网络安全解决方案设计

网络安全解决方案设计网络安全解决方案设计 网络安全中的入侵检测系统是近年来出现的新型网络安全 技术 也是重要的网络安全工具 下面是有网络安全解决方案 设计 欢迎参阅 网络安全解决方案设计范文网络安全解决方案设计范文 1 一 客户背景 集团内联网主要以总部局域网为核心 采用广域网方式与 外地子公司联网 集团广域网采用 mpls 技术 用来为各个分 公司提供骨干网络平台和接入 各个分公司可以在集团的骨干 信息网络系统上建设各自的子系统 确保各类系统间的相互独 立 二 安全威胁 某公司属于大型上市公司 在北京 上海 广州等地均有 分公司 公司内部采用无纸化办公 oa 系统成熟 每个局域网 连接着该所有部门 所有的数据都从局域网中传递 同时 各 分公司采用技术连接公司总部 该单位为了方便 将相当一部 分业务放在了对外开放的网站上 网站也成为了既是对外形象 窗口又是内部办公窗口 由于网络设计部署上的缺陷 该单位局域网在建成后就不 断出现网络拥堵 网速特别慢的情况 同时有些个别机器上的 杀毒软件频频出现病毒报警 网络经常瘫痪 每次时间都持续 几十分钟 网管简直成了救火队员 忙着清除病毒 重装系统 对外 web 网站同样也遭到黑客攻击 网页遭到非法篡改 有些 网页甚至成了传播不良信息的平台 不仅影响到网站的正常运 行 而且还对政府形象也造成不良影响 安全威胁根据拓扑图 分析 从网络安全威胁看 集团网络的威胁主要包括外部的攻击 和入侵 内部的攻击或误用 企业内的病毒传播 以及安全管 理漏洞等信息安全现状 经过分析发现该公司信息安全基本上 是空白 主要有以下问题 公司没有制定信息安全政策 信息管理不健全 公司在建 内网时与 internet 的连接没有防火墙 内部网络 同一城市的各 分公司 之间没有任何安全保障为了让网络正常运行 根据我国 信息安全等级保护管理办法 的信息安全要求 近期公司决定对该网络加强安全防护 解决目前网络出现的安 全问题 三 安全需求 从安全性和实用性角度考虑 安全需求主要包括以下几个 方面 1 安全管理咨询 安全建设应该遵照 7 分管理 3 分技术的原则 通过本次安 全项目 可以发现集团现有安全问题 并且协助建立起完善的 安全管理和安全组织体系 2 集团骨干网络边界安全 主要考虑骨干网络中 internet 出口处的安全 以及移动用 户 远程拨号访问用户的安全 3 集团骨干网络服务器安全 主要考虑骨干网络中网关服务器和集团内部的服务器 包 括 oa 财务 人事 内部 web 等内部信息系统服务器区和安 全管理服务器区的安全 4 集团内联网统一的病毒防护 主要考虑集团内联网中 包括总公司在内的所有公司的病 毒防护 5 统一的增强口令认证系统 由于系统管理员需要管理大量的主机和网络设备 如何确 保口令安全称为一个重要的问题 6 统一的安全管理平台 通过在集团内联网部署统一的安全管理平台 实现集团总 部对全网安全状况的集中监测 安全策略的统一配置管理 统 计分析各类安全事件 以及处理各种安全突发事件 7 专业安全服务 过专业安全服务建立全面的安全策略 管理组织体系及相 关管理制度 全面评估企业网络中的信息资产及其面临的安全 风险情况 在必要的情况下 进行主机加固和网络加固 通过 专业紧急响应服务保证企业在面临紧急事件情况下的处理能力 降低安全风险 四 方案设计 骨干网边界安全 集团骨干网共有一个 internet 出口 位置在总部 在 internet 出口处部署 linktrust cyberwall 200f 006 防火墙一台 在 internet 出口处部署一台 linktrust network defender 领 信网络入侵检测系统 通过交换机端口镜像的方式 将进出 internet 的流量镜像到入侵检测的监听端口 linktrust network defender 可以实时监控网络中的异常流量 防止 恶意入侵 在各个分公司中添加一个 dmz 区 保证各公司的信息安全 内部网络 同一城市的各分公司 之间没有任何安全保障骨干网服 务器安全 集团骨干网服务器主要指网络中的网关服务器和集团内部 的应用服务器包括 oa 财务 人事 内部 web 等 以及专为 此次项目配置的 用于安全产品管理的服务器的安全 主要考 虑为在服务器区配置千兆防火墙 实现服务器区与办公区的隔 离 并将内部信息系统服务器区和安全管理服务器区在防火墙 上实现逻辑隔离 还考虑到在服务器区配置主机入侵检测系统 在网络中配置百兆网络入侵检测系统 实现主机及网络层面的 主动防护 漏洞扫描 了解自身安全状况 目前面临的安全威胁 存在的安全隐 患 以及定期的了解存在那些安全漏洞 新出现的安全问题等 都要求信息系统自身和用户作好安全评估 安全评估主要分成 网络安全评估 主机安全评估和数据库安全评估三个层面 内联网病毒防护 病毒防范是网络安全的一个基本的 重要部分 通过对病 毒传播 感染的各种方式和途径进行分析 结合集团网络的特 点 在网络安全的病毒防护方面应该采用 多级防范 集中管理 以防为主 防治结合 的动态防毒策略 病毒防护体系主要由桌面网络防毒 服务器防毒和邮件防 毒三个方面 增强的身份认证系统 由于需要管理大量的主机和网络设备 如何确保口令安全 也是一个非常重要的问题 减小口令危险的最为有效的办法是 采用双因素认证方式 双因素认证机制不仅仅需要用户提供一 个类似于口令或者 pin 的单一识别要素 而且需要第二个要素 也即用户拥有的 通常是认证令牌 这种双因素认证方式提供 了比可重用的口令可靠得多的用户认证级别 用户除了知道他 的 pin 号码外 还必须拥有一个认证令牌 而且口令一般是一 次性的 这样每次的口令是动态变化的 大大提高了安全性 统一安全平台的建立 通过建立统一的安全管理平台 安全运行管理中心 soc 建立起集团的安全风险监控体系 利于从全局的角度发现网络 中存在的安全问题 并及时归并相关人员处理 这里的风险监 控体系包括安全信息库 安全事件收集管理系统 安全工单系 统等 同时开发有效的多种手段实时告警系统 定制高效的安 全报表系统 网络安全解决方案设计范文网络安全解决方案设计范文 2 1 1 安全系统建设目标 本技术方案旨在为某市政府网络提供全面的网络系统安全 解决方案 包括安全管理制度策略的制定 安全策略的实施体 系结构的设计 安全产品的选择和部署实施 以及长期的合作 和技术支持服务 系统建设目标是在不影响当前业务的前提下 实现对网络的全面安全管理 1 将安全策略 硬件及软件等方法结合起来 构成一个统 一的防御系统 有效阻止非法用户进入网络 减少网络的安全 风险 2 通过部署不同类型的安全产品 实现对不同层次 不同 类别网络安全问题的防护 3 使网络管理者能够很快重新组织被破坏了的文件或应用 使系统重新恢复到破坏前的状态 最大限度地减少损失 具体来说 本安全方案能够实现全面网络访问控制 并能 够对重要控制点进行细粒度的访问控制 其次 对于通过对网络的流量进行实时监控 对重要服务 器的运行状况进行全面监控 1 1 1 防火墙系统设计方案 1 1 1 1 防火墙对服务器的安全保护 网络中应用的服务器 信息量大 处理能力强 往往是攻 击的主要对象 另外 服务器提供的各种服务本身有可能成为 黑客 攻击的突破口 因此 在实施方案时要对服务器的安全进 行一系列安全保护 如果服务器没有加任何安全防护措施而直接放在公网上提 供对外服务 就会面临着 黑客 各种方式的攻击 安全级别很 低 因此当安装防火墙后 所有访问服务器的请求都要经过防 火墙安全规则的详细检测 只有访问服务器的请求符合防火墙 安全规则后 才能通过防火墙到达内部服务器 防火墙本身抵 御了绝大部分对服务器的攻击 外界只能接触到防火墙上的特 定服务 从而防止了绝大部分外界攻击 1 1 1 2 防火墙对内部非法用户的防范 网络内部的环境比较复杂 而且各子网的分布地域广阔 网络用户 设备接入的可控性比较差 因此 内部网络用户的 可靠性并不能得到完全的保证 特别是对于存放敏感数据的主 机的攻击往往发自内部用户 如何对内部用户进行访问控制和 安全防范就显得特别重要 为了保障内部网络运行的可靠性和 安全性 我们必须要对它进行详尽的分析 尽可能防护到网络 的每一节点 对于一般的网络应用 内部用户可以直接接触到网络内部 几乎所有的服务 网络服务器对于内部用户缺乏基本的安全防 范 特别是在内部网络上 大部分的主机没有进行基本的安 全防范处理 整个系统的安全性容易受到内部用户攻击的 威胁 安全等级不高 根据国际上流行的处理方法 我们把内 部用户跨网段的访问分为两大类 其一 是内部网络用户之间 的访问 即单机到单机访问 这一层次上的应用主要有用户共 享文件的传输 netbios 应用 其次 是内部网络用户对内部服务 器的访问 这一类应用主要发生在内部用户的业务处理时 一 般内部用户对于网络安全防范的意识不高 如果内部人员发起 攻击 内部网络主机将无法避免地遭到损害 特别是针对于 netbios 文件共享协议 已经有很多的漏洞在网上公开报道 如果网络主机保护不完善 就可能被内部用户利用 黑客 工具 造成严重破坏 1 1 2 入侵检测系统 利用防火墙技术 经过仔细的配置 通常能够在内外网之 间提供安全的网络保护 降低了网络安全风险 但是入侵者可 寻找防火墙背后可能敞开的后门 入侵者也可能就在防火墙内 网络入侵检测系统位于有敏感数据需要保护的网络上 通 过实时侦听网络数据流 寻找网络违规模式和未授权的网络访 问尝试 当发现网络违规行为和未授权的网络访问时 网络监 控系统能够根据系统安全策略做出反应 包括实时报警 事件 登录 或执行用户自定义的安全策略等 网络监控系统可以部 署在网络中有安全风险的地方 如局域网出入口 重点保护主 机 远程接入服务器 内部网重点工作站组等 在重点保护区 域 可以单独各部署一套网络监控系统 管理器 探测引擎 也 可以在每个需要保护的地方单独部署一个探测引擎 在全网使 用一个管理器 这种方式便于进行集中管理 在内部应用网络中的重要网段 使用网络探测引擎 监视 并记录该网段上的所有操作 在一定程度上防止非法操作和恶 意攻击网络中的重要服务器和主机 同时 网络监视器还可以 形象地重现操作的过程 可帮助安全管理员发现网络安全的隐 患 需要说明的是 ids 是对防火墙的非常有必要的附加而不仅 仅是简单的补充 按照现阶段的网络及系统环境划分不同的网络安全风险区 域 xxx 市政府本期网络安全系统项目的需求为 区域 部署安全产品 内网 连接到 internet 的出口处安装两台互为双机热备的海 信 fw3010pf 4000 型百兆防火墙 在主干交换机上安装海信千兆 眼镜蛇入侵检测系统探测器 在主干交换机上安装 nethawk 网络 安全监控与审计系统 在内部工作站上安装趋势防毒墙网络版防 病毒软件 在各服务器上安装趋势防毒墙服务器版防病毒软件 dmz 区 在服务器上安装趋势防毒墙服务器版防病毒软件 安装一台 interscan viruswall 防病毒网关 安装百兆眼镜蛇入侵检测系统探测器 和 nethawk 网络安全监控与审计系统 安全监控与备份中心 安装 fw3010 5000 千兆防火墙 安 装 rj itop 榕基网络安全漏洞扫描器 安装眼镜蛇入侵检测系统 控制台和百兆探测器 安装趋势防毒墙服务器版管理服务器 趋 势防毒墙网络版管理服务器 对各防病毒软件进行集中管理 网络安全解决方案设计范文网络安全解决方案设计范文 3 网络信息系统的安全技术体系通常是在安全策略指导下合 理配置和部署 网络隔离与访问控制 入侵检测与响应 漏洞 扫描 防病毒 数据加密 身份认证 安全监控与审计等技术 设备 并且在各个设备或系统之间 能够实现系统功能互补和 协调动作 网络系统安全具备的功能及配置原则 1 网络隔离与访问控制 通过对特定网段 服务进行物理 和逻辑隔离 并建立访问控制机制 将绝大多数攻击阻止在网 络和服务的边界以外 2 漏洞发现与堵塞 通过对网络和运行系统安全漏洞的周 期检查 发现可能被攻击所利用的漏洞 并利用补丁或从管理 上堵塞漏洞 3 入侵检测与响应 通过对特定网络 段 服务建立的入侵 检测与响应体系 实时检测出攻击倾向和行为 并采取相应的 行动 如断开网络连接和服务 记录攻击过程 加强审计等 4 加密保护 主动的加密通信 可使攻击者不能了解 修 改敏感信息 如方式 或数据加密通信方式 对保密或敏感数据进 行加密存储 可防止窃取或丢失 5 备份和恢复 良好的备份和恢复机制 可在攻击造成损 失时 尽快地恢复数据和系统服务 6 监控与审计 在办公网络和主要业务网络内配置集中管 理 分布式控制的监控与审计系统 一方面以计算机终端为单 元强化桌面计算的内外安全控制与日志记录 另一方面通过集中 管理方式对内部所有计算机终端的安全态势予以掌控 边界安全解决方案 在利用公共网络与外部进行连接的 内 外网络边界处使用 防火墙 为 内部 网络 段 与 外部 网络 段 划定安全边界 在 网络内部进行各种连接的地方使用带防火墙功能的设备 在进 行 内 外网络 段 的隔离的同时建立网络 段 之间的安全通道 1 防火墙应具备如下功能 使用 nat 把 dmz 区的服务器和内部端口影射到 firewall 的 对外端口 允许 internet 公网用户访问到 dmz 区的应用服务 http ftp smtp dns 等 允许 dmz 区内的工作站与应用服务器访问 internet 公网 允许内部用户访问 dmz 的应用服务 http ftp smtp dns pop3 https 允许内部网用户通过代理访问 internet 公网 禁止 internet 公网用户进入内部网络和非法访问 dmz 区应 用服务器 禁止 dmz 区的公开服务器访问内部网络 防止来自 internet 的 dos 一类的攻击 能接受入侵检测的联动要求 可实现对实时入侵的策略响 应 对所保护的主机的常用应用通信协议 http ftp telnet smtp 能够替换服务器的 banner 信息 防止 恶意用户信息刺探 提供日志报表的自动生成功能 便于事件的分析 提供实时的网络状态监控功能 能够实时的查看网络通信 行为的连接状态 当前有那些连接 正在连接的 ip 正在关闭的 连接等信息 通信数据流量 提供连接查询和动态图表显示 防火墙自身必须是有防黑客攻击的保护能力 2 带防火墙功能的设备是在防火墙基本功能 隔离和访问控 制 基础上 通过功能扩展 同时具有在 ip 层构建端到端的具有 加密选项功能的 esp 隧道能力 这类设备也有 s 的 主要用于 通过外部网络 公共通信基础网络 将两个或两个以上 内部 局域 网安全地连接起来 一般要求 s 应具有一下功能 防火墙基本功能 主要包括 ip 包过虑 应用代理 提供 dmz 端口和 nat 功能等 有些功能描述与上相同 具有对连接两端的实体鉴别认证能力 支持移动用户远程的安全接入 支持 ipesp 隧道内传输数据的完整性和机密性保护 提供系统内密钥管理功能 s 设备自身具有防黑客攻击以及网上设备认证的能力 入侵检测与响应方案 在网络边界配置入侵检测设备 不仅是对防火墙功能的必 要补充 而且可与防火墙一起构建网络边界的防御体系 通过 入侵检测设备对网络行为和流量的特征分析 可以检测出侵害 内部 网络或对外泄漏的网络行为和流量 与防火墙形成某种 协调关系的互动 从而在 内部 网与外部网的边界处形成保护 体系 入侵检测系统的基本功能如下 通过检测引擎对各种应用协议 操作系统 网络交换的数 据进行分析 检测出网络入侵事件和可疑操作行为 对自身的数据库进行自动维护 无需人工干预 并且不对 网络的正常运行造成任何干扰 采取多种报警方式实时报警 音响报警 信息记录到数据 库 提供电子邮件报警 syslog 报警 snmptrap 报警 windows 日志报警 windows 消息报警信息 并按照预设策略 根据提供的报警信息切断攻击连接 与防火墙建立协调联动 运行自定义的多种响应方式 及 时阻隔或消除异常行为 全面查看网络中发生的所有应用和连接 完整的显示当前 网络连接状态 可对网络中的攻击事件 访问记录进行适时查询 并可根 据查询结果输出图文报表 能让管理人员方便的提取信息 入侵检测系统犹如摄像头 监视器 在可疑行为发生前有 预警 在攻击行为发生时有报警 在攻击事件发生后能记录 做到事前 事中 事后有据可查 漏洞扫描方案 除利用入侵检测设备检测对网络的入侵和异常流量外 还 需要针对主机系统的漏洞采取检查和发现措施 目前常用的方 法是配置漏洞扫描设备 主机漏洞扫描可以主动发现主机系统 中存在的系统缺陷和可能的安全漏洞 并提醒系统管理员对该 缺陷和漏洞进行修补或堵塞 对于漏洞扫描的结果 一般可以按扫描提示信息和建议 属外购标准产品问题的 应及时升级换代或安装补丁程序 属委 托开发的产品问题的 应与开发商协议修改程序或安装补丁程 序 属于系统配置出现的问题 应建议系统管理员修改配置参数 或视情况关闭或卸载引发安全漏洞的程序模块或功能模块 漏洞扫描功能是协助安全管理 掌握网络安全态势的必要 辅助 对使用这一工具的安全管理员或系统管理员有较高的技 术素质要求 考虑到漏洞扫描能检测出防火墙策略配置中的问题 能与 入侵检测形成很好的互补关系 漏洞扫描与评估系统使系统管 理员在事前掌握主动地位 在攻击事件发生前找出并关闭安全 漏洞 而入侵检测系统则对系统进行监测以期在系统被破坏之前 阻止攻击得逞 因此 漏洞扫描与入侵检测在安全保护方面不 但有共同的安全目标 而且关系密切 本方案建议采购将入侵 检测 管理控制中心与漏洞扫描一体化集成的产品 不但可以 简化管理 而且便于漏洞扫描 入侵检测和防火墙之间的协调 动作 网络防病毒