网络安全方案设计.doc

网络安全方案设计 旅游小岛运营设计方案（2011/2012学年 第一学期）学生系别： 学生班级： 学生姓名： 学生学号： 指导教师： 2011-12-16目录第一章安全威胁与需求21.1威胁来源21.2安全需求2第二章网络体系32.1 网络体系结构图32.2 拓扑分析3第三章网络安全部署43.1 网络部署及说明4第四章 设备选型64.1 选型要求64.2 设备参数74.3 入侵检测84.4 选取原因8第五章安全设置95.1 网络安全设置95.2 系统安全设置10第六章总结11第一章 安全威胁与需求1.1 威胁来源1. 网络上各种各样的网络病毒。2. 大量用户频繁登录系统及不正确操作对系统产生不可预计危害。3. 由于系统的未知漏洞而产生的信息安全问题。4. 对用户信息安全的保护问题。5. 日渐多样的网络攻击形式。6. ip、mac地址的盗用。1.2 安全需求1 局域网lan内部的安全问题，包括网段的划分以及vlan的实现。2 在连接internet时，如何在网络层实现安全性。3 应用系统如何保证安全性、如何防止黑客对网络、主机、服务器等的入侵。4 如何实现广域网信息传输的安全保密性。5 加密系统如何布置，包括建立证书管理中心、应用系统集成加密等。6 如何实现远程访问的安全性。7 如何评价网络系统的整体安全性。第二章 网络体系2.1 网络体系结构图 internet主干网络服务器交换机主干路由器住宿部餐饮部娱乐部防火墙控制中心旅行社1旅行社2旅行社3入侵检测系统体系结构图2.2 拓扑分析 本网络是由客户端与服务器端组成的，客户通过旅行社客户端，与小岛处服务器端通过internet建立通信，将全球各地的用户信息及其他服务信息通过internet汇集与主干网络与服务器进行通信。同时为保证信息及系统安全，在外部信息和内部信息进行交换时需要通过防火墙。 控制中心主要作用是控制系统安全运行，以及在系统出错迅速作出反应以减少所产生损失。 服务器用于对用户信息、系统信息等重要信息的记录和更新等操作保证系统正常运行。然后通过主干网络于交换机与岛上各个部门建立联系。第三章 网络安全部署3.1 网络部署及说明 网络的安全层次分为:链路安全、网络安全、信息安全。网络的安全层次及在相应层次上采取的安全措施见下表：信息安全信息传输安全（动态安全）数据加密数据完整性鉴别防抵赖安全管理 信息存储安全（静态安全）数据库安全终端安全信息的防泄密信息内容审计用户鉴别授权（ca）网络安全访问控制（防火墙)网络安全检测入侵检测（监控)ipsec（ip安全）审计分析链路安全链路加密1、 链路安全链路安全保护措施主要是链路加密设备，如各种链路加密机。它对所有用户数据一起加密，用户数据通过通信线路送到另一节点后立即解密。加密后的数据不能进行路由交换。2、 网络安全网络的安全问题主要是由网络的开放性、无边界性、自由性造成的，所以我们考虑信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来，成为可管理、可控制的安全的内部网络。也只有做到这一点，实现信息网络的安全才有可能，而最基本的分隔手段就是防火墙。利用防火墙，可以实现内部网（信任网络）与外部不可信任网络（如因特网）之间或是内部网不同网络安全域的隔离与访问控制，保证网络系统及网络服务的可用性。入侵检测系统是实时网络违规自动识别和响应系统。它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方，通过实时截获网络数据流，能够识别、记录入侵和破坏性代码流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时，入侵检测系统能够根据系统安全策略做出反应，包括实时报警、事件登录，自动阻断通信连接或执行用户自定义的安全策略等。3、 信息安全我们把信息安全定义为应用层与数据安全。在这一层次上，主要是应用密码技术解决用户身份鉴别、用户权限控制、数据的机密性、完整性等网络上信息的安全问题。由于网络的开放性和资源的共享，使得网络上的信息（无论是动态的还是静态的）的使用和修改都是自由的，如非法修改、越权使用、改变信息的流向等。 第四章 设备选型4.1 选型要求1、 基本防护体系用户需求：全部或部分满足以下各项解决内外网络边界安全，防止外部攻击，保护内部网络 解决内部网安全问题，隔离内部不同网段，建立vlan 根据ip地址、协议类型、端口进行过滤 内外网络采用两套ip地址，需要网络地址转换nat功能 支持安全服务器网络ssn 通过ip地址与mac地址对应防止ip欺骗 基于ip地址计费 基于ip地址的流量统计与限制 基于ip地址的黑白名单。 防火墙运行在安全操作系统之上 防火墙为独立硬件 防火墙无ip地址2、 标准防护体系用户需求：在基本防护体系配置的基础之上，全部或部分满足以下各项提供应用代理服务，隔离内外网络 用户身份鉴别 权限控制 基于用户计费 基于用户的流量统计与控制 基于web的安全管理 支持vpn及其管理 支持透明接入 具有自身保护能力，防范对防火墙的常见攻击3、 强化防护体系用户需求：在标准防护体系配置的基础之上，全部或部分满足以下各项网络安全性检测（包括服务器、防火墙、主机及其它tcp/ip相关设备） 操作系统安全性检测 网络监控与入侵检测 4.2 设备参数 设备名称：cisco asa5510-k8 防火墙参数 4.3 入侵检测 对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上，入侵检测分为两类：一种基于标志（signature-based），另一种基于异常情况（anomaly-based）。对于基于标识的检测技术来说，首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。而基于异常的检测技术则是先定义一组系统“正常”情况的数值，如cpu利用率、内存利用率、文件校验和等（这类数据可以人为定义，也可以通过观察系统、并用统计的办法得出），然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。两种检测技术的方法、所得出的结论有非常大的差异。基于标志的检测技术的核心是维护一个知识库。对于已知的攻击，它可以详细、准确的报告出攻击类型，但是对未知攻击却效果有限，而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手法，但它可以（至少在理论上可以）判别更广范、甚至未发觉的攻击。4.4 选取原因 由于该网络面向全球用户，用户量较大，所以要选用的防火墙用户限制必须是比较大的，且性价比高，并发连接数高，价格低廉，重量轻，功能齐全具有入侵检测、安全标准为ul 1950，csa c22.2 no. 950，en 60950 iec 60950，as/nzs3260，ts001等。虽然端口较少3个快速以太网端口，但是也足够使用。第五章 安全设置5.1 网络安全设置 1. 禁止动态路由 #touch /etc/notroute 2. 不提示telnet信息 touch /etc/default/telnetd echo banner= /etc/default/telnetd chmod 444 /etc/default/telnetd3不提示ftp信息 touch /etc/default/ftpd echo banner= /etc/default/ftpd chmod 444 /etc/default/ftpd4. 系统日志 在日常维护中，时时检查系统日志是防范攻击的必不可少的步骤。以下列出常用的日志文件的说明： 文件名称 说明 /var/adm/lastlog 记载用户最后一次成功登录消息 /var/adm/loginlog 记录不良的尝试记录 /var/adm/messages 记录输出到系统主控台以及由syslog系统服务程序产生的消息，一般系统管理员在这里查看报警信息和错误信息 /var/adm/utmp 记录当前登录的每个用户 /var/adm/utmpx 扩展的utmp /var/adm/wtmp 记录每一次用户登录和注销的信息 /var/adm/wtmpx 扩展的wtmp /var/adm/sulog 记录使用su指令的情况 /var/cron/log 调度日志5.2 系统安全设置 1取消rlogin/rsh服务 移去/etc/hosts.equiv和/.rhosts以及各home目录下的.rhosts。2防止堆栈溢出 至少90%以上的安全问题都是来自所谓的“堆栈溢出”。攻击者通过给一个以root身份运行的程序提供比它所预期的输入多得多的东西，使被攻击程序无法处理而改变执行流程去执行攻击者指定的代码。3系统路径path 绝对禁止把当前目录“.”放到path中，尤其是放在path的第一项。 通过以下命令查看当前path： #echo $path4. 文件权限设置 1）保证系统配置文件的所有人是root； 2）修改以下文件权限： #chmod 660 /etc/passwd /etc/shadow #chmod 750 /etc/security #chmod 660 /var/adm/vold.log /var/adm/spellhist /var/adm/messages #chmod 660 /var/adm/wtmp /var/adm/wtmpx /var/adm/utmp /var/adm/utmpx #chmod 660 /var/log/syslog5. suid位 许多setgid和setuid程序都只是由root运行的，或者是由某些特定用户或组运行，那就可以将其setuid位 移去，下面是一个solaris 7上setuid程序的列表，如果你的系统中有你所没见过的setuid程序，要小心。第六章 总结通过本次网络安全设置了解了网络安全需求：防止ip地址冲突、非法站点访问过滤 、非法言论的准确追踪、恶意攻击的实时处理、记录访问日志提供完整审计等要求。以及网络管理需求：