的安全性和稳定性。
4.2.2 访问控制
由于xxx企业广域网网络部分通过公共网络建立,其在网络上必定会受到来自internet上许多非法用户的攻击和访问,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等,因此,采取相应的安全措施是必不可少的。通常,对网络的访问控制最成熟的是采用防火墙技术来实现的,本方案中选择带防火墙功能的vpn设备来实现网络安全隔离,可满足以下几个方面的要求:
l 控制外部合法用户对内部网络的网络访问;
l 控制外部合法用户对服务器的访问;
l 禁止外部非法用户对内部网络的访问;
l 控制内部用户对外部网络的网络;
l 阻止外部用户对内部的网络攻击;
l 防止内部主机的ip欺骗;
l 对外隐藏内部ip地址和网络拓扑结构;
l 网络监控;
l 网络日志审计;
详细配置拓扑图见图4-
1、图4-
2、图4-3。
由于采用防火墙、vpn技术融为一体的安全设备,并采取网络化的统一管理,因此具有以下几个方面的优点:
l 管理、维护简单、方便;
l 安全性高(可有效降低在安全设备使用上的配置漏洞);
l 硬件成本和维护成本低;
l 网络运行的稳定性更高
由于是采用一体化设备,比之传统解决方案中采用防火墙和加密机两个设备而言,其稳定性更高,故障率更低。
4.2.3 入侵检测
网络安全不可能完全依靠单一产品来实现,网络安全是个整体的,必须配相应的安全产品。
作为必要的补充,入侵检测系统(ids)可与安全vpn系统形成互补。
入侵检测系统是根据已有的、最新的和可预见的攻击手段的信息代码对进出网络的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送e-mail)。
从而防止针对网络的攻击与犯罪行为。
入侵检测系统一般包括控制台和探测器(网络引擎)。
控制台用作制定及管理所有探测器(网络引擎)。
探测器(网络引擎)用作监听进出网络的访问行为,根据控制台的指令执行相应行为。
由于探测器采取的是监听而不是过滤数据包,因此,入侵检测系统的应用不会对网络系统性能造成多大影响。
入侵检测系统的设置如下图:
从上图可知,入侵检测仪在网络接如上与vpn设备并接使用。入侵检测仪在使用上是独立网络使用的,网络数据全部通过vpn设备,而入侵检测设备在网络上进行疹听,监控网络状况,一旦发现攻击行为将通过报警、通知vpn设备中断网络(即ids与vpn联动功能)等方式进行控制(即安全设备自适应机制),最后将攻击行为进行日志记录以供以后审查。
复制成功
