外網(wǎng)安全解決方案2003

1、 以創(chuàng)新為動力 以服務(wù)為根本外網(wǎng)安全解決方案 XXXXX有限公司2011-7-4目錄一. 前言3二. 網(wǎng)絡(luò)現(xiàn)狀3三. 需求分析43.1 威脅分析43.2 外部威脅43.2.1 .內(nèi)部威脅53.3 風(fēng)險(xiǎn)分析53.3.2 攻擊快速傳播引發(fā)的安全風(fēng)險(xiǎn)與IDS的不足63.3.3 日志存儲存在風(fēng)險(xiǎn)63.3.4 需求分析7四. 解決方案74.1 入侵保護(hù)系統(tǒng)和外置數(shù)據(jù)中心部署94.1.1 部署圖94.1.2 部署說明94.2 功能與效益10xxxx所外網(wǎng)安全解決方案一. 前言隨著網(wǎng)絡(luò)與信息技術(shù)的發(fā)展，尤其是互聯(lián)網(wǎng)的廣泛普及和應(yīng)用，網(wǎng)絡(luò)正逐步改變著人類的生活和工作方式。網(wǎng)絡(luò)與信息技術(shù)對社會的各行各業(yè)產(chǎn)生了巨

2、大深遠(yuǎn)的影響，信息安全的重要性也在不斷提升。近年來，軍工企業(yè)所面臨的安全問題越來越復(fù)雜，安全威脅正在飛速增長，如蠕蟲、病毒、木馬、DDoS攻擊、垃圾郵件，木馬引起的計(jì)算機(jī)資料被篡改、竊取等，極大地困擾著用戶，給企業(yè)的信息網(wǎng)絡(luò)造成嚴(yán)重的破壞。能否及時(shí)發(fā)現(xiàn)并成功阻止網(wǎng)絡(luò)黑客的入侵、和內(nèi)部有意無意破壞保證計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的安全和正常運(yùn)行便成為所有企業(yè)所面臨的一個(gè)重要問題。陜西中微航信電子科技有限公司是一家專業(yè)從事信息安全產(chǎn)品銷售及整體解決方案的高新技術(shù)企業(yè)。公司專注于信息安全領(lǐng)域，以保護(hù)國家機(jī)密、商業(yè)機(jī)密，防止重要信息泄漏為己任，為各類用戶構(gòu)筑安全可信的信息堡壘。我們根據(jù)705外網(wǎng)實(shí)際環(huán)境制定相應(yīng)的

3、解決方案。二. 網(wǎng)絡(luò)現(xiàn)狀出口帶寬為電信10M光纖接入，通過交換機(jī)分成兩路分支，一路為接待區(qū)，一路為辦公區(qū)。辦公區(qū)客戶通過二層交換機(jī)、安氏防火墻（已無法配置）、深信服上網(wǎng)優(yōu)化網(wǎng)關(guān)SG3200組成的百兆局域網(wǎng)?？蛻舳藶檗k公上網(wǎng)終端、管理網(wǎng)絡(luò)設(shè)備終端和臨時(shí)網(wǎng)吧終端組成。辦公區(qū)拓?fù)淙缦拢喝? 需求分析3.1 威脅分析由于網(wǎng)絡(luò)連接互聯(lián)網(wǎng)，網(wǎng)絡(luò)的使用者既有來自互聯(lián)網(wǎng)的用戶、合作伙伴、網(wǎng)民，也有來自企業(yè)內(nèi)部的員工，因此企業(yè)網(wǎng)絡(luò)面臨來自兩個(gè)方面的安全威脅：3.2 外部威脅n 黑客掃描和攻擊Internet網(wǎng)絡(luò)的惡意入侵者可能因?yàn)樯虡I(yè)的目的或者是隨機(jī)的目的對企業(yè)網(wǎng)絡(luò)發(fā)起惡意掃描和滲透式入侵，通過滲透或繞過防火墻

4、，進(jìn)入企業(yè)網(wǎng)絡(luò)，獲取、篡改甚至破壞敏感的數(shù)據(jù)。n 病毒或蠕蟲侵襲Internet網(wǎng)絡(luò)上大量肆虐的網(wǎng)絡(luò)蠕蟲病毒具備滲透防火墻的傳播能力，他們可以穿透防火墻進(jìn)入企業(yè)網(wǎng)絡(luò)；一旦遭受了病毒和蠕蟲的侵襲，不僅會造成網(wǎng)絡(luò)和系統(tǒng)處理性能的下降，同時(shí)也會對核心敏感的數(shù)據(jù)造成嚴(yán)重的威脅，甚至造成泄密事件。3.2.1 .內(nèi)部威脅n 無意識的外部風(fēng)險(xiǎn)引入企業(yè)網(wǎng)絡(luò)中，由于安全技能和安全意識存在差異，員工可能無意識的通過互聯(lián)網(wǎng)絡(luò)將Internet上危險(xiǎn)的、惡意的木馬程序和惡意代碼下載到內(nèi)部網(wǎng)絡(luò)執(zhí)行，甚至將Internet上的蠕蟲、網(wǎng)絡(luò)病毒傳播進(jìn)入內(nèi)部網(wǎng)絡(luò)，這將對企業(yè)網(wǎng)絡(luò)的安全帶來嚴(yán)重威脅；n 內(nèi)部故意破壞企業(yè)需要考慮內(nèi)

5、部的不滿員工惡意破壞信息網(wǎng)絡(luò)、系統(tǒng)和泄漏敏感數(shù)據(jù)的可能；3.3 風(fēng)險(xiǎn)分析依據(jù)企業(yè)網(wǎng)絡(luò)現(xiàn)狀和相關(guān)業(yè)務(wù)情況，我們主要從以下幾個(gè)方面關(guān)注可能面臨的安全風(fēng)險(xiǎn)：3.3.1 防火墻的局限絕大多數(shù)人在談到網(wǎng)絡(luò)安全時(shí)，首先會想到“防火墻”，企業(yè)一般采用防火墻作為安全保障體系的第一道防線，防御黑客攻擊。但是，隨著攻擊者知識的日趨成熟，攻擊工具與手法的日趨復(fù)雜多樣，單純的防火墻已經(jīng)無法滿足企業(yè)的安全需要，部署了防火墻的安全保障體系仍需要進(jìn)一步完善。傳統(tǒng)防火墻的不足主要體現(xiàn)在以下幾個(gè)方面：n 防火墻作為訪問控制設(shè)備，無法檢測或攔截嵌入到普通流量中的惡意攻擊代碼，比如針對WEB服務(wù)的Code Red蠕蟲等。n 有些主

6、動或被動的攻擊行為是來自防火墻內(nèi)部的，防火墻無法發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)中的攻擊行為。n 如果有哪臺電腦中了木馬或者被控制，內(nèi)網(wǎng)所有電腦都會被感染，沒人敢保證他們內(nèi)網(wǎng)的那些電腦完全沒有涉密信息，不出問題則以，一出問題前面所有的努力都前功盡棄了防火墻無法防御內(nèi)部病毒、攻擊示意圖如下：3.3.2 攻擊快速傳播引發(fā)的安全風(fēng)險(xiǎn)與IDS的不足目前利用漏洞傳播的蠕蟲、病毒、間諜軟件、DDoS攻擊、垃圾郵件等混合威脅越來越多，傳播速度加快，留給人們響應(yīng)的時(shí)間越來越短，使用戶來不及對入侵做出響應(yīng)，比如蠕蟲爆發(fā)造成企業(yè)網(wǎng)絡(luò)癱瘓。入侵檢測系統(tǒng)IDS雖然能檢測出攻擊行為，但無法有效阻斷攻擊。另外，網(wǎng)絡(luò)防病毒系統(tǒng)屬于被動防護(hù)，對

7、于新的未知蠕蟲病毒，防病毒軟件無法檢測出。因此如何保證企業(yè)網(wǎng)絡(luò)在安裝最新安全補(bǔ)丁之前，網(wǎng)絡(luò)不會被蠕蟲、病毒、黑客等攻擊造成網(wǎng)絡(luò)癱瘓，這是目前企業(yè)關(guān)注的問題。3.3.3 日志存儲存在風(fēng)險(xiǎn)根據(jù)保密標(biāo)準(zhǔn)123條和132條嚴(yán)格規(guī)定要有完善的日志審計(jì)系統(tǒng)并且不允許隨意刪除審計(jì)日志，同時(shí)審計(jì)日志是違規(guī)取證的重要手段。目前外網(wǎng)審計(jì)設(shè)備為深信服SG3200上網(wǎng)優(yōu)化網(wǎng)關(guān)，內(nèi)置數(shù)據(jù)中心硬盤為250G，雖然該設(shè)備日志審計(jì)功能相當(dāng)完善，但是當(dāng)內(nèi)部數(shù)據(jù)中心硬盤存滿后網(wǎng)關(guān)會自動刪除最早的日志記錄，造成了日志文件不全的問題，假如發(fā)生設(shè)備硬件軟件故障、病毒入侵、人為、天災(zāi)等因素造成日志文件丟失勢必會對企業(yè)造成很大的損失。3.

8、3.4 需求分析根據(jù)對企業(yè)網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)分析，我們發(fā)現(xiàn)企業(yè)的信息安全需求主要在以下方面：u 防御來自外部的威脅，阻止蠕蟲、網(wǎng)絡(luò)病毒、間諜軟件和黑客攻擊對企業(yè)網(wǎng)絡(luò)造成的安全損失，提高企業(yè)網(wǎng)絡(luò)的整體抗攻擊能力；u 防御來自內(nèi)部的威脅，阻止蠕蟲、網(wǎng)絡(luò)病毒爆發(fā)對企業(yè)內(nèi)部服務(wù)器和網(wǎng)絡(luò)的破壞，保障企業(yè)業(yè)務(wù)系統(tǒng)的正常運(yùn)行，減少敏感信息被非法竊取的可能。u 監(jiān)控企業(yè)網(wǎng)絡(luò)的安全運(yùn)行，全面把握安全狀態(tài)，以便于及時(shí)的發(fā)現(xiàn)安全攻擊，防止安全事件的發(fā)生。u 審計(jì)日志等重要數(shù)據(jù)應(yīng)當(dāng)建立容災(zāi)系統(tǒng)，即使設(shè)備因意外情況損壞、日志被有意無意刪除等情況發(fā)生也能第一時(shí)間恢復(fù)數(shù)據(jù)。因此在企業(yè)網(wǎng)絡(luò)中部署新一代安全產(chǎn)品入侵保護(hù)系統(tǒng)（IPS

9、），能夠有效防御各種攻擊，控制網(wǎng)絡(luò)資源濫用，保證網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運(yùn)行。另外建議增加一臺外置數(shù)據(jù)中心服務(wù)器作為審計(jì)日志容災(zāi)系統(tǒng)，可以自動或者手動定期同步各種網(wǎng)絡(luò)設(shè)備、審計(jì)設(shè)備的審計(jì)日志，全面解決因病毒、人為、設(shè)備故障、天災(zāi)等引起的審計(jì)日志丟失。四. 解決方案入侵保護(hù)系統(tǒng)IPS （Intrusion Prevention System）提供一種主動的、實(shí)時(shí)的防護(hù)，其設(shè)計(jì)旨在對常規(guī)網(wǎng)絡(luò)流量中的惡意數(shù)據(jù)包進(jìn)行檢測，阻止入侵活動，預(yù)先對攻擊性的流量進(jìn)行自動攔截，使它們無法造成損失，而不是簡單地在傳送惡意流量的同時(shí)或之后發(fā)出警報(bào)。IPS 是通過直接串聯(lián)到網(wǎng)絡(luò)鏈路中而實(shí)現(xiàn)這一功能的，即IPS接收到外部數(shù)據(jù)

10、流量時(shí)，如果檢測到攻擊企圖，就會自動地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進(jìn)內(nèi)部網(wǎng)絡(luò)。外置數(shù)據(jù)中心系統(tǒng)可以第一時(shí)間同步深信服SG3200的內(nèi)部審計(jì)日志，也可以手動存儲其他審計(jì)設(shè)備、網(wǎng)絡(luò)設(shè)備的日志信息。同時(shí)又可以作為一臺日志容災(zāi)服務(wù)器。4.1 入侵保護(hù)系統(tǒng)和外置數(shù)據(jù)中心部署4.1.1 部署圖4.1.2 部署說明根據(jù)安全風(fēng)險(xiǎn)分析、安全目標(biāo)和設(shè)計(jì)原則，我們在充分利用現(xiàn)有資源、盡量在少投入、少改動的基礎(chǔ)上，建議使用以下集防護(hù)、檢測和響應(yīng)于一體的安全解決方案。具體部署方式如下：u 在企業(yè)互聯(lián)網(wǎng)出入口處在線部署1臺網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)分別連接ISP路由器、DMZ區(qū)和內(nèi)網(wǎng)的核心交換機(jī)相連，可以入

11、侵保護(hù)，又可以發(fā)揮集成防火墻的功能，最大化利用資源，也可以將接待區(qū)接入NIPS實(shí)現(xiàn)全網(wǎng)防護(hù)，節(jié)約投資；u IPS選擇路由工作模式，部署在網(wǎng)絡(luò)邊界，類似于一個(gè)靜態(tài)的路由器，又相當(dāng)于一臺防火墻，可以實(shí)現(xiàn)NAT，策略路由等功能； u IPS進(jìn)行入侵行為檢測、分析和實(shí)時(shí)響應(yīng)，自動阻斷黑客攻擊，切實(shí)有效的保護(hù)企業(yè)網(wǎng)絡(luò)的安全；u 在安全管理區(qū)域部署一臺外置數(shù)據(jù)中心服務(wù)器作為審計(jì)日志容災(zāi)系統(tǒng)，可以自動或者手動定期同步各種網(wǎng)絡(luò)設(shè)備、審計(jì)設(shè)備的審計(jì)日志，全面解決因病毒、人為、設(shè)備故障、天災(zāi)等引起的審計(jì)日志丟失。4.2 功能與效益布署網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)會給企業(yè)網(wǎng)絡(luò)帶來以下安全功能的提高：u 只需部署一個(gè)IPS，同時(shí)擁有IDS+IPS+FW的全部功能，降低企業(yè)整體的安全費(fèi)用并且完全滿足保密資格標(biāo)準(zhǔn)。u 實(shí)時(shí)發(fā)現(xiàn)和阻斷來自Internet的蠕蟲、病毒、間諜軟件和黑客等攻擊和入侵，竊取敏感信息，防止黑客帶來的安全損失；u 實(shí)時(shí)發(fā)現(xiàn)和阻斷企業(yè)內(nèi)部人員通過Internet對其他網(wǎng)絡(luò)實(shí)施攻擊、破壞、病毒傳染、內(nèi)部泄密。u 實(shí)時(shí)發(fā)現(xiàn)和阻斷企業(yè)