《网络安全方案分析》PPT课件.ppt

典型网络安全方案设计,本项目主要从当前网络安全的状况做出安全需求分析，并结合网络安全的评价标准以及网络安全防御体系的一般结构来制定相关网络（如校园网、企业网、政府网等）的安全方案规划。最后，对后续的网络安全实验进行设计并建立一个虚拟的实验环境。,校园网络安全方案设计,校园网安全现状 目前，校园网在学校的办公系统中起着重要作用，合理的使用不仅能促进各院校的现代化教学改革、提高教学质量、改善教学环境，还将会极大的提高教育行业整体的工作效率和教育质量，而前提就是校园网必须是稳定的、安全的和可靠的。因此，校园网安全方案的设计尤为重要。,校园网安全需求分析 校园网总体上分为校园内网和校园外网。校园内网主要包括教学局域网、图书馆局域网、办公自动化局域网等。校园外网主要指学校提供对外服务的服务器群、与CERNET的接入以及远程移动办公用户的接入等。但具体还要根据不同校园网的实际情况来做简要分析。一般情况下，校园网安全主要可以从以下5个方面进行分析： （1）物理安全。是指保护校园网内计算机设备、网络设备及通信线路，使其免遭自然灾害及其它环境事故（如电磁污染）的破坏。 （2）网络安全。是指校园网安全建设的基础，完善的网络安全防御措施可以解决大多数的校园网安全问题，包括基础网络安全、边界防护、远程接入和全局安全。 （3）主机安全。校园网内，主机的安全问题最为常见，也是其他安全问题源头，主机安全涉及到统一身份认证，主机安全防护体系。通过校园网统一身份认证和校园网主机安全防护体系来全面实现校园网的主机安全目标。 （4）应用安全。校园网的应用安全是最为复杂的部分，涵盖的内容涉及到了业务应用的各个层面。 （5）数据安全。数据是当前高校信息化建设中最宝贵的资源，其重要性已经得到越来越高的重视。校园网的安全建设中，数据安全是一个不可忽视的方面。数据的遗失或损坏对于学校而言，其后果不可想象。,校园网安全功能设计 1. 设计原则 为了建设全方面的、完整的校园网络安全体系结构，综合考虑可实施性、可管理性、可扩展性、综合完备性和系统均衡性等方面，网络安全防御体系在整体设计过程中应遵循以下5项原则： （1）保密性：防止信息泄露给非授权用户的特性。达到保密性可选择VLAN的划分，并能在VLAN之间进行第三层交换时进行有效的安全控制，以保证系统的安全性； （2）完整性：防止信息在存储或传输过程中被修改、破坏和丢失的特性。达到完整性采用VPN技术，用它的专用通道进行通信保证了信息的完整性； （3）可用性：就是易于操作、维护，并便于自动化管理。达到可用性可以利用图形化的管理界面和简洁的操作方式，合理地网络规划策略，提供强大的网络管理功能，使日常的维护和操作变得直观，便捷和高效； （4）可控性：就是对信息的传播及内容具有控制能力。达到可控性对于网络管理来说，要求采用智能化网络管理软件，并支持虚拟网络功能，对网络用户具有分类控制功能，从而来实现对网络的自动监测和控制； （5）扩展性：就是便于系统及系统功能的扩展。达到扩展性对选择的网络设备最好是模块化的，便于网络的扩大和更改，其中核心交换机应具有多种模块类型，以满足各种网络类型的接入，所选择的设备都应具有良好的软件再升级能力。,。,3. 功能模块及设备需求分析 1）主要功能模块 （1）交换机安全模块主要实现的功能：IP与MAC的绑定、VLAN的划分、端口的安全和访问控制列表（ACL）； （2）防火墙模块：包过滤、地址转换（NAT）； （3）VPN模块：建立专用通道IPSEC VPN 和SSL VPN； （4）DMZ区域模块：IDS与防火墙的联动。,2）设备需求 方案主要设备如表11-3所示。 （1）三层交换机的主要功能包括：高背板带宽为所有的端口提供非阻塞性能、灵活完备的安全控制策略、强大的多应用支持能力和完善的QoS策略等。 （2）防火墙的主要功能包括：扩展的状态检测功能、防范入侵及其它（如URL过滤、HTTP透明代理、SMTP代理、分离DNS、NAT功能和审计/报告等）附加功能。 （3）入侵检测系统主要功能包括：能够阻止来自外部或内部的蠕虫、病毒和攻击带来的安全威胁，确保企业信息资产的安全，能够检测各种IM即时通讯软件、P2P下载等网络资源滥用行为，保证重要业务的正常运转，能够高效、全面的事件统计分析；能迅速定位网络故障，提高网络稳定运行时间。 （4）VPN的主要功能包括：严格的身份认证、权限管理、细粒度控制、传输加密和终端安全检查等机制保障移动用户SSL安全接入可实现用户身份和PC硬件信息的对应；通过人机捆绑可以为远程用户分配内部IP地址；真正实现远程局域网可以为远程移动用户分配内部服务器地址；真正实现移动办公通过证书管理器为用户生成证书、私钥，可通过邮件通知用户自己到证书管理器上下载软件安装包和配置文件，用户只需在本地安装就可实现快速部署。,校园网安全模块详细设计 1. 交换模块安全设计与实施 为了更加安全，减小广播风暴，VLAN技术在网络中得到大量应用，但同时网络访问站点也不断增加，而路由器的接口数目有限，二层交换机又不具备路由功能。基于这种情况，三层交换机便应运而生，三层交换机弥补了路由器和二层交换机在某些方面的不足，它可以通过VLAN划分、配置ACL、IP地址与MAC地址的绑定以及arp-check防护等功能来提升网络中数据的安全性，如图11-2所示。,（1）VLAN划分方案 VLAN划分的方案图如图11-3所示，说明如下： （1）高校的学生通过网络交换的信息量日益增大，特别是一个班的同学，但住在一个寝室的同学不一定就是一个班的，所以将一个班的同学划为同一个VLAN便于信息的传递。一个班同学的寝室划为同一个VLAN，再将一栋宿舍楼划为一个大VLAN； （2）每个老师的计算机里可能有一些重要的科研资料，从安全性考虑，不能将所有老师的寝室划为同一个网，即将每个老师的寝室划为一个VLAN，并且学生宿舍和教师宿舍不能互相访问； （3）将教学楼的所有教室划为一个VLAN； （4）为了方便同学和老师做一些教学实验，实验室会进行一些专项课题研究，将一个实验室划分在同一个VLAN的做法安全性更高。因此，可以将实验楼划为一个大VLAN，再将每个实验室划为一个小VLAN； （5）为了方便每个部门管理，可以根据每个的不同性质，将办公楼划为一个大VLAN，再将每个部门划为一个小VLAN； （6）划分方法采用基于端口的划分。高校学生的流动性大（如新生的入学，毕业生离校等）会导致的学生的人数和班级的变动。基于端口的划分，相对来说容易设置和监控，只需要将端口配置的VLAN重新分配。,2）访问控制列表 ACL（Access Control List）是一项在路由器和三层交换机上实现的包过滤技术，通过读取第三和第四层的包头部信息（如源地址、目的地址、源端口、目的端口等），并根据预先定义好的规则来对数据包进行过滤，从而达到访问控制的目的。 本方案中，主要在S3760三层交换机上配置ACL规则，可以限制各个VLAN之间的访问，如，阻止教学楼1台IP地址为172.17.1.5的源主机通过fa 0/1，放行其他的通讯流量通过端口，并阻止172.17.1.5主机执行Telnet命令。 S3760#configure terminal Enter configuration commands, one per line. End with CNTL/Z. S3760(config)#access-list 1 deny 172.17.1.5 255.255.255.0 S3760(config)#access-list 1 permit any S3760(config)#interface fa 0/1 S3760(config-if)#ip access-group 1 in S3760(config)#access-list 100 deny tcp 172.17.1.5 255.255.255.0 any eq 23 S3760(config)#access-list 100 permit ip any any S3760(config)#interface fa 0/1 S3760(config-if)#ip access-group 100 in,3）IP与MAC地址绑定 目前在使用静态IP地址的局域网管理中经常碰到IP地址被盗用或者用户自行修改地址导致IP地址管理混乱，而且ARP病毒和利用ARP协议进行欺骗的网络问题也日渐严重，在防范过程中除了通过VLAN的划分来抑制问题的扩散之外，还需要将IP地址与MAC地址进行绑定来配合达到更有效的防范。 在其核心交换机RG-S3760用address-bind命令手动进行一些特殊IP与MAC地址的绑定使其对应的主机不能随便地更改IP地址或者MAC地址，另外在网络中设一台DHCP服务器，所有主机都通过DHCP自动获得IP地址，在这个过程中，RG-S3760开启DHCP snooping功能以及ARP-check防护功能，交换机会自动侦听DHCP分配地址的过程，将其中有用的IP+MAC地址信息记录下来，自动绑定到相应的端口上，减少大量的手工配置。 例如在S3760上的fa0/1端口上开启DHCP snooping功能、ARP-check防护功能、端口安全功能以及动态地绑定命令如下。 S3760#configure terminal Enter configuration commands, one per line. End with CNTL/Z. S3760(config)#ip dhcp snooping S3760(config)#interface fa0/1 S3760(config-if)#switchport port-security arp-check S3760(config-if)#switchport port-security S3760(config-if)#ip dhcp snooping address-bind S3760(config-if)#exit S3760(config)#exit,2. VPN模块安全设计与实施 校园网VPN可以通过公众IP网络建立私有数据传输通道，将远程或分校的分支办公室、合作伙伴、移动办公人员等连接起来，减轻校园网的远程访问费用负担，节省电话费用开支，不过对于端到端的安全数据通讯，还需要根据实际情况采取不同的架构。IPSec VPN和SSL VPN是目前校园网VPN方案采用最为广泛的安全技术，但它们之间有很大的区别，从VPN技术架构来看，IPSec VPN是比较理想的校园网接入方案，由于它工作在网络层，可以对终端站点间所有传输数据进行保护，可以实现Internet多专用网安全连接，而不管是哪类网络应用。IPSec VPN还要求在远程接入客户端适当安装和配置IPSec客户端软件和接入设备，这大大提高了网络的安全级别。 本方案采用IPSec VPN。由于IPSec VPN在IP层提供访问控制、无连接的完整性、数据来源验证、防重放保护、加密以及数据流分类加密等服务。通过对IPSec VPN的配置和VPN冗余配置，来实现远程用户的接入，提高网络的负载均衡并有效的提高了网络安全性。VPN模块的详细拓扑结构如图11-4所示。,建立安全的IP 通信隧道，是建立虚拟专用网的关键。本方案中采用锐捷VPN 进行配置。在VPN配置界面中，选择网关的目录树上的IPSec VPN，如图11-5所示。接着开始对VPN进行具体配置：,1）远程用户接入配置 远程用户接入方式多种多样，比如通过无线接入、ADSL拔号接入和专线接入等等，当需要配置远程移动用户接入，那么在上图中双击远程用户管理，打开远程用户管理界面进行配置，如图11-6所示。 （1）配置允许客户端访问的子网。在远程用户管理界面下打开“允许访问子网”进行配置，如如图11-7所示，可以通过添加按钮来添加用户接入后可以访问的内网的子网数目。,（2）配置内部DNS服务器。在远程用户管理界面下打开“内部DNS服务器”进行配置，如图11-8所示，可以通过添加按钮来添加内部DNS服务器即校园内网DNS服务器的IP地址，这样当隧道建立起来之后， RG-SRA 软件自动将客户端主机的DNS 设置为内部DNS。,（3）配置内部WINS服务器。内部WINS服务器和内部DNS服务器配置相似，使用校园内网WINS服务器的IP地址配置后客户机可以用机器名来访问在服务器上注册了的机器，没有时也可以不进行配置。 （4）配置虚IP地址池。内部地址池允许网络管理员输入一个或者几个IP 地址范围，这些地址将用于对远程用户分配虚拟IP 地址，打开虚地址池的配置窗口选择添加下列子网地址或连续地址，进行内部地址池的添加，如图11-9所示。 （5）配置用户特征码表。如果需要对用户的登录机器进行限制，可以对用户机器特征进行绑定，用户机器的特征（每个客户端软件都可以显示本机的特征码）可以由管理员手工导入，也可以由客户端首次上线的时候自动报告。,（6）用户认证配置。RG-SRA选择网关本地认证，要为RG-SRA用户设置认证用户名和口令。在窗口左侧菜单区中用鼠标点击“用户认证”“本地用户数据库”，此时在窗口右侧操作区显示本地用户列表，点击工具栏的“添加用户”按钮，进行添加用户操作，如图11-10所示。,2）网关之间的隧道 网关到网关的应用模式主要包括以太网、ADSL拨号等网络环境，在这种环境下VPN设备需要设置路由信息才能连接上网。内部子网的主机把默认网关设置为VPN设备的内口，下面是两个网关之间的隧道配置。 （1）网关A的配置。添加设备后在“对方设备名称”文本框中，为网关 B设置一个唯一名称，如vpnb。在“本地设备接口”列表框中选择与网关B的连接的端口，如eth0。在本地设备身份中选择“作为客户端”单选按钮，并在“对方设备地址”中填写网关B的IP地址。在认证方式中，选择“预共享密钥”单选按钮，然后在“密钥”文本框中输入共享密钥，如“123456”，双方必须相同，如图11-11所示。添加遂道后在“隧道名称”为该隧道设置一个唯一名称，如Ta-b。“对方设备名称”选刚才为B设置的设备名：“vpnb”，“本地子网”如192.168.1.0/255.255.255.0，“对方子网”如172.18.48.0/255.255.255.0，如图11-12所示，“通信策略”根据需要配置，算法必须与B相同，配置如图11-13所示。,2）网关B的配置。与网关A的配置相似，只需要把上述配置中的对方相应改成网关A的信息，如添加设备时设备名称叫vpna，密钥相同。在添加遂道时，本地子网和对方子网互换，其余保持不变。 3）VPN冗余配置 VPN冗余的目的是为了提高系统的可靠性，本方案通过RG-WALL V160S中的VRRP来实现VPN之间的冗余，详细拓扑结构设计如图11-14所示。,（1）VPN的备份配置。在安全网关界面目录树上，点击“VRRP设置”即可进入VRRP设置界面，如图11-15所示。 首先在“网络接口”中把安全网关A的eth1接口IP配置为：192.168.1.50，然后选择“VRRP设置 | 添加虚拟路由器”，把 网络接口选择为eth1；组号配置为：1；虚拟IP配置为：192.168.1.77；主机优先级填为：200；默认使用抢占模式、认证方式和密码可以根据实际情况选择和填写；通告时间间隔默认选择为：1秒；监控选项选eth0；优先级衰减量量设为150；如图11-16所示。 接着再在“网络接口”中把安全网关B的eth1接口IP置为：192.168.1.51，然后选择“VRRP设置 | 添加虚拟路由器”，把网络接口选择eth1；组号配置为：1；虚拟IP配置为：192.168.1.77；主机优先级填为：100；默认使用抢占模式、认证方式和密码和安全网关A配置相同；通告时间间隔和安全网关A配置相同都为：1秒；监控选项选eth0；优先级衰减量量设为45；如图11-17所示。,4）负载均衡的配置 用相同的方法在网关A上添加第二组虚拟路由，网络接口选择eth1；组号配置为：2；虚拟IP配置为：192.168.1.88；主机优先级填为：100；默认使用抢占模式；默认启用虚拟MAC地址；认证方式和密码可以根据实际情况选择和填写；通告时间间隔默认选择为：1秒。网关B上添加第二组虚拟路由，网络接口选择eth1；组号配置为：2；虚拟IP配置为：192.168.1.88；主机优先级填为：200；默认使用抢占模式；默认启用虚拟MAC地址；认证方式和密码安全网关A中组号2配置相同；通告时间间隔默认选择为：1秒。,3. 防火墙模块安全设计与实施 本方案采用RG-WALL 160M进行防火墙的策略配置。首先，对防火墙进行管理与初始化配置，然后再按照本方案的要求进行防火墙的基本配置，如防火墙接口IP地址配置、路由配置以及安全规则等设置。 本校园网安全方案中，学校出口有2条100M链路，分别是教育网和电信网，客户内网是教育网公网地址，要求访问教育网的资源走教育网，访问其他的资源走电信网，并且DMZ 服务器分别映射到教育网和网通IP 地址。 具体的配置过程如下：,（1）防火墙 IP 地址配置，如图10-18所示。 （2）路由配置：配置去往教育网的路由，下一跳为教育网，再配置默认路由，下一跳为电信网，如图10-19，图10-20所示。并配置防火墙内网接口启用源路由功能，如图10-21所示。,图10-18 IP地址配置,图10-21 配置启用源路由功能 图10-22 安全规则 （3）安全规则的配置：安全规则配置是防火墙配置的重点，具体配置如图10-22所示，其中： 内网服务器映射成教育网IP地址，允许任意源地址访问，同时，设置源路由让此服务器的数据流从教育网出去； 内网服务器映射成电信网IP地址，允许任意源地址访问，同时，设置源路由让此服务器的数据流从电信线路出去； 内网访问教育网资源的数据流，做包过滤规则允许通过； 内网访问其他资源的数据流，做 NAT 规则转换成网通的地址通过。,4. IDS入侵检测系统设计与实施 入侵检测系统可以检测校园网的入侵行为并将这些信息通知给管理员或相关安全设备（如防火墙）来进行防御。RG-IDS依赖于一个或多个传感器来监测网络数据流。这些传感器代表着RG-IDS的眼睛。因此，传感器在某些重要位置的部署对于RG-IDS能否发挥作用至关重要。 本方案的IDS模块的拓扑结构如图10-23所示。,传感器利用策略来控制其所监测的内容，并对监测到的事件做出响应。设置步骤如下： （1）单击主界面上的“策略”按钮，切换到策略编辑器界面，如图10-24所示，单击工具栏上的“编辑锁定”按钮，如图10-25所示。,图10-24 策略设置,图10-25编辑锁定,再单击工具栏上的“派生策略”按钮在弹出的窗口中输入新策略的名称，如图10-26所示，单击“确定”按钮。,（2）策略编辑：单击自定义策略，单击“编辑锁定”以确保其他人不能同时更改策略，然后根据需求来设置策略，如下图10-27所示。,（3）策略应用。选择需要下发的策略，单击“应用策略”按钮，如下图10-28所示,11.1.5 项目总结 本方案根据网络安全系统设计的总体规划,从网络安全、主机安全、应用安全、数据安全四个方面安全和管理措施设计出一整套解决方案，目的是要建立一个完整的、立体的、多层次的网络安全防御体系。方案中，我们主要采用了星网锐捷公司的安全产品来对校园网进行安全设计，如RG-S3760E-24、RG-WALL160M、RG-IDS500S、RG-WALL V160S，这些产品在功能上完全能够满足本方案的需求，并实现了安全、VPN安全、防火墙安全、IDS与防火墙联动的安全设置等内容，同时，还对方案进行了测试验证，并得到了较好的实验效果。 本方案在设计上还具有局限性，今后的改进目标主要有以下几个方面：（1）设计更复杂的测试环境，来检查方案中存在的缺陷；（2）改进本方案的拓扑结构，使之能够适应更大规模的网络需求；（3）采用更先进的技术，将其融入到本方案中，从而达到更好的安全防御效果。,任务11.2 企业网络安全方案设计,11.2.1 企业网络安全需求分析 1.企业网络业务安全需求 （1）控制网络不同部门之间的互相访问； （2）对不断变更的用户进行有效的管理； （3）防止网络广播风暴影响系统关键业务的正常运转，甚至导致系统的崩溃； （4）加强远程拨号用户的安全认证管理； （5）实现企业局域网与其他各网络之间的安全、高速数据访问交换； （6）建立局域网的立体杀毒系统； （7）建立WWW服务器，实现企业在Internet和Intranet上的信息发布，使公司内外的人员能够及时了解公司的最新信息； （8）建立邮件服务器，实现企业工作人员与上级机构、分支机构之间的电子信息的传递； （9）构建起企业运行基于网络设计的Client/Server(客户机/服务器)或Browser/Server(浏览器/服务器)结构的办公自动化系统、各种信息管理系统的网络硬件平台和系统运行平台。,2.存在的安全威胁 1）外部威胁 企业网络的外部安全威胁主要来源于以下几个方面： （1）病毒侵袭； （2）黑客入侵； （3）垃圾邮件； （4）无线网络、移动手机带来的安全威胁。 2）内部威胁 企业网络的内部安全威胁主要来源于以下几个方面： （1）用户的操作失误带来的安全问题； （2）某些用户故意的破坏，如被解雇或工作变动的职员因对公司的不满而对企业网络进行破坏或盗取公司的机密信息； （3）用户的无知引起的安全问题。 3）网络设备的安全隐患 网络设备是网络系统的主要组成部分，是网络运行的核心。网络运行状况根本上是由网络设备的运行性能和运行状态决定的，因此，网络设备稳定可靠的运行对整个网络系统的正常工作起着关键性作用。特别是对于可以通过远程连接TELNET、网管、WEB等方式进行配置管理的网络设备（如路由器、防火墙等）容易受到入侵的攻击，主要的安全隐患表现在以下几个方面： （1）人为因素； （2）网络设备运行的操作系统存在漏洞； （3）网络设备提供不必要的服务； （4）网络设备没有安全存放，易受临近攻击。,3.企业网络安全建设的原则 1）系统性原则 企业网络系统整个安全系统的建设要有系统性和适应性，不因网络和应用技术的发展、信息系统攻防技术的深化和演变、系统升级和配置的变化，而导致在系统的整个生命期内的安全保护能力和抗御风险的能力降低。 2）技术先进性原则 企业网络系统整个安全系统的设计采用先进的安全体系进行结构性设计，选用先进、成熟的安全技术和设备，实施中采用先进可靠的工艺和技术，提高系统运行的可靠性和稳定性。 3）管理可控性原则 系统的所有安全设备（管理、维护和配置）都应自主可控；系统安全设备的采购必须有严格的手续；安全设备必须有相应机构的认证或许可标记；安全设备供应商应具备相应资质并可信。 4）适度安全性原则 系统安全方案应充分考虑保护对象的价值与保护成本之间的平衡性，在允许的风险范围内尽量减少安全服务的规模和复杂性，使之具有可操作性，避免超出用户所能理解的范围，变得很难执行或无法执行。 5）技术与管理相结合原则 企业网络系统安全建设是一个复杂的系统工程，它包括产品、过程和人的因素，因此它的安全解决方案，必须在考虑技术解决方案的同时充分考虑管理、法律、法规方面的制约和调控作用。单靠技术或单靠管理都不可能真正解决安全问题，因此必须坚持技术和管理相结合的原则。 6）测评认证原则 企业网络系统作为重要的政务系统，其系统的安全方案和工程设计必须通过国家有关部门的评审，采用的安全产品和保密设备需经过国家主管理部门的认可。 7）系统可伸缩性原则 企业网络系统将随着网络和应用技术的发展而发生变化，同时信息安全技术也在发展，因此安全系统的建设必须考虑系统可升级性和可伸缩性。重要和关键的安全设备不因网络变化或更换而废弃。,11.2.2 企业网总体设计 1.企业网总体设计拓扑图,图11-29 企业网络拓扑图,企业网络总体拓扑结构如图11-29所示，其部门的IP地址规划如表11-4所示。设备IP地址规划如表11-5所示。,表11-4 部门IP地址规划表,表11-5 设备IP地址规划分配表,2.功能模块设计分析 本方案主要实现以下几个功能模块： （1）防火墙功能模块，主要实现防火墙的部署、防火墙策略设置、与IDS联动等； （2）虚拟专用网功能模块，主要实现双机热备、与防火墙双重防护关键服务器群、与IDS联动、PKI用户认证设置、IPSec VPN和VPN虚拟子网设置等； （3）入侵检测功能模块，实现与防火墙的联动； （4）三层交换机安全功能模块，主要实现VLAN、IP与MAC绑定、与IDS联动等； （5）病毒防护功能模块等。,11.2.3 防火墙系统设计 1.防火墙的部署 在防火墙的部署方式上，类似于区域分割的三角方式，是指将网络分为内部网络（军事化区域）、外部网络和DMZ区域。例如，将Web服务器、邮件服务器、DNS服务器、前台查询计算机等放置在DMZ区域，而内部的文件服务器、数据库服务器等关键应用都放置在内部网络中，从而使它们受到良好的保护，如图11-30所示。,图11-30 防火墙部署,企业网络拥有自己的FTP、Web和Mail等服务器，并对Internet及内部用户提供相应的服务。其中，将向外提供服务的主机旋转在DMZ区，以保证内部的安全。在接入Internet时，本方案选择使用防火墙来接入，并实现NAT、PAT和ACL等配置方案。,2. 防火墙应用规则与配置 1）配置IP/MAC绑定与主机保护 设置IP/MAC地址绑定，就可以执行IP/MAC地址对的探测。如果防火墙某网口配置了“IP/MAC地址绑定启用功能”、“IP/MAC地址绑定的默认策略（允许或禁止）”，当该网口接收数据包时，将根据数据包中的源IP地址与源MAC地址，检查管理员设置好的IP/MAC地址绑定表。如果地址绑定表中查找成功并匹配，则允许数据包通过，不匹配则禁止数据包通过。如果查找失败，则按缺省策略（允许或禁止）执行。 使用命令添加IP/MAC地址绑定： 语法： ipmac add if | none unique on | off 参数说明： ip 指定IP地址， mac 指定MAC地址， if 指定相应的网络接口，可选参数，默认为不指定网络接口 unique 指定是否进行MAC地址的唯一性检查，可选参数，默认为不检查。 例如， firewallipmac add 172.18.56.254 00:05:66:00:88:B8 if none unique off,2）配置防火墙URL过滤 WEB服务是Internet上使用最多的服务之一。Internet上信息鱼龙混杂，存在部分不良信息，因此必须对其访问进行必要的控制。RG-WALL防火墙可以通过对某些URL进行过滤实现对访问不良信息的控制。通过使用黑名单和白名单来控制用户不能访问哪些URL，可以访问哪些URL。 3）NAT配置 NAT技术能够解决IP地址不够的问题，同时，也能够隐藏网络内部信息，从而保护内部网络的安全。 RG-WALL防火墙支持源地址一对一的转换，也支持源地址转换为地址池中的某一个地址。 用户可通过安全规则设定需要转换的源地址（支持网络地址范围）、源端口。此处的NAT指正向NAT，正向NAT也是动态NAT，通过系统提供的NAT地址池，支持多对多，多对一，一对多，一对一的转换关系。 4）配置安全规则 安全规则的配置可以说是防火墙最重要的配置了，因为没有安全规则，防火墙是不能转发数据流的。默认情况下，防火墙的行为是，除非明文允许，否则全部禁止。防火墙支持的安全规则有包过滤、NAT、IP 映射、端口映射和代理等。 5）配置防火墙主机保护 增加主机保护确保关键服务器的安全稳定，用于保护服务器访问时不会因为攻击而过载。,11.2.4 虚拟专用网设计 1. VPN系统部署 VPN系统部署的详细拓扑结构如图11-31所示。,图11-31 VPN部署,1）总部网络VPN系统部署 RG-WALL V160S作为认证网关，对内网的关键服务器进行认证控制，非授权用户不能访问。USB KEY 保障密钥的安全性，进一步降低安全使用风险。两台数据中心的RG-WALLV160S通过HA实现双机热，双网链路冗余和状态热备快速故障恢复。 2）分支机构VPN系统部署 企业分支机构一般指分布在全国各地规模中等的分公司，公司内部建有中等规模的局域网，同时通过当地ISP提供的宽带接入方式接入Internet并安装一台VPN设备，作为客户端接入总部。 3）移动办公网点VPN系统部署 采用L2TP+IPSEC隧道协议，接入总部，用户即使在乘坐车船甚至飞机的途中，可随时随地实现移动办公，犹如在办公室一样方便流畅地交流信息。 4）合作伙伴VPN部署 商业合作伙伴可能要实时共享某些信息，网络类似分支机构接入，通过防火墙策略设置访问权限 。,2. VPN双机热备份 本方案采用远程安全接入和边界安全防护的组合解决方案。针对本企业对系统和数据的高可用性和高安全性的需求，采用了两台RG-WALLV160S通过HA实现双机热备，双网链路冗余。该方案为用户提供了强大的容错功能，避免了单点故障，快速自动恢复正常通信。网络本身通过VPN网关实现数据在广域网链路中的安全传输，防止被窃听或被篡改。设计中两台RG-WALLV160S之间通过HA来实现双机热备，主机和备机通过一条串口线连接，正常工作时，主机处于工作状态，备机网口处于down状态，主机和备机的配置完全相同，并通过串口线同步动态信息，更加增强了网络的可靠性，当主机出现问题或者链路不通时，备机将在36秒钟之内进入工作状态，接管主机的工作，整个切换过程平滑透明，网络用户只会感觉到有短暂的加大，不会对整个网络造成大的影响。,3. VPN与防火墙双重防护关键服务器群 在服务器群网络外部署的两台VPN外又添加了两台虚拟防火墙，从而提高关键位置的安全性及敏感数据的安全性。以此防止恶意用户在网络中进行非法网络攻击及网络访问。并能同时保证公司带宽投入得到有效地利用。就算黑客能突破虚拟防火墙，里面还有一层VPN认证防护，提高了安全级别。 4. VPN与IDS联动 网络安全不可能完全依靠单一产品来实现，网络安全是个整体，必须配相应的安全产品。作为必要的补充，入侵检测系统（IDS）可与安全VPN系统形成互补。入侵检测系统是根据已有的、最新的和可预见的攻击手段的信息代码对进出网络的所有操作行为进行实时监控、记录，并按制定的策略实行响应（阻断、报警、发送E-mail）。从而防止针对网络的攻击与犯罪行为。入侵检测仪在使用上是独立网络使用的，网络数据全部通过VPN设备，而入侵检测设备在网络上进行疹听，监控网络状况，一旦发现攻击行为将通过报警、通知VPN设备中断网络（即IDS与VPN联动功能）等方式进行控制（即安全设备自适应机制），最后将攻击行为进行日志记录以供以后审查。,5.PKI配置与用户认证配置 由于锐捷VPN 设备采用标准X.509 证书进行设备身份标识，所以系统提供标准PKI（公钥基础设施）配置。锐捷 VPN 设备可以对远程用户进行身份验证。目前可以支持一次性口令认证、数字证书认证、第三方Radius 认证和SecureID 认证。 6.报文过滤 设置报文过滤策略来指定某些传输层协议能否通过VPN。另外可以通过配置与IDS的联动规则，当IDS 检测到攻击后，将立即通知报文过滤模块，过滤模块一方面显示对应的IDS 过滤规则，同时也会对攻击报文进行过滤，从而阻止其对内部网络的攻击。 7.VPN 虚子网配置 如果用户网络中不同 VPN 设备保护的内部子网地址相同，出现了冲突，那么常规VPN设备就会要求用户进行地址调整，但是锐捷VPN 可以允许用户通过虚子网来解决这个问题。 所谓虚子网就是把冲突一方的网络地址映射成另外一个不冲突的子网地址，网络地址部分发生变化，但是主机地址部分不变，这样用户仍然可以知道变换后对方的主机地址。 8.日志审计配置 日志记录提供对系统活动的详细审计，锐捷 VPN 提供了详细的日志审计信息，这些信息用于评估、审查系统的运行环境和各种操作,能够帮助管理员来寻找系统中存在的问题，对系统维护十分有用。管理器中对日志进行分级管理，使日志信息更详尽、更规范、层次更清楚。,11.2.5 入侵检测系统设计 本方案实现入侵检测系统与防火墙的联动，从而使防火墙可以根据网络运行的状况来动态设置防火墙规则，其部署的方拓扑结构如图11-32所示。,图11-32 防火墙与IDS的联动部署,11.2.6 三层交换机系统设计 三层核心交换机是整个企业网络的中枢节点，因此它的合理设置和安全规划将影响到整个网络的运行。本方案将从以下几个方面进行设计： （1）合理的VLAN划分规划； （2）IP与MAC地址的绑定设计； （3）防攻击的系统保护配置； （4）动态的ARP检测配置，防止ARP欺骗攻击等。,11.2.7 病毒防御系统设计 企业网络的病毒防御体系要针对企业网络的现状，对网络中可能存在的病毒入侵点进行详细分析，然后对其进行层层防护，对症下药才能真正保护企业网络的安全。一般情况下，病毒的入侵点主要有： （1）从客户端入侵：任何一个客户端计算机都可能会通过可移动介质、Internet下载、接收Email以及访问受感染的服务器等途径被病毒侵害，如果此客户端再去访问企业网络或其中的资源，则很有可能会把这些病毒传播出去，而且目前大部分病毒都可以自动进行复制传播，增加了其对企业网络的危害性； （2）从文件或应用服务器入侵：如果这些服务器被病毒侵害，则访问这些服务器的客户机将非常容易感染病毒； （3）从网关入侵：网关是一个企业网络的门户，任何防火墙都无法阻止Internet上病毒的入侵。 本方案的企业网络防病毒产品的部署如图11-33所示。,图11-33 企业网络防病毒产品部署,11.2.10 项目总结 本方案主要是以IDS为中心的联动来实现全网动态安全部署，并融合配置IDS、防火墙、VPN和三层交换机等设备，采用多手段多方位的立体防御体系，特别是对核心和保密部门加强其隧道实现技术，并通过测试，成功验证方案的可行性。但本方案在安全细节上设计的还不够，需要在实际的运行过程中不断改进完善，使之成为一个安全、可靠、先进的企业网络安全方案。,任务11.3 政府网络安全方案设计,任务11.3.1 了解政府网络安全现状 某地税分局外网建设的目的是能够通过构建一个统一、高效、可靠、安全的信息化平台，有效促进税务网络互联互通和税务信息资源共享，形成统一的某地税网络和资源共享平台。同时，能够为市、区各级相关部门在进行职能办公、社会管理、公共服务等业务应用提供支持，将网络服务延伸到乡（镇、街道）、村（社区），使网络服务惠及全民。 地税分局外网连接着市及其所管辖的某区各相关税务局网络，是某区税务局面向公众服务的重要信息网络枢纽，也是各部门实现纵向和横向互联互通、整合Internet出口和共享资源的统一网络平台。 某地税分局办公楼高为五层，核心机房在一楼弱电间，网络接入节点约60个，网络结构采用单核心结构。外网为公共信息服务平台和一般的办公网络，通过ISP运营商接入Internet，内网则通过专线连接与市局相连接。,任务11.3.2 政府网安全需求分析 1政府网络安全隐患 政府对网络的安全需求是全方位的，整体的，相应的网络安全体系也是分层次的，在不同层次反映了不同的安全问题。根据网络应用现状和网络结构，本方案基于物理安全、网络安全、系统安全、应用安全和管理安全五个安全层面分别进行了分析，提交详细的风险分析报告。地税分局外网可能面临的安全威胁和风险具体见下表11-6。,2地税分局政府网络安全需求 地税分局外网对信息安全程度要求较高，因其涉及到重要信息的泄密等。构筑网络安全系统的最终目的是对网络资源或者说是保护对象，实施最有效的安全保护。地税分局外网的安全，既涉及到各种硬件通信设施和各种服务器、终端设备的安全，又涉及到各种系统软件、通用应用软件和自行开发的应用程序的安全；既涉及各种信息安全技术本身，也涉及保障这些安全技术顺利实施的各种安全管理。任何一种或几种安全技术都无法解决网络中的所有安全问题，必须以科学的安全保障体系结构模型为依据，全面系统地分析内外网的安全保障需求，为建立科学合理的安全保障体系打下坚实的基础。 针对地税分局外网的网络安全需要从以下方面考虑： （1）针对重要信息可能通过电磁辐射或线路干扰等泄漏。需要对存放机密信息的机房进行必要的设计，如构建屏蔽室。采用辐射干扰机，防止电磁辐射泄漏机密信息。对重要的设备和重要系统进行备份等安全保护。 （2）不同业务网络之间的物理隔离或者逻辑隔离，特别是外网与因特网之间，外网与内网之间需要通过逻辑或物理隔离保证网络边界的安全。有效保障各网络系统之间的数据安全，确保政府部门内部保密数据的安全性和可靠性。 （3）严格控制各种人员对地税分局内部网络的接入，尤其是地税分局内部网络的接入，防止政府部门内部涉密信息的外泄。,（4）确保合法用户使用合法网络资源，通过统一的用户身份认证体系，确认用户的真实身份，严格控制用户的访问，防范非法用户非法访问、合法用户非授权访问和假冒合法用户非法访问等安全威胁。 （5）具有灵活、方便、有效的注册机制、身份认证机制和授权管理机制，保证内、外网中的数据的可控性和不可否认性。 （6）保护信息通过网上传输过程中的机密性、完整性，加强远程接入的安全，保证远程用户安全的访问应用数据资源。 （7）税务网上申报系统采用加密措施，构建CA系统通过信任的第三方来确保通信双方互相交换信息，就可以解决加密系统对密钥的分发及管理的可靠性却存在安全问题。 （8）网络系统需要充分考虑各种网络设备的安全，保障网络系统在受到蠕虫、扫描等攻击时网络设备的稳定性，充分提升政府网络系统的稳定性。 （9）各网络系统内部需要从网络设备到网络应用等多个层面，充分考虑各层面的网络安全，以保障网络系统内部对病毒、攻击等的防护。 （10）保护税务网络中主机资源安全，及时发现系统和数据库的安全漏洞，以有效避免黑客攻击的发生，确保网络系统服务的连续性，做到防患于未然。,（11）防范病毒的侵害，建立有效的防病毒机制，防止病毒在整个网络中的大规模传播，防止各种病毒等进入内部网。 （12）安全的防护不能是单一的，需要各种网络安全设备联合防护，提供网络的全面安全。 （12）实现网络的安全管理，实时监控和动态监测网络的运行状态，监控内网用户的各种访问行为。 （13）整个安全系统必须提供详实的安全日志功能。 （14）建立网络的安全审计体系，完善特定应用及服务的安全报告、日志和审计的功能，建立准确的审计体系。 （15）具有有效的应急处理和灾难恢复机制，确保突发事件后能迅速恢复系统的各项服务。 （16）安全管理体制健全的人的安全意识可以通过安全常识培训来提高。人的行为的约束只能通过严格的管理体制，并利用法律手段来实现。,3）网络安全设计的目标 根据上述政务外网将面临的威胁和风险，政府建立网络安全系统的设计目标应该满足保密性、完整性、可用性、可控性和扩展性的要求，建立从物理、网络、系统、信息和管理等方面的整体安全体系，实现综合防范机制，保障网络安全、高效、可靠的运行。 政务外网建立网络安全系统的设计目标： （1）保密性：信息不被泄露给非授权用户的特性。 （2）完整性：信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 （3）可用性：易于操作、维护，并便于自动化管理。 （4）可控性：控对信息的传播及内容具有控制能力。 （5）扩展性：便于系统及系统功能的扩展。,基于以上的设计目标，本方案网络安全建设将实现以下具体安全目标： （1）保护网络系统的可用性； （2）保护网络系统服务的连续性； （3）防范网络资源的非法访问及非授权访问； （4）防范入侵者的恶意攻击与破坏； （5）保护政府信息通过网上传输过程中的机密性、完整性； （6）防范病毒的侵害； （7）实现网络的安全管理。,4）网络安全设计的原则 政府网络安全系统的建设，以网络需求为基础，以构建系统安全、网络安全为重点，从入侵防范、服务检测、防病毒、访问控制、身份认证、报告审计等入手，建设以业务应用为核心的网络安全系统，并为进一步实现业务应用安全打下基础，要求制定统一的网络安全策略，总体上体现保密性、完整性、可用性、可控性、扩展性。 具体原则如下： （1）全方位实现安全性。安全性设计必须从全方位、多层次加以考虑，即通过网络级、应用级、系统级安全性设计措施来确实保证安全。 （2）切合实际实施安全性。必须紧密切合要进行安全防护的实际对象来实施安全性，以免过于庞大冗杂的安全措施导致性能下降。有效地防止网络的非法侵入和信息的泄露，保护关键的数据不被非法窃取、篡改或泄漏，使数据具有极高的可信性。 （3）易于实施、管理与维护。网络安全系统的管理和维护工作也是至关重要的。网络安全工程设计必须具有良好的可实施性与可管理性，同时还要具有尚佳的易维护性，为平台维护者提供方便的管理工具,（4）易操作性原则。安全措施需要人为去完成，对人员的技术要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。 （5）具有较好的可扩展性。网络安全工程设计，必须具有良好的可扩展性。系统建设应该是统一规划、分步实施、逐步完善的过程，整个安全系统必须留有接口，以适应将来工程规模扩展的需要。 （6）具有较好的可靠性。网络安全系统是用户众多，大量移动用户依赖它在获取重要信息。它的稳定可靠关系重大，信息平台的运行不稳定甚至瘫痪将严重影响大量用户的正常工作，将给用户带来不便和不可低估的损失。保证系统、网络和数据的稳定可靠性和不间断运行是平台运行的首要保证。,任务11.3.3 某地税分局外网安全总体解决方案设计 1设计思路 根据上述网络实现的安全目标和设计原则，为了体现保密性、完整性、可用性、可控性、扩展性等特性，本方案提出如下网络安全设计思路： （1）边缘接入控制。外网与Internet的接口处配置防火墙，把一些对外发布的服务器放在DMZ区域，通过对防火墙设置包过滤策略，控制Internet用户对服务器的访问。在网络内部，用户接入网络时，在接入层交换机上部署网络安全策略，实现边缘接入控制。 （2）全局联动协作。从全局的角度来把控网络安全，安全不是某一个设备的事情，应该让网络中的所有设备都发挥其安全功能，互相协作，形成一个“全民皆兵”的网络，最终从全局的角度把控网络安全。,（3）全程立体防御。用户的网络访问行为可以分为三个阶段，包括访问网络前、访问网络时、访问网络后。对每个阶段，都应进行严格的安全控制，做到“事前全面预防、事中立体防御、事后联动处理”，实现立体防御的全程网络安全。 （4）统一集中管理。通过VPN分布式部署，用户更好的实现了策略的统一，通过软硬件的多方面联动、计算机层面与网络层面的结合，从身份、主机、网络等多个角度对网络安全进行监控、检测、防御和处理，实现了与不在同一地理位置的分支机构的统一管理。,2体系结构 本方案基于安全性、稳定性、实用性、高效性、扩展性的设计原则，使用锐捷网络的防火墙RG-WALL160M、VPN网关RG-WALL V160S、入侵检测系统RG-IDS500S和核心交换机RG-S3760E进行构建安全网络，通过各个安全设备在同一网络环境下的全局联动，使网络中的每个设备都在发挥着安全防护作用，从而构成多种设备协同工作的全新安全体系。 地税分局外网网络安全体系结构图如图11-34下所示：,图11-34 网络安全体系结构图,RG-WALL160M 防火墙作为税务分局外网的出口，对访问用户进行严格控制，防止外部病毒、黑客等对服务器攻击。RG-WALL160M防火墙采用强大的分类算法，对网络出口的各种数据进行严格而快速的过滤，保障在提供严格的数据过滤的同时，性能不受规则数的影响，全面提升网络的安全保障系统的正常运行。 RG-WALL V160S VPN网关在线部署在核心交换机与出口防火墙之间，实现在某区税务分局和下属单位之间构建IPsec VPN通道的方案，数据在传输过程中防止发生泄密，保障税务数据在网络中能够高速、安全的传输。普通企业用户使用存放了CA认证证书USB KEY，便可以与分局网络内部建立SSL VPN隧道彻底解决了远程移动用户的接入和管理问题。 RG-IDS500S入侵检测系统实现实时检查和防范内部网络用户的非法操作和已侵入内部网络的攻击行为。RG-IDS采用基于网络的入侵检测系统的旁路工作方式部署。通过IDS与防火墙设备联动，可以充分利用专用IDS软件的功能，对流经网络的报文进行详细的分析与检查，探测各种异常情况和可能的攻击行为，并通过防火墙进行实时的响应。 RG-S3760E核心交换机支持丰富的安全防护能力，包括防DoS攻击，防IP扫描，防IP地址欺骗，防ARP欺骗，防病毒，带宽控制等功能，从基础架构上防止安全事件引起的系统不稳定因素，提供网络系统安全堡垒。,3方案阐述 本网络安全解决方案以面向服务的方式，结合安全等级保护的有关政策要求，从物理安全、网络安全、系统安全、应用系统安全、安全管理等方面进行设计，结合锐捷安全交换机、安全客户端、安全管理平台、用户认证系统、入侵检测系统、VPN安全网关、RG-WALL防火墙等多重网络元素，通过同一网络环境下的全局联动，使网络中的每个设备都在发挥着安全防护作用，从而构成一个全局化的多种设备协同防护的网络安全综合体系。 （1）物理安全。物理层安全保密解决措施分为环境安全，设备安全，媒体安全保密三个层面。在网络规划和场地、环境等方面，采取措施保证信息网络系统的物理安全，防止系统信息在空间的扩散。 （2）网络安全。首先，本方案实在原有网络基础设计的，采用了物理隔离方式，把地税分局网络分为外网和内网（参见图11-34），内网主要是电子公文的传递和内部办公系统等，政务外网主要是网络办公等应用，防止对内网重要数据和服务器的安全威胁。 其次，本方案详细设计了防火墙系统、VPN系统、入侵检测、防病毒系统、漏洞扫描系统等子系统。各个子系统相互独立，完成各自的在这个网络中承担安全功能。而且，通过同一网络环境下的全局联动，构成一个全局化的多种设备协同防护的网络安全综合体系。,（3）系统安全。系统安全主要包括系统防病毒和系统漏洞扫描两个部分。防病毒系统采用分布式网络防毒墙系统，包括防毒墙，病毒管理监控中心和病毒防治终端。杀毒软件病毒库自动下发到所有主机，保证主机的安全性。对USB口、光驱、打印口等端口进行控制，杜绝信息泄露和病毒传播。漏洞扫描系统通过对WEB站点、防火墙、路由器、外部网络、操作系统、被联网的主机和工作站的安全风险监测和扫描，对整个网络的信息进行保护。 （4）应用系统安全。包括：身份认证、访问控制、统一用户与权限管理系统、身份认证鉴权系统、日志审计、系统灾备。 身份认证：采用公钥数字证书。 访问控制：采用基于属性证书的统一资源访问控制机制，资源类型可以是多种多样的，可以是某个IP地址、某个端口、某个应用程序、某个URL地址、某个业务操作等，控制策略中的要素可以包括：网络的空间地址（IP地址）、时间、公钥身份证书、属性证书等。 统一用户与权限管理系统：针对统一资源目录中的用户、角色、权限等进行管理。 身份认证鉴权系统：根据需求（数字证书方式），对用户身份进行认证，并确认用户访问资源（应用、数据、设备等）的权限。 日志审计：对证书用户的访问记录进行敏感访问的记录，对证书用户应用层的业务操作进行不可抵赖的日志记录。对日志进行制度性地审核，发现各类安全事件，按照规定的应急响应机制进行处理。 系统灾备：有10台服务器，其中4台是数据库服务器。服务器运行的数据库系统是ORALCE。整个系统的数据量大约数十TB。对所有的应用系统数据集中备份管理。备份策略是：每天晚上，网络系统做自动备份处理，每月做一次冷备份，每月的第一天做一次全盘备份，其他时间每天做