《網(wǎng)絡(luò)安全方案分析》_第1頁
《網(wǎng)絡(luò)安全方案分析》_第2頁
《網(wǎng)絡(luò)安全方案分析》_第3頁
《網(wǎng)絡(luò)安全方案分析》_第4頁
《網(wǎng)絡(luò)安全方案分析》_第5頁
已閱讀5頁,還剩99頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

編輯課件典型網(wǎng)絡(luò)安全方案設(shè)計

本項目主要從當前網(wǎng)絡(luò)安全的狀況做出安全需求分析,并結(jié)合網(wǎng)絡(luò)安全的評價標準以及網(wǎng)絡(luò)安全防御體系的一般結(jié)構(gòu)來制定相關(guān)網(wǎng)絡(luò)(如校園網(wǎng)、企業(yè)網(wǎng)、政府網(wǎng)等)的安全方案規(guī)劃。最后,對后續(xù)的網(wǎng)絡(luò)安全實驗進行設(shè)計并建立一個虛擬的實驗環(huán)境?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第1頁。編輯課件校園網(wǎng)絡(luò)安全方案設(shè)計

校園網(wǎng)安全現(xiàn)狀目前,校園網(wǎng)在學(xué)校的辦公系統(tǒng)中起著重要作用,合理的使用不僅能促進各院校的現(xiàn)代化教學(xué)改革、提高教學(xué)質(zhì)量、改善教學(xué)環(huán)境,還將會極大的提高教育行業(yè)整體的工作效率和教育質(zhì)量,而前提就是校園網(wǎng)必須是穩(wěn)定的、安全的和可靠的。因此,校園網(wǎng)安全方案的設(shè)計尤為重要。?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第2頁。編輯課件校園網(wǎng)安全需求分析校園網(wǎng)總體上分為校園內(nèi)網(wǎng)和校園外網(wǎng)。校園內(nèi)網(wǎng)主要包括教學(xué)局域網(wǎng)、圖書館局域網(wǎng)、辦公自動化局域網(wǎng)等。校園外網(wǎng)主要指學(xué)校提供對外服務(wù)的服務(wù)器群、與CERNET的接入以及遠程移動辦公用戶的接入等。但具體還要根據(jù)不同校園網(wǎng)的實際情況來做簡要分析。一般情況下,校園網(wǎng)安全主要可以從以下5個方面進行分析:(1)物理安全。是指保護校園網(wǎng)內(nèi)計算機設(shè)備、網(wǎng)絡(luò)設(shè)備及通信線路,使其免遭自然災(zāi)害及其它環(huán)境事故(如電磁污染)的破壞。(2)網(wǎng)絡(luò)安全。是指校園網(wǎng)安全建設(shè)的基礎(chǔ),完善的網(wǎng)絡(luò)安全防御措施可以解決大多數(shù)的校園網(wǎng)安全問題,包括基礎(chǔ)網(wǎng)絡(luò)安全、邊界防護、遠程接入和全局安全。(3)主機安全。校園網(wǎng)內(nèi),主機的安全問題最為常見,也是其他安全問題源頭,主機安全涉及到統(tǒng)一身份認證,主機安全防護體系。通過校園網(wǎng)統(tǒng)一身份認證和校園網(wǎng)主機安全防護體系來全面實現(xiàn)校園網(wǎng)的主機安全目標。(4)應(yīng)用安全。校園網(wǎng)的應(yīng)用安全是最為復(fù)雜的部分,涵蓋的內(nèi)容涉及到了業(yè)務(wù)應(yīng)用的各個層面。(5)數(shù)據(jù)安全。數(shù)據(jù)是當前高校信息化建設(shè)中最寶貴的資源,其重要性已經(jīng)得到越來越高的重視。校園網(wǎng)的安全建設(shè)中,數(shù)據(jù)安全是一個不可忽視的方面。數(shù)據(jù)的遺失或損壞對于學(xué)校而言,其后果不可想象?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第3頁。編輯課件校園網(wǎng)安全功能設(shè)計1.設(shè)計原則為了建設(shè)全方面的、完整的校園網(wǎng)絡(luò)安全體系結(jié)構(gòu),綜合考慮可實施性、可管理性、可擴展性、綜合完備性和系統(tǒng)均衡性等方面,網(wǎng)絡(luò)安全防御體系在整體設(shè)計過程中應(yīng)遵循以下5項原則:(1)保密性:防止信息泄露給非授權(quán)用戶的特性。達到保密性可選擇VLAN的劃分,并能在VLAN之間進行第三層交換時進行有效的安全控制,以保證系統(tǒng)的安全性;(2)完整性:防止信息在存儲或傳輸過程中被修改、破壞和丟失的特性。達到完整性采用VPN技術(shù),用它的專用通道進行通信保證了信息的完整性;(3)可用性:就是易于操作、維護,并便于自動化管理。達到可用性可以利用圖形化的管理界面和簡潔的操作方式,合理地網(wǎng)絡(luò)規(guī)劃策略,提供強大的網(wǎng)絡(luò)管理功能,使日常的維護和操作變得直觀,便捷和高效;(4)可控性:就是對信息的傳播及內(nèi)容具有控制能力。達到可控性對于網(wǎng)絡(luò)管理來說,要求采用智能化網(wǎng)絡(luò)管理軟件,并支持虛擬網(wǎng)絡(luò)功能,對網(wǎng)絡(luò)用戶具有分類控制功能,從而來實現(xiàn)對網(wǎng)絡(luò)的自動監(jiān)測和控制;(5)擴展性:就是便于系統(tǒng)及系統(tǒng)功能的擴展。達到擴展性對選擇的網(wǎng)絡(luò)設(shè)備最好是模塊化的,便于網(wǎng)絡(luò)的擴大和更改,其中核心交換機應(yīng)具有多種模塊類型,以滿足各種網(wǎng)絡(luò)類型的接入,所選擇的設(shè)備都應(yīng)具有良好的軟件再升級能力?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第4頁。編輯課件《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第5頁。編輯課件?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第6頁。編輯課件《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第7頁。編輯課件3.功能模塊及設(shè)備需求分析1)主要功能模塊(1)交換機安全模塊主要實現(xiàn)的功能:IP與MAC的綁定、VLAN的劃分、端口的安全和訪問控制列表(ACL);(2)防火墻模塊:包過濾、地址轉(zhuǎn)換(NAT);(3)VPN模塊:建立專用通道IPSECVPN和SSLVPN;(4)DMZ區(qū)域模塊:IDS與防火墻的聯(lián)動?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第8頁。編輯課件2)設(shè)備需求方案主要設(shè)備如表11-3所示。(1)三層交換機的主要功能包括:高背板帶寬為所有的端口提供非阻塞性能、靈活完備的安全控制策略、強大的多應(yīng)用支持能力和完善的QoS策略等。(2)防火墻的主要功能包括:擴展的狀態(tài)檢測功能、防范入侵及其它(如URL過濾、HTTP透明代理、SMTP代理、分離DNS、NAT功能和審計/報告等)附加功能。(3)入侵檢測系統(tǒng)主要功能包括:能夠阻止來自外部或內(nèi)部的蠕蟲、病毒和攻擊帶來的安全威脅,確保企業(yè)信息資產(chǎn)的安全,能夠檢測各種IM即時通訊軟件、P2P下載等網(wǎng)絡(luò)資源濫用行為,保證重要業(yè)務(wù)的正常運轉(zhuǎn),能夠高效、全面的事件統(tǒng)計分析;能迅速定位網(wǎng)絡(luò)故障,提高網(wǎng)絡(luò)穩(wěn)定運行時間。(4)VPN的主要功能包括:嚴格的身份認證、權(quán)限管理、細粒度控制、傳輸加密和終端安全檢查等機制保障移動用戶SSL安全接入可實現(xiàn)用戶身份和PC硬件信息的對應(yīng);通過人機捆綁可以為遠程用戶分配內(nèi)部IP地址;真正實現(xiàn)遠程局域網(wǎng)可以為遠程移動用戶分配內(nèi)部服務(wù)器地址;真正實現(xiàn)移動辦公通過證書管理器為用戶生成證書、私鑰,可通過郵件通知用戶自己到證書管理器上下載軟件安裝包和配置文件,用戶只需在本地安裝就可實現(xiàn)快速部署。

《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第9頁。編輯課件校園網(wǎng)安全模塊詳細設(shè)計1.交換模塊安全設(shè)計與實施為了更加安全,減小廣播風暴,VLAN技術(shù)在網(wǎng)絡(luò)中得到大量應(yīng)用,但同時網(wǎng)絡(luò)訪問站點也不斷增加,而路由器的接口數(shù)目有限,二層交換機又不具備路由功能?;谶@種情況,三層交換機便應(yīng)運而生,三層交換機彌補了路由器和二層交換機在某些方面的不足,它可以通過VLAN劃分、配置ACL、IP地址與MAC地址的綁定以及arp-check防護等功能來提升網(wǎng)絡(luò)中數(shù)據(jù)的安全性,如圖11-2所示?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第10頁。編輯課件(1)VLAN劃分方案VLAN劃分的方案圖如圖11-3所示,說明如下:(1)高校的學(xué)生通過網(wǎng)絡(luò)交換的信息量日益增大,特別是一個班的同學(xué),但住在一個寢室的同學(xué)不一定就是一個班的,所以將一個班的同學(xué)劃為同一個VLAN便于信息的傳遞。一個班同學(xué)的寢室劃為同一個VLAN,再將一棟宿舍樓劃為一個大VLAN;(2)每個老師的計算機里可能有一些重要的科研資料,從安全性考慮,不能將所有老師的寢室劃為同一個網(wǎng),即將每個老師的寢室劃為一個VLAN,并且學(xué)生宿舍和教師宿舍不能互相訪問;(3)將教學(xué)樓的所有教室劃為一個VLAN;(4)為了方便同學(xué)和老師做一些教學(xué)實驗,實驗室會進行一些專項課題研究,將一個實驗室劃分在同一個VLAN的做法安全性更高。因此,可以將實驗樓劃為一個大VLAN,再將每個實驗室劃為一個小VLAN;(5)為了方便每個部門管理,可以根據(jù)每個的不同性質(zhì),將辦公樓劃為一個大VLAN,再將每個部門劃為一個小VLAN;(6)劃分方法采用基于端口的劃分。高校學(xué)生的流動性大(如新生的入學(xué),畢業(yè)生離校等)會導(dǎo)致的學(xué)生的人數(shù)和班級的變動?;诙丝诘膭澐?,相對來說容易設(shè)置和監(jiān)控,只需要將端口配置的VLAN重新分配?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第11頁。編輯課件《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第12頁。編輯課件2)訪問控制列表ACL(AccessControlList)是一項在路由器和三層交換機上實現(xiàn)的包過濾技術(shù),通過讀取第三和第四層的包頭部信息(如源地址、目的地址、源端口、目的端口等),并根據(jù)預(yù)先定義好的規(guī)則來對數(shù)據(jù)包進行過濾,從而達到訪問控制的目的。本方案中,主要在S3760三層交換機上配置ACL規(guī)則,可以限制各個VLAN之間的訪問,如,阻止教學(xué)樓1臺IP地址為的源主機通過fa0/1,放行其他的通訊流量通過端口,并阻止主機執(zhí)行Telnet命令。S3760#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.S3760(config)#access-list1denyS3760(config)#access-list1permitanyS3760(config)#interfacefa0/1S3760(config-if)#ipaccess-group1inS3760(config)#access-list100denytcpanyeq23S3760(config)#access-list100permitipanyanyS3760(config)#interfacefa0/1S3760(config-if)#ipaccess-group100in《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第13頁。編輯課件3)IP與MAC地址綁定目前在使用靜態(tài)IP地址的局域網(wǎng)管理中經(jīng)常碰到IP地址被盜用或者用戶自行修改地址導(dǎo)致IP地址管理混亂,而且ARP病毒和利用ARP協(xié)議進行欺騙的網(wǎng)絡(luò)問題也日漸嚴重,在防范過程中除了通過VLAN的劃分來抑制問題的擴散之外,還需要將IP地址與MAC地址進行綁定來配合達到更有效的防范。在其核心交換機RG-S3760用address-bind命令手動進行一些特殊IP與MAC地址的綁定使其對應(yīng)的主機不能隨便地更改IP地址或者MAC地址,另外在網(wǎng)絡(luò)中設(shè)一臺DHCP服務(wù)器,所有主機都通過DHCP自動獲得IP地址,在這個過程中,RG-S3760開啟DHCPsnooping功能以及ARP-check防護功能,交換機會自動偵聽DHCP分配地址的過程,將其中有用的IP+MAC地址信息記錄下來,自動綁定到相應(yīng)的端口上,減少大量的手工配置。例如在S3760上的fa0/1端口上開啟DHCPsnooping功能、ARP-check防護功能、端口安全功能以及動態(tài)地綁定命令如下。S3760#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.S3760(config)#ipdhcpsnoopingS3760(config)#interfacefa0/1S3760(config-if)#switchportport-securityarp-checkS3760(config-if)#switchportport-securityS3760(config-if)#ipdhcpsnoopingaddress-bindS3760(config-if)#exitS3760(config)#exit《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第14頁。編輯課件

2.VPN模塊安全設(shè)計與實施校園網(wǎng)VPN可以通過公眾IP網(wǎng)絡(luò)建立私有數(shù)據(jù)傳輸通道,將遠程或分校的分支辦公室、合作伙伴、移動辦公人員等連接起來,減輕校園網(wǎng)的遠程訪問費用負擔,節(jié)省電話費用開支,不過對于端到端的安全數(shù)據(jù)通訊,還需要根據(jù)實際情況采取不同的架構(gòu)。IPSecVPN和SSLVPN是目前校園網(wǎng)VPN方案采用最為廣泛的安全技術(shù),但它們之間有很大的區(qū)別,從VPN技術(shù)架構(gòu)來看,IPSecVPN是比較理想的校園網(wǎng)接入方案,由于它工作在網(wǎng)絡(luò)層,可以對終端站點間所有傳輸數(shù)據(jù)進行保護,可以實現(xiàn)Internet多專用網(wǎng)安全連接,而不管是哪類網(wǎng)絡(luò)應(yīng)用。IPSecVPN還要求在遠程接入客戶端適當安裝和配置IPSec客戶端軟件和接入設(shè)備,這大大提高了網(wǎng)絡(luò)的安全級別。本方案采用IPSecVPN。由于IPSecVPN在IP層提供訪問控制、無連接的完整性、數(shù)據(jù)來源驗證、防重放保護、加密以及數(shù)據(jù)流分類加密等服務(wù)。通過對IPSecVPN的配置和VPN冗余配置,來實現(xiàn)遠程用戶的接入,提高網(wǎng)絡(luò)的負載均衡并有效的提高了網(wǎng)絡(luò)安全性。VPN模塊的詳細拓撲結(jié)構(gòu)如圖11-4所示?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第15頁。編輯課件建立安全的IP通信隧道,是建立虛擬專用網(wǎng)的關(guān)鍵。本方案中采用銳捷VPN進行配置。在VPN配置界面中,選擇網(wǎng)關(guān)的目錄樹上的IPSecVPN,如圖11-5所示。接著開始對VPN進行具體配置:《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第16頁。編輯課件1)遠程用戶接入配置遠程用戶接入方式多種多樣,比如通過無線接入、ADSL拔號接入和專線接入等等,當需要配置遠程移動用戶接入,那么在上圖中雙擊遠程用戶管理,打開遠程用戶管理界面進行配置,如圖11-6所示。(1)配置允許客戶端訪問的子網(wǎng)。在遠程用戶管理界面下打開“允許訪問子網(wǎng)”進行配置,如如圖11-7所示,可以通過添加按鈕來添加用戶接入后可以訪問的內(nèi)網(wǎng)的子網(wǎng)數(shù)目?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第17頁。編輯課件(2)配置內(nèi)部DNS服務(wù)器。在遠程用戶管理界面下打開“內(nèi)部DNS服務(wù)器”進行配置,如圖11-8所示,可以通過添加按鈕來添加內(nèi)部DNS服務(wù)器即校園內(nèi)網(wǎng)DNS服務(wù)器的IP地址,這樣當隧道建立起來之后,RG-SRA軟件自動將客戶端主機的DNS設(shè)置為內(nèi)部DNS。《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第18頁。編輯課件(3)配置內(nèi)部WINS服務(wù)器。內(nèi)部WINS服務(wù)器和內(nèi)部DNS服務(wù)器配置相似,使用校園內(nèi)網(wǎng)WINS服務(wù)器的IP地址配置后客戶機可以用機器名來訪問在服務(wù)器上注冊了的機器,沒有時也可以不進行配置。(4)配置虛IP地址池。內(nèi)部地址池允許網(wǎng)絡(luò)管理員輸入一個或者幾個IP地址范圍,這些地址將用于對遠程用戶分配虛擬IP地址,打開虛地址池的配置窗口選擇添加下列子網(wǎng)地址或連續(xù)地址,進行內(nèi)部地址池的添加,如圖11-9所示。(5)配置用戶特征碼表。如果需要對用戶的登錄機器進行限制,可以對用戶機器特征進行綁定,用戶機器的特征(每個客戶端軟件都可以顯示本機的特征碼)可以由管理員手工導(dǎo)入,也可以由客戶端首次上線的時候自動報告?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第19頁。編輯課件(6)用戶認證配置。RG-SRA選擇網(wǎng)關(guān)本地認證,要為RG-SRA用戶設(shè)置認證用戶名和口令。在窗口左側(cè)菜單區(qū)中用鼠標點擊“用戶認證”-“本地用戶數(shù)據(jù)庫”,此時在窗口右側(cè)操作區(qū)顯示本地用戶列表,點擊工具欄的“添加用戶”按鈕,進行添加用戶操作,如圖11-10所示。《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第20頁。編輯課件2)網(wǎng)關(guān)之間的隧道網(wǎng)關(guān)到網(wǎng)關(guān)的應(yīng)用模式主要包括以太網(wǎng)、ADSL撥號等網(wǎng)絡(luò)環(huán)境,在這種環(huán)境下VPN設(shè)備需要設(shè)置路由信息才能連接上網(wǎng)。內(nèi)部子網(wǎng)的主機把默認網(wǎng)關(guān)設(shè)置為VPN設(shè)備的內(nèi)口,下面是兩個網(wǎng)關(guān)之間的隧道配置。(1)網(wǎng)關(guān)A的配置。添加設(shè)備后在“對方設(shè)備名稱”文本框中,為網(wǎng)關(guān)B設(shè)置一個唯一名稱,如vpnb。在“本地設(shè)備接口”列表框中選擇與網(wǎng)關(guān)B的連接的端口,如eth0。在本地設(shè)備身份中選擇“作為客戶端”單選按鈕,并在“對方設(shè)備地址”中填寫網(wǎng)關(guān)B的IP地址。在認證方式中,選擇“預(yù)共享密鑰”單選按鈕,然后在“密鑰”文本框中輸入共享密鑰,如“123456”,雙方必須相同,如圖11-11所示。添加遂道后在“隧道名稱”為該隧道設(shè)置一個唯一名稱,如Ta-b。“對方設(shè)備名稱”選剛才為B設(shè)置的設(shè)備名:“vpnb”,“本地子網(wǎng)”如/,“對方子網(wǎng)”如/,如圖11-12所示,“通信策略”根據(jù)需要配置,算法必須與B相同,配置如圖11-13所示。《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第21頁。編輯課件《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第22頁。編輯課件2)網(wǎng)關(guān)B的配置。與網(wǎng)關(guān)A的配置相似,只需要把上述配置中的對方相應(yīng)改成網(wǎng)關(guān)A的信息,如添加設(shè)備時設(shè)備名稱叫vpna,密鑰相同。在添加遂道時,本地子網(wǎng)和對方子網(wǎng)互換,其余保持不變。3)VPN冗余配置VPN冗余的目的是為了提高系統(tǒng)的可靠性,本方案通過RG-WALLV160S中的VRRP來實現(xiàn)VPN之間的冗余,詳細拓撲結(jié)構(gòu)設(shè)計如圖11-14所示。

《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第23頁。編輯課件(1)VPN的備份配置。在安全網(wǎng)關(guān)界面目錄樹上,點擊“VRRP設(shè)置”即可進入VRRP設(shè)置界面,如圖11-15所示。首先在“網(wǎng)絡(luò)接口”中把安全網(wǎng)關(guān)A的eth1接口IP配置為:0,然后選擇“VRRP設(shè)置|添加虛擬路由器”,把網(wǎng)絡(luò)接口選擇為eth1;組號配置為:1;虛擬IP配置為:7;主機優(yōu)先級填為:200;默認使用搶占模式、認證方式和密碼可以根據(jù)實際情況選擇和填寫;通告時間間隔默認選擇為:1秒;監(jiān)控選項選eth0;優(yōu)先級衰減量量設(shè)為150;如圖11-16所示。接著再在“網(wǎng)絡(luò)接口”中把安全網(wǎng)關(guān)B的eth1接口IP置為:1,然后選擇“VRRP設(shè)置|添加虛擬路由器”,把網(wǎng)絡(luò)接口選擇eth1;組號配置為:1;虛擬IP配置為:7;主機優(yōu)先級填為:100;默認使用搶占模式、認證方式和密碼和安全網(wǎng)關(guān)A配置相同;通告時間間隔和安全網(wǎng)關(guān)A配置相同都為:1秒;監(jiān)控選項選eth0;優(yōu)先級衰減量量設(shè)為45;如圖11-17所示。《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第24頁。編輯課件《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第25頁。編輯課件4)負載均衡的配置用相同的方法在網(wǎng)關(guān)A上添加第二組虛擬路由,網(wǎng)絡(luò)接口選擇eth1;組號配置為:2;虛擬IP配置為:8;主機優(yōu)先級填為:100;默認使用搶占模式;默認啟用虛擬MAC地址;認證方式和密碼可以根據(jù)實際情況選擇和填寫;通告時間間隔默認選擇為:1秒。網(wǎng)關(guān)B上添加第二組虛擬路由,網(wǎng)絡(luò)接口選擇eth1;組號配置為:2;虛擬IP配置為:8;主機優(yōu)先級填為:200;默認使用搶占模式;默認啟用虛擬MAC地址;認證方式和密碼安全網(wǎng)關(guān)A中組號2配置相同;通告時間間隔默認選擇為:1秒?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第26頁。編輯課件3.

防火墻模塊安全設(shè)計與實施本方案采用RG-WALL160M進行防火墻的策略配置。首先,對防火墻進行管理與初始化配置,然后再按照本方案的要求進行防火墻的基本配置,如防火墻接口IP地址配置、路由配置以及安全規(guī)則等設(shè)置。本校園網(wǎng)安全方案中,學(xué)校出口有2條100M鏈路,分別是教育網(wǎng)和電信網(wǎng),客戶內(nèi)網(wǎng)是教育網(wǎng)公網(wǎng)地址,要求訪問教育網(wǎng)的資源走教育網(wǎng),訪問其他的資源走電信網(wǎng),并且DMZ服務(wù)器分別映射到教育網(wǎng)和網(wǎng)通IP地址。具體的配置過程如下:《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第27頁。編輯課件(1)防火墻IP地址配置,如圖10-18所示。(2)路由配置:配置去往教育網(wǎng)的路由,下一跳為教育網(wǎng),再配置默認路由,下一跳為電信網(wǎng),如圖10-19,圖10-20所示。并配置防火墻內(nèi)網(wǎng)接口啟用源路由功能,如圖10-21所示。圖10-18IP地址配置《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第28頁。編輯課件圖10-21配置啟用源路由功能圖10-22安全規(guī)則(3)安全規(guī)則的配置:安全規(guī)則配置是防火墻配置的重點,具體配置如圖10-22所示,其中:內(nèi)網(wǎng)服務(wù)器映射成教育網(wǎng)IP地址,允許任意源地址訪問,同時,設(shè)置源路由讓此服務(wù)器的數(shù)據(jù)流從教育網(wǎng)出去;內(nèi)網(wǎng)服務(wù)器映射成電信網(wǎng)IP地址,允許任意源地址訪問,同時,設(shè)置源路由讓此服務(wù)器的數(shù)據(jù)流從電信線路出去;內(nèi)網(wǎng)訪問教育網(wǎng)資源的數(shù)據(jù)流,做包過濾規(guī)則允許通過;內(nèi)網(wǎng)訪問其他資源的數(shù)據(jù)流,做NAT規(guī)則轉(zhuǎn)換成網(wǎng)通的地址通過?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第29頁。編輯課件4.

IDS入侵檢測系統(tǒng)設(shè)計與實施入侵檢測系統(tǒng)可以檢測校園網(wǎng)的入侵行為并將這些信息通知給管理員或相關(guān)安全設(shè)備(如防火墻)來進行防御。RG-IDS依賴于一個或多個傳感器來監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)流。這些傳感器代表著RG-IDS的眼睛。因此,傳感器在某些重要位置的部署對于RG-IDS能否發(fā)揮作用至關(guān)重要。本方案的IDS模塊的拓撲結(jié)構(gòu)如圖10-23所示?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第30頁。編輯課件 傳感器利用策略來控制其所監(jiān)測的內(nèi)容,并對監(jiān)測到的事件做出響應(yīng)。設(shè)置步驟如下: (1)單擊主界面上的“策略”按鈕,切換到策略編輯器界面,如圖10-24所示,單擊工具欄上的“編輯鎖定”按鈕,如圖10-25所示。圖10-24策略設(shè)置圖10-25編輯鎖定《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第31頁。編輯課件 再單擊工具欄上的“派生策略”按鈕在彈出的窗口中輸入新策略的名稱,如圖10-26所示,單擊“確定”按鈕。(2)策略編輯:單擊自定義策略,單擊“編輯鎖定”以確保其他人不能同時更改策略,然后根據(jù)需求來設(shè)置策略,如下圖10-27所示?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第32頁。編輯課件(3)策略應(yīng)用。選擇需要下發(fā)的策略,單擊“應(yīng)用策略”按鈕,如下圖10-28所示

《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第33頁。編輯課件11.1.5項目總結(jié) 本方案根據(jù)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計的總體規(guī)劃,從網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全四個方面安全和管理措施設(shè)計出一整套解決方案,目的是要建立一個完整的、立體的、多層次的網(wǎng)絡(luò)安全防御體系。方案中,我們主要采用了星網(wǎng)銳捷公司的安全產(chǎn)品來對校園網(wǎng)進行安全設(shè)計,如RG-S3760E-24、RG-WALL160M、RG-IDS500S、RG-WALLV160S,這些產(chǎn)品在功能上完全能夠滿足本方案的需求,并實現(xiàn)了安全、VPN安全、防火墻安全、IDS與防火墻聯(lián)動的安全設(shè)置等內(nèi)容,同時,還對方案進行了測試驗證,并得到了較好的實驗效果。 本方案在設(shè)計上還具有局限性,今后的改進目標主要有以下幾個方面:(1)設(shè)計更復(fù)雜的測試環(huán)境,來檢查方案中存在的缺陷;(2)改進本方案的拓撲結(jié)構(gòu),使之能夠適應(yīng)更大規(guī)模的網(wǎng)絡(luò)需求;(3)采用更先進的技術(shù),將其融入到本方案中,從而達到更好的安全防御效果?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第34頁。編輯課件任務(wù)11.2企業(yè)網(wǎng)絡(luò)安全方案設(shè)計11.2.1企業(yè)網(wǎng)絡(luò)安全需求分析1.企業(yè)網(wǎng)絡(luò)業(yè)務(wù)安全需求(1)控制網(wǎng)絡(luò)不同部門之間的互相訪問;(2)對不斷變更的用戶進行有效的管理;(3)防止網(wǎng)絡(luò)廣播風暴影響系統(tǒng)關(guān)鍵業(yè)務(wù)的正常運轉(zhuǎn),甚至導(dǎo)致系統(tǒng)的崩潰;(4)加強遠程撥號用戶的安全認證管理;(5)實現(xiàn)企業(yè)局域網(wǎng)與其他各網(wǎng)絡(luò)之間的安全、高速數(shù)據(jù)訪問交換;(6)建立局域網(wǎng)的立體殺毒系統(tǒng);(7)建立WWW服務(wù)器,實現(xiàn)企業(yè)在Internet和Intranet上的信息發(fā)布,使公司內(nèi)外的人員能夠及時了解公司的最新信息;(8)建立郵件服務(wù)器,實現(xiàn)企業(yè)工作人員與上級機構(gòu)、分支機構(gòu)之間的電子信息的傳遞;(9)構(gòu)建起企業(yè)運行基于網(wǎng)絡(luò)設(shè)計的Client/Server(客戶機/服務(wù)器)或Browser/Server(瀏覽器/服務(wù)器)結(jié)構(gòu)的辦公自動化系統(tǒng)、各種信息管理系統(tǒng)的網(wǎng)絡(luò)硬件平臺和系統(tǒng)運行平臺?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第35頁。編輯課件2.存在的安全威脅1)外部威脅企業(yè)網(wǎng)絡(luò)的外部安全威脅主要來源于以下幾個方面:(1)病毒侵襲;(2)黑客入侵;(3)垃圾郵件;(4)無線網(wǎng)絡(luò)、移動手機帶來的安全威脅。2)內(nèi)部威脅企業(yè)網(wǎng)絡(luò)的內(nèi)部安全威脅主要來源于以下幾個方面:(1)用戶的操作失誤帶來的安全問題;(2)某些用戶故意的破壞,如被解雇或工作變動的職員因?qū)镜牟粷M而對企業(yè)網(wǎng)絡(luò)進行破壞或盜取公司的機密信息;(3)用戶的無知引起的安全問題。3)網(wǎng)絡(luò)設(shè)備的安全隱患網(wǎng)絡(luò)設(shè)備是網(wǎng)絡(luò)系統(tǒng)的主要組成部分,是網(wǎng)絡(luò)運行的核心。網(wǎng)絡(luò)運行狀況根本上是由網(wǎng)絡(luò)設(shè)備的運行性能和運行狀態(tài)決定的,因此,網(wǎng)絡(luò)設(shè)備穩(wěn)定可靠的運行對整個網(wǎng)絡(luò)系統(tǒng)的正常工作起著關(guān)鍵性作用。特別是對于可以通過遠程連接TELNET、網(wǎng)管、WEB等方式進行配置管理的網(wǎng)絡(luò)設(shè)備(如路由器、防火墻等)容易受到入侵的攻擊,主要的安全隱患表現(xiàn)在以下幾個方面:(1)人為因素;(2)網(wǎng)絡(luò)設(shè)備運行的操作系統(tǒng)存在漏洞;(3)網(wǎng)絡(luò)設(shè)備提供不必要的服務(wù);(4)網(wǎng)絡(luò)設(shè)備沒有安全存放,易受臨近攻擊?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第36頁。編輯課件3.企業(yè)網(wǎng)絡(luò)安全建設(shè)的原則1)系統(tǒng)性原則企業(yè)網(wǎng)絡(luò)系統(tǒng)整個安全系統(tǒng)的建設(shè)要有系統(tǒng)性和適應(yīng)性,不因網(wǎng)絡(luò)和應(yīng)用技術(shù)的發(fā)展、信息系統(tǒng)攻防技術(shù)的深化和演變、系統(tǒng)升級和配置的變化,而導(dǎo)致在系統(tǒng)的整個生命期內(nèi)的安全保護能力和抗御風險的能力降低。2)技術(shù)先進性原則企業(yè)網(wǎng)絡(luò)系統(tǒng)整個安全系統(tǒng)的設(shè)計采用先進的安全體系進行結(jié)構(gòu)性設(shè)計,選用先進、成熟的安全技術(shù)和設(shè)備,實施中采用先進可靠的工藝和技術(shù),提高系統(tǒng)運行的可靠性和穩(wěn)定性。3)管理可控性原則系統(tǒng)的所有安全設(shè)備(管理、維護和配置)都應(yīng)自主可控;系統(tǒng)安全設(shè)備的采購必須有嚴格的手續(xù);安全設(shè)備必須有相應(yīng)機構(gòu)的認證或許可標記;安全設(shè)備供應(yīng)商應(yīng)具備相應(yīng)資質(zhì)并可信。4)適度安全性原則系統(tǒng)安全方案應(yīng)充分考慮保護對象的價值與保護成本之間的平衡性,在允許的風險范圍內(nèi)盡量減少安全服務(wù)的規(guī)模和復(fù)雜性,使之具有可操作性,避免超出用戶所能理解的范圍,變得很難執(zhí)行或無法執(zhí)行。5)技術(shù)與管理相結(jié)合原則企業(yè)網(wǎng)絡(luò)系統(tǒng)安全建設(shè)是一個復(fù)雜的系統(tǒng)工程,它包括產(chǎn)品、過程和人的因素,因此它的安全解決方案,必須在考慮技術(shù)解決方案的同時充分考慮管理、法律、法規(guī)方面的制約和調(diào)控作用。單靠技術(shù)或單靠管理都不可能真正解決安全問題,因此必須堅持技術(shù)和管理相結(jié)合的原則。6)測評認證原則企業(yè)網(wǎng)絡(luò)系統(tǒng)作為重要的政務(wù)系統(tǒng),其系統(tǒng)的安全方案和工程設(shè)計必須通過國家有關(guān)部門的評審,采用的安全產(chǎn)品和保密設(shè)備需經(jīng)過國家主管理部門的認可。7)系統(tǒng)可伸縮性原則企業(yè)網(wǎng)絡(luò)系統(tǒng)將隨著網(wǎng)絡(luò)和應(yīng)用技術(shù)的發(fā)展而發(fā)生變化,同時信息安全技術(shù)也在發(fā)展,因此安全系統(tǒng)的建設(shè)必須考慮系統(tǒng)可升級性和可伸縮性。重要和關(guān)鍵的安全設(shè)備不因網(wǎng)絡(luò)變化或更換而廢棄?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第37頁。編輯課件11.2.2企業(yè)網(wǎng)總體設(shè)計1.企業(yè)網(wǎng)總體設(shè)計拓撲圖圖11-29企業(yè)網(wǎng)絡(luò)拓撲圖《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第38頁。編輯課件企業(yè)網(wǎng)絡(luò)總體拓撲結(jié)構(gòu)如圖11-29所示,其部門的IP地址規(guī)劃如表11-4所示。設(shè)備IP地址規(guī)劃如表11-5所示。表11-4部門IP地址規(guī)劃表表11-5設(shè)備IP地址規(guī)劃分配表《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第39頁。編輯課件2.功能模塊設(shè)計分析 本方案主要實現(xiàn)以下幾個功能模塊:(1)防火墻功能模塊,主要實現(xiàn)防火墻的部署、防火墻策略設(shè)置、與IDS聯(lián)動等;(2)虛擬專用網(wǎng)功能模塊,主要實現(xiàn)雙機熱備、與防火墻雙重防護關(guān)鍵服務(wù)器群、與IDS聯(lián)動、PKI用戶認證設(shè)置、IPSecVPN和VPN虛擬子網(wǎng)設(shè)置等;(3)入侵檢測功能模塊,實現(xiàn)與防火墻的聯(lián)動;(4)三層交換機安全功能模塊,主要實現(xiàn)VLAN、IP與MAC綁定、與IDS聯(lián)動等;(5)病毒防護功能模塊等?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第40頁。編輯課件11.2.3防火墻系統(tǒng)設(shè)計1.防火墻的部署在防火墻的部署方式上,類似于區(qū)域分割的三角方式,是指將網(wǎng)絡(luò)分為內(nèi)部網(wǎng)絡(luò)(軍事化區(qū)域)、外部網(wǎng)絡(luò)和DMZ區(qū)域。例如,將Web服務(wù)器、郵件服務(wù)器、DNS服務(wù)器、前臺查詢計算機等放置在DMZ區(qū)域,而內(nèi)部的文件服務(wù)器、數(shù)據(jù)庫服務(wù)器等關(guān)鍵應(yīng)用都放置在內(nèi)部網(wǎng)絡(luò)中,從而使它們受到良好的保護,如圖11-30所示。圖11-30防火墻部署企業(yè)網(wǎng)絡(luò)擁有自己的FTP、Web和Mail等服務(wù)器,并對Internet及內(nèi)部用戶提供相應(yīng)的服務(wù)。其中,將向外提供服務(wù)的主機旋轉(zhuǎn)在DMZ區(qū),以保證內(nèi)部的安全。在接入Internet時,本方案選擇使用防火墻來接入,并實現(xiàn)NAT、PAT和ACL等配置方案?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第41頁。編輯課件2.防火墻應(yīng)用規(guī)則與配置 1)配置IP/MAC綁定與主機保護設(shè)置IP/MAC地址綁定,就可以執(zhí)行IP/MAC地址對的探測。如果防火墻某網(wǎng)口配置了“IP/MAC地址綁定啟用功能”、“IP/MAC地址綁定的默認策略(允許或禁止)”,當該網(wǎng)口接收數(shù)據(jù)包時,將根據(jù)數(shù)據(jù)包中的源IP地址與源MAC地址,檢查管理員設(shè)置好的IP/MAC地址綁定表。如果地址綁定表中查找成功并匹配,則允許數(shù)據(jù)包通過,不匹配則禁止數(shù)據(jù)包通過。如果查找失敗,則按缺省策略(允許或禁止)執(zhí)行。使用命令添加IP/MAC地址綁定: 語法:ipmacadd<ip><mac>[if{<name>|none}][unique{on|off}] 參數(shù)說明:ip指定IP地址,mac指定MAC地址,if指定相應(yīng)的網(wǎng)絡(luò)接口,可選參數(shù),默認為不指定網(wǎng)絡(luò)接口unique指定是否進行MAC地址的唯一性檢查,可選參數(shù),默認為不檢查。例如,firewall>ipmacadd5400:05:66:00:88:B8ifnoneuniqueoff《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第42頁。編輯課件

2)配置防火墻URL過濾 WEB服務(wù)是Internet上使用最多的服務(wù)之一。Internet上信息魚龍混雜,存在部分不良信息,因此必須對其訪問進行必要的控制。RG-WALL防火墻可以通過對某些URL進行過濾實現(xiàn)對訪問不良信息的控制。通過使用黑名單和白名單來控制用戶不能訪問哪些URL,可以訪問哪些URL。 3)NAT配置 NAT技術(shù)能夠解決IP地址不夠的問題,同時,也能夠隱藏網(wǎng)絡(luò)內(nèi)部信息,從而保護內(nèi)部網(wǎng)絡(luò)的安全。 RG-WALL防火墻支持源地址一對一的轉(zhuǎn)換,也支持源地址轉(zhuǎn)換為地址池中的某一個地址。用戶可通過安全規(guī)則設(shè)定需要轉(zhuǎn)換的源地址(支持網(wǎng)絡(luò)地址范圍)、源端口。此處的NAT指正向NAT,正向NAT也是動態(tài)NAT,通過系統(tǒng)提供的NAT地址池,支持多對多,多對一,一對多,一對一的轉(zhuǎn)換關(guān)系。 4)配置安全規(guī)則 安全規(guī)則的配置可以說是防火墻最重要的配置了,因為沒有安全規(guī)則,防火墻是不能轉(zhuǎn)發(fā)數(shù)據(jù)流的。默認情況下,防火墻的行為是,除非明文允許,否則全部禁止。防火墻支持的安全規(guī)則有包過濾、NAT、IP映射、端口映射和代理等。 5)配置防火墻主機保護 增加主機保護確保關(guān)鍵服務(wù)器的安全穩(wěn)定,用于保護服務(wù)器訪問時不會因為攻擊而過載?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第43頁。編輯課件11.2.4虛擬專用網(wǎng)設(shè)計1.VPN系統(tǒng)部署 VPN系統(tǒng)部署的詳細拓撲結(jié)構(gòu)如圖11-31所示。圖11-31VPN部署《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第44頁。編輯課件 1)總部網(wǎng)絡(luò)VPN系統(tǒng)部署 RG-WALLV160S作為認證網(wǎng)關(guān),對內(nèi)網(wǎng)的關(guān)鍵服務(wù)器進行認證控制,非授權(quán)用戶不能訪問。USBKEY保障密鑰的安全性,進一步降低安全使用風險。兩臺數(shù)據(jù)中心的RG-WALLV160S通過HA實現(xiàn)雙機熱,雙網(wǎng)鏈路冗余和狀態(tài)熱備快速故障恢復(fù)。 2)分支機構(gòu)VPN系統(tǒng)部署 企業(yè)分支機構(gòu)一般指分布在全國各地規(guī)模中等的分公司,公司內(nèi)部建有中等規(guī)模的局域網(wǎng),同時通過當?shù)豂SP提供的寬帶接入方式接入Internet并安裝一臺VPN設(shè)備,作為客戶端接入總部。 3)移動辦公網(wǎng)點VPN系統(tǒng)部署 采用L2TP+IPSEC隧道協(xié)議,接入總部,用戶即使在乘坐車船甚至飛機的途中,可隨時隨地實現(xiàn)移動辦公,猶如在辦公室一樣方便流暢地交流信息。 4)合作伙伴VPN部署 商業(yè)合作伙伴可能要實時共享某些信息,網(wǎng)絡(luò)類似分支機構(gòu)接入,通過防火墻策略設(shè)置訪問權(quán)限?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第45頁。編輯課件2.VPN雙機熱備份 本方案采用遠程安全接入和邊界安全防護的組合解決方案。針對本企業(yè)對系統(tǒng)和數(shù)據(jù)的高可用性和高安全性的需求,采用了兩臺RG-WALLV160S通過HA實現(xiàn)雙機熱備,雙網(wǎng)鏈路冗余。該方案為用戶提供了強大的容錯功能,避免了單點故障,快速自動恢復(fù)正常通信。網(wǎng)絡(luò)本身通過VPN網(wǎng)關(guān)實現(xiàn)數(shù)據(jù)在廣域網(wǎng)鏈路中的安全傳輸,防止被竊聽或被篡改。設(shè)計中兩臺RG-WALLV160S之間通過HA來實現(xiàn)雙機熱備,主機和備機通過一條串口線連接,正常工作時,主機處于工作狀態(tài),備機網(wǎng)口處于down狀態(tài),主機和備機的配置完全相同,并通過串口線同步動態(tài)信息,更加增強了網(wǎng)絡(luò)的可靠性,當主機出現(xiàn)問題或者鏈路不通時,備機將在3~6秒鐘之內(nèi)進入工作狀態(tài),接管主機的工作,整個切換過程平滑透明,網(wǎng)絡(luò)用戶只會感覺到有短暫的加大,不會對整個網(wǎng)絡(luò)造成大的影響?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第46頁。編輯課件3.VPN與防火墻雙重防護關(guān)鍵服務(wù)器群 在服務(wù)器群網(wǎng)絡(luò)外部署的兩臺VPN外又添加了兩臺虛擬防火墻,從而提高關(guān)鍵位置的安全性及敏感數(shù)據(jù)的安全性。以此防止惡意用戶在網(wǎng)絡(luò)中進行非法網(wǎng)絡(luò)攻擊及網(wǎng)絡(luò)訪問。并能同時保證公司帶寬投入得到有效地利用。就算黑客能突破虛擬防火墻,里面還有一層VPN認證防護,提高了安全級別。4.VPN與IDS聯(lián)動網(wǎng)絡(luò)安全不可能完全依靠單一產(chǎn)品來實現(xiàn),網(wǎng)絡(luò)安全是個整體,必須配相應(yīng)的安全產(chǎn)品。作為必要的補充,入侵檢測系統(tǒng)(IDS)可與安全VPN系統(tǒng)形成互補。入侵檢測系統(tǒng)是根據(jù)已有的、最新的和可預(yù)見的攻擊手段的信息代碼對進出網(wǎng)絡(luò)的所有操作行為進行實時監(jiān)控、記錄,并按制定的策略實行響應(yīng)(阻斷、報警、發(fā)送E-mail)。從而防止針對網(wǎng)絡(luò)的攻擊與犯罪行為。入侵檢測儀在使用上是獨立網(wǎng)絡(luò)使用的,網(wǎng)絡(luò)數(shù)據(jù)全部通過VPN設(shè)備,而入侵檢測設(shè)備在網(wǎng)絡(luò)上進行疹聽,監(jiān)控網(wǎng)絡(luò)狀況,一旦發(fā)現(xiàn)攻擊行為將通過報警、通知VPN設(shè)備中斷網(wǎng)絡(luò)(即IDS與VPN聯(lián)動功能)等方式進行控制(即安全設(shè)備自適應(yīng)機制),最后將攻擊行為進行日志記錄以供以后審查?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第47頁。編輯課件5.PKI配置與用戶認證配置 由于銳捷VPN設(shè)備采用標準X.509證書進行設(shè)備身份標識,所以系統(tǒng)提供標準PKI(公鑰基礎(chǔ)設(shè)施)配置。銳捷VPN設(shè)備可以對遠程用戶進行身份驗證。目前可以支持一次性口令認證、數(shù)字證書認證、第三方Radius認證和SecureID認證。6.報文過濾 設(shè)置報文過濾策略來指定某些傳輸層協(xié)議能否通過VPN。另外可以通過配置與IDS的聯(lián)動規(guī)則,當IDS檢測到攻擊后,將立即通知報文過濾模塊,過濾模塊一方面顯示對應(yīng)的IDS過濾規(guī)則,同時也會對攻擊報文進行過濾,從而阻止其對內(nèi)部網(wǎng)絡(luò)的攻擊。7.VPN虛子網(wǎng)配置 如果用戶網(wǎng)絡(luò)中不同VPN設(shè)備保護的內(nèi)部子網(wǎng)地址相同,出現(xiàn)了沖突,那么常規(guī)VPN設(shè)備就會要求用戶進行地址調(diào)整,但是銳捷VPN可以允許用戶通過虛子網(wǎng)來解決這個問題。 所謂虛子網(wǎng)就是把沖突一方的網(wǎng)絡(luò)地址映射成另外一個不沖突的子網(wǎng)地址,網(wǎng)絡(luò)地址部分發(fā)生變化,但是主機地址部分不變,這樣用戶仍然可以知道變換后對方的主機地址。8.日志審計配置 日志記錄提供對系統(tǒng)活動的詳細審計,銳捷VPN提供了詳細的日志審計信息,這些信息用于評估、審查系統(tǒng)的運行環(huán)境和各種操作,能夠幫助管理員來尋找系統(tǒng)中存在的問題,對系統(tǒng)維護十分有用。管理器中對日志進行分級管理,使日志信息更詳盡、更規(guī)范、層次更清楚?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第48頁。編輯課件11.2.5入侵檢測系統(tǒng)設(shè)計 本方案實現(xiàn)入侵檢測系統(tǒng)與防火墻的聯(lián)動,從而使防火墻可以根據(jù)網(wǎng)絡(luò)運行的狀況來動態(tài)設(shè)置防火墻規(guī)則,其部署的方拓撲結(jié)構(gòu)如圖11-32所示。圖11-32防火墻與IDS的聯(lián)動部署《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第49頁。編輯課件11.2.6三層交換機系統(tǒng)設(shè)計 三層核心交換機是整個企業(yè)網(wǎng)絡(luò)的中樞節(jié)點,因此它的合理設(shè)置和安全規(guī)劃將影響到整個網(wǎng)絡(luò)的運行。本方案將從以下幾個方面進行設(shè)計: (1)合理的VLAN劃分規(guī)劃; (2)IP與MAC地址的綁定設(shè)計; (3)防攻擊的系統(tǒng)保護配置; (4)動態(tài)的ARP檢測配置,防止ARP欺騙攻擊等。《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第50頁。編輯課件11.2.7病毒防御系統(tǒng)設(shè)計 企業(yè)網(wǎng)絡(luò)的病毒防御體系要針對企業(yè)網(wǎng)絡(luò)的現(xiàn)狀,對網(wǎng)絡(luò)中可能存在的病毒入侵點進行詳細分析,然后對其進行層層防護,對癥下藥才能真正保護企業(yè)網(wǎng)絡(luò)的安全。一般情況下,病毒的入侵點主要有: (1)從客戶端入侵:任何一個客戶端計算機都可能會通過可移動介質(zhì)、Internet下載、接收Email以及訪問受感染的服務(wù)器等途徑被病毒侵害,如果此客戶端再去訪問企業(yè)網(wǎng)絡(luò)或其中的資源,則很有可能會把這些病毒傳播出去,而且目前大部分病毒都可以自動進行復(fù)制傳播,增加了其對企業(yè)網(wǎng)絡(luò)的危害性; (2)從文件或應(yīng)用服務(wù)器入侵:如果這些服務(wù)器被病毒侵害,則訪問這些服務(wù)器的客戶機將非常容易感染病毒; (3)從網(wǎng)關(guān)入侵:網(wǎng)關(guān)是一個企業(yè)網(wǎng)絡(luò)的門戶,任何防火墻都無法阻止Internet上病毒的入侵。 本方案的企業(yè)網(wǎng)絡(luò)防病毒產(chǎn)品的部署如圖11-33所示?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第51頁。編輯課件圖11-33企業(yè)網(wǎng)絡(luò)防病毒產(chǎn)品部署《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第52頁。編輯課件11.2.10項目總結(jié) 本方案主要是以IDS為中心的聯(lián)動來實現(xiàn)全網(wǎng)動態(tài)安全部署,并融合配置IDS、防火墻、VPN和三層交換機等設(shè)備,采用多手段多方位的立體防御體系,特別是對核心和保密部門加強其隧道實現(xiàn)技術(shù),并通過測試,成功驗證方案的可行性。但本方案在安全細節(jié)上設(shè)計的還不夠,需要在實際的運行過程中不斷改進完善,使之成為一個安全、可靠、先進的企業(yè)網(wǎng)絡(luò)安全方案?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第53頁。編輯課件任務(wù)11.3政府網(wǎng)絡(luò)安全方案設(shè)計任務(wù)11.3.1了解政府網(wǎng)絡(luò)安全現(xiàn)狀 某地稅分局外網(wǎng)建設(shè)的目的是能夠通過構(gòu)建一個統(tǒng)一、高效、可靠、安全的信息化平臺,有效促進稅務(wù)網(wǎng)絡(luò)互聯(lián)互通和稅務(wù)信息資源共享,形成統(tǒng)一的某地稅網(wǎng)絡(luò)和資源共享平臺。同時,能夠為市、區(qū)各級相關(guān)部門在進行職能辦公、社會管理、公共服務(wù)等業(yè)務(wù)應(yīng)用提供支持,將網(wǎng)絡(luò)服務(wù)延伸到鄉(xiāng)(鎮(zhèn)、街道)、村(社區(qū)),使網(wǎng)絡(luò)服務(wù)惠及全民。 地稅分局外網(wǎng)連接著市及其所管轄的某區(qū)各相關(guān)稅務(wù)局網(wǎng)絡(luò),是某區(qū)稅務(wù)局面向公眾服務(wù)的重要信息網(wǎng)絡(luò)樞紐,也是各部門實現(xiàn)縱向和橫向互聯(lián)互通、整合Internet出口和共享資源的統(tǒng)一網(wǎng)絡(luò)平臺。 某地稅分局辦公樓高為五層,核心機房在一樓弱電間,網(wǎng)絡(luò)接入節(jié)點約60個,網(wǎng)絡(luò)結(jié)構(gòu)采用單核心結(jié)構(gòu)。外網(wǎng)為公共信息服務(wù)平臺和一般的辦公網(wǎng)絡(luò),通過ISP運營商接入Internet,內(nèi)網(wǎng)則通過專線連接與市局相連接?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第54頁。編輯課件任務(wù)11.3.2政府網(wǎng)安全需求分析1.政府網(wǎng)絡(luò)安全隱患 政府對網(wǎng)絡(luò)的安全需求是全方位的,整體的,相應(yīng)的網(wǎng)絡(luò)安全體系也是分層次的,在不同層次反映了不同的安全問題。根據(jù)網(wǎng)絡(luò)應(yīng)用現(xiàn)狀和網(wǎng)絡(luò)結(jié)構(gòu),本方案基于物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全和管理安全五個安全層面分別進行了分析,提交詳細的風險分析報告。地稅分局外網(wǎng)可能面臨的安全威脅和風險具體見下表11-6?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第55頁。編輯課件2.地稅分局政府網(wǎng)絡(luò)安全需求 地稅分局外網(wǎng)對信息安全程度要求較高,因其涉及到重要信息的泄密等。構(gòu)筑網(wǎng)絡(luò)安全系統(tǒng)的最終目的是對網(wǎng)絡(luò)資源或者說是保護對象,實施最有效的安全保護。地稅分局外網(wǎng)的安全,既涉及到各種硬件通信設(shè)施和各種服務(wù)器、終端設(shè)備的安全,又涉及到各種系統(tǒng)軟件、通用應(yīng)用軟件和自行開發(fā)的應(yīng)用程序的安全;既涉及各種信息安全技術(shù)本身,也涉及保障這些安全技術(shù)順利實施的各種安全管理。任何一種或幾種安全技術(shù)都無法解決網(wǎng)絡(luò)中的所有安全問題,必須以科學(xué)的安全保障體系結(jié)構(gòu)模型為依據(jù),全面系統(tǒng)地分析內(nèi)外網(wǎng)的安全保障需求,為建立科學(xué)合理的安全保障體系打下堅實的基礎(chǔ)。 針對地稅分局外網(wǎng)的網(wǎng)絡(luò)安全需要從以下方面考慮: (1)針對重要信息可能通過電磁輻射或線路干擾等泄漏。需要對存放機密信息的機房進行必要的設(shè)計,如構(gòu)建屏蔽室。采用輻射干擾機,防止電磁輻射泄漏機密信息。對重要的設(shè)備和重要系統(tǒng)進行備份等安全保護。(2)不同業(yè)務(wù)網(wǎng)絡(luò)之間的物理隔離或者邏輯隔離,特別是外網(wǎng)與因特網(wǎng)之間,外網(wǎng)與內(nèi)網(wǎng)之間需要通過邏輯或物理隔離保證網(wǎng)絡(luò)邊界的安全。有效保障各網(wǎng)絡(luò)系統(tǒng)之間的數(shù)據(jù)安全,確保政府部門內(nèi)部保密數(shù)據(jù)的安全性和可靠性。(3)嚴格控制各種人員對地稅分局內(nèi)部網(wǎng)絡(luò)的接入,尤其是地稅分局內(nèi)部網(wǎng)絡(luò)的接入,防止政府部門內(nèi)部涉密信息的外泄?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第56頁。編輯課件(4)確保合法用戶使用合法網(wǎng)絡(luò)資源,通過統(tǒng)一的用戶身份認證體系,確認用戶的真實身份,嚴格控制用戶的訪問,防范非法用戶非法訪問、合法用戶非授權(quán)訪問和假冒合法用戶非法訪問等安全威脅。(5)具有靈活、方便、有效的注冊機制、身份認證機制和授權(quán)管理機制,保證內(nèi)、外網(wǎng)中的數(shù)據(jù)的可控性和不可否認性。(6)保護信息通過網(wǎng)上傳輸過程中的機密性、完整性,加強遠程接入的安全,保證遠程用戶安全的訪問應(yīng)用數(shù)據(jù)資源。(7)稅務(wù)網(wǎng)上申報系統(tǒng)采用加密措施,構(gòu)建CA系統(tǒng)通過信任的第三方來確保通信雙方互相交換信息,就可以解決加密系統(tǒng)對密鑰的分發(fā)及管理的可靠性卻存在安全問題。(8)網(wǎng)絡(luò)系統(tǒng)需要充分考慮各種網(wǎng)絡(luò)設(shè)備的安全,保障網(wǎng)絡(luò)系統(tǒng)在受到蠕蟲、掃描等攻擊時網(wǎng)絡(luò)設(shè)備的穩(wěn)定性,充分提升政府網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性。(9)各網(wǎng)絡(luò)系統(tǒng)內(nèi)部需要從網(wǎng)絡(luò)設(shè)備到網(wǎng)絡(luò)應(yīng)用等多個層面,充分考慮各層面的網(wǎng)絡(luò)安全,以保障網(wǎng)絡(luò)系統(tǒng)內(nèi)部對病毒、攻擊等的防護。(10)保護稅務(wù)網(wǎng)絡(luò)中主機資源安全,及時發(fā)現(xiàn)系統(tǒng)和數(shù)據(jù)庫的安全漏洞,以有效避免黑客攻擊的發(fā)生,確保網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性,做到防患于未然?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第57頁。編輯課件(11)防范病毒的侵害,建立有效的防病毒機制,防止病毒在整個網(wǎng)絡(luò)中的大規(guī)模傳播,防止各種病毒等進入內(nèi)部網(wǎng)。 (12)安全的防護不能是單一的,需要各種網(wǎng)絡(luò)安全設(shè)備聯(lián)合防護,提供網(wǎng)絡(luò)的全面安全。 (12)實現(xiàn)網(wǎng)絡(luò)的安全管理,實時監(jiān)控和動態(tài)監(jiān)測網(wǎng)絡(luò)的運行狀態(tài),監(jiān)控內(nèi)網(wǎng)用戶的各種訪問行為。 (13)整個安全系統(tǒng)必須提供詳實的安全日志功能。 (14)建立網(wǎng)絡(luò)的安全審計體系,完善特定應(yīng)用及服務(wù)的安全報告、日志和審計的功能,建立準確的審計體系。 (15)具有有效的應(yīng)急處理和災(zāi)難恢復(fù)機制,確保突發(fā)事件后能迅速恢復(fù)系統(tǒng)的各項服務(wù)。 (16)安全管理體制健全的人的安全意識可以通過安全常識培訓(xùn)來提高。人的行為的約束只能通過嚴格的管理體制,并利用法律手段來實現(xiàn)?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第58頁。編輯課件 3)網(wǎng)絡(luò)安全設(shè)計的目標 根據(jù)上述政務(wù)外網(wǎng)將面臨的威脅和風險,政府建立網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計目標應(yīng)該滿足保密性、完整性、可用性、可控性和擴展性的要求,建立從物理、網(wǎng)絡(luò)、系統(tǒng)、信息和管理等方面的整體安全體系,實現(xiàn)綜合防范機制,保障網(wǎng)絡(luò)安全、高效、可靠的運行。 政務(wù)外網(wǎng)建立網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計目標: (1)保密性:信息不被泄露給非授權(quán)用戶的特性。 (2)完整性:信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。 (3)可用性:易于操作、維護,并便于自動化管理。 (4)可控性:控對信息的傳播及內(nèi)容具有控制能力。(5)擴展性:便于系統(tǒng)及系統(tǒng)功能的擴展?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第59頁。編輯課件 基于以上的設(shè)計目標,本方案網(wǎng)絡(luò)安全建設(shè)將實現(xiàn)以下具體安全目標: (1)保護網(wǎng)絡(luò)系統(tǒng)的可用性; (2)保護網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性; (3)防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問; (4)防范入侵者的惡意攻擊與破壞; (5)保護政府信息通過網(wǎng)上傳輸過程中的機密性、完整性; (6)防范病毒的侵害;(7)實現(xiàn)網(wǎng)絡(luò)的安全管理?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第60頁。編輯課件 4)網(wǎng)絡(luò)安全設(shè)計的原則 政府網(wǎng)絡(luò)安全系統(tǒng)的建設(shè),以網(wǎng)絡(luò)需求為基礎(chǔ),以構(gòu)建系統(tǒng)安全、網(wǎng)絡(luò)安全為重點,從入侵防范、服務(wù)檢測、防病毒、訪問控制、身份認證、報告審計等入手,建設(shè)以業(yè)務(wù)應(yīng)用為核心的網(wǎng)絡(luò)安全系統(tǒng),并為進一步實現(xiàn)業(yè)務(wù)應(yīng)用安全打下基礎(chǔ),要求制定統(tǒng)一的網(wǎng)絡(luò)安全策略,總體上體現(xiàn)保密性、完整性、可用性、可控性、擴展性。 具體原則如下: (1)全方位實現(xiàn)安全性。安全性設(shè)計必須從全方位、多層次加以考慮,即通過網(wǎng)絡(luò)級、應(yīng)用級、系統(tǒng)級安全性設(shè)計措施來確實保證安全。 (2)切合實際實施安全性。必須緊密切合要進行安全防護的實際對象來實施安全性,以免過于龐大冗雜的安全措施導(dǎo)致性能下降。有效地防止網(wǎng)絡(luò)的非法侵入和信息的泄露,保護關(guān)鍵的數(shù)據(jù)不被非法竊取、篡改或泄漏,使數(shù)據(jù)具有極高的可信性。 (3)易于實施、管理與維護。網(wǎng)絡(luò)安全系統(tǒng)的管理和維護工作也是至關(guān)重要的。網(wǎng)絡(luò)安全工程設(shè)計必須具有良好的可實施性與可管理性,同時還要具有尚佳的易維護性,為平臺維護者提供方便的管理工具《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第61頁。編輯課件 (4)易操作性原則。安全措施需要人為去完成,對人員的技術(shù)要求過高,本身就降低了安全性。其次,措施的采用不能影響系統(tǒng)的正常運行。 (5)具有較好的可擴展性。網(wǎng)絡(luò)安全工程設(shè)計,必須具有良好的可擴展性。系統(tǒng)建設(shè)應(yīng)該是統(tǒng)一規(guī)劃、分步實施、逐步完善的過程,整個安全系統(tǒng)必須留有接口,以適應(yīng)將來工程規(guī)模擴展的需要。 (6)具有較好的可靠性。網(wǎng)絡(luò)安全系統(tǒng)是用戶眾多,大量移動用戶依賴它在獲取重要信息。它的穩(wěn)定可靠關(guān)系重大,信息平臺的運行不穩(wěn)定甚至癱瘓將嚴重影響大量用戶的正常工作,將給用戶帶來不便和不可低估的損失。保證系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)的穩(wěn)定可靠性和不間斷運行是平臺運行的首要保證?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第62頁。編輯課件任務(wù)11.3.3某地稅分局外網(wǎng)安全總體解決方案設(shè)計1.設(shè)計思路 根據(jù)上述網(wǎng)絡(luò)實現(xiàn)的安全目標和設(shè)計原則,為了體現(xiàn)保密性、完整性、可用性、可控性、擴展性等特性,本方案提出如下網(wǎng)絡(luò)安全設(shè)計思路: (1)邊緣接入控制。外網(wǎng)與Internet的接口處配置防火墻,把一些對外發(fā)布的服務(wù)器放在DMZ區(qū)域,通過對防火墻設(shè)置包過濾策略,控制Internet用戶對服務(wù)器的訪問。在網(wǎng)絡(luò)內(nèi)部,用戶接入網(wǎng)絡(luò)時,在接入層交換機上部署網(wǎng)絡(luò)安全策略,實現(xiàn)邊緣接入控制。 (2)全局聯(lián)動協(xié)作。從全局的角度來把控網(wǎng)絡(luò)安全,安全不是某一個設(shè)備的事情,應(yīng)該讓網(wǎng)絡(luò)中的所有設(shè)備都發(fā)揮其安全功能,互相協(xié)作,形成一個“全民皆兵”的網(wǎng)絡(luò),最終從全局的角度把控網(wǎng)絡(luò)安全?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第63頁。編輯課件 (3)全程立體防御。用戶的網(wǎng)絡(luò)訪問行為可以分為三個階段,包括訪問網(wǎng)絡(luò)前、訪問網(wǎng)絡(luò)時、訪問網(wǎng)絡(luò)后。對每個階段,都應(yīng)進行嚴格的安全控制,做到“事前全面預(yù)防、事中立體防御、事后聯(lián)動處理”,實現(xiàn)立體防御的全程網(wǎng)絡(luò)安全。 (4)統(tǒng)一集中管理。通過VPN分布式部署,用戶更好的實現(xiàn)了策略的統(tǒng)一,通過軟硬件的多方面聯(lián)動、計算機層面與網(wǎng)絡(luò)層面的結(jié)合,從身份、主機、網(wǎng)絡(luò)等多個角度對網(wǎng)絡(luò)安全進行監(jiān)控、檢測、防御和處理,實現(xiàn)了與不在同一地理位置的分支機構(gòu)的統(tǒng)一管理?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第64頁。編輯課件2.體系結(jié)構(gòu) 本方案基于安全性、穩(wěn)定性、實用性、高效性、擴展性的設(shè)計原則,使用銳捷網(wǎng)絡(luò)的防火墻RG-WALL160M、VPN網(wǎng)關(guān)RG-WALLV160S、入侵檢測系統(tǒng)RG-IDS500S和核心交換機RG-S3760E進行構(gòu)建安全網(wǎng)絡(luò),通過各個安全設(shè)備在同一網(wǎng)絡(luò)環(huán)境下的全局聯(lián)動,使網(wǎng)絡(luò)中的每個設(shè)備都在發(fā)揮著安全防護作用,從而構(gòu)成多種設(shè)備協(xié)同工作的全新安全體系。地稅分局外網(wǎng)網(wǎng)絡(luò)安全體系結(jié)構(gòu)圖如圖11-34下所示:圖11-34網(wǎng)絡(luò)安全體系結(jié)構(gòu)圖《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第65頁。編輯課件 RG-WALL160M防火墻作為稅務(wù)分局外網(wǎng)的出口,對訪問用戶進行嚴格控制,防止外部病毒、黑客等對服務(wù)器攻擊。RG-WALL160M防火墻采用強大的分類算法,對網(wǎng)絡(luò)出口的各種數(shù)據(jù)進行嚴格而快速的過濾,保障在提供嚴格的數(shù)據(jù)過濾的同時,性能不受規(guī)則數(shù)的影響,全面提升網(wǎng)絡(luò)的安全保障系統(tǒng)的正常運行。 RG-WALLV160SVPN網(wǎng)關(guān)在線部署在核心交換機與出口防火墻之間,實現(xiàn)在某區(qū)稅務(wù)分局和下屬單位之間構(gòu)建IPsecVPN通道的方案,數(shù)據(jù)在傳輸過程中防止發(fā)生泄密,保障稅務(wù)數(shù)據(jù)在網(wǎng)絡(luò)中能夠高速、安全的傳輸。普通企業(yè)用戶使用存放了CA認證證書USBKEY,便可以與分局網(wǎng)絡(luò)內(nèi)部建立SSLVPN隧道徹底解決了遠程移動用戶的接入和管理問題。 RG-IDS500S入侵檢測系統(tǒng)實現(xiàn)實時檢查和防范內(nèi)部網(wǎng)絡(luò)用戶的非法操作和已侵入內(nèi)部網(wǎng)絡(luò)的攻擊行為。RG-IDS采用基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的旁路工作方式部署。通過IDS與防火墻設(shè)備聯(lián)動,可以充分利用專用IDS軟件的功能,對流經(jīng)網(wǎng)絡(luò)的報文進行詳細的分析與檢查,探測各種異常情況和可能的攻擊行為,并通過防火墻進行實時的響應(yīng)。 RG-S3760E核心交換機支持豐富的安全防護能力,包括防DoS攻擊,防IP掃描,防IP地址欺騙,防ARP欺騙,防病毒,帶寬控制等功能,從基礎(chǔ)架構(gòu)上防止安全事件引起的系統(tǒng)不穩(wěn)定因素,提供網(wǎng)絡(luò)系統(tǒng)安全堡壘?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第66頁。編輯課件3.方案闡述 本網(wǎng)絡(luò)安全解決方案以面向服務(wù)的方式,結(jié)合安全等級保護的有關(guān)政策要求,從物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用系統(tǒng)安全、安全管理等方面進行設(shè)計,結(jié)合銳捷安全交換機、安全客戶端、安全管理平臺、用戶認證系統(tǒng)、入侵檢測系統(tǒng)、VPN安全網(wǎng)關(guān)、RG-WALL防火墻等多重網(wǎng)絡(luò)元素,通過同一網(wǎng)絡(luò)環(huán)境下的全局聯(lián)動,使網(wǎng)絡(luò)中的每個設(shè)備都在發(fā)揮著安全防護作用,從而構(gòu)成一個全局化的多種設(shè)備協(xié)同防護的網(wǎng)絡(luò)安全綜合體系。 (1)物理安全。物理層安全保密解決措施分為環(huán)境安全,設(shè)備安全,媒體安全保密三個層面。在網(wǎng)絡(luò)規(guī)劃和場地、環(huán)境等方面,采取措施保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全,防止系統(tǒng)信息在空間的擴散。 (2)網(wǎng)絡(luò)安全。首先,本方案實在原有網(wǎng)絡(luò)基礎(chǔ)設(shè)計的,采用了物理隔離方式,把地稅分局網(wǎng)絡(luò)分為外網(wǎng)和內(nèi)網(wǎng)(參見圖11-34),內(nèi)網(wǎng)主要是電子公文的傳遞和內(nèi)部辦公系統(tǒng)等,政務(wù)外網(wǎng)主要是網(wǎng)絡(luò)辦公等應(yīng)用,防止對內(nèi)網(wǎng)重要數(shù)據(jù)和服務(wù)器的安全威脅。 其次,本方案詳細設(shè)計了防火墻系統(tǒng)、VPN系統(tǒng)、入侵檢測、防病毒系統(tǒng)、漏洞掃描系統(tǒng)等子系統(tǒng)。各個子系統(tǒng)相互獨立,完成各自的在這個網(wǎng)絡(luò)中承擔安全功能。而且,通過同一網(wǎng)絡(luò)環(huán)境下的全局聯(lián)動,構(gòu)成一個全局化的多種設(shè)備協(xié)同防護的網(wǎng)絡(luò)安全綜合體系?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第67頁。編輯課件

(3)系統(tǒng)安全。系統(tǒng)安全主要包括系統(tǒng)防病毒和系統(tǒng)漏洞掃描兩個部分。防病毒系統(tǒng)采用分布式網(wǎng)絡(luò)防毒墻系統(tǒng),包括防毒墻,病毒管理監(jiān)控中心和病毒防治終端。殺毒軟件病毒庫自動下發(fā)到所有主機,保證主機的安全性。對USB口、光驅(qū)、打印口等端口進行控制,杜絕信息泄露和病毒傳播。漏洞掃描系統(tǒng)通過對WEB站點、防火墻、路由器、外部網(wǎng)絡(luò)、操作系統(tǒng)、被聯(lián)網(wǎng)的主機和工作站的安全風險監(jiān)測和掃描,對整個網(wǎng)絡(luò)的信息進行保護。 (4)應(yīng)用系統(tǒng)安全。包括:身份認證、訪問控制、統(tǒng)一用戶與權(quán)限管理系統(tǒng)、身份認證鑒權(quán)系統(tǒng)、日志審計、系統(tǒng)災(zāi)備。 身份認證:采用公鑰數(shù)字證書。 訪問控制:采用基于屬性證書的統(tǒng)一資源訪問控制機制,資源類型可以是多種多樣的,可以是某個IP地址、某個端口、某個應(yīng)用程序、某個URL地址、某個業(yè)務(wù)操作等,控制策略中的要素可以包括:網(wǎng)絡(luò)的空間地址(IP地址)、時間、公鑰身份證書、屬性證書等。 統(tǒng)一用戶與權(quán)限管理系統(tǒng):針對統(tǒng)一資源目錄中的用戶、角色、權(quán)限等進行管理。 身份認證鑒權(quán)系統(tǒng):根據(jù)需求(數(shù)字證書方式),對用戶身份進行認證,并確認用戶訪問資源(應(yīng)用、數(shù)據(jù)、設(shè)備等)的權(quán)限。 日志審計:對證書用戶的訪問記錄進行敏感訪問的記錄,對證書用戶應(yīng)用層的業(yè)務(wù)操作進行不可抵賴的日志記錄。對日志進行制度性地審核,發(fā)現(xiàn)各類安全事件,按照規(guī)定的應(yīng)急響應(yīng)機制進行處理。 系統(tǒng)災(zāi)備:有10臺服務(wù)器,其中4臺是數(shù)據(jù)庫服務(wù)器。服務(wù)器運行的數(shù)據(jù)庫系統(tǒng)是ORALCE。整個系統(tǒng)的數(shù)據(jù)量大約數(shù)十TB。對所有的應(yīng)用系統(tǒng)數(shù)據(jù)集中備份管理。備份策略是:每天晚上,網(wǎng)絡(luò)系統(tǒng)做自動備份處理,每月做一次冷備份,每月的第一天做一次全盤備份,其他時間每天做一次差分備份?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第68頁。編輯課件任務(wù)11.3.4某地稅分局外網(wǎng)安全模塊詳細設(shè)計1.防火墻系統(tǒng)設(shè)計 1)防火墻系統(tǒng)概述 防火墻是一種非常有效的網(wǎng)絡(luò)安全防護工具,用來隔離風險區(qū)域與安全區(qū)域的連接,僅讓安全、核準了的信息進入,最大限度地阻止不希望的、未授權(quán)的通信進出被保護的網(wǎng)絡(luò)。在網(wǎng)絡(luò)安全系統(tǒng)中,防火墻部署在兩個網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng),目的是不被非法用戶從外部進行侵入和攻擊。本質(zhì)上,它遵循的是一種允許或禁止業(yè)務(wù)來往的網(wǎng)絡(luò)通信安全機制,也就是提供可控的過濾網(wǎng)絡(luò)通訊,只允許授權(quán)的通訊。 為了保證稅務(wù)分局外網(wǎng)絡(luò)的安全,實現(xiàn)各安全域之間訪問的合理控制,外網(wǎng)安全域的邊界應(yīng)該安裝防火墻,并按不同安全要求實施相應(yīng)的安全策略控制。 RG-WALL防火墻作為一個核心的關(guān)鍵安全設(shè)備,對性能、功能有較高的要求,具體的功能要求如下:《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第69頁。編輯課件 (1)提供基于狀態(tài)檢測技術(shù)的對象式訪問控制; (2)應(yīng)用層的狀態(tài)檢測,過濾蠕蟲病毒,保證用戶安全; (3)內(nèi)置入侵檢測功能,確保防火墻的安全運行; (4)防TCP、UDP等端口掃描; (5)支持透明模式、路由模式、混合模式以及NAT模式; (6)支持最多4臺集群和鏈路聚會功能,消除單點故障,提升產(chǎn)品性能; (7)基于網(wǎng)絡(luò)IP和MAC地址綁定的包過濾; (8)透明代理(TransparentProxy),URL級的信息過濾; (9)支持流量控制管理,保證關(guān)鍵用戶,關(guān)鍵流量對網(wǎng)絡(luò)的使用; (10)支持完整VPN功能; (11)提供操作簡單的圖形化用戶界面對防火墻進行配置; (12)支持ADSL、PPPOE撥號方式; (13)支持BT/eDonkey/Kazaa等P2P軟件的禁止和帶寬限制; (14)支持入侵檢測和防護(IPS); (15)支持多種IDS產(chǎn)品聯(lián)動和自動響應(yīng)阻斷方式;(16)提供實時監(jiān)控、審計和告警功能;《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第70頁。編輯課件2)防火墻系統(tǒng)部署本方案采用層疊方式部署防火墻,在這個外網(wǎng)設(shè)置RG-WALL160M和RG-WALLV160S兩個防火墻,兩臺防火墻構(gòu)成一個隔離子網(wǎng),并將DMZ區(qū)域放置在兩臺防火墻之間,如圖11-35所示。圖11-35防火墻部署結(jié)構(gòu)圖《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第71頁。編輯課件 在外網(wǎng)與Internet的出口配置兩臺防火墻,其中一臺防火墻帶有VPN功能的RG-WALLV160S安全網(wǎng)關(guān),一臺不帶VPN功能的RG-WALL160M防火墻。 在外網(wǎng)與Internet網(wǎng)的接入點上,配置RG-WALL160M防火墻,控制外網(wǎng)與Internet網(wǎng)之間的信息流動,在該防火墻上僅僅做一些包過濾。并且一些將Web服務(wù)器、郵件服務(wù)器、DNS服務(wù)器等對外發(fā)布的服務(wù)器放在該防火墻的DMZ區(qū)域。 VPN安全網(wǎng)關(guān)部署在連接DMZ區(qū)域和內(nèi)部核心網(wǎng)絡(luò)上,實施詳細的訪問控制策略,而重要的數(shù)據(jù)庫服務(wù)器等關(guān)鍵應(yīng)用都放置在內(nèi)部核心網(wǎng)絡(luò)中,從而使它們受到更好的保護。《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第72頁。編輯課件 3)防火墻方案安全策略 RG-WALL全面支持WEB訪問方式,配置防火墻,其防火墻配置Web的主界面如圖11-36所示:RG-WALL配置策略如下:配置IP/MAC綁定:設(shè)置IP/MAC地址綁定,就可以執(zhí)行IP/MAC地址對探測。如果防火墻某網(wǎng)口配置了“IP/MAC地址綁定啟用功能”、“IP/MAC地址綁定的默認策略(允許或禁止)”,當該網(wǎng)口接收數(shù)據(jù)包時,將根據(jù)數(shù)據(jù)包中的源IP地址與源MAC地址,檢查管理員設(shè)置好的IP/MAC地址綁定表。如果地址綁定表中查找成功,匹配則允許數(shù)據(jù)包通過,不匹配則禁止數(shù)據(jù)包通過。如果查找失敗,則按缺省策略(允許或禁止)執(zhí)行。

《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第73頁。編輯課件 配置防火墻URL過濾:WEB服務(wù)是網(wǎng)絡(luò)上使用最多的服務(wù)之一,但是Internet上有很多WEB站點上有病毒或木馬,因此必須對內(nèi)網(wǎng)用戶的訪問進行必要的控制。RG-WALL防火墻可以通過對某些URL進行過濾實現(xiàn)對訪問不良信息的控制。通過使用黑名單和白名單來控制用戶不能訪問哪些URL,可以訪問哪些URL。 NAT防火墻技術(shù):NAT(NetworkAddressTranslation)可將整個組織的內(nèi)部IP都映射到一個合法IP上來進行Internet的訪問,NAT中轉(zhuǎn)換前源IP地址和轉(zhuǎn)換后源IP地址不同,數(shù)據(jù)進入防火墻后,防火墻將其源地址進行了轉(zhuǎn)換后再將其發(fā)出,使外部看不到數(shù)據(jù)包原來的源地址。一般來說,NAT多用于從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的訪問,內(nèi)部網(wǎng)絡(luò)地址可以是私有IP地址。 RG-WALL防火墻支持源地址一對一的轉(zhuǎn)換,也支持源地址轉(zhuǎn)換為地址池中的某一個地址。用戶可通過安全規(guī)則設(shè)定需要轉(zhuǎn)換的源地址(支持網(wǎng)絡(luò)地址范圍)、源端口。此處的NAT指正向NAT,正向NAT也是動態(tài)NAT,通過系統(tǒng)提供的NAT地址池,支持多對多,多對一,一對多,一對一的轉(zhuǎn)換關(guān)系。關(guān)于NAT的配置,和包過濾差不多,只是多了一個源地址轉(zhuǎn)換的地址。配置安全規(guī)則:安全規(guī)則的配置可以說是防火墻最重要的配置了,因為沒有安全規(guī)則,防火墻是不能轉(zhuǎn)發(fā)數(shù)據(jù)流的。默認情況下,防火墻的行為是,除非明文允許,否則全部禁止。防火墻的安全規(guī)則的包過濾、NAT、IP映射、端口映射以及代理的匹配順序是一樣的,從上往下匹配,不像其他廠商的設(shè)備,是先包過濾,再NAT,或者其他?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第74頁。編輯課件2.VPN系統(tǒng)設(shè)計 1)VPN系統(tǒng)概述 虛擬專用網(wǎng)是專用網(wǎng)的擴展,但在公共傳輸網(wǎng)上它提供了端到端的數(shù)據(jù)的安全通信。虛擬專用網(wǎng)(VPN)綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的性能優(yōu)點(安全和QoS)和共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點(簡單和低成本),能夠提供遠程訪問,外部網(wǎng)和內(nèi)部網(wǎng)的連接,利用加密,封裝等技術(shù)保證數(shù)據(jù)的安全性和保密性,價格比專線或者幀中繼網(wǎng)絡(luò)要低得多。而且,VPN在降低成本的同時滿足了對網(wǎng)絡(luò)帶寬、接入和服務(wù)不斷增加的需求,因此,VPN是網(wǎng)絡(luò)發(fā)展的趨勢,必將成為網(wǎng)絡(luò)遠程接入業(yè)務(wù)的主要工具。 RG-WALLV系列VPN安全網(wǎng)關(guān)是集成了VPN、防火墻、入侵防御和流量控制技術(shù)的軟硬件一體化專用安全設(shè)備,有效地實現(xiàn)了“主/被動安全防御”的完美結(jié)合。銳捷VPN采用自主設(shè)計的安全操作系統(tǒng),具有高可用性、高易用性、高擴展性和高安全性。經(jīng)過簡單配置即可方便地在單位總部、分支機構(gòu)和移動用戶之間建立安全的信息傳輸通道,對傳輸?shù)臄?shù)據(jù)進行有效的安全保護。 某地稅分局VPN聯(lián)網(wǎng)系統(tǒng)總體建設(shè)目標是:建立網(wǎng)絡(luò)互聯(lián)、信息共享、安全可靠的遠程接入VPN網(wǎng)絡(luò)。VPN網(wǎng)絡(luò)系統(tǒng)建設(shè)完成后,將為某地稅分局和其下屬單位實施各種網(wǎng)絡(luò)應(yīng)用系統(tǒng)提供統(tǒng)一、安全、高速、可靠的網(wǎng)絡(luò)傳輸平臺。 具體能夠?qū)崿F(xiàn)以下目標:《網(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第75頁。編輯課件 (1)異地網(wǎng)絡(luò)互連互通 能夠?qū)崿F(xiàn)地稅分局和分支機構(gòu)、企業(yè)用戶間,通過Internet安全可靠互連,分支機構(gòu)可通過VPN網(wǎng)絡(luò)順利訪問地稅分局的各個應(yīng)用軟件系統(tǒng),就像在局域網(wǎng)內(nèi)使用這些應(yīng)用軟件系統(tǒng)一樣。 (2)對各種應(yīng)用系統(tǒng)透明 能夠根據(jù)用戶的需要有選擇地對需要的應(yīng)用系統(tǒng)數(shù)據(jù)進行加密,不需要加密的數(shù)據(jù)和普通Internet上網(wǎng)業(yè)務(wù)不受到影響。而且目前各種網(wǎng)絡(luò)應(yīng)用均能夠在VPN專網(wǎng)上使用,不需要改變用戶的使用習(xí)慣。 (3)高安全性 通過構(gòu)建的VPN網(wǎng)絡(luò),能夠解決單位內(nèi)部信息系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩?,保密性、完整性和不可抵賴性。VPN安全網(wǎng)關(guān)可對本地局域網(wǎng)實施邊界防護。VPN安全網(wǎng)關(guān)融合了防火墻、VPN、入侵檢測微引擎,可對外來及內(nèi)部攻擊進行主動防御,更能保證整個網(wǎng)絡(luò)平臺的安全及每個局域網(wǎng)內(nèi)部的安全。 (4)高可靠性 RG-WALLV系列VPN安全網(wǎng)關(guān)性能穩(wěn)定可靠,其無故障工作時間長,可為系統(tǒng)長期穩(wěn)定運行提供強有力的保證。并可通過多線路負載均衡實現(xiàn)中心節(jié)點的網(wǎng)絡(luò)不間斷運行。 (5)高性能 此次網(wǎng)絡(luò)建設(shè)根據(jù)用戶需求和網(wǎng)絡(luò)帶寬,所選用的設(shè)備具有較高的加密速率,不僅能滿足當前用戶數(shù)量下的需求,也為將來的擴展留有充分空間。不會因為VPN設(shè)備的部署影響上網(wǎng)的速度,并且應(yīng)當滿足應(yīng)用軟件運行的帶寬需求。 (6)易于擴展 VPN網(wǎng)絡(luò)系統(tǒng)的擴展非常容易,需要增加客戶數(shù)量,只需升級設(shè)備license,而無需另購設(shè)備,不但解決了很高的信息數(shù)據(jù)傳輸安全性,而且不會影響網(wǎng)絡(luò)傳輸性能。本方案的設(shè)計不僅滿足今天的需求,而且支持未來擴展?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第76頁。編輯課件2)VPN系統(tǒng)設(shè)計VPN系統(tǒng)結(jié)構(gòu)如圖11-37所示:圖11-37VPN系統(tǒng)結(jié)構(gòu)圖在地稅分局外網(wǎng)的邊界處,部署RG-WALLV160SVPN安全網(wǎng)關(guān),網(wǎng)關(guān)的WAN口防火墻RG-WALL160M,LAN口接核心交換機。RG-WALLV160SVPN安全網(wǎng)關(guān)是IPSec和SSL合一的VPN產(chǎn)品,移動用戶只需要使用IE等主流Internet瀏覽器,通過USBKEY等認證方式,即可和網(wǎng)關(guān)建立VPN隧道(使用SSL+IPSec方式),接入內(nèi)網(wǎng),進而為各種IP應(yīng)用提供透明傳輸平臺。同時,RG-WALLV1160SVPN網(wǎng)關(guān)也支持傳統(tǒng)的使用“安全客戶端”軟件(即:IPSec客戶端)和網(wǎng)關(guān)建立VPN隧道?!毒W(wǎng)絡(luò)安全方案分析》全文共104頁,當前為第77頁。編輯課件 下屬單位通過部署RG-WALLV1160SVPN安全網(wǎng)關(guān),替代原來的路由器上網(wǎng)方式,在保證了IPsecVPN隧道安全訪問的前提下,對分支機構(gòu)的內(nèi)網(wǎng)進行了有效的保護和控制,保護子網(wǎng)間傳輸信息的機密性、完整性和真實性。RG-WALLV1160SVPN網(wǎng)關(guān)內(nèi)置強大的防火墻功能在提供上網(wǎng)和VPN加密通信的前提下保證了內(nèi)網(wǎng)用戶不會被黑客和網(wǎng)絡(luò)病毒所侵犯。 企業(yè)辦公點的PC上通過ADSL撥號等上網(wǎng)方式接入Internet,直接使用IE瀏覽器(使用SSL協(xié)議),通過USBKEY硬件認證的方式,和VPN安全網(wǎng)關(guān)建立VPN加密隧道,接入內(nèi)網(wǎng),進而為各種IP應(yīng)用提供

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論