網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計(jì)方案

1、網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計(jì)方案一、 常用的 網(wǎng)絡(luò)信息系統(tǒng) 安全技術(shù)面對(duì)網(wǎng)絡(luò)信息安全的諸多問題，我們采取了多種的防范措施。1、防火墻目前出現(xiàn)的新技術(shù)類型主要有以下幾種狀態(tài)監(jiān)視技術(shù)、 安全操作系統(tǒng)、自適應(yīng)代理技術(shù)、實(shí)時(shí)侵入檢測(cè)系統(tǒng)等?；旌鲜褂脭?shù)據(jù)包過濾技術(shù)、代理服務(wù)技術(shù)和其他一些新技術(shù)是未來防火墻的趨勢(shì)。2、認(rèn)證目前 , 常用的身份識(shí)別技術(shù)主要是基于RAD IUS的鑒別、授權(quán)和管理 (AAA) 系統(tǒng)。 RADIUS ( remoteauthentica2tiondialin userservice)是網(wǎng)絡(luò)遠(yuǎn)程接入設(shè)備的客戶和包含用戶認(rèn)證與配置信息的服務(wù)器之間信息交換的標(biāo)準(zhǔn)客戶或服務(wù)器模式。它包含有關(guān)用

2、戶的專門簡檔 , 如, 用戶名、接入口令、接入權(quán)限等。這是保持遠(yuǎn)程接入網(wǎng)絡(luò)的集中認(rèn)證、授權(quán)、記費(fèi)和審查的得到接受的標(biāo)準(zhǔn)。華為、思科等廠商都有使用 RAD IUS技術(shù)的產(chǎn)品。3、虛擬專用網(wǎng)隨著商務(wù)的發(fā)展 , 辦公形式的改變 ,分支機(jī)構(gòu)之間的通信有很大需求 , 如果使用公用的互聯(lián)網(wǎng)絡(luò)來進(jìn)行通信, 而不是架設(shè)專用線路 , 這樣, 就可以顯著降低使用成本。VPN( virtual private network)即虛擬專用網(wǎng)是解決這一問題的方法。 VPN建立一條通過公眾網(wǎng)絡(luò)的邏輯上的專用連接 , 使得用戶在異地訪問內(nèi)部網(wǎng)絡(luò)時(shí) , 能夠和在本地訪問一樣的資源 , 同時(shí) , 不用擔(dān)心泄密的問題。 采用 I

3、PSec 協(xié)議的產(chǎn)品是市場(chǎng)的主流和標(biāo)準(zhǔn) , 有相當(dāng)多的廠商都推出了相應(yīng)產(chǎn)品。4、入侵檢測(cè)和集中網(wǎng)管入侵檢測(cè) ( intrusion detection)是對(duì)入侵行為的發(fā)覺, 是一種增強(qiáng)系統(tǒng)安全的有效方法, 能檢測(cè)出系統(tǒng)中違背系統(tǒng)安全性規(guī)則或者威脅到系統(tǒng)安全的活動(dòng)。 目前 , 入侵檢測(cè)系統(tǒng)的產(chǎn)品很多, 僅國內(nèi)的就有東軟、海信、聯(lián)想等十幾種 ; 集中網(wǎng)管主要體現(xiàn)在對(duì)網(wǎng)管的集中上,網(wǎng)管集中的實(shí)現(xiàn)方式主要包括存放網(wǎng)管系統(tǒng)的物理平面集中和通過綜合集中網(wǎng)管實(shí)現(xiàn)對(duì)不同廠商網(wǎng)管系統(tǒng)的集中管控。大唐、朗訊、華勤等廠商各自有不同的集中網(wǎng)管產(chǎn)品上市。二、 網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計(jì)方案2.1.1外網(wǎng)出口外網(wǎng)出口采用防火

4、墻。支持雙機(jī)熱備功能，核心交換機(jī)通過兩根電纜連到防火墻上，防火墻通過兩臺(tái)2 層交換機(jī)分別接入電信線路和網(wǎng)通線路。當(dāng)出口設(shè)備開啟雙機(jī)熱備后，即使其中一臺(tái)防火墻出問題，另外一臺(tái)防火墻也能正常保證外網(wǎng)的使用，不會(huì)出現(xiàn)網(wǎng)絡(luò)中斷的情況。2.1.2核心設(shè)備作為網(wǎng)絡(luò)的核心，要有很高的穩(wěn)定性，癱瘓一分鐘都會(huì)帶來嚴(yán)重的后果，針對(duì)這個(gè)因素，我們將兩臺(tái)全千兆核心交換機(jī)采用雙機(jī)熱備 的方式，上聯(lián)到防火墻，并下聯(lián)到辦公網(wǎng)絡(luò)。Catalyst 3960 系列交換機(jī)具有 240G背板帶寬 ; 線速三層交換包轉(zhuǎn)發(fā)率達(dá)到 96Mpps; ，是標(biāo)準(zhǔn)三層無阻塞交換機(jī)為所有的端口提供多層交換能力和線速的路由轉(zhuǎn)發(fā)能力。同時(shí)具有高性能、

5、低成本等主要特點(diǎn)。而其強(qiáng)大的處理能力是構(gòu)建可靠、穩(wěn)定、高速的IP 網(wǎng)絡(luò)平臺(tái)的重要保障。同時(shí)具有高性能、低成本等主要特點(diǎn)。Catalyst3960 支持特有的 ARP入侵檢測(cè)功能，防止包括 MAC欺騙、IP 欺騙、 MAC/IP欺騙在內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來的 DoS/DDoS攻擊等。2.1.3接入設(shè)備接入交換機(jī)作為樓層網(wǎng)絡(luò)的小型網(wǎng)關(guān)設(shè)備上連至上級(jí)交換機(jī)，需要考慮交換機(jī)能提供的網(wǎng)絡(luò)安全性 以及設(shè)備的 處理能力 。我們所采用的接入交換機(jī)可以支持劃分vlan 、端口保護(hù)、 Qos 功能、廣播 / 組播風(fēng)暴控制等功能。同時(shí)應(yīng)具備擴(kuò)展性。達(dá)到可根據(jù)需要靈活地配置網(wǎng)絡(luò)。 交換機(jī)能與所有的以

6、太網(wǎng)、快速以太網(wǎng)設(shè)備相連接，保護(hù)用戶已有的網(wǎng)絡(luò)投資。可在工作組之間或企業(yè)內(nèi)部提供高帶寬、高性能連接，同時(shí)還能增強(qiáng)服務(wù)器群的容量，讓用戶能更快速存取整個(gè)網(wǎng)絡(luò)資源。可以緩解因?yàn)榫W(wǎng)絡(luò)帶寬不足及用戶迅速增長所造成的網(wǎng)絡(luò)傳輸瓶頸， 并且投資少，管理簡單。2.2 訪問控制我們認(rèn)為采用 VLAN+ACL組網(wǎng)方式，可實(shí)現(xiàn)不同部門、 不同應(yīng)用系統(tǒng)之間進(jìn)行隔離，實(shí)現(xiàn)對(duì)跨系統(tǒng)、跨部門的訪問控制。其本身已經(jīng)能夠提供的安全機(jī)制，可保證訪問控制的安全。采用VLAN+ACL實(shí)現(xiàn)組網(wǎng)，按照各樓層或各部門，實(shí)現(xiàn) VLAN的劃分。所有的部門系統(tǒng)全部二層隔離，同一個(gè)匯聚層設(shè)備下的單位需要進(jìn)行互通，則在核心交換機(jī)上終結(jié)VLAN，進(jìn)行

7、三層互通，如果是不同的匯聚層設(shè)備下的單位需要互通，則需要經(jīng)過匯聚交換機(jī)上送到核心交換機(jī)上，通過配置的acl和路由進(jìn)行三層轉(zhuǎn)發(fā)，實(shí)現(xiàn)受控互通。2.3 雙機(jī)熱備實(shí)現(xiàn)方案對(duì)于集團(tuán)內(nèi)網(wǎng)的組網(wǎng)方式，我們規(guī)劃了VRRP雙機(jī)熱備方案：讓我們來看看雙機(jī)熱備的工作VRRP圖 1如上圖所示，正常情況下，左邊核心交換機(jī)優(yōu)先級(jí)高于右邊核心交換機(jī)，所以左側(cè)核心交換機(jī)處于master 狀態(tài)，響應(yīng)所有對(duì)虛擬 IP（即圖中的 192.168.1.1 、192.168.2.1 ）的請(qǐng)求，右側(cè)核心交換機(jī)處于 backup 狀態(tài)，不會(huì)響應(yīng)任何關(guān)于虛擬 IP 的請(qǐng)求，但是右側(cè)交換機(jī)實(shí)時(shí)關(guān)注著從 VRRP心跳線發(fā)來的狀態(tài)包。很明顯，現(xiàn)

8、在所有匯聚交換機(jī)都會(huì)將數(shù)據(jù)包發(fā)送至左側(cè)交機(jī)。左側(cè)交換機(jī)作為線路正常時(shí)的主交換機(jī)。右側(cè)交換機(jī)只關(guān)注VRRP心跳線發(fā)來的狀態(tài)包。此時(shí)，辦公網(wǎng)交換機(jī)到左側(cè)核心交換機(jī)的線路若發(fā)生故障，或左側(cè)核心交換機(jī)的發(fā)生故障。如下圖：VRRP圖 2如果是匯聚交換機(jī)到核心交換機(jī)的線路產(chǎn)生故障，此時(shí)左側(cè)核心交換機(jī)將會(huì)發(fā)現(xiàn)所連接端口發(fā)生故障，左側(cè)交換機(jī)將會(huì)通過VRRP心跳線通知右側(cè)交換機(jī)， 告之關(guān)于 192.168.2.1的狀態(tài)變化，此時(shí)，右側(cè)核心交換機(jī)將會(huì)作為主核心交換機(jī)，并相應(yīng)并處理來自二層匯聚交換機(jī)的所有數(shù)據(jù)包。如果是左側(cè)核心交換機(jī)產(chǎn)生故障，右側(cè)交換機(jī)收不到心跳線傳來的數(shù)據(jù)，那么它會(huì)認(rèn)為左側(cè)交換機(jī)已經(jīng)無法正常工作，

9、自己切換成為 Master 狀態(tài)，處理來自所有匯聚交換機(jī)的數(shù)據(jù)包。從左側(cè)核心設(shè)備發(fā)現(xiàn)線路故障到右側(cè)核心設(shè)備變?yōu)橹鹘粨Q機(jī)，或者右側(cè)核心設(shè)備發(fā)現(xiàn)左側(cè)設(shè)備產(chǎn)生故障無法工作而自己變?yōu)橹鹘粨Q機(jī)，期間耗時(shí)不到 2 秒鐘，對(duì)正在使用網(wǎng)絡(luò)的用戶而言，完全感覺不到發(fā)生了什么故障。這樣就能保證整個(gè)網(wǎng)絡(luò)骨干層7*24 小時(shí)的無故障運(yùn)行了。如果線路恢復(fù)正?；蜃髠?cè)核心交換機(jī)的故障排查解決完畢能夠正常工作，左側(cè)交換機(jī)同樣可以發(fā)現(xiàn)其線路所連接的端口恢復(fù)正常，而通知右側(cè)核心設(shè)備，同時(shí)自己變?yōu)橹鹘粨Q機(jī)，左側(cè)核心交換機(jī)在故障處理完畢后能正常工作同樣會(huì)通知右側(cè)核心交換機(jī)，自己變?yōu)橹鹘粨Q機(jī)。2.4 ARP 防護(hù)ARP（欺騙類）病毒可

10、謂是現(xiàn)在最普遍的網(wǎng)絡(luò)危害，一具用戶感染病毒就可能危害到整個(gè)網(wǎng)絡(luò)。欺騙類病毒目前可以分為3 種類型：1、中毒機(jī)器不停發(fā)送“我是網(wǎng)關(guān)”的ARP信息，試圖來欺騙其他PC，讓他們將自己看作網(wǎng)關(guān)，如圖中的F0/1口下的PC A可以通過這種類型的ARP病毒讓PC B認(rèn)為網(wǎng)關(guān)是PC A。Loopback：1.1.1.1192.168.43.25400-E0-0F-27-96-D0網(wǎng)關(guān)F0/24F0/1F0/10待測(cè)設(shè)備PC APC BMACIP ：192.168.43.9900-0F-B0-7F-38-82IPMAC：192.168.43.10000-E0-0F-26-22-30無網(wǎng)關(guān)網(wǎng)關(guān)：192.168.

11、43.254欺騙源被欺騙者2、中毒機(jī)器不停的變換自己的IP ，來擾亂網(wǎng)關(guān)設(shè)備的ARP表象，試圖讓網(wǎng)關(guān)看到的所有的IP 都是自己，這樣其他用戶的IP就不能被網(wǎng)關(guān)設(shè)備認(rèn)出了，如上圖中，PC A 可以不停的變換自己的 IP ，這樣網(wǎng)關(guān)就會(huì)被欺騙認(rèn)為192.168.43.100也是 PC A，PCB 當(dāng)然就不能被網(wǎng)關(guān)識(shí)別了。3、中毒機(jī)器將自己的MAC地址修改成交換機(jī)的下一跳網(wǎng)絡(luò)設(shè)備的 MAC地址，試圖讓交換機(jī)的MAC表發(fā)生紊亂，讓交換機(jī)從錯(cuò)誤的端口發(fā)送出數(shù)據(jù)包，如上圖中，PC A會(huì)將自己的 MAC地址修改成網(wǎng)關(guān)的 MAC地址 00-E0-0F-27-96-D0 ，這樣交換機(jī)在F0/1 和F0/24 上

12、都學(xué)習(xí)到這個(gè)地址， MAC表就亂了 -這種類型并不能算上 ARP病毒，但是同屬于欺騙類病毒。目前大部分廠家都是通過綁定 IP 、MAC、端口的方式來保證安全，但是這樣的方式實(shí)現(xiàn)起來麻煩（要一條一條的把綁定信息寫進(jìn)去），如果增加了新設(shè)備或者某臺(tái)設(shè)備更換了端口或者網(wǎng)卡，如果不及時(shí)通知網(wǎng)絡(luò)管理員進(jìn)行修改，就沒有辦法上網(wǎng)，費(fèi)時(shí)費(fèi)力。針對(duì)這種情況，我們?cè)O(shè)計(jì)了一套較完善的 ARP防護(hù)方式。在端口下過濾 ARP報(bào)文，防止冒充網(wǎng)關(guān) 。既然我們知道交換機(jī)的 F0/24 口上接的是網(wǎng)關(guān)，那么 F0/1 到 F0/23 口都不可能發(fā)送出“我是網(wǎng)關(guān)”的 ARP信息，所以我們可以在這些端口下過濾此類報(bào)文。交換機(jī)命令（需

13、要兩層半交換機(jī)，S2026/S2126 以上設(shè)備）：interface FastEthernet0/1switchport port-security block arp 192.168.43.254/阻止該端口下發(fā)送192.168.43.254的 ARP報(bào)文在所有的非上聯(lián)端口上都配置此類命令，交換機(jī)可阻止其下端口發(fā)送“我是網(wǎng)關(guān)”類的ARP欺騙報(bào)文在接口下配置Filter功能，防 ARP掃描攻擊。 如果中毒機(jī)器不停變換自己的IP ，那么他在短時(shí)間內(nèi)發(fā)送的ARP信息是非常多的，我們可以通過設(shè)置 ARP計(jì)數(shù)器 的方式來進(jìn)行管理，在一個(gè)時(shí)間單位內(nèi)，如果某個(gè)設(shè)備發(fā)送的 ARP數(shù)量超過了我們?cè)O(shè)置的閥值，

14、那么我們將過濾這臺(tái)設(shè)備的 MAC一段時(shí)間，這個(gè)時(shí)間段內(nèi)這臺(tái)設(shè)備發(fā)送任何信息我們的交換機(jī)都不進(jìn)行轉(zhuǎn)發(fā)。交換機(jī)命令（需要兩層半交換機(jī)，既 S2026/S2126 以上設(shè)備）：interface FastEthernet0/1filter arp/ 在接口下啟用arp過濾功能！filter period 5/ 以5 秒鐘為一個(gè)統(tǒng)計(jì)周期filter block-time 60/ 將攻擊主機(jī)隔離60 秒filter threshold 100/ 一個(gè)統(tǒng)計(jì)周期超過100 個(gè)arp報(bào)文，就進(jìn)行隔離filter enable/ 在全局下啟用過濾功能一旦交換機(jī)F0/1端口下有PC在5秒內(nèi)發(fā)送的ARP報(bào)文超過10

15、0 個(gè)，交換機(jī)將在60 秒內(nèi)禁止此 PC的 MAC通過。免費(fèi)發(fā)放 ARPRESPONSE報(bào)文，糾正主機(jī)錯(cuò)誤的網(wǎng)關(guān)。對(duì)于網(wǎng)關(guān)類的設(shè)備一般是不主動(dòng)發(fā)送ARP報(bào)文的，通常它都是被動(dòng)響應(yīng)下面的 ARP請(qǐng)求，因此我們也可以讓網(wǎng)關(guān)主動(dòng)發(fā)送ARP RESPONSE報(bào)文，主動(dòng)矯正下面PC的錯(cuò)誤。交換機(jī)命令（需要三層交換機(jī)或者路由器）arpfree-response/ 啟用免費(fèi)發(fā)放 arpresponse 報(bào)文的功能arp free-response interval 30/ 發(fā)放 arp response報(bào)文的間隔interface VLAN1ip address 192.168.43.254 255.255

16、.255.0no ip directed-broadcast!interface Loopback0ip address 1.1.1.1 255.255.255.0no ip directed-broadcast這樣每 30 秒網(wǎng)關(guān)可以主動(dòng)矯正下面PC的錯(cuò)誤。將網(wǎng)關(guān)的 MAC地址、端口、以及 VLAN進(jìn)行綁定，防止 MAC欺騙。交換機(jī)命令（兩層設(shè)備即可）mac address-tablestatic00e0.0f96.27d0vlan 1 interfacef0/24/ 保證網(wǎng)關(guān)的 VLAN 1的 MAC地址只能出現(xiàn)在 F0/24 上將交換機(jī)下聯(lián)口全部開啟端口保護(hù)，保證用戶只能和上聯(lián)口互通，和

17、其他用戶之間無法互通。交換機(jī)命令（兩層設(shè)備即可）interface FastEthernet0/1switchport protect根據(jù)上面提到的4 種防護(hù) ARP欺騙的機(jī)制原理，我們可以進(jìn)行組合，設(shè)置多種全網(wǎng)阻斷ARP欺騙的拓?fù)洌菏紫韧ㄟ^ vlan 劃分隔離廣播域，讓arp 只會(huì)在同 1 個(gè) vlan內(nèi)傳播，此外我們可以在接入層采用兩層設(shè)備 S2126 交換機(jī)，開啟端口保護(hù)，匯聚層采用三層交換機(jī) S3760，開啟 Filter防護(hù)機(jī)制。此類方法可以保證：1、用戶之間發(fā)送“我是網(wǎng)關(guān)”的ARP欺騙（類型 1 欺騙）信息由于接入交換機(jī)的端口保護(hù)機(jī)制，無法傳播到其他用戶的端口上。2、用戶發(fā)送類型2

18、 欺騙的信息由于匯聚交換機(jī)的Filter防護(hù)，在匯聚層上就被阻擋掉，無法欺騙網(wǎng)關(guān)設(shè)備此類方法的缺點(diǎn)就是同個(gè)交換機(jī)且在同個(gè)vlan 下的用戶之間無法互相訪問。因此我們可以只對(duì)不需要產(chǎn)生直接互相通信的兩臺(tái)用戶之間開啟端口保護(hù)，其他不開，或者是采用結(jié)合軟件的辦法，電腦上安裝arp 防火墻，這樣就可以不開啟端口保護(hù)了。結(jié)合軟件 arp 防火墻和三層交換機(jī)的filter功能，也是一種非常實(shí)用有效防止 arp 攻擊的方法。2.5 安全制度任何的措施都不可能解決所有的網(wǎng)絡(luò)安全問題，也就是“網(wǎng)絡(luò)沒有絕對(duì)的安全，沒有絕對(duì)的網(wǎng)絡(luò)安全”。我們?cè)诓扇“踩刂拼胧┖?，在加?qiáng)了安全性、可靠性的同時(shí)，還需要通過制度和行政手

19、段來進(jìn)行干預(yù)，比如發(fā)文強(qiáng)制統(tǒng)一安裝網(wǎng)絡(luò)防病毒軟件，因?yàn)槿绻谝粋€(gè)網(wǎng)絡(luò)里如果有機(jī)器沒裝防病毒產(chǎn)品或者裝的是單機(jī)版產(chǎn)品，勢(shì)必會(huì)給整個(gè)單位網(wǎng)絡(luò)帶來不小影響，在出了問題的時(shí)候沒有一個(gè)統(tǒng)一的解決方案，反而會(huì)讓他們成為“漏網(wǎng)之魚” 。沒有那個(gè)單機(jī)版用戶能保證自己每天都及時(shí)做病毒碼升級(jí)，而且現(xiàn)在裝的單機(jī)版無非就是瑞星， 金山，360 之類的產(chǎn)品， 這些產(chǎn)品相對(duì)于卡巴斯基這類統(tǒng)一部署的防病毒產(chǎn)品來說還是有一定差距的，像最近的好多單位網(wǎng)絡(luò)癱瘓都是因?yàn)榫W(wǎng)絡(luò)里有些機(jī)器裝了這類軟件導(dǎo)致的，而裝有統(tǒng)一部署的防病毒的基本上沒有問題。還有一種情況普遍，就是網(wǎng)絡(luò)存儲(chǔ)設(shè)備的使用，經(jīng)常會(huì)有用戶會(huì)因?yàn)?U 盤攜帶病毒而使機(jī)器出現(xiàn)問題，如果有一個(gè)好的管理制度來做些約束，定期做些關(guān)于網(wǎng)絡(luò)安全方面的培訓(xùn)，使每個(gè)人都知道網(wǎng)絡(luò)安全問題的重要性也很必要。三、網(wǎng)絡(luò)信息系統(tǒng)的安全預(yù)算方案產(chǎn)品名稱型號(hào)單價(jià)單位數(shù)量價(jià)格核心交換機(jī)H3C S9512-N1100002220000路由器銳捷網(wǎng)絡(luò) RSR-04E-BASE-AC-1GE4800002960000防火墻思科 PIX-535-FO-BUN680002136000服務(wù)器戴爾 PowerEdge R71021800365400匯聚層交換機(jī)H3C S5100-