赛门铁克网关安全方案模板.doc

赛门铁克网关安全解决方案北京赛门铁克信息技术有限公司2012年3月赛门铁克网关安全解决方案1一、某某公司网络结构描述2二、某某公司网络网关安全需求分析3 21分析来自Internet的安全威胁4 22其他网关安全考虑6 23某某公司网络网关安全需求分析7三、项目的设计目标和原则8四、网关安全产品的类型及企业选择网关安全产品应考虑的因素841 网关安全产品的类型及优缺点942 企业选择网关安全产品应考虑的因素11五、赛门铁克网关安全产品推荐15六、赛门铁克网关安全产品部署规划1661 部署前准备1662 试验性部署1663 实际部署1664 调试、验收1665 管理维护说明17一、 某某公司网络结构描述 （以客户网络拓扑图为基础，正确、清晰的描述客户的网络结构，包括Internet 出口，Extranet连接，路由器交换机部署，各线路的带宽，以及近期可能的网络变动计划等等） （客户网络拓扑图）某某公司是在1999年成立。网络规模较小。目前所有办公及业务允许均在一个网络中。进行分析：只有一个连接INTERNET的连接口，使用？的上网方式。重要服务器集中在某一网段里。（参见示意图）。（公司网络拓扑） 二、 某某公司网络网关安全需求分析网络的广泛连接性、专用网络与基于这些网络之上的计算机基础设施间的混合应用改变了企业商务运作的方式。随着信息变得越来越有价值，也越来越易传送，因此在网络的受保护区域及未受保护区域间进行信息的安全传送显得比以前更为重要。企业的信息技术主管都在考虑以下所列出的问题：是否企业的网络同互联网相联通过企业的网络是否能够获得机密信息企业的员工及信息资产是否受到保护企业是否有远程或者移动工作员工；如何对他们的体系进行保护企业是否具有远程办事处；他们是否有需要保护的信息资产企业是否由于攻击而遭受财政损失企业是否满意现有的安全保护级别，并且企业是否已具有了此种保护能力防火墙（或类似产品）对于任何一个企业网络安全规划都是一个重要的组件。防火墙是一种基于硬件或软件之上的，在专用或封闭网络的内部或者边界进行战略安装的系统。它阻止未授权用户进入这些网络或相应网络段。这也就是为什么称它们为边界防护机制或安全网关的原因所在。一个高安全的防火墙能够检查从互联网或外部网络试图进入受保护网络或网络段的所有信息。它通过分析网络信息和基于预设规则的许可通道而提供保护。它防止任何不满足特定的、不符合安全标准规则的信息进入。21分析来自Internet的安全威胁Internet是最广泛、最复杂也最不安全的网络，因而当私有网络在没有安装防火墙而直接与Internet连接时私有网络上的每个节点都暴露给Internet上的其它主机，极易受到攻击。这就意味着私有网络的安全性要由内部每一个主机的自身的坚固程度来决定，并且安全性等同于其中最弱的系统。这样一旦某台内网的主机被黑客攻击成功，便可以通过这台主机作为跳板，顺利的实施对内部网其他主机的攻击。黑客攻击产生的后果经常是及其严重的，例如造成机密信息泄漏，重要数据的破坏，无法提供正常服务等恶劣后果。从而给整个网络造成极大的损失，还将严重影响企业形象和企业信誉甚至导致无法挽救的灾难。网络的开放和互联使Internet接口几乎承受着所有可能的安全威胁，因此接入Internet的边界处对安全技术要求很高。对内部网接入Internet的安全防范应满足以下原则： 在未采取安全措施的情况下，禁止内部网以任何形式直接接入Internet； 采取足够的安全措施后，允许内部网对Internet开通必要的业务； 对Internet公开发布的信息应采取安全措施保障信息不被篡改。 在内部网络和Internet的连接处部署集成的安全技术和产品。因此，连接Internet的边界处考虑实施网关安全措施时，主要考虑:身份认证、访问控制、数据完整性、安全审计、入侵检测及入侵防护、病毒防护和反垃圾邮件等安全指标，要求如下：1、身份认证 必要时能够对内部网访问Internet加身份认证，认证方式可采用静态口令来实现； 从Internet进入内部网指定主机的特定访问，必须通过基于动态口令或公钥机制的身份认证。2、访问控制在Internet接口，访问控制的主体是内部网用户和Internet用户，客体是内部主机、内部服务器及对Internet开放的各种资源服务器。对内部网用户和Internet用户的访问控制应有所区别。内部网用户访问Internet，访问控制要求如下： 能限制开通的服务类型，如开通www、email，关闭telnet； 能限制访问特定的Internet网站； 能开通内部对外部的单向访问； 能禁止或允许特定主机对Internet的访问。对来自Internet的访问，其访问控制要求如下： 禁止来自Internet的访问直接进入内部网； 只允许Internet 特定用户经代理设备访问内部网指定主机提供的指定业务； 必须采取安全措施，将为Internet提供信息服务的服务器与Internet隔离，从而保障该服务器的安全； 必须采取安全措施，将为Internet提供信息服务的服务器与内部网隔离，从而保障内部网的安全。3、数据完整性Internet接口的安全措施必须保障为Internet提供服务的服务器上的数据不受非授权修改。4、安全审计 对进出Internet的访问必须进行审计。具体要求如下： 能够生成进出Internet的访问日志； 日志内容包括访问时间、主体和客体地址和身份信息、访问方式、访问成败情况、持续时间、同一访问发起建立连接次数、本次访问通信流量等； 对所记录的日志具有格式化的审计功能，能够针对不同主体、客体、时间段、访问成败等情况进行统计并形式化输出。5、入侵检测及入侵防护入侵检测系统是安全系统重要组成部分，可以对流经的数据包进行数据分析，过滤掉含有攻击指令和操作的数据包，保护网络的安全。提供对内部攻击、外部攻击和误操作的实时保护。利用高效的智能检测技术，并配置过滤规则知识库，从而能够快速地对通过系统的信息包进行分析检测，在保障正常网络通信的同时能够有效地阻止黑客的攻击行为或用户的非法操作。入侵检测系统在发现入侵后，会及时做出入侵防护响应，包括切断网络连接、记录事件、自动调用防火墙来实现阻断和报警等。6、病毒防护在网关、服务器、客户端均有病毒防护的需求，而在网关处部署网关级病毒防护有重大意义，对出入内部网络流量，特别是从Internet进入内部网络的流量，如：FTP、HTTP、SMTP流量进行病毒扫描，避免绝大多数病毒由Internet传入企业内部网络，大大降低内部网络应对病毒的难度和工作量。7、反垃圾邮件 在网关处对出入内部网络的SMTP流量，特别是从Internet进入内部网络的SMTP流量进行反垃圾邮件控制，避免大量的垃圾邮件由Internet传入企业内部网络，大大降低内部网络应对垃圾邮件的难度和工作量。22其他网关安全考虑1、VPN接入VPN中文全称是虚拟专用网，是一种使用公网实现安全数据传输的技术，它可以保证数据传输途中不被窥探其内容，但它无法阻止VPN两端的某端借此通路对另一端实施攻击或病毒传播。因此，对VPN接入线路同样需考虑安全措施，主要考虑对来自VPN通路的数据也需进行入侵检测和防病毒，而且考虑将VPN入口置于防火墙之前，不要直接接入内部网络。2、拨号接入类似对VPN接入的考虑，对拨号接入线路同样需考虑安全措施，主要考虑对来自拨号接入通路的数据也需进行入侵检测和防病毒，而且考虑将拨号接入入口置于防火墙之前，不要直接接入内部网络。3内部重要服务器隔离 对一些内部的重要服务器或重要部门的小网络，为了提供其安全性，尤其是为避免内部人员的攻击或内部病毒蔓延的破坏，考虑设置“内部网关”实现内部的网络隔离。4对外公开的服务器 对外公开的服务器，例如WEB服务器，FTP服务器等，一定不能直接暴露于外部网络，建立DMZ区（非军事区），将对外公开的服务器置于其中，再加以必要的安全控制。23某某公司网络网关安全需求分析（分析客户网络连接情况，目前客户网络中已经采用的安全产品和安全措施，重点分析对于重要服务器/重要网络网段而言的边界点的安全威胁，如Internet连接处或与Entranet的其它部分的连接处，明确提出需求分析结论即建议在哪些边界点部署怎样的网关安全产品。）通过以上分析，结合某某公司网络拓扑结构的分析，我们建议:1、在INTERNET连接处部署一台高安全性高性能的硬件防火墙（包括访问控制、身份认证、VPN、入侵检测、防病毒、反垃圾邮件、安全审计功能）来控制Internet通讯、VPN接入，同时用它建立一个DMZ区，将一些需要对外公开的服务器放入DMZ区加以保护。（见部署示意图）5、对核心服务器群（如财务服务器）部署一台高安全性高性能的硬件防火墙（包括访问控制、身份认证、VPN、入侵检测、防病毒、反垃圾邮件、安全审计功能）来实现重要服务器群的安全隔离。（见部署示意图）三、 项目的设计目标和原则本项目的设计目标是为某某公司网络构建一套边界安全系统，结合目前某某公司网络的现状，在尽量不改变当前网络结构和尽量不影响当前网络性能的前提下，提出合理可行、安全高效的解决方案。在规划设计过程中，主要考虑和遵循以下几条原则：1、 确保选择先进的、开放的技术和产品；2、 确保选择的产品有良好的安全性、可扩充性和易管理性；3、 在选择产品和确定相应的解决方案时，充分考虑其实用性和可靠性；4、 尽量本着不降低网络性能；尽量减少网络改造；5、 本着保护现有投资原则；6、 充分考虑高可用性以及高扩展性；7、 确保企业最低总拥有成本，尽量减少企业的成本；8、 从发展的角度出发，提出远景规划和其他方面的考虑。四、 网关安全产品的类型及企业选择网关安全产品应考虑的因素41 网关安全产品的类型及优缺点l 包过滤防火墙 在Internet这样的TCP/IP网络上，所有往来的信息都被分割成许许多多一定长度的信息包，包中包含发送者的IP地址和接收者的IP地址信息。当这些信息包被送上Internet时，路由器会读取接收者的IP并选择一条合适的物理线路发送出去，信息包可能经由不同的路线抵达目的地，当所有的包抵达目的地后会重新组装还原。包过滤式的防火墙会检查所有通过的信息包中的IP地址，并按照系统管理员所给定的过滤规则进行过滤。如果防火墙设定某一IP地址的站点为不适宜访问的话，从这个地址来的所有信息都会被防火墙屏蔽掉。包过滤防火墙检查进出IP信息包，决定是否接收基于下面一种或两种情况的信息 IP地址的信号源或目的地 TCP/UDP端口的信号源或目的地包过滤防火墙的优点是它对于用户来说是透明的，处理速度快而且易于维护，通常作为第一道防线。包过滤路由器通常没有用户的使用记录，这样我们就不能得到入侵者的攻击记录。而攻破一个单纯的包过滤式防火墙对黑客来说还是有办法的。“IP地址欺骗”和“同步风暴”便是黑客用于攻击包过滤防火墙比较常用的手段。另外,包过滤防火墙还具有配置繁琐的缺点。它阻挡别人进入内部网络,但也不告诉你何人进入你的系统,或者何人从内部进入Internet。它可以阻止外部对私有网络的访问,却不能记录内部的访问。包过滤另一个关键的弱点就是不能在用户级别上进行过滤,即不能鉴别不同的用户和防止IP地址盗用。 l 状态监测防火墙这种防火墙相较于单纯的过滤包而言，提供了更高级别的安全性能，它使用了一个在网关上执行网络安全策略的软件模块，称之为监测引擎，监测引擎在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态地保存起来作为以后执行安全策略的参考。与前种防火墙不同，当用户访问请求到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。 这种防火墙的优点是一旦某个访问违反安全规定，就会拒绝该访问，并报告有关状态作日志记录。状态监测防火墙的另一个优点是它会监测无连接状态的远程过程调用（RPC）和用户数据报（UDP）之类的端口信息。这种防火墙会降低网络的速度，而且配置也比较复杂。l 应用代理型防火墙应用代理型防火墙包含一系列代理服务器，它适用于各种特定的Internet服务，如SMTP、HTTP、 FTP等等。代理服务器通常运行在两个网络之间，它对于客户来说像是一台真的服务器，而对于外界的服务器来说，它又是一台客户机。当代理服务器接收到用户对某站点的访问请求后会检查该请求是否符合规定，如果规则允许用户访问该站点的话，代理服务器会像一个客户一样去那个站点取回所需信息，做全面的安全检查（包括包头和数据检查），再转发给用户。代理服务器通常都拥有一个高速缓存，这个缓存存储用户经常访问的站点内容，在下一个用户要访问同一站点时，服务器就不用重复地获取相同的内容，直接将缓存内容发出即可，既节约了时间也节约了网络资源。代理服务器会像一堵墙一样挡在内部用户和外界之间，不让他们建立直接的连接，这样提高了安全性，从外部只能看到该代理服务器而无法获知任何的内部资源，诸如用户的IP地址等。应用代理型防火墙比单一的包过滤和状态检测型防火墙都更为安全可靠，除了包头信息外会详细检查子协议内容和内部Data部分，而且会详细地记录所有的访问状态信息。但是应用代理型防火墙也存在一些不足之处：首先它会使访问速度变慢，因为它不允许用户直接连接外部网络，而且收到的包要做全面的安全检查，另外应用代理型防火墙需要对每一个特定的Internet服务提供相应的应用代理模块，如果应用代理模块有限，那么用户不能使用没有模块支持的服务。l 多模式防火墙多模式防火墙包含着来自其它防火墙的多种工作模式，一般此类防火墙常具有包过滤和应用代理两类工作模式，可根据需要对不同的应用环境使用不同的工作模式来实现安全控制和性能的平衡。l 新型多功能网关近一两年，基于对网关安全需求的全面考虑（如2.1,2.2的分析），许多安全厂商推出了新型的多功能网关，新型多功能网关就是在防火墙的基础上提供网关需要的其他安全功能，例如最常见的是在防火墙上增加VPN SERVER功能。还有在防火墙上增加防病毒功能。也有更为先进的是在防火墙上同时集成了VPN、防病毒、入侵检测、内容过滤等全面安全功能。新型多功能网关是网关安全发展的趋势，只有新型多功能网关才能真正让网关位置成为安全防护体系的重要有力的组成部分。42 企业选择网关安全产品应考虑的因素由于每一种类型的网关安全产品都有自身的特点和着重点，有些网关安全产品主要考虑速度，有的网关安全产品安全性非常好，企业应根据自己的具体情况，包括网络状况、所要达到的安全级别、需要保护的对象以及被保护对象的重要程度等因素来选择满足企业要求的产品，因此企业必须先理解网关安全产品的工作方式和工作原理才能评估它是否能够真正满足自己的需要。为了找出适合用户所在组织的最佳网关安全产品产品，企业必须将自己的需求映射到特定的网关安全产品类型上，才能够选择最适合自己的产品，一般来讲，在选择网关安全产品时，主要考虑以下几个方面的因素：l 网关安全产品功能方面：1、 访问控制：可以提供基于时间的安全策略；以不同的服务端口区分各种应用进行管理，新应用可以由管理员配置成新的服务，具有高安全性、高性能、更好的伸缩性和扩展性。2、 身份认证：用户认证：对FTP、TELNET、HTTP、HTTPS、RLOGIN的基于身份的透明认证。客户机认证：基于客户机的IP地址进行认证，与协议无关。3、 实时监控活动会话4、 地址转换：静态源地址转换和静态目的地址转换动态地址转换，隐藏整个内部网络地址端口（服务）转换5、 提供日志、报警、审核等功能6、 是否具有增强功能：VPN功能提供S2S(Site to Site)VPN连接功能提供R2S（Remote client to Site）VPN连接功能7、 是否具有增强功能：防病毒功能检测并处理各种病毒、蠕虫、木马、混合威胁8、 是否具有增强功能：入侵检测功能准确检测各种入侵企图、入侵数据包9、 是否具有增强功能：入侵防护功能准确响应入侵，阻止入侵，保护网关和内部网络10、 是否具有增强功能：反垃圾邮件功能检测并过滤大量垃圾邮件，避免其进入内部网络11、 内容过滤根据安全策略，过滤企业敏感信息传出网关，也过滤不良信息进入内部网络l 网关安全产品的可管理性：1、 网关安全产品管理的难易程度，是否具有直观的管理界面。2、 规则无序性。3、 是否可以实现集中的安全管理，包括远程配置管理网关安全产品等。各个网关安全产品通过单一控制台用图形用户界面进行集中管理、配置、维护。4、 制定规则的难易程度，是否具有规则制定向导。5、 网关安全产品安装实施的难易程度。6、 支持跨平台的安全管理。l 网关安全产品的可扩展性和高可用性对于一个好的网关安全产品而言，它的规模和功能应该能够适应内部网络的规模和安全策略的变化。选择哪种网关安全产品，除了应考虑它的基本性能之外，毫无疑问，还应考虑用户的实际需求与未来网络的升级。 因此网关安全产品除了具有保护网络安全的基本功能外，还提供对VPN的支持，同时还应该具有可扩展的内驻应用层代理，除了支持常见的网络服务以外，还应该能够按照用户的需求提供相应的代理服务，例如，如果用户需要NNTP（网络消息传输协议），X Window，HTTP和Gopher等服务，网关安全产品就应该包含相应的代理服务程序。 优秀的网关安全产品系统应是一个可随意伸缩的模块化解决方案，从最为基本的包过滤器到带加密功能的VPN型包过滤器，直至一个独立的应用网关，使用户有充分的余地构建自己所需要的网关安全产品体系。l 优良的性能新一代的网关安全产品不仅应该能够更好地保护后面内部网络的安全，而且应该具有更为优良的整体性能。传统的应用代理型防火墙虽然可以提供较高级别的安全保护，但是同时它也成为限制网络带宽的瓶颈，这极大地制约了在网络中的实际应用。数据通过率是表示防火墙性能的参数，由于不同防火墙的不同功能具有不同的工作量和系统资源要求，因此数据在通过防火墙时会产生延时。自然，数据通过率越高，防火墙性能越好。现在大多数的防火墙产品都支持NAT功能，它可以让防火墙受保护的一边的IP地址不至于暴露在没有保护的另一边，但是启用NAT后势必会对防火墙系统的性能有所影响。目前如何尽量减少这种影响也成为防火墙产品的卖点之一。另外防火墙系统中集成的VPN解决方案必须是真正的线速运行，否则将成为网络通信的瓶颈。特别是采用复杂的加密算法（如3DES）时，其性能尤为重要。当然，新型的网关安全产品由于具备的比常规防火墙更多更强的安全功能，那么这些增强功能必然也有资源消耗和性能损失，因此新型网关安全产品在提供高安全性的同时还要重点考虑如何提供硬件平台的更高性能以保证多种安全功能的使用，总之，客户对优秀的网关安全产品的要求是把最大限度的安全性和高速的性能有机结合在一起。 l 网关安全产品自身的安全性大多数企业在选择网关安全产品时都将注意力放在网关安全产品如何控制连接以及网关安全产品支持多少种服务，但往往忽略了一点，网关安全产品也是网络上的主机之一，也可能存在安全问题，网关安全产品如果不能确保自身安全，则网关安全产品的控制功能再强，也终究不能完全保护内部网络。 大部分网关安全产品都安装或运行在一般的操作系统上，如Unix、NT系统等。在网关安全产品主机上执行的除了防火墙软件外，所有的程序、系统核心，也大多来自于操作系统本身的原有程序。当网关安全主机上所执行的软件出现安全漏洞时，网关安全产品本身也将受到威胁。此时，任何的网关安全产品控制机制都可能失效，因为当一个黑客取得了网关安全产品上的控制权以后，黑客几乎可为所欲为地修改网关安全产品上的配置规则，进而侵入更多的系统。因此网关安全产品自身应有相当高的安全保护。网关安全产品自身的安全性主要体现为以下几个方面：1、 当网关安全产品不管由于任何原因造成某个功能模块，甚至整个网关安全产品的功能失效时，应该拒绝来自外部的访问，隔断来自外部的连接。2、 网关安全产品的自动加固功能：i. 在安装网关安全产品时，应该自动关闭与网关安全产品无关的服务和端口。ii. 在网关安全产品运行的过程中，同时实行持续安全性检查-不断的发现并终止、记录不安全行为包括不安全的进程和服务等。在安装以及运行时自动进行系统自身安全配置与监控，可以减少因系统管理员的失误而带来的威胁。iii. 具有对进入企业内部网络的所有数据包进行入侵检测功能，如：端口扫描、IP地址欺骗、SYN Flood和碎片攻击等基于网络的攻击。五、 赛门铁克网关安全产品推荐推荐使用赛门铁克网关集成安全（Symantec Gateway Security 5400系列,简称SGS）。Symantec Gateway Security 5400系列是新型的网关安全设备，作为业界功能最全面的企业网关安全设备，它将全封包检测防火墙、基于协议异常和基于特征的入侵防御及入侵检测引擎、著名的病毒防护、基于URL的内容过滤、反垃圾邮件以及符合 IPSec 标准的VPN技术无缝地集成在一起。Symantec Gateway Security 5400 系列对最恶意的互联网安全威胁也能提供最大程度的防护，其“即插即用”简易配置功能使得管理员在30分钟就可以完成配置工作，其内置HA/LB功能可轻松实现扩展，总之，Symantec Gateway Security 5400 系列为企业Internet和Intranet安全提供最大安全的、可管理的和可扩展的安全解决方案。其主要特点概括如下：u 具有七种必要的企业安全功能，集成了防火墙、基于协议异常和基于攻击特征的入侵防御及入侵检测、著名的病毒防护、基于 URL 的内容过滤、反垃圾邮件以及符合 IPSec 标准的 VPN 技术。u 提供全面的网络防护，既能保护连接Internet的网络，又能保护连接广域网或局域网的子网。u 提供集中式管理，通过集中的日志记录、警报、报告和策略配置简化网络安全的管理u 具有集成的高可用性和负载均衡选件，能够满足任何规模的组织的性能要求u 具有三种高性能的型号，可提供从 100 Mbps 到 1.8 Gbps 以上的吞吐量范围u 通过赛门铁克安全响应中心世界领先的互联网安全研究和支持组织的 LiveUpdate 技术，提供自动安全更新另附上详细的SGS5400产品技术白皮书六、 赛门铁克网关安全产品部署规划61 部署前准备部署之前，针对各个网关安全产品的部署环境（总部、各分公司）进行调研，收集部署所需的必要信息，并提出部署所需条件，让当地IT部门做好准备。准备方面包括：u 现有IP地址使用情况u 需开放的常见服务端口u 特殊应用（使用何协议、何端口）u 物理部署位置（某机房、哪一个机架、电源线、网线）u 可用于部署的时间（例如某个周末可以）（遇到财年末不可以）u I T 人员在场配合（谁，何时可以）u 真正部署时哪些部门会受影响需事先通知62 试验性部署真正部署之前，根据调研和收集的信息，在一个封闭环境里用几台代表机模拟内外网主要应用（特别是特殊业务应用要模拟），部署Symantec Gateway Security 5400于此模拟环境进行试验，确保定义的协议、配置的规则、地址转换、各安全功能实现均没有问题，这样可以避免冒然在实际环境里部署一旦出现问题就会立刻影响正常业务运作的风险。同时在此试验性部署过程中，能够发现一些问题，积累使用经验，甚至直接备份一些有效配置，熟悉和透彻理解Symantec Gateway Security 产品，这些方面将很大