網(wǎng)絡(luò)安全解決方案設(shè)計(jì)
網(wǎng)絡(luò)安全解決方案設(shè)計(jì)
網(wǎng)絡(luò)安全中的入侵檢測(cè)系統(tǒng)是近年來(lái)出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù),也是重要的網(wǎng)絡(luò)安全工具。下面是有網(wǎng)絡(luò)安全解決方案設(shè)計(jì),歡迎參閱。
網(wǎng)絡(luò)安全解決方案設(shè)計(jì)范文1
一、客戶背景
集團(tuán)內(nèi)聯(lián)網(wǎng)主要以總部局域網(wǎng)為核心,采用廣域網(wǎng)方式與外地子公司聯(lián)網(wǎng)。集團(tuán)廣域網(wǎng)采用MPLS-技術(shù),用來(lái)為各個(gè)分公司提供骨干網(wǎng)絡(luò)平臺(tái)和接入,各個(gè)分公司可以在集團(tuán)的骨干信息網(wǎng)絡(luò)系統(tǒng)上建設(shè)各自的子系統(tǒng),確保各類系統(tǒng)間的相互獨(dú)立。
二、安全威脅
某公司屬于大型上市公司,在北京,上海、廣州等地均有分公司。公司內(nèi)部采用無(wú)紙化辦公,OA系統(tǒng)成熟。每個(gè)局域網(wǎng)連接著該所有部門,所有的數(shù)據(jù)都從局域網(wǎng)中傳遞。同時(shí),各分公司采用技術(shù)連接公司總部。該單位為了方便,將相當(dāng)一部分業(yè)務(wù)放在了對(duì)外開放的網(wǎng)站上,網(wǎng)站也成為了既是對(duì)外形象窗口又是內(nèi)部辦公窗口。
由于網(wǎng)絡(luò)設(shè)計(jì)部署上的缺陷,該單位局域網(wǎng)在建成后就不斷出現(xiàn)網(wǎng)絡(luò)擁堵、網(wǎng)速特別慢的情況,同時(shí)有些個(gè)別機(jī)器上的殺毒軟件頻頻出現(xiàn)病毒報(bào)警,網(wǎng)絡(luò)經(jīng)常癱瘓,每次時(shí)間都持續(xù)幾十分鐘,網(wǎng)管簡(jiǎn)直成了救火隊(duì)員,忙著清除病毒,重裝系統(tǒng)。對(duì)外WEB網(wǎng)站同樣也遭到黑客攻擊,網(wǎng)頁(yè)遭到非法篡改,有些網(wǎng)頁(yè)甚至成了傳播不良信息的平臺(tái),不僅影響到網(wǎng)站的正常運(yùn)行,而且還對(duì)政府形象也造成不良影響。(安全威脅根據(jù)拓?fù)鋱D分析)從網(wǎng)絡(luò)安全威脅看,集團(tuán)網(wǎng)絡(luò)的威脅主要包括外部的攻擊和入侵、內(nèi)部的攻擊或誤用、企業(yè)內(nèi)的病毒傳播,以及安全管理漏洞等信息安全現(xiàn)狀:經(jīng)過(guò)分析發(fā)現(xiàn)該公司信息安全基本上是空白,主要有以下問題:
公司沒有制定信息安全政策,信息管理不健全。 公司在建內(nèi)網(wǎng)時(shí)與internet的連接沒有防火墻。 內(nèi)部網(wǎng)絡(luò)(同一城市的各分公司)之間沒有任何安全保障為了讓網(wǎng)絡(luò)正常運(yùn)行。
根據(jù)我國(guó)《信息安全等級(jí)保護(hù)管理辦法》的信息安全要求,近期公司決定對(duì)該網(wǎng)絡(luò)加強(qiáng)安全防護(hù),解決目前網(wǎng)絡(luò)出現(xiàn)的安全問題。
三、安全需求
從安全性和實(shí)用性角度考慮,安全需求主要包括以下幾個(gè)方面:
1、安全管理咨詢
安全建設(shè)應(yīng)該遵照7分管理3分技術(shù)的原則,通過(guò)本次安全項(xiàng)目,可以發(fā)現(xiàn)集團(tuán)現(xiàn)有安全問題,并且協(xié)助建立起完善的安全管理和安全組織體系。
2、集團(tuán)骨干網(wǎng)絡(luò)邊界安全
主要考慮骨干網(wǎng)絡(luò)中Internet出口處的安全,以及移動(dòng)用戶、遠(yuǎn)程撥號(hào)訪問用戶的安全。
3、集團(tuán)骨干網(wǎng)絡(luò)服務(wù)器安全
主要考慮骨干網(wǎng)絡(luò)中網(wǎng)關(guān)服務(wù)器和集團(tuán)內(nèi)部的服務(wù)器,包括OA、財(cái)務(wù)、人事、內(nèi)部WEB等內(nèi)部信息系統(tǒng)服務(wù)器區(qū)和安全管理服務(wù)器區(qū)的安全。
4、集團(tuán)內(nèi)聯(lián)網(wǎng)統(tǒng)一的病毒防護(hù)
主要考慮集團(tuán)內(nèi)聯(lián)網(wǎng)中,包括總公司在內(nèi)的所有公司的病毒防護(hù)。
5、統(tǒng)一的增強(qiáng)口令認(rèn)證系統(tǒng)
由于系統(tǒng)管理員需要管理大量的主機(jī)和網(wǎng)絡(luò)設(shè)備,如何確??诹畎踩Q為一個(gè)重要的問題。
6、統(tǒng)一的安全管理平臺(tái)
通過(guò)在集團(tuán)內(nèi)聯(lián)網(wǎng)部署統(tǒng)一的安全管理平臺(tái),實(shí)現(xiàn)集團(tuán)總部對(duì)全網(wǎng)安全狀況的集中監(jiān)測(cè)、安全策略的統(tǒng)一配置管理、統(tǒng)計(jì)分析各類安全事件、以及處理各種安全突發(fā)事件。
7、專業(yè)安全服務(wù)
過(guò)專業(yè)安全服務(wù)建立全面的安全策略、管理組織體系及相關(guān)管理制度,全面評(píng)估企業(yè)網(wǎng)絡(luò)中的信息資產(chǎn)及其面臨的安全風(fēng)險(xiǎn)情況,在必要的情況下,進(jìn)行主機(jī)加固和網(wǎng)絡(luò)加固。通過(guò)專業(yè)緊急響應(yīng)服務(wù)保證企業(yè)在面臨緊急事件情況下的處理能力,降低安全風(fēng)險(xiǎn)。
四、方案設(shè)計(jì)
骨干網(wǎng)邊界安全
集團(tuán)骨干網(wǎng)共有一個(gè)Internet出口,位置在總部,在Internet出口處部署LinkTrust Cyberwall-200F/006防火墻一臺(tái)。
在Internet出口處部署一臺(tái)LinkTrust Network Defender領(lǐng)信網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),通過(guò)交換機(jī)端口鏡像的方式,將進(jìn)出Internet的流量鏡像到入侵檢測(cè)的監(jiān)聽端口,LinkTrust
Network Defender可以實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中的異常流量,防止惡意入侵。
在各個(gè)分公司中添加一個(gè)DMZ區(qū),保證各公司的信息安全,內(nèi)部網(wǎng)絡(luò)(同一城市的各分公司)之間沒有任何安全保障骨干網(wǎng)服務(wù)器安全
集團(tuán)骨干網(wǎng)服務(wù)器主要指網(wǎng)絡(luò)中的網(wǎng)關(guān)服務(wù)器和集團(tuán)內(nèi)部的應(yīng)用服務(wù)器包括OA、財(cái)務(wù)、人事、內(nèi)部WEB等,以及專為此次項(xiàng)目配置的、用于安全產(chǎn)品管理的服務(wù)器的安全。 主要考慮為在服務(wù)器區(qū)配置千兆防火墻,實(shí)現(xiàn)服務(wù)器區(qū)與辦公區(qū)的隔離,并將內(nèi)部信息系統(tǒng)服務(wù)器區(qū)和安全管理服務(wù)器區(qū)在防火墻上實(shí)現(xiàn)邏輯隔離。還考慮到在服務(wù)器區(qū)配置主機(jī)入侵檢測(cè)系統(tǒng),在網(wǎng)絡(luò)中配置百兆網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),實(shí)現(xiàn)主機(jī)及網(wǎng)絡(luò)層面的主動(dòng)防護(hù)。
漏洞掃描
了解自身安全狀況,目前面臨的安全威脅,存在的安全隱患,以及定期的了解存在那些安全漏洞,新出現(xiàn)的安全問題等,都要求信息系統(tǒng)自身和用戶作好安全評(píng)估。安全評(píng)估主要分成網(wǎng)絡(luò)安全評(píng)估、主機(jī)安全評(píng)估和數(shù)據(jù)庫(kù)安全評(píng)估三個(gè)層面。
內(nèi)聯(lián)網(wǎng)病毒防護(hù)
病毒防范是網(wǎng)絡(luò)安全的一個(gè)基本的、重要部分。通過(guò)對(duì)病毒傳播、感染的各種方式和途徑進(jìn)行分析,結(jié)合集團(tuán)網(wǎng)絡(luò)的特點(diǎn),在網(wǎng)絡(luò)安全的病毒防護(hù)方面應(yīng)該采用“多級(jí)防范,集中管理,以防為主、防治結(jié)合”的動(dòng)態(tài)防毒策略。
病毒防護(hù)體系主要由桌面網(wǎng)絡(luò)防毒、服務(wù)器防毒和郵件防毒三個(gè)方面。
增強(qiáng)的身份認(rèn)證系統(tǒng)
由于需要管理大量的主機(jī)和網(wǎng)絡(luò)設(shè)備,如何確保口令安全也是一個(gè)非常重要的問題。 減小口令危險(xiǎn)的最為有效的辦法是采用雙因素認(rèn)證方式。雙因素認(rèn)證機(jī)制不僅僅需要用戶提供一個(gè)類似于口令或者PIN的單一識(shí)別要素,而且需要第二個(gè)要素,也即用戶擁有的,通常是認(rèn)證令牌,這種雙因素認(rèn)證方式提供了比可重用的口令可靠得多的用戶認(rèn)證級(jí)別。用戶除了知道他的PIN號(hào)碼外,還必須擁有一個(gè)認(rèn)證令牌。而且口令一般是一次性的,這樣每次的口令是動(dòng)態(tài)變化的,大大提高了安全性。
統(tǒng)一安全平臺(tái)的建立
通過(guò)建立統(tǒng)一的安全管理平臺(tái)(安全運(yùn)行管理中心—SOC),建立起集團(tuán)的安全風(fēng)險(xiǎn)監(jiān)控體系,利于從全局的角度發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全問題,并及時(shí)歸并相關(guān)人員處理。這里的風(fēng)險(xiǎn)監(jiān)控體系包括安全信息庫(kù)、安全事件收集管理系統(tǒng)、安全工單系統(tǒng)等,同時(shí)開發(fā)有效的多種手段實(shí)時(shí)告警系統(tǒng),定制高效的安全報(bào)表系統(tǒng)。
網(wǎng)絡(luò)安全解決方案設(shè)計(jì)范文2
1.1安全系統(tǒng)建設(shè)目標(biāo)
本技術(shù)方案旨在為某市政府網(wǎng)絡(luò)提供全面的網(wǎng)絡(luò)系統(tǒng)安全解決方案,包括安全管理制度策略的制定、安全策略的實(shí)施體系結(jié)構(gòu)的設(shè)計(jì)、安全產(chǎn)品的選擇和部署實(shí)施,以及長(zhǎng)期的合作和技術(shù)支持服務(wù)。系統(tǒng)建設(shè)目標(biāo)是在不影響當(dāng)前業(yè)務(wù)的前提下,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的全面安全管理。
1) 將安全策略、硬件及軟件等方法結(jié)合起來(lái),構(gòu)成一個(gè)統(tǒng)一的防御系統(tǒng),有效阻止非法用戶進(jìn)入網(wǎng)絡(luò),減少網(wǎng)絡(luò)的安全風(fēng)險(xiǎn);
2) 通過(guò)部署不同類型的安全產(chǎn)品,實(shí)現(xiàn)對(duì)不同層次、不同類別網(wǎng)絡(luò)安全問題的防護(hù);
3) 使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用。使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)。最大限度地減少損失。
具體來(lái)說(shuō),本安全方案能夠?qū)崿F(xiàn)全面網(wǎng)絡(luò)訪問控制,并能夠?qū)χ匾刂泣c(diǎn)進(jìn)行細(xì)粒度的訪問控制;
其次,對(duì)于通過(guò)對(duì)網(wǎng)絡(luò)的流量進(jìn)行實(shí)時(shí)監(jiān)控,對(duì)重要服務(wù)器的運(yùn)行狀況進(jìn)行全面監(jiān)控。
1.1.1 防火墻系統(tǒng)設(shè)計(jì)方案
1.1.1.1 防火墻對(duì)服務(wù)器的安全保護(hù)
網(wǎng)絡(luò)中應(yīng)用的服務(wù)器,信息量大、處理能力強(qiáng),往往是攻擊的主要對(duì)象。另外,服務(wù)器提供的各種服務(wù)本身有可能成為"黑客"攻擊的突破口,因此,在實(shí)施方案時(shí)要對(duì)服務(wù)器的安全進(jìn)行一系列安全保護(hù)。
如果服務(wù)器沒有加任何安全防護(hù)措施而直接放在公網(wǎng)上提供對(duì)外服務(wù),就會(huì)面臨著"黑客"各種方式的攻擊,安全級(jí)別很低。因此當(dāng)安裝防火墻后,所有訪問服務(wù)器的請(qǐng)求都要經(jīng)過(guò)防火墻安全規(guī)則的詳細(xì)檢測(cè)。只有訪問服務(wù)器的請(qǐng)求符合防火墻安全規(guī)則后,才能通過(guò)防火墻到達(dá)內(nèi)部服務(wù)器。防火墻本身抵御了絕大部分對(duì)服務(wù)器的攻擊,外界只能接觸到防火墻上的特定服務(wù),從而防止了絕大部分外界攻擊。
1.1.1.2 防火墻對(duì)內(nèi)部非法用戶的防范
網(wǎng)絡(luò)內(nèi)部的環(huán)境比較復(fù)雜,而且各子網(wǎng)的分布地域廣闊,網(wǎng)絡(luò)用戶、設(shè)備接入的可控性比較差,因此,內(nèi)部網(wǎng)絡(luò)用戶的可靠性并不能得到完全的保證。特別是對(duì)于存放敏感數(shù)據(jù)的主機(jī)的攻擊往往發(fā)自內(nèi)部用戶,如何對(duì)內(nèi)部用戶進(jìn)行訪問控制和安全防范就顯得特別重要。為了保障內(nèi)部網(wǎng)絡(luò)運(yùn)行的可靠性和安全性,我們必須要對(duì)它進(jìn)行詳盡的分析,盡可能防護(hù)到網(wǎng)絡(luò)的每一節(jié)點(diǎn)。
對(duì)于一般的網(wǎng)絡(luò)應(yīng)用,內(nèi)部用戶可以直接接觸到網(wǎng)絡(luò)內(nèi)部幾乎所有的服務(wù),網(wǎng)絡(luò)服務(wù)器對(duì)于內(nèi)部用戶缺乏基本的安全防范,特別是在內(nèi)部網(wǎng)絡(luò)上,大部分的主機(jī)沒有進(jìn)行基本的安
全防范處理,整個(gè)系統(tǒng)的安全性容易受到內(nèi)部用戶攻擊的威脅,安全等級(jí)不高。根據(jù)國(guó)際上流行的處理方法,我們把內(nèi)部用戶跨網(wǎng)段的訪問分為兩大類:其一,是內(nèi)部網(wǎng)絡(luò)用戶之間的訪問,即單機(jī)到單機(jī)訪問。這一層次上的應(yīng)用主要有用戶共享文件的傳輸(NETBIOS)應(yīng)用;其次,是內(nèi)部網(wǎng)絡(luò)用戶對(duì)內(nèi)部服務(wù)器的訪問,這一類應(yīng)用主要發(fā)生在內(nèi)部用戶的業(yè)務(wù)處理時(shí)。一般內(nèi)部用戶對(duì)于網(wǎng)絡(luò)安全防范的意識(shí)不高,如果內(nèi)部人員發(fā)起攻擊,內(nèi)部網(wǎng)絡(luò)主機(jī)將無(wú)法避免地遭到損害,特別是針對(duì)于NETBIOS文件共享協(xié)議,已經(jīng)有很多的漏洞在網(wǎng)上公開報(bào)道,如果網(wǎng)絡(luò)主機(jī)保護(hù)不完善,就可能被內(nèi)部用戶利用"黑客"工具造成嚴(yán)重破壞。
1.1.2入侵檢測(cè)系統(tǒng)
利用防火墻技術(shù),經(jīng)過(guò)仔細(xì)的配置,通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù),降低了網(wǎng)絡(luò)安全風(fēng)險(xiǎn),但是入侵者可尋找防火墻背后可能敞開的后門,入侵者也可能就在防火墻內(nèi)。
網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)位于有敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上,通過(guò)實(shí)時(shí)偵聽網(wǎng)絡(luò)數(shù)據(jù)流,尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)行為和未授權(quán)的網(wǎng)絡(luò)訪問時(shí),網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng),包括實(shí)時(shí)報(bào)警、事件登錄,或執(zhí)行用戶自定義的安全策略等。網(wǎng)絡(luò)監(jiān)控系統(tǒng)可以部署在網(wǎng)絡(luò)中有安全風(fēng)險(xiǎn)的地方,如局域網(wǎng)出入口、重點(diǎn)保護(hù)主機(jī)、遠(yuǎn)程接入服務(wù)器、內(nèi)部網(wǎng)重點(diǎn)工作站組等。在重點(diǎn)保護(hù)區(qū)域,可以單獨(dú)各部署一套網(wǎng)絡(luò)監(jiān)控系統(tǒng)(管理器+探測(cè)引擎),也可以在每個(gè)需要保護(hù)的地方單獨(dú)部署一個(gè)探測(cè)引擎,在全網(wǎng)使用一個(gè)管理器,這種方式便于進(jìn)行集中管理。
在內(nèi)部應(yīng)用網(wǎng)絡(luò)中的重要網(wǎng)段,使用網(wǎng)絡(luò)探測(cè)引擎,監(jiān)視并記錄該網(wǎng)段上的所有操作,在一定程度上防止非法操作和惡意攻擊網(wǎng)絡(luò)中的重要服務(wù)器和主機(jī)。同時(shí),網(wǎng)絡(luò)監(jiān)視器還可以形象地重現(xiàn)操作的過(guò)程,可幫助安全管理員發(fā)現(xiàn)網(wǎng)絡(luò)安全的隱患。
需要說(shuō)明的是,IDS是對(duì)防火墻的非常有必要的附加而不僅僅是簡(jiǎn)單的補(bǔ)充。
按照現(xiàn)階段的網(wǎng)絡(luò)及系統(tǒng)環(huán)境劃分不同的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)區(qū)域,xxx市政府本期網(wǎng)絡(luò)安全系統(tǒng)項(xiàng)目的需求為:
區(qū)域 部署安全產(chǎn)品
內(nèi)網(wǎng) 連接到Internet的出口處安裝兩臺(tái)互為雙機(jī)熱備的海信FW3010PF-4000型百兆防火墻;在主干交換機(jī)上安裝海信千兆眼鏡蛇入侵檢測(cè)系統(tǒng)探測(cè)器;在主干交換機(jī)上安裝NetHawk網(wǎng)絡(luò)安全監(jiān)控與審計(jì)系統(tǒng);在內(nèi)部工作站上安裝趨勢(shì)防毒墻網(wǎng)絡(luò)版防病毒軟件;在各服務(wù)器上安裝趨勢(shì)防毒墻服務(wù)器版防病毒軟件。
DMZ區(qū) 在服務(wù)器上安裝趨勢(shì)防毒墻服務(wù)器版防病毒軟件;安裝一臺(tái)InterScan
VirusWall防病毒網(wǎng)關(guān);安裝百兆眼鏡蛇入侵檢測(cè)系統(tǒng)探測(cè)器和NetHawk網(wǎng)絡(luò)安全監(jiān)控與審計(jì)系統(tǒng)。
安全監(jiān)控與備份中心 安裝FW3010-5000千兆防火墻,安裝RJ-iTOP榕基網(wǎng)絡(luò)安全漏洞掃描器;安裝眼鏡蛇入侵檢測(cè)系統(tǒng)控制臺(tái)和百兆探測(cè)器;安裝趨勢(shì)防毒墻服務(wù)器版管理服務(wù)器,趨勢(shì)防毒墻網(wǎng)絡(luò)版管理服務(wù)器,對(duì)各防病毒軟件進(jìn)行集中管理。
網(wǎng)絡(luò)安全解決方案設(shè)計(jì)范文3
網(wǎng)絡(luò)信息系統(tǒng)的安全技術(shù)體系通常是在安全策略指導(dǎo)下合理配置和部署:網(wǎng)絡(luò)隔離與訪問控制、入侵檢測(cè)與響應(yīng)、漏洞掃描、防病毒、數(shù)據(jù)加密、身份認(rèn)證、安全監(jiān)控與審計(jì)等技術(shù)設(shè)備,并且在各個(gè)設(shè)備或系統(tǒng)之間,能夠?qū)崿F(xiàn)系統(tǒng)功能互補(bǔ)和協(xié)調(diào)動(dòng)作。
網(wǎng)絡(luò)系統(tǒng)安全具備的功能及配置原則
1.網(wǎng)絡(luò)隔離與訪問控制。通過(guò)對(duì)特定網(wǎng)段、服務(wù)進(jìn)行物理和邏輯隔離,并建立訪問控制機(jī)制,將絕大多數(shù)攻擊阻止在網(wǎng)絡(luò)和服務(wù)的邊界以外。
2.漏洞發(fā)現(xiàn)與堵塞。通過(guò)對(duì)網(wǎng)絡(luò)和運(yùn)行系統(tǒng)安全漏洞的周期檢查,發(fā)現(xiàn)可能被攻擊所利用的漏洞,并利用補(bǔ)丁或從管理上堵塞漏洞。
3.入侵檢測(cè)與響應(yīng)。通過(guò)對(duì)特定網(wǎng)絡(luò)(段)、服務(wù)建立的入侵檢測(cè)與響應(yīng)體系,實(shí)時(shí)檢測(cè)出攻擊傾向和行為,并采取相應(yīng)的行動(dòng)(如斷開網(wǎng)絡(luò)連接和服務(wù)、記錄攻擊過(guò)程、加強(qiáng)審計(jì)等)。
4.加密保護(hù)。主動(dòng)的加密通信,可使攻擊者不能了解、修改敏感信息(如方式)或數(shù)據(jù)加密通信方式;對(duì)保密或敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ),可防止竊取或丟失。
5.備份和恢復(fù)。良好的備份和恢復(fù)機(jī)制,可在攻擊造成損失時(shí),盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。
6.監(jiān)控與審計(jì)。在辦公網(wǎng)絡(luò)和主要業(yè)務(wù)網(wǎng)絡(luò)內(nèi)配置集中管理、分布式控制的監(jiān)控與審計(jì)系統(tǒng)。一方面以計(jì)算機(jī)終端為單元強(qiáng)化桌面計(jì)算的內(nèi)外安全控制與日志記錄;另一方面通過(guò)集中管理方式對(duì)內(nèi)部所有計(jì)算機(jī)終端的安全態(tài)勢(shì)予以掌控。
邊界安全解決方案
在利用公共網(wǎng)絡(luò)與外部進(jìn)行連接的“內(nèi)”外網(wǎng)絡(luò)邊界處使用防火墻,為“內(nèi)部”網(wǎng)絡(luò)(段)與“外部”網(wǎng)絡(luò)(段)劃定安全邊界。在網(wǎng)絡(luò)內(nèi)部進(jìn)行各種連接的地方使用帶防火墻功能的設(shè)備,在進(jìn)行“內(nèi)”外網(wǎng)絡(luò)(段)的隔離的同時(shí)建立網(wǎng)絡(luò)(段)之間的安全通道。
1.防火墻應(yīng)具備如下功能:
使用NAT把DMZ區(qū)的服務(wù)器和內(nèi)部端口影射到Firewall的對(duì)外端口;
允許Internet公網(wǎng)用戶訪問到DMZ區(qū)的應(yīng)用服務(wù):http、ftp、smtp、dns等;
允許DMZ區(qū)內(nèi)的工作站與應(yīng)用服務(wù)器訪問Internet公網(wǎng);
允許內(nèi)部用戶訪問DMZ的應(yīng)用服務(wù):http、ftp、smtp、dns、pop3、https;
允許內(nèi)部網(wǎng)用戶通過(guò)代理訪問Internet公網(wǎng);
禁止Internet公網(wǎng)用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)和非法訪問DMZ區(qū)應(yīng)用服務(wù)器;
禁止DMZ區(qū)的公開服務(wù)器訪問內(nèi)部網(wǎng)絡(luò);
防止來(lái)自Internet的DOS一類的攻擊;
能接受入侵檢測(cè)的聯(lián)動(dòng)要求,可實(shí)現(xiàn)對(duì)實(shí)時(shí)入侵的策略響應(yīng);
對(duì)所保護(hù)的主機(jī)的常用應(yīng)用通信協(xié)議(http、ftp、telnet、smtp)能夠替換服務(wù)器的Banner信息,防止惡意用戶信息刺探;
提供日志報(bào)表的自動(dòng)生成功能,便于事件的分析;
提供實(shí)時(shí)的網(wǎng)絡(luò)狀態(tài)監(jiān)控功能,能夠?qū)崟r(shí)的查看網(wǎng)絡(luò)通信行為的連接狀態(tài)(當(dāng)前有那些連接、正在連接的IP、正在關(guān)閉的連接等信息),通信數(shù)據(jù)流量。提供連接查詢和動(dòng)態(tài)圖表顯示。
防火墻自身必須是有防黑客攻擊的保護(hù)能力。
2.帶防火墻功能的設(shè)備是在防火墻基本功能(隔離和訪問控制)基礎(chǔ)上,通過(guò)功能擴(kuò)展,同時(shí)具有在IP層構(gòu)建端到端的具有加密選項(xiàng)功能的ESP隧道能力,這類設(shè)備也有S的,主要用于通過(guò)外部網(wǎng)絡(luò)(公共通信基礎(chǔ)網(wǎng)絡(luò))將兩個(gè)或兩個(gè)以上“內(nèi)部”局域網(wǎng)安全地連接起來(lái),一般要求S應(yīng)具有一下功能:
防火墻基本功能,主要包括:IP包過(guò)慮、應(yīng)用代理、提供DMZ端口和NAT功能等(有些功能描述與上相同);
具有對(duì)連接兩端的實(shí)體鑒別認(rèn)證能力;
支持移動(dòng)用戶遠(yuǎn)程的安全接入;
支持IPESP隧道內(nèi)傳輸數(shù)據(jù)的完整性和機(jī)密性保護(hù);
提供系統(tǒng)內(nèi)密鑰管理功能;
S設(shè)備自身具有防黑客攻擊以及網(wǎng)上設(shè)備認(rèn)證的能力。
入侵檢測(cè)與響應(yīng)方案
在網(wǎng)絡(luò)邊界配置入侵檢測(cè)設(shè)備,不僅是對(duì)防火墻功能的必要補(bǔ)充,而且可與防火墻一起構(gòu)建網(wǎng)絡(luò)邊界的防御體系。通過(guò)入侵檢測(cè)設(shè)備對(duì)網(wǎng)絡(luò)行為和流量的特征分析,可以檢測(cè)出侵害“內(nèi)部”網(wǎng)絡(luò)或?qū)ν庑孤┑木W(wǎng)絡(luò)行為和流量,與防火墻形成某種協(xié)調(diào)關(guān)系的互動(dòng),從而在“內(nèi)部”網(wǎng)與外部網(wǎng)的邊界處形成保護(hù)體系。
入侵檢測(cè)系統(tǒng)的基本功能如下:
通過(guò)檢測(cè)引擎對(duì)各種應(yīng)用協(xié)議,操作系統(tǒng),網(wǎng)絡(luò)交換的數(shù)據(jù)進(jìn)行分析,檢測(cè)出網(wǎng)絡(luò)入侵事件和可疑操作行為。
對(duì)自身的數(shù)據(jù)庫(kù)進(jìn)行自動(dòng)維護(hù),無(wú)需人工干預(yù),并且不對(duì)網(wǎng)絡(luò)的正常運(yùn)行造成任何干擾。
采取多種報(bào)警方式實(shí)時(shí)報(bào)警、音響報(bào)警,信息記錄到數(shù)據(jù)庫(kù),提供電子郵件報(bào)警、SysLog報(bào)警、SNMPTrap報(bào)警、Windows日志報(bào)警、Windows消息報(bào)警信息,并按照預(yù)設(shè)策略,根據(jù)提供的報(bào)警信息切斷攻擊連接。
與防火墻建立協(xié)調(diào)聯(lián)動(dòng),運(yùn)行自定義的多種響應(yīng)方式,及時(shí)阻隔或消除異常行為。
全面查看網(wǎng)絡(luò)中發(fā)生的所有應(yīng)用和連接,完整的顯示當(dāng)前網(wǎng)絡(luò)連接狀態(tài)。
可對(duì)網(wǎng)絡(luò)中的攻擊事件,訪問記錄進(jìn)行適時(shí)查詢,并可根據(jù)查詢結(jié)果輸出圖文報(bào)表,能讓管理人員方便的提取信息。
入侵檢測(cè)系統(tǒng)猶如攝像頭、監(jiān)視器,在可疑行為發(fā)生前有預(yù)警,在攻擊行為發(fā)生時(shí)有報(bào)警,在攻擊事件發(fā)生后能記錄,做到事前、事中、事后有據(jù)可查。
漏洞掃描方案
除利用入侵檢測(cè)設(shè)備檢測(cè)對(duì)網(wǎng)絡(luò)的入侵和異常流量外,還需要針對(duì)主機(jī)系統(tǒng)的漏洞采取檢查和發(fā)現(xiàn)措施。目前常用的方法是配置漏洞掃描設(shè)備。主機(jī)漏洞掃描可以主動(dòng)發(fā)現(xiàn)主機(jī)系統(tǒng)中存在的系統(tǒng)缺陷和可能的安全漏洞,并提醒系統(tǒng)管理員對(duì)該缺陷和漏洞進(jìn)行修補(bǔ)或堵塞。
對(duì)于漏洞掃描的結(jié)果,一般可以按掃描提示信息和建議,屬外購(gòu)標(biāo)準(zhǔn)產(chǎn)品問題的,應(yīng)及時(shí)升級(jí)換代或安裝補(bǔ)丁程序;屬委托開發(fā)的產(chǎn)品問題的,應(yīng)與開發(fā)商協(xié)議修改程序或安裝補(bǔ)丁程序;屬于系統(tǒng)配置出現(xiàn)的問題,應(yīng)建議系統(tǒng)管理員修改配置參數(shù),或視情況關(guān)閉或卸載引發(fā)安全漏洞的程序模塊或功能模塊。
漏洞掃描功能是協(xié)助安全管理、掌握網(wǎng)絡(luò)安全態(tài)勢(shì)的必要輔助,對(duì)使用這一工具的安全管理員或系統(tǒng)管理員有較高的技術(shù)素質(zhì)要求。
考慮到漏洞掃描能檢測(cè)出防火墻策略配置中的問題,能與入侵檢測(cè)形成很好的互補(bǔ)關(guān)系:漏洞掃描與評(píng)估系統(tǒng)使系統(tǒng)管理員在事前掌握主動(dòng)地位,在攻擊事件發(fā)生前找出并關(guān)閉安全漏洞;而入侵檢測(cè)系統(tǒng)則對(duì)系統(tǒng)進(jìn)行監(jiān)測(cè)以期在系統(tǒng)被破壞之前阻止攻擊得逞。因此,漏洞掃描與入侵檢測(cè)在安全保護(hù)方面不但有共同的安全目標(biāo),而且關(guān)系密切。本方案建議采購(gòu)將入侵檢測(cè)、管理控制中心與漏洞掃描一體化集成的產(chǎn)品,不但可以簡(jiǎn)化管理,而且便于漏洞掃描、入侵檢測(cè)和防火墻之間的協(xié)調(diào)動(dòng)作。
網(wǎng)絡(luò)防病毒方案
網(wǎng)絡(luò)防病毒產(chǎn)品較為成熟,且有幾種主流產(chǎn)品。本方案建議,網(wǎng)絡(luò)防病毒系統(tǒng)應(yīng)具備下列功能:
網(wǎng)絡(luò)&單機(jī)防護(hù)—提供個(gè)人或家庭用戶病毒防護(hù);
文件及存儲(chǔ)服務(wù)器防護(hù)—提供服務(wù)器病毒防護(hù);
郵件服務(wù)器防護(hù)—提供LotusNotes,MicrosoftExchange等病毒防護(hù);
網(wǎng)關(guān)防護(hù)—在SMTP,HTTP,和FTPservergateway阻擋計(jì)算機(jī)病毒;
集中管理—為企業(yè)網(wǎng)絡(luò)的防毒策略,提供了強(qiáng)大的集中控管能力。
關(guān)于安全設(shè)備之間的功能互補(bǔ)與協(xié)調(diào)運(yùn)行
各種網(wǎng)絡(luò)安全設(shè)備(防火墻、入侵檢測(cè)、漏洞掃描、防病毒產(chǎn)品等),都有自己獨(dú)特的安全探測(cè)與安全保護(hù)能力,但又有基于自身主要功能的擴(kuò)展能力和與其它安全功能的對(duì)接能力或延續(xù)能力。因此,在安全設(shè)備選型和配置時(shí),盡可能考慮到相關(guān)安全設(shè)備的功能互補(bǔ)與協(xié)調(diào)運(yùn)行,對(duì)于提高網(wǎng)絡(luò)平臺(tái)的整體安全性具有重要意義。
防火墻是目前廣泛用于隔離網(wǎng)絡(luò)(段)邊界并實(shí)施進(jìn)/出信息流控制的大眾型網(wǎng)絡(luò)安全產(chǎn)品之一。作為不同網(wǎng)絡(luò)(段)之間的邏輯隔離設(shè)備,防火墻將內(nèi)部可信區(qū)域與外部危險(xiǎn)區(qū)域有效隔離,將網(wǎng)絡(luò)的安全策略制定和信息流動(dòng)集中管理控制,為網(wǎng)絡(luò)邊界提供保護(hù),是抵御入侵控制內(nèi)外非法連接的。
但防火墻具有局限性。這種局限性并不說(shuō)明防火墻功能有失缺,而且由于本身只應(yīng)該承擔(dān)這樣的職能。因?yàn)榉阑饓κ桥渲迷诰W(wǎng)絡(luò)連接邊界的通道處的,這就決定了它的基本職能只應(yīng)提供靜態(tài)防御,其規(guī)則都必須事先設(shè)置,對(duì)于實(shí)時(shí)的攻擊或異常的行為不能做出實(shí)時(shí)反應(yīng)。這些控制規(guī)則只能是粗顆粒的,對(duì)一些協(xié)議細(xì)節(jié)無(wú)法做到完全解析。而且,防火墻無(wú)法自動(dòng)調(diào)整策略設(shè)置以阻斷正在進(jìn)行的攻擊,也無(wú)法防范基于協(xié)議的攻擊。
為了彌補(bǔ)防火墻在實(shí)際應(yīng)用中存在的局限,防火墻廠商主動(dòng)提出了協(xié)調(diào)互動(dòng)思想即聯(lián)動(dòng)問題。防火墻聯(lián)動(dòng)即將其它安全設(shè)備(組件)(例如IDS)探測(cè)或處理的結(jié)果通過(guò)接口引入系統(tǒng)內(nèi)調(diào)整防火墻的安全策略,增強(qiáng)防火墻的訪問控制能力和范圍,提高整體安全水平。
看過(guò)網(wǎng)絡(luò)安全解決方案設(shè)計(jì)的人還看了:
1.2017年網(wǎng)絡(luò)安全報(bào)告格式范文
2.關(guān)于校園網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)方案