《网络安全系统设计方案.docx》由会员分享,可在线阅读,更多相关《网络安全系统设计方案.docx(6页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 第一章 前言 2 1.1 概述 2 第二章 系统安全需求分析 4 2.1 计算机网络环境描述 4 2.2 网络安全需求分析 5 第三章 网络安全解决方案设计 9 3.2 网络安全系统设计的原则 9 3.3 安全防范方案设计构思 10 3.4 总体设计架构 12 3.5 防火墙系统设计 13 3.5.1 方案原理 13 3.5.2 设计目标 14 3.5.3 部署说明 14 3.5.4 防火墙功能设置及安全策略 16 第四章 产品简介 18 4.1 防火墙简介 18 -1- 第一章 前言 1.1 概述 随着我国信息化建设的快速发展,各级单位和部门都正在建设或 者已经建成自己的信息网络,而随之而
2、来的网络安全问题也日益突 出。安全包括其上的信息数据安全,日益成为与公安、教育、司法、 军队、企业、个人的利益息息相关的“大事情” 。 结合国内的实际情况,网络安全涉及到网络系统的多个层次和多 个方面,而且它也是个动态变化的过程,因此,国内的网络安全实际 上是一项系统工程。它既涉及对外部攻击的有效防范,又包括制定完 善的内部安全保障制度;既涉及防病毒攻击,又涵盖实时检测、数据 加密和安全评估等内容。因此,网络安全解决方案不应仅仅提供对于 某种安全隐患的防范能力, 而是应涵盖对于各种可能造成网络安全问 题隐患的整体防范能力;同时,它还应该是一种动态的解决方案,能 够随着网络安全需求的增加而不断改
3、进和完善。 同时,网络安全服务在行业领域已逐渐成为一种产品。在信息化 建设过程中,国内用户面临的最大问题就是网络安全服务的缺乏。信 息安全服务已不再仅仅局限于产品售后服务,而是贯穿从前期咨询、 安全风险评估、 安全项目实施到安全培训、 售后技术支持、 系统维护、 产品更新这种项目周期的全过程。服务水平的高低,在一定程度上反 映了厂商的实力, 厂商的安全管理水平也成为阻碍用户对安全问题认 识的一个主要方面。这就对安全厂商提出了比较高的要求,如何为用 -2- 户服务、并使用户满意,已经成为每个网络安全产品厂商和解决方案 提供者需要认真思考的问题。 在 XXX 网络络安全方案初步设想的基础上, 根据
4、 XXX 网络安全的 切合实际、 保护投资、 着眼未来、 分步建设的原则, 特点和需求, 本着切合实际、 切合实际 保护投资、 着眼未来、 分步建设 提出了针对 XXX 网络安全需求的解决方案。 -3- 第二章 第二章 系统安全需求分析 系统安全需求分析 安全 2.1 计算机网络环境描述 随着 XXX 系统信息化需求的不断增长,网络应用的不断扩展、 现有的信息基础设施和信息系统安全措施逐渐暴露出了诸多问题, 如 原有的信息系统业务信息化程度较低,安全方面考虑较少,所以在网 络和信息安全及其管理方面的基础非常薄弱: 整体上没有成熟的安全 体系结构的设计, 管理上缺乏安全标准和制度, 应用中缺乏实
5、践经验; 信息系统缺乏有效的评估与审计,外网的接入无完善的保护措施等 等。其网络拓扑如下图所示: 网络拓扑图说明: 网络拓扑图说明: XXX 网络以一台路由器连接到互连网。 XXX 网络内部设立五台服务器。 XXX 网络内部设立有多了 LAN,通过路由器连接互连网。 -4- 网络安全需求分析 2.2 网络安全需求分析 主要的网络安全风险主要体现在如下几个方面:内部局域网风 险、应用服务安全风险、互联网风险,我们将对 XXX 网络各个层面存 在的安全风险进行需求分析: 内部局域网风险分析 主要是保证 XXX 网络结构的安全、在网络层加强访问控制能力、 加强对攻击的实时检测能力和先于入侵者发现网络
6、中存在漏洞的能 力;加强全网的安全防范能力。具体可以概括为: 在 XXX 网络中,保证非授权用户不能访问任何一台服务器、路由 器、交换机或防火墙等网络设备。 内部网络与外部网络(相对于本 地局域网以外的网络) ,考虑采用硬件防火墙设备进行逻辑隔离,控 制来自内外网络的用户对重要业务系统的访问。 在 XXX 网络上,一般来说,只允许内部用户访问 Internet 上的 HTTP、FTP、TELNET、邮件等服务,而不允许访问更多的服务;更进 一步的是要能够控制内部用户访问外部的非授权色情暴力等非法网 站、 网页, 以防员工利用网络之便上黄色网站、 聊天、 打网络游戏等, 导致办公效率降低。 应用
7、层的安全风险分析 系统中各个节点有各种应用服务,这些应用服务提供给 XXX 网络 内部各级单位使用, 如果不能防止未经验证的操作人员利用应用系统 的脆弱性来攻击应用系统,会造成系统数据丢失、数据更改、非法获 得数据等。 -5- 防火墙的访问控制功能能够很好的对使用应用服务的用户进行 严格的控制, 配合以入侵检测系统就能安全的保护信息网的各种应用 系统。 WWW 服务器安全风险 服务器崩溃,各种 WEB 应用服务停止; WEB 服务脚本的安全漏洞,远程溢出(.Printer 漏洞); 通过 WEB 服务服务获取系统的超级用户特权; WEB 页面被恶意删改; 通过 WEB 服务上传木马等非法后门程
8、序,以达到对整个服务器的 控制; WEB 服务器的数据源,被非法入侵,用户的一些私有信息被窃; 利用 WEB 服务器作为跳板,进而攻击内部的重要数据库服务器; 拒绝服务器攻击或分布式拒绝服务攻击; 针对 IIS 攻击的工具,如 IIS Crash; 各种网络病毒的侵袭,如 Nimda,Redcode II 等; 恶意的 JavaApplet,Active X 攻击等; WEB 服务的某些目录可写; CGI-BIN 目录未授权可写,采用默认设置,一些系统程序没有删 除。 软件的漏洞或者“后门” 软件的漏洞或者“后门” 随着软件类型的多样化,软件上的漏洞也是日益增加,一些系统 软件、桌面软件等等都
9、被发现过存在安全隐患。可以说任何一个软件 -6- 系统都可能会因为程序员的一个疏忽、 设计中的一个缺陷等原因而存 在漏洞,这也是 XXX 网络网信息安全的主要威胁之一。 资源共享 XXX 网络系统内部自动化办公系统。因为缺少必要的访问控制策 略。而办公网络应用通常是共享网络资源,比如文件共享、打印机共 享等。由此就可能存在着:同事有意、无意把硬盘中重要信息目录共 享,长期暴露在网络邻居上,可能被外部人员轻易偷取或被内部其他 用户窃取并传播出去造成泄密. 电子邮件为网络系统用户提供电子邮件应用。内部网用户能够通 过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或 收到一些特洛伊木马、 病
10、毒程序等, 由于许多用户安全意识比较淡薄, 对一些来历不明的邮件,没有警惕性,给入侵者提供机会,给系统带 来不安全因素。 服务漏洞 Web 服务器本身不能保证没有漏洞,不法分子可能利用服务的漏 洞修改页面,甚至破坏服务器。系统中的 BUG,使得黑客可以远程对 公开服务器发出指令,从而导致对系统进行修改和损坏,包括无限制 地向服务器发出大量指令,以至于服务器“拒绝服务” ,最终引起整 个系统的崩溃。这就要求我们必须提高服务器的抗破坏能力,防止拒 绝服务(D.O.S)或分布式拒绝服务(DDOS)之类的恶意攻击,提高 . . 服务器备份与恢复、防篡改与自动修复能力。 数据信息的安全风险分析 -7-
11、数据安全对 XXX 网络来说是至关重要的,在网上传输的数据可能 存在保密性质,而出于网络本身的自由、广泛等特性,数据在广域网 线路上传输,很难保证在传输过程中不被非法窃取和篡改。黑客或一 些不法份子会通过一些手段,设法在线路上获得传输的数据信息,造 成信息的泄密。对于 XXX 网络信息通信网来说,数据丢失、破坏、被 修改或泄漏等情况都是不允许发生的。 互连网的安全风险分析 因特网的共享性和开放性使网上信息安全存在先天不足,因为其 赖以生存的 TCP/IP 协议族,缺乏相应的安全机制,而且因特网最初 的设计考虑是该网不会因局部故障而影响信息的传输, 基本没有考虑 安全问题,因此他在安全可靠、服务
12、质量、带宽和方便性等方面存在 着不适应性。 同时网上有各种各样的人, 他们的意图也是形形色色的。 所以说当连入 Internet 时,网络便面临着严重的安全威胁。每天黑 客都在试图闯入 Internet 节点,如果不保持警惕,很容易被入侵, 甚至连黑客怎么闯入都不知道, 而且该系统还可能成为黑客入侵其他 网络系统的跳板。影响所及,还可能涉及许多其它安全敏感领域,如 网络传输中的数据被黑客篡改和删除,其后果将不堪设想。 -8- 第三章 网络安全解决方案设计 网络安全解决方案设计 3.2 网络安全系统设计的原则 网络安全系统设计的原则 结合 XXX 网络的实际情况, 针对目前计算机网络硬件安全设备
13、的 总体设计和实施,依据国家有关信息安全政策、法规,根据 XXX 网络 工作实际需要和我国政府工作信息化建设的实际情况,使之达到安 全、可靠运行、节俭使用,便于工作和管理维护,符合国家有关规定 信息安全系统的设计和实现应遵循如下原则: 通用性原则: 通用性原则:系统设计所选择的设备具有一定的通用性,采用 标准的技术、结构、系统组件和用户接口,支持所有流行的网络 标准及协议。 综合性原则: 综合性原则:网络安全不单靠技术措施,必须结合管理,当前 我国发生的网络安全问题中,管理问题占相当大的比例,在建立 网络安全设施体系的同时必须建立相应的制度和管理体系。 标准化原则: 标准化原则:有效的降低用户
14、安全风险以及成本折中。 节约性原则: 整体方案的设计应该尽可能的不改变原来网络的 节约性原则: 设备和环境,以免资源的浪费和重复投资。 集中性原则: 所有的安全产品要求在管理中心可以进行集中管 集中性原则: 理,这样才能保证在网管中心的服务器上可以掌握全局。 角色化原则: 角色化原则:防火墙、入侵检测和漏洞扫描产品在管理上面不 仅在管理中心可以完全控制外, 在地方节点还需要分配适当的 角色使地方可以在自己的权利下修改和查看防火墙和入侵检 -9- 测策略和审计。 可靠性原则:网络中心网络不允许有异常情况发生,因为一旦 可靠性原则: 网络发生异常情况,就会带来很大的损失。同时又由于一些网 络设备一
15、旦发生故障,网络便会断开,比如防火墙、入侵检测 设备。在这种情况下,就必须要求这些性质的安全产品需要有 很高的性能,从而保障网络运行的可靠性。 可扩展性原则:由于网络技术更新比较快,而且针对 XXX 网络 可扩展性原则: 本次安全项目的实际情况, 因此整体系统需要有很好的可扩展 性和可升级性, 主要是为 XXX 网络以后网络安全系统和其他安 全系统提供优越的条件。 性价比原则: 整个系统应具有较高的性能价格比并能够很好地 性价比原则: 保护投资。 高效性原则: 整个系统应具备较高的资源利用率并便于管理和 高效性原则: 维护。 3.3 安全防范方案设计构思 我们以防火墙为重点,结合漏洞检测和安全
16、评估技术、访问控制 和安全管理等技术,主要从网络边界、内部重要网段、关键主机等三 个方面综合地为用户进行防护管理, 以使客户能达到尽量完整的安全 防御措施的目的。而且,客户也可以通过分析参考防护系统所反馈的 信息, 充分调动人员的能动性, 逐步实现对自身网络资源的高效管理。 网络边界的安全和管理 网络边界的安全和管理 - 10 - 内部网和外部公用信息网的连接处为网络边界, 通常情况下网络 边界是最薄弱、最容易被攻击的地方,所以企业最先考虑对该处的防 护和管理。通过采取对进出网络数据流的监测、分析、过滤或计量等 方式,以包过滤、地址转换、包状态检测、应用代理、流量统计或带 宽控制等技术,来实现
17、对 Internet 出口处的统一、有效的管理。 内部网段的安全 在内部局域网中,有的网段(也包括指 VLAN、DMZ 区)运行 着非常重要的业务应用,它们对数据、系统的安全性和可靠性都很高 的要求,所以要与其它的网段进行一定的隔离措施,以防止受到内外 人员的攻击或误操作行为的干扰或破坏;同时,要对网段内的活动状 况进行实时的监控和记录。一旦有非正常的事件发生,便可以及时地 报警或响应,也可以根据相应的记录进行事因调查和责任追踪。 关键主机的安全 某些关键主机承载着至关重要的数据信息和业务系统, 有时候可 能关系到 XXX 发展或生死存亡的命运。重点保护关键服务器是非常 有实际意义的安全措施。
18、 通过对进出主机数据包的检查和过滤及对主 机系统活动状态、日志事件的监测和分析,实时地保护系统和文件数 据的完整性和可靠性,保证服务器始终处于良好的工作状态。 网络脆弱性检测和系统评估 准确认识自身网络系统的安全状况,对于 XXX 如何有效采取安 全措施及如何正确制定安全策略是很有指导意义的。 漏洞检测和安全 - 11 - 评估系统采用先进的网络扫描技术对各个网络对象 (路由器、 防火墙、 服务器、工作站等)进行深入的检测和分析,及时地发现网络系统中 存在的安全隐患或漏洞,为系统员提供详细全面的第一手安全资料。 3.4 总体设计架构 针对上面的安全层次,依据我们的安全系统设计原则,并结合 XX
19、X 网络系统的实际情况和需求,采用一系列产品搭建安全防范体 系, 通过安全技术和管理手段, 由防火墙替换原来的路由器实现 NAT 功能, 达到接入公网的目的。 使安全产品充分发挥其安全保护的作用。 我们将 XXX 网络系统划分为: 网络边界的公网接入区; 内部网段; 公网服务器区; 等三大区域,并提出综合的解决方案。 此网络安全解决方案解决了公网接入区、公网服务器区、内网的 物理层、网络层、系统层、应用层、管理层等不同层面存在的网络安 全问题。 整体安全系统设计如下: - 12 - 3.5 防火墙系统设计 3.5.1 3.5.1 方案原理 内部网络和外部公用信息网的连接处为网络边界。 通常情况
20、下, 网络边界是最薄弱、最容易被攻击的地方,所以应该最先考虑对该处 的防护和管理。 对于 XXX 网络与公网的连接出口,首先需要使用防火墙进行防 护。所有外部互联网、内网和公网服务器区的相互访问必须受到防火 墙的访问控制。 对于 XXX 网络来说,我们本着合理投资,充分应用的原则,从 实用性的角度配置使用 Cisco PIX 515E 防火墙。Cisco PIX 515E 防火 墙可以提供业界领先的状态防火墙和 IP 安全(IPSec)虚拟专用网服 务。Cisco PIX 515E 针对中小型企业和企业远程办公机构而设计,具 有更强的处理能力和集成化的、基于硬件的 IPSec 加速功能。 数据
21、的可靠性、安全性是用户对于网络系统最重要的考虑。为 - 13 - 了实现设计目标,我们在数据中心与 Internet 广域网接入处部署 Cisco PIX 515E 防火墙,用于限制外部网络对数据中心内网资源(含 公网服务器区)的非法访问,保护数据中心内网上的各种信息资源。 3.5.2 设计目标 防火墙的作用是对外部互联网访问内网和内网访问互联网实施 访问控制策略。用于 XXX 网络与外部互联网的相互访问,以确保可 以访问网络或网络服务的用户不会破坏这些网络服务的安全,保证: 在数据中心、远程拨号用户、 在数据中心、远程拨号用户、分支机构或公用网之间要有合适的 界面; 界面; 控制用户访问信息
22、服务。 控制用户访问信息服务。 不安全地连接到网络服务会影响整个机构的安全,所以,只能让 用户直接访问已明确授权使用的服务和已明确授权使用的内容。 这种 安全控制对连接敏感或重要业务的网络,或连接到在高风险地方(例 如不在安全管理及控制范围的公用或外部地方)的用户尤其重要。 数据的可靠性、安全性是用户对于数据存储系统最重要的考虑。 为了实现设计目标,我们在数据中心与 Internet 广域网接入处部署公 网百兆防火墙。由于防火墙必须具有优良的性能、完善的功能,我们 推荐 CISCO PIX-515E-UR-BUN 防火墙, 用于限制外部网络对数据中 心内网资源(含公网服务器区)的非法访问,保护
23、数据中心内网上的 各种信息资源。 3.5.3 部署说明 由于 XXX 网络的核心重点保护的对象之一是为外部服务的公网 - 14 - 服务器群, WEB、 而 Mail 等又是容易攻击的对象, 以合理保护为原则, 所以将公网服务器群所在的网段接入 CISCO PIX-515E-UR-BUN 防 火墙的 DMZ 区。无论是 XXX 网络内部的用户,还是 XXX 以外的用户, 只要想访问 WEB、Mail 等服务器,都必须经过防火墙的访问控制。同 时在 CISCO PIX-515E-UR-BUN 防火墙上设置双向 NAT 转换, 使得内 网通过内部 IP 地址访问 Internet。公网用户可以通过
24、 CISCO PIX-515E-UR-BUN 防火墙映射的公网地址访问内部隐藏掉合法地址 的服务器所提供的服务,在 CISCO PIX-515E-UR-BUN 防火墙上启动 多级内容过滤功能, 以限制内部员工访问反动、 黄色和其他不良网站, 同时可以对 URL、http 携带的 Java Applet、JavaScript、ActiveX 等可能含有木马的程序进行过滤,防止其利用内部网系统进行破坏。 这台防火墙对远程拨号用户、 分支机构及公网用户对数据中心网 络的访问进行严格控制, 禁止掉不必要的端口, 防止其利用协议漏洞、 IP 欺骗等手段对计费业务网的机密数据造成破坏。同时,我们方案 产品
25、选型时,考虑了和入侵检测联动的效果,在网络通讯的边缘把入 侵行为阻断掉。 CISCO PIX-515E-UR-BUN 防火墙的 DMZ 口接公网服务器区的交 换机,形成对 DMZ 区的保护。使 WEB、Mail、DNS 组成的对外提供服 务的服务器与内部机密网络完全隔离,并且他们可以采用隐藏 IP 地 址的方式来保护自己,以及把不提供服务的端口全部关掉,这样就既 不影响对外提供服务,也很好的保护了内网机密数据的安全性,杜绝 - 15 - 了黑客有可能通过公网服务器为跳板进入内网。 CISCO PIX-515E-UR-BUN 防火墙具有较强的日志记录、分析,可以 对流经网络的数据包做详细的记录,
26、这样可以对访问机密数据的 用户进行跟踪、记录,使恶意破坏有章可寻。 3.5.4 防火墙功能设置及安全策略 完善的访问控制 规则控制:通过 CISCO PIX-515E-UR-BUN 防火墙提供的基于 规则控制: TCP/IP 协议中各个环节进行安全控制,生成完整安全的访问控制表, 这个表包括: 外网(Internet)对内部数据库服务器、网络功能服务器、业 外网( ) 务服务器以及 DMZ 区服务器访问控制。 将外部对内部 (内部局域网) 、 DMZ 内服务访问明确限制,防止非法对内部重要系统,特别是业务 系统的访问。 利用 DMZ 的隔离效果, 将对外服务的部分服务器 (www 服务器、Em
27、ail 服务器)放置在 DMZ 区域,通过配置访问控制,保 护 DMZ 区和内部网络免受攻击。关闭操作系统提供的除需要以外的 所有服务和应用, 防止因为这些服务和应用自身的漏洞给系统带来的 风险。对内部数据库服务器、网络功能服务器、业务服务器的访问做 严格的规划和限制,防止恶意攻击行为发生。 内部网络:内部网络(内部局域网)到外部网络(Internet) 内部网络: 也要进行严格的限制。防止内部员工对外网资源的非法访问。对内部 员工对外访问采用 NAT 方式访问。同时内部员工对 DMZ 区域服务 器访问也必须做限制。内部员工对外网 WWW 访问采用代理方式。 - 16 - DMZ 访问:通常情
28、况下 DMZ 对外部和内部都不能主动进行 访问: 访问,除非特殊的应用需要到内部网络采集数据,可以有限地开放部 分服务。 借助防火墙提供的基于状态包过滤技术对数据的各个方向采用 全面安全的技术策略,制定严格完善的访问控制策略保证从 IP 到传 输层的数据安全。针对 XXX 网络系统中的网络风险可以通过严格的 访问控制表来进行限制。 被动防御和主动防御 被动防御是指通过防火墙预置策略和防御阀值实施静态防护, CISCO PIX-515E-UR-BUN 防火墙通过其深层的状态检测技术和内建 防御策略可以有效防止多种攻击,如 ICMP 重定向、IP 来源路由、 DOS&DDOS、CGI 漏洞和 IC
29、MP 等攻击。 - 17 - 第四章 产品简介 4.1 防火墙简介 CISCO PIX-515E-UR-BUN 主要参数 设备类型 网络吞吐量 用户数限制 入侵检测 百兆级防火墙 188Mpps 无限制 DoS、IDS UL 1950,CSA C22.2 No. 950, EN 60950,IEC 6 安全标准 0950,AS/NZS3260,TS001,IEC60825,EN 60825,21 CFR1040 控制端口 管理 VPN 支持 处理器 RS-232 CSPM、PDM 支持 433MHz Intel 赛扬 CISCO PIX-515E-UR-BUN 一般参数 工作温度:-5-55、工作湿度:5%到 95% 非冷 适用环境 凝、存储温度:-25-70、存储湿度:5%-95% 非 冷凝 电源 100V-240V 交流或者 48V 直流 - 18 - 防火墙尺寸 防火墙重量 43.7427.2299.7mm 4.11kg - 19 -