网络信息系统方案安全设计书

1、网络信息系统方案的安全设计书常用的 网络信息系统 安全技术面对网络信息安全的诸多问题，我们采取了多种的防范措施。1、防火墙目前出现的新技术类型主要有以下几种状态监视技术、 安全操作 系统、自适应代理技术、实时侵入检测系统等。混合使用数据包过滤技术、代理服务技术和其他一些新技术是未来防火墙的趋势。2、认证目前,常用的身份识别技术主要是基于 RAD IUS 的鉴别、授权和 管理 (AAA) 系统。RAD IUS ( remote authentica2tion dial in user service) 是网络远程接入设备的客户和包含用户认证与配置信息的服务器之 间信息交换的标准客户或服务器模式。

2、它包含有关用户的专门简档 , 如,用户名、接入口令、接入权限等。这是保持远程接入网络的集中 认证、授权、记费和审查的得到接受的标准。华为、思科等厂商都有 使用 RAD IUS 技术的产品。3、虚拟专用网随着商务的发展 , 办公形式的改变 , 分支机构之间的通信有很大 需求 ,如果使用公用的互联网络来进行通信 ,而不是架设专用线路 ,这 样 ,就可以显著降低使用成本。 VPN( virtual private network) 即虚拟专 用网是解决这一问题的方法。 VPN 建立一条通过公众网络的逻辑上 的专用连接 ,使得用户在异地访问内部网络时 ,能够和在本地访问一样 的资源,同时,不用担心泄密

3、的问题。采用 IPSec 协议的产品是市场的 主流和标准 , 有相当多的厂商都推出了相应产品。4、入侵检测和集中网管入侵检测 ( intrusion detection)是对入侵行为的发觉 ,是一种增强系 统安全的有效方法 ,能检测出系统中违背系统安全性规则或者威胁到 系统安全的活动。 目前,入侵检测系统的产品很多 ,仅国内的就有东软、海信、联想等十几种 ;集中网管主要体现在对网管的集中上 ,网管集中的实现方式主要包括存放网管系统的物理平面集中和通过综合集中 网管实现对不同厂商网管系统的集中管控。大唐、朗讯、华勤等厂商 各自有不同的集中网管产品上市。网络信息系统的 安全设计方案2.1.1 外网

4、出口外网出口采用防火墙。支持双机热备功能，核心交换机通过 两根电缆连到防火墙上，防火墙通过两台 2 层交换机分别接入电 信线路和网通线路。当出口设备开启双机热备后，即使其中一台 防火墙出问题，另外一台防火墙也能正常保证外网的使用，不会 出现网络中断的情况。2.1.2 核心设备 作为网络的核心，要有很高的稳定性，瘫痪一分钟都会带来 严重的后果，针对这个因素，我们将两台全千兆核心交换机采用 双机热备 的方式，上联到防火墙，并下联到办公网络。Catalyst 3960系列交换机具有 240G背板带宽; 线速三层交换 包转发率达到 96Mpps; ，是标准三层无阻塞交换机为所有的端口提 供多层交换能力

5、和线速的路由转发能力。同时具有高性能、低成 本等主要特点。而其强大的处理能力是构建可靠、稳定、高速的 IP 网络平台的重要保障。同时具有高性能、低成本等主要特点。 Catalyst 3960 支持特有的 ARP入侵检测功能，防止包括 MAC欺骗、 IP 欺骗、 MAC/IP欺骗在内的非法地址仿冒，以及大流量地址仿冒 带来的 DoS/DDoS攻击等。2.1.3 接入设备 接入交换机作为楼层网络的小型网关设备上连至上级交换 机，需要考虑交换机能提供的 网络安全性 以及设备的 处理能力 。我们所采用的接入交换机可以支持划分 vlan 、端口保护、 Qos 功 能、广播/ 组播风暴控制等功能。同时应具

6、备扩展性。达到可根据需要灵活地配置网络。 交换机能与所有的以太网、快速以太网设备相连接，保护用户已有的网络投资。可在工作组之间或企业内部提供高带宽、高性能连接，同时还能增强服务器群的容量，让用户能更快速存取整个网络资源。可以缓解因为网 络带宽不足及用户迅速增长所造成的网络传输瓶颈， 并且投资少， 管理简单。2.2 访问控制我们认为采用 VLAN+ACL组网方式， 可实现不同部门、 不同应 用系统之间进行隔离，实现对跨系统、跨部门的访问控制。其本 身已经能够提供的安全机制，可保证访问控制的安全。采用 VLAN+ACL实现组网，按照各楼层或各部门，实现 VLAN的划分。所有的部门系统全部二层隔离，

7、同一个汇聚层设备下的单位 需要进行互通，则在核心交换机上终结 VLAN，进行三层互通，如 果是不同的汇聚层设备下的单位需要互通，则需要经过汇聚交换 机上送到核心交换机上，通过配置的 acl 和路由进行三层转发， 实现受控互通。2.3 双机热备实现方案对于集团内网的组网方式，我们规划了 VRRP双机热备方案： 让我们来看看双机热备的工作VRRP图 1如上图所示，正常情况下，左边核心交换机优先级高于右边 核心交换机，所以左侧核心交换机处于 master 状态，响应所有对 虚拟 IP （即图中的 192.168.1.1 、192.168.2.1 ）的请求，右侧核 心交换机处于 backup 状态，不

8、会响应任何关于虚拟 IP 的请求， 但是右侧交换机实时关注着从 VRRP心跳线发来的状态包。很明显，现在所有汇聚交换机都会将数据包发送至左侧交机。左侧交换机作为线路正常时的主交换机。右侧交换机只关注 VRRP 心跳线发来的状态包。此时，办公网交换机到左侧核心交换机的线路若发生故障，或左侧核心交换机的发生故障。如下图：VRRP图 2如果是汇聚交换机到核心交换机的线路产生故障，此时左侧 核心交换机将会发现所连接端口发生故障，左侧交换机将会通过 VRRP心跳线通知右侧交换机， 告之关于 192.168.2.1 的状态变化， 此时，右侧核心交换机将会作为主核心交换机，并相应并处理来 自二层汇聚交换机的

9、所有数据包。如果是左侧核心交换机产生故障，右侧交换机收不到心跳线 传来的数据，那么它会认为左侧交换机已经无法正常工作，自己 切换成为 Master 状态，处理来自所有汇聚交换机的数据包。从左侧核心设备发现线路故障到右侧核心设备变为主交换 机，或者右侧核心设备发现左侧设备产生故障无法工作而自己变 为主交换机，期间耗时不到 2 秒钟，对正在使用网络的用户而言， 完全感觉不到发生了什么故障。这样就能保证整个网络骨干层 7*24 小时的无故障运行了。如果线路恢复正常或左侧核心交换机的故障排查解决完毕能够正常工作，左侧交换机同样可以发现其线路所连接的端口恢复正常，而通知右侧核心设备，同时自己变为主交换机

10、，左侧核心交换机在故障处理完毕后能正常工作同样会通知右侧核心交换 机，自己变为主交换机。2.4 ARP 防护ARP（欺骗类）病毒可谓是现在最普遍的网络危害，一具用户 感染病毒就可能危害到整个网络。欺骗类病毒目前可以分为 3 种类型：1、中毒机器不停发送“我是网关”的 ARP信息，试图来欺骗 其他 PC，让他们将自己看作网关，如图中的 F0/1 口下的 PC A 可 以通过这种类型的 ARP病毒让 PC B 认为网关是 PC A。Loopback ： 1.1.1.1MAC ： 00-0F-B0-7F-38-82 MAC ： 00-E0-0F-26-22-30无网关 网关： 192.168.43.

11、254欺骗源 被欺骗者2、中毒机器不停的变换自己的 IP ，来扰乱网关设备的 ARP 表象，试图让网关看到的所有的 IP 都是自己， 这样其他用户的 IP 就不能被网关设备认出了，如上图中， PC A可以不停的变换自己 的 IP ，这样网关就会被欺骗认为 192.168.43.100 也是 PC A，PC B当然就不能被网关识别了。3、中毒机器将自己的 MAC地址修改成交换机的下一跳网络设备的 MAC地址，试图让交换机的 MAC表发生紊乱，让交换机从错 误的端口发送出数据包，如上图中， PC A会将自己的 MAC地址修 改成网关的 MAC地址 00-E0-0F-27-96-D0 ，这样交换机在

12、 F0/1 和 F0/24 上都学习到这个地址， MAC表就乱了 这种类型并不能算上 ARP病毒，但是同属于欺骗类病毒。目前大部分厂家都是通过绑定 IP 、MAC、端口的方式来保证安 全，但是这样的方式实现起来麻烦（要一条一条的把绑定信息写 进去），如果增加了新设备或者某台设备更换了端口或者网卡，如 果不及时通知网络管理员进行修改，就没有办法上网，费时费力。针对这种情况，我们设计了一套较完善的 ARP防护方式。 在端口下过滤 ARP报文，防止冒充网关 。既然我们知道交换 机的 F0/24 口上接的是网关，那么 F0/1 到F0/23 口都不可能发送 出“我是网关”的 ARP信息，所以我们可以在

13、这些端口下过滤此 类报文。交换机命令（需要两层半交换机， S2026/S2126 以上设备）： interface FastEthernet0/1switchport port-security block arp 192.168.43.254/ 阻止该端口下发送 192.168.43.254 的 ARP报文 在所有的非上联端口上都配置此类命令，交换机可阻止其下 端口发送“我是网关”类的 ARP欺骗报文在接口下配置 Filter 功能，防 ARP扫描攻击。 如果中毒机器 不停变换自己的 IP ，那么他在短时间内发送的 ARP信息是非常多的，我们可以通过设置 ARP计数器 的方式来进行管理，在一

14、个时 间单位内， 如果某个设备发送的 ARP数量超过了我们设置的阀值， 那么我们将过滤这台设备的 MAC一段时间，这个时间段内这台设 备发送任何信息我们的交换机都不进行转发。交换机命令（需要两层半交换机，既 S2026/S2126以上设备）：interface FastEthernet0/1filter arp/ 在接口下启用 arp 过滤功能！filter period 5/ 以 5 秒钟为一个统计周期filter block-time 60/ 将攻击主机隔离 60 秒filter threshold 100/ 一个统计周期超过 100 个 arp 报文，就进行隔离filter enable

15、/ 在全局下启用过滤功能一旦交换机 F0/1 端口下有 PC在 5 秒内发送的 ARP报文超过100个，交换机将在 60秒内禁止此 PC的 MAC通过。免费发放 ARPR ESPONS报E文，纠正主机错误的网关。 对于网 关类的设备一般是不主动发送 ARP报文的，通常它都是被动响应 下面的 ARP请求，因此我们也可以让网关主动发送 ARP RESPONSE 报文，主动矫正下面 PC的错误。交换机命令（需要三层交换机或者路由器）arp free-response/ 启 用 免费 发放 arpresponse 报文的功能arp free-response interval 30 / 发放 arp

16、response 报文的 间隔interface VLAN1ip address 192.168.43.254 255.255.255.0no ip directed-broadcast!interface Loopback0ip address 1.1.1.1 255.255.255.0no ip directed-broadcast这样每 30 秒网关可以主动矫正下面 PC的错误。将网关的 MAC地址、端口、以及 VLAN进行绑定，防止 MAC欺 骗。交换机命令（两层设备即可）mac address-table static 00e0.0f96.27d0 vlan 1 interface

17、f0/24/ 保证网关的 VLAN 1的 MAC地址只能出现在 F0/24 上 将交换机下联口全部开启端口保护，保证用户只能和上联口 互通，和其他用户之间无法互通。交换机命令（两层设备即可） interface FastEthernet0/1 switchport protect根据上面提到的 4 种防护 ARP欺骗的机制原理，我们可以进 行组合，设置多种全网阻断 ARP欺骗的拓扑：首先通过 vlan 划分隔离广播域，让 arp 只会在同 1 个 vlan 内传播，此外我们可以在接入层采用 两层设备 S2126 交换机，开 启端口保护，汇聚层采用 三层 交换机 S3760，开启 Filter

18、防护机 制。此类方法可以保证：1、用户之间发送“我是网关”的 ARP欺骗（类型 1 欺骗）信 息由于接入交换机的端口保护机制，无法传播到其他用户的端口 上。2、用户发送类型 2 欺骗的信息由于汇聚交换机的 Filter 防 护，在汇聚层上就被阻挡掉，无法欺骗网关设备此类方法的缺点就是同个交换机且在同个 vlan 下的用户之间 无法互相访问。因此我们可以只对不需要产生直接互相通信的两 台用户之间开启端口保护，其他不开，或者是采用结合软件的办 法，电脑上安装 arp 防火墙，这样就可以不开启端口保护了。结 合软件 arp 防火墙和三层交换机的 filter 功能，也是一种非常实 用有效防止 arp

19、 攻击的方法。2.5 安全制度任何的措施都不可能解决所有的网络安全问题，也就是“网 络没有绝对的安全，没有绝对的网络安全” 。我们在采取安全控制 措施后，在加强了安全性、可靠性的同时，还需要通过制度和行 政手段来进行干预，比如发文强制统一安装网络防病毒软件，因为如果在一个网络里如果有机器没装防病毒产品或者装的是单机 版产品，势必会给整个单位网络带来不小影响，在出了问题的时 候没有一个统一的解决方案，反而会让他们成为“漏网之鱼” 。没 有那个单机版用户能保证自己每天都及时做病毒码升级，而且现 在装的单机版无非就是瑞星， 金山，360之类的产品， 这些产品相 对于卡巴斯基这类统一部署的防病毒产品来

20、说还是有一定差距 的，像最近的好多单位网络瘫痪都是因为网络里有些机器装了这 类软件导致的，而装有统一部署的防病毒的基本上没有问题。还 有一种情况普遍，就是网络存储设备的使用，经常会有用户会因 为 U 盘携带病毒而使机器出现问题，如果有一个好的管理制度来 做些约束，定期做些关于网络安全方面的培训，使每个人都知道 网络安全问题的重要性也很必要。三、 网络信息系统的 安全预算方案产品名称型号单价 单位数量价格核心交换机H3C S9512-N1100002220000路由器锐捷网络 RSR-04E-BASE-AC-1GE4800002960000防火墙思科 PIX-535-FO-BUN680002136000服务器戴尔 PowerEdge R71021800365400汇聚层交换机