H3C網(wǎng)絡(luò)安全系統(tǒng)規(guī)劃方案投標(biāo)建議書.doc

網(wǎng)絡(luò)安全系統(tǒng)規(guī)劃方案網(wǎng)絡(luò)安全系統(tǒng)規(guī)劃方案 杭州華三通信技術(shù)有限公司杭州華三通信技術(shù)有限公司 20072007 年年 4 4 月月 精選范本 供參考 目目 錄錄 一 一 安全系統(tǒng)整體規(guī)劃安全系統(tǒng)整體規(guī)劃 3 1 1 方案設(shè)計原則 3 1 2 安全體系模型 4 1 3 方案設(shè)計思路 5 二 二 網(wǎng)絡(luò)及安全現(xiàn)狀分析網(wǎng)絡(luò)及安全現(xiàn)狀分析 7 2 1 網(wǎng)絡(luò)結(jié)構(gòu)分析 7 2 2 安全層次的分析模型 8 2 3 安全需求分析 9 2 3 1 網(wǎng)絡(luò)層 9 2 3 2 系統(tǒng)層 10 2 3 3 管理層 10 2 3 4 用戶層 11 2 4 安全需求總結(jié) 11 三 三 網(wǎng)絡(luò)安全整體解決方案 網(wǎng)絡(luò)安全整體解決方案 13 3 1 網(wǎng)絡(luò)安全總體方案 13 3 1 1 基礎(chǔ)設(shè)施安全部署 15 3 1 2 防火墻系統(tǒng)防護(hù)方案 20 3 1 3 建立內(nèi)部入侵防御機(jī)制 23 3 1 4 建立入侵防御機(jī)制 25 3 1 5 建立端點(diǎn)準(zhǔn)入控制系統(tǒng) 27 3 1 6 完善的病毒防范機(jī)制 28 3 1 7 防DOS設(shè)備安全防護(hù)方案 30 3 1 8 網(wǎng)絡(luò)漏洞掃描機(jī)制 30 3 1 9 建立科學(xué)的安全管理機(jī)制 33 四 四 安全方案總結(jié)安全方案總結(jié) 36 精選范本 供參考 一 一 安全系統(tǒng)整體規(guī)劃安全系統(tǒng)整體規(guī)劃 1 1 方案設(shè)計原則方案設(shè)計原則 在規(guī)劃 信息系統(tǒng)安全時 我們將遵循以下原則 以這些原則為基礎(chǔ) 提供完善 的體系化的整體網(wǎng)絡(luò)安全解決方案 體系化設(shè)計原則體系化設(shè)計原則 通過分析信息網(wǎng)絡(luò)的網(wǎng)絡(luò)層次關(guān)系 安全需求要素以及動態(tài)的實施過程 提出科學(xué)的安全體 系和安全模型 并根據(jù)安全體系和安全模型分析網(wǎng)絡(luò)中可能存在的各種安全風(fēng)險 針對這些風(fēng)險 以動態(tài)實施過程為基礎(chǔ) 提出整體網(wǎng)絡(luò)安全解決方案 從而最大限度地解決可能存在的安全問題 全局性 均衡性原則全局性 均衡性原則 安全解決方案的設(shè)計從全局出發(fā) 綜合考慮信息資產(chǎn)的價值 所面臨的安全風(fēng)險 平衡兩者 之間的關(guān)系 根據(jù)信息資產(chǎn)價值的大小和面臨風(fēng)險的大小 采取不同強(qiáng)度的安全措施 提供具有 最優(yōu)的性能價格比的安全解決方案 可行性 可靠性原則可行性 可靠性原則 在采用全面的網(wǎng)絡(luò)安全措施之后 應(yīng)該不會對 的網(wǎng)絡(luò)上的應(yīng)用系統(tǒng)有大的影響 實現(xiàn)在保證網(wǎng)絡(luò)和應(yīng)用系統(tǒng)正常運(yùn)轉(zhuǎn)的前提下 有效的提高網(wǎng)絡(luò)及應(yīng)用的安全強(qiáng)度 保證整個信 息資產(chǎn)的安全 可動態(tài)演進(jìn)的原則可動態(tài)演進(jìn)的原則 方案應(yīng)該針對 制定統(tǒng)一技術(shù)和管理方案 采取相同的技術(shù)路線 實現(xiàn)統(tǒng)一安全 策略的制定 并能實現(xiàn)整個網(wǎng)絡(luò)從基本防御的網(wǎng)絡(luò) 向深度防御的網(wǎng)絡(luò)以及智能防御的網(wǎng)絡(luò)演進(jìn) 形成一個閉環(huán)的動態(tài)演進(jìn)網(wǎng)絡(luò)安全系統(tǒng) 精選范本 供參考 1 2 安全體系安全體系模型模型 安全方案必須架構(gòu)在科學(xué)的安全體系和安全模型之上 因為安全模型是安全方案設(shè)計和分析 的基礎(chǔ) 只有在先進(jìn)的網(wǎng)絡(luò)安全理論模型的基礎(chǔ)上 才能夠有效地實現(xiàn)我們在上面分析的網(wǎng)絡(luò)安 全系統(tǒng)規(guī)劃的基本原則 從而保證整個網(wǎng)絡(luò)安全解決方案的先進(jìn)性 為了系統(tǒng) 科學(xué)地分析網(wǎng)絡(luò)安全方案涉及的各種安全問題 在大量理論分析和調(diào)查研究的基 礎(chǔ)上 H3C 公司提出了 i3SAFE 網(wǎng)絡(luò)安全模型 以此模型為基礎(chǔ) 可以進(jìn)行整個網(wǎng)絡(luò)安全體系的 有效的分析與合理規(guī)劃 下面我們對此網(wǎng)絡(luò)安全模型進(jìn)行具體的闡述和說明 i3SAFE 安全理論模型示意圖 i3SAFE 安全理論模型是一個三維立體結(jié)構(gòu) 基于此三維結(jié)構(gòu)安全理論模型 形成一個智能 的 intelligence 集成的 integrated 定制的 individuality 的網(wǎng)絡(luò)安全解決方案 真正達(dá)到 SAFE 的目的 下面是每個層次的詳細(xì)分析描述 第一維為應(yīng)用層次維 這個維度實現(xiàn)對整個信息體系進(jìn)行描述 通過這個維度 以層次化對整個信息體系 進(jìn)行劃分 層次的劃分依據(jù)信息體系的建設(shè)結(jié)構(gòu) 把整個信息體系劃分為網(wǎng)絡(luò)層 提供 信息流通的平臺 用戶層 信息應(yīng)用的終端 業(yè)務(wù)層 信息應(yīng)用的提供層 通過這種抽 象的層次的劃分 可以以不同的層次對象為目標(biāo) 分析這些層次對不同的安全服務(wù)要素 精選范本 供參考 的需求情況 進(jìn)行層次化的 有針對性的系統(tǒng)安全需求分析 第二維為網(wǎng)絡(luò)空間維 這個維度從實際的信息系統(tǒng)結(jié)構(gòu)的組成的角度 對信息系統(tǒng)進(jìn)行模塊化的劃分 基 本的模塊可以劃分為桌面 服務(wù)器 外網(wǎng) 內(nèi)網(wǎng)等幾個模塊 這些模塊的劃分可以根據(jù) 需要進(jìn)行組合或者細(xì)化 進(jìn)行模塊劃分的主要目的是為前面相對抽象的安全需求分析提 供具體可實施的對象 保證整個安全措施有效可實施性 第三維為業(yè)務(wù)流程維 這個維度主要描述一個完善的網(wǎng)絡(luò)安全體系建設(shè)的流程 這個流程主要的參考 P2DR 模型 以我們前面進(jìn)行的需求分析為基礎(chǔ) 制定統(tǒng)一的安全策略 同時通過預(yù)防 Harden 保護(hù) Protect 檢測 Detect 響應(yīng) Respond 以及改進(jìn) Improve 形成 一個閉環(huán)的網(wǎng)絡(luò)安全措施流程 縱深維為安全管理維 貫穿于上述三個維度 以及各個維度內(nèi)部各個層次的是安全管理 我們認(rèn)為 全面 的安全管理是信息網(wǎng)絡(luò)安全的一個基本保證 只有通過切實的安全管理 才能夠保證各 種安全技術(shù)能夠真正起到其應(yīng)有的作用 常言說 三分技術(shù) 七分管理 安全管理 是保證網(wǎng)絡(luò)安全的基礎(chǔ) 安全技術(shù)只是配合安全管理的有效的輔助措施 1 3 方案設(shè)計思路方案設(shè)計思路 通過上述三維安全理論模型 我們可以比較清晰的分析出在一個信息網(wǎng)絡(luò)系統(tǒng)中 不同系統(tǒng) 層次有各自的特點(diǎn) 對安全服務(wù)要素的不同的需求的強(qiáng)度 依據(jù)這些安全服務(wù)要素需求的重點(diǎn)不 同 基于這些層次對應(yīng)的實際結(jié)構(gòu)模塊 有針對性地采用一些安全技術(shù)和安全產(chǎn)品來實現(xiàn)這些安 全服務(wù)要素 這些措施形成本層次的安全防護(hù)面 不同的層次相互組合銜接 形成一個立體的網(wǎng) 絡(luò)安全防御體系 在下面的 信息系統(tǒng)安全方案設(shè)計中 我們將首先通過信息網(wǎng)絡(luò)的層次劃分 把 其安全系統(tǒng)劃分成若干個安全層次 并針對每一個安全層次 分析其業(yè)務(wù)安全需求 提出安全解 決方案 最后形成一個全面的安全解決方案 同時在方案的設(shè)計過程中 遵循我們安全理論模型 中的業(yè)務(wù)流程體系 對所采取的安全措施進(jìn)行實施階段的劃分 形成一個動態(tài)的 可調(diào)整的具有 強(qiáng)大實施能力的整體安全解決方案 精選范本 供參考 另外 我們認(rèn)為 網(wǎng)絡(luò)安全是一個動態(tài)的全面的有機(jī)整體 傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品單獨(dú)羅列在 網(wǎng)絡(luò)之上的單點(diǎn)防御部署方法 事實已經(jīng)證明不能夠及時有效的解決網(wǎng)絡(luò)的威脅 網(wǎng)絡(luò)安全已經(jīng) 進(jìn)入人民戰(zhàn)爭階段 必須有效整合網(wǎng)絡(luò)中的每一個節(jié)點(diǎn)設(shè)備資源 通過加固 聯(lián)動 嵌入等多種 技術(shù)手段使安全因素 DNA 滲透到網(wǎng)絡(luò)的每一個設(shè)備中 為用戶提供一個可實現(xiàn)可管理的安全網(wǎng) 絡(luò) 借助多年的網(wǎng)絡(luò)產(chǎn)品研發(fā)經(jīng)驗 H3C 已經(jīng)能夠為用戶提供多種安全網(wǎng)絡(luò)構(gòu)成產(chǎn)品技術(shù) 如 具有安全特征的網(wǎng)絡(luò)基礎(chǔ)設(shè)備 能夠與核心路由器 交換機(jī)聯(lián)動的安全設(shè)備 安全設(shè)備間聯(lián)動 核心交換機(jī) 路由器上的嵌入式安全模塊 智能集中策略管理中心等等 用戶可以根據(jù)網(wǎng)絡(luò)業(yè)務(wù) 需求選擇應(yīng)用 精選范本 供參考 二 二 網(wǎng)絡(luò)及安全現(xiàn)狀分析網(wǎng)絡(luò)及安全現(xiàn)狀分析 2 1 網(wǎng)絡(luò)結(jié)構(gòu)分析網(wǎng)絡(luò)結(jié)構(gòu)分析 網(wǎng)絡(luò)為典型的二級結(jié)構(gòu) 其中核心區(qū)是一臺 7505R 服務(wù)器群和 Internet 對外訪問鏈路都接 在此核心設(shè)備上 向下分為二級交換結(jié)構(gòu) 用來連接內(nèi)部各個網(wǎng)段 精選范本 供參考 2 2 2 2 安全層次的安全層次的分析模型分析模型 以前面介紹的三維安全理論模型為基礎(chǔ) 參照我們進(jìn)行的信息網(wǎng)絡(luò)系統(tǒng)的層次劃分 我們 認(rèn)為整個網(wǎng)絡(luò)安全系統(tǒng)可以劃分為以下幾個層次 分別為 1 網(wǎng)絡(luò)層 核心的安全需求為保證網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)目煽啃院桶踩?防范因為物理介質(zhì) 信號輻射等造成的安全風(fēng)險 保證整體網(wǎng)絡(luò)結(jié)構(gòu)的安全 保證網(wǎng)絡(luò)設(shè)備配置的安全 同 時提供網(wǎng)絡(luò)層有效的訪問控制能力 提供對網(wǎng)絡(luò)攻擊的實時檢測能力等 2 系統(tǒng)層 核心的安全需求為能夠提供機(jī)密的 可用的網(wǎng)絡(luò)應(yīng)用服務(wù) 包括業(yè)務(wù)數(shù)據(jù)存儲 和傳輸?shù)陌踩?業(yè)務(wù)訪問的身份認(rèn)證及資源訪問權(quán)限分配 業(yè)務(wù)訪問的有效的記錄和審 計 以及特殊應(yīng)用模式的安全風(fēng)險 比如垃圾 Mail Web 攻擊等 3 管理層 嚴(yán)格規(guī)范的管理制度是保證一個復(fù)雜網(wǎng)絡(luò)安全運(yùn)行的必要條件 通過提供安全 的 簡便的和功能豐富的統(tǒng)一管理平臺 創(chuàng)建全網(wǎng)統(tǒng)一的管理策略 及時對網(wǎng)絡(luò)進(jìn)行監(jiān) 控 分析 統(tǒng)計和安全機(jī)制的下發(fā) 既便于信息的及時反饋和交換 又便于全網(wǎng)統(tǒng)一的 安全管理策略的形成 4 應(yīng)用層 核心的安全需求為保證用戶節(jié)點(diǎn)的安全需求 保證用戶操作系統(tǒng)平臺的安全 防范網(wǎng)絡(luò)防病毒的攻擊 提高用戶節(jié)點(diǎn)的攻擊防范和檢測能力 同時加強(qiáng)對用戶的網(wǎng)絡(luò) 應(yīng)用行為管理 包括網(wǎng)絡(luò)接入能力以及資源訪問控制能力等 漏洞檢測漏洞檢測 入侵掃描入侵掃描 WindowsNTWindowsNT 安全設(shè)置安全設(shè)置 數(shù)據(jù)庫數(shù)據(jù)庫 安全機(jī)制安全機(jī)制 應(yīng)用系統(tǒng)應(yīng)用系統(tǒng) 安全機(jī)制安全機(jī)制 UNIXUNIX 安全設(shè)置安全設(shè)置 可靠性安全措施可靠性安全措施 路由認(rèn)證與過濾路由認(rèn)證與過濾 交換機(jī)交換機(jī)VLANVLAN技術(shù)技術(shù) AAAAAA訪問認(rèn)證訪問認(rèn)證 網(wǎng)網(wǎng)絡(luò)絡(luò)層層安安全全網(wǎng)網(wǎng)絡(luò)絡(luò)層層安安全全 管管理理層層安安全全管管理理層層安安全全應(yīng)應(yīng)用用層層安安全全應(yīng)應(yīng)用用層層安安全全 系系統(tǒng)統(tǒng)層層安安全全系系統(tǒng)統(tǒng)層層安安全全 安安全全體體系系總總體體結(jié)結(jié)構(gòu)構(gòu)安安全全體體系系總總體體結(jié)結(jié)構(gòu)構(gòu) 安全管理安全管理 制度制度 計算機(jī)計算機(jī) 病毒防范病毒防范 甘甘肅肅網(wǎng)網(wǎng)通通甘甘肅肅網(wǎng)網(wǎng)通通 城城域域數(shù)數(shù)據(jù)據(jù)網(wǎng)網(wǎng)城城域域數(shù)數(shù)據(jù)據(jù)網(wǎng)網(wǎng) VPNVPN接入技術(shù)接入技術(shù) 安全應(yīng)用安全應(yīng)用 平臺平臺 硬件防火墻硬件防火墻 網(wǎng)絡(luò) 精選范本 供參考 下面我們將通過分析在前面描述的德州環(huán)抱局的網(wǎng)絡(luò)及應(yīng)用現(xiàn)狀 全面分析歸納出在不同層 次的安全需求 2 3 2 3 安全需求分析安全需求分析 2 3 1 2 3 1 網(wǎng)絡(luò)層網(wǎng)絡(luò)層 網(wǎng)絡(luò)層的核心的安全需求為保證網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)目煽啃院桶踩?存在的安全風(fēng)險主要包括 以下幾個方面 1 線路的物理安全以及信號輻射的風(fēng)險 局域網(wǎng)線路采用綜合布線系統(tǒng) 基本不存在太大的物理安全問題 廣域通信線路的 如果是租用 ISP 供應(yīng)商線路的方式 不會存在太大的安全風(fēng)險 ISP 供應(yīng)商已經(jīng)采 取了足夠的物理保護(hù)措施以及線路冗余措施 如果是獨(dú)立進(jìn)行的線路鋪設(shè) 需要采 取物理保護(hù) 有效標(biāo)示等防范措施 通信線路的信號輻射風(fēng)險可以采用比較有效的方式為 屏蔽式線纜 線路電磁屏蔽 或者光通信等方式 相對來說信號輻射造成的安全風(fēng)險不是太大 在一般安全需求 強(qiáng)度的應(yīng)用環(huán)境下 不需要采取太多的防范措施 2 網(wǎng)絡(luò)結(jié)構(gòu)以及網(wǎng)絡(luò)數(shù)據(jù)流通模式的風(fēng)險 現(xiàn)有主要的網(wǎng)絡(luò)結(jié)構(gòu)為星形 樹形 環(huán)形以及網(wǎng)狀 隨著網(wǎng)絡(luò)節(jié)點(diǎn)間的連接密度的 增加 整個網(wǎng)絡(luò)提供的線路冗余能力也會增加 提供的網(wǎng)絡(luò)數(shù)據(jù)的流動模式會更靈 活 整個網(wǎng)絡(luò)可靠性和可用性也會大大的增加 的網(wǎng)絡(luò)結(jié)構(gòu) 能夠滿足數(shù)據(jù)流動模式的需求 是一種性價比最高的連 接方式 為了保證網(wǎng)絡(luò)系統(tǒng)的可靠性 將來可以采取的有效可行的措施是加強(qiáng)線路 備份措施的實施 3 網(wǎng)絡(luò)設(shè)備安全有效配置的風(fēng)險 網(wǎng)絡(luò)設(shè)備是網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)暮诵?是整個網(wǎng)絡(luò)的基礎(chǔ)設(shè)施 各種網(wǎng)絡(luò)設(shè)備本身的安 全與可靠性以及這些設(shè)備上應(yīng)用策略的安全都需要進(jìn)行合理的配置才能夠保證 4 網(wǎng)絡(luò)攻擊行為的檢測和防范的風(fēng)險 精選范本 供參考 基于網(wǎng)絡(luò)協(xié)議的缺陷 尤其是 TCP IP 協(xié)議的開放特性 帶來了非常大的安全風(fēng)險 常見的 IP 地址竊取 IP 地址假冒 網(wǎng)絡(luò)端口掃描以及危害非常大的拒絕服務(wù)攻擊 DOS DDOS 等 必須能夠提供對這些攻擊行為有效的檢測和防范能力的措施 5 網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性的風(fēng)險 網(wǎng)絡(luò)數(shù)據(jù)在傳輸?shù)倪^程中 很可能被通過各種方式竊取 因此保證數(shù)據(jù)在傳輸?shù)倪^ 程中機(jī)密性 保證數(shù)據(jù)傳遞的信息不被第三方獲得 完整性 保證數(shù)據(jù)在傳遞過 程中不被人修改 是非常重要的 尤其是在傳遞的信息的價值不斷提高情況下 2 3 2 系統(tǒng)層系統(tǒng)層 1 服務(wù)器及數(shù)據(jù)存儲系統(tǒng)的可用性風(fēng)險 業(yè)務(wù)系統(tǒng)的可靠性和可用性是網(wǎng)絡(luò)安全的一個很重要的特性 必須保證業(yè)務(wù)系統(tǒng)硬 件平臺 主要是大量的服務(wù)器 以及數(shù)據(jù)硬件平臺 主要是存儲系統(tǒng) 的可靠性 2 操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)平臺的安全風(fēng)險 通過對各種流行的網(wǎng)絡(luò)攻擊行為的分析 可以發(fā)現(xiàn)絕大多數(shù)的攻擊是利用各種操作 系統(tǒng)和一些網(wǎng)絡(luò)服務(wù)平臺存在的一些已公開的安全漏洞發(fā)起 因此 杜絕各種操作 系統(tǒng)和網(wǎng)絡(luò)服務(wù)平臺的已公開的安全漏洞 可以在很大程度上防范系統(tǒng)攻擊的發(fā)生 3 用戶對業(yè)務(wù)訪問的有效的記錄和審計 業(yè)務(wù)系統(tǒng)必須能夠?qū)τ脩舻母鞣N訪問行為進(jìn)行詳細(xì)的記錄 以便進(jìn)行事后查證 2 3 3 管理層管理層 1 用戶身份認(rèn)證及資源訪問權(quán)限的控制 由于網(wǎng)絡(luò)中的各個應(yīng)用系統(tǒng)上有很多信息是提供給不同權(quán)限用戶查閱的 不同級別 不同部門 不同人員能夠訪問的資源都不一樣 因此需要嚴(yán)格區(qū)分用戶的身份 設(shè) 置合理的訪問權(quán)限 保證信息可以在被有效控制下共享 2 來自不同安全域的訪問控制的風(fēng)險 精選范本 供參考 網(wǎng)絡(luò)結(jié)構(gòu)越來越復(fù)雜 接入網(wǎng)絡(luò)的用戶也越來越多 必須能夠在不同的網(wǎng)絡(luò)區(qū)域之 間采取一定的控制措施 有效控制不同的網(wǎng)絡(luò)區(qū)域之間的網(wǎng)絡(luò)通信 以此來控制網(wǎng) 絡(luò)元素間的互訪能力 避免網(wǎng)絡(luò)濫用 同時實現(xiàn)安全風(fēng)險的有效的隔離 把安全風(fēng) 險隔離在相對比較獨(dú)立以及比較小的網(wǎng)絡(luò)區(qū)域 3 用戶網(wǎng)絡(luò)訪問行為有效控制的風(fēng)險 首先需要對用戶接入網(wǎng)絡(luò)的能力進(jìn)行控制 同時需要更細(xì)粒度的訪問控制 尤其是 對 Internet 資源的訪問控制 比如應(yīng)該能夠控制內(nèi)部用戶訪問 Internet 的什么網(wǎng)站 在此基礎(chǔ)之上 必須能夠進(jìn)行縝密的行為審計管理 2 3 4 用戶層用戶層 4 用戶操作系統(tǒng)平臺安全漏洞的風(fēng)險 大部分的網(wǎng)絡(luò)攻擊行為以及網(wǎng)絡(luò)病毒的傳播都是由于操作系統(tǒng)平臺本身存在的安全 漏洞 微軟不斷發(fā)布系統(tǒng)補(bǔ)丁即是明證 因此必須有效避免系統(tǒng)漏洞造成的安全風(fēng) 險 同時對操作系統(tǒng)的安全機(jī)制進(jìn)行合理的配置 5 用戶主機(jī)遭受網(wǎng)絡(luò)病毒攻擊的風(fēng)險 網(wǎng)絡(luò)給病毒的傳播提供了很好的路徑 網(wǎng)絡(luò)病毒傳播速度之快 危害之大是令人吃 驚的 特別是最近開始流行的一些蠕蟲病毒 更是防不勝防 環(huán)境下必須建設(shè)全面 的網(wǎng)絡(luò)防病毒系統(tǒng) 層層設(shè)防 逐層把關(guān) 堵住病毒傳播的各種可能途徑 6 針對用戶主機(jī)網(wǎng)絡(luò)攻擊的安全風(fēng)險 目前 Internet 上有各種完善的網(wǎng)絡(luò)攻擊工具 在局域網(wǎng)的環(huán)境下 這種攻擊會更加 有效 針對的目標(biāo)會更加明確 據(jù)統(tǒng)計 有 97 的攻擊是來自內(nèi)部的攻擊 而且 內(nèi)部攻擊成功的概率要遠(yuǎn)遠(yuǎn)高于來自于 Internet 的攻擊 造成的后果也嚴(yán)重的多 2 4 安全需求總結(jié)安全需求總結(jié) 通過以上分析 網(wǎng)絡(luò)系統(tǒng)最迫切需要解決的問題包括 1在網(wǎng)絡(luò)邊界部署防火墻系統(tǒng) 它可以對整個網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)區(qū)域分割 提供基于 IP 地址 精選范本 供參考 和 TCP IP 服務(wù)端口等的訪問控制 對常見的網(wǎng)絡(luò)攻擊方式 如拒絕服務(wù)攻擊 ping of death land syn flooding ping flooding tear drop 端口掃描 port scanning IP 欺騙 ip spoofing IP 盜用等進(jìn)行有效防護(hù) 并提供 NAT 地址轉(zhuǎn)換 流量限制 用 戶認(rèn)證 IP 與 MAC 綁定等安全增強(qiáng)措施 2部署 IPS 入侵防御系統(tǒng) 及時發(fā)現(xiàn)并過濾來自內(nèi)部和外部網(wǎng)絡(luò)的非法入侵和掃描 并 對所有的網(wǎng)絡(luò)行為進(jìn)行詳細(xì)的審計 對惡意的網(wǎng)絡(luò)活動進(jìn)行追查 對應(yīng)用流量和服務(wù) 器群進(jìn)行保護(hù) 3部署全網(wǎng)統(tǒng)一的防病毒系統(tǒng) 保護(hù)系統(tǒng)免受病毒威脅 4提供終端用戶行為管理工具 強(qiáng)制規(guī)范終端用戶行為 終端用戶安全策略集中下發(fā) 實時審計 5網(wǎng)絡(luò)中部署的各種安全產(chǎn)品不再孤立 提供多種安全產(chǎn)品 網(wǎng)絡(luò)設(shè)備聯(lián)動防御 防火墻 IPS 交換機(jī) 防病毒 身份認(rèn)證 策略管理 終端用戶行為規(guī)范工具之間能夠集中聯(lián) 動 主動動態(tài)防御 6提供靈活智能的安全策略 設(shè)備集中管理中心平臺 制定符合 實際需求的 安全管理規(guī)定 精選范本 供參考 三 三 網(wǎng)絡(luò)安全整體解決方案 網(wǎng)絡(luò)安全整體解決方案 3 1 網(wǎng)絡(luò)安全總體方案 網(wǎng)絡(luò)安全總體方案 在 總體安全規(guī)劃設(shè)計中 我們將按照安全風(fēng)險防護(hù)與安全投資之間的平衡原則 主要包括層次化的綜合防護(hù)原則和不同層次重點(diǎn)防護(hù)原則 提出以下的安全風(fēng)險和防護(hù)措施 從而建立起全防御體系的信息安全框架 由此 在本期總體安全規(guī)劃建設(shè)中 應(yīng)主要針對 的薄弱環(huán)節(jié) 構(gòu)建完善的網(wǎng)絡(luò) 邊界防范措施 網(wǎng)絡(luò)內(nèi)部入侵防御機(jī)制 完善的防病毒機(jī)制 增強(qiáng)的網(wǎng)絡(luò)抗攻擊能力以及網(wǎng)絡(luò)系 統(tǒng)漏洞安全評估分析機(jī)制等 詳細(xì)描述如下 首先 是對網(wǎng)絡(luò)邊界安全風(fēng)險的防護(hù)首先 是對網(wǎng)絡(luò)邊界安全風(fēng)險的防護(hù) 對于一個網(wǎng)絡(luò)安全域 局域網(wǎng)網(wǎng)絡(luò)內(nèi)部相對來說認(rèn)為是安全的 來說 其最大的安全風(fēng)險則 是來自網(wǎng)絡(luò)邊界的威脅 其中包括非授權(quán)訪問 惡意探測和攻擊 非法掃描等 而對于 網(wǎng)絡(luò)來說 互聯(lián)網(wǎng)及相對核心網(wǎng)的網(wǎng)絡(luò)均為外網(wǎng) 它們的網(wǎng)絡(luò)邊界處存 在著內(nèi)部或外部人員的非授權(quán)訪問 有意無意的掃描 探測 甚至惡意的攻擊等安全威脅 而防 火墻系統(tǒng)則是網(wǎng)絡(luò)邊界處最基本的安全防護(hù)措施 而互聯(lián)網(wǎng)出口更是重中之重 因此 很有必要 在互聯(lián)網(wǎng)出口出部署防火墻系統(tǒng) 建議配置兩臺高性能千兆防火墻組成雙機(jī)熱備系統(tǒng) 以保證網(wǎng) 絡(luò)高可用性 其次 是建立網(wǎng)絡(luò)內(nèi)部入侵防御機(jī)制其次 是建立網(wǎng)絡(luò)內(nèi)部入侵防御機(jī)制 在互聯(lián)網(wǎng)出口 內(nèi)網(wǎng)出口等邊界處利用防火墻技術(shù) 經(jīng)過仔細(xì)的配置 通常能夠在內(nèi)外網(wǎng)之 間提供安全的網(wǎng)絡(luò)保護(hù) 降低了網(wǎng)絡(luò)安全風(fēng)險 但是 僅僅使用防火墻 網(wǎng)絡(luò)安全還遠(yuǎn)遠(yuǎn)不夠 還需要通過對網(wǎng)絡(luò)入侵行為進(jìn)行主動防護(hù)來加強(qiáng)網(wǎng)絡(luò)的安全性 因此 系統(tǒng)安全 體系必須建立一個智能化的實時攻擊識別和響應(yīng)系統(tǒng) 管理和降低網(wǎng)絡(luò)安全風(fēng)險 保證網(wǎng)絡(luò)安全 防護(hù)能力能夠不斷增強(qiáng) 目前網(wǎng)絡(luò)入侵安全問題主要采用網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)和入侵防御系統(tǒng)等成熟產(chǎn)品和技術(shù)來解決 因此 需要在外網(wǎng)交換機(jī) 內(nèi)網(wǎng)交換機(jī)和服務(wù)器前端等流量主通路上配置相關(guān)的千兆或百兆 IPS 精選范本 供參考 系統(tǒng) 負(fù)責(zé)辨別并且阻斷各種基于應(yīng)用的網(wǎng)絡(luò)攻擊和危險應(yīng)用 同時實現(xiàn)基于應(yīng)用的網(wǎng)絡(luò)管理 達(dá)到網(wǎng)絡(luò)安全 健壯和流暢運(yùn)行的最終目的 第三 建立端點(diǎn)準(zhǔn)入控制系統(tǒng)第三 建立端點(diǎn)準(zhǔn)入控制系統(tǒng) 網(wǎng)絡(luò)安全問題的解決 三分靠技術(shù) 七分靠管理 嚴(yán)格管理是 網(wǎng)絡(luò)用戶免受網(wǎng) 絡(luò)安全問題威脅的重要措施 事實上 用戶終端都缺乏有效的制度和手段管理網(wǎng)絡(luò)安全 網(wǎng)絡(luò)用 戶不及時升級系統(tǒng)補(bǔ)丁 升級病毒庫的現(xiàn)象普遍存在 隨意接入網(wǎng)絡(luò) 私設(shè)代理服務(wù)器 私自訪 問保密資源等行為在企業(yè)網(wǎng)中也比比皆是 管理的欠缺不僅會直接影響用戶網(wǎng)絡(luò)的正常運(yùn)行 還 可能使機(jī)關(guān)蒙受巨大的損失 為了解決現(xiàn)有網(wǎng)絡(luò)安全管理中存在的不足 應(yīng)對網(wǎng)絡(luò)安全威脅 網(wǎng)絡(luò)需要從用戶終端準(zhǔn)入控 制入手 整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品 通過安全客戶端 安全策略服務(wù)器 網(wǎng)絡(luò)設(shè)備以及 防病毒軟件產(chǎn)品 軟件補(bǔ)丁管理產(chǎn)品的聯(lián)動 對接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實施企業(yè)安全策略 嚴(yán) 格控制終端用戶的網(wǎng)絡(luò)使用行為 可以加強(qiáng)用戶終端的主動防御能力 大幅度提高網(wǎng)絡(luò)安全 第四 是構(gòu)建完善的病毒防范機(jī)制第四 是構(gòu)建完善的病毒防范機(jī)制 對于建立完善的防病毒系統(tǒng)來說 同樣也是當(dāng)務(wù)之急的 必須配備網(wǎng)絡(luò)版的防病毒系統(tǒng)進(jìn)行 文件病毒的防護(hù) 另外 對于網(wǎng)絡(luò)病毒來說 如果能夠做到在網(wǎng)絡(luò)出口處就將其封殺 截留的話 不僅能夠降低病毒進(jìn)入網(wǎng)絡(luò)內(nèi)部所造成的安全損失風(fēng)險 更重要的是防止了病毒進(jìn)入內(nèi)部所帶來 的帶寬阻塞或損耗 有效地保護(hù)了網(wǎng)絡(luò)帶寬的利用率 因此 這種前提下 可以在互聯(lián)網(wǎng)出口處 配置硬件病毒網(wǎng)關(guān)或者基于應(yīng)用的入侵防御系統(tǒng)的方式進(jìn)行解決 特別是 對于消耗網(wǎng)絡(luò)帶寬 造成網(wǎng)絡(luò)通信中斷的蠕蟲病毒是一個十分有效的措施 第五 是加強(qiáng)網(wǎng)絡(luò)的抗攻擊能力第五 是加強(qiáng)網(wǎng)絡(luò)的抗攻擊能力 拒絕服務(wù)攻擊是一種對網(wǎng)絡(luò)危害巨大的惡意攻擊 其中 具有代表性的攻擊手段包括 SYN flood ICMP flood UDP flood 等其原理是使用大量的偽造的連接請求報文攻擊網(wǎng)絡(luò)服務(wù)所在的 端口 比如 80 WEB 造成服務(wù)器的資源耗盡 系統(tǒng)停止響應(yīng)甚至崩潰 而連接耗盡攻擊 這種攻擊則使用真實的 IP 地址 發(fā)起針對網(wǎng)絡(luò)服務(wù)的大量的真實連接來搶占帶寬 也可以造成 WEB Server 的資源耗盡 導(dǎo)致服務(wù)中止 隨著 信息化工作的深入開展 其網(wǎng)絡(luò)中存在著大量的網(wǎng)絡(luò)設(shè)備 安全設(shè)備 服 務(wù)器設(shè)備等 如何保護(hù)它們和整個網(wǎng)絡(luò)不受 DDOS 的攻擊則是網(wǎng)絡(luò)整體防范中的重點(diǎn) 而對付 大規(guī)模的 DDOS 攻擊的最好的方式除了及時對網(wǎng)絡(luò)設(shè)備 服務(wù)器設(shè)備進(jìn)行漏洞掃描 升級補(bǔ)丁 精選范本 供參考 進(jìn)行主機(jī)系統(tǒng)加固外 還有一種方式就是在互聯(lián)網(wǎng)出口或者核心服務(wù)器前端配置防 DOS 攻擊設(shè) 備 來保護(hù)內(nèi)部網(wǎng)絡(luò)的安全 第六 建立網(wǎng)絡(luò)系統(tǒng)漏洞的評估分析機(jī)制第六 建立網(wǎng)絡(luò)系統(tǒng)漏洞的評估分析機(jī)制 最后 網(wǎng)絡(luò)安全的建設(shè)是一個動態(tài)的 可持續(xù)的過程 當(dāng)網(wǎng)絡(luò)中增加了新的網(wǎng)絡(luò)設(shè)備 主機(jī) 系統(tǒng)或應(yīng)用系統(tǒng) 能夠及時發(fā)現(xiàn)并迅速解決相關(guān)的安全風(fēng)險和威脅 實施專門地安全服務(wù)評估掃 描工具是很有必要的 通過專業(yè)的網(wǎng)絡(luò)漏洞掃描系統(tǒng)對整個網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備 信息資產(chǎn) 應(yīng)用系統(tǒng) 操作系統(tǒng) 人員以及相關(guān)的管理制度進(jìn)行評估分析 找出相關(guān)弱點(diǎn) 并及時提交相關(guān)解決方法 使得網(wǎng)絡(luò)的 安全性得到動態(tài)的 可持續(xù)的發(fā)展 保證了整個網(wǎng)絡(luò)的安全性 本期總體安全規(guī)劃建設(shè)完成后的效果本期總體安全規(guī)劃建設(shè)完成后的效果 通過在本期總體安全規(guī)中包括的幾個重要方面的安全防護(hù)建設(shè) 包括構(gòu)建完善的網(wǎng)絡(luò)邊界防 范措施 網(wǎng)絡(luò)內(nèi)部入侵防御機(jī)制 移動用戶遠(yuǎn)程安全訪問機(jī)制 完善的防病毒機(jī)制 增強(qiáng)的網(wǎng)絡(luò) 抗攻擊能力以及網(wǎng)絡(luò)系統(tǒng)漏洞安全評估分析機(jī)制等 最終可以使 網(wǎng)絡(luò)初步具備較高 的抗黑客入侵能力 全面的防毒 查殺毒能力以及對整網(wǎng)漏洞的評估分析能力 從而建立起全防 御體系的信息安全框架 基本達(dá)到 GB 17859 中規(guī)定的二級安全防護(hù)保障能力 3 1 1 基礎(chǔ)設(shè)施安全部署基礎(chǔ)設(shè)施安全部署 3 1 1 1 分級設(shè)置用戶口令分級設(shè)置用戶口令 H3C 系列路由器 交換機(jī)的登錄口令分為 4 級 參觀級 監(jiān)控級 配置級 管理級 不同 的級別所能做的操作都不相同 參觀級 網(wǎng)絡(luò)診斷工具命令 ping tracert 從本設(shè)備出發(fā)訪問外部設(shè)備的 命令 包括 Telnet 客戶端 SSH 客戶端 RLOGIN 等 該級別命令不允許進(jìn)行配置 文件保存的操作 監(jiān)控級 用于系統(tǒng)維護(hù) 業(yè)務(wù)故障診斷等 包括 display debugging 命令 該 級別命令不允許進(jìn)行配置文件保存的操作 配置級 業(yè)務(wù)配置命令 包括路由 各個網(wǎng)絡(luò)層次的命令 這些用于向用戶提 供直接網(wǎng)絡(luò)服務(wù) 精選范本 供參考 管理級 關(guān)系到系統(tǒng)基本運(yùn)行 系統(tǒng)支撐模塊的命令 這些命令對業(yè)務(wù)提供支 撐作用 包括文件系統(tǒng) FTP TFTP Xmodem 下載 配置文件切換命令 電源控制 命令 背板控制命令 用戶管理命令 級別設(shè)置命令 系統(tǒng)內(nèi)部參數(shù)設(shè)置命令 非協(xié)議 規(guī)定 非 RFC 規(guī)定 等 建議分級設(shè)置登錄口令 以便于對于不同的維護(hù)人員提供不同的口令 3 1 1 2 對任何方式的用戶登錄都進(jìn)行認(rèn)證對任何方式的用戶登錄都進(jìn)行認(rèn)證 建議對于各種登錄設(shè)備的方式 通過 TELNET CONSOLE 口 AUX 口 都進(jìn)行認(rèn)證 在默認(rèn)的情況下 CONSOLE 口不進(jìn)行認(rèn)證 在使用時建議對于 CONSOLE 口登錄配置上認(rèn) 證 對于安全級別一般的設(shè)備 建議認(rèn)證方式采用本地認(rèn)證 認(rèn)證的時候要求對用戶名和密碼都 進(jìn)行認(rèn)證 配置密碼的時候要采用密文方式 用戶名和密碼要求足夠的強(qiáng)壯 對于安全級別比較高的設(shè)備 建議采用 AAA 方式到 RADIUS 或 TACACS 服務(wù)器去認(rèn)證 H3C 系列路由器 交換機(jī)支持 RADIUS 和 TACACS 認(rèn)證協(xié)議 3 1 1 3 對網(wǎng)絡(luò)上已知的病毒所使用的端口進(jìn)行過濾對網(wǎng)絡(luò)上已知的病毒所使用的端口進(jìn)行過濾 現(xiàn)在網(wǎng)絡(luò)上的很多病毒 沖擊波 振蕩波 發(fā)作時 對網(wǎng)絡(luò)上的主機(jī)進(jìn)行掃描搜索 該攻擊 雖然不是針對設(shè)備本身 但是在攻擊過程中會涉及到發(fā) ARP 探詢主機(jī)位置等操作 某些時候?qū)?于網(wǎng)絡(luò)設(shè)備的資源消耗十分大 同時會占用大量的帶寬 對于這些常見的病毒 通過分析它們的 工作方式 可知道他們所使用的端口號 為了避免這些病毒對于設(shè)備運(yùn)行的影響 建議在設(shè)備上配置 ACL 對已知的病毒所使用的 TCP UDP 端口號進(jìn)行過濾 一方面保證了設(shè)備資源不被病毒消耗 另一方面阻止了病毒的傳 播 保護(hù)了網(wǎng)絡(luò)中的主機(jī)設(shè)備 3 1 1 4 采用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)保護(hù)內(nèi)部網(wǎng)絡(luò)采用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)保護(hù)內(nèi)部網(wǎng)絡(luò) 地址轉(zhuǎn)換 用來實現(xiàn)私有網(wǎng)絡(luò)地址與公有網(wǎng)絡(luò)地址之間的轉(zhuǎn)換 地址轉(zhuǎn)換的優(yōu)點(diǎn)在于屏蔽了 內(nèi)部網(wǎng)絡(luò)的實際地址 外部網(wǎng)絡(luò)基本上不可能穿過地址代理來直接訪問內(nèi)部網(wǎng)絡(luò) 精選范本 供參考 通過配置 用戶可以指定能夠通過地址轉(zhuǎn)換的主機(jī) 以有效地控制內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)的訪 問 結(jié)合地址池 還可以支持多對多的地址轉(zhuǎn)換 更有效地利用用戶的合法 IP 地址資源 H3C 系列路由器可以提供靈活的內(nèi)部服務(wù)器的支持 對外提供 WEB FTP SMTP 等必要的服務(wù) 而這些服務(wù)器放置在內(nèi)部網(wǎng)絡(luò)中 既保證了安全 又可方便地進(jìn)行服務(wù)器的維護(hù) 3 1 1 5 關(guān)閉危險的服務(wù)關(guān)閉危險的服務(wù) 如果在 H3C 系列路由器上不使用以下服務(wù)的時候 建議將這些服務(wù)關(guān)閉 防止那些通過這 些服務(wù)的攻擊對設(shè)備的影響 禁止 HDP Huawei Discovery Protocol 禁止其他的 TCP UDP Small 服務(wù) 路由器提供一些基于 TCP 和 UDP 協(xié)議的小服務(wù)如 echo chargen 和 discard 這些小服務(wù)很少被使用 而且容易被攻擊者利用來越過包過 濾機(jī)制 禁止 Finger NTP 服務(wù) Finger 服務(wù)可能被攻擊者利用查找用戶和口令攻擊 NTP 不是 十分危險的 但是如果沒有一個很好的認(rèn)證 則會影響路由器正確時間 導(dǎo)致日志和其 他任務(wù)出錯 建議禁止 HTTP 服務(wù) 路由器操作系統(tǒng)支持 Http 協(xié)議進(jìn)行遠(yuǎn)端配置和監(jiān)視 而針對 Http 的認(rèn)證就相當(dāng)于在網(wǎng)絡(luò)上發(fā)送明文且對于 Http 沒有有效的基于挑戰(zhàn)或一次性的口 令保護(hù) 這使得用 Http 進(jìn)行管理相當(dāng)危險 禁止 BOOTp 服務(wù) 禁止 IP Source Routing 明確的禁止 IP Directed Broadcast 禁止 IP Classless 禁止 ICMP 協(xié)議的 IP Unreachables Redirects Mask Replies 如果沒必要則禁止 WINS 和 DNS 服務(wù) 禁止從網(wǎng)絡(luò)啟動和自動從網(wǎng)絡(luò)下載初始配置文件 禁止 FTP 服務(wù) 網(wǎng)絡(luò)上存在大量的 FTP 服務(wù) 使用不同的用戶名和密碼進(jìn)行嘗試登錄 設(shè)備 一旦成功登錄 就可以對設(shè)備的文件系統(tǒng)操作 十分危險 精選范本 供參考 3 1 1 6 使用使用 SNMP 協(xié)議時候的安全建議協(xié)議時候的安全建議 在不使用網(wǎng)管的時候 建議關(guān)閉 SNMP 協(xié)議 出于 SNMPv1 v2 協(xié)議自身不安全性的考慮 建議盡量使用 SNMPv3 除非網(wǎng)管不支持 SNMPv3 只能用 SNMPv1 v2 在配置 SNMPv3 時 最好既鑒別又加密 以更有效地加強(qiáng)安全 鑒別協(xié)議可通過 MD5 或 SHA 加密協(xié)議可通過 DES 在 SNMP 服務(wù)中 提供了 ACL 過濾機(jī)制 該機(jī)制適用于 SNMPv1 v2 v3 三個版本 建議通 過訪問控制列表來限制 SNMP 的客戶端 SNMP 服務(wù)還提供了視圖控制 可用于 SNMPv1 v2 v3 建議使用視圖來限制用戶的訪問權(quán) 限 在配置 SNMPv1 v2 的 community 名字時 建議避免使用 public private 這樣公用的名字 并且在配置 community 時 將 RO 和 RW 的 community 分開 不要配置成相同的名字 如果不 需要 RW 的權(quán)限 則建議不要配置 RW 的 community 3 1 1 7 保持系統(tǒng)日志的打開保持系統(tǒng)日志的打開 H3C 系列路由器 交換機(jī)的系統(tǒng)日志會記錄設(shè)備的運(yùn)行信息 維護(hù)人員做了哪些操作 執(zhí) 行了哪些命令 系統(tǒng)日志建議一直打開 以便于網(wǎng)絡(luò)異常的時候 查找相關(guān)的記錄 并能提供以 下幾種系統(tǒng)信息的記錄功能 access list 的 log 功能 在配置 access list 時加入 log 關(guān)鍵字 可以在交換機(jī)處理相應(yīng)的 報文時 記錄報文的關(guān)鍵信息 關(guān)鍵事件的日志記錄 對于如接口的 UP DOWN 以及用戶登錄成功 失敗等信息可以 作記錄 Debug 信息 用來對網(wǎng)絡(luò)運(yùn)行出現(xiàn)的問題進(jìn)行分析 3 1 1 8 注意檢查設(shè)備的系統(tǒng)時間是否準(zhǔn)確注意檢查設(shè)備的系統(tǒng)時間是否準(zhǔn)確 為了保證日志時間的準(zhǔn)確性 建議定期 每月一次 檢查設(shè)備的系統(tǒng)時間是否準(zhǔn)確 和實際 時間誤差不超過 1 分鐘 精選范本 供參考 3 1 1 9 運(yùn)行路由協(xié)議的時候 增加對路由協(xié)議的加密認(rèn)證運(yùn)行路由協(xié)議的時候 增加對路由協(xié)議的加密認(rèn)證 現(xiàn)網(wǎng)上已經(jīng)發(fā)現(xiàn)有對 BGP 的攻擊 導(dǎo)致 BGP 鏈路異常斷鏈 建議對于現(xiàn)在網(wǎng)絡(luò)上使用的 ISIS BGP 路由協(xié)議 對報文進(jìn)行加密認(rèn)證 由于采用明文驗證的時候 會在網(wǎng)絡(luò)上傳播驗證密碼 并不安全 所以建議使用 MD5 算法 對于密鑰的設(shè)置要求足夠的強(qiáng)壯 在增加了對于路由協(xié)議報文的加密認(rèn)證會略微增加設(shè)備的 CPU 利用率 由于對于路由協(xié)議 報文的處理在主控板 而對于數(shù)據(jù)的轉(zhuǎn)發(fā)是由接口板直接處理 所以路由協(xié)議增加了對報文的加 密驗證 不會影響設(shè)備的轉(zhuǎn)發(fā) 3 1 1 10 設(shè)備上開啟設(shè)備上開啟 URPF 功能功能 URPF 通過獲取報文的源地址和入接口 以源地址為目的地址 在轉(zhuǎn)發(fā)表中查找源地址對應(yīng) 的接口是否與入接口匹配 如果不匹配 認(rèn)為源地址是偽裝的 丟棄該報文 通過這種方式 URPF 就能有效地防范網(wǎng)絡(luò)中通過修改源地址而進(jìn)行的惡意攻擊行為的發(fā)生 通過 URPF 可以 防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為 H3C 系列核心路由器的各種板卡均支持 URPF 功能 并支持 strict loose 和 ACL 三種模式 3 1 1 11 ICMP 協(xié)議的安全配置協(xié)議的安全配置 ICMP 協(xié)議很多具有一些安全隱患 因此在骨干網(wǎng)絡(luò)上 如果沒有特別需要建議禁止一些 ICMP 協(xié)議報文 ECHO Redirect Mask request 同時禁止 TraceRoute 命令的探測 對于流出 的 ICMP 流 可以允許 ECHO Parameter Problem Packet too big 還有 TraceRoute 命令的使用 這些的措施通過 ACL 功能都可以實現(xiàn) H3C 系列核心路由器的 ACL 命令中包含 icmp type 安全 選項 3 1 1 12 DDOS 攻擊的防范攻擊的防范 DDoS 分布式拒絕服務(wù) 它的英文全稱為 Distributed Denial of Service 它是一種基于 DoS 的特殊形式的拒絕服務(wù)攻擊 是一種分布 協(xié)作的大規(guī)模攻擊方式 主要瞄準(zhǔn)比較大的站點(diǎn) 比 精選范本 供參考 如商業(yè)公司 搜索引擎和政府部門的站點(diǎn) 典型攻擊包括 Smurf TCP SYN LAND C 等攻擊類 型 對于這些攻擊需要在發(fā)現(xiàn)問題后接入層面實施 先探測到 DDOS 攻擊源和攻擊使用的端口 這個功能可以通過端口鏡像 將數(shù)據(jù)流鏡像到專門的設(shè)備上進(jìn)行分析 以獲取攻擊源和攻擊使 用的端口 然后對攻擊源的通信進(jìn)行限制 這類防范手段也可以通過 ACL 來實現(xiàn) H3C 系列核心路由器全面支持 ACL 包過濾功能 可以雙向配置 32K 條 ACL 同時 由于 ACL 完全由硬件實現(xiàn) 啟動 ACL 后對于設(shè)備轉(zhuǎn)發(fā)性能不會造成影響 3 1 1 13 端口驗證技術(shù)端口驗證技術(shù) 基于端口的驗證 是由 IEEE 進(jìn)行標(biāo)準(zhǔn)化的驗證方法 標(biāo)準(zhǔn)號是 802 1x IEEE 802 1x 定義 了基于端口的網(wǎng)絡(luò)接入控制協(xié)議 port based net access control 用于交換式的以太網(wǎng)環(huán)境 要求 與客戶和與其直接相連的設(shè)備都實現(xiàn) 802 1x 當(dāng)應(yīng)用于共享式以太網(wǎng)環(huán)境時 應(yīng)對用戶名 密碼 等關(guān)鍵信息進(jìn)行加密傳輸 在運(yùn)營過程中 設(shè)備也可以隨時要求客戶重新進(jìn)行驗證 該協(xié)議適用 于接入設(shè)備與接入端口間點(diǎn)到點(diǎn)的連接方式 其中端口可以是物理端口 也可以是邏輯端口 主 要功能是限制未授權(quán)設(shè)備 如用戶計算機(jī) 通過以太網(wǎng)交換機(jī)的公共端口訪問局域網(wǎng) 3 1 1 14 防地址假冒技術(shù)防地址假冒技術(shù) 為了加強(qiáng)接入用戶的控制和限制 H3C 系列以太網(wǎng)交換機(jī)支持 4 種地址安全技術(shù) 支持設(shè)置端口的學(xué)習(xí)狀態(tài) 關(guān)閉端口的地址學(xué)習(xí)功能后 該端口上只能通過認(rèn)識的 MAC 地址 一般是用戶手工配置的靜態(tài) MAC 地址 來自其它陌生 MAC 地址的報 文均被丟棄 支持設(shè)置端口最多學(xué)習(xí)到的 MAC 地址個數(shù) 開啟端口的地址學(xué)習(xí)功能后 可以配置允 許學(xué)習(xí)的 MAC 地址個數(shù)范圍在 1 65535 之間 當(dāng)端口已經(jīng)學(xué)習(xí)到允許的 MAC 地址 個數(shù)后 將停止學(xué)習(xí)新 MAC 地址 直到部分 MAC 地址老化后 才開始學(xué)習(xí)新 MAC 地址 支持端口和 MAC 地址綁定 通過在端口上配置靜態(tài) MAC 地址 并禁止該端口進(jìn)行地 址學(xué)習(xí) 就限定了在該端口上允許通過的 MAC 地址 來自其它 MAC 地址的報文均被 丟棄 支持廣播報文轉(zhuǎn)發(fā)開關(guān) 可在端口上配置 禁止目的地址為廣播地址的報文從 精選范本 供參考 該端口轉(zhuǎn)發(fā) 以防止 Smurf 攻擊 3 1 2 防火墻系統(tǒng)防護(hù)方案防火墻系統(tǒng)防護(hù)方案 網(wǎng)絡(luò)邊界安全一般是采用防火墻等成熟產(chǎn)品和技術(shù)實現(xiàn)網(wǎng)絡(luò)的訪問控制 采用安全檢測手段 防范非法用戶的主動入侵 在防火墻上通過設(shè)置安全策略增加對服務(wù)器的保護(hù) 同時必要時還可以啟用防火墻的 NAT 功能隱藏網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 使用日志來對非法訪問進(jìn)行監(jiān)控 使用防火墻與交換機(jī) 入侵防御聯(lián)動 功能形成動態(tài) 自適應(yīng)的安全防護(hù)平臺 下面將從幾個方面介紹防火墻在 網(wǎng)絡(luò)的設(shè) 計方案 3 1 2 1 防火墻對服務(wù)器群的保護(hù)防火墻對服務(wù)器群的保護(hù) 由于各種應(yīng)用服務(wù)器等公開服務(wù)器屬于對外提供公開服務(wù)的主機(jī)系統(tǒng) 因此對于這些公開服 務(wù)器的保護(hù)也是十分必要的 具體可以利用防火墻劃分 DMZ 區(qū) 將公開服務(wù)器連接在千兆防火 墻的 DMZ 區(qū)上 對于防火墻系統(tǒng)而言 其接口分別可以自行定義為 DMZ 安全服務(wù)器網(wǎng)絡(luò) 區(qū) 內(nèi)網(wǎng)區(qū) 外網(wǎng)區(qū)共三個區(qū)域 DMZ 安全服務(wù)器網(wǎng)絡(luò) 區(qū)是為適應(yīng)越來越多的用戶向 Internet 上提供服 務(wù)時對服務(wù)器保護(hù)的需要 防火墻采用特別的策略對用戶的公開服務(wù)器實施保護(hù) 它利用獨(dú)立網(wǎng) 絡(luò)接口連接公開服務(wù)器網(wǎng)絡(luò) 公開服務(wù)器網(wǎng)絡(luò)既是內(nèi)部網(wǎng)的一部份 又與內(nèi)部網(wǎng)物理隔離 既實 現(xiàn)了對公開服務(wù)器自身的安全保護(hù) 同時也避免了公開服務(wù)器對內(nèi)部網(wǎng)的安全威脅 3 1 2 2 防火墻對核心內(nèi)部業(yè)務(wù)網(wǎng)的保護(hù)防火墻對核心內(nèi)部業(yè)務(wù)網(wǎng)的保護(hù) 對于核心內(nèi)部業(yè)務(wù)網(wǎng)部分 在實施策略時 也可以配置防火墻工作與透明模式下 并設(shè)置只 允許核心內(nèi)部網(wǎng)能夠訪問外界有限分配資源 而不允許外界網(wǎng)絡(luò)訪問核心內(nèi)部網(wǎng)信息資源或只允 許訪問有限資源 也可以在防火墻上配置 NAT 或 MAP 策略 能夠更好地隱藏內(nèi)部網(wǎng)絡(luò)地址結(jié) 構(gòu)等信息 從而更好地保護(hù)核心內(nèi)部網(wǎng)的系統(tǒng)安全 精選范本 供參考 3 1 2 3 防火墻對網(wǎng)絡(luò)邊界的保護(hù)防火墻對網(wǎng)絡(luò)邊界的保護(hù) 對于 網(wǎng)絡(luò)各個網(wǎng)絡(luò)邊界而言 每個單獨(dú)地網(wǎng)絡(luò)系統(tǒng)都是一個獨(dú)立的網(wǎng)絡(luò)安全區(qū) 域 因此在網(wǎng)絡(luò)邊界處配置一臺高性能防火墻系統(tǒng) 制定安全的訪問策略 不僅可以有效地保護(hù) 內(nèi)部網(wǎng)絡(luò)中的系統(tǒng)和數(shù)據(jù)安全 還可以防止各網(wǎng)絡(luò)之間有意無意地探測和攻擊行為 防火墻部署網(wǎng)絡(luò)邊界 以網(wǎng)關(guān)的形式出現(xiàn) 部署在網(wǎng)絡(luò)邊界的防火墻 同時承擔(dān)著內(nèi)網(wǎng) 外 網(wǎng) DMZ 區(qū)域的安全責(zé)任 針對不同的安全區(qū)域 其受信程度不一樣 安全策略也不一樣 防火墻放置在內(nèi)網(wǎng)和外網(wǎng)之間 實現(xiàn)了內(nèi)網(wǎng)和外網(wǎng)的安全隔離 防火墻上劃分DMZ區(qū) 隔離服務(wù)器群 保護(hù)服務(wù)器免受來自公網(wǎng)和內(nèi)網(wǎng)的攻擊 在防火墻上配置安全訪問策略 設(shè)置訪問權(quán)限 保護(hù)內(nèi)部網(wǎng)絡(luò)的安全 當(dāng)客戶網(wǎng)絡(luò)有多個出口 并要求分別按業(yè)務(wù) 人員實現(xiàn)分類訪問時 在防火墻上啟用策 略路由功能 保證實現(xiàn)不同業(yè)務(wù) 人員定向不同ISP的需求 防火墻具有對業(yè)務(wù)的良好支持 作為NAT ALG或者ASPF過濾 都能夠滿足正常業(yè)務(wù)的 運(yùn)行 防火墻易于管理 讓管理員舒心 內(nèi)網(wǎng)內(nèi)網(wǎng) 內(nèi)網(wǎng)用戶 內(nèi)網(wǎng)用戶 內(nèi)網(wǎng)用戶 防火墻防火墻 服務(wù)器群 DMZ 區(qū) 接入網(wǎng) 1 接入網(wǎng) 2 精選范本 供參考 3 1 2 4 數(shù)據(jù)中心的安全防護(hù)數(shù)據(jù)中心的安全防護(hù) 在防火墻上除了通過設(shè)置安全策略來增加對服務(wù)器或內(nèi)部網(wǎng)的保護(hù)以外 同時還可以啟用防 火墻日志服務(wù)器記錄功能來記錄所有的訪問情況 對非法訪問進(jìn)行監(jiān)控 還可以使用防火墻與將 要實施的入侵防御系統(tǒng)之間的實時聯(lián)動功能 形成動態(tài) 完整的 安全的防護(hù)體系 數(shù)據(jù)中心是安全的重點(diǎn) 性能 可靠性以及和 IPS 入侵防御的聯(lián)動都必須有良好的表現(xiàn) 防 火墻具有優(yōu)異的性能 可靠性方面表現(xiàn)不凡 結(jié)合入侵防御系統(tǒng) 可以實現(xiàn)高層次業(yè)務(wù)的數(shù)據(jù)安 全 本組網(wǎng)方案中 同時我們充分考慮到管理的方便性 如果需要在遠(yuǎn)程通過 internet 接入的方 法對內(nèi)部網(wǎng)絡(luò)進(jìn)行管理 可以結(jié)合 VPN 業(yè)務(wù) 既保證了安全 也實現(xiàn)了管理的方便 2臺熱備的防火墻將數(shù)據(jù)中心內(nèi)部服務(wù)器和數(shù)據(jù)中心外部的Intranet隔離起來 有效的保護(hù)了 數(shù)據(jù)中心內(nèi)部服務(wù)器 防火墻可以根據(jù)VLAN劃分虛擬安全區(qū) 從而可以方便地把不同業(yè)務(wù)服務(wù)器劃分到不同安全 區(qū)里 實現(xiàn)了數(shù)據(jù)中心內(nèi)部的不同業(yè)務(wù)區(qū)的隔離和訪問控制 管理員通過IPSec VPN保證管理流量的私密性和完整性 專門部署一個VPN網(wǎng)關(guān) 管理員終 端設(shè)備上安裝安全客戶端 結(jié)合證書認(rèn)證和USB key 保證管理員的身份不被冒充 從而實 現(xiàn)方便的管理 防火墻和IPS入侵防御系統(tǒng)聯(lián)合使用 檢測從二層到七層的全部協(xié)議數(shù)據(jù)包 保證任何形式 和類型的攻擊都不會被漏掉 有效地保護(hù)了網(wǎng)絡(luò)應(yīng)用 精選范本 供參考 管理網(wǎng)段管理網(wǎng)段 運(yùn)營系統(tǒng)運(yùn)營系統(tǒng) 物流系統(tǒng)物流系統(tǒng) 信息系統(tǒng)信息系統(tǒng) 網(wǎng)管服務(wù)器網(wǎng)管服務(wù)器安全策略服務(wù)器安全策略服務(wù)器 日志服務(wù)器日志服務(wù)器 VPN 用戶業(yè)務(wù)流量用戶業(yè)務(wù)流量 管理員管理流量管理員管理流量 普通用戶普通用戶 防火墻提供虛擬安全分區(qū) 防火墻提供虛擬安全分區(qū) 保護(hù)業(yè)務(wù)安全保護(hù)業(yè)務(wù)安全 防火墻防火墻 2 通過將防火墻部署在數(shù)據(jù)中心 不但保護(hù)了數(shù)據(jù)中心服務(wù)器的安全 同時方便管理 保證了 管理員的快速響應(yīng)成為可能 從多個方面實現(xiàn)了網(wǎng)絡(luò)的安全 3 1 3 建立內(nèi)部入侵防御機(jī)制建立內(nèi)部入侵防御機(jī)制 雖然 網(wǎng)絡(luò)中已部署了防火墻 但是 在網(wǎng)絡(luò)的運(yùn)行維護(hù)中 IT 部門仍然發(fā)現(xiàn)網(wǎng)絡(luò)的帶寬 利用率居高不下 而應(yīng)用系統(tǒng)的響應(yīng)速度越來越慢 只好提升帶寬并升級服務(wù)器嘍 可過不了多 久問題再次出現(xiàn) 而實際上 業(yè)務(wù)增長速度并沒有這樣快 業(yè)務(wù)流量占用帶寬不會達(dá)到這樣的數(shù) 量 這是目前各大公司網(wǎng)絡(luò)都可能存在的問題 并不是當(dāng)初網(wǎng)絡(luò)設(shè)計不周 而是自 2003 年以來 蠕蟲 點(diǎn)到點(diǎn) 入侵技術(shù)日益滋長并演變到應(yīng)用層面 L7 的結(jié)果 而這些有害代碼總是偽裝 成客戶正常業(yè)務(wù)進(jìn)行傳播 目前部署的防火墻其軟硬件設(shè)計當(dāng)初僅按照其工作在 L2 L4 時的情 況考慮 不具有對數(shù)據(jù)流進(jìn)行綜合 深度監(jiān)測的能力 自然就無法有效識別偽裝成正常業(yè)務(wù)的非 法流量 結(jié)果蠕蟲 攻擊 間諜軟件 點(diǎn)到點(diǎn)應(yīng)用等非法流量輕而易舉地通過防火墻開放的端口 進(jìn)出網(wǎng)絡(luò) 如下圖所示 管理員客戶端管理員客戶端 精選范本 供參考 圖 蠕蟲 P2P 等非法流量穿透防火墻 這就是為何用戶在部署了防火墻后 仍然遭受入侵以及蠕蟲 病毒 拒絕服務(wù)攻擊的困擾 事實上 員工的 PC 都既需要訪問 Internet 又必須訪問公司的業(yè)務(wù)系統(tǒng) 所以存在被病毒感染和 黑客控制的可能 蠕蟲可以穿透防火墻并迅速傳播 導(dǎo)致主機(jī)癱瘓 吞噬寶貴網(wǎng)絡(luò)帶寬 P2P 等 應(yīng)用 利用 80 端口進(jìn)行協(xié)商 然后利用開放的 UDP 進(jìn)行大量文件共享 導(dǎo)致機(jī)密泄漏和網(wǎng)絡(luò) 擁塞 對系統(tǒng)的危害極大 為了能夠讓防火墻具備深入的監(jiān)測能力 許多廠商都基于現(xiàn)有的平臺增加了 L4 L7 分析能 力 但問題是僅僅將上千個基于簡單模式匹配過濾器同時打開來完成對數(shù)據(jù)包的 L4 L7 深入檢 測時 防火墻的在數(shù)據(jù)流量較大時會迅速崩潰 或雖可以勉強(qiáng)工作 卻引入很大的處理延時 造 成業(yè)務(wù)系統(tǒng)性能的嚴(yán)重下降 所以基于現(xiàn)有防火墻體系結(jié)構(gòu)增加深入包檢測功能的方案存在嚴(yán)重 的性能問題 3 1 3 1 入侵防御系統(tǒng)對重要服務(wù)器和內(nèi)部網(wǎng)的部署保護(hù)入侵防御系統(tǒng)對重要服務(wù)器和內(nèi)部網(wǎng)的部署保護(hù) 入侵防御技術(shù)是主動保護(hù)自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù) 作為防火墻的合理補(bǔ)充 入侵 防御技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊 擴(kuò)展了系統(tǒng)管理員的安全管理能力 包括安全審計 監(jiān)視 攻擊識別和響應(yīng) 提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性 它從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收 集信息 并分析這些信息 HTTP 80 MS RPC FTP 21 SMTP 25 BackOrifice 31337 精選范本 供參考 因此 對于重要的服務(wù)器系統(tǒng)和內(nèi)部核心網(wǎng)絡(luò) 他們都連接在核心交換上 因此 在實施 入侵防御策略時 可以在入侵防御系統(tǒng)上對其設(shè)置完善的入侵防御規(guī)則 如 DoS 代碼攻擊 病毒 后門黑客攻擊或入侵的方法以及各種攻擊手段 如掃描 嗅探 后門 惡意代碼 拒絕 服務(wù) 分布式拒絕服務(wù) 欺騙等各種攻擊規(guī)則 并使入侵防御系統(tǒng)監(jiān)聽口工作在混雜模式 能 實時在線的抓取網(wǎng)絡(luò)上的數(shù)據(jù)包 實時的監(jiān)控網(wǎng)絡(luò)連接 對非法的數(shù)據(jù)包能產(chǎn)生報警和日志記 錄 必要時可以加以阻斷 3 1 4 建立入侵防御機(jī)制建立入侵防御機(jī)制 防火墻和入侵檢測系統(tǒng) IDS 已經(jīng)被普遍接受 但還不足以保護(hù)網(wǎng)絡(luò)不受攻擊 防火墻不能 充分地分析應(yīng)用層協(xié)議數(shù)據(jù)中的攻擊信號 入侵檢測系統(tǒng)也不會采取行動阻擋檢測到的攻擊 傳 統(tǒng)的解決方案就是為一臺一臺的服務(wù)器和工作站打軟件補(bǔ)丁 這是一個很費(fèi)時間和效率很低的過 程 對于一些組織來說 打軟件補(bǔ)丁的挑戰(zhàn)來自對每個補(bǔ)丁的測試 以了解它如何影響關(guān)鍵系統(tǒng) 的性能 其他組織發(fā)現(xiàn)的最大挑戰(zhàn)是如何在不同用戶環(huán)境的條件下將補(bǔ)丁分發(fā)到每個單獨(dú)的終端 用戶 并說服他們安裝這些補(bǔ)丁 總的來說 打補(bǔ)丁過程需要花費(fèi)時間 此時 主機(jī)不受保護(hù) 且易于暴露弱點(diǎn) 因此 用戶需要一個全新的安全解決方案 入侵防御系統(tǒng) IPS 填補(bǔ)了這一空白 并且變革了管理員構(gòu)建網(wǎng)絡(luò)防御的方式 IPS 在網(wǎng) 絡(luò)線內(nèi)進(jìn)行操作 阻擋惡意流量 而不僅僅是被動地檢測 系統(tǒng)分析活動連接并在傳輸過程中截 斷攻擊 所有惡意攻擊流量不會達(dá)到目的地 該設(shè)備通常沒有 MAC 地址或 IP 地址 因此它 可以被認(rèn)為是 線路的一部分 合法的流量以網(wǎng)速和以微秒級的延時無障礙通過系統(tǒng) IPS 自動在缺省配置中設(shè)置成百上千個過濾用于阻擋各類攻擊 這些過濾器時刻識別所有情 況下存在于所有網(wǎng)絡(luò)環(huán)境中的已知的惡意流量 管理員只需要打開系統(tǒng) 通過管理接口配置用戶 名和密碼 并插入數(shù)據(jù)纜線 這時 系統(tǒng)開始運(yùn)行并阻擋攻擊 保護(hù)易受攻擊的系統(tǒng)不受危害 沒有必要在 UnityOne 提供服務(wù)之前進(jìn)行配置 關(guān)聯(lián) 集成或調(diào)諧任何參數(shù)的工作 IPS 的最 主要的價值是可以提供 虛擬補(bǔ)丁 的功能 使主機(jī)沒有應(yīng)用補(bǔ)丁程序時或網(wǎng)絡(luò)運(yùn)行存在風(fēng)險協(xié) 議時 它能保護(hù)易受攻擊的系統(tǒng)不受攻擊 利用一個或一組 IPS 過濾器 可有效地阻擋所有企 圖探索特殊弱點(diǎn)的嘗試 這意味著不同的攻擊者可以來去自如 開發(fā)的攻擊代碼可以完全不同 攻擊者可以使用他們多種形態(tài)的 shellcode 發(fā)生器或