网络安全设计方案

1.1

某市政府网络系统现实状况分析《某市电子政务工程总体规划方案》重要建设内容为：一种专网(政务通信专网)，一种平台(电子政务基础平台)，一种中心(安全监控和备份中心)，七大数据库(经济信息数据库、法人单位基础信息数据库、自然资源和空间地理信息数据库、人口基础信息库、社会信用数据库、海洋经济信息数据库、政务动态信息数据库)，十二大系统(政府办公业务资源系统、经济管理信息系统、政务决策服务信息系统、社会信用信息系统、都市通卡信息系统、多媒体增值服务信息系统、综合地理信息系统、海洋经济信息系统、金农信息系统、金水信息系统、金盾信息系统、社会保障信息系统)。重要包括：政务通信专网电子政务基础平台安全监控和备份中心政府办公业务资源系统政务决策服务信息系统综合地理信息系统多媒体增值服务信息系统某市政府中心网络安全方案设计1.2

安全系统建设目的本技术方案意在为某市政府网络提供全面的网络系统安全处理方案，包括安全管理制度方略的制定、安全方略的实行体系构造的设计、安全产品的选择和布署实行，以及长期的合作和技术支持服务。系统建设目的是在不影响目前业务的前提下，实现对网络的全面安全管理。1)

将安全方略、硬件及软件等措施结合起来，构成一种统一的防御系统，有效制止非法顾客进入网络，减少网络的安全风险；2)

通过布署不一样类型的安全产品，实现对不一样层次、不一样类别网络安全问题的防护；3)

使网络管理者可以很快重新组织被破坏了的文献或使用。使系统重新恢复到破坏前的状态。最大程度地减少损失。详细来说，本安全方案可以实现全面网络访问控制，并可以对重要控制点进行细粒度的访问控制；另一方面，对于通过对网络的流量进行实时监控，对重要服务器的运行状况进行全面监控。1.2.1

防火墙系统设计方案

防火墙对服务器的安全保护网络中使用的服务器，信息量大、处理能力强，往往是袭击的重要对象。此外，服务器提供的多种服务自身有也许成为"黑客"袭击的突破口，因此，在实行方案时要对服务器的安全进行一系列安全保护。假如服务器没有加任何安全防护措施而直接放在公网上提供对外服务，就会面临着"黑客"多种方式的袭击，安全级别很低。因此当安装防火墙后，所有访问服务器的祈求都要通过防火墙安全规则的详细检测。只有访问服务器的祈求符合防火墙安全规则后，才能通过防火墙抵达内部服务器。防火墙自身抵御了绝大部分对服务器的袭击，外界只能接触到防火墙上的特定服务，从而防止了绝大部分外界袭击。

防火墙对内部非法顾客的防备网络内部的环境比较复杂，并且各子网的分布地区广阔，网络顾客、设备接入的可控性比较差，因此，内部网络顾客的可靠性并不能得到完全的保证。尤其是对于寄存敏感数据的主机的袭击往往发自内部顾客，怎样对内部顾客进行访问控制和安全防备就显得尤其重要。为了保障内部网络运行的可靠性和安全性，我们必须要对它进行详尽的分析，尽量防护到网络的每一节点。对于一般的网络使用，内部顾客可以直接接触到网络内部几乎所有的服务，网络服务器对于内部顾客缺乏基本的安全防备，尤其是在内部网络上，大部分的主机没有进行基本的安全防备处理，整个系统的安全性轻易受到内部顾客袭击的威胁，安全等级不高。根据国际上流行的处理措施，我们把内部顾客跨网段的访问分为两大类：其一，是内部网络顾客之间的访问，即单机到单机访问。这一层次上的使用重要有顾客共享文献的传播(NETBIOS)使用；另一方面，是内部网络顾客对内部服务器的访问，这一类使用重要发生在内部顾客的业务处理时。一般内部顾客对于网络安全防备的意识不高，假如内部人员发起袭击，内部网络主机将无法防止地遭到损害，尤其是针对于NETBIOS文献共享协议，已经有诸多的漏洞在网上公开报道，假如网络主机保护不完善，就也许被内部顾客运用"黑客"工具导致严重破坏。1.2.2

入侵检测系统运用防火墙技术，通过仔细的配置，一般可以在内外网之间提供安全的网络保护，减少了网络安全风险，不过入侵者可寻找防火墙背后也许敞开的后门，入侵者也也许就在防火墙内。网络入侵检测系统位于有敏感数据需要保护的网络上，通过实时侦听网络数据流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时，网络监控系统可以根据系统安全方略做出反应，包括实时报警、事件登录，或执行顾客自定义的安全方略等。网络监控系统可以布署在网络中有安全风险的地方，如局域网出入口、重点保护主机、远程接入服务器、内部网重点工作站组等。在重点保护区域，可以单独各布署一套网络监控系统(管理器+探测引擎)，也可以在每个需要保护的地方单独布署一种探测引擎，在全网使用一种管理器，这种方式便于进行集中管理。在内部使用网络中的重要网段，使用网络探测引擎，监视并记录该网段上的所有操作，在一定程度上防止非法操作和恶意袭击网络中的重要服务器和主机。同步，网络监视器还可以形象地重现操作的过程，可协助安全管理员发现网络安全的隐患。需要阐明的是，IDS是对防火墙的非常有必要的附加而不仅仅是简朴的补充。按照现阶段的网络及系统环境划分不一样的网络安全风险区域，xxx市政府本期网络安全系统项目的需求为：区域

布署安全产品内网

连接到Internet的出口处安装两台互为双机热备的海信FW3010PF-4000型百兆防火墙；在主干互换机上安装海信千兆眼镜蛇入侵检测系统探测器；在主干互换机上安装NetHawk网络安全监控和审计系统；在内部工作站上安装趋势防毒墙网络版防病毒软件；在各服务器上安装趋势防毒墙服务器版防病毒软件。DMZ区

在服务器上安装趋势防毒墙服务器版防病毒软件；安装一台InterScanVirusWall防病毒网关；安装百兆眼镜蛇入侵检测系统探测器和NetHawk网络安全监控和审计系统。安全监控和备份中心

安装FW3010-5000千兆防火墙，安装RJ-iTOP榕基网络安全漏洞扫描器；安装眼镜蛇入侵检测系统控制台和百兆探测器；安装趋势防毒墙服务器版管理服务器，趋势防毒墙网络版管理服务器，对各防病毒软件进行集中管理。1.3

防火墙安全系统技术方案某市政府局域网是使用的中心，存在大量敏感数据和使用，因此必须设计一种高安全性、高可靠性及高性能的防火墙安全保护系统，保证数据和使用万无一失。所有的局域网计算机工作站包括终端、广域网路由器、服务器群都直接汇接到主干互换机上。由于工作站分布较广且所有连接,对中心的服务器及使用构成了极大的威胁，尤其是也许通过广域网上的工作站直接袭击服务器。因此，必须将中心和广域网进行隔离防护。考虑到效率，数据重要在主干互换机上流通，通过防火墙流入流出的流量不会超过百兆，因此使用百兆防火墙就完全可以满足规定。如下图，我们在中心机房的DMZ服务区上安装两台互为冗余备份的海信FW3010PF-4000百兆防火墙，DMZ口通过互换机和WWW/FTP、DNS/MAIL服务器连接。同步，安装一台Fw3010PF-5000千兆防火墙，将安全和备份中心和其他区域逻辑隔离开来通过安装防火墙，实现下列的安全目的：1)

运用防火墙将内部网络、Internet外部网络、DMZ服务区、安全监控和备份中心进行有效隔离，防止和外部网络直接通信；

2)

运用防火墙建立网络各终端和服务器的安全保护措施，保证系统安全；

3)

运用防火墙对来自外网的服务祈求进行控制，使非法访问在抵达主机前被拒绝；

4)

运用防火墙使用IP和MAC地址绑定功能，加强终端顾客的访问认证，同步在不影响顾客正常访问的基础上将顾客的访问权限控制在最低程度内；

5)

运用防火墙全面监视对服务器的访问，及时发现和制止非法操作；

6)

运用防火墙及服务器上的审计记录，形成一种完善的审计体系，建立第二条防线；

7)

根据需要设置流量控制规则，实现网络流量控制，并设置基于时间段的访问控制。1.4

入侵检测系统技术方案如下图所示，我们提议在局域网中心互换机安装一台海信眼镜蛇入侵检测系统千兆探测器，DMZ区互换机上安装一台海信眼镜蛇入侵检测系统百兆探测器，用以实时检测局域网顾客和外网顾客对主机的访问，在安全监控和备份中心安装一台海信眼镜蛇入侵检测系统百兆探测器和海信眼镜蛇入侵检测系统控制台，由系统控制台进行统一的管理(统一事件库升级、统一安全防护方略、统一上报日志生成报表)。其中，海信眼镜蛇网络入侵检测系统还可以和海信FW3010PF防火墙进行联动，一旦发现由外部发起的袭击行为，将向防火墙发送告知报文，由防火墙来阻断连接，实现动态的安全防护体系。海信眼镜蛇入侵检测系统可以联动的防火墙有：海信FW3010PF防火墙，支持OPSEC协议的防火墙。通过使用入侵检测系统，我们可以做到：1)

对网络边界点的数据进行检测，防止黑客的入侵；

2)

对服务器的数据流量进行检测，防止入侵者的蓄意破坏和篡改；

3)

监视内部顾客和系统的运行状况，查找非法顾客和合法顾客的越权操作；

4)

对顾客的非正常活动进行记录分析，发现入侵行为的规律；

5)

实时对检测到的入侵行为进行报警、阻断，可以和防火墙/系统联动；

6)

对关键正常事件及异常行为记录日志，进行审计跟踪管理。通过使用海信眼镜蛇入侵检测系统可以轻易的完毕对如下的袭击识别：网络信息搜集、网络服务缺陷袭击、Dos&Ddos袭击、