网络信息安全解决方案

XXXX信息系统安全建设方案85 / 85文档可自由编辑目 录第1章项目概述51.1项目背景51.2项目目的6第2章信息系统现状及需求分析72.1信息系统现状72.1.1网络结构现状72.1.2信息系统现状72.2信息系统安全现状分析8第3章总体安全目标11第4章安全解决方案总体框架124.1网络安全124.2系统安全134.3应用安全144.4数据安全14第5章安全解决方案详细设计155.1网络安全建设165.1.1防火墙系统设计16防火墙系统部署意义16防火墙系统部署方式17防火墙系统部署后达到的效果195.1.2网络入侵防御系统设计21网络入侵防御系统部署意义21网络入侵防御系统部署方式22网络入侵防御系统部署后所达到的效果235.1.3病毒过滤网关系统设计25病毒过滤网关系统部署意义25病毒过滤网关系统部署方式27病毒过滤网关系统部署后达到的效果285.1.4网络入侵检测系统设计30入侵检测系统部署意义30入侵检测系统部署方式315.1.5VPN系统设计33VPN系统部署意义33VPN系统部署方式345.2系统安全建设375.2.1集中安全审计系统设计37集中安全审计系统部署意义37集中安全审计系统部署方式38集中安全审计系统部署后达到的效果395.2.2网络防病毒软件系统设计405.2.3终端管理系统设计42终端安全管理系统部署42终端管理系统部署后达到的效果445.2.4信息安全管理平台设计47信息安全管理平台部署意义47信息安全管理平台部署方式48信息安全管理平台部署后的效果485.2.5ERP系统服务器冗余备份机制设计505.3应用安全建设525.4数据安全建设52第6章XXXX信息系统安全建设管理制度建议556.1策略系列文档结构图556.2策略系列文档清单57第7章搬迁后网络拓扑规划61第8章安全解决方案整体实施效果63第9章第一期安全实施效果64缩写为了方便阅读，特将文中提及的术语及缩写列示如下：缩写解释XXXX第1章 项目概述1.1 项目背景一、化工行业面临的挑战 信息化和经济全球化正在迅速而深刻地改变着人类的生产和生活方式，改变着国与国之间、企业与企业之间的生存和竞争环境。加入WTO之后，我国企业正直接地、全面地面对国际市场的全方位竞争。形势要求我们加快采用现代信息技术和网络技术及与之相适应的现代管理方式来改造和提升传统产业，推动产业的优化和升级。信息化是个大战略。推进化工企业信息化，不是政府要我们做或者政府出钱支持我们做我们才做的事情，它是化工行业自身提高竞争力、适应新经济、实现现代化的内在需要，是化工企业适应国际环境、融入全球经济的战略选择。企业信息化建设的新浪潮正在给中国化工企业的经营管理带来深刻变革。众所周知，中国作为发展中国家，工业化进程是不可逾越的一个过程。在这个高速发展的过程中，快速的积累社会财富则必然带来资源大量消耗的矛盾。中国要走新型工业化道路，降低资源消耗、减少环境污染是核心。由于国内需求的拉动和世界经济的影响，新世纪伊始，化工工业进入了高速发展时期，在产能快速增长的同时，资源消耗过大、环境污染严重的化工工业必然面临各种资源、能源紧缺和环境保护的双重压力。为了引导化工工业可持续健康发展，化工工业走循环经济的发展方向，必须采用工程科学技术，提高资源、能源综合利用，减少环境污染，把挑战转化为机遇，使化工工业在新型工业化道路上健康稳步迈进， 坚持以信息化带动工业化，以工业化促进信息化，走出一条科技含量高、经济效益好、资源消耗低、环境污染少、人力资源优势得到充分发挥的新型工业化路子，实现跨越式发展和可持续发展。二、信息化是化工工业合理利用资源，实现可持续发展的重要途径中国化工工业为了提高产品质量、减少废次品、降低成本、合理组织生产、能源综合利用、清洁化生产、管理流程优化、最大限度地满足客户个性化的需求，需要以信息技术为手段、以管理创新、技术创新、制度创新为动力，改造落后装备，实现生产过程自动化、管理信息化。信息化为中国化工工业走新型工业化道路提供了重要机遇。特别是在资源开发和利用中，使用先进的信息技术能够实现优化设计、制造和管理，通过对各种生产和消费过程进行数字化、智能化的实时监控，大大降低各种资源的消耗。对于中国化工企业来说，信息化是企业合理利用资源、降低资源消耗的重要途径。应用信息技术还可以在化工企业生产管理诸多方面发挥促进作用。例如：信息化能够为企业实现全面的、实时的、动态的监测和管理各种资源提供现代化手段，这些资源包括保证企业生产安全运营的水、电、煤、气、油以及原材料，能源信息管理系统、环保污染监控系统已经在化工企业得到应用；数据库技术可以对这些资源消耗量进行分析预测并作出预报预警，网络和通信技术可以将位于远程数据采集点的资源消耗的数据实时采集到信息系统中，进行统计分析；通过产销系统和制造执行系统的运行，保证产品质量，减少废次品，以销定产，以产定料，压缩库存，合理资源调配，避免能源和资源的浪费，提高资源能源的综合利用率；设备管理系统能够对设备的检点维修状况进行动态管理，防止设备未及时检修造成资源的跑冒滴漏现象发生；智能化仪表将各种资源使用情况准确记录下来等等，信息技术已经被广泛地应用于化工企业的各个环节并将发挥更大的作用。化工企业要积极利用信息技术在资源、环境领域的应用，推进绿色制造和清洁生产，合理利用资源，保护生态环境。这是我们在资源、能源缺乏的情况下推动化工工业化进程的良好途径。1.2 项目目的本方案依据与XXXX工程师的交流沟通，将对XXXX网络做出系统的全面优化设计。其目的在于构建XXXX整体网络安全体系架构，部署网络安全策略，保证XXXX的网络安全、系统管理都能有机整合。第2章 信息系统现状及需求分析2.1 信息系统现状2.1.1 网络结构现状XXXX信息系统现有网络拓扑图如图1.1所示：图1.1XXXX信息现有系统网络拓扑图2.1.2 信息系统现状XXXX网络系统目前市区厂区网络和开发区厂区网络组成，两个厂区使用2M专线进行互联。在开发区厂区网络中，接入一条10M带宽的互联网链路，互联网边界部署了一台Link Trust80防火墙，局域网网络使用星形接入方式，使用HP 5308XL交换机作为核心交换节点，根据办公楼、综合楼、中控楼等在核心交换机上划分不同VLAN，还有一台一卡通服务器直接接入核心交换机。在市区厂区网络中，接入一条100M带宽的互联网链路，互联网边界部署了一台Link Trust100防火墙，局域网网络使用星形接入方式，使用华为6503交换机作为核心交换节点，目前网络中有财务系统服务器、ERP系统（负责单位进销存）服务器、ERP系统数据备份服务器、文件服务器（采用共享方式）以及作为对外发布的FTP服务器。XXXX共有三百多台电脑，两个厂区分别采用星形组网方式，使用Vlan来防范网络间恶意攻击与破坏。通过划分VLAN子网，缩小了广播域，通过交换机把关键部门和其他部门或者把所有的部门划分到不同的VLAN内，实现部门间的逻辑隔离，避免了避免了广播风暴的产生，也可以防范网络间恶意攻击与破坏。提高交换网络的交换效率，保证网络稳定，提高网络安全性。2.2 信息系统安全现状分析XXXX信息化建设从无到有，经历了迅速建立与逐步改善的过程，在队伍建设、信息技术基础设施建设、应用系统的开发完善等方面取得了显著成绩，随着网络技术的不断发展，信息量的增加，网络规模的扩大，数据量，业务量的增加，网络安全方面的建设却显得滞后了。并且随着业务的不断增长和网络威胁的不断增多，XXXX的网络已经不能满足在现代高威胁网络环境下的安全需求。现有的系统网络缺乏完整的安全防护体系。目前的设备很难对用户的互联网访问进行有效的控制，导致网络极易感染病毒，网络大部分带宽被与工作无关的应用长期占用，严重影响单位的正常业务的运行。对互联网访问的内容无法实现有效的控制及审计。网络安全产品如防火墙、入侵检测、防病毒系统、终端管理、VPN系统等系统应用得还比较少，网络安全管理体系还未形成。另外针对已经部署的产品和系统合理有效的配置使用，使其充分发挥其安全防护作用方面，以及在对于突发性内外部恶意攻击等非常规的安全事件的快速有效响应所需的技术和管理措施方面，都还需要做进一步的工作。根据充分的调查研究，XXXX的信息系统安全建设的需求有以下四个方面：1、网络安全市区厂区和开发区厂区分别使用各自的互联网链路，每条互联网边界均部署了一台防火墙系统。这两台防火墙作分别提供XXXX两个厂区的用户上网和对外发布应用服务，随着上网用户和发布应用服务的增多，防火墙的负载将越来越来大，现有防火墙可能成为网络瓶颈。开发区厂区的一卡通服务器和客户机间没有安全防护措施，客户机对服务器可以进行任何操作。因为很多客户机可以上网，极易感染木马、病毒，客户机也可能会感染或攻击服务器，影响服务器应用的正常使用，造成难以估计的损失。因此需要加强用户对服务器的访问控制。同时市区厂区的财务系统服务器、ERP系统服务器、文件服务器等应用和客户机之间也缺乏安全防护措施。对外发布供外网用户使用的FTP服务器等应用也缺乏必要的安全保护措施。缺乏异常流量、恶意流量监控、审计和防御机制，现如今网络上存在着大量的不法黑客以及许多异常流量，对异常流量监测可以了解当前有哪些人通过非法的手段或途径访问了我们的系统或网络，及时了解网络的健康状态，通过这些信息可以采取一些相应的手段去解决问题，我们在采取法律手段时也无法提供了依据和证据。XXXX驻外办事处、出差等移动用户需要和总部实现数据共享，目前只能通过设置地址映射访问公网IP地址，由于驻外办事处和移动用户与服务器之间的数据通讯都是通过公网进行的，数据传输时无法做到数据的加密，无法保证通过公网进行传输的业务数据和敏感信息不被非法窃取、篡改，无法确保通信双方身份的真实性无法保证数据的传输安全。2、系统安全随着XXXX网络系统规模的迅速扩张，对终端管理系统的需求也随之增加。一方面，个人电脑、服务器和移动设备的数量正在随着XXXX网络应用规模的不断扩大而快速增加；另一方面，各种应用软件和补丁更新换代速度加快，来自企业内、外部的网络攻击也日益猖獗；终端用户擅装非法软件、擅自更改IP地址、擅自变更硬件配置、非法访问互联网、非法内联等问题的存在，却没有一套有效的辅助性管理工具，依然沿用传统的手工作业模式，缺乏采用统一策略下发并强制策略执行的机制，进行桌面安全监管、行为监管、系统监管和安全状态检测，实现对局域网内部桌面系统的管理和维护，能有效保护用户系统安全和机密数据安全。XXXX网络系统中部署众多的网络设备、安全设备、服务器、应用系统和数据库系统，这些系统在工作过程中将有针对性地记录各种网络运行日志，这些日志对于监控用户的网络安全状态，分析安全发展趋势，有着重要的意义，是用户网络安全管理的重要依据。但是，由于各网络安全产品一般独立工作、各自为战，产生的安全事件信息也是格式不一，内容不同，且数量巨大，导致安全管理员难于对这些信息进行综合分析，对网络中各种安全事件也就无法准确识别、及时响应，以致直接影响整个安全防御体系效能的有效发挥。 ERP系统作为XXXX进销存应用系统，其数据关系到整个XXXX业务的运行，为最大化保证业务的连续性，ERP系统服务器主机应采取可靠的冗余备份机制，确保在线业务处理和数据访问过程不会因为服务器系统故障而中断。在内网系统中，还没有配置一套整体的防病毒体系，对于现的网络环境来说无疑是给病毒的入侵埋下了极大的隐患。缺乏信息安全管理平台，通过信息安全平台集中同时实时的了解设备，服务器的运行状态和系统资源使用情况，大大提高了运维的效率，防止由于管理人员的遗漏造成问题解决的不及时。网络中的各产品之间没有联系，给管理工作带来了一定的难度，难以发挥应有的整体效果。另外利用目前的管理手段在网络审计、入侵检测和病毒监测等网络管理工具的使用过程中，对发现的违规操作或感染病毒的计算机，不能快速、准确定位，不能及时阻断有害侵袭并快速查出侵袭的设备和人员。3、应用安全目前XXXX文件服务器采用网上邻居共享访问的方式，文件服务器共享的资源可以被公司所有用户进行查看、下载、编辑、删除等动作，文件服务器缺乏用户认证机制，文件服务器数据缺乏安全性、私密性。另外使用网上邻居共享方式常会出现客户系统无法访问文件服务器的问题，通过网上邻居传输文件时使用netbios协议，然而现在有很多蠕虫病毒利用netbios协议的端口扫描网络主机漏洞、传输病毒文件，使病毒扩散到整个网络，最终导致系统崩溃、网络瘫痪，业务无法正常开展。 4、数据安全ERP系统作为XXXX进销存应用系统，其数据关系到整个XXXX业务的运行，其重要性不言而喻，目前ERP系统数据通过网络备份到另一台服务器上，使用硬盘作为数据备份存储介质故障率很高，存在很大的数据安全风险。另外财务系统也存在数据备份的问题。第3章 总体安全目标为了防止互联网上的非法访问、恶意攻击和病毒传播等各种安全威胁对XXXX信息系统造成影响，我们将采用一系列安全措施来对XXXX信息系统提供必要的安全保护，使包含网络通讯、操作系统、应用平台和信息数据等各个层面在内的整体网络信息系统具有抵御各种安全威胁的能力。根据业务系统的特点和需要，我们制订了如下的总体安全目标：1、完整性目标防止存放在服务器和远程业务终端系统中的信息数据被非授权篡改，保证在远程通信过程中信息数据从真实的信源无失真地到达真实的信宿。2、可用性目标确保网络和信息系统连续有效地运转，保证合法用户对系统资源和信息数据的使用不会被不正当地拒绝。3、保密性目标确保在公网上传输的业务数据和敏感信息不会泄漏给任何未经授权的人和实体，或供其使用。4、真实性目标应能对通信中的对等实体所宣称的身份的真实性进行鉴别。5、可控性目标保证系统资源不被非法访问及非授权访问，并能够控制信息系统用户对系统资源的使用方式。6、可审查性目标能记录系统中发生的全部访问行为，为出现的安全问题进行及时的告警响应并为调查取证提供依据和手段。第4章 安全解决方案总体框架随着信息安全研究的深入发展，各种新的威胁层出不穷，要解决这些新的安全威胁，就需要更完善的安全技术。技术保障体系注重信息系统执行的安全控制。技术控制针对未授权的访问或误用提供自动保护，发现违背安全策略的行为，并满足应用程序和数据的安全需求。对于XXXX信息系统，主要的安全威胁来自互联网，包括非法访问、黑客攻击、网络窃听和病毒入侵等，根据信息系统的总体安全目标，我们将有针对性地采用适当的安全保障机制来确保信息资产的价值不受侵犯，保证信息资产拥有者面临最小的安全风险和获取最大的安全利益，提高整体网络信息系统抵御各种安全威胁的能力。整体安全解决方案包括以下几个方面的内容：4.1 网络安全 边界隔离和访问控制在互联网边界采取有效的安全隔离和访问控制手段，确保进出的信息和数据都能得到严格的控制和检测，既要阻止来自公网上外部非法用户的访问，也要防止合法用户的越权访问。 网络边界入侵防御针对来自公网上的各种复杂的安全威胁，如非法入侵、DoS/DDoS攻击、蠕虫、恶意代码等，我们将采用专门的安全机制来对其进行有效的检测和防御，避免服务器因遭受外界网络的恶意攻击而导致正常的网络通讯和业务服务中断、计算机系统崩溃、数据泄密或丢失等等，影响业务服务和信息交互的正常进行。 网络边界病毒防护为了保护信息系统免受来自公网上的病毒、蠕虫、木马及其他恶意代码的侵害，我们在互联网出口边界位置不属实时在线的病毒检测和过滤机制，对进出的各种可能携带病毒和恶意代码的网络数据流进行实时检测，确保只有干净的数据才能进入，同时也防止互联网病毒向各远程业务终端系统的传播扩散。 网络通信流量监控和异常流量检测网络资源滥用、拒绝服务攻击、病毒和蠕虫的爆发等，都会造成网络通信流量的异常，因此我们将在互联网边界采用有效的通信流量检测机制，以便能够预先发现进出的流量异常情况并进行分析，及时制止安全事故的发生，或在局部安全事故发生后防止其进一步的扩散。 数据通讯过程中的对等实体认证、数据传输加密和完整性保护由于移动用户和驻外办事处与服务器之间的数据通讯都是通过公网进行的，因此数据通讯安全需求尤为重要。我们将采用适当的加密技术对数据进行加密传输，保证通过公网进行传输的业务数据和敏感信息不被非法窃取、篡改，确保通信双方身份的真实性。4.2 系统安全 系统脆弱性检测和安全加固为防止攻击者利用网络设备、服务器主机操作系统、数据库系统、通用软件的安全弱点或配置上的漏洞对系统进行非法操作或对数据进行非法访问，我们将定期对系统进行安全性检查和系统加固，包括打补丁、配置优化等。 系统审计网络设备、安全设备、操作系统和数据库系统等均开启日志和报警功能，实时记录用户的访问行为和所访问的资源对象以及所执行的操作，并提供有效的分析、统计、告警机制，一方面可以及时发现非法的网络和系统访问行为并通知管理人员进行处理，另一方面也为发生安全事故后的追查和举证提供重要依据，此外还可对潜在的用户非法访问企图起到一定的震慑作用。审计记录数据将采用可靠的方式进行存储，保证其可用性、完整性。 信息安全管理平台部署信息安全管理平台，通过信息安全管理平台实时查看重要设备，网络设备、主机，服务器的运行情况和系统资源情况。通过管理平台集中同时实时的了解网络设备、服务器、的运行状态，使用情况，大大提高了运维的效率，防止由于管理人员的遗漏造成问题解决的不及时。 服务器的冗余备份为最大化保证业务的连续性，我们将对ERP系统服务器主机采取可靠的冗余备份机制，确保在线业务处理和数据访问过程不会因为服务器系统故障而中断。4.3 应用安全 文件服务器建设替换原有以网上邻居网络共享文件的部署方式，建设以FTP服务器做为XXXX的文件服务器，加强用户资源共享的管控。4.4 数据安全 数据存储备份我们将逐步健全信息系统的数据备份/恢复和应急处理机制，确保网络信息系统的各种数据实时备份，当数据资源在受到侵害破坏损失时，及时的启动备份恢复机制，可以保证系统的快速恢复，而不影响整个网络信息系统的正常运转。第5章 安全解决方案详细设计前面我们从不同层面分别阐述了在XXXX信息系统中需要采用的各种安全技术措施，其中部分措施可以通过在现有网络设备、主机系统中进行适当的安全设置、安全加固来实现，而有一些措施则需要通过采购一定的专业安全产品来实现。我们将在充分利用已有投资的基础上，结合当前国内外最先进的安全技术，适当地增加一些专业的安全设备和软件，从而为XXXX信息系统构建一套由多种安全技术和多层防护措施构成的整体安全防护体系，以确保XXXX信息系统安全可靠地运行。具体包括： 防火墙系统（市区厂区和开发区厂区互联网边界） 入侵防御系统（市区互联网边界） 入侵检测系统（市区核心交换机节点） 病毒过滤网关（市区厂区和开发区厂区互联网边界） 网络防病毒系统（提供终端病毒防护） IPSEC+SSL VPN（驻外办事处和移动用户与市区互联网边界之间通信认证和加密） 终端管理系统（提供终端集中管理、策略部署、补丁分发等） 安全审计系统（提供集中的安全日志审计） ERP系统服务器冗余 ERP系统、财务系统等重要数据备份系统 文件服务器建设 信息安全管理平台建设以下是对各个部分的详细设计。上面我们描述了XXXX网络信息安全建设内容，考虑到网络安全管理的特殊性和系统的延续性，因此在系统的规划、设计、建设和管理中，我们围绕XXXX的管理需求，配合开展相关工作。考虑到系统建设的工作量、技术复杂程度和投资成本，在时间许可和考虑各功能要求轻重缓急的前提下，我们建议项目分两期完成。一期在开发区厂区部署病毒过滤网关系统、防火墙系统，在市区厂区部署病毒过滤网关系统、多合一网关系统（包括防火墙、SSL VPN、IPSEC VPN功能）、入侵检测系统，并部署网络版防病毒系统、终端管理系统、安全审计系统、数据安全系统、ERP系统冗余服务器、文件服务器系统。二期在市区厂区部署入侵防御系统，对现有网络中的接入层交换机进行改造，并建立信息安全管理平台。XXXX信息系统改造后系统网络拓扑图如图1.2所示：图1.2XXXX信息改造后系统网络拓扑图5.1 网络安全建设5.1.1 防火墙系统设计防火墙系统部署意义防火墙是近年发展起来的重要安全技术，其主要作用是在网络入口点检查网络通信，根据用户设定的安全规则，在保护内部网络安全的前提下，提供内外网络通信。通过使用Firewall过滤不安全的服务器，提高网络安全和减少子网中主机的风险，提供对系统的访问控制；阻止攻击者获得攻击网络系统的有用信息，记录和统计网络利用数据以及非法使用数据、攻击和探测策略执行。防火墙属于一种被动的安全防御工具。 设立防火墙的目的就是保护一个网络不受来自另一个网络的攻击，防火墙的主要功能包括以下几个方面：（1）防火墙提供安全边界控制的基本屏障。设置防火墙可提高内部网络安全性，降低受攻击的风险。（2）防火墙体现网络安全策略的具体实施。防火墙集成所有安全软件（如口令、加密、认证、审计等），比分散管理更经济。（3）防火墙强化安全认证和监控审计。因为所有进出网络的通信流都通过防火墙，使防火墙也能提供日志记录、统计数据、报警处理、审计跟踪等服务。（4）防火墙能阻止内部信息泄漏。防火墙实际意义上也是一个隔离器，即能防外，又能防止内部未经授权用户对互联网的访问。防火墙系统部署方式在互联网边界设置防火墙系统，负责审核进出网络的访问请求，确保只有合法的访问才能通过，从而为服务器系统建立安全的防御屏障，防范互联网黑客攻击和非法用户的访问。目前在市区厂区网络中，接入一条100M带宽的互联网链路，互联网边界部署了一台Link Trust100防火墙，在开发区厂区网络中，接入一条10M带宽的互联网链路，互联网边界部署了一台Link Trust80防火墙，现有的两台防火墙均为百兆低端设备，其功能和性能均已无法满足网络规模和对外应用的的不断发展，这两台防火墙是否正常运行将关系到XXXX所有用户的上网服务，以及包括Web、FTP、MAIL等系统对外发布的应用服务的正常运行。故建议在互联网出口重新部署一台防火墙，避免出现网络瓶颈提高网络的处理性能，使应用快速稳定的运行。由于防火墙隔离的是不同的安全区域。防火墙采用将内部区域、互联网区域、DMZ区域分开的方法，在开发区厂区把一卡通服务器部署到DMZ区域，在市区厂区把财务服务器、ERP系统服务器、文件服务器、FTP服务器等部署到DMZ区域，防火墙可以作为不同网络或网络安全域之间信息的出入口，根据安全策略控制出入网络的信息流。再加上防火墙本身具有较强的抗攻击能力，能有效地监控内部网、服务器区域和Internet之间的任何活动，从而为互联网边界安全提供了有力的保证。防火墙部署后系统网络拓扑图如图1.3所示： 图1.3防火墙部署后系统网络拓扑图具体防火墙部署建议如下：1正向源地址转换使内部网用户可使用私有IP 地址通过防火墙访问外部网络。对外界网络用户来说，访问全部是来自于防火墙转换后的地址，并不知道是来自内部网的某个地址，能够有效的隐藏内部网络的拓扑结构等信息。反向目的地址转换可使对外提供信息发布服务的WEB服务器、FTP服务器、Mail服务器起等系统采用私有IP 地址作为真实地址，外界用户所访问到的是被防火墙转换过的目的地址，这样也能够有效的隐藏内部服务器信息，对服务器进行保护。2限制网上服务请求内容，使非法访问在到达主机前被拒绝。3加强合法用户的访问认证，同时将用户的访问权限控制在最低限度。4.为了避免不同区域的机器冒用IP地址进行越权访问，防火墙的所有端口上还应启用IP地址与MAC地址绑定功能。5全面监视网络的访问，及时发现和拒绝不安全的操作和黑客攻击行为，并可以和IDS 实现联动。这不但提高了安全性，而且保证了高性能。6加强对各种访问的审计工作，详细记录对网络与主机的访问行为，形成完整的系统日志，使管理员可以随时审核系统的安全效果、追踪危险事件、调整安全策略。7. 利用应用层访问特征码对占用过多网络资源的常见P2P软件的流量进行限制，同时支持对单机或主机组配置并发连接数限制，以及支持对单机或主机组配置QOS带宽限制，从而能更有效利用网络资源8、随着访问量的不断增加，只要增加相同的应用服务器，防火墙可以支持一个服务器阵列，这个阵列经过防火墙对外表现为单台的机器，防火墙将外部来的访问在这些服务器之间进行均衡，满足将来应用需求。防火墙还具有实施监控、身份验证、高可用性、线路备份、深度过滤等众多功能。防火墙系统部署后达到的效果防火墙系统部署后达到的效果：l 隔离安全区域防火墙采用多安全区域体系，每个物理接口对应一个独立的安全区域，在不同网络区域之间进行互联时，全部通信都受到防火墙的监控，通过防火墙的安全策略可以将所联区域设置成相应的保护级别，以保证关键系统的安全。每个区域的安全策略只对该区域有效。每个区域可以单独设置自己的默认安全策略，所有对该区域的访问都将匹配与该区域对应的安全策略。l 地址转换，对外隐藏内部网络信息正向源地址转换使内部网用户可使用私有IP 地址通过防火墙访问外部网络。对外界网络用户来说，访问全部是来自于防火墙转换后的地址，并不知道是来自内部网的某个地址，能够有效的隐藏内部网络的拓扑结构等信息。反向目的地址转换可使对外提供信息发布服务的WEB服务器等采用私有IP 地址作为真实地址，外界用户所访问到的是被防火墙转换过的目的地址，这样也能够有效的隐藏内部服务器信息，对服务器进行保护。l 2到7层的访问控制防火墙实现了多级过滤体系，在MAC层提供基于MAC地址的过滤控制能力，同时支持对各种二层协议的过滤功能；在网络层和传输层提供基于状态检测的分组过滤，可以根据网络地址、网络协议以及TCP 、UDP 端口进行过滤，并进行完整的协议状态分析；在应用层通过深度内容检测机制，可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码等实现内容安全控制，这对于提高基于通用Internet服务的应用服务器的安全性非常有意义；同时，防火墙还支持第三方认证，提供用户级的认证和授权控制。从而形成了立体的、全面的访问控制机制，实现了全方位的安全控制。l 防御外界黑客攻击防火墙自身提供了一定的入侵检测和防护功能，能抵御一些常见的网络攻击和DoS/DDoS攻击，并可以和IDS 实现联动。这不但提高了安全性，而且保证了高性能。l 负载均衡防火墙可以支持一个服务器阵列，这个阵列经过防火墙对外表现为单台的机器，防火墙将外部来的访问在这些服务器之间进行均衡。负载均衡方式包括轮询（顺序选择地址）、根据权重轮询、最少连接（将连接分配到当前连接最少的服务器）、加权最少连接（最少连接和权重相结合）。l 日志记录与审计一个安全防护体系中的审计系统的作用是记录安全系统发生的事件、状态的改变历史、通过该节点的符合安全策略的访问和不符合安全策略的企图，使管理员可以随时审核系统的安全效果、追踪危险事件、调整安全策略。进行信息审计的前提是必须有足够的多的日志信息。当防火墙系统被配置为工作在不同安全域之间的关键节点时，防火墙系统就能够对不同安全域之间的访问请求做出日志记录。防火墙系统提供了强大的日志功能，可对重要关键资源的使用情况进行有效的监控，实现日志的分级管理、自动报表、自动报警功能，用户可以根据需要对不同的通讯内容记录不同的日志，包括会话日志（主要描述通讯的时间、源目地址、源目端口、通信流量、通讯协议等）和命令日志（主要描述使用了那些命令，执行了那些操作）。用户可以根据需要记录不同的日志，从而为日志分析、事后追踪提供更多的依据。另外,防火墙系统也能够对正常的网络使用情况做出统计。这样网络管理员通过对统计结果进行分析，掌握网络的运行状态，继而更加有效的管理整个网络。同时，产生的日志能够以多种方式导出，可通过第三方日志管理软件进行统一的管理。5.1.2 网络入侵防御系统设计网络入侵防御系统部署意义随着网络技术的广泛应用，网络为我们的工作和生活提供了便利，但同时网络环境中的各种安全问题，如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS攻击、垃圾邮件、网络资源滥用（P2P下载、IM即时通讯、网游）等极大地困扰着用户，尤其是混合威胁的风险，给企业的信息网络造成严重的破坏。能否及时发现并成功阻止网络黑客的入侵、保证计算机和网络系统的安全和正常运行已经成为各个企业所面临的问题。面对这些问题，传统的安全产品已经无法独立应对。传统防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码；无法发现内部网络中的攻击行为。入侵检测系统IDS旁路部署在网络上，当它检测出黑客入侵攻击时，攻击可能已到达目标造成损失，无法有效阻断各种攻击；入侵检测系统IDS侧重网络监控，注重安全审计，适合对网络安全状态的了解。而入侵防御系统是在线部署在网络中，提供主动的、实时的防护，具备对2到7层网络的线速、深度检测能力，同时配合以精心研究、及时更新的攻击特征库，即可以有效检测并实时阻断隐藏在海量网络中的恶意代码、攻击与滥用行为，也可以对分布在网络中的各种流量进行有效管理，从而达到对网络架构防护、网络性能保护和核心应用防护。入侵防御系统通过加载不同的攻击规则库对流经它的网络流量进行分析过滤，来判断是否为异常数据流量或可疑数据流量，并对异常及可疑流量进行积极阻断，同时向管理员通报攻击信息，从而提供对网络系统内部IT资源的安全保护。入侵防御系统能够完全阻断各种非法攻击行为，比如利用薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的DoS攻击等，安全地保护内部IT资源。入侵防御系统可以提供网络架构防护、网络性能保护、核心应用防护，通过使用入侵防御系统可提供最强大且最完整的保护以防御各种形式的网络攻击行为，如：蠕虫、拒绝服务攻击、恶意代码以及非法的入侵和访问，为企业网络提供“虚拟补丁”的保护作用。网络入侵防御系统部署方式建议在市区厂区互联网出口处部署一套网络入侵防御系统，通过设置检测与阻断策略对流经入侵防御系统的网络流量进行分析过滤，并对异常及可疑流量进行积极阻断，同时向管理员通报攻击信息，从而提供对网络系统内部IT资源的安全保护。入侵防御系统能够在第一时间阻断各种非法攻击行为，比如利用网络系统薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的DoS攻击等。网络入侵防御系统作为一个网关设备，可透明嵌入到网络出口，即使用两个网络端口，串接在互联网边界与本地局域网交换机之间，通过一个外部网络端口接收来自外部网络的数据包，进行实时检测和过滤，再通过另外一个内部网络端口将它传送到内部系统中；只要发现了有害流量，网络入侵防御系统都能立即将其清除，而不会任其进入内部网络造成侵害。由于在网络出口还要进行防火墙的部署，可将入侵防御系统串接在防火墙的前端，即互联网边界与防火墙之间，这样可以在第一时间发现恶意的网络攻击行为并进行实时阻断，不管攻击是来非法用户还是合法用户。 在部署入侵防御系统IPS时，建议先启用所有过滤策略，动作设置为记录日志，运行一个星期左右时间，由设备厂家技术人员对一周时间的日志进行审计，检查是否存在误报或错报问题，对误报和错报日志进行仔细测试，如该应用为正常应用，应关闭该过滤策略，避免影响正常应用的使用，对恶意流量设置阻断、带宽限制、记录等动作。通过调整和细化过滤策略，使网络能够安全稳定的运行。 此外，为了避免因入侵防御设备的单点故障导致内外网络通讯中断，可启用入侵防御接口的失效开放机制，当出现软硬件故障和电源故障时，系统能够自动切换到旁路模式以保障网络的畅通。入侵防御系统部署后系统网络拓扑图如图1.4所示：图1.4入侵防御系统部署后系统网络拓扑图网络入侵防御系统部署后所达到的效果网络入侵防御系统在分析/跟踪流量信息的基础上，在线对流经的数据报文进行47层信息的深度检测，其部署后的效果为：l 入侵检测和防御能力 强大的蠕虫、木马、后门、间谍软件、 Web攻击、拒绝服务、广告软件防御能力，根据用户需求自行设置攻击规则，对其他有害攻击行为做检测和阻断 繁多的垃圾应用、流行P2P/IM、热门游戏、在线视频、网络流媒体的过滤控制能力，对异常流量进行分析、阻断 原始包分析功能，对原始包文进行捕获、分析、存储 使用网络定位工具如nslookup，traceroute，ping等，方便进行网络事件诊断l 主动防御机制 网络入侵防御系统可以根据管理员预先制定的安全策略对流经系统的数据包进行检测及阻断，包括：n 根据检测和阻断策略对于满足条件的数据报文对包头和负载内容进行过滤，检测和阻断网络攻击和恶意代码。n 根据异常流量检测及阻断策略，对通过系统每个物理接口的流量、TCP/UDP/ICMP协议在一定时间内的流量设定阀值，并设定处理措施（检测、限流或阻断）。当设定的时间段内通过系统的整体流量超过阀值时进行限流或阻断。 丰富的响应方式，实现主动防御和安全预警，包括：n 允许异常流量阀值范围内的数据通过n 阻断异常流量阀值范围外的数据通过n 检测到策略中设置的数据后，进行报警n 限制超出规则设定范围的数据n 记录被检测到攻击的相关数据n 记录系统中相关的操作（登录、修改等）l VIDP实现精细化防御 智能的VIDP功能，针对不同的网络环境和安全需求，制定不同的防御规则和响应方式，每个虚拟系统分别执行不同的规则集，实现面向不同对象、实现不同策略的智能化入侵防御。l 高可用性 所有接口都支持FOD失效开放机制，当出现软硬件故障和电源故障时，系统能够自动切换到旁路模式以保障网络的畅通，而且丝毫不影响数据传输速率；l 报表分析统计功能 完善的日志功能，分类记录了访问入侵防御系统的所有操作以及与其相关的一切安全活动，方便用户及时通过分析日志记录的资料来预防入侵和追踪非法行为； 多种攻击检测、阻断、报警等信息的报表统计功能，根据用户需求生成不同的统计报表，并可以利用存储日志和事件数据库，做出基于入侵/受攻击主机、攻击类型、期间等各种不同条件类别的报表，并可以以多种不同格式输出，给管理者在管理网络方面提供了决策依据。5.1.3 病毒过滤网关系统设计病毒过滤网关系统部署意义计算机病毒(Computer Virus)在 中华人民共和国计算机信息系统安全保护条例中被明确定义为：“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。目前，计算机病毒的种类与传播媒介日益繁多，病毒更主要是通过网络共享文件、电子邮件及Internet/Intranet进行传播。随着业务应用和数据交换越来越依赖于网络，病毒的危害也越来越普遍。往往是整个网络中只要有一台机器（哪怕是远程的）感染了某种可怕的病毒，很快抱怨声就会从网络的各个角落传出来，文件被破坏，系统被摧毁，数据丢失，结果所带来的侵害不仅对于个人，而且对于整个机构都可能是致命的。对几乎每个企业来说，电子邮件均是企业沟通的重要工具，电子邮件病毒也已变成企业宕机的最大原因之一。蠕虫病毒和特洛伊木马是邮件病毒的主要传播方式。蠕虫病毒是一种独立程序，可将自己进行复制到其它系统中。蠕虫病毒的唯一目的是复制并扩散至新的区域，通常同时会造成一些损害。蠕虫病毒通常以邮件附件的方式进行传播。电子邮件是恶意蠕虫病毒的最理想传播工具，因为所有的邮件都有同等地位。邮件作为信息传播工具是平等的，它们使用同样的协议，而不论来自于最卑微的企业还是世界上最大的公司。特洛伊木马通常被认为是恶意蠕虫病毒进行扩散的工具 但更准确的定义应该是：特洛伊木马仅仅是一个隐蔽的程序，它执行发起人计划的行为，而此行为不是接收人所希望的。在当今环境中，更实际的定义应该是：特洛伊木马是一种有吸引力的内容，可吸引人将它打开。邮件的最终接收者通常是互联网的头号安全威胁：个人。打开这一内容是释放蠕虫病毒的第一步。一旦打开这一可执行的附件，蠕虫病毒就与一个本地应用程序进行互动，剩下的就都成为历史。一旦蠕虫病毒进入系统，蠕虫病毒的应用程序接口（API）即与微软Outlook接口（MAPI）互动，以打开地址簿并将自己发送给其中的所有地址，循环再次开始。如蠕虫病毒或病毒进入系统中，则它们可造成的损坏就没有限制。阻断这一循环并预防其传播的最现实解决方法是大家经常听到的“不要打开来自不明地址的邮件附件”。只有在严格遵守这一规定时，此方法才有效。因为是人在接收电子邮件，所以特洛伊木马的吸引力有时无法拒绝。很明显，不允许病毒达到最终接收者是一个重要的战略，而使用边缘病毒防御便是针对该目标的一个可异常轻松执行的方式。网关防毒系统所达到的效果：l 阻止99以上的病毒传播据ICSA病毒流行性调查结果，电子邮件和Internet互联网已成为病毒传播的绝对主要途径。99%的病毒都是通过SMTP、HTTP和FTP协议进入用户的计算机。病毒过滤网关作为一个专门的硬件防病毒设备，安装在因特网网关处，实时检查进入网络的数据流，保护网络内部的服务器和工作站设备免受各类病毒，蠕虫，木马和垃圾邮件的干扰。病毒过滤网关可处理以下协议：SMTP、POP3、HTTP、FTP和IMAP，及时清除进出网关的邮件病毒、蠕虫攻击包，对进出网关的垃圾邮件、关键字进行过滤，对进出网关的Web访问、FTP访问行全面防毒扫描，彻底阻断因特网病毒的传播途径。l 弥补网络版防病毒产品的不足网络版防毒软件无法拦截攻击操作系统和应用软件安全漏洞的新型蠕虫（如SQLSlammer），而且需要投入较多的管理精力，往往会因为用户防病毒意识薄弱或对防毒产品配置不当而极大地影响防病毒能力。病毒过滤网关作为一个专门的硬件防病毒设备，只要安装在网络的入口处，就可以保护内部局域网免受各类病毒，木马的和垃圾邮件的干扰。病毒过滤网关实时检查进入内部网络的数据流，当网关检测到病毒时，它会自动根据相应的策略来处理病毒和染毒文件，保护内部的服务器和工作站设备，同时对用户是完全透明的。l 自动在线升级病毒过滤网关可以按照管理员设定的更新策略自动连接到厂商的升级服务器，升级最新的病毒库，保证网络得到最有效的防病毒保护。病毒过滤网关系统部署方式建议分别在市区厂区和开发区厂区互联网边界部署专门的病毒过滤网关系统，防止来自互联网的病毒和恶意代码进入网络，同时也防止互联网病毒以服务器为途径向各远程业务终端系统的传播扩散。建议在互联网出口边界部署专门的病毒过滤网关系统，串接在互联网边界防火墙和本地局域网交换机之间，一方面可以适当减少需要过滤网关处理的数据量，另一方面也可以保护过滤网关系统自身不受外界的恶意攻击。还可以部署在每个需要保护的网段中（如重要服务器区域），实时检查进入内部网络的数据流，当网关检测到病毒时，它会自动根据相应的策略来处理病毒和染毒文件，保护内部网络中的服务器和工作站设备，同时对用户是完全透明的。部署后可防止来自互联网的病毒和恶意代码进入服务器系统，同时也防止互联网病毒传播扩散占用互联网出口带宽。另外防病毒网关需要内置硬件BYPASS功能，当设备出现软件、硬件及电源故障时快速、自动切换到直通状态，保障网络可用性。病毒过滤网关部署后系统网络拓扑图如图1.5所示： 图1.5病毒过滤网关系统部署后系统网络拓扑图病毒过滤网关系统部署后达到的效果网关防毒系统部署后达到的效果：n 阻止99以上的病毒传播据ICSA病毒流行性调查结果，电子邮件和Internet互联网已成为病毒传播的绝对主要途径。99%的病毒都是通过SMTP、HTTP和FTP协议进入用户的计算机。病毒过滤网关作为一个专门的硬件防病毒设备，安装在因特网网关处，实时检查进入网络的数据流，保护网络内部的服务器和工作站设备免受各类病毒，蠕虫，木马和垃圾邮件的干扰。病毒过滤网关可处理以下协议：SMTP、POP3、HTTP、FTP和IMAP，及时清除进出网关的邮件病毒、蠕虫攻击包，对进出网关的垃圾邮件、关键字进行过滤，对进出网关的Web访问、FTP访问行全面防毒扫描，彻底阻断因特网病毒的传播途径。n 弥补网络版防病毒产品的不足网络版防毒软件无法拦截攻击操作系统和应用软件安全漏洞的新型蠕虫（如SQLSlammer），而且需要投入较多的管理精力，往往会因为用户防病毒意识薄弱或对防毒产品配置不当而极大地影响防病毒能力。病毒过滤网关作为一个专门的硬件防病毒设备，只要安装在网络的入口处，就可以保护内部局域网免受各类病毒，木马的和垃圾邮件的干扰。病毒过滤网关实时检查进入内部网络的数据流，当网关检测到病毒时，它会自动根据相应的策略来处理病毒和染毒文件，保护内部的服务器和工作站设备，同时对用户是完全透明的。n 自动在线升级病毒过滤网关可以按照管理员设定的更新策略自动连接到厂商的升级服务器，升级最新的病毒库，保证网络得到最有效的防病毒保护。n 统计报表功能防病毒网关提供了详细的报告，能够按照用户配置的参数查询相关的数据生成多种格式的图形化统计报表，形象直观，方便管理员的管理工作。报表中可以记录病毒的数目，主要病毒所占比例等信息，并且可以记录所有的网络活动情况。这些数据可以帮助管理员更好的规划网络需求和对防病毒网关进行配置。同时，这些用户需要的报表可以发送到管理员预先配置的邮箱，以供进一步的信息查询。n 强大的监控功能防病毒网关提供强大的监控功能，可以监控过滤网关系统资源、网络流量、当前会话数、当前病毒扫描信息等，极大地方便管理员对过滤网关进行监控。n 报警功能报警配置用于当某个病毒突然爆发时，防病毒网关可向网络管理员发送报警信息。n 内置Bypass功能利用防病毒网关内置的硬件BYPASS功能，当设备出现软件、硬件及电源故障时快速、自动切换到直通状态的功能，保障网络可用性。通过部署网关防病毒设备，以解决桌面杀毒软件无法解决的防病毒难题：o 检测阻断SQLSlammer等的新型蠕虫的功击，这是传统的防病毒软件所做不到的。o 防病毒软件部署率不高，有漏装o 防病毒软件病毒特征码没有及时更新或者禁用o 防病毒软件配置不当影响了防病毒的能力o 客户机及服务器没有及时安装系统补丁使用网关防病毒设备和网络版防病毒软件配合工作形成整体的防病毒体5.1.4 网络入侵检测系统设计入侵检测系统部署意义网络入侵检测技术也叫网络实时监控技术，它通过硬件或软件对网络上的数据流进行实时检查，并与系统中的入侵特征数据库进行比较，一旦发现有被攻击的迹象，立刻根据用户所定义的动作做出反应，如切断网络连接，或通知防火墙系统对访问控制策略进行调整，将入侵的数据包过滤掉等。 网络入侵检测技术的特点是利用网络监控软件或者硬件对网络流量进行监控并分析，及时发现网络攻击的迹象并做出反应。入侵检测部件可以直接部署于受监控网络的广播网段，或者直接接收受监控网络旁路过来的数据流。为了更有效地发现网络受攻击的迹象，网络入侵检测部件应能够分析网络上使用的各种网络协议，识别各种网络攻击行为。网络入侵检测部件对网络攻击行为的识别通常是通过网络入侵特征库来实现的，这种方法有利于在出现了新的网络攻击手段时方便地对入侵特征库加以更新，提高入侵检测部件对网络攻击行为的识别能力。 利用网络入侵检测技术可以实现网络安全检测和实时攻击识别，但它只能作为网络安全的一个重要的安全组件，网络系统的实际安全实现应该结合使用防火墙等技术来组成一个完整的网络安全解决方案，其原因在于网络入侵检测技术虽然也能对网络攻击进行识别并做出反应，但其侧重点还是在于发现，而不能代替防火墙系统执行整个网络的访问控制策略。防火墙系统能够将一些预期的网络攻击阻挡于网络外面，而网络入侵检测技术除了减小网络系统的安全风险之外，还能对一些非预期的攻击进行识别并做出反应，切断攻击连接或通知防火墙系统修改控制准则，将下一次的类似攻击阻挡于网络外部。入侵检测系统部署方式已经建议在互联网出口部署IPS，但是IPS只是在网络的出口，针对流入流出该设备的数据进行数据检测的，如果是内网核心交换机和汇聚交换机上有蠕虫病毒，ARP病毒或者攻击等恶意行为发生，因为IPS部署在Internet接口处，只可以抵御来至外部的攻击，但对于内部的攻击就没有效果了，因为攻击的流量是不经过IPS设备的，但据IDC统计目前有很多攻击都来源于企业的内部，如对企业不满的员工，商业间谍等，所以必须在内网也要部署相应的IDS,通过IDS的日志，我们可以方便的追溯至攻击者，同时也为我们采取法律手段提供了依据和证据。建议在市区厂区核心交换机节点部署入侵检测系统，对内网异常流量进行监控审计。另外现如今网络上存在着大量的不法黑客以及许多异常流量，一旦受到黑客攻击或入侵，将直接影响系统的运行，因此需要了解攻击的频率和特征，有助于选择保护网络免受相应攻击的安全手段。通过收集攻击的可信的详细信息进行事件处理和恢复，这些信息在某些情况下还可以作为犯罪的佐证。入侵检测是防火墙，入侵防御等其它安全措施的补充，帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是XXXX网络中IPS之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时检测。传统的防火墙防御都是静态的被动防御，对于XXXX对信息安全要求比较高的的网络，形成动态的主动的防御体系是非常重要的，防火墙和入侵检测系统可以形成互动的动态防御体系，实时的检测、抵御各种网络入侵活动。当入侵检测发现异常的攻击行为的时，产生报警并根据策略进行适当的干预（例如发送reset包），同时将报警信息发送到控制台以通知网络管理员并记录日志，同步的，还可以将报警信息传递给防火墙，防火墙根据报警信息调整安全策略，对攻击源采取进一步的更强有力的干预和控制行为（例如限制或切断攻击源的连接等）。除了入侵检测技术能够保障系统安全之外，下面几点也是使用入侵检测的原因：（1） 计算机安全管理的基本目标是规范单个用户的行为以保护信息系统免受安全问题的困扰。入侵检测系统可以发现已有的威胁，并对攻击者进行惩罚，有助于上述目标的实现，并对那些试图违反