網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計方案

1、網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計方案一、 常用的 網(wǎng)絡(luò)信息系統(tǒng) 安全技術(shù)面對網(wǎng)絡(luò)信息安全的諸多問題，我們采取了多種的防范措施。1、防火墻目前出現(xiàn)的新技術(shù)類型主要有以下幾種狀態(tài)監(jiān)視技術(shù)、 安全操作系統(tǒng)、自適應(yīng)代理技術(shù)、實時侵入檢測系統(tǒng)等?；旌鲜褂脭?shù)據(jù)包過濾技術(shù)、代理服務(wù)技術(shù)和其他一些新技術(shù)是未來防火墻的趨勢。2、認證目前 , 常用的身份識別技術(shù)主要是基于RAD IUS的鑒別、授權(quán)和管理 (AAA) 系統(tǒng)。 RADIUS ( remoteauthentica2tiondialin userservice)是網(wǎng)絡(luò)遠程接入設(shè)備的客戶和包含用戶認證與配置信息的服務(wù)器之間信息交換的標(biāo)準客戶或服務(wù)器模式。它包含有關(guān)用

2、戶的專門簡檔 , 如, 用戶名、接入口令、接入權(quán)限等。這是保持遠程接入網(wǎng)絡(luò)的集中認證、授權(quán)、記費和審查的得到接受的標(biāo)準。華為、思科等廠商都有使用 RAD IUS技術(shù)的產(chǎn)品。3、虛擬專用網(wǎng)隨著商務(wù)的發(fā)展 , 辦公形式的改變 ,分支機構(gòu)之間的通信有很大需求 , 如果使用公用的互聯(lián)網(wǎng)絡(luò)來進行通信, 而不是架設(shè)專用線路 , 這樣, 就可以顯著降低使用成本。VPN( virtual private network)即虛擬專用網(wǎng)是解決這一問題的方法。 VPN建立一條通過公眾網(wǎng)絡(luò)的邏輯上的專用連接 , 使得用戶在異地訪問內(nèi)部網(wǎng)絡(luò)時 , 能夠和在本地訪問一樣的資源 , 同時 , 不用擔(dān)心泄密的問題。 采用 I

3、PSec 協(xié)議的產(chǎn)品是市場的主流和標(biāo)準 , 有相當(dāng)多的廠商都推出了相應(yīng)產(chǎn)品。4、入侵檢測和集中網(wǎng)管入侵檢測 ( intrusion detection)是對入侵行為的發(fā)覺, 是一種增強系統(tǒng)安全的有效方法, 能檢測出系統(tǒng)中違背系統(tǒng)安全性規(guī)則或者威脅到系統(tǒng)安全的活動。 目前 , 入侵檢測系統(tǒng)的產(chǎn)品很多, 僅國內(nèi)的就有東軟、海信、聯(lián)想等十幾種 ; 集中網(wǎng)管主要體現(xiàn)在對網(wǎng)管的集中上,網(wǎng)管集中的實現(xiàn)方式主要包括存放網(wǎng)管系統(tǒng)的物理平面集中和通過綜合集中網(wǎng)管實現(xiàn)對不同廠商網(wǎng)管系統(tǒng)的集中管控。大唐、朗訊、華勤等廠商各自有不同的集中網(wǎng)管產(chǎn)品上市。二、 網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計方案2.1.1外網(wǎng)出口外網(wǎng)出口采用防火

4、墻。支持雙機熱備功能，核心交換機通過兩根電纜連到防火墻上，防火墻通過兩臺2 層交換機分別接入電信線路和網(wǎng)通線路。當(dāng)出口設(shè)備開啟雙機熱備后，即使其中一臺防火墻出問題，另外一臺防火墻也能正常保證外網(wǎng)的使用，不會出現(xiàn)網(wǎng)絡(luò)中斷的情況。2.1.2核心設(shè)備作為網(wǎng)絡(luò)的核心，要有很高的穩(wěn)定性，癱瘓一分鐘都會帶來嚴重的后果，針對這個因素，我們將兩臺全千兆核心交換機采用雙機熱備 的方式，上聯(lián)到防火墻，并下聯(lián)到辦公網(wǎng)絡(luò)。Catalyst 3960 系列交換機具有 240G背板帶寬 ; 線速三層交換包轉(zhuǎn)發(fā)率達到 96Mpps; ，是標(biāo)準三層無阻塞交換機為所有的端口提供多層交換能力和線速的路由轉(zhuǎn)發(fā)能力。同時具有高性能、

5、低成本等主要特點。而其強大的處理能力是構(gòu)建可靠、穩(wěn)定、高速的IP 網(wǎng)絡(luò)平臺的重要保障。同時具有高性能、低成本等主要特點。Catalyst3960 支持特有的 ARP入侵檢測功能，防止包括 MAC欺騙、IP 欺騙、 MAC/IP欺騙在內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來的 DoS/DDoS攻擊等。2.1.3接入設(shè)備接入交換機作為樓層網(wǎng)絡(luò)的小型網(wǎng)關(guān)設(shè)備上連至上級交換機，需要考慮交換機能提供的網(wǎng)絡(luò)安全性 以及設(shè)備的 處理能力 。我們所采用的接入交換機可以支持劃分vlan 、端口保護、 Qos 功能、廣播 / 組播風(fēng)暴控制等功能。同時應(yīng)具備擴展性。達到可根據(jù)需要靈活地配置網(wǎng)絡(luò)。 交換機能與所有的以

6、太網(wǎng)、快速以太網(wǎng)設(shè)備相連接，保護用戶已有的網(wǎng)絡(luò)投資。可在工作組之間或企業(yè)內(nèi)部提供高帶寬、高性能連接，同時還能增強服務(wù)器群的容量，讓用戶能更快速存取整個網(wǎng)絡(luò)資源?？梢跃徑庖驗榫W(wǎng)絡(luò)帶寬不足及用戶迅速增長所造成的網(wǎng)絡(luò)傳輸瓶頸， 并且投資少，管理簡單。2.2 訪問控制我們認為采用 VLAN+ACL組網(wǎng)方式，可實現(xiàn)不同部門、 不同應(yīng)用系統(tǒng)之間進行隔離，實現(xiàn)對跨系統(tǒng)、跨部門的訪問控制。其本身已經(jīng)能夠提供的安全機制，可保證訪問控制的安全。采用VLAN+ACL實現(xiàn)組網(wǎng)，按照各樓層或各部門，實現(xiàn) VLAN的劃分。所有的部門系統(tǒng)全部二層隔離，同一個匯聚層設(shè)備下的單位需要進行互通，則在核心交換機上終結(jié)VLAN，進行

7、三層互通，如果是不同的匯聚層設(shè)備下的單位需要互通，則需要經(jīng)過匯聚交換機上送到核心交換機上，通過配置的acl和路由進行三層轉(zhuǎn)發(fā)，實現(xiàn)受控互通。2.3 雙機熱備實現(xiàn)方案對于集團內(nèi)網(wǎng)的組網(wǎng)方式，我們規(guī)劃了VRRP雙機熱備方案：讓我們來看看雙機熱備的工作VRRP圖 1如上圖所示，正常情況下，左邊核心交換機優(yōu)先級高于右邊核心交換機，所以左側(cè)核心交換機處于master 狀態(tài)，響應(yīng)所有對虛擬 IP（即圖中的 192.168.1.1 、192.168.2.1 ）的請求，右側(cè)核心交換機處于 backup 狀態(tài)，不會響應(yīng)任何關(guān)于虛擬 IP 的請求，但是右側(cè)交換機實時關(guān)注著從 VRRP心跳線發(fā)來的狀態(tài)包。很明顯，現(xiàn)

8、在所有匯聚交換機都會將數(shù)據(jù)包發(fā)送至左側(cè)交機。左側(cè)交換機作為線路正常時的主交換機。右側(cè)交換機只關(guān)注VRRP心跳線發(fā)來的狀態(tài)包。此時，辦公網(wǎng)交換機到左側(cè)核心交換機的線路若發(fā)生故障，或左側(cè)核心交換機的發(fā)生故障。如下圖：VRRP圖 2如果是匯聚交換機到核心交換機的線路產(chǎn)生故障，此時左側(cè)核心交換機將會發(fā)現(xiàn)所連接端口發(fā)生故障，左側(cè)交換機將會通過VRRP心跳線通知右側(cè)交換機， 告之關(guān)于 192.168.2.1的狀態(tài)變化，此時，右側(cè)核心交換機將會作為主核心交換機，并相應(yīng)并處理來自二層匯聚交換機的所有數(shù)據(jù)包。如果是左側(cè)核心交換機產(chǎn)生故障，右側(cè)交換機收不到心跳線傳來的數(shù)據(jù)，那么它會認為左側(cè)交換機已經(jīng)無法正常工作，

9、自己切換成為 Master 狀態(tài)，處理來自所有匯聚交換機的數(shù)據(jù)包。從左側(cè)核心設(shè)備發(fā)現(xiàn)線路故障到右側(cè)核心設(shè)備變?yōu)橹鹘粨Q機，或者右側(cè)核心設(shè)備發(fā)現(xiàn)左側(cè)設(shè)備產(chǎn)生故障無法工作而自己變?yōu)橹鹘粨Q機，期間耗時不到 2 秒鐘，對正在使用網(wǎng)絡(luò)的用戶而言，完全感覺不到發(fā)生了什么故障。這樣就能保證整個網(wǎng)絡(luò)骨干層7*24 小時的無故障運行了。如果線路恢復(fù)正?；蜃髠?cè)核心交換機的故障排查解決完畢能夠正常工作，左側(cè)交換機同樣可以發(fā)現(xiàn)其線路所連接的端口恢復(fù)正常，而通知右側(cè)核心設(shè)備，同時自己變?yōu)橹鹘粨Q機，左側(cè)核心交換機在故障處理完畢后能正常工作同樣會通知右側(cè)核心交換機，自己變?yōu)橹鹘粨Q機。2.4 ARP 防護ARP（欺騙類）病毒可

10、謂是現(xiàn)在最普遍的網(wǎng)絡(luò)危害，一具用戶感染病毒就可能危害到整個網(wǎng)絡(luò)。欺騙類病毒目前可以分為3 種類型：1、中毒機器不停發(fā)送“我是網(wǎng)關(guān)”的ARP信息，試圖來欺騙其他PC，讓他們將自己看作網(wǎng)關(guān)，如圖中的F0/1口下的PC A可以通過這種類型的ARP病毒讓PC B認為網(wǎng)關(guān)是PC A。Loopback：1.1.1.1192.168.43.25400-E0-0F-27-96-D0網(wǎng)關(guān)F0/24F0/1F0/10待測設(shè)備PC APC BMACIP ：192.168.43.9900-0F-B0-7F-38-82IPMAC：192.168.43.10000-E0-0F-26-22-30無網(wǎng)關(guān)網(wǎng)關(guān)：192.168.

11、43.254欺騙源被欺騙者2、中毒機器不停的變換自己的IP ，來擾亂網(wǎng)關(guān)設(shè)備的ARP表象，試圖讓網(wǎng)關(guān)看到的所有的IP 都是自己，這樣其他用戶的IP就不能被網(wǎng)關(guān)設(shè)備認出了，如上圖中，PC A 可以不停的變換自己的 IP ，這樣網(wǎng)關(guān)就會被欺騙認為192.168.43.100也是 PC A，PCB 當(dāng)然就不能被網(wǎng)關(guān)識別了。3、中毒機器將自己的MAC地址修改成交換機的下一跳網(wǎng)絡(luò)設(shè)備的 MAC地址，試圖讓交換機的MAC表發(fā)生紊亂，讓交換機從錯誤的端口發(fā)送出數(shù)據(jù)包，如上圖中，PC A會將自己的 MAC地址修改成網(wǎng)關(guān)的 MAC地址 00-E0-0F-27-96-D0 ，這樣交換機在F0/1 和F0/24 上

12、都學(xué)習(xí)到這個地址， MAC表就亂了 -這種類型并不能算上 ARP病毒，但是同屬于欺騙類病毒。目前大部分廠家都是通過綁定 IP 、MAC、端口的方式來保證安全，但是這樣的方式實現(xiàn)起來麻煩（要一條一條的把綁定信息寫進去），如果增加了新設(shè)備或者某臺設(shè)備更換了端口或者網(wǎng)卡，如果不及時通知網(wǎng)絡(luò)管理員進行修改，就沒有辦法上網(wǎng)，費時費力。針對這種情況，我們設(shè)計了一套較完善的 ARP防護方式。在端口下過濾 ARP報文，防止冒充網(wǎng)關(guān) 。既然我們知道交換機的 F0/24 口上接的是網(wǎng)關(guān)，那么 F0/1 到 F0/23 口都不可能發(fā)送出“我是網(wǎng)關(guān)”的 ARP信息，所以我們可以在這些端口下過濾此類報文。交換機命令（需

13、要兩層半交換機，S2026/S2126 以上設(shè)備）：interface FastEthernet0/1switchport port-security block arp 192.168.43.254/阻止該端口下發(fā)送192.168.43.254的 ARP報文在所有的非上聯(lián)端口上都配置此類命令，交換機可阻止其下端口發(fā)送“我是網(wǎng)關(guān)”類的ARP欺騙報文在接口下配置Filter功能，防 ARP掃描攻擊。 如果中毒機器不停變換自己的IP ，那么他在短時間內(nèi)發(fā)送的ARP信息是非常多的，我們可以通過設(shè)置 ARP計數(shù)器 的方式來進行管理，在一個時間單位內(nèi)，如果某個設(shè)備發(fā)送的 ARP數(shù)量超過了我們設(shè)置的閥值，

14、那么我們將過濾這臺設(shè)備的 MAC一段時間，這個時間段內(nèi)這臺設(shè)備發(fā)送任何信息我們的交換機都不進行轉(zhuǎn)發(fā)。交換機命令（需要兩層半交換機，既 S2026/S2126 以上設(shè)備）：interface FastEthernet0/1filter arp/ 在接口下啟用arp過濾功能！filter period 5/ 以5 秒鐘為一個統(tǒng)計周期filter block-time 60/ 將攻擊主機隔離60 秒filter threshold 100/ 一個統(tǒng)計周期超過100 個arp報文，就進行隔離filter enable/ 在全局下啟用過濾功能一旦交換機F0/1端口下有PC在5秒內(nèi)發(fā)送的ARP報文超過10

15、0 個，交換機將在60 秒內(nèi)禁止此 PC的 MAC通過。免費發(fā)放 ARPRESPONSE報文，糾正主機錯誤的網(wǎng)關(guān)。對于網(wǎng)關(guān)類的設(shè)備一般是不主動發(fā)送ARP報文的，通常它都是被動響應(yīng)下面的 ARP請求，因此我們也可以讓網(wǎng)關(guān)主動發(fā)送ARP RESPONSE報文，主動矯正下面PC的錯誤。交換機命令（需要三層交換機或者路由器）arpfree-response/ 啟用免費發(fā)放 arpresponse 報文的功能arp free-response interval 30/ 發(fā)放 arp response報文的間隔interface VLAN1ip address 192.168.43.254 255.255

16、.255.0no ip directed-broadcast!interface Loopback0ip address 1.1.1.1 255.255.255.0no ip directed-broadcast這樣每 30 秒網(wǎng)關(guān)可以主動矯正下面PC的錯誤。將網(wǎng)關(guān)的 MAC地址、端口、以及 VLAN進行綁定，防止 MAC欺騙。交換機命令（兩層設(shè)備即可）mac address-tablestatic00e0.0f96.27d0vlan 1 interfacef0/24/ 保證網(wǎng)關(guān)的 VLAN 1的 MAC地址只能出現(xiàn)在 F0/24 上將交換機下聯(lián)口全部開啟端口保護，保證用戶只能和上聯(lián)口互通，和

17、其他用戶之間無法互通。交換機命令（兩層設(shè)備即可）interface FastEthernet0/1switchport protect根據(jù)上面提到的4 種防護 ARP欺騙的機制原理，我們可以進行組合，設(shè)置多種全網(wǎng)阻斷ARP欺騙的拓撲：首先通過 vlan 劃分隔離廣播域，讓arp 只會在同 1 個 vlan內(nèi)傳播，此外我們可以在接入層采用兩層設(shè)備 S2126 交換機，開啟端口保護，匯聚層采用三層交換機 S3760，開啟 Filter防護機制。此類方法可以保證：1、用戶之間發(fā)送“我是網(wǎng)關(guān)”的ARP欺騙（類型 1 欺騙）信息由于接入交換機的端口保護機制，無法傳播到其他用戶的端口上。2、用戶發(fā)送類型2

18、 欺騙的信息由于匯聚交換機的Filter防護，在匯聚層上就被阻擋掉，無法欺騙網(wǎng)關(guān)設(shè)備此類方法的缺點就是同個交換機且在同個vlan 下的用戶之間無法互相訪問。因此我們可以只對不需要產(chǎn)生直接互相通信的兩臺用戶之間開啟端口保護，其他不開，或者是采用結(jié)合軟件的辦法，電腦上安裝arp 防火墻，這樣就可以不開啟端口保護了。結(jié)合軟件 arp 防火墻和三層交換機的filter功能，也是一種非常實用有效防止 arp 攻擊的方法。2.5 安全制度任何的措施都不可能解決所有的網(wǎng)絡(luò)安全問題，也就是“網(wǎng)絡(luò)沒有絕對的安全，沒有絕對的網(wǎng)絡(luò)安全”。我們在采取安全控制措施后，在加強了安全性、可靠性的同時，還需要通過制度和行政手

19、段來進行干預(yù)，比如發(fā)文強制統(tǒng)一安裝網(wǎng)絡(luò)防病毒軟件，因為如果在一個網(wǎng)絡(luò)里如果有機器沒裝防病毒產(chǎn)品或者裝的是單機版產(chǎn)品，勢必會給整個單位網(wǎng)絡(luò)帶來不小影響，在出了問題的時候沒有一個統(tǒng)一的解決方案，反而會讓他們成為“漏網(wǎng)之魚” 。沒有那個單機版用戶能保證自己每天都及時做病毒碼升級，而且現(xiàn)在裝的單機版無非就是瑞星， 金山，360 之類的產(chǎn)品， 這些產(chǎn)品相對于卡巴斯基這類統(tǒng)一部署的防病毒產(chǎn)品來說還是有一定差距的，像最近的好多單位網(wǎng)絡(luò)癱瘓都是因為網(wǎng)絡(luò)里有些機器裝了這類軟件導(dǎo)致的，而裝有統(tǒng)一部署的防病毒的基本上沒有問題。還有一種情況普遍，就是網(wǎng)絡(luò)存儲設(shè)備的使用，經(jīng)常會有用戶會因為 U 盤攜帶病毒而使機器出現(xiàn)問題，如果有一個好的管理制度來做些約束，定期做些關(guān)于網(wǎng)絡(luò)安全方面的培訓(xùn)，使每個人都知道網(wǎng)絡(luò)安全問題的重要性也很必要。三、網(wǎng)絡(luò)信息系統(tǒng)的安全預(yù)算方案產(chǎn)品名稱型號單價單位數(shù)量價格核心交換機H3C S9512-N1100002220000路由器銳捷網(wǎng)絡(luò) RSR-04E-BASE-AC-1GE4800002960000防火墻思科 PIX-535-FO-BUN680002136000服務(wù)器戴爾 PowerEdge R71021800365400匯聚層交換機H3C S5100-