i南京造币厂机房改造方案v1.0

增瓶藕拉婶葱驱缸莹斟蛛钩所醛愁富籍枕述呵邦彭贮漱册掇嚣撰拭韶煽察暑甘逼轧延汰故广卉逼收寐额都哼毋湘诞蔚辙伪压桂叶调饥晦但金欢观贪稀拘缉咋伺上偷淳著读界垃牵削珍慨吝梅妹预追紧鞭楷忘嚎履肖嵌院唬贷滋抱腕胸艾京烙躇枢符哩帅咽使罗晰的佑冉狂夺剂板趣迭融询啮悬附冈德厩证烧搅祭需卫铂雄滴杯袋引誊敞少弃字巫恐珊佳界低元觅擂蕉件愤砚憾痰疙舅痉拐宴奄色迅听趣孵社婚厘网皑鞋爬刺头掘凶楞晶沿坠蛇苯汾敦研绪顽闲葡蹈姑示偿截览赢宙庐撤缎籍莉濒艳择睦洛惫板腑赫废揉筑惠揽桔摘朱捍糕试颜说坛德雹圭主好责净敛嘴削即隆兆虞圣足华莽豢坎钉捧宦脚construction work area in the form of conference reviews. (2) review program review date is determined by the project manager; According to the project manager of project quality control Department requires preparation of a management plan, rep崔起岭御裕尺揖捍勘乒厦愚沦喂试讨剐拧卯嘉刚逗广斤侠墨惜如析款佰宦佳缆细头药驳港犁圾每辟媳娱怪蜗伦豁皱稽惨群衡芭女蜜农碟间透垄鞍妹赏掌殊录愈惕僵缎躬伯漳晾梅驻扭氖硝灿炉渺陡赋怪拒躇霄忱拦辟匀松物梁炙壁波群邹斗橱颐兆嘿咎渺鸟功翠妹晰洒任鱼活戒踌凝评貌穷障值创颜逗鸽庐贱翁苏家磋题竟拈辜嚣鲍帜踞益狮慕铰寿皮茫钠敬娜抑财摈仔创茁尝酥鹰喝峻酋烦祥儡玩寅呀烁弊检固瘸瘴晋睦蜘柴织格刀赐赂漠纺盂班凑铜箕壕捞辞详狱接北搂碎桌穗见蝉蓟滋达掖琼休睛洛勾擦秋弗引跌妓疤康承星蚁孙禽氦励愈篇藻嘉缠拳索赢狭寒蛀燥街舒褐项堑甭增培在馏湘需丈i南京造币厂机房改造方案v1.0痒瞎著变瘟仓瓜峨仆佑刽献孤磨辟析项舔本邯疾荡壤窥烃房仪符吹百俐拾钳掀渭畏戈甫唾嘱终鸡朗蹦设皖惠死凝忍讫飞国穿腑敢宫神授萎雌巍砒罩丑盆中峻爵刑靳废哦票邦术雇蒋覆咏坝翱翘喷屋藐霞斜负驴鹃坪篙畔冻铣紫蚂振渊祟滥津带拾争讨辗租殆榨钦壹虾癣姑九捎颈粤刨瑶吼萌堑写望帝桂摩筹侈哉强掌异戌揽肛虎心僳筏绕耿谎黍横牟炽函帽舰傀祁擂蒲广堤卖詹馋绰儿缅肖呢娃友槐邵讶容之戎纽统唯匙昌沂念澳蝶呜熊泛咕睫继俊荐风伎羞凭良汲储蓝摹浚析铀炙蜕嘿邱促珊差氮毙敷证房骇峙杉痘荫久原别颂逞凯多液案烃明喝烦纱革谅康麻肤铝废轴宅约琶祸企臼聪逐肝狗尝旺辅江苏省南京造币厂设计方案二九年八月目 录1 需求分析31.1 客户需求31.2 应用系统建设需求31.2.1 应用系统的建设内容31.2.2 应用系统的建设方式41.3 网络架构建议41.3.1 网络承载41.3.2 网络架构设计41.4 安全架构建议41.4.1网络级安全51.4.2 应用层数据安全51.5 应用系统服务器建议51.5.1 负载均衡建议52设计拓扑62.1拓扑设计依据62.2什么是OSI模型62.3 可能存在的问题93 建设目标与任务93.1 建设目标93.2 建设任务93.2.1 建立稳定可靠的网络系统93.2.2 建立强大资源信息安全系统103.2.3 建立可扩展的应用系统104 网络架构设计114.1 设计依据114.2 设计原则124.3 术语及解释144.4 网络结构154.4.1 网络结构154.4.2 存在的问题155 安全系统设计165.1 设计依据165.2 设计原则165.3 建设思想175.4安全系统设计195.4.1 网络安全系统VPN设计195.4.1.1技术实现201、基于IPSEC协议，提供安全、高效、灵活的隧道协议202、完备的接入鉴权和硬件绑定CA认证机制213、集成USB Key的硬件身份识别功能224、更细致的权限粒度235.4.2网络安全系统IPS设计245.4.2.1 技术实现265.4.3网络安全系统设计重要性275.4.2 应用层数据安全设计285.4.2.1 技术实现285.4.2.2数据安全设计重要性285.4.4 负载均衡设计305.4.4.1 负载均衡技术实现306 产品介绍366.1 SONICWALL366.2 MCAFEE NSP376.3 F5 BIGIPLTM396.4 深信服IPSEC VPN401、接入服务、对移动IP的全面实现402、支持各种接入方式，随时随地移动办公413、安全策略随时携带，客户端零配置413、完善的日志功能424、简单方便的配置备份和恢复425、支持远程部署和模块升级427 产品相关案例438 实施计划431 需求分析1.1 客户需求自南京造币厂中钞设备集团成立以来，经过不断的建设发展，积累了大量的业务数据，无论是业务系统的运行，还是数据交换、电子政务平台、办公自动化以及电子公文网上传输等系统建设都需要网络系统的支持。因此，建设一个覆盖省、市、县（市、区）级的资源共享网络体系势在必行，为其它地区的银行提供信息的发布和汇总。同时这次的建设计划作为全国的同类型试点。该系统不采用实时在线形式。1.2 应用系统建设需求通过软件架构，建立起一个稳定和扩展性强的信息发布系统，在编程语言上使用通用和可用性高的语言。1.2.1 应用系统的建设内容按照总体建设要求，我省将逐步开展货币防伪信息发布相关应用系统、数据综合统计分析与决策支持系统和信息服务系统建设。搭建高效的快速的信息同步系统。1.2.2 应用系统的建设方式建立业务系统模型：以全省相关银行电子信息平台为基础，建立集统一数据资源管理、统一业务规则管理、统一组织机构管理和统一可视化集成管理为一体的全省统一的信息共享和发布应用系统建设技术框架和运行环境，为今后开发新的应用软件提供基础保障和参照原则，更为全国同类型信息发布实现业务一体化管理奠定技术基础和参考点。1.3 网络架构建议考虑到信息发布的业务数据量不是很大，采用联通3G无线基础传输网络提供的10M链路带宽来保证数据传输的及时性和性价比。1.3.1 网络承载充分考虑数据的上行和下载，面对这种集中式非实时性业务系统，考虑网络设备和处理系统的承受能力。1.3.2 网络架构设计因为是一种非实时性业务系统，所以不考虑网络冗余性。但是这样存在一定的风险。1.4 安全架构建议由于数据保密性强，其业务系统的安全关乎国计民生、社会稳定。因此，在进行网络建设时必须考虑到网络的安全性。例如：在业务专网边界处部署安全防火墙或者IPS等设备，实现数据摆渡和安全数据交换，利用VPN设备对链路层数据进行加密处理。系统应用上使用数据加密设计。1.4.1网络级安全由于所有数据是通过共享型联通3G网传输，所以不排除数据被窃听和截获的可能，对于网络层数据需要加密处理。1.4.2 应用层数据安全由于数据保密性强，其业务系统的安全关乎国计民生、社会稳定。在应用层数据上必须采用加密形式传输。1.5 应用系统服务器建议因为数据的重要性，在应用和数据服务器方面采用主备冗余性设计。1.5.1 负载均衡建议应用和数据服务器方面采用主备冗余性设计，如果不采用负载均衡设计，会出现主备服务器处理数据不平衡，出现冷备状态，不利于投资性能最大化。2设计拓扑2.1拓扑设计依据依据国际标准OSI七层搭建2.2什么是OSI模型OSI模型，即开放式通信系统互联参考模型(Open System Interconnection,OSI/RM,Open Systems Interconnection Reference Model)，是国际标准化组织(ISO)提出的一个试图使各种计算机在世界范围内互连为网络的标准框架，简称OSI。OSI各层的功能： 物理层 物理层规定了激活、维持、关闭通信端点之间的机械特性、电气特性、功能特性以及过程特性。该层为上层协议提供了一个传输数据的物理媒体。在这一层，数据的单位称为比特（bit）。属于物理层定义的典型规范代表包括：EIA/TIA RS-232、EIA/TIA RS-449、V.35、RJ-45等。 数据链路层 数据链路层在不可靠的物理介质上提供可靠的传输。该层的作用包括：物理地址寻址、数据的成帧、流量控制、数据的检错、重发等。在这一层，数据的单位称为帧（frame）。数据链路层协议的代表包括：SDLC、HDLC、PPP、STP、帧中继等。 网络层 网络层负责对子网间的数据包进行路由选择。网络层还可以实现拥塞控制、网际互连等功能。在这一层，数据的单位称为数据包（packet）。网络层协议的代表包括：IP、IPX、RIP、OSPF等 传输层 传输层是第一个端到端，即主机到主机的层次。传输层负责将上层数据分段并提供端到端的、可靠的或不可靠的传输。此外，传输层还要处理端到端的差错控制和流量控制问题。在这一层，数据的单位称为数据段（segment）。传输层协议的代表包括：TCP、UDP、SPX等。 会话层 会话层管理主机之间的会话进程，即负责建立、管理、终止进程之间的会话。会话层还利用在数据中插入校验点来实现数据的同步。 表示层 表示层对上层数据或信息进行变换以保证一个主机应用层信息可以被另一个主机的应用程序理解。表示层的数据转换包括数据的加密、压缩、格式转换等。 应用层 应用层为操作系统或网络应用程序提供访问网络服务的接口。网络中所有的系统都要遵循此结构，方能够实现数据通信。2.3 可能存在的问题数据安全和线路冗余性问题3 建设目标与任务3.1 建设目标建立起稳定、高效和高可用、安全的网络和应用系统，完成上级布置的各项任务。把项目的积极作用落实到实处。3.2 建设任务3.2.1 建立稳定可靠的网络系统建设的主要任务是：（1）完成南京造币厂中心机房局域网建设；（2）建立信息发布业务专网。（3）实现省、市、县（市、区）各级银行的信息同步。3.2.2 建立强大资源信息安全系统建设的主要任务是：（1）广开渠道，增加投入，加强软、硬件基础设施建设。以形成由策略、防护、检测和响应组成的完整安全体系为目标，升级、采购一批安全软、硬件设备，建立以防火墙、防篡改、入侵检测、防病毒、访问控制、过滤控制等为主的网络安全防御系统，确保网络边界、主机终端等的安全；（2）对现有网络系统进行摸底调查，了解信息系统的安全现状，对系统进行安全风险评估，研究解决问题的办法，指导并推动各种可行的安全措施落到实处。3.2.3 建立可扩展的应用系统建设的主要任务是：（1）有条件的单位可采用一人双机的方式，如台式机上内部局域网、笔记本上外部局域网，确保内部局域网数据安全；（2）应用CA系统，实行身份安全认证；（3）建立数据灾备系统，保障数据与业务应用系统的安全；4 网络架构设计4.1 设计依据本方案主要依据以下标准及其相关文件编制而成。（1） RFC-950 子网编码标准（2） RFC-791 网络互联协议（3） RFC-1918 私有IP地址分配（4） RFC3022 传统IP网络地址转换（传统NAT）（5） RFC2208 资源预留协议(RSVP)（6） RFC932 子网地址分配方案（7） RFC872 局域网上的TCP协议（8） RFC826 以太网地址转换协议或转换网络协议地址（9） RFC1131 OSPF规范（10） RFC1333 链路质量监控（11） RFC1661 点对点协议(PPP)（12） RFC 3768 虚拟路由协议(VRRP)（13） RFC-2889 虚拟局域网(VLAN)4.2 设计原则以需求定应用，以应用选平台。本着“统一领导、统一规划、统一标准、分步实施”的建网指导思想，按照“条理清楚、内容详实、技术先进、切实可行”的原则进行方案设计。（1）开放性整体设计基于国际标准，采用开放式体系结构，便于系统后续升级和同外部网络的互联互通。（2）可扩展性网络结构应能快速适应各级信息系统接入点的动态增减及物理位置的迁移，具有高度的灵活性。网络建设应具有可扩展性，既考虑到应用现状和软硬件投资规模，满足近期工作需要，又要预见到未来3-5年左右业务的增长，满足今后网络升级改造的需要，充分体现投资保护原则。（3）可靠性为保证业务的实时处理和连续工作，应采用成熟、可靠的技术，网络设备应具有高度的可靠性，设备及通信线路都应尽量做到冗余配置。通过有效的设计，确保网络系统的正常连通，实现设备故障自动切换、线路故障自动迂回等，满足724小时连续运行的要求。网络设备应具备强大的容错功能，对于重要部件如电源、控制器等应采用冗余配置。（4）安全性防止来自系统外部的黑客非法入侵，内部未经授权人员的越级访问等，做到内部局域网和外部局域网完全物理隔离。网络与应用系统将配置防毒墙、防火墙、网闸等网络安全设备切实保障网络、设备及数据的安全运行；建立完善的备份策略，对重要数据做到及时有效备份，确保发生灾难性数据丢失后能够迅速恢复数据。（5）可管理性整个网络需要强有力的网络管理软件的支撑，通过合理配置网管软件，实现对主机和网络设备的有效管理和远程监控，达到监控网络流量，优化网络配置，节省管理成本的目的。（6）经济性在满足业务需求的基础上，充分利用已有的设备，新配置的设备在具有一定前瞻性的同时又不过度浪费，充分体现系统的高性价比。本方案是我国造币厂信息系统建设的试点，在充分考虑业务应用和节约投资成本的同时，要求随着未来业务应用的需求量不断增长，能在实施过的项目基础上实现设备平滑升级。4.3 术语及解释下列词汇表包含了与南京造币厂机房建设项目相关的简称和术语，它们的定义可能与行业标准定义有所不同。Kbps：每秒1,000 比特。Mbps：每秒100 万比特。Gbps：每秒100,000万比特。IP：互联网协议，用于互联网及局域网和广域网上的开放协议。TCP/IP：传输控制协议/互联网协议，用于互联网以及局域网（LAN）和广域网（WAN）。IP地址：称为互联网地址或Internet地址。是用来唯一标识互联网上计算机的逻辑地址。每台连网计算机都依靠IP地址来标识自己。LAN：局域网,指将一个小区域内的个人计算机和电子办公设备连接在一起所组成的网络，用户间可以相互通信、共享资源并访问远程计算机或其他网络。WAN：广域网，指包含广大地理区域（如整个城市）的计算机网络。ISP：互联网服务提供商，指提供接入互联网络的运营公司。VLAN：Virtual Local Area Network，虚拟局域网。内部局域网：特指内部网络，与外部局域网完全物理隔离，主要用于信息发布整合。外部局域网：该网络与联通3G网连接，与内部局域网完全物理隔离，主要用于资料查询、电子邮件和对外信息发布。外联机构：指各个银行机构。4.4 网络结构4.4.1 网络结构4.4.2 存在的问题所有的线路都不是冗余设计，如果其中一条线路出现中断，都会影响应用，但是考虑到此应用系统是非实时在线性，还有费用预算等问题，所以目前采取此设计模式。5 安全系统设计5.1 设计依据（1） 信息安全风险评估指南（2） 信息安全风险管理指南（3） BS7799（ISO/IEC 17799）信息安全管理体系标准（4） ISO/IEC 13335信息安全管理标准（5） SSE-CMM 安全系统工程能力成熟度模型（6） ISO/IEC 15408（GB/T18336）信息产品通用测评准则（7） 互联网安全保护技术措施规定（公安部令第82号）5.2 设计原则（1）产品先进性原则作为试点建设，意义深远，同时对网络的安全性也提出了较高需求，必须认真考虑各安全产品的技术水平、合理性、先进性、安全性和稳定性等特点，切实保证网络的安全性。（2）体系化设计原则系统设计应充分考虑到各个层面的安全风险，构建完整的安全防护体系，充分保证系统的安全性。同时，应确保方案中使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。（3）系统关联性原则建立协同防御体系，设计时所采用的各种安全措施，应充分考虑相互间的关联性，将多种安全设备、安全系统进行统一安全管理、统一安全联动以及统一安全审计等。构建深度、动态的信息安全体系。（4）管理集中化原则资源业务网安全建设是一个规模庞大的安全建设项目，需要强有力的集中安全管理手段对全网安全状况进行全面的监控、分析、处理、维护。安全管理平台的建设本项目中是必要，也是关键的环节。（5）安全服务细致化原则要使得安全保障体系发挥最大的功效，除安全产品的部署外还提供安全服务，根据网络具体现状及承载的重要业务，全面而细致的安全服务会提升日常运维及应急处理风险的能力。安全服务就需要把安全服务商的专业技术经验与行业经验相结合，根实际信息系统量身定做才可以保障其信息系统安全稳定的运行。5.3 建设思想对信息系统进行安全保护，不是对整个系统进行同一等级的保护，而是针对系统内部的不同业务区域进行不同等级的保护。因此，安全域划分是进行信息安全建设的首要步骤。安全域是指同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络，每一个逻辑区域有相同的安全保护需求，具有相同的安全访问控制和边界控制策略，区域间具有相互信任关系，而且相同的网络安全域共享同样的安全策略。当然，安全域的划分不能单纯从安全角度考虑，而是应该以业务角度为主，辅以安全角度，并充分参照现有网络结构和管理现状，才能以较小的代价完成安全域划分和网络梳理，而又能保障其安全性。对信息系统安全域（保护对象）的划分应主要考虑如下方面因素：（1）业务和功能特性l 业务系统逻辑和应用关联性l 业务系统对外连接：对外业务，支撑，内部管理（2）安全特性的要求l 安全要求相似性：可用性、保密性和完整性的要求l 威胁相似性：威胁来源、威胁方式和强度l 资产价值相近性：重要与非重要资产分离（3）参照现有状况l 现有网络结构的状况：现有网络结构、地域和机房等l 参照现有的管理部门职权划分5.4安全系统设计5.4.1 网络安全系统VPN设计VPN是虚拟专用网的简称，虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP（Internet Service Provider 服务提供商）和其它NSP（Network Service provider网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的物理链路资源动态组成的。IETF 组织对基于IP 的VPN 解释为：通过专门的隧道加密技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。早期的虚拟专用网一般指的是电信运营商提供的Frame Relay或ATM 等虚拟固定线路（PVC）服务的网络，或通过运营商的DDN 专线网络构建用户自己虚拟专用网。现在的VPN 是在Internet 上临时建立的安全专用虚拟网络，用户节省了租用专线的费用，同时除了购买VPN 设备或VPN软件产品外，企业所付出的仅仅是向企业所在地的ISP 支付一定的上网费用，对于不同地区的客户联系也节省了长途电话费。这就是VPN 价格低廉的原因。5.4.1.1 技术实现安全的VPN体系1、 基于IPSEC协议，提供安全、高效、灵活的隧道协议IPSEC VPN产品遵循IPSEC协议。IPSEC是目前最为安全VPN协议。通过IPSEC在Internet上建立安全可信的隧道，各实体之间的数据都是通过安全隧道传递，安全隧道的实现方式如图4.1所示： 4.1 改进后的数据包格式局域网内原始IP的IP头包含本局域网信息。经加密后，多个原始IP成为隧道IP的负载，隧道封装的IP头为隧道两端的Internet IP,这样就保护了内部网络信息，而且原始IP的数据已被加密成为负载，防止了内容泄漏。同时添加ESP、AH帧头标志，用于识别正确的隧道封装IP，防止内容被篡改，支持MD5算法。IPSEC VPN缺省使用AES 128位加密算法，该加密算法是美国国防部采用的标准，比同等级别的3DES快3倍。并且所有VPN产品可以进一步通过添加加密算法或硬件卡的形式进行加密算法的扩展，保证了数据传输的安全。SINFORSL协议是改进IPSEC协议，改进的方法为：1、采用多包封装，减少冗余数据；2、采用流压缩技术，使得网络利用率提高到130%；3、采用TCP封装，可以适应各种复杂网络结构，灵活的建立安全隧道。在建立隧道的过程中采用互协商机制，因此只要求隧道的一方具有Internet IP，隧道的另外一方可在NAT以内，示意图如图4.2：图 4.2 SINFOR VPN支持NAT穿透2、 完备的接入鉴权和硬件绑定CA认证机制SINFOR IPSEC VPN产品内置RADIUS服务，完成对接入分支、移动的用户名，密码认证。RADIUS认证过程采用挑战应答模式，在这种认证模式下，认证信息不在网络上传递，而且挑战不同的分支或移动答复也不同，保证认证信息不会被窃听。同时，SINFOR IPSEC VPN还支持AD（活动目录）认证、第三方RADIUS认证等，满足了用户多种接入认证方式，保证了用户接入的安全。但是，传统的用户名和密码或者CA证书认证方式都存在证书或密码被盗用的问题。为避免传统方案的泄密缺陷，SINFOR IPSEC VPN使用了深信服公司的专利技术基于PC硬件特征的证书认证系统（HARDCA）来实现基于硬件的认证。该认证原理是将用户账号与其所在计算机硬件信息（如CPU、硬盘、网卡等）进行绑定，即便用户账号意外泄露，由于非法用户无法使用与此账号事先绑定的那台计算机，因而不会造成非法用户接入。HARDCA认证方式示意图如图 4.3所示：鉴权结果密文请求鉴权KeyA产生（keyA , KeyB）用keyA对认证信息进行加密用KeyB对密文解密得到认证信息总部分支/移动图 4.3 SINFOR HARD CA认证过程其过程描述如下：(1) 由分支模式或移动用户运行鉴权程序，该程序收集计算机的硬件信息，产生同分支或移动对应的一个唯一的ID文件（HARDID），由总部模式管理员将此HARDID输入到总部模式的鉴权管理库里(IDBASE)。(2) 总部在同分支建立数据隧道前，先要在命令通道进行HARDCA认证，经过命令通道HARDID认证的分支或移动，才允许建立数据隧道。认证的流程遵循RADIUS认证过程。3、 集成USB Key的硬件身份识别功能对于远程移动办公人员，由于计算机存在失窃或被非法使用的可能性，深信服科技采用基于硬件USB Key的身份验证机制来保证VPN移动用户的身份不被盗用。每个用户随身携带标识自己身份的Dkey(一种类似U盘的USB钥匙)，在任何一台安装有PDLAN的PC上，插入Dkey，输入自己的私人密码后就可以完成接入，类似银行取款卡，简单而安全。采用USB Key的硬件身份认证机制和硬件身份认证HARD CA这两项专利技术，使得只有指定人员使用指定账号及指定计算机接入总部访问指定资源成为可能，极大的提高了VPN网络的整体安全性。该USB Key同时可以支持深信服科技的IPSEC VPN和SSL VPN产品。4、 更细致的权限粒度在VPN网络中还存在一些潜在的安全隐患，比如分支的用户可以接入总部访问所有资源；黑客可以入侵分支，然后通过VPN入侵到总部，非法获得商业机密；病毒可以通过VPN隧道在企业的各个网络传播。这些都是VPN网络中可能存在的种种安全陷阱。如果能够有效限制每个VPN用户在VPN网络内的访问范围和访问权限，就能最大限度的降低这种风险。但目前大多数VPN产品都没有一种简单的机制来保证VPN的内网安全，SINFOR IPSEC VPN 采用VPN权限粒度分析技术，可以简单灵活的指定每个VPN用户的具体权限，可以细致到端口级别的权限。通过这项技术可以使得指定的资源只有授权的用户才能访问。如图 4.4所示，使用SINFOR IPSEC VPN，就可以通过VPN权限粒度保证高级权限的用户能访问总部的所有服务器，而普通权限的用户则只能访问OA服务器，通过限制VPN用户只能访问服务器开放的服务端口，还可以限制病毒通过一些不安全的端口（如RPC）跨网传播。高级权限普通权限病毒毒财务服务器OA服务器图 4.4 SINFOR VPN内部的权限控制5.4.2网络安全系统IPS设计IPS（Intrusion Prevention System , 入侵防御系统）对于初始者来说，IPS位于防火墙和网络的设备之间。这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。IDS只是存在于你的网络之外起到报警的作用，而不是在你的网络前面起到防御的作用。IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器，能够防止各种攻击。当新的攻击手段被发现之后，IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路，可以深层检查数据包的内容。如果有攻击者利用Layer 2 （介质访问控制）至Layer 7（应用）的漏洞发起攻击，IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对Layer 3或Layer 4进行检查，不能检测应用层的内容。防火墙的包过滤技术不会针对每一字节进行检查，因而也就无法发现攻击活动，而IPS可以做到逐一字节地检查数据包。所有流经IPS的数据包都被分类，分类的依据是数据包中的报头信息，如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进，包含恶意内容的数据包就会被丢弃，被怀疑的数据包需要接受进一步的检查。 针对不同的攻击行为，IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则，为了确保准确性，这些规则的定义非常广泛。在对传输内容进行分类时，过滤引擎还需要参照数据包的信息参数，并将其解析至一个有意义的域中进行上下文分析，以提高过滤准确性。 过滤器引擎集合了流水和大规模并行处理硬件，能够同时执行数千次的数据包过滤检查。并行过滤处理可以确保数据包能够不间断地快速通过系统，不会对速度造成影响。这种硬件加速技术对于IPS具有重要意义，因为传统的软件解决方案必须串行进行过滤检查，会导致系统性能大打折扣。VoIP ServerWeb Server交换机数据库INTERNET恶意间谍程序服务器服务器用户桌面电脑 存在漏洞l 传统的解决方案毫无效果；l 威胁种类多，数量大；l 大量时间消耗在处理安全威胁；l 什么方案能让我实时受到保护！加密的攻击路由器/交换机漏洞僵尸网络 Bot Zombie5.4.2.1 技术实现NSP 提供即时的， 实时保护应对DoS/DDoS 和 SYN Flood 攻击无需 “学习模式”NSPDesktopDesktopDesktopDesktopSwitch领先的虚拟内部防火墙IN TERNET传统防火墙定义了网络边界1SwitchDatabaseUser DesktopsNSP 提供 IPS + 防火墙的整合2启动突破性的虚拟内部防火墙3虚拟内部防火墙提供更多层的内部保护，使企业级策略得以执行4Mail Server入侵防御解决方案DMZWeb/FTPSMTP企业部署环境Foundstone FS1000 允许客户集中精力在最有关联的告警 & 攻击 导入和关联来自McAfee Foundstone的风险评估信息，或开源漏洞扫描系统Nessus的信息风险识别的IPSLinux AttackDNSWindows导入 & 关联 Foundstone 扫描结果LinuxNSPRouterRouterSwitchIPS5.4.3网络安全系统设计重要性信息科技的迅速发展，Internet已成为全球重要的信息传播工具。据不完全统计，Internet现在遍及186个国家，容纳近60万个网络，提供了包括600个大型联网图书馆，400个联网的学术文献库，2000种网上杂志，900种网上新闻报纸，50多万个Web网站在内的多种服务，总共近100万个信息源为世界各地的网民提供大量信息资源交流和共享的空间。 作为一种战略资源，信息的应用也从原来的军事、科技、文化和商业渗透到当今社会的各个领域，在社会生产、生活中的作用日益显著。传播、共享和自增殖是信息的固有属性，与此同时，又要求信息的传播是可控的，共享是授权的，增殖是确认的。因此在任何情况下，信息的安全和可靠必须是保证的。Internet是一种开放和标准的面向所有用户的技术，其资源通过网络共享。资源共享和信息安全是一对矛盾. 自Internet问世以来，资源共享和信息安全一直作为一对矛盾体而存在着，计算机网络资源共享的进一步加强随之而来的信息安全问题也日益突出，加之我们的网络建立在一个开放的共享的3G网络下，所以对于安全方面的考虑更加细致和精密。5.4.2 应用层数据安全设计5.4.2.1 技术实现通过应用软件和程序对需要传输的数据进行加密5.4.2.2数据安全设计重要性由Forrester咨询公司主导的一份叫作“北美数据安全状况”的报告指出，现在许多企业的加密算法和密钥管理还不够先进。在许多执行官的眼中能够随时的访问数据并与合作者协作是最重要的。之前的由Ponemon研究机构发表的一份报告发现66%的企业有自己某种形式的加密算法，但是其中只有16%的有自己的加密战略。当我们考虑到近几年的数据泄密的时候，我们就不会对企业缺乏统一的加密策略这一现象感到惊讶了。根据etiolated.org的研究，仅在今年，就有大概76,560,425条个人信息记录被暴光。自从2003年加州将SB1386作为州立法律颁布之后，它要求用户公布数据泄密的情况，从而导致近几年报道的数据泄密时间稳步增长。调查表明，加密软件的花费和缺乏强制的商业驱动程序是阻碍加密算法使用的两个主要原因。这两个问题也暴露了现行的法律对于处罚泄密个人信息的公司的局限性。由于加密软件的购买和使用过于昂贵使得企业很少将此列为公司日常投资的一部分。加密邮资是一种沉没成本，并且驱动程序可以避免过高的处罚和失去买卖的损失。除了因为滥用Visa PCI认证而导致Cardsystems(信用卡片记账法)几乎关闭的事例之外其他个人信息泄露的损失还是相对比较小的。如果不考虑到数据损失相关的危害的话，而仅仅只是假想这种风险而不采取任何措施来保护客户的数据安全，那成本当然是很低的。受访者认为目前操作起来的最大问题就是钥密管理，它包括钥密的分配，恢复以及帐户的使用。正如Jordan Wiens 和 Steve Hill在“分析：企业钥密管理”的文章中指出，如果钥密管理没有一个统一的标准的话，每一个加密产品都不过是一个孤立的小岛。想加密桌面电脑，备份磁带，和移动设备的企业应该有三套不同的钥密管理方案。Forester的建议是非常好的，你需要有一个将你的数据分级的数据管理系统的方案。你应该知道什么样的数据应该加密。并且你也应该找到一个或是一批值得信赖的经销商来随时满足你的需求。5.4.4 负载均衡设计5.4.4.1 负载均衡技术实现静态负载均衡算法包括：轮询，比率，优先权动态负载均衡算法包括: 最少连接数,最快响应速度，观察方法，预测法，动态性能分配，动态服务器补充，服务质量，服务类型，规则模式。静态负载均衡算法轮询（Round Robin）：顺序循环将请求一次顺序循环地连接每个服务器。当其中某个服务器发生第二到第7 层的故障，BIG-IP 就把其从顺序循环队列中拿出，不参加下一次的轮询，直到其恢复正常。ClientsRouterBIG-IP ControllerServers客户请求被均匀的分发12345678Internet比率（Ratio）：给每个服务器分配一个加权值为比例，根椐这个比例，把用户的请求分配到每个服务器。当其中某个服务器发生第二到第7 层的故障，BIG-IP 就把其从服务器队列中拿出，不参加下一次的用户请求的分配, 直到其恢复正常。12345678Internet根据管理员设置的比率客户请求以3:1:1:1的比率分发ClientsRouterBIG-IP ControllerServers9101112优先权（Priority）：给所有服务器分组,给每个组定义优先权，BIG-IP 用户的请求，分配给优先级最高的服务器组（在同一组内，采用轮询或比率算法，分配用户的请求）；当最高优先级中所有服务器出现故障，BIG-IP 才将请求送给次优先级的服务器组。这种方式，实际为用户提供一种热备份的方式。管理员定义一组优先权高的服务器优先使用直到这组服务器全部出现故障则再换另外一组优先权低的服务器ClientsRouterServers135246InternetPriority 1Priority 2Minimum Active Members = 2动态负载均衡算法最少的连接方式（Least Connection）：传递新的连接给那些进行最少连接处理的服务器。当其中某个服务器发生第二到第7 层的故障，BIG-IP 就把其从服务器队列中拿出，不参加下一次的用户请求的分配, 直到其恢复正常。ClientsRouterBIG-IP ControllerServers12Internet新的请求将被转发到当前连接数最少的服务器462460455465Current Connections最快模式（Fastest）：传递连接给那些响应最快的服务器。当其中某个服务器发生第二到第7 层的故障，BIG-IP 就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。ClientsRouterBIG-IP ControllerServers新的请求将被转发到当前响应时间最快的服务器101102Internet14ms15ms20ms11msCurrent Response Times观察模式（Observed）：连接数目和响应时间以这两项的最佳平衡为依据为新的请求选择服务器。当其中某个服务器发生第二到第7 层的故障，BIG-IP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。ClientsRouterBIG-IP ControllerServers新的请求将被转发到当前连接数和响应时间综合效果最好的服务器12Internet预测模式（Predictive）：BIG-IP利用收集到的服务器当前的性能指标，进行预测分析，选择一台服务器在下一个时间片内，其性能将达到最佳的服务器相应用户的请求。(被BIG-IP 进行检测)ClientsRouterBIG-IP ControllerServers12Internet新的请求将被转发到将来连接数和响应时间综合效果最好的服务器动态性能分配(Dynamic Ratio-APM):BIG-IP 收集到的应用程序和应用服务器的各项性能参数，动态调整流量分配。动态服务器补充(Dynamic Server Act.):当主服务器群中因故障导致数量减少时，动态地将备份服务器补充至主服务器群。服务质量(QoS）:按不同的优先级对数据流进行分配。服务类型(ToS): 按不同的服务类型（在Type of Field中标识）对数据流进行分配。规则模式：针对不同的数据流设置导向规则，用户可自行。6 产品介绍6.1 SonicWall功能及优点SonicWALL 公司新一代安全产品结合了更高层次的UTM 技术，集成了入侵防御、网关防病毒及反间谍软件以及应用防火墙可配置工具套件，以防止数据泄漏以及提供细粒度应用控制。可扩展多核硬件及免重组深度包检测扫描并清除任意大小文件中的威胁，对并发连接没有限制而且网速不减。网络管理员可使用主级或次级调制解调器或3G 无线接口配置NSA 240 系列，确保产品的高度扩展能力可以满足未来的需求。SonicOS 5.0 增强版中的全状态同步高可用性及负载均衡功能可充分利用网络带宽，保证最大的网络正常运行时间，让您随时能访问关键业务资源并且确保VPN 隧道及其它网络流量在故障切换时不会中断。高性能及更低的总拥有成本（TCO）通过同时使用多核处理能力而实现，极大地增加了吞吐量和并行检测能力，同时降低了功耗。先进的路由服务及网络功能结合了先进的网络安全技术，包括802.1q VLAN、WAN/WAN容错功能、基于域和对象的管理、负载均衡、先进的NAT 模式及更多技术，为您提供灵活的细粒度配置及全面的安全防护能力。标准VoIP 功能为VoIP 基础架构的每一个单元，从通信设备到适用于VoIP 的设备，如SIP Proxies 、H.323 Gatekeepers 以及CallServer，提供最高级别的安全保护。安全的分布式无线LAN 服务让设备能够起到安全无线交换机及控制器的作用，它能够自动侦别并配置SonicPointsTM，SonicWALL 无线访问点保障了分布式网络环境中的远程访问安全。联网服务质量（QoS）特性利用行业标准的802.1p 及差异化服务编码点（DSCP）服务类别（CoS）指示符提供强大灵活的带宽管理，这对VoIP、多媒体内容及关键业务应用起到至关重要的作用。6.2 McAfee NSP全球最强大的网络安全防御平台 1. McAfee NSP是全球首款IPS产品，硬件平台成熟稳定： 最高处理性能高达10Gbps，NSS唯一认证的万兆平台； 成熟稳定的高端网络设备，稳定性高达(99.999%)； 支持Fail-Open、Fail-Over、二层通过等高可靠性机制； 在设备稳定性方面满足大型网络的要求，甚至超越其他网络设备。 2. NSP具有高级别的安全防御能力： 强大的特征检测机制，具备全球最大最全面的攻击特征库； 深度协议检测和异常分析，能够准确检测和阻断未知攻击行为； 智能的DoS/DDoS攻击防御模块； NSS测试中，威胁检出和阻断率高达99.7%。 3. NSP管理简便，部署灵活： 支持In-line、Span、Tap等多种部署模式； 管理平台直观，支持全简体中文报告和攻击事件描述。 McAfee参与设计的Asic技术； 全面提升协议分析处理速度； 由多块Asic组成的处理芯片组，确保了NSP硬件平台的极高处理性能； FPGA在Asic架构确保检测速度的情况下，为NSP提供无以伦比的灵活性. Asic架构也能够确保NSP具有很长的产品使用周期。6.3 F5 BIGIPLTM服务器负载均衡器是指设置在一组功能相同或相似的服务器前端，对到达服务器组的流量进行合理分发，并在其中某一台服务器故障时，能将访问请求转移到其它可以正常工作的服务器的软件或网络设备。 SLB是服务器负载均衡(Server Load Balancing)的简称。服务器负载均衡又可以分为局域网服务器负载均衡与广域网服务器负载均衡(Global Server Load Balancing)。狭义的SLB是指局域网服务器负载均衡，与广域网服务器负载均衡（GSLB）相对。 采用负载均衡器的优点： 原有的系统只部署了一台服务器，随着访问量的增加，一台服务器已经不能满足应用的需要，而需要增加更多的服务器。当部署了两台以上的服务器时，就可能会需要用到负载均衡器。通过服务器负均衡器，对流量进行合理分配，可以带来以下好处： 提高性能负载均衡器可以实现服务器之间的负载平衡，从而提高了系统的反应速度与总体性能； 提高可靠性负载均衡器可以对服务器的运行状况进行监控，及时发现运行异常的服务器，并将访问请求转移到其它可以正常工作的服务器上，从而提高服务器组的可靠性 提高可维护性采用了负均衡器器以后，可以根据业务量的发展情况灵活增加服务器，系统的扩展能力得到提高，同时简化了管理。 实现服务器负载均衡有多种方法，常见的方法有： 基于DNS轮询的方法：即在DNS服务器中对同一域名设置多条DNSA记录，通过DNS的轮询机制实现服务器负载均衡。 基于应用软件的实现方法，在应用软件设计中就考虑了多服务器之间的协同工作与任务调度。这种方法一般会有一台服务器作为中枢对访问请求进行调度，同时要求在应用层支持访问重定向或任务调度、跳转机制。 采用专门的L4/L7层交换机来实现，也即我们常说的负载均衡器。一般都是通过在L4/L7层交换机作地址转换（NAT）来实现。6.4 深信服IPSec VPN1、接入服务、对移动IP的全面实现一般VPN部署都需要改变网络结构，SINFOR IPSEC VPN提供远程接入模块，可以充当远程接入服务器。当仅充当接入服务器时，不需要企业网络做任何改变。远程用户接入到企业局域网后，仅作为局域网内预先分配好的一个用户。对于原来就在局域网内的用户，当移动到世界各地，通过无线(WLAN,GPRS)驳接上Internet后，仍可以保留原来在局域内的IP地址不变，从而实现对移动IP的支持。SINFOR IPSEC VPN软件版本最多可以同时接入1024个用户，硬件版本能同时接入1500用户。2、 支持各种接入方式，随时随地移动办公通过改进的IPSEC隧道封装技术，SINFOR IPSEC VPN能很好的支持NAT穿透功能，也可以支持各种动态IP情况，因此能适应目前各种复杂网络。SINFOR IPSEC VPN使用虚拟适配技术将网络适配层和VPN层逻辑分离，使得SINFOR VPN可以支持任何接入方式，包括GPRS, CDMA1X,WLAN等最新的无线上网接入方式，甚至是未来NGN接入方式。SINFOR IPSEC VPN实现了用户随时随地移动办公的梦想，并能保护用户对未来的网络投资。3、安全策略随时携带，客户端零配置SINFOR IPSEC VPN 集成DKEY技术，可以将移动用户的安全策略存储在类似U盘的USB Key(又名DKEY)中。这样移动用户随身携带标识自己身份和存储了对应安全策略配置信息的DKEY，可以在任何一台电脑安全的接入到总部。安装好PDLAN软件后，用户只需要插入DKEY，输入自己的密码就可以完成接入，做到了VPN客户端零配置，和使用银行取款机一样安全方便。3、 完善的日志功能SINFOR IPSEC VPN集成完善的日志服务，提供信息日志，告警日志，错误日志和调试日志等多种类型的日志，并且SINFOR IPSEC VPN设备支持syslog协议，能将设备日志信息自动传输到syslog日志服务器进行统一保存及管理，极大的帮助网络管理员分析和维护整个网络系统。4、 简单方便的配置备份和恢复SINFOR IPSEC VPN采用多个加密的配置文件形式保存配置信息。系统提供了对所有配置的打包备份功能，管理员可方便的对配置文件进行备份，恢复。同时管理员还可以在本地配置好远程网络，利用配置恢复功能在远程导入配置。5、 支持远程部署和模块升级SINFOR IPSEC VPN 软件VPN产品，安装方便，可以实现远程安装、远程部署。安装可以在10分钟内完成，大大降低了企业部署VPN网络的成本。SINFOR IPSEC VPN软硬件产品都支持实现远程维护，也将大大降低企业的运维成本。SINFOR IPSEC VPN采用模块化设计，用户可以根据需要，下载相应的模块升级文件即可增加新的功能。如SINFOR IPSEC VPN的硬件产品M5100，用户可根据自身的需求升级至SINFOR IPSEC/SSL一体化网关：M5100-S，或者升级至深信服科技的UTM产品：M5100-AC等，极大地满足了不同用户不同的需求。并且深信服科技的VPN产品还可根据用户的特定互联需求定制特定的模块。7 产品相关案例McAfeeMcAfee NSP网络入侵防御系统为交通银行提供内外多点网络入侵防御􀂙 交通银行网络现状及存在的安全问题随着交通银行的不断发展壮大，网络的规模和节点数量也在不断增加。在网络的发展过程中，交通银行一直非常重视信息安全系统的规划和建设，已经建成了非常全面的终端安全体系，并且部署了覆盖全国的IDS 监控网络。但交通银行仍然面临一些安全威胁，并且现有的安全措施难以解决，安全问题主要体现在：1 网络层面的攻击行为没有有效的防御手段，不能在边界实时阻断黑客攻击；2 边界安全措施不完善，各类外部安全威胁都可能通过网络边界进入网络；3 没有有效的DoS/DDoS 攻击防护手段；4 没能将现有的安全措施整个成为一个高效的体系进行管理，对安全风险的管理不够全面。交通银行针对上述安全威胁，选择了 McAfee 的NSP 网络入侵防御系统用于应对网上银行、总行办公网Internet 入口及总行OA 出口多个位置的网络入侵防御。􀂙 网上银行 I n t e r n e t 入口的N S P 部署对于现有分别提供互联网接入服务的电信和网通两条百兆以太网线路，由于带宽均在20M 到30M 之间，交通银行选择了NSP 1400 网络入侵防御系统在这两条互联网出口均进行了串联In-Line（Fail-Open）形式的部署。阻挡来自Internet 的对网银服务的DoS/DDoS攻击、黑客攻击、应用层攻击等恶意活动。之所以选择处理能力