网络安全设计方案总结(12篇)
网络安全设计方案总结(12篇)网络安全设计方案总结 目录 1、网络安全问题………………………………………………32、设计的安全性………………………………………………3可用性……………下面是小编为大家整理的网络安全设计方案总结(12篇),供大家参考。
篇一:网络安全设计方案总结
目录
1、网络安全问题………………………………………………32、设计的安全性………………………………………………3可用性………………………………………………………….。3机密性…………………………………………………………。.3完整性…………………………………………………………。.3可控性…………………………………………………………..3可审查性………………………………………………………。.3访问控制………………………………………………………。。3数据加密………………………………………………………..3安全审计………………………………………………………。。3
3、安全设计方案………………………………………………5
设备选型……………………………………………………….。5
网络安全………………………………………………………。.7
访问控制……………………………………………………….。.9
入侵检测……………………………………………………….。10
4、总结…………………………………………………………11
1、网络安全问题
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息.此时,它关心的对象是那些无权使用,但却试图获得远程服务的人.安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。
网络安全性可以被粗略地分为4个相互交织的部分:保密、鉴别、反拒认以及完整性控制.保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份.反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来
2、设计的安全性
1
通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性.即,可用性:授权实体有权访问数据机密性:信息不暴露给未授权实体或进程完整性:保证数据不被未授权修改可控性:控制授权范围内的信息流向及操作方式可审查性:对出现的安全问题提供依据与手段访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制.数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。安全审计:是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏
针对企业现阶段网络系统的网络结构和业务流程,结合企业今后进行的网络化应用范围的拓展考虑,企业网主要的安全威胁和安全漏洞包括以下几方面:
(1)内部窃密和破坏由于企业网络上同时接入了其它部门的网络系统,因此容易出现其它部门不怀好意的人员(或外部非法人员利用其它部门的计算机)通过网络进入内部网络,并进一步窃取和破坏其中的重要信息(如领导的网络帐号和口令、重要文件等),因此这种风险是必须采取措施进行防范的.(2)搭线(网络)窃听这种威胁是网络最容易发生的.攻击者可以采用如Sniffer等网络协议分析工具,在INTERNET网络安全的薄弱处进入INTERNET,并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息)的内容。对企业网络系统来讲,由于存在跨越INTERNET的内部通信(与上级、下级)这种威胁等级是相当高的,因此也是本方案考虑的重点.(3)假冒这种威胁既可能来自企业网内部用户,也可能来自INTERNET内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户,诱骗其他用户或系统管理员,从而获得用户名/口令等敏感信息,进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息.(4)完整性破坏这种威胁主要指信息在传输过程中或者存储期间被篡改或修改,使得信息/数据失去了原有的真实性,从而变得不可用或造成广泛的负面影响.由于XXX企业网内有许多重要信息,因此那些不怀好意的用户和非法用户就会通过网络对没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息,从而影响工作的正常进行。
2
(5)其它网络的攻击企业网络系统是接入到INTERNET上的,这样就有可能会遭到INTERNET上黑客、恶意用户等的网络攻击,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等.因此这也是需要采取相应的安全措施进行防范.(6)管理及操作人员缺乏安全知识由于信息和网络技术发展迅猛,信息的应用和安全技术相对滞后,用户在引入和采用安全设备和系统时,缺乏全面和深入的培训和学习,对信息安全的重要性与技术认识不足,很容易使安全设备/系统成为摆设,不能使其发挥正确的作用。如本来对某些通信和操作需要限制,为了方便,设置成全开放状态等等,从而出现网络漏洞。由于网络安全产品的技术含量大,因此,对操作管理人员的培训显得尤为重要。这样,使安全设备能够尽量发挥其作用,避免使用上的漏洞。(7)雷击由于网络系统中涉及很多的网络设备、终端、线路等,而这些都是通过通信电缆进行传输,因此极易受到雷击,造成连锁反应,使整个网络瘫痪,设备损坏,造成严重后果.因此,为避免遭受感应雷击的危害和静电干扰、电磁辐射干扰等引起的瞬间电压浪涌电压的损坏,有必要对整个网络系统采取相应的防雷措施。
3、网络安全设计方案
(1)网络拓扑结构图
设备选型
传统的组网已经不能满足现在网络应用的变化了,在组网的初期必须考虑到安全和网络的问题,考虑到这个问题我们就不能不考虑免疫网络的作用以及前景如何。免疫网络——免疫网络是企业信息网络的一种安全形式.“免疫”是生物医学的名词,它指的是人体所具有的“生理防御、自身稳定与免疫监视”的特定功能.就像我们耳熟能详的电脑病毒一样,在电脑行业,“病毒”就是对医学名词形象的借用。同样,“免疫"也被借用于说明计算机网络的一种能力和作用。免疫就是让企业的内部网络也像人体一样具备“防御、稳定、监视"的功能。这样的网络就称之为免疫网络。免疫网络的主要理念是自主防御和管理,它通过源头抑制、群防群控、全网联动使网络内每一个节点都具有安全功能,在面临攻击时调动各种安全资源进行应对。它具有安全和网络功能融合、全网设备联动、可信接入、深度防御和控制、精细带宽管理、业务感知、全网监测评估等主要特征。下面让我们看看这几个特征的距离内容
3
安全和网络功能的融合①网络架构的融合,主要包括网关和终端的融合
网关方面:ARP先天免疫原理-NAT表中添加源MAC地址滤窗防火墙—封包检测,IP分片检查
UDP洪水终端方面:驱动部分—免疫标记②网络协议的融合—行为特征和网络行为的融合全网设备的联动①驱动与运营中心的联动分收策略②驱动与驱动的联动IP地址冲突③网关和驱动的联动群防群控④运营中心和网关的联动(外网攻击,上下线可信接入①MAC地址的可信(类似于DNA),生物身份②传输的可信(免疫标记)深度防御和控制①深入到每个终端的网卡深入到协议的最低层深入到二级路由,多级路由器下精细带宽管理①身份精细—IP/MAC的精确②位置精确—终端驱动③路径细分(特殊的IP)④流量去向(内,公网)⑤应用流控(QQ,MSN)业务感知协议区分和应用感知它与防火墙(FW)、入侵检测系统(IDS)、防病毒等“老三样"组成的安全网络相比,突破了被动防御、边界防护的局限,着重从内网的角度解决攻击问题,应对目前网络攻击复杂性、多样性、更多从内网发起的趋势,更有效地解决网络威胁。
同时,安全和管理密不可分.免疫网络对基于可信身份的带宽管理、业务感知和控制,以及对全网安全问题和工作效能的监测、分析、统计、评估,保证了企业网络的可管可控,大大提高了通信效率和可靠性。
安全架构分析
根据企业网络现状及发展趋势,主要安全措施从以下几个方面进行考虑:网络传输保护主要是数据加密保护主要网络安全隔离通用措施是采用防火墙网络病毒防护采用网络防病毒系统广域网接入部分的入侵检测
4
采用入侵检测系统系统漏洞分析采用漏洞分析设备定期安全审计主要包括两部分:内容审计和网络通信审计重要数据的备份重要信息点的防电磁泄露网络安全结构的可伸缩性包括安全设备的可伸缩性,即能根据用户的需要随时进行规模、功能扩展网络防雷
(2)网络安全作为企业应用业务系统的承载平台,网络系统的安全显得尤为重要。由于许多重要的信息都通过网络进行交换,网络传输由于企业中心内部网络存在两套网络系统,其中一套为企业内部网络,主要运行的是内部办公、业务系统等;另一套是与INTERNET相连,通过ADSL接入,并与企业系统内部的上、下级机构网络相连。通过公共线路建立跨越INTERNET的企业集团内部局域网,并通过网络进行数据交换、信息共享.而INTERNET本身就缺乏有效的安全保护,如果不采取相应的安全措施,易受到来自网络上任意主机的监听而造成重要信息的泄密或非法篡改,产生严重的后果。由于现在越来越多的政府、金融机构、企业等用户采用VPN技术来构建它们的跨越公共网络的内联网系统,因此在本解决方案中对网络传输安全部分推荐采用VPN设备来构建内联网。可在每级管理域内设置一套VPN设备,由VPN设备实现网络传输的加密保护。根据企业三级网络结构,VPN设置如下图所示:
图为三级VPN设置拓扑图每一级的设置及管理方法相同。即在每一级的中心网络安装一台VPN设备和一台VPN认证服务器(VPN—CA),在所属的直属单位的网络接入处安装一台VPN设备,由上级的VPN认证服务器通过网络对下一级的VPN设备进行集中统一的网络化管理.可达到以下几个目的:网络传输数据保护由安装在网络上的VPN设备实现各内部网络之间的数据传输加密保护,并可同时采取加密或隧道的方式进行传输网络隔离保护与INTERNET进行隔离,控制内网与INTERNET的相互访问集中统一管理,提高网络安全性降低成本(设备成本和维护成本)其中,在各级中心网络的VPN设备设置如下图:
图为中心网络VPN设置图由一台VPN管理机对CA、中心VPN设备、分支机构VPN设备进行统一
网络管理.将对外服务器放置于VPN设备的DMZ口与内部网络进行隔离,禁止外网直接访问内网,控制内网的对外访问、记录日志.这样即使服务器被攻破,内部
5
网络仍然安全。下级单位的VPN设备放置如下图所示:图为下级单位VPN设置图从图可知,下属机构的VPN设备放置于内部网络与路由器之间,其配置、
管理由上级机构通过网络实现,下属机构不需要做任何的管理,仅需要检查是否通电即可。由于安全设备属于特殊的网络设备,其维护、管理需要相应的专业人员,而采取这种管理方式以后,就可以降低下属机构的维护成本和对专业技术人员的要求,这对有着庞大下属、分支机构的单位来讲将是一笔不小的费用。
由于网络安全的是一个综合的系统工程,是由许多因素决定的,而不是仅仅采用高档的安全产品就能解决,因此对安全设备的管理就显得尤为重要。由于一般的安全产品在管理上是各自管理,因而很容易因为某个设备的设置不当,而使整个网络出现重大的安全隐患。而用户的技术人员往往不可能都是专业的,因此,容易出现上述现象;同时,每个维护人员的水平也有差异,容易出现相互配置上的错误使网络中断。所以,在安全设备的选择上应当选择可以进行网络化集中管理的设备,这样,由少量的专业人员对主要安全设备进行管理、配置,提高整体网络的安全性和稳定性.
(3)访问控制由于企业广域网网络部分通过公共网络建立,其在网络上必定会受到来自INTERNET上许多非法用户的攻击和访问,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等,因此,采取相应的安全措施是必不可少的。通常,对网络的访问控制最成熟的是采用防火墙技术来实现的,本方案中选择带防火墙功能的VPN设备来实现网络安全隔离,可满足以下几个方面的要求:控制外部合法用户对内部网络的网络访问;控制外部合法用户对服务器的访问;禁止外部非法用户对内部网络的访问;控制内部用户对外部网络的网络;阻止外部用户对内部的网络攻击;防止内部主机的IP欺骗;对外隐藏内部IP地址和网络拓扑结构;网络监控;网络日志审计;详细配置拓扑图见图由于采用防火墙、VPN技术融为一体的安全设备,并采取网络化的统一管理,因此具有以下几个方面的优点:管理、维护简单、方便;安全性高(可有效降低在安全设备使用上的配置漏洞);硬件成本和维护成本低;网络运行的稳定性更高由于是采用一体化设备,比之传统解决方案中采用防火墙和加密机两个设备而言,其稳定性更高,故障率更低。(4)入侵检测网络安全不可能完全依靠单一产品来实现,网络安全是个整体的,必须配相应的安全产品。作为必要的补充,入侵检测系统(IDS)可与安全VPN系统形成互
6
补。入侵检测系统是根据已有的、最新的和可预见的攻击手段的信息代码对进出网络的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送E—mail).从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器(网络引擎)。控制台用作制定及管理所有探测器(网络引擎)。探测器(网络引擎)用作监听进出网络的访问行为,根据控制台的指令执行相应行为。由于探测器采取的是监听而不是过滤数据包,因此,入侵检测系统的应用不会对网络系统性能造成多大影响。
入侵检测系统的设置如下图:从上图可知,入侵检测仪在网络接如上与VPN设备并接使用。入侵检测仪在使用上是独立网络使用的,网络数据全部通过VPN设备,而入侵检测设备在网络上进行疹听,监控网络状况,一旦发现攻击行为将通过报警、通知VPN设备中断网络(即IDS与VPN联动功能)等方式进行控制(即安全设备自适应机制),最后将攻击行为进行日志记录以供以后审查。4、总结随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题.在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
7
篇二:网络安全设计方案总结
网络安全设计方案
目录
1、网络安全问题………………………………………………32、设计的安全性………………………………………………3可用性…………………………………………………………..3机密性…………………………………………………………..3完整性…………………………………………………………..3可控性…………………………………………………………..3可审查性………………………………………………………..3访问控制………………………………………………………..3数据加密………………………………………………………..3安全审计………………………………………………………..3
3、安全设计方案………………………………………………5
设备选型………………………………………………………..5
网络安全………………………………………………………..7
访问控制………………………………………………………...9
入侵检测………………………………………………………..10
4、总结…………………………………………………………11
1、网络安全问题
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。
网络安全性可以被粗略地分为4个相互交织的部分:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来
2
3
4
设备选型
传统的组网已经不能满足现在网络应用的变化了,在组网的初期必须考虑到安全和网络的问题,考虑到这个问题我们就不能不考虑免疫网络的作用以及前景如何。免疫网络——免疫网络是企业信息网络的一种安全形式。“免疫”是生物医学的名词,它指的是人体所具有的“生理防御、自身稳定与免疫监视”的特定功能。就像我们耳熟能详的电脑病毒一样,在电脑行业,“病毒”就是对医学名词形象的借用。同样,“免疫”也被借用于说明计算机网络的一种能力和作用。免疫就是让企业的内部网络也像人体一样具备“防御、稳定、监视”的功能。这样的网络就称之为免疫网络。
免疫网络的主要理念是自主防御和管理,它通过源头抑制、群防群控、全网联动使网络内每一个节点都具有安全功能,在面临攻击时调动各种安全资源进行应对。它具有安全和网络功能融合、全网设备联动、可信接入、深度防御和控制、精细带宽管理、业务感知、全网监测评估等主要特征。下面让我们看看这几个特征的距离内容安全和网络功能的融合①网络架构的融合,主要包括网关和终端的融合
网关方面:ARP先天免疫原理—NAT表中添加源MAC地址滤窗防火墙—封包检测,IP分片检查
5
UDP洪水终端方面:驱动部分—免疫标记②网络协议的融合—行为特征和网络行为的融合全网设备的联动①驱动与运营中心的联动分收策略②驱动与驱动的联动IP地址冲突③网关和驱动的联动群防群控④运营中心和网关的联动(外网攻击,上下线可信接入①MAC地址的可信(类似于DNA),生物身份②传输的可信(免疫标记)深度防御和控制①深入到每个终端的网卡深入到协议的最低层深入到二级路由,多级路由器下精细带宽管理①身份精细—IP/MAC的精确②位置精确—终端驱动③路径细分(特殊的IP)④流量去向(内,公网)⑤应用流控(QQ,MSN)业务感知协议区分和应用感知
它与防火墙(FW)、入侵检测系统(IDS)、防病毒等“老三样”组成的安全网络相比,突破了被动防御、边界防护的局限,着重从内网的角度解决攻击问题,应对目前网络攻击复杂性、多样性、更多从内网发起的趋势,更有效地解决网络威胁。
同时,安全和管理密不可分。免疫网络对基于可信身份的带宽管理、业务感知和控制,以及对全网安全问题和工作效能的监测、分析、统计、评估,保证了企业网络的可管可控,大大提高了通信效率和可靠性。
安全架构分析
根据企业网络现状及发展趋势,主要安全措施从以下几个方面进行考虑:网络传输保护主要是数据加密保护主要网络安全隔离通用措施是采用防火墙网络病毒防护
6
采用网络防病毒系统广域网接入部分的入侵检测采用入侵检测系统系统漏洞分析采用漏洞分析设备定期安全审计主要包括两部分:内容审计和网络通信审计重要数据的备份重要信息点的防电磁泄露网络安全结构的可伸缩性包括安全设备的可伸缩性,即能根据用户的需要随时进行规模、功能扩展网络防雷
(2)网络安全作为企业应用业务系统的承载平台,网络系统的安全显得尤为重要。由于许多重要的信息都通过网络进行交换,网络传输由于企业中心内部网络存在两套网络系统,其中一套为企业内部网络,主要运行的是内部办公、业务系统等;另一套是与INTERNET相连,通过ADSL接入,并与企业系统内部的上、下级机构网络相连。通过公共线路建立跨越INTERNET的企业集团内部局域网,并通过网络进行数据交换、信息共享。而INTERNET本身就缺乏有效的安全保护,如果不采取相应的安全措施,易受到来自网络上任意主机的监听而造成重要信息的泄密或非法篡改,产生严重的后果。由于现在越来越多的政府、金融机构、企业等用户采用VPN技术来构建它们的跨越公共网络的内联网系统,因此在本解决方案中对网络传输安全部分推荐采用VPN设备来构建内联网。可在每级管理域内设置一套VPN设备,由VPN设备实现网络传输的加密保护。根据企业三级网络结构,VPN设置如下图所示:
篇三:网络安全设计方案总结
最新资料欢迎阅读
网络安全设计方案
1、网络隔离与访问控制。通过对特定网段、服务进行物理和逻辑隔离,并建立访问控制机制,将绝大多数攻击阻止在网络和服务的边界以外。
2、漏洞发现与堵塞。通过对网络和运行系统安全漏洞的周期检查,发现可能被攻击所利用的漏洞,并利用补丁或从管理上堵塞漏洞。
3、入侵检测与响应。通过对特定网络(段)、服务建立的入侵检测与响应体系,实时检测出攻击倾向和行为,并采取相应的行动(如断开网络连接和服务、记录攻击过程、加强审计等)。
4、加密保护。主动的加密通信,可使攻击者不能了解、修改敏感信息(如vpn方式)或数据加密通信方式;对保密或敏感数据进行加密存储,可防止窃取或丢失。
5、备份和恢复。良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。
6、监控与审计。在办公网络和主要业务网络内配置集中管理、分布式控制的监控与审计系统。一方面以计算机终端为单元强化桌面计算的内外安全控制与日志记录;另一方面通过集中管理方式对内部所有计算机终端的安全态势予以掌控。边界安全解决方案在利用公共网络与外部进行连接的“内”外网络边界处使用防火墙,为“内部”网络(段)与“外部”网络(段)划定安全边界。在网络内部进行各种连接的地方使用带防火墙功能的vpn设备,在进行“内”外网络(段)的隔离的同时建立网络(段)之间的安全通道。
1、防火墙应具备如下功能:使用nat把dmz区的服务器和内部端口影射到firewall的对外端口;允许internet公网用户访问到dmz区的应用服务:http、ftp、smtp、dns等;允许dmz区内的工作站与应用服务器访问internet公网;允许内部用户访问dmz的应用服务:http、ftp、smtp、dns、pop
3、https;允许内部网用户通过代理访问internet公网;禁止internet公网用户进入内部网络和非法访问dmz区应用服务器;禁止dmz区的公开服务器访问内部网络;防止来自internet的dos一类的攻击;能接受入侵检测的联动要求,可实现对实时入侵的策略响应;对所保护的主机的常用应用通信协议(http、ftp、telnet、smtp)能够替换服务器的banner信息,防止恶意用户信
1
最新资料欢迎阅读
息刺探;提供日志报表的自动生成功能,便于事件的分析;提供实时的网络状态监控功能,能够实时的查看网络通信行为的连接状态(当前有那些连接、正在连接的ip、正在关闭的连接等信息),通信数据流量。提供连接查询和动态图表显示。防火墙自身必须是有防黑客攻击的保护能力。
2、带防火墙功能的vpn设备是在防火墙基本功能(隔离和访问控制)基础上,通过功能扩展,同时具有在ip层构建端到端的具有加密选项功能的esp隧道能力,这类设备也有svpn的,主要用于通过外部网络(公共通信基础网络)将两个或两个以上“内部”局域网安全地连接起来,一般要求svpn应具有一下功能:防火墙基本功能,主要包括:ip包过虑、应用代理、提供dmz端口和nat功能等(有些功能描述与上相同);具有对连接两端的实体鉴别认证能力;支持移动用户远程的安全接入;支持ipesp隧道内传输数据的完整性和机密性保护;提供系统内密钥管理功能;svpn设备自身具有防黑客攻击以及网上设备认证的能力。入侵检测与响应方案在网络边界配置入侵检测设备,不仅是对防火墙功能的必要补充,而且可与防火墙一起构建网络边界的防御体系。通过入侵检测设备对网络行为和流量的特征分析,可以检测出侵害“内部”网络或对外泄漏的网络行为和流量,与防火墙形成某种协调关系的互动,从而在“内部”网与外部网的边界处形成保护体系。入侵检测系统的基本功能如下:通过检测引擎对各种应用协议,操作系统,网络交换的数据进行分析,检测出网络入侵事件和可疑操作行为。对自身的数据库进行自动维护,无需人工干预,并且不对网络的正常运行造成任何干扰。采取多种报警方式实时报警、音响报警,信息记录到数据库,提供电子邮件报警、syslog报警、snmptrap报警、windows日志报警、windows消息报警信息,并按照预设策略,根据提供的报警信息切断攻击连接。与防火墙建立协调联动,运行自定义的多种响应方式,及时阻隔或消除异常行为。全面查看网络中发生的所有应用和连接,完整的显示当前网络连接状态。可对网络中的攻击事件,访问记录进行适时查询,并可根据查询结果输出图文报表,能让管理人员方便的提取信息。入侵检测系统犹如摄像头、监视器,在可疑行为发生前有预警,在攻击行为发生时有报警,在攻击事件发生后能记录,做到事前、事中、事后有据可查。漏洞扫描方案除利用入侵检测设备检测对网络的入侵和异常流量外,还需要针对主机系统的漏洞采取检查和发现措施。目前常用的方法是配置漏洞扫描
1
最新资料欢迎阅读
设备。主机漏洞扫描可以主动发现主机系统中存在的系统缺陷和可能的安全漏洞,并提醒系统管理员对该缺陷和漏洞进行修补或堵塞。对于漏洞扫描的结果,一般可以按扫描提示信息和建议,属外购标准产品问题的,应及时升级换代或安装补丁程序;属委托开发的产品问题的,应与开发商协议修改程序或安装补丁程序;属于系统配置出现的问题,应建议系统管理员修改配置参数,或视情况关闭或卸载引发安全漏洞的程序模块或功能模块。漏洞扫描功能是协助安全管理、掌握网络安全态势的必要辅助,对使用这一工具的安全管理员或系统管理员有较高的技术素质要求。考虑到漏洞扫描能检测出防火墙策略配置中的问题,能与入侵检测形成很好的互补关系:漏洞扫描与评估系统使系统管理员在事前掌握主动地位,在攻击事件发生前找出并关闭安全漏洞;而入侵检测系统则对系统进行监测以期在系统被破坏之前阻止攻击得逞。因此,漏洞扫描与入侵检测在安全保护方面不但有共同的安全目标,而且关系密切。本方案建议采购将入侵检测、管理控制中心与漏洞扫描一体化集成的产品,不但可以简化管理,而且便于漏洞扫描、入侵检测和防火墙之间的协调动作。网络防病毒方案网络防病毒产品较为成熟,且有几种主流产品。本方案建议,网络防病毒系统应具备下列功能:网络&单机防护提供服务器病毒防护;邮件服务器防护在smtp,http,和ftpservergateway阻挡计算机病毒;集中管理soc),建立起集团的安全风险监控体系,利于从全局的角度发现网络中存在的安全问题,并及时归并相关人员处理。这里的风险监控体系包括安全信息库、安全事件收集管理系统、安全工单系统等,同时开发有效的多种手段实时告警系统,定制高效的安全报表系统。
篇四:网络安全设计方案总结
.
..
.
目录
1、网络安全问题………………………………………………32、设计的安全性………………………………………………3可用性…………………………………………………………..3性…………………………………………………………..3完整性…………………………………………………………..3可控性…………………………………………………………..3可审查性………………………………………………………..3访问控制………………………………………………………..3数据加密………………………………………………………..3安全审计………………………………………………………..3
3、安全设计方案………………………………………………5
设备选型………………………………………………………..5
网络安全………………………………………………………..7
访问控制………………………………………………………...9
入侵检测………………………………………………………..10
4、总结…………………………………………………………11
1、网络安全问题
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。
网络安全性可以被粗略地分为4个相互交织的部分:、鉴别、反拒认以及完整性控制。是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。和完整性通过使用注册过的和文件锁来
2、设计的安全性
..
..
..
..
.
..
.
通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的性、完整性、可用性、可控性与可审查性。即,可用性:授权实体有权访问数据性:信息不暴露给未授权实体或进程完整性:保证数据不被未授权修改可控性:控制授权围的信息流向及操作方式可审查性:对出现的安全问题提供依据与手段
访问控制:需要由防火墙将部网络与外部不可信任的网络隔离,对与外部网络交换数据的部网络及其主机、所交换的数据进行严格的访问控制。同样,对部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。安全审计:是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的容,一是采用网络监控与入侵防系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息容的审计,可以防止部或敏感信息的非法泄漏
针对企业现阶段网络系统的网络结构和业务流程,结合企业今后进行的网络化应用围的拓展考虑,企业网主要的安全威胁和安全漏洞包括以下几方面:
(1)部窃密和破坏由于企业网络上同时接入了其它部门的网络系统,因此容易出现其它部门不怀好意的人员(或外部非法人员利用其它部门的计算机)通过网络进入部网络,并进一步窃取和破坏其中的重要信息(如领导的网络和口令、重要文件等),因此这种风险是必须采取措施进行防的。(2)搭线(网络)窃听这种威胁是网络最容易发生的。攻击者可以采用如Sniffer等网络协议分析工具,在INTERNET网络安全的薄弱处进入INTERNET,并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息)的容。对企业网络系统来讲,由于存在跨越INTERNET的部通信(与上级、下级)这种威胁等级是相当高的,因此也是本方案考虑的重点。(3)假冒这种威胁既可能来自企业网部用户,也可能来自INTERNET的其它用户。如系统部攻击者伪装成系统部的其他正确用户。攻击者可能通过冒充合法系统用户,诱骗其他用户或系统管理员,从而获得用户名/口令等敏感信息,进一步窃取用户网络的重要信息。或者部用户通过假冒的方式获取其不能阅读的秘密信息。(4)完整性破坏这种威胁主要指信息在传输过程中或者存储期间被篡改或修改,使得信息/数据失去了原有的真实性,从而变得不可用或造成广泛的负面影响。由于XXX企业网有许多重要信息,因此那些不怀好意的用户和非法用户就会通过网络对没
..
..
..
..
.
..
.
有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息,从而影响工作的正常进行。
(5)其它网络的攻击企业网络系统是接入到INTERNET上的,这样就有可能会遭到INTERNET上黑客、恶意用户等的网络攻击,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等。因此这也是需要采取相应的安全措施进行防。(6)管理及操作人员缺乏安全知识由于信息和网络技术发展迅猛,信息的应用和安全技术相对滞后,用户在引入和采用安全设备和系统时,缺乏全面和深入的培训和学习,对信息安全的重要性与技术认识不足,很容易使安全设备/系统成为摆设,不能使其发挥正确的作用。如本来对某些通信和操作需要限制,为了方便,设置成全开放状态等等,从而出现网络漏洞。由于网络安全产品的技术含量大,因此,对操作管理人员的培训显得尤为重要。这样,使安全设备能够尽量发挥其作用,避免使用上的漏洞。(7)雷击由于网络系统中涉及很多的网络设备、终端、线路等,而这些都是通过通信电缆进行传输,因此极易受到雷击,造成连锁反应,使整个网络瘫痪,设备损坏,造成严重后果。因此,为避免遭受感应雷击的危害和静电干扰、电磁辐射干扰等引起的瞬间电压浪涌电压的损坏,有必要对整个网络系统采取相应的防雷措施。
篇五:网络安全设计方案总结
本文格式为Word版,下载可任意编辑
网络的安全方案(通用5篇)
网络的安全方案1按照《市教育局关于开展网络安全宣传周活动的通知》的相关要求,结合学校实际,经学校研究决定,在全校师生中开展网络安全教育宣传周活动,特制订方案如下:一、活动时间20xx年9月17日(星期一)至9月23日(星期日)。二、活动主题网络安全为人民,网络安全靠人民。三、具体内容:(一)举行“共建网络安全,共享网络文明”网络安全教育周启动仪式9月17日(星期一),按照八小关于网络安全教育周的活动安排,组织开展“共建网络安全,共享网络文明”安全教育启动仪式,常校长做动员讲话,并做具体的活动安排和要求。
1、召开一次“共建网络安全,共享网络文明”为主题的班会各班要紧密结合学生不良的上网习惯,选择发生在学生身边的典型案例,组织和引导学生进行深入讨论身边存在的网络安全隐患,结合学生进入黑网吧等现象进行讨论,教育学生从自身做起,遵守网络安全准则。时时刻刻注意网络安全事项。班主任一定要在学生讨论后进行总结,教育学生提高网络安全意识和自我保护意识。各班自行组织时间开展。但必须在9月19日前完成。
2、大队部组织落实相关活动并照相及过程资料的收集。(二)、开展网络安全教育班级手抄小报及黑板报评比。每班5份手抄小报,各班出一期以“共建网络安全,共享网络文明”为主题的黑板报,学校进行评比(9月20日前)。要求:1、主题鲜明,内容丰富具教育性,无知识性错误和错别字。2、小报要充分显示本班开展的网络安全教育情况。四、开展多种形式的网络安全教育宣传活动
本文格式为Word版,下载可任意编辑
活动周期间,学校LED屏播出网络安全教育宣传条幅,9月xx日,
2.计算机科学与技术专业基础知识,包括计算机科学导论、计算
上一节“绿色上网、文明上网、健康上网”网络安全公开课。同时充分
机组成原理、离散数学、数据结构、C语言程序设计、面向对象程序
利用黑板报、宣传栏、校园网等形式进行网络安全教育宣传,营造浓厚
设计、数据库原理、计算机网络、网络程序设计等;
的网络安全教育氛围。
3.本专业方向的理论知识,包括网络安全基础、应用密码学、操
网络的安全方案2
作系统安全、数据备份与灾难恢复、计算机病毒原理与防范、安全认
一、培养目标
证技术、安全扫描技术、计算机取证技术等;
本专业培养系统掌握信息安全的'基础理论与方法,具备系统工程、
4.具有本专业先进的和面向现代人才市场需求所需要的科学知识。
计算机技术和网络技术等方面的专业知识和综合能力,能够从事计算机、
(二)毕业生应具备以下能力:
通信、电子信息、电子商务、电子金融、电子政务等领域的信息安全研
1.基本能力
究、应用、开发、管理等方面工作的应用性高级信息安全专门人才。
(1)具备运用辩证唯物主义的基本观点和方法去认识,分析和解
二、培养规格
决问题的能力;
(一)毕业生应掌握以下知识:
(2)具备较强的语言及文字表达能力;
1.专业必须的基础理论知识,包括高等数学、大学英语、大学物
(3)具备运用外语进行简单会话,能够阅读本专业外语期刊,并
理、线性代数等;
具有一定的听、说、读、写、译能力;
本文格式为Word版,下载可任意编辑
(4)具备利用计算机常用应用软件进行文字及其他信息处理的能力;
(5)具备撰写专业科技文档和软件文档写作的基本能力;(6)具有掌握新知识、新技术的自学和继续学习及自主创业的能力;(7)具有自尊、自爱、自律、自强的优良品格和人际交往及企业管理能力。2.专业能力(1)具备根据实际应用需求进行信息安全系统规划设计与开发,信息安全管理,信息安全技术服务的能力;(2)具有较强的信息安全系统分析与设计、安全防护、安全策略制订、操作管理、综合集成、工程设计和技术开发能力;(3)具有信息安全产品性能分析、应用选择、管理维护、故障检测及排除、设计信息安全实验等专业能力;
(4)掌握信息系统安全策略设计及设置、信息系统数据备份及恢复、信息系统数据保护等专业技能能力;
(5)职业技能或岗位资格水平达到国家有关部门规定的相应职业资格认证的要求或通过计算机技术与软件专业技术资格(水平)考试。
3.综合能力(1)具有从事本专业相关职业活动所需要的方法能力、社会行为能力和创新能力;(2)具备获取新知识、不断开发自身潜能和适应知识经济、技术进步及岗位要求变更的能力;(3)具有较强的组织、协调能力;(4)具备将自身技能与群体技能融合以及积极探索、开拓进取、勇于创新、自主创业的能力;(5)具有良好的社会公德、职业道德和安心生产
本文格式为Word版,下载可任意编辑
(三)毕业生应具备以下素质:1.具备良好的思想品德、行为规范以及职业道德;2.具备大学层次的文化素质和人文素质;3.具备创新、实践、创业的专业技术开发素质;4.具备竞争意识、合作精神、坚强毅力;5.具有健康的体魄、良好的体能和适应本岗位工作的身体素质和心理素质;6.具有良好的气质和形象,较强的语言与文字表达能力及人际沟通能力。三、学制与学位学制:四年学位:授予工学学士学位四、主要课程本专业主要课程包括大学语文、大学英语、汽车驾驶、C语言程序
设计、数据通信原理、计算机网络、数据结构、网络安全基础、操作系统安全、数据库原理与应用、网络程序设计、算法设计与分析、应用密码学、软件工程、数据库安全、计算机病毒原理与防范、安全认证技术、数据备份与灾难恢复、计算机取证技术、电子商务安全、安全扫描技术、防火墙原理与技术等。
五、实践教学(一)校内、校外实训。加大各类课程尤其是专业课程的实践课时比例,注重以提高学生动手能力为重点的操作性实验实训,主干课程中设置综合设计与实践环节。(二)假期见习或社会调查。时间原则上不少于9周,安排在假期进行。(三)毕业实习。
本文格式为Word版,下载可任意编辑
为4周。
(四)学生毕业时必须达到大学生体质健康标准。
六、考核办法
网络的安全方案3
(一)课程考核包括考试和考查,成绩评定一律采用百分制计分。
为增强我区教育系统网络安全意识,提高网络安全防护技能,根
实训比较多的课程,分理论和操作两个部分进行考核。要不断改革考核
据中央网信办、市区网信办相关要求,我校决定开展网络安全宣传周
方法,丰富考试考查载体和手段,采用开卷、闭卷,笔试、口试、机试、
活动,现制定方案如下。
实训操作、综合设计等多种考核形式,加强对学生动手能力、实践能力、
一、活动主题
分析解决问题能力和综合素质的全面考核。成绩合格者给予学分。
网络安全为人民,网络安全靠人民
(二)毕业设计或毕业论文成绩评定采用五级制(优、良、中、及
二、活动时间
格和不及格),由指导老师写出评语,学院组织论文答辩。
xxxx年9月19日——9月25日,其中9月20为主题教育日。
(三)每位学生必须选修满选修课14个学分,方可毕业。其中限
三、参加对象
选课中,《形势与政策》、《当代世界经济与政治》等限选课,要求每
全校教职工、学生和家长。
个学生必选;《艺术导论》、《音乐鉴赏》、《美术鉴赏》、《影视鉴
四、活动形式
赏》、《舞蹈鉴赏》、《书法鉴赏》、《戏剧鉴赏》、《戏曲鉴赏》等
(一)氛围营造
8门公共艺术教育类限选课,要求每个学生必须选修两门或两门以上。
学校在宣传活动期间,用LED电子显示屏、微信公众号、网站、Q
本文格式为Word版,下载可任意编辑
群等多种形式宣传网络安全,营造良好的宣传氛围。(二)电子屏滚动播出利用学校大门处的LED电子屏,滚动播出网络安全宣传知识,介绍
防信息泄露、防网络诈骗等网络安全相关知识。(三)开展活动学校以网络安全宣传为主题,通过开展主题队会、举办讲座、国旗
下讲话等形式开展网络安全宣传活动。(班主任和德育处提供图片)(四)网络宣传学校网站、学校Q群、班级Q群和翼校通多渠道宣传网络安全知识。
(班主任提供发家长Q群、发翼校通的图片)五、活动要求(一)各部门、每一位教师要高度重视此次宣传活动,按学校方案
落实好每一项工作,学校将组织人员对活动情况进行检查。(二)各班主任务必将活动开展图片于9月23日上午12:00前传
余xx,邮箱:xx,联系电话xx。网络的安全方案4
为增强校园网络安全意识,提高网络安全防护技能,按照陕西省互联网信息办公室《关于开展陕西省网络安全宣传周活动的通知》精神,以及陕教保办文件关于开展陕西省教育系统网络安全宣传周活动通知要求。特制定出我院校园国家网络安全宣传周活动方案:
一、活动主题活动主题为“网络安全知识进校园”,旨在提高全体师生网络安全自我保护意识,提升其网络安全问题甄别能力。二、活动时间20xx年11月24日至30日。三、活动内容以“媒体全铺开、校园全覆盖、师生全知晓”为目标,统一使用“国家网络安全宣传周”标识,校园宣传活动内容如下:
本文格式为Word版,下载可任意编辑
1.学习党和国家网络安全战略、方针、政策,了解目前国家在网络安全方面的前沿动态。
2.召开网络安全工作汇报会,展示我院在网络安全维护工作方面所采取的措施和取得的成效。
3.采用线上加线下的方式进行网络安全宣传,开展网络安全知识普及活动。
四、活动形式本次网络安全宣传活动采取以下形式开展:(一)举办校园网络安全宣传周启动及签名活动(二)利用室外LED电子大屏滚动播放网络安全宣传公益短片。同时,将这些宣传视频上传至校园网资源平台,供广大师生学习观看,并推送到移动平台,以方便手机等移动终端用户观看。(三)在校园网上开辟一个网络安全宣传专栏,对开展宣传活动的方案、计划等相关资料以及宣传活动所取得的成果进行公布,提供电子
版全民安全使用网络手册,共广大师生下载学习使用。并链接至“国家网络安全宣传周页面”。
(四)在校园广播台开设专题栏目,宣传相关网络安全知识以及网络安全专家谈的相关内容。
(五)举办网络安全宣传讲座。邀请网络安全方面的专家为师生举办专题讲座。在三个校区分别进行。(六)制作网络安全宣传展板,宣传海报等。(七)开展网络安全知识咨询。(八)悬挂网络安全宣传横幅。
网络的安全方案5一、活动宗旨提高同学们的网络安全意识,在加强网络安全知识学习的同时,营造一种浓厚的学习氛围。较好地发挥学生的特长,丰富学生的课余
本文格式为Word版,下载可任意编辑
生活和提高同学们学习计算机网络的热忱。二、活动组织1.活动总负责:xxx2.活动策划:xxx3.活动时间:10月25日下午7点4.活动地点:综合楼3085.活动对象:信息工程系08级全体学生三、活动内容1.网络计算机的使用技巧2.预防网络诈骗3.网络道德4.网络与法律四、注意事项1.每个班级每个同学在本班负责人的组织下不得迟到,须在讲座前
10分钟入指定点,迟到5分钟则不得入内。2.讲座过程中不允许大声喧哗,走动,交头接耳,听歌,玩手机。3.学生到场后,依次入座,由本协会成员维持会场纪律。4.讲座结束后,由本协会会员安排下依次退场,每部就本次的讲
座各写一份总结。
篇六:网络安全设计方案总结
某校园网方案.........................................................2网络防火墙设计中的问题..............................................17如何构建网络整体安全方案............................................25四台Cisco防火墙实现VPN网络........................................31企业级防火墙选购热点................................................35增强路由器安全的十个技巧............................................38启明星辰银行安全防御方案............................................39神码基金公司信息安全解决方案........................................40安天校园网解决方案..................................................43网络入侵检测解决方案................................................46企业需要什么样的IDS测试IDS的几个性能指标..........................48东软安全助力武汉信用风险管理信息系统................................52
某校园网方案1.1设计原则
1.充分满足现在以及未来3—5年内的网络需求,既要保证校园网能很好的为学校服务,又要保护学校的投资.2。强大的安全管理措施,四分建设、六分管理,管理维护的好坏是校园网正常运行的关键3。在满足学校的需求的前提下,建出自己的特色1。2网络建设需求网络的稳定性要求
整个网络需要具有高度的稳定性,能够满足不同用户对网络访问的不同要求网络高性能需求
整个网络系统需要具有很高的性能,能够满足各种流媒体的无障碍传输,保证校园网各种应用的畅通无阻
认证计费效率高,对用户的认证和计费不会对网络性能造成瓶颈网络安全需求
防止IP地址冲突非法站点访问过滤非法言论的准确追踪恶意攻击的实时处理记录访问日志提供完整审计网络管理需求需要方便的进行用户管理,包括开户、销户、资料修改和查询需要能够对网络设备进行集中的统一管理需要对网络故障进行快速高效的处理第二章、某校园网方案设计2。1校园网现网拓扑图
整个网络采用二级的网络架构:核心、接入.核心采用一台RG-S4909,负责整个校园网的数据转发,同时为接入交换机S1926F+、内部服务器提供百兆接口。网络出口采用RG—WALL1200防火墙。原有网络设备功能较少,无法进行安全防护,已经不能满足应用的需求。
2。2校园网设备更新方案
方案一:不更换核心设备
核心仍然采用锐捷网络S4909交换机,在中校区增加一台SAM服务器,部署SAM系统,同时东校区和西校区各用3台S2126G替换原有S1926F+,其中汇聚交换机各采用一台新增的S2126G,剩余的两台S2126G用于加强对关键机器的保护,中校区的网络结构也做相应的调整,采用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。方案二:更换核心设备
核心采用一台锐捷网络面向10万兆平台设计的多业务IPV6路由交换机RG-S8606,负责整个校园网的数据转发。在中校区增加一台SAM服务器,部署SAM系统,同时东校区和西校区各用3台S2126G替换原有S1926F+。将原有的S4909放到东校区做为汇聚设备,下接三台S2126G实现安全控制,其它二层交换机分别接入相应的S2126G。西校区汇聚采用一台S2126G,剩余两台S2126G用于保护重点机器,其它交换机接入对应的S2126G.中校区的网络结构也做相应的调整,采用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。
2。3骨干网络设计骨干网络由RG—S8606构成,核心交换机RG-S8606主要具有5特性:
1、骨干网带宽设计:千兆骨干,可平滑升级到万兆整个骨干网采用千兆双规线路的设计,二条线路通过VRRP冗余路由协议和OSPF动态路由协议实现负载分担和冗余备份,以后,随着网络流量的增加,可以将链路升级到万兆。2、骨干设备的安全设计:CSS安全体系架构
3、CSS之硬件CPPCPP即CPUProtectPolicy,RG—S8606采用硬件来实现,CPP提供管理模块和线卡CPU的保护功能,对发往CPU的数据流进行带宽限制(总带宽、QOS队列带宽、类型报文带宽),这样,对于ARP攻击的数据流、针对CPU的网络攻击和病毒数据流,RG-S8606分配给其的带宽非常的有限,不会影响其正常工作。由于锐捷10万兆产品RG-S8606采用硬件的方式实现,不影响整机的运行效率4、CSS之SPOH技术现在的网络需要更安全、需要为不同的业务提供不同的处理优先级,这样,大量的ACL和QOS需要部署,需要核心交换机来处理,而这些应用属于对交换机硬件资源消耗非常大的,核心交换机RG—S8606通过在交换机的每一个用户端口上增加一个FFP(快速过滤处理器),专门用来处理ACL和QOS,相当于把交换机的每一个端口都变成了一台独立的交换机,可以保证在非常复杂的网络环境中核心交换机的高性
能。
2。4网络安全设计2.4.1某校园网网络安全需求分析1、网络病毒的防范病毒产生的原因:某校园网很重要的一个特征就是用户数比较多,会有很多的PC机缺乏有效的病毒防范手段,这样,当用户在频繁的访问INTERNET的时候,通过局域网共享文件的时候,通过U盘,光盘拷贝文件的时候,系统都会感染上病毒,当某个学生感染上病毒后,他会向校园网的每一个角落发送,发送给其他用户,发送给服务器。病毒对校园网的影响:校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗,用户正常的网络访问得不到响应,办公平台不能使用;资源库、VOD不能点播;INTERNET上不了,学生、老师面临着看着丰富的校园网资源却不能使用的尴
尬境地。
2、防止IP、MAC地址的盗用IP、MAC地址的盗用的原因:某校园网采用静态IP地址方案,如果缺乏有效的IP、MAC地址管理手段,用户可以随意的更改IP地址,在网卡属性的高级选项中可以随意的更改MAC地址.如果用户有意无意的更改自己的IP、MAC地址,会引起多方冲突,如果与网关地址冲突,同一网段内的所有用户都不能使用网络;如果恶意用户发送虚假的IP、MAC的对应关系,用户的大量上网数据包都落入恶意用户的手中,造成ARP欺骗攻击。IP、MAC地址的盗用对校园网的影响:在用户看来,校园网络是一个很不可靠是会给我带来很多麻烦的网络,因为大量的IP、MAC冲突的现象导致了用户经常不能使用网络上的资源,而且,用户在正常工作和学习时候,自己的电脑上会经常弹出MAC地址冲突的对话框。由于担心一些机密信息比如银行卡账户、密码、邮箱密码泄漏,用户会尽量减少网络的使用,这样,学生、老师对校园网以及网络中心的信心会逐渐减弱,投入几百万的校园网也就不能充分发挥其服务于教学的作用,造成很大程度上的资源浪费。3、安全事故发生时候,需要准确定位到用户安全事故发生时候,需要准确定位到用户原因:
国家的要求:2002年,朱镕基签署了282号令,要求各大INTERNET运营机构(包括高校)必须要保存60天的用户上网记录,以待相关部门审计.
校园网正常运行的需求:如果说不能准确的定位到用户,学生会在网络中肆无忌弹进行各种非法的活动,会使得校园网变成“黑客”娱乐的天堂,更严重的是,如果当
某个学生在校外的某个站点发布了大量涉及政治的言论,这时候公安部门的网络信息安全监察科找到我们的时候,我们无法处理,学校或者说网络中心只有替学生背这个黑锅。4、安全事故发生时候,不能准确定位到用户的影响:一旦发生这种涉及到政治的安全事情发生后,很容易在社会上广泛传播,上级主管部门会对学校做出处理;同时也会大大降低学校在社会上的影响力,降低家长、学生对学校的满意度,对以后学生的招生也是大有影响的。5、用户上网时间的控制无法控制学生上网时间的影响:如果缺乏有效的机制来限制用户的上网时间,学生可能会利用一切机会上网,会旷课。学生家长会对学校产生强烈的不满,会认为学校及其的不负责任,不是在教书育人.这对学校的声誉以及学校的长期发展是及其不利的.6、用户网络权限的控制在校园网中,不同用户的访问权限应该是不一样的,比如学生应该只能够访问资源服务器,上网,不能访问办公网络、财务网络.办公网络的用户因该不能访问财务网络.因此,需要对用户网络权限进行严格的控制。7、各种网络攻击的有效屏蔽校园网中常见的网络攻击比如MACFLOOD、SYNFLOOD、DOS攻击、扫描攻击、ARP欺骗攻击、流量攻击、非法组播源、非法DHCP服务器及DHCP攻击、窃取交换机的管理员密码、发送大量的广播报文,这些攻击的存在,会扰乱网络的正常运行,降低了校园网的效率.
2.4.2某校园网网络安全方案设计思想2。4.2.1安全到边缘的设计思想用户在访问网络的过程中,首先要经过的就是交换机,如果我们能在用户试图进入网络的时候,也就是在接入层交换机上部署网络安全无疑是达到更好的效果。2.4。2。2全局安全的设计思想锐捷网络提倡的是从全局的角度来把控网络安全,安全不是某一个设备的事情,应该让网络中的所有设备都发挥其安全功能,互相协作,形成一个全民皆兵的网络,最终从全局的角度把控网络安全.2.4。2。3全程安全的设计思想
用户的网络访问行为可以分为三个阶段,包括访问网络前、访问网络的时候、访问网络后.对着每一个阶段,都应该有严格的安全控制措施.2.4.3某校园网网络安全方案锐捷网络结合SAM系统和交换机嵌入式安全防护机制设计的特点,从三个方面实现网络安全:事前的准确身份认证、事中的实时处理、事后的完整审计。2。4.3。1事前的身份认证对于每一个需要访问网络的用户,我们需要对其身份进行验证,身份验证信息包括用户的用户名/密码、用户PC的IP地址、用户PC的MAC地址、用户PC所在交换机的IP地址、用户PC所在交换机的端口号、用户被系统定义的允许访问网络的时间,通过以上信息的绑定,可以达到如下的效果:
每一个用户的身份在整个校园网中是唯一,避免了个人信息被盗用。当安全事故发生的时候,只要能够发现肇事者的一项信息比如IP地址,就可以准确定位到该用户,便于事情的处理。只有经过网络中心授权的用户才能够访问校园网,防止非法用户的非法接入,这也切断了恶意用户企图向校园网中传播网络病毒、黑客程序的通道.2.4.3。2网络攻击的防范1、常见网络病毒的防范对于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒,通过部署扩展的ACL,能够对这些病毒所使用的TCP、UDP的端口进行防范,一旦某个用户不小心感染上了这种类型的病毒,不会影响到网络中的其他用户,保证了校园网网络带宽的合理使用。2、未知网络病毒的防范对于未知的网络病毒,通过在网络中部署基于数据流类型的带宽控制功能,为不同的网络应用分配不同的网络带宽,保证了关键应用比如WEB、课件资源库、邮件数据流有足够可用的带宽,当新的病毒产生时,不会影响到主要网络应用的运行,从而保证了网络的高可用性。3、防止IP地址盗用和ARP攻击通过对每一个ARP报文进行深度的检测,即检测ARP报文中的源IP和源MAC是否和端口安全规则一致,如果不一致,视为更改了IP地址,所有的数据包都不能进入网络,这样可有效防止安全端口上的ARP欺骗,防止非法信息点冒充网络关键设备的IP(如服务器),造成网络通讯混乱。4、防止假冒IP、MAC发起的MACFlood\SYNFlood攻击
通过部署IP、MAC、端口绑定和IP+MAC绑定(只需简单的一个命令就可以实现)。并实现端口反查功能,追查源IP、MAC访问,追查恶意用户。有效的防止通过假冒源IP/MAC地址进行网络的攻击,进一步增强网络的安全性。5、非法组播源的屏蔽锐捷产品均支持IMGP源端口检查,实现全网杜绝非法组播源,指严格限定IGMP组播流的进入端口.当IGMP源端口检查关闭时,从任何端口进入的视频流均是合法的,交换机会把它们转发到已注册的端口。当IGMP源端口检查打开时,只有从路由连接口进入的视频流才是合法的,交换机把它们转发向已注册的端口;而从非路由连接口进入的视频流被视为是非法的,将被丢弃。锐捷产品支持IGMP源端口检查,有效控制非法组播,实现全网杜绝非法组播源,更好地提高了网络的安全性和全网的性能,同时可以有效杜绝以组播方式的传播病毒.在校园网流媒体应用多元化和潮流下具有明显的优势,而且也是网络带宽合理的分配所必须的。同时IGMP源端口检查,具有效率更高、配置更简单、更加实用的特点,更加适用于校园运营网络大规模的应用环境。6、对DOS攻击,扫描攻击的屏蔽通过在校园网中部署防止DOS攻击,扫描攻击,能够有效的避免这二种攻击行为,节省了网络带宽,避免了网络设备、服务器遭受到此类攻击时导致的网络中断。2.4.3。3事后的完整审计当用户访问完网络后,会保存有完备的用户上网日志纪录,包括某个用户名,使用那个IP地址,MAC地址是多少,通过那一台交换机的哪一个端口,什么时候开始访问网络,什么时候结束,产生了多少流量.如果安全事故发生,可以通过查询该日志,来唯一的确定该用户的身份,便于了事情的处理。2。5网络管理设计网络管理包括设备管理、用户管理、网络故障管理2.5。1网络用户管理网络用户管理见网络运营设计开户部分2。5.2网络设备管理网络设备的管理通过STARVIEW实现,主要提供以下功能,这些功能也是我们常见的解决问题的思路:1、网络现状及故障的自动发现和了解STARVIEW能自动发现网络拓扑结构,让网络管理员对整个校园网了如指掌,对于用户私自挂接的HUB、交换机等设备能及时地发现,提前消除各种安全隐患。对于网络中的异常故障,比如某台交换机的CPU利用率过高,某条链路上的流量负载过大,STARVIEW都可以以不同的颜色进行显示,方便管理员及时地发现网络中的异常情况.2、网络流量的查看STARVIEW在网络初步异常的情况下,能进一步的察看网络中的详细流量,从而为网络故障的定位提供了丰富的数据支持。
3、网络故障的信息自动报告STARVIEW支持故障信息的自动告警,当网络设备出现故障时,会通过TRAP的方式进行告警,网络管理员的界面上能看到各种故障信息,这些信息同样为管理员的故
障排除提供了丰富的信息。
4、设备面板管理STARVIEW的设备面板管理能够很清楚的看到校园中设备的面板,包括端口数量、状态等等,同时可以很方便的登陆到设备上,进行配置的修改,完善以及各种信息
的察看.
5、RGNOS操作系统的批量升级校园网很大的一个特点就是规模大,需要使用大量的接入层交换机,如果需要对这些交换机进行升级,一台一台的操作,会给管理员的工作带来很大的压力,STARVIEW提供的操作系统的批量升级功能,能够很方便的一次对所有的相同型号的交换机进行升级,加大的较少了网络管理员的工作量。
2。5.3网络故障管理随着校园网用户数的增多,尤其是宿舍网运营的开始,用户网络故障的排除会成为校园网管理工作的重点和难点,传统的网络故障解决方式主要是这样一个流程:
2.6流量管理系统设计网络中的流量情况是网络是否正常的关键,网络中大量的P2P软件的使用,已经对各种网络业务的正常开展产生了非常严重的影响,有的学校甚至因为P2P软件的泛滥,直接导致了网络出口的瘫痪。2.6。1方案一:传统的流量管理方案传统的流量管理方案的做法很多就是简单的封堵这些P2P软件,从而达到控制流量的目的,这有三大弊端,
第一:这些软件之所以有如此强大的生命力,是因为用户通过使用这些软件的确能快速的获取各种有用的资源,如果简单的通过禁止的方式,用户的意见会非常的大,同时,各种有用的资源我们很难获取。
第二:各种新型的,对网络带宽消耗更大的应用软件也在不断的出现.所谓道高
一尺,魔高一丈,一味的封堵这些软件,我们永远处于被动的局面,显然不能从根本上解决这个问题。
第三:我们无法获取网络中的流量信息,无法为校园网的优化,网络管理,网络故障预防和排除提供数据支撑。2。6.2方案二:锐捷的流量管理与控制方案锐捷网络的流量管理主要通过RG—NTD+日志处理软件+RG—SAM系统来实现。NTD是锐捷流量管理解决方案的重要组成部分,我们希望能为用户提供一种流量控制和管理的方法而不单纯是流量计费,锐捷的流量管理方案有三大功能:
第一:为SAM系统对用户进行流量计费提供原始数据,这是我们已经实现了的功能。该功能能满足不同消费层次的用户对带宽的需求,经济条件好一点,可以多用点流量,提高了用户的满意度。而且,对于以后新出现的功能更加强大的下载软件,都不必担心用户任意使用造成带宽拥塞。
第二:提供日志审计和带宽管理功能,通过NTD、SAM、日志系统的结合,能够做到基于用户身份对用户进行管理,做到将用户名、源IP、目的IP直接关联,通过目的IP,可以直接定位到用户名,安全事件处理起来非常的方便,同时还能提供P2P的限速,带宽管理等功能,这一部分的功能我们会在明年4月份提供。
第三:能够对网络中的各种流量了如指掌,可以对用户经常访问的资源进行分析对比,为应用系统的建设、服务器的升级改造提供数据支持;能够及时的发现网络中的病毒、恶意流量,从而进行有效的防范,结合认证计费系统SAM,能够捕捉到事件源头,并于做出处理。总体来说,流量控制和管理和日志系统的整体解决方案对于校园网的长期健康可持续发展是很有帮助的。
网络防火墙设计中的问题
1.方案:硬件?还是软件?现在防火墙的功能越来越多越花哨,如此多的功能必然要求系统有一个高效的处理能力。防火墙从实现上可以分为软件防火墙和硬件防火墙。软件防火墙以checkpoint公司的Firewall-I为代表,其实现是通过dev_add_pack的办法加载过滤函数(Linux,其他操作系统没有作分析,估计类似),通过在操作系统底层做工作来实现防火墙的各种功能和优化。国内也有一些所谓的软件防火墙,但据了解大多是所谓“个人"防火墙,而且功能及其有限,故不在此讨论范围。在国内目前已通过公安部检验的防火墙中,硬件防火墙占绝大多数。硬件防火墙一种是从硬件到软件都单独设计,典型如Netscreen防火墙不但软件部分单独设计,硬件部分也采用专门的ASIC集成电路.另外一种就是基于PC架构的使用经过定制的通用操作系统的所谓硬件防火墙。目前国内绝大多数防火墙都属于这种类型。虽然都号称硬件防火墙,国内厂家和国外厂家还是存在着巨大区别。硬件防火墙需要在硬件和软件两方面同时下功夫,国外厂家的通常做法是软件运算硬件化,其
所设计或选用的运行平台本身的性能可能并不高,但它将主要的运算程序(查表运算是防火墙的主要工作)做成芯片,以减少主机CPU的运算压力。国内厂家的防火墙硬件平台基本上采用通用PC系统或工业PC架构(直接原因是可以节省硬件开发成本),在提高硬件性能方面所能做的工作仅仅是提升系统CPU的处理能力,增大内存容量而已。现在国内防火墙的一个典型结构就是:工业主板+x86+128(256)M内存+DOC/DOM+硬盘(或不要硬盘而另增加一个日志服务器)+百兆网卡这样一个工业PC结构。在软件性能方面,国内外厂家的差别就更大了,国外(一些著名)厂家均是采用专用的操作系统,自行设计防火墙。而国内所有厂家操作系统系统都是基于通用的Linux,无一例外。各厂家的区别仅仅在于对Linux系统本身和防火墙部分(2。2内核为ipchains,2。4以后内核为netfilter)所作的改动量有多大.事实上,Linux只是一个通用操作系统,它并没有针对防火墙功能做什么优化,而且其处理大数据量通信方面的能力一直并不突出,甚至比较低下(这也是Linux一直只是低端服务器的宠儿的重要原因,我自己认为,在这一点上它还不如BSD系列,据说国外有用BSD做防火墙的,国内尚未见到)。现在绝大部分厂家,甚至包括号称国内最大的天融信,在软件方面所作的工作无非也就是系统有针对性的裁减、防火墙部分代码的少量改动(绝大部分还是没有什么改动)和少量的系统补丁.而且我们在分析各厂家产品时可以注意这一点,如果哪个厂家对系统本身做了什么大的改动,它肯定会把这个视为一个重要的卖点,大吹特吹,遗憾的是似乎还没有什么厂家有能力去做宣传(天融信似乎有一个类似于checkpoint的功能:开放式的安全应用接口TOPSEC,但它究竟做了多少工作,还需要去仔细了解).目前国内厂家也已经认识到这个问题,有些在做一些底层的工作,但有明显成效的,似乎还没有.在此我们仅针对以Linux(或其他通用操作系统)为基础的、以PC架构为硬件载体的防火墙做讨论,以下如不特别提出,均同。2.内核和防火墙设计现在有一种商业卖点,即所谓“建立在安全操作系统之上的第四代防火墙”(关于防火墙分代的问题,目前有很多讨论,比较一致的是把包过滤防火墙称为第一代防火墙,把应用型防火墙(一般结合了包过滤功能,因此也成为混合型防火墙)称为第二代防火墙,有些厂家把增加了检测通信信息、状态检测和应用监测的防火墙称为第三代防火墙,更有甚者在此基础上提出了采用安全操作系统的防火墙,并把这个称为第四代防火墙)。所谓安全操作系统,其实大多用的还是Linux,所不同的是需要做一些内核加固和简单改造的工作,主要有以下:取消危险的系统调用,或者截获系统调用,稍加改动(如加载一些llkm);限制命令执行权限;取消IP转发功能;检查每个分组的接口;采用随机连接序号;驻留分组过滤模块;取消动态路由功能;
采用多个安全内核(这个只见有人提出,但未见到实例,对此不是很清楚)。以上诸多工作,其实基本上都没有对内核源码做太大改动,因此从个人角度来看算不上可以太夸大的地方。对于防火墙部分,国内大部分已经升级到2.4内核所支持的netfilter。netfilter已经是一个功能比较完善的防火墙框架,它已经支持基于状态的监测(通过connectiontrack模块实现)。而且netfilter是一个设计很合理的框架,可以在适当的位置上登记一些需要的处理函数,正式代码中已经登记了许多处理函数,如在NF_IP_FORWARD点上登记了装发的包过滤功能(包过滤等功能便是由这些正式登记的函数实现的)。我们也可以登记自己的处理函数,在功能上作扩展(如加入简单的IDS功能等等)。这一点是国内厂家可以做文章的地方,至于netfilter源码的修改,对国内厂家来说似乎不太现实.至于采用其它防火墙模型的,目前还没有看到(可能是netfilter已经设计的很成功,不需要我们再去做太多工作)。3.自我保护能力(安全性)由于防火墙的特殊功能和特殊位置,它自然是众多攻击者的目标,因此它的自我包括能力在设计过程中应该放在首要的位置。A.管理上的安全性防火墙需要一个管理界面,而管理过程如何设计的更安全,是一个很重要的问题。目前有两种方案。a.设置专门的服务端口为了减少管理上的风险和降低设计上的难度,有一些防火墙(如东方龙马)在防火墙上专门添加了一个服务端口,这个端口只是用来和管理主机连接。除了专用的服务口外,防火墙不接受来自任何其它端口的直接访问。这样做的显著特点就是降低了设计上的难度,由于管理通信是单独的通道,无论是内网主机、外网主机还是DMZ内主机都无法窃听到该通信,安全性显然很高,而且设计时也无需考虑通信过程加密的问题.然而这样做,我们需要单独设置一台管理主机,显然太过浪费,而且这样管理起来的灵活性也不好.b.通信过程加密这样无需一个专门的端口,内网任意一台主机都可以在适当的情况下成为管理主机,管理主机和防火墙之间采用加密的方式通信。目前国内有采用的是使用自定义协议、一次性口令认证.对加密这个领域了解不多,不做详细讨论。B.对来自外部(和内部)攻击的反应能力目前常见的来自外部的攻击方式主要有:a.DOS(DDOS)攻击(分布式)拒绝服务攻击是目前一种很普遍的攻击方式,在预防上也是非常困难的。目前防火墙对于这种攻击似乎没有太多的解决办法,主要是提高防火墙本身的健壮性(如增加缓冲区大小)。在Linux内核中有一个防止Synflooding攻击的选
项:CONFIG_SYN_COOKIES,它是通过为每一个Syn建立一个缓冲(cookie)来分辨可信请求和不可信请求。另外对于ICMP攻击,可以通过关闭ICMP回应来实现.b.IP假冒(IPspoofing)IP假冒是指一个非法的主机假冒内部的主机地址,骗取服务器的“信任”,从而达到对网络的攻击目的。第一,防火墙设计上应该知道网络内外的IP地址分配,从而丢弃所有来自网络外部但却有内部地址的数据包.实际实现起来非常简单,只要在内核中打开rp_filter功能即可。第二,防火墙将内网的实际地址隐蔽起来,外网很难知道内部的IP地址,攻击难度加大。IP假冒主要来自外部,对内网无需考虑此问题(其实同时内网的IP假冒情况也可以得到遏制)。c.特洛伊木马防火墙本身预防木马比较简单,只要不让系统不能执行下载的程序即可。一个需要说明的地方是必须指出的是,防火墙能抗特洛伊木马的攻击并不意味着内网主机也能防止木马攻击。事实上,内网主机可能会透过防火墙下载执行携带木马的程序而感染。内网主机的在预防木马方面的安全性仍然需要主机自己解决(防火墙只能在内网主机感染木马以后起一定的防范作用).d.口令字攻击口令字攻击既可能来自外部,也可能来自内部,主要是来自内部。(在管理主机与防火墙通过单独接口通信的情况下,口令字攻击是不存在的)来自外部的攻击即用穷举的办法猜测防火墙管理的口令字,这个很容易解决,只要不把管理部分提供给外部接口即可。内部的口令字攻击主要是穷举和嗅探,其中以嗅探危害最大.嗅探指监测网络截获管理主机给防火墙的口令字,如果口令字已加密,则解密得到口令字。目前一般采用一次性口令和禁止直接登录防火墙的措施来防止对口令字的攻击。e.邮件诈骗邮件诈骗是目前越来越突出的攻击方式。防火墙本身防止邮件诈骗非常简单,不接收任何邮件就可以了。然而象木马攻击一样,内网主机仍可收发邮件,邮件诈骗的危险仍然存在,其解决办法一个是内网主机本身采取措施防止邮件诈骗,另一个是在防火墙上做过滤。f.对抗防火墙(anti-firewall)目前一个网络安全中一个研究的热点就是对抗网络安全产品如防火墙。一种是分析防火墙功能和探测防火墙内部网络结构,典型的如Firewalk。另外有一些其他的网络安全性分析工具本身具有双刃性,这类工具用于攻击网络,也可能会很有效的探测到防火墙和内部网络的安全缺陷,典型的如SATAN和ISS公司的InternetSecurityScanner。目前对于这种探测(攻击)手段,尚无有效的预防措施,因为防火墙本身是一个被动的东西,它只能靠隐藏内部网络结构和提高自身的安全性来对抗这些攻击。C.透明代理的采用应用代理防火墙一般是通过设置不同用户的访问权限来实现,这样就需要有用户认
证体系。以前的防火墙在访问方式上主要是要求用户登录进系统(如果采用sock代理的方式则需要修改客户应用)。透明代理的采用,可以降低系统登录固有的安全风险和出错概率,从而提高了防火墙的安全性.4.透明性防火墙的透明性指防火墙对于用户是透明的,在防火墙接入网络时,网络和用户无需做任何设置和改动,也根本意识不到防火墙的存在.防火墙作为一个实际存在的物理设备,要想放入已存在地网络中又不对网络有任何影响,就必须以网桥的方式置入网络。传统方式下,防火墙安装时,更象是一台路由器或者网关,原有网络拓扑结构往往需要改变,网络设备(包括主机和路由器)的设置(IP和网关、DNS、路由表等等)也需要改变.但如果防火墙采用了透明模式,即采用类似网桥的方式运行,用户将不必重新设定和修改路由,也不需要知道防火墙的位置,防火墙就可以直接安装和放置到网络中使用。透明模式最大的好处在于现有网络无需做任何改动,这就方便了很多客户,再者,从透明模式转换到非透明模式又很容易,适用性显然较广。当然,此时的防火墙仅仅起到一个防火墙的作用,其他网关位置的功能如NAT、VPN功能不再适用,当然,其他功能如透明代理还可以继续使用。目前透明模式的实现上可采用ARP代理和路由技术实现。此时防火墙相当于一个ARP代理的功能。内网(可以仍含有路由器或子网,依次类推)、防火墙、路由器的位置大致如下:内网―――――防火墙―――――路由器(需要说明的是,这种方式是绝大多数校园网级网络的实现方式)内网主机要想实现透明访问,必须能够透明的传送内网和路由器之间的ARP包,而此时由于事实上内网和路由器之间无法连通,防火墙就必须配置成一个ARP代理(ARPProxy)在内网主机和路由器之间传递ARP包。防火墙所要做的就是当路由器发送ARP广播包询问内网内的某一主机的硬件地址时,防火墙用和路由器相连接口的MAC地址回送ARP包;内网内某一主机发送ARP广播包询问路由器的硬件地址时,防火墙用和内网相连接口的MAC地址回送ARP包,因此路由器和内网主机都认为将数据包发给了对方,而实际上是发给了防火墙转发。显然,此时防火墙还必须实现路由转发,使内外网之间的数据包能够透明的转发。另外,防火墙要起到防火墙的作用,显然还需要把数据包上传给本身应用层处理(此时实现应用层代理、过滤等功能),此时需要端口转发来实现(?这个地方不是十分清楚,也没找到相关资料)。透明模式和非透明模式在网络拓扑结构上的最大区别就是:透明模式的两块网卡(与路由器相连的和与内网相连的)在一个网段(也和子网在同一个网段);而非透明模式的两块网卡分别属于两个网段(内网可能是内部不可路由地址,外网则是合法地址).这个过程如下:1。用ARP代理实现路由器和子网的透明连接(网络层)2。用路由转发在IP层实现数据包传递(IP层)3.用端口重定向实现IP包上传到应用层(IP层)前边我们讨论过透明代理,和这里所说的防火墙的透明模式是两个概念.透明代理主要是为实现内网主机可以透明的访问外网,而无需考虑自己是不可路由地址还是
可路由地址。内网主机在使用内部网络地址的情况下仍然可以使用透明代理,此时防火墙既起到网关的作用又起到代理服务器的作用(显然此时不是透明模式)。需要澄清的一点是,内外网地址的转换(即NAT,透明代理也是一种特殊的地址转换)和透明模式之间并没有必然的联系。透明模式下的防火墙能实现透明代理,非透明模式下的防火墙(此时它必然又是一个网关)也能实现透明代理。它们的共同点在于可以简化内网客户的设置而已。目前国内大多防火墙都实现了透明代理,但实现了透明模式的并不多。这些防火墙可以很明显的从其广告中看出来:如果哪个防火墙实现了透明模式,它的广告中肯定会和透明代理区分开而大书特书的。5.可靠性防火墙系统处于网络的关键部位,其可靠性显然非常重要。一个故障频频、可靠性很差的产品显然不可能让人放心,而且防火墙居于内外网交界的关键位置,一旦防火墙出现问题,整个内网的主机都将根本无法访问外网,这甚至比路由器故障(路由器的拓扑结构一般都是冗余设计)更让人无法承受。防火墙的可靠性也表现在两个方面:硬件和软件.国外成熟厂商的防火墙产品硬件方面的可靠性一般较高,采用专门硬件架构且不必多说,采用PC架构的其硬件也多是专门设计,系统各个部分从网络接口到存储设备(一般为电子硬盘)集成在一起(一块板子),这样自然提高了产品的可靠性。国内则明显参差不齐,大相径庭,大多直接使用PC架构,且多为工业PC,采用现成的网卡,DOC/DOM作为存储设备。工业PC虽然可靠性比普通PC要高不少,但是毕竟其仍然是拼凑式的,设备各部分分立,从可靠性的角度看显然不如集成的(著名的水桶原理)。国内已经有部分厂家意识到了这个问题,开始自行设计硬件.但大多数厂家还是从成本的角度考虑使用通用PC架构。另外一方面,软件可靠性的提高也是防火墙优劣的主要差别所在。而国内整个软件行业的可靠性体系还没有成熟,软件可靠性测试大多处于极其初级的水平(可靠性测试和bug测试完全是两个概念)。一方面是可靠性体系建立不起来,一方面是为了迎合用户的需求和跟随网络应用的不断发展,多数防火墙厂商一直处于不断的扩充和修改中,其可靠性更不能让人恭维。总的来说,如同国内大多数行业(除了少数如航天、航空)一样,网络安全产品特别是防火墙的可靠性似乎还没有引起人们的重视。6.市场定位市场上防火墙的售价极为悬殊,从数万元到数十万元,甚至到百万元不等.由于用户数量不同,用户安全要求不同,功能要求不同,因此防火墙的价格也不尽相同.厂商因而也有所区分,多数厂家还推出模块化产品,以符合各种不同用户的要求。总的说来,防火墙是以用户数量作为大的分界线。如checkpoint的一个报价:CheckPointFirewall—14。125user19000.00CheckPointFirewall-14.150user31000。00
CheckPointFirewall—14.1100user51000.00CheckPointFirewall-14。1250user64000。00CheckPointFirewall—14.1无限用户131000。00从用户量上防火墙可以分为:
a.10-25用户:这个区间主要用户为单一用户、家庭、小型办公室等小型网络环境。防火墙一般为10M(针对硬件防火墙而言),两网络接口,涵盖防火墙基本功能:包过滤、透明模式、网络地址转换、状态检测、管理、实时报警、日志。一般另有可选功能:VPN、带宽管理等等。这个区间的防火墙报价一般在万元以上2万元以下(没有VPN和带宽管理的价格更低)。据调查,这个区间的防火墙反而种类不多,也许是国内厂商不屑于这个市场的缘故?b.25-100用户这个区间用户主要为小型企业网。防火墙开始升级到100M,三或更多网络接口。VPN、带宽管理往往成为标准模块。这个区间的防火墙报价从3万到15万不等,根据功能价格有较大区别.相对来说,这个区间上硬件防火墙价格明显高于软件防火墙。目前国内防火墙绝大部分集中在这个区间中.c.100-数百用户这个区间主要为中型企业网,重要网站、ISP、ASP、数据中心等使用.这个区间的防火墙较多考虑高容量、高速度、低延迟、高可靠性以及防火墙本身的健壮性。并且开始支持双机热备份.这个区间的防火墙报价一般在20万以上.这样的中高端防火墙国内较少,有也是25-100用户的升级版,其可用性令人怀疑。d.数百用户以上这个区间是高端防火墙,主要用于校园网、大型IDC等等。我们接触较少,不多做讨论.当然其价格也很高端,从数十万到数百万不等.总的来说,防火墙的价格和用户数量、功能模块密切相关,在用户数量相同的情况下,功能越多,价格就越贵。如Netscreen的百兆防火墙:NetScreen-100f(ACPower)-带防火墙+流量控制等功能,交流电源,没有VPN功能报价在¥260,000而在此基础上增加了128位VPN功能的报价则高出5万元:¥317,5007.研发费用如同其他网络安全产品一样,防火墙的研发费用也是很高的。防火墙由于技术含量较高,人员技术储备要求较高,防火墙核心部分的研发必须要对操作系统有相当的熟悉,所需为UNIX系统下开发人员,而目前国内真正能拿的出手的UNIX程序员数量还是太少(远远少于Windows平台下开发人员),人员成本很高.总的来说,防火墙的研发是一个大项目,而且其前期定位一定要准确,该做什么、不该做什么,哪些功能得实现,哪些功能不必实现、哪些功能可以在后期实现,一定要清楚,否则费用会远远超出预计。下边对一个中小型企业级防火墙的研发费用作个简单的估计。研发时,防火墙可以细分为(当然在具体操作时往往需要再具体划分):
内核模块防火墙模块(含状态检测模块)NAT模块带宽管理模块通信协议模块管理模块图形用户界面模块(或者Web界面模块)透明代理模块(实质属于NAT模块)透明模式模块(包括ARP代理子模块、路由转发子模块等)各应用代理模块(包括URL过滤模块)VPN模块流量统计与计费模块审计模块其他模块(如MAC、IP地址绑定模块、简单的IDS、自我保护等等)上边把防火墙划分为12个模块,其中每一个模块都有相当的工作量要做,除了弹性较大的内核模块和防火墙模块(它们的工作量可能异常的大,视设计目标不同),其他模块暂定10人周的话就需要120周(VPN的工作量也相当大),两个主模块各按20人周计算,防火墙实现总共需要150人周.加上前期10-15人周论证、定方案,后期20人周(保守数字)集成、测试,前后总共需要约210人周.按每人周1200元开发费用(折合工资5000月,但由于有运行费用、保险等费用摊分,个人工资应远低于这个数字),开发费用约需25万。显然,这个数字只是一个局外人估计的下限,实际的研发应该超出这个数字很多。8.可升级能力(适用性)和灵活性对用户来说,防火墙作为大成本投入的商品,势必要考虑到可升级性的问题,如果防火墙不能升级,那它的可用性和可选择余地势必要大打折扣。目前国内防火墙一般都是软件可升级的,这是因为大多数防火墙采用电子硬盘(少数采用磁盘),实现升级功能只要很小的工作量要做。但究竟升级些什么内容?升级周期多长一次?这就涉及到一个灵活性的问题.防火墙的灵活性主要体现在以下几点:a.易于升级b.支持大量协议c.易于管理(如纳入通用设备管理体系(支持SNMP)而不是单列出来)d.功能可扩展这里对功能可扩展做一简单讨论。一般情况下,防火墙在设计完成以后,其过滤规则都是定死的,用户可定制的余地很小。特别如URL过滤规则(对支持URL过滤的防火墙而言),当前网络中的漏洞是不断发现的,如最近很猖獗的codered攻击的就是Windows机器IIS服务器的ida漏洞,而我们如果能够及时定义过滤规则,对于“GET/default。ida"的请求及时过滤,那么内网主机(此时一般为DMZ内主机)的安全性就会高很多,内网管理人员也不必时时密切关注网络漏洞(这是个工作量很大,既耗费体力又容易出现遗漏的工作).这样大部分工作留给防火墙厂家来做(相应需要有一个漏洞监测体系),用户肯定会满意很多。另外,灵活性一开
始也往往不是前期设计所能设计的很完美的,它需要和用户具体实践相配合。另外灵活性也是和具体环境密切结合的,往往需要在不同的用户环境里考虑。
如何构建网络整体安全方案
整体的安全方案分成技术方案、服务方案以及支持方案三部分。一、技术解决方案安全产品是网络安全的基石,通过在网络中安装一定的安全设备,能够使得网
络的结构更加清晰,安全性得到显著增强;同时能够有效降低安全管理的难度,提高安全管理的有效性。
下面介绍在局域网中增加的安全设备的安装位置以及他们的作用。1、防火墙安装位置:局域网与路由器之间;WWW服务器与托管机房局域网之间;局域网防火墙作用:(1)实现单向访问,允许局域网用户访问INTERNET资源,但是严格限制INTERNET用户对局域网资源的访问;(2)通过防火墙,将整个局域网划分INTERNET,DMZ区,内网访问区这三个逻辑上分开的区域,有利于对整个网络进行管理;(3)局域网所有工作站和服务器处于防火墙地整体防护之下,只要通过防火墙设置的修改,就能有限绝大部分防止来自INTERNET上的攻击,网络管理员只需要关注DMZ区对外提供服务的相关应用的安全漏洞;(4)通过防火墙的过滤规则,实现端口级控制,限制局域网用户对INTERNET的访问;(5)进行流量控制,确保重要业务对流量的要求;(6)通过过滤规则,以时间为控制要素,限制大流量网络应用在上班时间的使用。托管机房防火墙的作用:(7)通过防火墙的过滤规则,限制INTERNET用户对WWW服务器的访问,将访问权限控制在最小的限度,在这种情况下,网络管理员可以忽略服务器系统的安全漏洞,只需要关注WWW应用服务软件的安全漏洞;(8)通过过滤规则,对远程更新的时间、来源(通过IP地址)进行限制.2、入侵检测安装位置:局域网DMZ区以及托管机房服务器区;IDS的作用:(1)作为旁路设备,监控网络中的信息,统计并记录网络中的异常主机以及异常连接;(2)中断异常连接;(3)通过联动机制,向防火墙发送指令,在限定的时间内对特定的IP地址实施封堵。3、网络防病毒软件控制中心以及客户端软件安装位置:局域网防病毒服务器以及各个终端
防病毒服务器作用:(1)作为防病毒软件的控制中心,及时通过INTERNET更新病毒库,并强制局域网中已开机的终端及时更新病毒库软件;(2)记录各个终端的病毒库升级情况;(3)记录局域网中计算机病毒出现的时间、类型以及后续处理措施.防病毒客户端软件的作用:(4)对本机的内存、文件的读写进行监控,根据预定的处理方法处理带毒文件;(5)监控邮件收发软件,根据预定处理方法处理带毒邮件;4、邮件防病毒服务器安装位置:邮件服务器与防火墙之间邮件防病毒软件:对来自INTERNTE的电子邮件进行检测,根据预先设定的处理方法处理带毒邮件。邮件防病毒软件的监控范围包括所有来自INTERNET的电子邮件以及所属附件(对于压缩文件同样也进行检测)5、反垃圾邮件系统安装位置:同邮件防病毒软件,如果软硬件条件允许的话,建议安装在同一台服务器上。反垃圾邮件系统作用:(1)拒绝转发来自INTERNET的垃圾邮件;(2)拒绝转发来自局域网用户的垃圾邮件并将发垃圾邮件的局域网用户的IP地址通过电子邮件等方式通报网管;(3)记录发垃圾邮件的终端地址;(4)通过电子邮件等方式通知网管垃圾邮件的处理情况。6、动态口令认证系统安装位置:服务器端安装在WWW服务器(以及其他需要进行口令加强的敏感服务器),客户端配置给网页更新人员(或者服务器授权访问用户);动态口令认证系统的作用:通过定期修改密码,确保密码的不可猜测性.7、网络管理软件安装位置:局域网中。网络管理软件的作用:(1)收集局域网中所有资源的硬件信息;(2)收集局域网中所有终端和服务器的操作系统、系统补丁等软件信息;(3)收集交换机等网络设备的工作状况等信息;(4)判断局域网用户是否使用了MODEM等非法网络设备与INTERNET连接;(5)显示实时网络连接情况;(6)如果交换机等核心网络设备出现异常,及时向网管中心报警;8、QOS流量管理安装位置:如果是专门的产品安装在路由器和防火墙之间;部分防火墙本身就有QOS带宽管理模块。QOS流量管理的作用:
(1)通过IP地址,为重要用户分配足够的带宽;(2)通过端口,为重要的应用分配足够的带宽资源;(3)限制非业务流量的带宽;(4)在资源闲置时期,允许其他人员使用资源,一旦重要用户或者重要应用需要使用带宽,则确保它们能够至少使用分配给他们的带宽资源.9、重要终端个人防护软件安装位置:重要终端个人防护软件的作用:(1)保护个人终端不受攻击;(2)不允许任何主机(包括局域网主机)非授权访问重要终端资源;(3)防止局域网感染病毒主机通过攻击的方式感染重要终端。10、页面防篡改系统安装位置:WWW服务器页面防篡改系统的作用:(1)定期比对发布页面文件与备份文件,一旦发现不匹配,用备份文件替换发布文件;(2)通过特殊的认证机制,允许授权用户修改页面文件;(3)能够对数据库文件进行比对。二、安全服务解决方案在安全服务方案中,采用不同的安全服务,定期对网络进行检测、改进,以达到动态增进网络安全性,最大限度发挥安全设备作用的目的。安全服务分为以下几类:1、网络拓扑分析服务对象:整个网络服务周期:半年一次服务内容:(1)根据网络的实际情况,绘制网络拓扑图;(2)分析网络中存在的安全缺陷并提出整改建议意见。服务作用:针对网络的整体情况,进行总体、框架性分析。一方面,通过网络拓扑分析,能够形成网络整体拓扑图,为网络规划、网络日常管理等管理行为提供必要的技术资料;另一方面,通过整体的安全性分析,能够找出网络设计上的安全缺陷,找到各种网络设备在协同工作中可能产生的安全问题。2、中心机房管理制度制订以及修改服务对象:中心机房服务周期:半年一次服务内容:协助用户制订并修改机房管理制度。制度内容涉及人员进出机房的登记制度、设备进出机房的登记制度、设备配置修改的登记制度等.服务作用:严格控制中心机房的人员进出、设备进出并及时登记设备的配置更新情况,有助于网络核心设备的监控,确保网络的正常运行。3、操作系统补丁升级服务对象:服务器、工作站、终端服务周期:不定期
服务内容:(1)一旦出现重大安全补丁,及时更新所有相关系统;(2)出现大型补丁(如微软的SP),及时更新所有相关系统;
服务作用:通过及时、有效的补丁升级,能够有效防止局域网主机和服务器相互之间的攻击,降低现代网络蠕虫病毒对网络的整体影响,增加网络带宽的有效利用率.
4、防病毒软件病毒库定期升级服务对象:防病毒服务器、安装防病毒客户端的终端服务周期:每周一次服务内容:(1)防病毒服务器通过INTERNET更新病毒库;(2)防病毒服务器强制所有在线客户端更新病毒库;服务作用:通过不断升级病毒库确保防病毒软件能够及时发现新的病毒.5、服务器定期扫描、加固服务对象:服务器服务周期:半年一次服务内容:使用专用的扫描工具,在用户网络管理人员的配合,对主要的服务器进行扫描.服务作用:(1)找出对应服务器操作系统中存在的系统漏洞;(2)找出服务器对应应用服务中存在的系统漏洞;(3)找出安全强度较低的用户名和用户密码。6、防火墙日志备份、分析服务对象:防火墙设备服务周期:一周一次服务内容:导出防火墙日志并进行分析.服务作用:通过流量简图找出流量异常的时间段,通过检查流量较大的主机,找出局域网中的异常主机。7、入侵检测等安全设备日志备份服务对象:入侵检测等安全设备服务周期:一周一次服务内容:备份安全设备日志。服务作用:防止日志过大导致检索、分析的难度,另一方面也有利于事后的检查。8、服务器日志备份服务对象:主要服务器(如WWW服务器、文件服务器等)服务周期:一周一次服务内容:备份服务器访问日志服务作用:防止日志过大导致检索、分析的难度,另一方面也有利于事后的检查。9、白客渗透服务对象:对INTERBET提供服务的服务器服务周期:半年一次
服务内容:服务商在用户指定的时间段内,通过INTERNET,使用各种工具在不破坏应用的前提下攻击服务器,最终提供检测报告。
服务作用:先于黑客进行探测性攻击以检测系统漏洞。根据最终检测报告进一步增强系统的安全性
10、设备备份系统服务对象:骨干交换机、路由器等网络骨干设备服务周期:实时服务内容:根据用户的网络情况,提供骨干交换机、路由器等核心网络设备的备份。备份设备可以在段时间内替代网络中实际使用的设备。服务作用:一旦核心设备出现故障,使用备件替换以减少网络故障时间。11、信息备份系统服务对象:所有重要信息服务周期:根据网络情况定完全备份和增量备份的时间服务内容:定期备份电子信息服务作用:防止核心服务器崩溃导致网络应用瘫痪.12、定期总体安全分析报告服务对象:整个网络服务周期:半年一次服务内容:综合网络拓扑报告、各种安全设备日志、服务器日志等信息,对网络进行总体安全综合性分析,分析内容包括网络安全现状、网络安全隐患分析,并提出改进建议意见.服务作用:提供综合性、全面的安全报告,针对全网络进行安全性讨论,为全面提高网络的安全性提供技术资料。以上是服务解决方案,众所周知,安全产品一般是共性的产品,通过安全服务,能够配制出适合本网络的安全设备,使得安全产品在特定的网络中发挥最大的效能,使得各种设备协同工作,增强网络的安全性和可用性。当然,在网络中,不安全是绝对的,即使采取种种措施,网络也可能遭到应用某种原因无法正常运作,这时候,就需要有及时有效的技术支持,使得网络在尽可能短的时间内恢复正常。下面将提出技术支持解决方案。三、技术支持解决方案技术支持是整个安全方案的重要补充。其主要作用是在用户网络发生重要安全事件后,通过及时、高效的安全服务,达到尽快恢复网络应用的目的。技术支持主要包括以下几方面:1、故障排除支持范围:(1)用户无法访问网络(如局域网用户无法访问INTERNET);(2)应用服务无法访问(如不能对外提供WWW服务);(3)网络访问异常(如访问速度慢)。作用:一旦网络出现异常,为用户提供及时、有效的网络服务。在最短的时间内恢复网络应用。2、灾难恢复
支持范围:设备遇到物理损害网络网络应用异常.作用:通过备品备件,快速恢复网络硬件环境;通过备份文件的复原,尽快恢复网络的电子资源;由此可在最短的时间内恢复整个网络应用。3、查找攻击源支持范围:网络管理员发现网络遭到攻击,并需要确定攻击来源。作用:通过日志文件等信息,确定攻击的来源,为进一步采取措施提供依据。4、实时检索日志文件支持范围:遭到实时的攻击(如DOS,SYNFLOODING等),需要及时了解攻击源以及攻击强度.作用:通过实时检索日志文件,可以当时存在的针对本网络的攻击并查找出攻击源。如果攻击强度超出网络能够承受的范围,可采取进一步措施进行防范.5、即时查杀病毒支持范围:由不可确定的因素导致网络中出现计算机病毒。作用:即使网络中出现病毒,通过及时有效的技术支持,在最短的时间内查处感染病毒的主机并即时查杀病毒,恢复网络应用.6、即时网络监控支持范围:网络出现异常,但应用基本正常。作用:通过网络监控,近可能发现网络中存在的前期网络故障,在故障扩大化以前及时进行防治。以上是技术支持解决方案,技术支持是安全服务的重要补充部分,即使在完善的安全体系下,也存在不可预测的因素导致网络故障,此时,需要及时、有效的技术支持服务,在尽可能短的时间内恢复网络的正常运行。综上所述,局域网的安全由三大部分组成,涵盖设备、技术、制度、管理、服务等各个部分。四、分布实施建议意见网络安全涉及面相当广,同时进行建设的可行性较差,因此,建议按照以下方式进行分阶段实施。1、第一阶段(1)技术方面,采用防火墙、网络防病毒软件、页面防篡改系统来建立一个结构上较完善的网络系统。(2)服务方面,进行网络拓扑分析、建立中心机房管理制度、建立操作系统以及防病毒软件定期升级机制、对重要服务器的访问日志进行备份,通过这些服务,增强网络的抗干扰性。(3)支持方面,要求服务商提供故障排除服务,以提高网络的可靠性,降低网络故障对网络的整体影响。2、第二阶段在第一阶段安全建设的基础上,进一步增加网络安全设备,采纳新的安全服务和技术支持来增强网络的可用性.(1)技术方面,采用入侵检测、邮件防病毒软件、动态口令认证系统、并在重要客户端安装个人版防护软件。
(2)服务方面,对服务器进行定期扫描与加固、对防火墙日志进行备份与分析、对入侵检测设备的日志进行备份、建立设备备份系统以及文件备份系统。
(3)支持方面,要求服务商提供灾难恢复、实时日志检索、实时查杀病毒、实时网络监控等技术支持.
3、第三阶段在这一阶段,采取的措施以进一步提高网络效率为主。(1)技术方面,采用反垃圾邮件系统、网络管理软件、QOS流量管理软件。(2)服务方面,采用白客渗透测试,要求服务商定期提供整体安全分析报告。(3)支持方面,要求能够实时或者时候查找攻击源。以上针对用户网络分别从三个方面提出了安全解决方案,并按照实施的紧迫性分成三个阶段来实现,但是实际针对某个用户,对于安全的要求可能各不相同,具体网络情况也可能有很大的差异,因此建议用户根据实际情况建立网络安全建设的时间表。另外,随着新技术、新产品的不断涌现,网络技术的不断发展,对于网络安全的要求不断提高,在实际实施过程中采取的措施完全可能超越本文中提及的产品、服务、支持,这也是安全建设的最基本原则:不断改进,不断增强,安全无止境。
四台Cisco防火墙实现VPN网络
其实四台Cisco防火墙的VPN同两台防火墙做VPN没什么大的区别,只是一定要注意路由的配置;在四台Ciscopix做VPN中,有两种方式,一种是采用一个中心的方式,另一种就是分散式的,前者,也就是说以一个PIX点为中心,其它的机器都连到本机上,在通过本机做路由;后者,则是在每一个路由上都要写出到另外三台的加密方式,这里采用的就是第一种类型;
以下,是施工图以及四个Ciscopix的详细配置:详细配置如下:中心pix1::Saved:Writtenbyenable_15at23:10:31.763UTCThuApr242003PIXVersion6.2(2)nameifethernet0outsidesecurity0nameifethernet1insidesecurity100enablepasswordNHvIO9dsDwOK8b/kencryptedpasswdNHvIO9dsDwOK8b/kencryptedhostnamepixfirewallfixupprotocolftp21fixupprotocolhttp80fixupprotocolh323h2251720fixupprotocolh323ras1718—1719fixupprotocolils389fixupprotocolrsh514fixupprotocolrtsp554fixupprotocolsmtp25fixupprotocolsqlnet1521
fixupprotocolsip5060fixupprotocolskinny2000namesaccess-list101permitip172。17.0。0255.255.0。0172.16.0.0255.255.0。0access-list101permitip172。17.5.0255.255.255。0172。17。10。0255.255。255。0access-list101permitip172。17。10。0255.255。255.0172.17.5.0255。255.255。0access—list101permitip172.16。0。0255。255。0.0172。17。0.0255.255.0.0access-list101permitip172.17.5。0255。255。255。0172.17。17.0255。255.255。0access-list101permitip172。17.10。0255.255。255。0172.17。17.0255.255。
255.0access—listhyzcpermiticmpanyanyaccess-listhyzcpermittcpanyanyaccess—listhyzcpermitudpanyanypagerlines24interfaceethernet0autointerfaceethernet1automtuoutside1500mtuinside1500ipaddressoutside192。168.0。2255。255.255。240ipaddressinside172.17.5。1255.255。255.0
ipauditinfoactionalarmipauditattackactionalarmpdmhistoryenablearptimeout14400nat(outside)10.0.0.00。0.0.000nat(inside)10。0.0.00。0。0。000
access-grouphyzcininterfaceoutsiderouteoutside0.0。0。00.0。0.0218。7.16.491routeinside172。17.0.0255。255。0。0172.17。5。201routeoutside172.17。17.0255。255.255。0192。168.0。41routeoutside172.17.16。0255.255。255.0192。168.0.11routeoutside172。16.0。0255.255。255.0192。168。0。31routeoutside172。17.18。0255.255.255.0218。7.16.521routeoutside172。17。18。64255.255.255。0218。7。16。491routeoutside218。7。248。100255.255。255。252218.7.16。491
timeoutxlate3:00:00timeoutconn1:00:00half—closed0:10:00udp0:02:00rpc0:10:00h3230:05:00sip0:30:00sip_media0:02:00timeoutuauth0:05:00absolute
aaa—serverTACACS+protocoltacacs+
aaa-serverRADIUSprotocolradiusaaa—serverLOCALprotocollocalnosnmp—serverlocationnosnmp—servercontactsnmp-servercommunitypublicnosnmp-serverenabletrapsfloodguardenablesysoptconnectionpermit-ipsecnosysoptroutednatcryptoipsectransform-setstrongesp-desesp-sha-hmaccryptomaptohyjt20ipsec-isakmpcryptomaptohyjt20matchaddress101cryptomaptohyjt20setpeer192。168。0。3cryptomaptohyjt20setpeer192.168.0。4cryptomaptohyjt20setpeer192。168.0.1
cryptomaptohyjt20settransform-setstrongcryptomaptohyjtinterfaceoutsideisakmpenableoutsideisakmpkeyciscoaddress192。168。0.3netmask255。255.255.255isakmpkeyciscoaddress192。168.0.4netmask255.255。255。255isakmpkeyciscoaddress192.168.0.1netmask255.255。255.255
isakmpidentityaddressisakmppolicy9authenticationpre—shareisakmppolicy9encryptiondesisakmppolicy9hashshaisakmppolicy9group1isakmppolicy9lifetime86400telnet218。7。16.49255。255。255.255insidetelnet172.17。5.20255。255。255.255inside
telnettimeout5sshtimeout5terminalwidth80Cryptochecksum:8982919a8bfa10ba09cddee3f2da0e6a:endpix2配置::Saved:Writtenbyenable_15at00:00:48.042UTCFriApr252003PIXVersion6。2(2)
nameifethernet0outsidesecurity0nameifethernet1insidesecurity100enablepasswordN。swjdczcTdUzgrSencrypted
passwdN.swjdczcTdUzgrSencryptedhostnameHYZCrcfixupprotocolftp21fixupprotocolhttp80
fixupprotocolh323h2251720fixupprotocolh323ras1718—1719fixupprotocolils389fixupprotocolrsh514fixupprotocolrtsp554fixupprotocolsmtp25fixupprotocolsqlnet1521fixupprotocolsip5060fixupprotocolskinny2000namesaccess—list101permitip172.17。17。0255。255。255.0172。17。10。0255.255。255。0access-list101permitip172。17。17.0255.255.255.0172.17。5.0255.255。
255.0access—listhyzcpermiticmpanyanyaccess—listhyzcpermittcpanyanyaccess-listhyzcpermitudpanyanypagerlines24interfaceethernet0autointerfaceethernet1automtuoutside1500mtuinside1500ipaddressoutside192。168.0。4255。255.255。252ipaddressinside172。17。17.254255.255。255.0
ipauditinfoactionalarmipauditattackactionalarmpdmhistoryenablearptimeout14400nat(outside)10。0。0。00。0。0.000nat(inside)0access—list101nat(inside)10.0.0。00。0。0.000routeoutside0.0.0.00.0.0.0218.7。37.51
timeoutxlate3:00:00timeoutconn1:00:00half-closed0:10:00udp0:02:00rpc0:10:00h3230:05:00sip0:30:00sip_media0:02:00timeoutuauth0:05:00absolute
aaa—serverTACACS+protocoltacacs+aaa—serverRADIUSprotocolradiusaaa—serverLOCALprotocollocalnosnmp—serverlocationnosnmp—servercontactsnmp-servercommunitypublicnosnmp—serverenabletrapsfloodguardenablesysoptconnectionpermit—ipsec
nosysoptroutednatcryptoipsectransform-setstrongesp—desesp-sha—hmaccryptomaptohyzc20ipsec—isakmpcryptomaptohyzc20matchaddress101cryptomaptohyzc20setpeer192.168.0.2cryptomaptohyzc20settransform—setstrongcryptomaptohyzcinterfaceoutsideisakmpenableoutsideisakmpkeyciscoaddress192.168。0.2netmask255。255。255。255isakmpidentityaddressisakmppolicy9authenticationpre—shareisakmppolicy9encryptiondesisakmppolicy9hashshaisakmppolicy9group1isakmppolicy9lifetime86400telnet172。17。17。253255.255。255。255insidetelnettimeout5sshtimeout5terminalwidth80Cryptochecksum:f63109daf8abcaf74a4f3b30ab01b48a:end
pix3配置::Saved:PIXVersion6.0(1)nameifethernet0outsidesecurity0nameifethernet1insidesecurity100enablepasswordX8QPBTnOSyX6X9Y9encryptedpasswdX8QPBTnOSyX6X9Y9encryptedhostnamepixfirewallfixupprotocolftp21fixupprotocolhttp80fixupprotocolh3231720fixupprotocolrsh514fixupprotocolsmtp25fixupprotocolsqlnet1521fixupprotocolsip5060
企业级防火墙选购热点
防火墙是主要的网络安全设备,一个配置良好的防火墙,能够有效地防止外来的入侵,控制进出网络的信息流向和信息包,提供使用和流量的日志和审计,隐藏内部IP地址及网络结构的细节,以及提供VPN功能等等。
对于企业网络而言,一个没有配备防火墙的网络无异于“开门揖盗”,安全性无从谈起。那么,如何选择合适的防火墙呢?本文从技术角度出发,谈谈企业级防火墙的选购要点.
防火墙种类
在选购之前,企业用户首先需要弄清防火墙的种类。目前,市场有六种基本类型的防火墙,分别是嵌入式防火墙、基于企业软件的防火墙、基于企业硬件的防火墙、SOHO软件防火墙、SOHO硬件防火墙和特殊防火墙.嵌入式防火墙:就是内嵌于路由器或交换机的防火墙。嵌入式防火墙是某些路由器的标准配置。用户也可以购买防火墙模块,安装到已有的路由器或交换机中.
嵌入式防火墙也被称为阻塞点防火墙.由于互联网使用的协议多种多样,所以不是所有的网络服务都能得到嵌入式防火墙的有效处理。嵌入式防火墙工作于IP层,所以无法保护网络免受病毒、蠕虫和特洛伊木马程序等来自应用层的威胁.就本质而言,嵌入式防火墙常常是无监控状态的,它在传递信息包时并不考虑以前的连接状态。基于软件的防火墙:指能够安装在操作系统和硬件平台上的防火墙软件包.如果用户的服务器装有企业级操作系统,购买基于软件的防火墙则是合理的选择。如果用户是一家小企业,并且想把防火墙与应用服务器(如网站服务器)结合起来,添加一个基于软件的防火墙就是合理之举。基于硬件的防火墙:多捆绑于“交钥匙”系统(Turnkeysystem)中,是一个已经装有软件的硬件设备。基于硬件的防火墙也分为家庭办公型和企业型两种款式。特殊防火墙:侧重于某一应用的防火墙产品.目前,市场上有一类防火墙是专门为过滤内容而设计的,MailMarshal和WebMarshal就是侧重于消息发送与内容过滤的特殊防火墙。OKENA的StormWatch虽然没有标明是防火墙,但也具有防火墙类规则和应用防范禁闭功能。
防火墙“软”与“硬"的折衷
一般说来,软件防火墙具有比硬件防火墙更灵活的性能,但是安装软件防火墙需要用户选择硬件平台和操作系统。而硬件防火墙经过厂商的预先包装,启动及运作要比软件防火墙快得多。
购买硬件设备防火墙,往往意味着获得了一个捆绑在硬盒子里的“交钥匙”系统。如果用户对防火墙运行的硬件平台没有特殊要求,硬件防火墙则是这类用户理想的选择。另一个适用硬件防火墙的场合是,用户希望隔离防火墙服务,不把防火墙安装在其他应用中。
防火墙的功能与性能考虑
用户节点数在选购防火墙时,用户需要考虑保护的节点数。从最简单的分类上来说,要加
以保护的结点数决定了采用企业级防火墙还是采用SOHO防火墙。大多数情况下,SOHO防火墙能够应付50个以内的用户连接请求,如果需要保护50个以上用户,就必须采用企业防火墙.
企业防火墙往往具有管理多个防火墙的功能,即企业防火墙能够与中央管理控制台进行通信。生产企业防火墙的供应商大都提供作为选件的中央管理控制台。此外,安全信息管理(SIM)设备也可以作为第三方管理控制台使用.大多数防火墙都标明了用户连接数。NAT
如今,几乎所有防火墙都捆绑了网络地址转换(NAT)功能.NAT使用户能够把专用或非法IP地址转换成合法的公共地址。NAT结构可分为四类:一对一寻址、多对一寻址、一对多寻址和多对多寻址。
一对一寻址是NAT最基本的形式,可以把内部IP地址映射到不同的外部公共IP地址。多对一寻址意味着多个内部IP地址可以映射到一个外部IP地址,如果用户有一个内部DHCP作用域,并想把它映射到一个外部IP地址,建议这类用户采用多对一寻址。多对多寻址将其他网络上几组不同的IP地址映射成内部或外部的IP地址。如果用户准备把一组DHCP作用域映射到另一组DHCP作用域,这就需要采用多对多NAT寻址。一对多寻址则使用于需要把一个IP地址分成两个地址的负载均衡场合。如果用户需要部署一个庞大、复杂的电信级网络,这就需要使用NAT的高级特性。
对简单网络而言,一对一NAT功能就已足够。VPN
大部分企业级防火墙具有VPN功能。这类防火墙通常被用作VPN的端点。VPN能够确保隐私和数据的完整性.用户要牢记VPN必须有两个端点。如果用户没有第二个端点连接至VPN,就没有购买具有VPN功能的防火墙的必要。VPN通过加密隧道发送数据,从而把数据与外界隔离开来.加密过程需要额外的处理能力,如果用户准备为电信级网络建立VPN,这就需要捆绑具有密码加速器或允许添加密码加速器的VPN防火墙。捆绑密码加速器是为了提高VPN的速度。日志功能
日志功能是防火墙的重要特性之一。为更好地管理网络,用户最好选购能够记录多种事件的日志、过滤多种事件的防火墙。
在防火墙的日志功能方面,要注意的包括,所选购的防火墙日志事件的多少和过滤器的多少.过滤器能够使用户以合理、易懂的方式察看不同的事件。用户应该能够根据IP地址、网络号、连接类型、域名和日期时间等基本过滤器过滤事件。
Syslog格式是最常用的日志格式,用户所选购的防火墙最好支持Syslog格式。防火墙规则
防火墙规则是防火墙得以工作的核心,其则对防火墙允许哪些类型的流量进出网络作出规定。
对企业级用户而言,要注意的是,防火墙是否支持自动次序独立规则。一般说来,防火墙上的规则需要排成非常特定的次序,否则无法正常工作。一些防火墙具有自动给规则排列次序的特性.具有这一特性的防火墙最好同时具有开启及关闭该特性的功能.自动次序独立规则制订是一个出色的特性,它能帮助用户合理给规则排列次序.
但是,也必须清楚地看到,在制订防火墙规则时,人的作用是最重要的.
小结
选购企业防火墙,用户需要了解的除上述之外还需要认真研究一下防火墙的可用性、内容过滤器以及支持防病毒功能的特性.当然,供应商的服务能力也是必须注意的,供应商或厂商是否提供电话支持服务以及服务的收费情况等,这是保证企业网络不间断运行的重要条件.
增强路由器安全的十个技巧很多网络管理员还没有认识到他们的路由器能够成为攻击的热点,路由器操作系统同网络操作系统一样容易受到黑客的攻击。大多数中小企业没有雇佣路由器工程师,也没有把这项功能当成一件必须要做的事情外包出去。因此,网络管理员和经理人既不十分了解也没有时间去保证路由器的安全。下面是保证路由器安全的十个基本的技巧。
1.更新你的路由器操作系统:就像网络操作系统一样,路由器操作系统也需要更新,以便纠正编程错误、软件瑕疵和缓存溢出的问题。要经常向你的路由器厂商查询当前的更新和操作系统的版本。
2。修改默认的口令:据卡内基梅隆大学的计算机应急反应小组称,80%的安全事件都是由于较弱或者默认的口令引起的.避免使用普通的口令,并且使用大小写字母混合的方式作为更强大的口令规则。
3.禁用HTTP设置和SNMP(简单网络管理协议):你的路由器的HTTP设置部分对于一个繁忙的网络管理员来说是很容易设置的。但是,这对路由器来说也是一个安全问题。如果你的路由器有一个命令行设置,禁用HTTP方式并且使用这种设置方式。如果你没有使用你的路由器上的SNMP,那么你就不需要启用这个功能。思科路由器存在一个容易遭受GRE隧道攻击的SNMP安全漏洞。
4。封锁ICMP(互联网控制消息协议)ping请求:ping和其它ICMP功能对于网络管理员和黑客都是非常有用的工具。黑客能够利用你的路由器上启用的ICMP功能找出可用来攻击你的网络的信息.
5.禁用来自互联网的telnet命令:在大多数情况下,你不需要来自互联网接口的主动的telnet会话.如果从内部访问你的路由器设置会更安全一些。
6。禁用IP定向广播:IP定向广播能够允许对你的设备实施拒绝服务攻击.一台路由器的内存和cpu难以承受太多的请求。这种结果会导致缓存溢出。
7。禁用IP路由和IP重新定向:重新定向允许数据包从一个接口进来然后从另一个接口出去。你不需要把精心设计的数据包重新定向到专用的内部网路。
8。包过滤:包过滤仅传递你允许进入你的网络的那种数据包。许多公司仅允许
使用80端口(HTTP)和110/25端口(电子邮件)。此外,你可以封锁和允许IP地址和范围.
9。审查安全记录:通过简单地利用一些时间审查你的记录文件,你会看到明显的攻击方式,甚至安全漏洞。你将为你经历了如此多的攻击感到惊奇。
10。不必要的服务:永远禁用不必要的服务,无论是路由器、服务器和工作站上的不必要的服务都要禁用。思科的设备通过网络操作系统默认地提供一些小的服务,如echo(回波),chargen(字符发生器协议)和discard(抛弃协议).这些服务,特别是它们的UDP服务,很少用于合法的目的。但是,这些服务能够用来实施拒绝服务攻击和其它攻击。包过滤可以防止这些攻击.
启明星辰银行安全防御方案
一、需求背景某市城市商业银行已经实施了初步的安全建设,目前单独部署了2台防火墙和
单机版防病毒,但已不能满足该商业银行业务发展及上级监管部门对信息安全提出的更高要求.经过漏洞评估,该商业银行发现生产网(包括核心服务器)与互联网的隔离不足,存在大量高危风险漏洞,且被攻击者利用并获得系统控制权限的可能性极大,为了加强信息安全保障,用户决定进行网络安全二期改造。
根据已经实施的风险评估,确认当前较为紧迫的安全需求包括:安全域调整划分单独的核心服务器区域,将原来统一部署在生产网核心交换机的应用服务器和数据库服务器等割接至新增的核心服务器交换机,该交换机接入生产网核心交换机,将核心服务器区置于单个VLAN中,同时用VLAN将生产网和办公网实现隔离。内外网逻辑隔离在生产网核与互联网之间部署UTM(统一威胁管理)设备,使其工作在透明模式,通过合理配置UTM的访问控制策略可降低无法修补的设备漏洞所造成的威胁,并将使用存在漏洞服务的终端控制在一定的范围内,对其访问行为进行日志记录.核心服务器保护该市城市商业银行业务系统均为WEB应用业务,通过之前进行的风险评估,确认这些WEB应用服务器均具有SQL注入漏洞,被攻击的可能性极大,威胁可能来自外部终端和内部终端,需要重点保护,因此需要部署一台可精确阻断SQL注入攻击的防御设备。二、实施方案通过对多家产品的横向测试,最终该市城市商业银行选择了启明星辰的天清汉马USG一体化安全网关产品作为内外网隔离设备,选择了启明星辰的天清IPS产品作为核心服务器保护设备,具体产品部署方案如下:
该方案在建设之初用户对网络进行了全面的风险评估,因此建设具有很强的针对性。来自互联网的威胁包括:网络入侵、病毒传播、非授权访问控制、资源滥用、非法言论传播等,天清汉马USG一体化安全网关具有功能全、性能高、应用简单等特点,适用于城市商业银行的内外网隔离需求。
城市商业银行网络中的核心服务器包含了最重要的业务系统以及数据资源,而针对服务器群的威胁主要是应用层威胁,具体来讲主要是针对WEB业务的应用威胁。目前针对WEB系统破坏力最强的威胁就是SQL注入,通过SQL注入入侵者可以获取WEB应用系统的完整权限,可以任意修改和窃取敏感数据,对城市商业银行来讲彻底屏蔽SQL注入威胁至关重要。而目前可选择的安全产品之中,只有启明星辰的天清IPS因为采用了基于原理的SQL注入检测与阻断技术,可以有效识别并阻断SQL注入攻击,因此城市商业银行选择了天清IPS作为核心服务器保护设备。产品上线后,通过天清IPS日志系统可以看出,有多起SQL注入攻击被成功阻断,用户信息系统的安全性得到了极大的提高.
神码基金公司信息安全解决方案
用户现状及存在问题●基金行业使用多运营商提供的链路,但不能对多链路进行有效化的智能化管理;●不同运营商链路互联互通问题、使最终客户访问网上交易平台和门户网站时响应缓慢;●网上交易平台和门户网站都使用多台服务器,不能对多台服务器进行有效的流量管理;●大量垃圾邮件的不断涌入企业邮件系统,严重影响了企业的日常运转;
●不能对WEB浏览内容安全进行控制,导致IT维护量大、生产效率低和企业法律风险大。需求描述为了适应新的业务发展需求,解决原有网络潜在的问题,具体需求如下:●多链路负载均衡为了保证出口链路的高可用性和访问效率,计划拥有多条ISP接入线路。多链路负载均衡设备能够提供独具特色的解决方案,不但能够充分利用多条链路(双向流量按照预设的算法分担到不同的链路上,发生链路不通的情况下,能够无缝切换到可用链路上);而且可以根据对不同链路的侦测结果,将最快速的链路提供给外部用户进行响应,从而解决目前广泛存在的多个ISP之间的互联互通问题。●应用服务器负载均衡通过负载均衡设备,使访问应用服务器的流量得以合理分配,同时保证服务器发生故障时可以进行无缝切换,提升应用服务器的可用性和可靠性.●对员工访问WEB进行有效控制,对不合适的访问内容进行限制或禁止,同时需要对企业访问互联网进行加速.●针对垃圾邮件肆虐并严重干扰人员工作、甚至造成严重损失的现状,需要考虑对垃圾邮件过滤和防御,防范垃圾邮件的技术需要有较高性能,在防范垃圾邮件的同时也需要防范病毒邮件对邮件系统的影响.解决方案1、方案设计拓朴图基金行业系统安全整体设计方案
2、方案描述整体安全解决方案具备很强的安全和可靠性:●F5主备系统是唯一可以提供毫秒级切换的解决方案;●BlueCoat可以支持bypass功能,当发生硬件故障时两块物理网卡可以直通;●IronPort的AsyncOS?专为邮件设计的高可用性操作系统.可以最高支持单台10000个并发连接,极大保证的邮件传递的安全和速度。●在Internet出口布署——主备F5LC6400,可全面监控和检测两个运营商的6条链路,对多条链路进行智能化的管理和流量分配,保证有5条链路以下发生故障时的无缝切换,同时可测试哪条链路可以为用户提供最佳服务,然后将该用户引导
至此链路,从而解决目前广泛存在的多个ISP之间的互联互通问题,确保他们能得到最快服务及最高质量的连接。通过BlueCoatSG代理服务器加快使用internet的响应,可提供更快的Web页面传递速度,BlueCoat布署在网关处,BlueCoat设备可以了解到用户如何使用公司提供的网络资源的,BlueCoat可集成的内容过滤产品,通过限制用户访问不合适的内容,并强制执行企业互联网访问策略,以使网络资源应用在和业务相关的工作上,防止影响生产力或给企业带来法律责任的滥用网络的情况发生。在交易服务器和门户网站服务器前端分别布署主备的F5LTM,可以保证客户的请求被均衡的分配到不同的能正常提供服务的服务器上。同时可以通过F5灵活的扩展方式对服务器进行SSL压缩和加速,真正保证重要的服务器资料安全、快速和高可用。IronPort邮件安全网关邮件服务器位于相同的网络中,采用的旁路连接方式,对现有的网络结构没有影响,IronPort使用SenderBase名誉得分过滤、深层内容过滤和基于上下文分析三大技术防止垃圾邮件,IronPort全球独有的病毒爆发预防技术,可以第一时间防止大规模的新病毒爆发,从而保证客户邮件系统的安全.3、方案特点:F5是应用交付网络(ADN)的领军厂商,F5应用交付架构是专门为优化业务信息与使用者之间的连接而设计的架构式方法从而实现最佳的用户体验——快速,高可用,安全。
BlueCoatSystems是业界唯一一家完全致力于提供全面的、安全的互联网访问控制和安全保护解决方案的公司.BlueCoatSystems产品能够为用户提供一个灵活的、可扩展的平台,而且便于安装、配置和维护.BlueCoat专用设备提供的强大的互联网访问代理功能、缓存功能、策略控制功能,能最佳满足客户对上网安全和速度的双重需要。
IronPort公司是全球邮件安全网关的技术领先者,IronPortSystemAsyncOS是一个全新的软件架构,专门为解决并行通讯的瓶颈和档案队列的限制而开发,AsyncOS的高并行线程模式能智能的分配系统资源以应付因特网通信的瓶颈问题。IronPort在垃圾邮件和病毒的防护领域,具有极大的领先技术优势,IronPort拥有世界上最高性能的网关平台和最有效的两层垃圾控制技术,为流出和流入的邮件提供强大的动力和保护。
方案实施效果通过BlueCoat领先的缓存专用设备改善互联网访问性能,对企业内所有用户浏览互联网的行为进行管理和控制,消除了大部分互联网带来的内网安全隐患并减轻了内网维护的工作量,极大的保证了内网用户使用Internet的速度和安全的双重需要;IronPort反垃圾邮件使垃圾邮件的被阻断率大大超过了预期,同时大大便捷了管理人员的工作;F5本地流量管理和F5链路控制器极大提高了基金核心交易平台和门户网站的安全、快速和高可用性。该方案在保卫基金信息安全的同时,给如火如荼的基金市场带来了一剂强心剂!
安天校园网解决方案校园网结构层次复杂,终端节点基数巨大,因病毒引起的出口瘫痪和基层崩溃事故时有发生,由于校园网在规模、管理、需求上均有鲜明的自身特色,因此必须有量身定做的安全解决方案。目前中国主流高校的校园网基本都成长为千兆甚至万兆核心带宽,节点过万的大型网络,加之各学院、各部门信息建设分割等诸多因素,使校园网成为了一个典型的由各院系分散建设、由网络中心集中运维的尴尬局面,整个校园网络的构成一个准复杂巨系统,网络安全的可管理性呈几何级数趋势下降。
校园网管理主要面临的两大任务是网络运维的保障和实体节点的保障.从网络运维的角度来说,由于校园网普遍达到百兆甚至千兆到桌面,同时桌面节点通过2-3级交换设备级联就到达了核心层甚至出口,因此内部感染节点持续扫描、攻击等行为,将给核心交换设备或者出口设备带来强大的压力,随着感染台数的增加,这种压力会被不断倍增,并迅速超越了上层网络设备的吞吐量和连接处理能力,这就是所谓“漏斗效应”。因此,对于校园网络来说,大规模蠕虫爆发时,造成瘫痪的并不是来自网络外部扫描,而是由于内部感染节点的高频度、大流量的集中扫描,迅速导致各层网络设备的性能和有效带宽的急剧下降,带来下列问题:1、基层瘫痪:大量网络广播造成基层交换设备和汇聚设备瘫痪,包括ARP欺骗带来的局部瘫痪。2、出口瘫痪:大量对外连接请求导致出口设备(如路由器、防火墙等)的连接数被占死,导致其他用户无法使用。3、核心层瘫痪:网络核心层或者出口流量基本被病毒扫描流量占据.从实体节点的角度来说,校园网内有大量的承担信息、教学、科研工作的服务器和相关信息系统,同时也有上万台为师生和工作人员提供服务的终端节点。对于信息服务器群组来说,其面临的攻击威胁大于普通的桌面系统,但是目前的情况是市面上的相关安全产品并没有专门为服务器进行特别安全设置,依然采用通终端机器一样的保护级别。而对于数以万计的终端用户节点来讲,它们由于基础量大,用户的应用水平千差万别,如果不能进行有效地保护,将会产生大量离散不可控点,使整个网络的安全失控.安天解决方案安天校园网解决方案的出发点是以“统一监控、分布防御、有效相应、集中管理”为指导思想,结合校园网实际情况综合分析,关注不同环节承担的任务和面临的安全压力。校园网的出口和核心层,是网络的核心环节,网络吞吐量大、承担关键的通信服务,因此,需要有效的运维保障能力。由于出口和核心层,在内部节点遭到病毒感染的情况下,容易因漏斗效应发生严重的效率问题,甚至崩溃。因此,第一时间对影响网络整体效率的问题节点迅速准确的定位、定性是问题的关键.需要安天VDS网络病毒监控系统提供全景安全监控视图,和实时化病毒定位信息。VDS旁路工作,不影响网络效率,可以形成病毒趋势和定位的全景视图,能够为网管实施下一步的安全策略,提供有力的数据支持。对于象服务器区这样的关键节点群,主要承担着为整个网络提供信息服务的任务,是黑客攻击的主要目标。由于校园网内服务器众多,网管人员数量相对较少,因此需要管理方便的自动化保护产品.安天主机保护系统服务器版则专为此需求设计。同时安天还为关键工作站设计了安天主机保护系统工作站版.校园内大量的终端节点由于数量众多,基本上处于不可控或准可控状态,很容易成为病毒传播源,影响网络效率和以及其他用户的安全性。而由于校园网内用户层次复杂,特别是有大量学生的终端系统完全依赖个人的安全意识和水平,而学生自己多数不会购买安全产品,成为校园网安全保障的最大压力。因此需要一种低成
本、高自动化、适应复杂软硬件环境的解决方案,安天主机保护系统桌面用户版以智能、兼容、轻载的设计思想可以完成上述任务。
安天主机保护系统针对不同类型节点的安全需求设计,提供文件层、操作系统层、网络层的多层次保护,能够大幅度提高这些关键节点的安全性。同时各层次产品都够以与现有反病毒产品互补的形式部署在系统中,不产生冲突,且资源占用率低,能够增强系统的安全系数。
另外,安天针对网管人员设计的网管工具箱系统,能够帮助网管深层挖掘系统中存在的安全隐患,使网管拥有比用户更专业的处理手段。
网络的离散会使安全问题不收敛,而产品的离散同样也会带来这种问题,安天安全管理中心能够整体管理部署在网络中的安全产品及设备,使产品之间能够形成有效联动,很好地解决了产品离散的问题。
方案部署
在校园网的总出口部署网络病毒监控系统VDS1000/VDS2500,在网络内部关键网段部署VDS100系列,能够对全网的病毒情况进行全局监控和对局部网络形成更加细粒度的安全视图,快速定位病毒源,随时了解网络中的安全状况。
在服务器群计算机上部署安天主机保护系统服务器版,在关键工作站部署安天主机保护系统工作站版,对大量基本用户使用安天解决方案中为海量节点提供安天主机保护系统桌面版无限授权。能够对具体的计算机节点进行安全防护、配置优化、病毒查杀等工作,有效地扼制病毒泛滥,提升系统的安全性.
在解决方案中为网管人员提供了网管工具箱,对主机系统异常情况进行深度排查、以及修复处理.
上述安全环节,通过安天安全管理中心ASOC进行有效的管理,所有部署的产品能够有机地组织在一起,能够提供给网管人员更加全面的统计信息,
仅仅依靠技术化的的安全体系还不能完全解决校园网的安全问题,在一些突发的安全事件来临时,还需要一支专业的队伍进行及时响应,安天的CERT小组有着为许多行业用户服务的丰富经验,关键时候能够利用移动式网络斩断设备、勘查工具箱等专业设备进行快速响应,解决突发安全事件.
网络入侵检测解决方案
1.网络型入侵侦测系统入侵检测作为安全侦测的最后一道防线,能提供安全审计、监视、攻击识别和反攻击等多项功能,对内部攻击、外部攻击和误操作进行实时监控,是其它安全措施的必要补充,在网络安全防御中起到了不可替代的作用。体系结构系统采用引擎/控制台结构,引擎在网络中各个关键点部署,通过网络和中央控制台交换信息。网络引擎部分运行于安全操作系统OpenBSD之上,负责网络数据的获取、分析、检测,对警报进行过滤和实时响应,并发送给控制台进行显示和记录;控制台运行于Windows平台,负责警报信息的及时显示、记录、查阅,支持用户定制检测、响应策略和控制网络引擎。主要功能“天眼"入侵侦测系统-网络型具备一般NIDS的主要功能,同时针对NIDS面临的威胁和NIDS发展方向开发出多项具有针对性的新功能,此外该系统对于国内外流行的防火墙包括本公司长城防火墙提供支持,具有较完备的检测、响应、互动能力,是一款高效实用的入侵防范工具,它的具体功能如下:入侵侦测功能能实时识别各种基于网络的攻击及其变形,包括DOS攻击、CGI攻击、溢出攻击、后门探测和活动等.目前可以检测900余种攻击行为及其变形。警报过滤功能能根据定制的条件,过滤重复警报事件,减轻传输与响应的压力,同时还能保证警报信息不被遗。实时响应功能根据用户定义,警报事件在经过系统过滤后进行及时响应,包括实时切断连接会话、重新配置防火墙(支持中科网威“长城"防火墙、CheckPointFireWall—1和天融信防火墙)彻底屏蔽攻击、给管理员发送电子邮件、发送SNMPTrap报警、控制台实时显示、数据库记录等等。系统策略定制功能用户可以通过中央控制台详细定制系统策略、入侵侦测规则、警报过滤及响应规则等,还可以根据被保护平台、网络环境等信息选择预定义的策略,从而使系统能够真正适应具体环境的安全需求。引擎管理功能管理员在中央控制台可以直接控制各个引擎的行为,包括启动、停止、添加、删除引擎,也可以按照引擎查看、删除、查询实时警报.电子邮件跟踪监视功能对于网络上传输的电子邮件,可根据地址、收信人、发信人以及其他条件定制监视
对象,系统自动记录邮件内容,支持中文和其他各种编码,支持附件.此项功能根据用户需求以专用工具提供。系统需求“天眼"入侵侦测系统-网络型包含两部分:网络引擎和控制台。网络引擎:以工控机形式直接提供。控制台:•;软件环境:WindowsNT、Windows2000或更高的版本西文Windows要求用户加装中文环境,如:RichWinforNT等汉字系统正确配置TCP/IP网络,要求安装运行用户具备管理员权限。•硬件环境:586或更高主频的PC计算机64MB或更高容量的内存8GB以上空余硬盘空间增加软件及硬件增加软件及硬件地点数量“天眼”引擎(硬件)被监控服务器前端交换机1监控台内网管理工作站12。主机型入侵检测系统“天眼"入侵侦测系统-主机型是由北京中科网威信息技术有限公司根据市场和用户的实际需求,独立研发的一款辅助网络管理员加大安全管理力度和广度的监控系统.它是网络入侵检测系统的合理补充,尤其适合对局域网内关键主机涉及的可疑网络行为进行监控和审计。整个系统采用Client/Server结构,分为控制台和主机引擎两部分。控制台主要对主机引擎进行集中管理,包括:监控策略下发,报警信息处理、检索和报表,以及所有受监控主机状态的反馈等。主机引擎是被监控主机上后台运行的代理程序,它主要负责采集系统关注的信息(如:网络连接和人机界面信息等),并根据控制台设置的策略进行相应的报警和响应。主要功能作为常规网络入侵检测系统的辅助工具,“天眼”入侵侦测系统-主机型在了解国内网络用户实际需求的基础上,将监控信息聚焦于几个实用的角度,通过不断地改进和优化,已经成为一款高效实用的入侵防范工具,其主要功能如下:主机拨号监控功能电话拨号上网可以轻易地从企业的内部网络撕开一条通向外部的秘密通道,绕过企业防火墙、基于网络的入侵检测系统的监控,对企业内部局域网的安全构成极大的影响。主机引擎可以监视宿主主机的所有拨号行为,并可以根据控制台发布的合法拨号号码和时间段规则,进行报警和切断的功能.主机网络连接监视功能系统可以实时查看被监视主机所有的TCP、UDP和网络共享连接信息,并可以方便地将指定或可疑的连接直接加入非法或合法规则列表中.主机人机界面监视功能
当管理员发现内部主机正在进行可疑网络行为时,有时需要了解该主机更详细的状态信息.报警策略定制功能用户可以通过控制台定制系统报警策略,具体包括:合法拨号号码和拨号时间段规则、非法TCP和UDP连接规则、合法网络共享连接规则等。引擎集中管理功能管理员在控制台可以集中管理各个引擎,包括:搜索、添加、删除引擎,此外,可以查看引擎的信息(如本地用户名、操作系统版本、MAC地址、连接模式等),并且可以查看被监控主机的运行状态,可以及时发现主机引擎被非法异常终止的情况.警报信息的报表功能系统提供了非常简便的报警信息统计和报表工具.用户可以根据各种可选条件,例如:报警类别、引擎IP地址、事件类型、警报产生时间等等。
企业需要什么样的IDS测试IDS的几个性能指标通常,对企业网安全性的要求越高,需要采取的防范措施就越严密.那么,对于现
实中的企业网,必不可少的防护措施有哪些?
首先,我们需要选用防火墙作为防御非法入侵的大门,通过规则定义,我们告诉防火墙和路由器:符合某些条件的信息可以被放行,不符合某些条件的信息需要被拒绝。同时,我们还可以使用PKI加密认证和VPN通道技术,让“合法”的信息到达目的地。
其次,对服务器系统进行加固,提高安全防护水平。对系统的安全加固是个长期的工作,用户需要随时进行漏洞检查,做到随时发现随时填补。
第三,选用优秀的入侵检测系统(IntrusionDetectionSystem,IDS)。在安全防护系统中,若不良来访者被允许访问,它会对企业网做出令网络管理者无法控制的事情,如果系统配备了IDS,这种破坏性行为将被抑制。我们知道,网络总是要提供服务的,对于一些常用的服务如浏览和E-mail收发等,防火墙只做到允许或者拒绝各种各样访问者访问这些服务,无法判定具有攻击行为的访问是否会摧毁防火墙.这就好像门卫难以判定每个来访者是办事者还是偷窃者一样。如果墙角(或其他什么位置)安装了微型摄像机,能够监视来访者的一举一动,保安人员便可以根据来访者的行为及时发现不法分子,及时报警,确保办公与居住人员的安全。
IDS在国内已经出现一段时间了,它是网络安全防护体系的重要组成部分.目前,它在国内的应用还不够广泛,人们还没有充分利用这个利器更好地保护企业网。作为大多数技术人员来说,介绍IDS的资料相对较少,而市场上类似的产品却多如牛毛,如何正确选择适合各自企业应用的产品,是每个人都关心的话题。本文将从使用者的角度介绍选择IDS的几个关键技术点,希望能为用户的选购给予帮助.
需要提醒用户注意的是,在IDS方面做得出色的产品一定很实用,但并
不能说它就是一个优秀的安全产品,因为除此之外,它还应该附带很多附属功能,即让用户感觉简单、好用。作为一个真正的IDS产品,其主要功能应包括以下几个方面。
*检测入侵。*远程管理。*抗欺骗能力。*自身安全性。
下面,我们将分别对这4个方面进行分析。
一、检测入侵
IDS最主要的功能是检测非法入侵。能够智能地报告入侵者的非法行为是检验IDS性能优劣的首要条件。用户安装上IDS后,在缺省情况下,应该对各个服务可能遇到的攻击进行告警检测。我们可以选择一些破坏性比较大的攻击,比如远程溢出攻击(只要攻击成功,即可全面控制计算机系统),用它对IDS进行一下测试。面对这种攻击,如果IDS产品没有反应,那么附加功能再多,也是一个检测非法入侵能力低下的产品。
二、远程管理
IDS的机制是监视网络上的流量,如果所要监视的网络不止一个Hub或交换机,就要在每个Hub或交换机上安装网络引擎。这样我们就需要一个控制台和日志分析程序来管理和分析多个网络引擎及它们产生的告警。用户有时希望坐在办公室中实时查看和管理机房里的IDS,作为产品提供商,应该满足用户的这种需求,为用户提供远程管理功能,只是需要注意把这个功能和IDS的另一个功能(即远程告警)区分开。事实上,IDS还应该能够支持各种各样的远程告警方式,像打电话、发邮件等等。不过这种交流是单向的,用户只能被动地得到信息,而不能主动控制远程的网络引擎。
三、抗欺骗能力
IDS的目的是抵制入侵者,然而入侵者会想方设法逃避它。逃避IDS的方法很多,总结起来可以分成两大类:让IDS漏报和让IDS误报。
1.IDS误报
所谓IDS误报是指:明明没有这个攻击,但是入侵者让IDS拼命告警,使不断增长的告警日志塞满硬盘,以致翻滚的告警屏幕把管理者搞得眼花缭乱。这
样,真正的攻击就可以夹杂在数不清的虚假告警中蒙混过关了.
2001年3月,国外网络安全产品评测人员CoretezGiovanni发现另外一种让IDS误报的入侵:快速地产生告警信息,抑制IDS的反应速度,以致使IDS失去反应能力,甚至让系统出现死机现象.当时,Coretez写了一个名为Stick的程序,作为IDS产品的测试用例.它的作用是:可以读入Snort(一种免费的IDS,其下载网址为http://www。snort.org)的规则,然后按照Snort的规则组包。由于Snort的规则涵盖了绝大多数的攻击种类,所以IDS一旦匹配了按Snort规则产生的攻击报文,即可发出告警信息。对于比较有名的IDS像ISSRealsecure和Snort,Stick都能给它们造成30s以上的停顿.所以,对于新出现的IDS及其造成的危害,用户绝不能忽视。另悉,ISS针对新型IDS误报入侵已发布了补丁程序,详见http://www。iss。net/db_data/xpu/RSNS%202。2。php。
在发现新型IDS误报入侵方面,Stick功不可没。为了更好地测试用户选用的IDS产品,用户不妨从http://www。securityfocus.com/frames/?content=/templates/tools.html%3Fid%3D1974上下载Stick,其编译起来并不麻烦,只需查看帮助即可。需要指出的是,绝大多数的IDS都是从Snort得到众多借鉴的,建议用户试用一下Stick。
2.IDS漏报
和IDS误报相比,漏报其实更危险。采用IDS技术就是为了在发现入侵时给出告警信息。如果入侵者入侵成功而IDS尚未告警,IDS便失去存在的意义。笔者从国外网站上看到一篇文章,它对利用TCP连接特点让IDS做漏报进行了详细的描述,同时还给出一些实现漏报的办法,给笔者提供了一种新思路:IDS想要防止欺骗,就要尽可能地模仿TCP/IP栈的实现。但是从效率和实现的复杂性考虑,IDS并不能很容易地做到这一点。
这种方法比较适合智能化的IDS,好的IDS一般为了减少误报,会像现在一些高端的防火墙一样基于状态进行判断,而不是根据单个的报文进行判断。这样上面谈到的Stick对这种IDS一般不起作用。但是用户应该注意到,这种简单的IDS只是字符串匹配,一旦匹配成功,即可报警。
2001年4月,又出了一个让IDS漏报的程序ADMmutate,据说它可以动态改变Shellcode.本来IDS依靠提取公开的溢出程序的特征码来报警,特征码变了以后,IDS就报不出来了.但是程序还一样起作用,服务器一样被黑.这个程序的作者是ktwo(http://www.ktwo.ca),我们可以从http://www.ktwo.ca/c/ADMmutate0.7。3.tar。gz上下载该程序。用户不妨也试试它,以检测自己的IDS产品性能。不过,ADMmutate只能对依靠检查字符串匹配告警的IDS起作用,如果IDS还依靠长度和可打印字符等综合指标,则ADMmutate将很容易被IDS监控到。
IDS的实现总是在漏报和误报中徘徊,漏报率降低了,误报率就会提高;同
样误报率降低了,漏报率就会提高。一般地,IDS产品会在两者中取一个折衷,并且能够进行调整,以适应不同的网络环境。
四、自身安全性
毫无疑问,IDS程序本身的健壮性是衡量IDS系统好坏的另一个指标。如上所述,Stick程序能让IDS停止响应,该IDS的健壮性就值得怀疑。
IDS的健壮性主要体现在两个方面:一是程序本身在各种网络环境下都能正常工作;二是程序各个模块之间的通信能够不被破坏,不可仿冒。IDS用于各个模块间远程通信和控制,如果通信被假冒,比如假冒一个停止远程探测器的命令或者假冒告警信息,都是釜底抽薪的狠招.这就需要用户在模块间的通信过程中引入加密和认证的机制,并且这个加密和认证的机制的健壮性要经受过考验。如果模块间的通信被切断,则需要良好的恢复重传机制。告警信息暂时没有发送出去,并不是丢弃,而是要本地保存,在适当的时候再发送。
从上面的描述中我们可以看到,没有IDS的安全防护体系是不完善的。希望本文可以帮助大家了解IDS,在网络安全体系中使用IDS增强网络的坚固性,并为用户选购IDS产品提供参考。
关于IDS
IDS采用分布式结构,内含Probe(又称探测器或探针),用于收集信息,一旦发现非法入侵便告警。根据其所处的位置不同,Probe又可以分成基于主机的和基于网络的.基于主机的Probe位于希望监控的服务器上,通过收集服务器的信息来进行分析告警。基于网络的Probe位于希望监控服务器的同一个Hub或交换机上,通过监听网络上到达服务器的报文来分析告警.
基于主机的Probe收集的信息准确,但是占用服务器资源,尤其在繁忙的服务器上会降低服务器性能。由于它与操作系统相关,如果所用IDS产品不支持操作系统,就不能安装基于主机的IDS。
基于网络的Probe收集的信息没有基于主机的Probe准确,并且因为使用了监听功能,对于Hub可以正常使用,对于交换机需要交换机厂商支持。基于网络的Probe一般不影响服务器的正常工作,还可以监控多个服务器的工作.
IDS还含有一个集中监控信息的“控制台”,其作用是接收所有Probe的告警,远程控制所有的Probe.控制台端的日志分析模块会把Probe的告警信息综合后集中分析,生成入侵分析报告。控制台端的响应模块会根据不同的响应策略对不同的告警采取不同的行动。连接控制台和Probe的是通信模块.
东软安全助力武汉信用风险管理信息系统背景介绍:个人征信业务是通过建立联合征信的方式,收集、整合分散在社会各方面的信
用信息(数据),以市场化的运作模式和公正、独立的第三方立场,为社会提供信息产品与服务,解决社会经济交往中信息不对称问题,降低经济运行成本,规范市场经济秩序,从而推动社会信用体系的建立。
项目详细描述武汉市个人征信系统可以采集分布在武汉市政府部门、金融机构、商业机构、教育机构以及其他机构中的与个人信用相关的信息,并加入到武汉市个人征信数据库中,然后根据客户查询请求,生成《个人信用报告》,对客户提供《个人信用报告》的查询服务。如下图所示:
武汉个人征信项目是武汉市07年重点建设项目,并且武汉市全国个人征信业务若干试点城市之一。未来征信业务还将覆盖到武汉市所有工商注册企业信用记录.初步建立完整的社会信用体系。其意义十分重大,因此对于征信业务数据的机密性、完整性、可用性等安全防护要求十分严格.
武汉征信项目是全新项目,没有前期经验可以借鉴,本次建设内容是建立起高起点的数据中心平台:涵盖主机系统、存储系统、网络平台、安全系统均需整合,统一规划建设。
第一阶段:容纳1000万人10个数据提供单位,在线查询系统300人同时在线交易,响应时间不高于3秒;一期工程考虑每年对外提供100万人次信用报告查询服务;未来扩展考虑每年对外提供1000万人次信用报告查询服务;同时考虑到企业征信服务需求;
第二阶段:1000万人50个数据提供单位,在线查询系统1000人同时在线交易,响应时间不高于5秒;
第三阶段:8000万人80个数据提供单位,在线查询系统要求能提供1000人同时在线交易能力。
本次建设需完全满足第一阶段需求,而且要求可以通过扩展平滑过度,以满足第二、三阶段的业务需求。
可以看到,本次建设对安全设备性能、扩展性、高可靠性都有着相当高的要求。本期部署的防火墙是保护数据中心,核心信息资产的最重要的安全屏障。
关键挑战:
1、性能。征信系统核心价值是提供个人信用信息的查询,提供信用信息产品,用户对收费获取的信息服务要求会很高,包括延迟、并发在线数等等。
2、稳定性。产品应该软硬件稳定可靠.3、高可靠性.业务因为平台故障引起中断,导致的损失是数据加工型企业不能容忍的。4、高扩展性。武汉征信平台分了三期建设,对安全网关设备的性能冗余提出了很高需求,直接选择高端千兆运营商级产品才能应对用户业务急速扩张带来的性能压力。5、较之竞争对手具备独特优势功能。解决方案描述1、模拟环境测试:在选型阶段,用户组织了多个参测品牌将产品置于用户实际环境测试。参测东软产品为东软NOKIAIP391。部分防火墙部署在核心交换机与中间件服务器之间。部分用于隔离开发网段与内网网段。测试结果显示,产品较之同类参测其他品牌产品,在性能上有着明显的优势.2、东软产品研发、生产均遵循国际最高标准,软件成熟度达到CMM5,防火墙产品安全认证级别达到国内最高的EAL3级。获得国家权威官方机构认证.是一款成熟稳定的高品质设备。用户对此十分认可.3、在核心网中,防火墙设备采用双机冗余VFRP协议,全面兼容核心路由HSRP和小机的热备协议.设备部署互联实现了交叉的全连接拓扑。这样所有来自广域网或者局域网访问读写请求,必须经过东软防火墙3-7层安全筛选和过滤,方能取得相关资源。同时还实现了全网骨干从设备级到链路级的全备份—双核心路由—双核心防护墙—小机双机冗余.另外一台单机防火墙部署在开发网段与核心内网之间,抑制开发网段对核心业务网段潜在的不良网络访问和攻击。4、东软NOKIAIP391支持扩展到8个千兆端口,为未来业务扩展预留空间。此外,东软防火墙支持以太网通道功能,提供了弹性支撑未来业务带宽增长的低成本解决方案.通过对多条物理链路的捆绑,可以将防火墙的多个物理以太网端口映射成一个逻辑端口,从而达到增加带宽和链路冗余的目的,实现防火墙上下行链路带宽从1G到2G的无缝扩展。而这样的性能扩展,无需采购配件和许可。延长了设备运营周期,有效提高了投资消费比,这也是用户所看重的。5、东软NOKIAIP391为了提供多客户式的托管服务,满足用户对防火墙系统个性化配置的需求,可以将NetEye防火墙系统逻辑划分为多个虚拟系统(vsys),每一个虚拟系统的资源和配置都是独立的,都可以进行用户管理、服务配置、安全规则配置等一系列操作。目前,用户划分开发网段安全域的另一台东软NOKIAIP391只使用了2个端口,还有潜在6个端口可供使用。这六个端口任意组合后,作为独立防火墙,可以被用作网络环境中其他新增安全域边界划分设备。用户通过单台防火墙的投资,换回多台设备使用回报.实施效果项目实施后,通过采用双机冗余全连接拓扑方式,在高速交换骨干和高容量存储设备之间,无缝嵌入高性能深度防御防火墙设备,使得武汉征信业务平台在具备极高故障容错性能基础上,获得了极高的核心数据平台应用安全防护能力,其内嵌
自动入侵行为检测阻断模块对流行的蠕虫病毒、分布式DOS攻击等威胁,提供了良好的的识别及阻断能力。
设备采用HTTPS的WEBUI管理方式,管理员在工作中可以方便的通过任何联网终端机建立安全的HTTPS加密通道以IE窗口方式登陆管理。防火墙还支持类CISOC命令行方式管理,安全管理员经过培训可以迅速精通防火墙操作,具备良好的操作便利性和较低的培训成本。
用户评价用户通过选择了可靠的合作伙伴,选择高品质的高端产品,感受到了优质的产品服务。项目的良好完工,上线运行,东软的产品和服务经受了试运行阶段的考验。以上实践证明,用户前期项目设计和产品选型是可行和可靠的。用户对以太网通道、虚拟防火墙这样的高端防火墙才具备的实用功能非常认可。
篇七:网络安全设计方案总结
目录
1、网络平安问题..........................................32、设计的平安性..........................................3可用性...................................................3机密性...................................................3完整性...................................................3可控性...................................................3可审查性.................................................3访问控制.................................................3数据加密................................................3平安审计.................................................3
3、平安设计方案..........................................5
设备选型.................................................5
网络平安.................................................7
访问控制.................................................9
入侵检测.................................................10
4、总结.................................................11
1、网络平安问题随着互联网的飞速开展,网络平安逐渐成为一个潜在的巨大问题。网络平安性是一
个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程效劳的人。平安性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
大多数平安性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而成心引起的。可以看出保证网络平安不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。
网络平安性可以被粗略地分为4个相互交织的局部:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的网络平安性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方
的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来
2、设计的平安性
通过对网络系统的风险分析及需要解决的平安问题,我们需要制定合理的安全策略及平安方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即,可用性:授权实体有权访问数据机密性:信息不暴露给未授权实体或进程完整性:保证数据不被未授权修改可控性:控制授权范围内的信息流向及操作方式可审查性:对出现的平安问题提供依据与手段
访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的平安级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。平安审计:是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应〔如报警〕并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏
针对企业现阶段网络系统的网络结构和业务流程,结合企业今后进行的网络化应用范围的拓展考虑,企业网主要的平安威胁和平安漏洞包括以下几方面:
〔1〕内部窃密和破坏由于企业网络上同时接入了其它部门的网络系统,因此容易出现其它部门不怀好意的人员〔或外部非法人员利用其它部门的计算机〕通过网络进入内部网络,并进一步窃取和破坏其中的重要信息〔如领导的网络帐号和口令、重要文件等〕,因此这种风险是必须采取措施进行防范的。
〔2〕搭线〔网络〕窃听这种威胁是网络最容易发生的。攻击者可以采用如Sniffer等网络协议分析工具,在INTERNE网络平安的薄弱处进入INTERNET并非常容易地在信息传输过程中获取所有信息〔尤其是敏感信息〕的内容。对企业网络系统来讲,由于存在跨越INTERNET勺内部通信〔与上级、下级〕这种威胁等级是相当高的,因此也是本方案考虑的重点。〔3〕假冒这种威胁既可能来自企业网内部用户,也可能来自INTERNET内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户,诱骗其他用户或系统管理员,从而获得用户名/口令等敏感信息,进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。
〔4〕完整性破坏这种威胁主要指信息在传输过程中或者存储期间被篡改或修改,使得信息/数据失去了原有的真实性,从而变得不可用或造成广泛的负面影响。由于XXX企业网内有许多重要信息,因此那些不怀好意的用户和非法用户就会通过网络对没有采取平安措施的效劳器上的重要文件进行修改或传达一些虚假信息,从而影响工作的正常进行。〔5〕其它网络的攻击企业网络系统是接入到INTERNETt的,这样就有可能会遭到INTERNETt黑客、恶意用
篇八:网络安全设计方案总结
网络安全技术的总结
网络安全技术的总结篇一青少年的健康成长,关系到社会的稳定,关系到民族的兴旺和国家的前途。因此,教育和保护好下一代,具有十分重要的意义。中学阶段是一个人成长的重要时期,中学教育尤其是中学生安全教育的成败直接关系到一个人将来是否成为人才。
随着信息时代的到来,形形色色的网吧如雨后春笋般在各个城镇应运而生。它们中有一些是正规挂牌网吧,但多数是一些无牌的地下黑色网吧,这些黑色网吧瞄准的市场就是青少年学生。一些学生迷上网络游戏后,便欺骗家长和老师,设法筹资,利用一切可利用的时间上网。
有许许多多原先是优秀的学生,因误入黑色网吧,整日沉迷于虚幻世界之中,学习之类则抛之脑后,并且身体健康状况日下。黑色网吧不仅有学生几天几夜也打不出关的游戏,更有不健康、不宜中学生观看的黄色网页。
抓好中学生的网络安全教育与管理,保障中学生的人身财产安全,促进中学生身心健康发展,是摆在我们面前的一个突出课题。
针对这种情况,一是要与学生家长配合管好自己的学生,二是向有关执法部门反映,端掉这些黑色网吧,三是加强网络法律法规宣传教育,提高中学生网络安全意识,在思想上形成一道能抵御外来反动、邪恶侵蚀的防火墙。四是组织学生积极参与学校的安全管理工作,让中学生参与学
校的安全管理工作是提高中学生安全防范意识的有效途径。最后,争取相关部门协作,整治校园周边环境,优化育人环境。
学校在加大对校园安全保卫力量的投入、提高保卫人员素质和学校安全教育水平的同时,要积极争取地方政府、公安机关的支持,严厉打击危害学校及中学生安全的不法行为,切实改善校园周边治安状况,优化育人环境。对校门口的一些摊点,校园附近的一些黑色网吧,对中学生存有安全隐患的一切问题,该取缔的取缔,该打击的打击,该解决的尽快解决。
对校内发生的治安事件或安全事故,要依法处理,及时通报。对违反安全规章的学生应予以批评教育,甚至必要的纪律处分,对已发现的安全隐患及时采取有效的防范措施,以此创造一个安全、文明的育人环境,为提高教育教学质量和我国教育事业的发展做出新的贡献。
综上所述,对中学生进行安全教育是一项系统工程,在外部,需要社会、学校、家庭紧密配合;在内部,需要学校的各个部门通力合作、齐抓共管,组织学生积极参与,这样才能达到对中学生进行安全教育的目的。网络安全技术的总结篇二本学期我选修了网络信息安全这门课,自从上了第一堂课,我的观念得到了彻底的改观。老师不是生搬硬套,或者是只会读ppt的reader,而是一位真正在传授自己知识的学者,并且老师语言生动幽默,给了人很大的激励去继续听下去。在课堂上,我也学到了很多关
于密码学方面的知识。各种学科领域中,唯有密码学这一学科领域与众不同,
它是由两个相互对立、相互依存,而又相辅相成、相互促进的分支学科组成。这两个分支学科,一个叫密码编码学,另一个叫密码分析学。
密码这个词对大多数人来说,都有一种高深莫测的神秘色彩。究其原因,是其理论和技术由与军事、政治、外交有关的国家安全(保密)机关所严格掌握和控制、不准外泄的缘故。
密码学(Cryptology)一词源自希腊语kryptos及logos两词,意思为隐藏及消息。它是研究信息系统安全保密的科学。其目的为两人在不安全的信道上进行通信而不被破译者理解他们通信的内容。
从几千年前到1949年,密码学还没有成为一门真正的科学,而是一门艺术。密码学专家常常是凭自己的直觉和信念来进行密码设计,而对密码的分析也多基于密码分析者(即破译者)的直觉和经验来进行的。1949年,美国数学家、信息论的创始人Shannon,ClaudeElwood发表了《保密系统的信息理论》一文,它标志着密码学阶段的开始。同时以这篇文章为标志的信息论为对称密钥密码系统建立了理论基础,从此密码学成为一门科学。
由于保密的需要,这时人们基本上看不到关于密码学的文献和资料,平常人们是接触不到密码的。1967年Kahn出版了一本叫做《破译者》的小说,使人们知道了密码学。20
世纪70年代初期,IBM发表了有关密码学的几篇技术报告,从而使更多的人了解了密码学的存在。
但科学理论的产生并没有使密码学失去艺术的一面,如今,密码学仍是一门具有艺术性的科学。1976年,Diffie和Hellman发表了《密码学的新方向》一文,他们首次证明了在发送端和接收端不需要传输密钥的保密通信的可能性,从而开创了公钥密码学的新纪元。该文章也成了区分古典密码和现代密码的标志。
1977年,美国的数据加密标准(DES)公布。这两件事情导致了对密码学的空前研究。从这时候起,开始对密码在民用方面进行研究,密码才开始充分发挥它的商用价值和社会价值,人们才开始能够接触到密码学。这种转变也促使了密码学的空前发展。
最早的加密技术,当属凯撒加密法了。秘密金轮,就是加解密的硬件设备可以公用,可以大量生产,以降低硬件加解密设备的生产与购置成本。破译和加密技术从来就是共存的,彼此牵制,彼此推进。错综复杂的加解密演算法都是为了能够超越人力执行能力而不断演变的。Kerckhoffs原则、Shannon的完美安全性、DES算法、Rijndael算法一文,正如密码学的里程碑,伫立在密码学者不断探索的道路上,作为一种跨越,作为一种象征。
以上便是我在学习这门课中了解到的关于密码学的一些常识问题,接着介绍我感兴趣的部分。
在这门课中,我最感兴趣的莫过于公钥密码学了。其实
公钥密码学的核心基础就是数学领域里某些问题的正反非对称性,如整数分解问题(RSA)、离散对数问题(DL)和椭圆曲线问题(ECC),而这些问题无一例外地与数论有着千丝万缕的联系。伟大的数学家高斯曾经说过数学是科学的皇后,数论是数学中的皇冠,然而很遗憾的是,在我国的教育体系中无论是初等教育还是高等教育对于数论的介绍几乎是一片空白,唯一有所涉及的是初高中的数学竞赛,但这种覆盖面肯定是极其有限的。
本章并未对数论作完整的介绍,而只是将与书中内容相关的知识加以阐述,分别包括欧几里得定理和扩展的欧几里得定理、欧拉函数以及费马小定理和欧拉定理,其中欧几里得定理部分有比较详细的推导和演算,后两者则仅给出结论和使用方法。不过考虑到这几部分内容独立性较强,只要我们对质数、合数及分解质因数等基础知识有比较扎实的理解那么阅读起来应该还是难度不大的。
而对于欧拉函数以及费马小定理和欧拉定理,其证明方法并不是很难,我们也可在网上找到相关过程;不过其应用却是相当重要,尤其是费马小定理,是Miller-Rabbin质数测试的基础。我觉得喜欢数学的同学一定会喜欢上这门课,这门课所涉及的数学知识颇为丰富,包括数论、高等代数、解析几何、群论等诸多领域。
此外,课堂上老师所讲的各种算法(如Diffie和Hellman的经典算法)影响直至今日,促成了各种新兴算法的形成,且多次地被引用。经典犹在,密码学新的开拓仍旧在继续,
仍旧令人期待。网络安全技术的总结篇三在21世纪,网络已经成为人们日常生活的一部分,很多人甚至已经离不开网络。有了网络,人们足不出户便可衣食无忧。前些天刚从电视上看到关于年底网购火爆,快递公司也在春运的新闻。以前人们找东西得找人帮忙,现在人们找东西找网帮忙。记得有一次钥匙不知道放到了什么地方,就百度了一下钥匙丢在那里了,结果按照网友们提示的方案还真给找到了。
网络爆炸性地发展,网络环境也日益复杂和开放,同时各种各样的安全漏洞也暴露出来,恶意威胁和攻击日益增多,安全事件与日俱增,也让接触互联网络的每一个人都不同程度地受到了威胁。在此,我就生活中、工作中碰到看到的各种网络安全问题谈谈自己的体会:
1.有网络安全的意识很重要谈到网络安全,让我们无奈的是很多人认为这是计算机网络专业人员的事情。其实,每个人都应该有网络安全的意识,这点对于涉密单位人员来说尤其重要。前段时间看了电视剧《密战》,其中揭露的泄密方式多数都是相关人员安全意识薄弱造成:单位要求机密的工作必须在办公室完成,就是有人私自带回家加班造成泄密;重要部门要求外人不得入内,偏有人把闲杂人员带入造成泄密;专网电脑不允许接互联网,有人接外网打游戏造成泄密;甚至涉密人员交友不慎,与间谍谈恋爱造成泄密。虽然这只是电视剧,但对机密单位也是
一种警示。看这部电视剧的时候我就在想,这应该作为安全部门的安全教育片。
不单单是涉密单位,对于个人来说,网络安全意识也特别重要。网上层出不穷的摄像头泄密事件、这门那门的都是由于个人安全意识淡薄所致。正如老师所说的看到的不一定是真的!。
我自己的电脑上有一些自己平时做的软件、系统,虽说没什么重要的,但那也是自己辛苦整出来的呀,所以使用电脑一直很小心,生怕有什么木马、病毒之类的,360流量监控的小条一直在我的桌面右下角,只要有上传流量肯定得去看看是什么进程在上传。
平时为别人维护系统经常会碰到杀毒软件很久不升级的情况,主人还振振有词的说自己装了杀毒软件的。在他们看来杀毒软件有了就成,剩下的就不用管了,我很多时候这样对他们说:你养条狗还得天天喂它吃呢!
2.设备安全很多技术是我们想不到的网络设备是网络运行的硬件基础,设备安全是网络完全必不可少的一个环节。以前听说过电泄密,一直没见过,最近单位有同事拿来了两个电力猫(电力线以太网信号传输适配器),一个接网线插到电源上,另一个在30米内接电源通过接口接网线链接到电脑便可上网。这让我想到,只要有人将涉密的网络线路接到电源线路便可轻易泄密,当然这块国家安全部门肯定有相关的防范措施。
在搜索引擎里搜索诸如:intitle:LiveView/-AXIS206W等,可以搜到网络摄像头,在电视剧《密战》中,某涉密部门的监控系统被接入了互联网,间谍就利用监控系统窃取工作人员的屏幕信息和按键信息。在某政府机要室的复印机上安装基于移动网络的发射器,便可再用另外一台接收机上受到所有扫描的机要文件。
1985年,在法国召开的一次国际计算机安全会议上,年轻的荷兰人范〃艾克当着各国代表的面,公开了他窃取微机信息的技术。他用价值仅几百美元的器件对普通电视机进行改造,然后安装在汽车里,这样就从楼下的街道上,接收到了放臵在8层楼上的计算机电磁波的信息,并显示出计算机屏幕上显示的图像。
他的演示给与会的各国代表以巨大的震动。本人最早知道电磁泄密是在20xx年为部队某部门开发软件的时候听说的,在部队很多地方时安装了干扰器的就是为了防止电磁泄密。
硬盘数据不是删掉就不存在了,用诸如EasyRecovery等恢复软件都可以恢复。看来,只有将涉密硬盘用炼钢炉化掉才能保证完全安全。
3.小心木马最早知道木马,是自己大学期间。当时在网上看到了一款叫大眼睛的屏幕发送软件,很好奇就试着用了。大学的机房里的计算机只装常用软件,其他诸如QQ等软件都是在服务器上存放,用的时候自己安装,学生机有保护卡重启就被
恢复了,又得装。于是就将大眼睛的客户端放在服务器上取个很吸引人
的名字。结果很多同学的屏幕都被我们监控。有同学嘲笑说不就是个木马嘛!经过查询才知道有种叫木马的程序也是用同样的方法进行隐私窃取。后来自己还做过假的QQ程序盗取别人的QQ,但盗来都给了别人,谁知道现在7、8位QQ号码能这么畅销。
以前电脑都防CIH、蠕虫等病毒,当现在更多的是防木马病毒,主要是由于个人电脑上可以窃取诸如支付宝、QQ账号、网上银行等密码。当你打开不安全的网页、别人发给你的恶意邮件时,当你安装不安全的软件时,当你使用U盘时都可能感染木马病毒。
前一段时间的360和QQ之争,在我们的电脑里有很多不安全的的软件,都可能泄露我们的隐私。
4.网页安全在单位,我负责几个部门的网站维护,主要是网页制作。在一开始编程的时候,根本没想到能被攻击。后来自己做的网站经常被攻击,这才知道诸如SQL注入、Ewebeditor漏洞等攻击手段,所以在编程时会注意到这些方面的安全。比如我的后台数据库一般都是x.asp#xxxxxx.mdb。防止数据库被下载。记得又一次为某部门自己编写了一个留言板程序,结果发布没1天就有3000多条恶意留言,还是英文的,挺让人头疼。最后设臵了验证码、用户验证都不起作用,直到用了
检测留言来源网页代码才堵住。原来人家是用工具攻击的。5.养成良好的上网习惯网络安全涉及到使用网络的每一个人。对个人来说,要
保证自己安全上网,每个人都得养成良好的上网习惯。我想应该包含以下几点:
1)电脑要安装防火墙和杀毒软件,要及时升级,如果电脑上网则设臵为自动升级。并且养成经常性安全扫描电脑;
2)及时更新windows补丁;3)在确保系统安全的情况下,做好GHOST备份,防止碰到顽固病毒时能及时恢复系统;4)网友用QQ等发给的网站和程序,不要轻易去点击和执行;5)不浏览不安全的网页;6)共享文件要及时关闭共享,在单位经常会在工作组计算机中看到别人共享的东西;7)不熟悉的邮件不浏览;8)U盘杀毒后再去打开;9)最好不在别人的计算机上登录自己的银行账号、支付宝、QQ等;对于我们每个人来说,提高网络安全意识,学习网络安全知识,是网络时代对我们基本的要求。网络安全技术的总结
篇九:网络安全设计方案总结
网络安全设计方案
HENsystemofficeroom【HEN16H-HENS2AHENS8Q8-HENH1688】
目
录
1、网络安全问题………………………………………………32、设计的安全性………………………………………………3可用性…………………………………………………………..3机密性…………………………………………………………..3完整性…………………………………………………………..3可控性…………………………………………………………..3可审查性………………………………………………………..3访问控制………………………………………………………..3数据加密………………………………………………………..3安全审计………………………………………………………..3
3、安全设计方案………………………………………………5
设备选型………………………………………………………..5
网络安全………………………………………………………..7
访问控制………………………………………………………...9
入侵检测………………………………………………………..10
4、总结…………………………………………………………11
1、网络安全问题
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。
网络安全性可以被粗略地分为4个相互交织的部分:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来
2、设计的安全性
通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即,可用性:授权实体有权访问数据
机密性:信息不暴露给未授权实体或进程完整性:保证数据不被未授权修改可控性:控制授权范围内的信息流向及操作方式可审查性:对出现的安全问题提供依据与手段访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。安全审计:是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏
针对企业现阶段网络系统的网络结构和业务流程,结合企业今后进行的网络化应用范围的拓展考虑,企业网主要的安全威胁和安全漏洞包括以下几方面:
(1)内部窃密和破坏由于企业网络上同时接入了其它部门的网络系统,因此容易出现其它部门不怀好意的人员(或外部非法人员利用其它部门的计算机)通过网络进入内部网络,并进一步窃取和破坏其中的重要信息(如领导的网络帐号和口令、重要文件等),因此这种风险是必须采取措施进行防范的。(2)搭线(网络)窃听这种威胁是网络最容易发生的。攻击者可以采用如Sniffer等网络协议分析工具,在INTERNET网络安全的薄弱处进入INTERNET,并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息)的内容。对企业网络系统来讲,由于存在跨越INTERNET的内部通信(与上级、下级)这种威胁等级是相当高的,因此也是本方案考虑的重点。(3)假冒这种威胁既可能来自企业网内部用户,也可能来自INTERNET内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户,诱骗其他用户或系统管理员,从而获得用户名/口令等敏感信息,进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。(4)完整性破坏这种威胁主要指信息在传输过程中或者存储期间被篡改或修改,使得信息/数据失去了原有的真实性,从而变得不可用或造成广泛的负面影响。由于XXX企业网内有许多重要信息,因此那些不怀好意的用户和非法用户就会通过网络对没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息,从而影响工作的正常进行。(5)其它网络的攻击企业网络系统是接入到INTERNET上的,这样就有可能会遭到INTERNET上黑客、恶意用户等的网络攻击,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等。因此这也是需要采取相应的安全措施进行防范。(6)管理及操作人员缺乏安全知识由于信息和网络技术发展迅猛,信息的应用和安全技术相对滞后,用户在引入和采用安全设备和系统时,缺乏全面和深入的培训和学习,对信息安全的重要
性与技术认识不足,很容易使安全设备/系统成为摆设,不能使其发挥正确的作用。如本来对某些通信和操作需要限制,为了方便,设置成全开放状态等等,从而出现网络漏洞。
篇十:网络安全设计方案总结
目录1、网络安全问题………………………………………………32、设计的安全性………………………………………………3可用性…………………………………………………………。.3机密性…………………………………………………………..3完整性…………………………………………………………..3可控性…………………………………………………………。.3可审查性………………………………………………………。。3访问控制………………………………………………………..3数据加密………………………………………………………。。3安全审计……………………………………………………….。33、安全设计方案………………………………………………5
设备选型……………………………………………………….。5
网络安全………………………………………………………。.7
访问控制……………………………………………………….。.9
入侵检测……………………………………………………….。10
4、总结…………………………………………………………11
1、网络安全问题随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全
性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题.
大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误.它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。
网络安全性可以被粗略地分为4个相互交织的部分:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方
1
的身份。反拒认主要与签名有关.保密和完整性通过使用注册过的邮件和文件锁来
2、设计的安全性
通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即,可用性:授权实体有权访问数据机密性:信息不暴露给未授权实体或进程完整性:保证数据不被未授权修改可控性:控制授权范围内的信息流向及操作方式可审查性:对出现的安全问题提供依据与手段
访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制.同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。安全审计:是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏
针对企业现阶段网络系统的网络结构和业务流程,结合企业今后进行的网络化应用范围的拓展考虑,企业网主要的安全威胁和安全漏洞包括以下几方面:
(1)内部窃密和破坏由于企业网络上同时接入了其它部门的网络系统,因此容易出现其它部门不怀好意的人员(或外部非法人员利用其它部门的计算机)通过网络进入内部网络,并进一步窃取和破坏其中的重要信息(如领导的网络帐号和口令、重要文件等),因此这种风险是必须采取措施进行防范的。(2)搭线(网络)窃听这种威胁是网络最容易发生的。攻击者可以采用如Sniffer等网络协议分析工具,在INTERNET网络安全的薄弱处进入INTERNET,并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息)的内容。对企业网络系统来讲,由于存在跨越INTERNET的内部通信(与上级、下级)这种威胁等级是相当高的,因此也是本方案考虑的重点。(3)假冒这种威胁既可能来自企业网内部用户,也可能来自INTERNET内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户,诱骗其他用户或系统管理员,从而获得用户名/口令等敏感信息,进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。
2
(4)完整性破坏这种威胁主要指信息在传输过程中或者存储期间被篡改或修改,使得信息/数据失去了原有的真实性,从而变得不可用或造成广泛的负面影响.由于XXX企业网内有许多重要信息,因此那些不怀好意的用户和非法用户就会通过网络对没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息,从而影响工作的正常进行。(5)其它网络的攻击企业网络系统是接入到INTERNET上的,这样就有可能会遭到INTERNET上黑客、恶意用户等的网络攻击,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等。因此这也是需要采取相应的安全措施进行防范。(6)管理及操作人员缺乏安全知识由于信息和网络技术发展迅猛,信息的应用和安全技术相对滞后,用户在引入和采用安全设备和系统时,缺乏全面和深入的培训和学习,对信息安全的重要性与技术认识不足,很容易使安全设备/系统成为摆设,不能使其发挥正确的作用。如本来对某些通信和操作需要限制,为了方便,设置成全开放状态等等,从而出现网络漏洞.由于网络安全产品的技术含量大,因此,对操作管理人员的培训显得尤为重要。这样,使安全设备能够尽量发挥其作用,避免使用上的漏洞。(7)雷击由于网络系统中涉及很多的网络设备、终端、线路等,而这些都是通过通信电缆进行传输,因此极易受到雷击,造成连锁反应,使整个网络瘫痪,设备损坏,造成严重后果。因此,为避免遭受感应雷击的危害和静电干扰、电磁辐射干扰等引起的瞬间电压浪涌电压的损坏,有必要对整个网络系统采取相应的防雷措施.
3、网络安全设计方案
(1)网络拓扑结构图
3
设备选型
传统的组网已经不能满足现在网络应用的变化了,在组网的初期必须考虑到安全和网络的问题,考虑到这个问题我们就不能不考虑免疫网络的作用以及前景如何.免疫网络——免疫网络是企业信息网络的一种安全形式。“免疫”是生物医学的名词,它指的是人体所具有的“生理防御、自身稳定与免疫监视”的特定功能.就像我们耳熟能详的电脑病毒一样,在电脑行业,“病毒”就是对医学名词形象的借用。同样,“免疫"也被借用于说明计算机网络的一种能力和作用。免疫就是让企业的内部网络也像人体一样具备“防御、稳定、监视"的功能。这样的网络就称之为免疫网络。
免疫网络的主要理念是自主防御和管理,它通过源头抑制、群防群控、全网联动使网络内每一个节点都具有安全功能,在面临攻击时调动各种安全资源进行应对。它具有安全和网络功能融合、全网设备联动、可信接入、深度防御和控制、精细带宽管理、业务感知、全网监测评估等主要特征。下面让我们看看这几个特征的距离内容安全和网络功能的融合①网络架构的融合,主要包括网关和终端的融合
网关方面:ARP先天免疫原理-NAT表中添加源MAC地址滤窗防火墙-封包检测,IP分片检查
4
UDP洪水终端方面:驱动部分—免疫标记②网络协议的融合—行为特征和网络行为的融合全网设备的联动①驱动与运营中心的联动分收策略②驱动与驱动的联动IP地址冲突③网关和驱动的联动群防群控④运营中心和网关的联动(外网攻击,上下线可信接入①MAC地址的可信(类似于DNA),生物身份②传输的可信(免疫标记)深度防御和控制①深入到每个终端的网卡深入到协议的最低层深入到二级路由,多级路由器下精细带宽管理①身份精细—IP/MAC的精确②位置精确—终端驱动③路径细分(特殊的IP)④流量去向(内,公网)⑤应用流控(QQ,MSN)业务感知协议区分和应用感知
它与防火墙(FW)、入侵检测系统(IDS)、防病毒等“老三样"组成的安全网络相比,突破了被动防御、边界防护的局限,着重从内网的角度解决攻击问题,应对目前网络攻击复杂性、多样性、更多从内网发起的趋势,更有效地解决网络威胁.
同时,安全和管理密不可分。免疫网络对基于可信身份的带宽管理、业务感知和控制,以及对全网安全问题和工作效能的监测、分析、统计、评估,保证了企业网络的可管可控,大大提高了通信效率和可靠性。
安全架构分析
根据企业网络现状及发展趋势,主要安全措施从以下几个方面进行考虑:网络传输保护主要是数据加密保护主要网络安全隔离通用措施是采用防火墙网络病毒防护采用网络防病毒系统
5
广域网接入部分的入侵检测采用入侵检测系统系统漏洞分析采用漏洞分析设备定期安全审计主要包括两部分:内容审计和网络通信审计重要数据的备份重要信息点的防电磁泄露网络安全结构的可伸缩性包括安全设备的可伸缩性,即能根据用户的需要随时进行规模、功能扩展网络防雷
(2)网络安全作为企业应用业务系统的承载平台,网络系统的安全显得尤为重要。由于许多重要的信息都通过网络进行交换,网络传输由于企业中心内部网络存在两套网络系统,其中一套为企业内部网络,主要运行的是内部办公、业务系统等;另一套是与INTERNET相连,通过ADSL接入,并与企业系统内部的上、下级机构网络相连。通过公共线路建立跨越INTERNET的企业集团内部局域网,并通过网络进行数据交换、信息共享。而INTERNET本身就缺乏有效的安全保护,如果不采取相应的安全措施,易受到来自网络上任意主机的监听而造成重要信息的泄密或非法篡改,产生严重的后果。由于现在越来越多的政府、金融机构、企业等用户采用VPN技术来构建它们的跨越公共网络的内联网系统,因此在本解决方案中对网络传输安全部分推荐采用VPN设备来构建内联网。可在每级管理域内设置一套VPN设备,由VPN设备实现网络传输的加密保护。根据企业三级网络结构,VPN设置如下图所示:
6
图为三级VPN设置拓扑图每一级的设置及管理方法相同。即在每一级的中心网络安装一台VPN设备和一台VPN认证服务器(VPN—CA),在所属的直属单位的网络接入处安装一台VPN设备,由上级的VPN认证服务器通过网络对下一级的VPN设备进行集中统一的网络化管理。可达到以下几个目的:网络传输数据保护由安装在网络上的VPN设备实现各内部网络之间的数据传输加密保护,并可同时采取加密或隧道的方式进行传输网络隔离保护与INTERNET进行隔离,控制内网与INTERNET的相互访问集中统一管理,提高网络安全性降低成本(设备成本和维护成本)其中,在各级中心网络的VPN设备设置如下图:
图为中心网络VPN设置图由一台VPN管理机对CA、中心VPN设备、分支机构VPN设备进行统一
网络管理。将对外服务器放置于VPN设备的DMZ口与内部网络进行隔离,禁止外网直接访问内网,控制内网的对外访问、记录日志。这样即使服务器被攻破,内部网络仍然安全。
下级单位的VPN设备放置如下图所示:
图为下级单位VPN设置图从图可知,下属机构的VPN设备放置于内部网络与路由器之间,其配置、管理由上级机构通过网络实现,下属机构不需要做任何的管理,仅需要检查是否通电即可.由于安全设备属于特殊的网络设备,其维护、管理需要相应的专业人员,而采取这种管理方式以后,就可以降低下属机构的维护成本和对专业技术人员的要求,这对有着庞大下属、分支机构的单位来讲将是一笔不小的费用.由于网络安全的是一个综合的系统工程,是由许多因素决定的,而不是仅仅采用高档的安全产品就能解决,因此对安全设备的管理就显得尤为重要。由于一般的安全产品在管理上是各自管理,因而很容易因为某个设备的设置不当,而使
7
整个网络出现重大的安全隐患。而用户的技术人员往往不可能都是专业的,因此,容易出现上述现象;同时,每个维护人员的水平也有差异,容易出现相互配置上的错误使网络中断。所以,在安全设备的选择上应当选择可以进行网络化集中管理的设备,这样,由少量的专业人员对主要安全设备进行管理、配置,提高整体网络的安全性和稳定性。
(3)访问控制由于企业广域网网络部分通过公共网络建立,其在网络上必定会受到来自INTERNET上许多非法用户的攻击和访问,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等,因此,采取相应的安全措施是必不可少的。通常,对网络的访问控制最成熟的是采用防火墙技术来实现的,本方案中选择带防火墙功能的VPN设备来实现网络安全隔离,可满足以下几个方面的要求:控制外部合法用户对内部网络的网络访问;控制外部合法用户对服务器的访问;禁止外部非法用户对内部网络的访问;控制内部用户对外部网络的网络;阻止外部用户对内部的网络攻击;防止内部主机的IP欺骗;对外隐藏内部IP地址和网络拓扑结构;网络监控;网络日志审计;详细配置拓扑图见图由于采用防火墙、VPN技术融为一体的安全设备,并采取网络化的统一管理,因此具有以下几个方面的优点:管理、维护简单、方便;安全性高(可有效降低在安全设备使用上的配置漏洞);硬件成本和维护成本低;网络运行的稳定性更高由于是采用一体化设备,比之传统解决方案中采用防火墙和加密机两个设备而言,其稳定性更高,故障率更低。(4)入侵检测网络安全不可能完全依靠单一产品来实现,网络安全是个整体的,必须配相应的安全产品。作为必要的补充,入侵检测系统(IDS)可与安全VPN系统形成互补。入侵检测系统是根据已有的、最新的和可预见的攻击手段的信息代码对进出网络的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送E—mail).从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器(网络引擎)。控制台用作制定及管理所有探测器(网络引擎)。探测器(网络引擎)用作监听进出网络的访问行为,根据控制台的指令执行相应行为。由于探测器采取的是监听而不是过滤数据包,因此,入侵检测系统的应用不会对网络系统性能造成多大影响。
入侵检测系统的设置如下图:
8
从上图可知,入侵检测仪在网络接如上与VPN设备并接使用。入侵检测仪在使用上是独立网络使用的,网络数据全部通过VPN设备,而入侵检测设备在网络上进行疹听,监控网络状况,一旦发现攻击行为将通过报警、通知VPN设备中断网络(即IDS与VPN联动功能)等方式进行控制(即安全设备自适应机制),最后将攻击行为进行日志记录以供以后审查。
4、总结随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全
性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
9
篇十一:网络安全设计方案总结
P> 第一部分认同和承诺目录1、网络安全问题………………………………………………32、设计的安全性………………………………………………3可用性…………………………………………………………..3机密性…………………………………………………………..3完整性…………………………………………………………..3可控性…………………………………………………………..3可审查性………………………………………………………..3访问控制………………………………………………………..3数据加密………………………………………………………..3安全审计………………………………………………………..33、安全设计方案………………………………………………5设备选型………………………………………………………..5网络安全………………………………………………………..7访问控制………………………………………………………...9入侵检测………………………………………………………..104、总结…………………………………………………………11
1、网络安全问题随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全
性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该
页脚内容
第一部分认同和承诺
条消息的问题。大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某
些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。
网络安全性可以被粗略地分为4个相互交织的部分:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来2、设计的安全性
通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即,可用性:授权实体有权访问数据机密性:信息不暴露给未授权实体或进程完整性:保证数据不被未授权修改可控性:控制授权范围内的信息流向及操作方式可审查性:对出现的安全问题提供依据与手段
访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。安全审计:是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可
页脚内容
第一部分认同和承诺
以防止内部机密或敏感信息的非法泄漏
针对企业现阶段网络系统的网络结构和业务流程,结合企业今后进行的网络化应用范围的拓展考虑,企业网主要的安全威胁和安全漏洞包括以下几方面:
(1)内部窃密和破坏由于企业网络上同时接入了其它部门的网络系统,因此容易出现其它部门不怀好意的人员(或外部非法人员利用其它部门的计算机)通过网络进入内部网络,并进一步窃取和破坏其中的重要信息(如领导的网络帐号和口令、重要文件等),因此这种风险是必须采取措施进行防范的。(2)搭线(网络)窃听这种威胁是网络最容易发生的。攻击者可以采用如Sniffer等网络协议分析工具,在INTERNET网络安全的薄弱处进入INTERNET,并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息)的内容。对企业网络系统来讲,由于存在跨越INTERNET的内部通信(与上级、下级)这种威胁等级是相当高的,因此也是本方案考虑的重点。(3)假冒这种威胁既可能来自企业网内部用户,也可能来自INTERNET内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户,诱骗其他用户或系统管理员,从而获得用户名/口令等敏感信息,进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。(4)完整性破坏这种威胁主要指信息在传输过程中或者存储期间被篡改或修改,使得信息/数据失去了原有的真实性,从而变得不可用或造成广泛的负面影响。由于XXX企业网内有许多重要信息,因此那些不怀好意的用户和非法用户就会通过网络对没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息,从而影响工作的正常进行。
页脚内容
第一部分认同和承诺
(5)其它网络的攻击企业网络系统是接入到INTERNET上的,这样就有可能会遭到INTERNET上黑客、恶意用户等的网络攻击,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等。因此这也是需要采取相应的安全措施进行防范。(6)管理及操作人员缺乏安全知识由于信息和网络技术发展迅猛,信息的应用和安全技术相对滞后,用户在引入和采用安全设备和系统时,缺乏全面和深入的培训和学习,对信息安全的重要性与技术认识不足,很容易使安全设备/系统成为摆设,不能使其发挥正确的作用。如本来对某些通信和操作需要限制,为了方便,设置成全开放状态等等,从而出现网络漏洞。由于网络安全产品的技术含量大,因此,对操作管理人员的培训显得尤为重要。这样,使安全设备能够尽量发挥其作用,避免使用上的漏洞。(7)雷击由于网络系统中涉及很多的网络设备、终端、线路等,而这些都是通过通信电缆进行传输,因此极易受到雷击,造成连锁反应,使整个网络瘫痪,设备损坏,造成严重后果。因此,为避免遭受感应雷击的危害和静电干扰、电磁辐射干扰等引起的瞬间电压浪涌电压的损坏,有必要对整个网络系统采取相应的防雷措施。
3、网络安全设计方案(1)网络拓扑结构图
页脚内容
第一部分认同和承诺
设备选型传统的组网已经不能满足现在网络应用的变化了,在组网的初期必须考虑到安全和网络的问题,考虑到这个问题我们就不能不考虑免疫网络的作用以及前景如何。免疫网络——免疫网络是企业信息网络的一种安全形式。“免疫”是生物医学的名词,它指的是人体所具有的“生理防御、自身稳定与免疫监视”的特定功能。就像我们耳熟能详的电脑病毒一样,在电脑行业,“病毒”就是对医学名词形象的借用。同样,“免疫”也被借用于说明计算机网络的一种能力和作用。免疫就是让企业的内部网络也像人体一样具备“防御、稳定、监视”的功能。这样的网络就称之为免疫网络。免疫网络的主要理念是自主防御和管理,它通过源头抑制、群防群控、全网联动使网络内每一个节点都具有安全功能,在面临攻击时调动各种安全资源进行应对。它具有安全和网络功能融合、全网设备联动、可信接入、深度防御和控制、精细带宽管理、业务感知、全网监测评估等主要特征。下面让我们看看这几个特征的距离内容
页脚内容
第一部分认同和承诺
安全和网络功能的融合①网络架构的融合,主要包括网关和终端的融合
网关方面:ARP先天免疫原理—NAT表中添加源MAC地址滤窗防火墙—封包检测,IP分片检查
UDP洪水终端方面:驱动部分—免疫标记②网络协议的融合—行为特征和网络行为的融合全网设备的联动①驱动与运营中心的联动分收策略②驱动与驱动的联动IP地址冲突③网关和驱动的联动群防群控④运营中心和网关的联动(外网攻击,上下线可信接入①MAC地址的可信(类似于DNA),生物身份②传输的可信(免疫标记)深度防御和控制①深入到每个终端的网卡深入到协议的最低层深入到二级路由,多级路由器下精细带宽管理①身份精细—IP/MAC的精确②位置精确—终端驱动③路径细分(特殊的IP)④流量去向(内,公网)⑤应用流控(QQ,MSN)业务感知协议区分和应用感知
它与防火墙(FW)、入侵检测系统(IDS)、防病毒等“老三样”组成的安全网络相比,突破了被动防御、边界防护的局限,着重从内网的角度解决攻击问题,应对目前网络攻击复杂性、多样性、更多从内网发起的趋势,更有效地解决网络威胁。
同时,安全和管理密不可分。免疫网络对基于可信身份的带宽管理、业务感知和控制,以及对全网安全问题和工作效能的监测、分析、统计、评估,保证了企业网络的可管可控,大大提高了通信效率和可靠性。
页脚内容
第一部分认同和承诺
安全架构分析根据企业网络现状及发展趋势,主要安全措施从以下几个方面进行考虑:网络传输保护主要是数据加密保护主要网络安全隔离通用措施是采用防火墙网络病毒防护采用网络防病毒系统广域网接入部分的入侵检测采用入侵检测系统系统漏洞分析采用漏洞分析设备定期安全审计主要包括两部分:内容审计和网络通信审计重要数据的备份重要信息点的防电磁泄露网络安全结构的可伸缩性包括安全设备的可伸缩性,即能根据用户的需要随时进行规模、功能扩
展网络防雷
(2)网络安全作为企业应用业务系统的承载平台,网络系统的安全显得尤为重要。由
页脚内容
第一部分认同和承诺
于许多重要的信息都通过网络进行交换,网络传输由于企业中心内部网络存在两套网络系统,其中一套为企业内部网络,
主要运行的是内部办公、业务系统等;另一套是与INTERNET相连,通过ADSL接入,并与企业系统内部的上、下级机构网络相连。通过公共线路建立跨越INTERNET的企业集团内部局域网,并通过网络进行数据交换、信息共享。而INTERNET本身就缺乏有效的安全保护,如果不采取相应的安全措施,易受到来自网络上任意主机的监听而造成重要信息的泄密或非法篡改,产生严重的后果。
由于现在越来越多的政府、金融机构、企业等用户采用VPN技术来构建它们的跨越公共网络的内联网系统,因此在本解决方案中对网络传输安全部分推荐采用VPN设备来构建内联网。可在每级管理域内设置一套VPN设备,由VPN设备实现网络传输的加密保护。根据企业三级网络结构,VPN设置如下图所示:
图为三级VPN设置拓扑图每一级的设置及管理方法相同。即在每一级的中心网络安装一台VPN设备和一台VPN认证服务器(VPN-CA),在所属的直属单位的网络接入处安装
页脚内容
第一部分认同和承诺
一台VPN设备,由上级的VPN认证服务器通过网络对下一级的VPN设备进行集中统一的网络化管理。可达到以下几个目的:
网络传输数据保护由安装在网络上的VPN设备实现各内部网络之间的数据传输加密保护,并可同时采取加密或隧道的方式进行传输网络隔离保护与INTERNET进行隔离,控制内网与INTERNET的相互访问集中统一管理,提高网络安全性降低成本(设备成本和维护成本)其中,在各级中心网络的VPN设备设置如下图:
图为中心网络VPN设置图由一台VPN管理机对CA、中心VPN设备、分支机构VPN设备进行统一网络管理。将对外服务器放置于VPN设备的DMZ口与内部网络进行隔离,禁止外网直接访问内网,控制内网的对外访问、记录日志。这样即使服务器被攻破,内部网络仍然安全。下级单位的VPN设备放置如下图所示:
图为下级单位VPN设置图
页脚内容
第一部分认同和承诺
从图可知,下属机构的VPN设备放置于内部网络与路由器之间,其配置、管理由上级机构通过网络实现,下属机构不需要做任何的管理,仅需要检查是否通电即可。由于安全设备属于特殊的网络设备,其维护、管理需要相应的专业人员,而采取这种管理方式以后,就可以降低下属机构的维护成本和对专业技术人员的要求,这对有着庞大下属、分支机构的单位来讲将是一笔不小的费用。
由于网络安全的是一个综合的系统工程,是由许多因素决定的,而不是仅仅采用高档的安全产品就能解决,因此对安全设备的管理就显得尤为重要。由于一般的安全产品在管理上是各自管理,因而很容易因为某个设备的设置不当,而使整个网络出现重大的安全隐患。而用户的技术人员往往不可能都是专业的,因此,容易出现上述现象;同时,每个维护人员的水平也有差异,容易出现相互配置上的错误使网络中断。所以,在安全设备的选择上应当选择可以进行网络化集中管理的设备,这样,由少量的专业人员对主要安全设备进行管理、配置,提高整体网络的安全性和稳定性。
(3)访问控制由于企业广域网网络部分通过公共网络建立,其在网络上必定会受到来自INTERNET上许多非法用户的攻击和访问,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等,因此,采取相应的安全措施是必不可少的。通常,对网络的访问控制最成熟的是采用防火墙技术来实现的,本方案中选择带防火墙功能的VPN设备来实现网络安全隔离,可满足以下几个方面的要求:控制外部合法用户对内部网络的网络访问;控制外部合法用户对服务器的访问;禁止外部非法用户对内部网络的访问;控制内部用户对外部网络的网络;阻止外部用户对内部的网络攻击;防止内部主机的IP欺骗;对外隐藏内部IP地址和网络拓扑结构;
页脚内容
第一部分认同和承诺
网络监控;网络日志审计;详细配置拓扑图见图由于采用防火墙、VPN技术融为一体的安全设备,并采取网络化的统一管理,因此具有以下几个方面的优点:管理、维护简单、方便;安全性高(可有效降低在安全设备使用上的配置漏洞);硬件成本和维护成本低;网络运行的稳定性更高由于是采用一体化设备,比之传统解决方案中采用防火墙和加密机两个设备而言,其稳定性更高,故障率更低。(4)入侵检测网络安全不可能完全依靠单一产品来实现,网络安全是个整体的,必须配相应的安全产品。作为必要的补充,入侵检测系统(IDS)可与安全VPN系统形成互补。入侵检测系统是根据已有的、最新的和可预见的攻击手段的信息代码对进出网络的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送E-mail)。从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器(网络引擎)。控制台用作制定及管理所有探测器(网络引擎)。探测器(网络引擎)用作监听进出网络的访问行为,根据控制台的指令执行相应行为。由于探测器采取的是监听而不是过滤数据包,因此,入侵检测系统的应用不会对网络系统性能造成多大影响。入侵检测系统的设置如下图:
页脚内容
第一部分认同和承诺
从上图可知,入侵检测仪在网络接如上与VPN设备并接使用。入侵检测仪在使用上是独立网络使用的,网络数据全部通过VPN设备,而入侵检测设备在网络上进行疹听,监控网络状况,一旦发现攻击行为将通过报警、通知VPN设备中断网络(即IDS与VPN联动功能)等方式进行控制(即安全设备自适应机制),最后将攻击行为进行日志记录以供以后审查。
4、总结随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全
性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
页脚内容
篇十二:网络安全设计方案总结
P> 驱动部分免疫标记网络协议的融合行为特征和网络行为的融合全网设备的联动驱动与驱动的联动ip地址冲突运营中心和网关的联动外网攻击上下线可信接入mac地址的可信类似于dna生物身份传输的可信免疫标记深度防御和控制深入到每个终端的网卡深入到协议的最低层深入到二级路由多级路由器下精细带宽管理身份精细ipmac的精确位置精确终端驱动路径细分特殊的ip应用流控qqmsn业务感知协议区分和应用感知它与防火墙fw入侵检测系统ids防病毒等老三样组成的安全网络相比突破了被动防御边界防护的局限着重从内网的角度解决攻击问题应对目前网络攻击复杂性多样性更多从内网发起的趋势更有效地解决网络威同时安全和管理密不可分目录1、网络安全问题………………………………………………32、设计的安全性………………………………………………3可用性…………………………………………………………..3机密性…………………………………………………………..3完整性…………………………………………………………..3可控性…………………………………………………………..3可审查性………………………………………………………..3访问控制………………………………………………………..3数据加密………………………………………………………..3安全审计………………………………………………………..33、安全设计方案………………………………………………5设备选型………………………………………………………..5网络安全………………………………………………………..7访问控制………………………………………………………...9入侵检测………………………………………………………..104、总结…………………………………………………………11
1、网络安全问题随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。矚慫润厲钐瘗睞枥庑赖。大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。聞創沟燴鐺險爱氇谴净。网络安全性可以被粗略地分为4个相互交织的部分:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方
1
的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来残骛楼諍锩瀨濟溆塹籟。2、设计的安全性通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即,酽锕极額閉镇桧猪訣锥。可用性:授权实体有权访问数据机密性:信息不暴露给未授权实体或进程完整性:保证数据不被未授权修改可控性:控制授权范围内的信息流向及操作方式可审查性:对出现的安全问题提供依据与手段访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。彈贸摄尔霁毙攬砖卤庑。数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。安全审计:是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏謀荞抟箧飆鐸怼类蒋薔。针对企业现阶段网络系统的网络结构和业务流程,结合企业今后进行的网络化应用范围的拓展考虑,企业网主要的安全威胁和安全漏洞包括以下几方面:(1)内部窃密和破坏由于企业网络上同时接入了其它部门的网络系统,因此容易出现其它部门不怀好意的人员(或外部非法人员利用其它部门的计算机)通过网络进入内部网络,并进一步窃取和破坏其中的重要信息(如领导的网络帐号和口令、重要文件等),因此这种风险是必须采取措施进行防范的。(2)搭线(网络)窃听这种威胁是网络最容易发生的。攻击者可以采用如Sniffer等网络协议分析工具,在INTERNET网络安全的薄弱处进入INTERNET,并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息)的内容。对企业网络系统来讲,由于存在跨越INTERNET的内部通信(与上级、下级)这种威胁等级是相当高的,因此也是本方案考虑的重点。(3)假冒这种威胁既可能来自企业网内部用户,也可能来自INTERNET内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户,诱骗其他用户或系统管理员,从而获得用户名/口令等敏感信息,进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。
2
(4)完整性破坏这种威胁主要指信息在传输过程中或者存储期间被篡改或修改,使得信息/数据失去了原有的真实性,从而变得不可用或造成广泛的负面影响。由于XXX企业网内有许多重要信息,因此那些不怀好意的用户和非法用户就会通过网络对没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息,从而影响工作的正常进行。(5)其它网络的攻击企业网络系统是接入到INTERNET上的,这样就有可能会遭到INTERNET上黑客、恶意用户等的网络攻击,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等。因此这也是需要采取相应的安全措施进行防范。(6)管理及操作人员缺乏安全知识由于信息和网络技术发展迅猛,信息的应用和安全技术相对滞后,用户在引入和采用安全设备和系统时,缺乏全面和深入的培训和学习,对信息安全的重要性与技术认识不足,很容易使安全设备/系统成为摆设,不能使其发挥正确的作用。如本来对某些通信和操作需要限制,为了方便,设置成全开放状态等等,从而出现网络漏洞。由于网络安全产品的技术含量大,因此,对操作管理人员的培训显得尤为重要。这样,使安全设备能够尽量发挥其作用,避免使用上的漏洞。(7)雷击由于网络系统中涉及很多的网络设备、终端、线路等,而这些都是通过通信电缆进行传输,因此极易受到雷击,造成连锁反应,使整个网络瘫痪,设备损坏,造成严重后果。因此,为避免遭受感应雷击的危害和静电干扰、电磁辐射干扰等引起的瞬间电压浪涌电压的损坏,有必要对整个网络系统采取相应的防雷措施。
厦礴恳蹒骈時盡继價骚。
3、网络安全设计方案
(1)网络拓扑结构图
3
设备选型传统的组网已经不能满足现在网络应用的变化了,在组网的初期必须考虑到安全和网络的问题,考虑到这个问题我们就不能不考虑免疫网络的作用以及前景如何。茕桢广鳓鯡选块网羈泪。免疫网络——免疫网络是企业信息网络的一种安全形式。“免疫”是生物医学的名词,它指的是人体所具有的“生理防御、自身稳定与免疫监视”的特定功能。就像我们耳熟能详的电脑病毒一样,在电脑行业,“病毒”就是对医学名词形象的借用。同样,“免疫”也被借用于说明计算机网络的一种能力和作用。免疫就是让企业的内部网络也像人体一样具备“防御、稳定、监视”的功能。这样的网络就称之为免疫网络。鹅娅尽損鹌惨歷茏鴛賴。免疫网络的主要理念是自主防御和管理,它通过源头抑制、群防群控、全网联动使网络内每一个节点都具有安全功能,在面临攻击时调动各种安全资源进行应对。籟丛妈羥为贍偾蛏练淨。它具有安全和网络功能融合、全网设备联动、可信接入、深度防御和控制、精细带宽管理、业务感知、全网监测评估等主要特征。預頌圣鉉儐歲龈讶骅籴。下面让我们看看这几个特征的距离内容安全和网络功能的融合①网络架构的融合,主要包括网关和终端的融合网关方面:ARP先天免疫原理—NAT表中添加源MAC地址滤窗防火墙—封包检测,IP分片检查
4
UDP洪水终端方面:驱动部分—免疫标记②网络协议的融合—行为特征和网络行为的融合全网设备的联动①驱动与运营中心的联动分收策略②驱动与驱动的联动IP地址冲突③网关和驱动的联动群防群控④运营中心和网关的联动(外网攻击,上下线可信接入①MAC地址的可信(类似于DNA),生物身份②传输的可信(免疫标记)深度防御和控制①深入到每个终端的网卡深入到协议的最低层深入到二级路由,多级路由器下精细带宽管理①身份精细—IP/MAC的精确②位置精确—终端驱动③路径细分(特殊的IP)④流量去向(内,公网)⑤应用流控(QQ,MSN)业务感知协议区分和应用感知它与防火墙(FW)、入侵检测系统(IDS)、防病毒等“老三样”组成的安全网络相比,突破了被动防御、边界防护的局限,着重从内网的角度解决攻击问题,应对目前网络攻击复杂性、多样性、更多从内网发起的趋势,更有效地解决网络威胁。渗釤呛俨匀谔鱉调硯錦。同时,安全和管理密不可分。免疫网络对基于可信身份的带宽管理、业务感知和控制,以及对全网安全问题和工作效能的监测、分析、统计、评估,保证了企业网络的可管可控,大大提高了通信效率和可靠性。铙誅卧泻噦圣骋贶頂廡。
安全架构分析根据企业网络现状及发展趋势,主要安全措施从以下几个方面进行考虑:网络传输保护主要是数据加密保护主要网络安全隔离通用措施是采用防火墙网络病毒防护
5
采用网络防病毒系统广域网接入部分的入侵检测采用入侵检测系统系统漏洞分析采用漏洞分析设备定期安全审计主要包括两部分:内容审计和网络通信审计重要数据的备份重要信息点的防电磁泄露网络安全结构的可伸缩性包括安全设备的可伸缩性,即能根据用户的需要随时进行规模、功能扩展网络防雷擁締凤袜备訊顎轮烂蔷。
(2)网络安全作为企业应用业务系统的承载平台,网络系统的安全显得尤为重要。由于许多重要的信息都通过网络进行交换,网络传输由于企业中心内部网络存在两套网络系统,其中一套为企业内部网络,主要运行的是内部办公、业务系统等;另一套是与INTERNET相连,通过ADSL接入,并与企业系统内部的上、下级机构网络相连。通过公共线路建立跨越INTERNET的企业集团内部局域网,并通过网络进行数据交换、信息共享。而INTERNET本身就缺乏有效的安全保护,如果不采取相应的安全措施,易受到来自网络上任意主机的监听而造成重要信息的泄密或非法篡改,产生严重的后果。由于现在越来越多的政府、金融机构、企业等用户采用VPN技术来构建它们的跨越公共网络的内联网系统,因此在本解决方案中对网络传输安全部分推荐采用VPN设备来构建内联网。可在每级管理域内设置一套VPN设备,由VPN设备实现网络传输的加密保护。根据企业三级网络结构,VPN设置如下图所示:贓熱俣阃
歲匱阊邺镓騷。
6
图为三级VPN设置拓扑图每一级的设置及管理方法相同。即在每一级的中心网络安装一台VPN设备和一台VPN认证服务器(VPN-CA),在所属的直属单位的网络接入处安装一台VPN设备,由上级的VPN认证服务器通过网络对下一级的VPN设备进行集中统一的网络化管理。可达到以下几个目的:网络传输数据保护由安装在网络上的VPN设备实现各内部网络之间的数据传输加密保护,并可同时采取加密或隧道的方式进行传输网络隔离保护与INTERNET进行隔离,控制内网与INTERNET的相互访问集中统一管理,提高网络安全性降低成本(设备成本和维护成本)其中,在各级中心网络的VPN设备设置如下图:坛摶乡囂忏蒌鍥铃氈淚。
图为中心网络VPN设置图由一台VPN管理机对CA、中心VPN设备、分支机构VPN设备进行统一网络管理。将对外服务器放置于VPN设备的DMZ口与内部网络进行隔离,禁止外网直接访问内网,控制内网的对外访问、记录日志。这样即使服务器被攻破,内部网络仍然安全。
7
下级单位的VPN设备放置如下图所示:蜡變黲癟報伥铉锚鈰赘。
图为下级单位VPN设置图从图可知,下属机构的VPN设备放置于内部网络与路由器之间,其配置、管理由上级机构通过网络实现,下属机构不需要做任何的管理,仅需要检查是否通电即可。由于安全设备属于特殊的网络设备,其维护、管理需要相应的专业人员,而采取这种管理方式以后,就可以降低下属机构的维护成本和对专业技术人员的要求,这对有着庞大下属、分支机构的单位来讲将是一笔不小的费用。由于网络安全的是一个综合的系统工程,是由许多因素决定的,而不是仅仅采用高档的安全产品就能解决,因此对安全设备的管理就显得尤为重要。由于一般的安全产品在管理上是各自管理,因而很容易因为某个设备的设置不当,而使整个网络出现重大的安全隐患。而用户的技术人员往往不可能都是专业的,因此,容易出现上述现象;同时,每个维护人员的水平也有差异,容易出现相互配置上的错误使网络中断。所以,在安全设备的选择上应当选择可以进行网络化集中管理的设备,这样,由少量的专业人员对主要安全设备进行管理、配置,提高整体网络的安全性和稳定性。(3)访问控制由于企业广域网网络部分通过公共网络建立,其在网络上必定会受到来自INTERNET上许多非法用户的攻击和访问,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等,因此,采取相应的安全措施是必不可少的。通常,对网络的访问控制最成熟的是采用防火墙技术来实现的,本方案中选择带防火墙功能的VPN设备来实现网络安全隔离,可满足以下几个方面的要求:控制外部合法用户对内部网络的网络访问;控制外部合法用户对服务器的访问;禁止外部非法用户对内部网络的访问;控制内部用户对外部网络的网络;阻止外部用户对内部的网络攻击;防止内部主机的IP欺骗;对外隐藏内部IP地址和网络拓扑结构;网络监控;网络日志审计;详细配置拓扑图见图由于采用防火墙、VPN技术融为一体的安全设备,并采取网络化的统一管理,因此具有以下几个方面的优点:管理、维护简单、方便;安全性高(可有效降低在安全设备使用上的配置漏洞);硬件成本和维护成本低;网络运行的稳定性更高
8
由于是采用一体化设备,比之传统解决方案中采用防火墙和加密机两个设备而言,其稳定性更高,故障率更低。(4)入侵检测网络安全不可能完全依靠单一产品来实现,网络安全是个整体的,必须配相应的安全产品。作为必要的补充,入侵检测系统(IDS)可与安全VPN系统形成互补。入侵检测系统是根据已有的、最新的和可预见的攻击手段的信息代码对进出网络的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送E-mail)。从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器(网络引擎)。控制台用作制定及管理所有探测器(网络引擎)。探测器(网络引擎)用作监听进出网络的访问行为,根据控制台的指令执行相应行为。由于探测器采取的是监听而不是过滤数据包,因此,入侵检测系统的应用不会对网络系统性能造成多大影响。買鲷鴯譖昙膚遙闫撷凄。入侵检测系统的设置如下图:
从上图可知,入侵检测仪在网络接如上与VPN设备并接使用。入侵检测仪在使用上是独立网络使用的,网络数据全部通过VPN设备,而入侵检测设备在网络上进行疹听,监控网络状况,一旦发现攻击行为将通过报警、通知VPN设备中断网络(即IDS与VPN联动功能)等方式进行控制(即安全设备自适应机制),最后将攻击行为进行日志记录以供以后审查。綾镝鯛駕櫬鹕踪韦辚糴。
9
4、总结随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。驅踬髏彦浃绥譎饴憂锦。
10
推荐访问:网络安全设计方案总结 网络安全 设计方案
上一篇:外语政策规划(3篇)
下一篇:危大工程清单报审表(6篇)