XX體育中心網(wǎng)絡安全系統(tǒng)

1、目 錄第一章系統(tǒng)概述.31.1概述31.2設計要求3第二章設計原則及設備選型依據(jù)42.1總體設計原則4第三章設計方案53.1網(wǎng)絡設計原則53.2組網(wǎng)方案63.3方案特點83.4IP地址規(guī)劃說明93.5VLAN規(guī)劃10第四章網(wǎng)絡安全方案建議124.1網(wǎng)絡安全技術概述134.2防火墻解決方案144.3深度安全的防范設計184.3.1部署方案184.3.2應用程序防護194.3.3網(wǎng)絡架構防護194.3.4性能保護194.3.5數(shù)字疫苗在線更新機制19第五章課程設計總結.20第一章系統(tǒng)概述1.1概述某市體育中心是主管本市體育工作的市政府直屬機構。主要職責是：貫徹國家體育工作的方針、政策和法規(guī)，研究擬

2、訂本市體育工作的法規(guī)、政策和發(fā)展規(guī)劃，并組織實施；負責本市體育體制改革，制訂本市體育發(fā)展戰(zhàn)略，編制中長期發(fā)展規(guī)劃，并組織實施；組織、指導各部門、各行業(yè)開展群眾體育活動，推動體育社會化，組織實施全民健身計劃；統(tǒng)籌規(guī)劃本市競技運動項目的布局，指導優(yōu)秀運動隊的建設及業(yè)余訓練工作；制訂體育競賽計劃，管理、指導全市性體育競賽；指導體育科研工作，加強科研攻關和科研成果的推廣；組織開展反興奮劑工作；開發(fā)體育人才資源等工作職能。某市體育局歷來十分重視信息安全的發(fā)展動向，尤其是在體育場所信息管理系統(tǒng)方面，部署力量，保障信息網(wǎng)絡的安全。1.2設計要求XX體育中心計算機網(wǎng)絡系統(tǒng)及計算機管理應用系統(tǒng)的建設應達到以下建

3、設目標：1. 滿足運動會舉辦期間，對各比賽、訓練場館的基本信息化需求。2. 體育中心計算機管理應用系統(tǒng)總體結構歸納為“一個門戶、三個體系和五個層次”；（總體結構適用于軟件解決方案中辦公自動化平臺、財務管理平臺、綜合應用平臺）3. 適應信息技術的發(fā)展，滿足XX體育中心業(yè)務和辦公中不斷增加的對于信息資源共享的需求；4. 提高辦公效率，實現(xiàn)電子化辦公、無紙辦公，同時大幅提高工作人員的信息化水平； 5. 滿足日益發(fā)展的群眾體育運動發(fā)展的需求，為廣大群眾的體育鍛煉，提供良好的服務；6. 滿足XX體育中心的經(jīng)營管理需求；7. 建立代表本單位的Web服務器，對內方便內部工作人員信息的獲取和基于Web的溝通，

4、對外樹立本單位在因特網(wǎng)上的形象，也使網(wǎng)絡成為服務社會的“窗口”；第二章.設計原則及設備選型依據(jù)考慮到本工程網(wǎng)絡結構設計的靈活性和可擴展性，要求網(wǎng)絡廠商具有從骨干萬兆以太網(wǎng)交換機、工作組千兆以太網(wǎng)交換機、全系列路由器、網(wǎng)絡安全、網(wǎng)絡管理等全系列產(chǎn)品，與其他廠家的產(chǎn)品互連性好，有良好的服務和技術支持?？紤]到網(wǎng)絡系統(tǒng)的穩(wěn)定性和可靠性，要求所采用的網(wǎng)絡產(chǎn)品必須是經(jīng)受過大量網(wǎng)上實際應用的考驗，要具備高安全性、高穩(wěn)定性和高可靠性，保障系統(tǒng)的不間斷運行。同時由于世界上網(wǎng)絡產(chǎn)品供應商之間的激烈競爭，收購和兼并頻繁發(fā)生。如果選用較小的供應商的產(chǎn)品，一旦發(fā)生收購或兼并，常常導致整個產(chǎn)品系列的停產(chǎn)，使售后服務和產(chǎn)品

5、升級都面臨很大困難。因此，在網(wǎng)絡產(chǎn)品的選型中，必須選擇產(chǎn)品售后服務和支持好的網(wǎng)絡產(chǎn)品供應商。2.1 總體設計原則結合XX體育中心局域網(wǎng)的實際應用和發(fā)展要求，在進行本次網(wǎng)絡系統(tǒng)設計時，主要應遵循以下原則：實用性原則：以現(xiàn)行需求為基礎，充分考慮發(fā)展的需要來確定系統(tǒng)規(guī)模。安全性原則：本次工程項目服務于XX體育中心局域網(wǎng)的需要，對安全級別要求很高。系統(tǒng)應能提供網(wǎng)絡層的安全手段防止系統(tǒng)外部成員的非法侵入以及操作人員的越級操作，保護網(wǎng)絡建設者的合法利益?？煽啃栽瓌t：系統(tǒng)設計能有效的避免單點失敗，在設備的選擇和關鍵設備的互聯(lián)時，應提供充分的冗余備份，一方面最大限度地減少故障的可能性，另一方面要保證網(wǎng)絡能在最

6、短時間內修復。成熟和先進性原則：系統(tǒng)結構設計、系統(tǒng)配置、系統(tǒng)管理方式等方面采用國際上先進同時又是成熟、實用的技術。設備廠商和投標商應有相關領域的豐富經(jīng)驗。規(guī)范性原則：系統(tǒng)設計所采用的技術和設備應符合國際標準、國家標準和業(yè)界標準，為系統(tǒng)的擴展升級、與其他系統(tǒng)的互聯(lián)提供良好的基礎。開放性和標準化原則：在設計時，要求提供開放性好、標準化程度高的技術方案；設備的各種接口滿足開放和標準化原則?？蓴U充和擴展化原則：所有系統(tǒng)設備不但滿足當前需要，并在擴充模塊后滿足可預見將來需求，如帶寬和設備的擴展，應用的擴展和辦公地點的擴展等。保證建設完成后的系統(tǒng)在向新的技術升級時，能保護現(xiàn)有的投資?？晒芾硇栽瓌t：整個系統(tǒng)

7、的設備應易于管理，易于維護，操作簡單，易學，易用，便于進行系統(tǒng)配置，在設備、安全性、數(shù)據(jù)流量、性能等方面得到很好的監(jiān)視和控制，并可以進行遠程管理和故障診斷。第三章.設計方案3.1網(wǎng)絡設計原則根據(jù)以上要求，結合體育中心局域網(wǎng)的實際應用和發(fā)展要求，在進行本次網(wǎng)絡系統(tǒng)改造設計時，主要應遵循以下原則：1）高性能：網(wǎng)絡要求具有數(shù)據(jù)、圖像、語音等多媒體實時通訊能力。主干網(wǎng)應提供可保證的服務質量和充足的帶寬。采用最新科技，以適應大量數(shù)據(jù)傳輸以及多媒體信息的傳輸。整個系統(tǒng)在國內三到五年內保持領先的水平，并具有長足的發(fā)展能力，以適應未來網(wǎng)絡技術的發(fā)展。2）高可靠性：網(wǎng)絡系統(tǒng)是日常業(yè)務和各種應用系統(tǒng)的基礎設施，應

8、保證工作日和重點時期不間斷運行。整個網(wǎng)絡應有足夠的冗余，設備在發(fā)生故障時能以熱插拔的方式在最短時間內加以修復?？煽啃赃€應充分考慮網(wǎng)絡系統(tǒng)的性價比，使整個網(wǎng)絡具有一定的容錯能力，減少單點故障。3）標準化：所有網(wǎng)絡設備都應符合有關國際標準以保證不同廠家網(wǎng)絡設備之間的互操作性和網(wǎng)絡系統(tǒng)的開放性。4）可擴充性和可擴展性：所有網(wǎng)絡設備不但滿足當前需要，并在擴充模塊后，滿足可預見將來需求。網(wǎng)絡設計要考慮本期網(wǎng)絡系統(tǒng)應用和今后網(wǎng)絡的發(fā)展，便于向更新技術的升級與銜接。要留有擴充余量，包括端口數(shù)量和帶寬的升級能力。5）易管理性：網(wǎng)絡設備應易于管理，易于維護，操作簡單，易學，易用，便于進行網(wǎng)絡配置，發(fā)現(xiàn)故障。6）

9、支持多媒體：支持文本、語音、圖形、圖像及音頻、視頻等多種媒體信息的傳輸、查詢服務，具有多種基于優(yōu)先級隊列的QoS保證，多媒體應用對服務質量有很高的要求，如帶寬，延遲，延遲的變化等，需要網(wǎng)絡對服務質量(QoS)有很好的支持。7） 安全性：網(wǎng)絡系統(tǒng)的數(shù)據(jù)和文件多數(shù)要求具有高度的安全性，因此，網(wǎng)絡系統(tǒng)本身要有較高的安全性，對使用的信息進行嚴格的權限管理，在技術上提供先進的、可靠的、全面的安全方案和應急措施，確保系統(tǒng)萬無一失。同時符合國家關于網(wǎng)絡安全標準和管理條例。8）實用性：系統(tǒng)建設首先要從系統(tǒng)的實用性角度出發(fā)，未來企業(yè)內部的信息傳輸都將依賴于計算機網(wǎng)絡系統(tǒng)，所以系統(tǒng)設計必須具有很強的實用性，滿足不

10、同用戶信息服務的實際需要，具有很高的性能價格比，能為多種應用系統(tǒng)提供強有力的支持平臺；同時應很好地利用現(xiàn)有設備資源，保護用戶的已有投資。3.2組網(wǎng)方案XX體育中心局域網(wǎng)主要是搭建網(wǎng)絡框架，建立一套獨立的通信平臺，為各種用戶的需要提供基礎網(wǎng)絡平臺，以適應今后對網(wǎng)絡的不斷需求。由于整體網(wǎng)絡的性質，對網(wǎng)絡設備有很高的要求，至少滿足5-10年的發(fā)展需要，同時考慮今后的發(fā)展，應用逐漸增多，給網(wǎng)絡帶來的壓力。因此需要核心設備具有高性能和豐富的業(yè)務功能，在提供高速的轉發(fā)的同時，可以靈活設置策略，保障高端用戶能夠得到優(yōu)質的服務。根據(jù)以上分析，我們組建體育中心局域網(wǎng)網(wǎng)絡，具體網(wǎng)絡拓撲圖如下：如上圖所示，核心機房

11、位于辦公樓，下聯(lián)各個不同的匯聚點和接入點，根據(jù)布線的情況和網(wǎng)絡最優(yōu)化設計，組成多級網(wǎng)絡架構。3.21辦公樓核心區(qū)如圖所示，在辦公樓核心層配備一臺萬兆核心交換機S9512，配置冗余引擎、冗余電源，實現(xiàn)單核心的可靠性，使故障率降到最低；下行千兆單模光纖連接個匯聚節(jié)點（6個）和遠端接入點（6個），實現(xiàn)網(wǎng)絡的連通性。在服務器區(qū)，采用直接接入核心交換機的方式，在核心交換機上配置24個千兆電口模塊，通過千兆銅纜與服務器相連。在Internet出口，采用H3C MSR路由器，與運營商（ISP）相連，下聯(lián)安全設備H3C IPS T200-A和防火墻 SecPath F1000-S ，形成對外Internet的

12、整體安全策略，保護內網(wǎng)不受外部的影響，從而使整個網(wǎng)絡更加安全、穩(wěn)定、可靠。3.22辦公樓匯聚區(qū)在辦公樓內部，配置一臺匯聚交換機S5510-24F，全千兆光口交換機，上聯(lián)千兆光纖到核心交換機，下聯(lián)千兆光纖到接入交換機。實現(xiàn)辦公樓的網(wǎng)絡接入。同時與遠端北、東、西入口接入交換機相連，實現(xiàn)遠端接入。3.23XX中心體育場匯聚區(qū)在體育中心場匯聚點，配置一臺匯聚交換機S5510-24F，全千兆光口交換機，上聯(lián)千兆光纖到核心交換機，下聯(lián)千兆光纖到接入交換機。實現(xiàn)XX中心體育場內部網(wǎng)絡的接入。3.24綜合體育館匯聚區(qū)在綜合體育館匯聚點，配置一臺匯聚交換機S5510-24F，全千兆光口交換機，上聯(lián)千兆光纖到核心

13、交換機，下聯(lián)千兆光纖到綜合體育場內、手球練習館和足球聯(lián)系館接入交換機。實現(xiàn)綜合體育館匯聚區(qū)內的網(wǎng)絡接入。3.25游泳館匯聚區(qū)在游泳館匯聚點，配置一臺匯聚交換機S5510-24F，全千兆光口交換機，上聯(lián)千兆光纖到核心交換機，下聯(lián)千兆光纖到游泳館內和曲棍球比賽場接入交換機，網(wǎng)球場接入交換機在匯接到曲棍球比賽場，實現(xiàn)游泳館區(qū)內的網(wǎng)絡的接入。3.26綜合訓練館匯聚區(qū)在綜合訓練館匯聚點，配置一臺匯聚交換機S5510-24F，全千兆光口交換機，上聯(lián)千兆光纖到核心交換機，下聯(lián)千兆光纖到接入交換機，實現(xiàn)綜合訓練館內部的網(wǎng)絡接入。同連接能源設備機房和總配電室，實現(xiàn)互聯(lián)。3.3.方案特點網(wǎng)絡高性能設計：XX體育中

14、心局域網(wǎng)主干采用高速的千兆以太網(wǎng)技術，百兆到終端設備。核心交換機S9512交換容量720Gbps，轉發(fā)性能423Mpps；網(wǎng)絡設備的高交換性能，為全網(wǎng)提供數(shù)據(jù)轉發(fā)的可靠保障。網(wǎng)絡高可靠設計：XX體育中心局域網(wǎng)配備了冗余引擎、冗余電源、冗余風扇，其采用電信級的高可靠設計，支持所有模塊的熱插拔，整機可靠性高達99.9999%。網(wǎng)絡的高安全性設計：核心層設備基于最長匹配的路由策略，系統(tǒng)采用逐包轉發(fā)方式，保證了所有報文均獲得相同的轉發(fā)性能，對某些針對網(wǎng)絡設備的攻擊具有天生的防御能力，有效保證了設備安全。在Internet出口處，配置了千兆防火墻和入侵防御系統(tǒng)IPS，以提高防御Internet上攻擊的能

15、力。網(wǎng)絡的可擴展性設計：建議在部署光纖鏈路實現(xiàn)設備互聯(lián)時，能預留出冗余的光纖通道，一方面可用于鏈路備份，另一方面在將來需要骨干網(wǎng)帶寬升級時，可通過多鏈路捆綁方式實現(xiàn)帶寬擴容。 對于設備而言，核心交換機支持引擎升級的方式實現(xiàn)性能和容量的擴展，S9512交換機更新引擎后，設備性能可提升一倍，在支持更高密度和更高性能的業(yè)務板的同時，還能兼容使用老的業(yè)務單板，長久保護國家奧林匹克體育中心對設備的投資。網(wǎng)絡的可管理設計：XX體育中心局域網(wǎng)設備眾多，布置分散，需要一套易于使用、功能強大的網(wǎng)管系統(tǒng)，來縮短故障定位時間，協(xié)作維護人員迅速解決問題，降低網(wǎng)絡維護人員的工作量，IMC智能網(wǎng)管中心除了可獨立完成網(wǎng)絡拓

16、撲結構顯示，故障管理、性能管理、配置管理等功能以外，還針對國內用戶的特色需求，做了很多個性化開發(fā)。3.4 IP地址規(guī)劃說明IP地址的合理規(guī)劃是網(wǎng)絡設計中的重要一環(huán)，大型計算機網(wǎng)絡必須對IP地址進行統(tǒng)一規(guī)劃并得到實施。IP地址規(guī)劃的好壞，影響到網(wǎng)絡路由協(xié)議算法的效率，影響到網(wǎng)絡的性能，影響到網(wǎng)絡的擴展，影響到網(wǎng)絡的管理，也必將直接影響到網(wǎng)絡應用的進一步發(fā)展。IP地址的合理分配是保證網(wǎng)絡順利運行和網(wǎng)絡資源有效利用的關鍵。對于IP地址的分配應該盡可能地利用申請到的地址空間，充分考慮到地址空間的合理使用，保證實現(xiàn)最佳的網(wǎng)絡內地址分配及業(yè)務流量的均勻分布。IP地址的分配和網(wǎng)絡組織、路由策略以及網(wǎng)絡管理等

17、都有密切的關系，具體的IP地址分配將通常在工程實施時統(tǒng)一規(guī)劃實施，這里主要描述IP地址分配的原則。主要的原則描述為：l IP地址分配要盡量給每個區(qū)域分配連續(xù)的IP地址空間，有利于路由聚合以及安全控制；l IP地址的規(guī)劃與劃分應該考慮到用戶的發(fā)展，能夠滿足未來發(fā)展的需要；即要滿足本期工程對IP地址的需求，同時要充分考慮未來業(yè)務發(fā)展，預留相應的地址段；l 地址分配是由業(yè)務驅動，按照業(yè)務量的大小分配各地的地址段；l IP地址的分配必須采用VLSM(變長掩碼)技術，保證IP地址的利用效率；l 采用CIDR技術，這樣可以減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡中廣播的路由信息的大

18、??；l 在公有地址有保證的前提下，盡量使用公有地址，主要包括設備loopback地址、設備間互連地址。l 充分合理利用已申請的地址空間，提高地址的利用效率。IP地址規(guī)劃應該是網(wǎng)絡整體規(guī)劃的一部分，即IP地址規(guī)劃要和網(wǎng)絡層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結合起來考慮。IP地址的規(guī)劃應盡可能和網(wǎng)絡層次相對應，應該是自頂向下的一種規(guī)劃。3.5VLAN規(guī)劃3.51劃分VLAN的必要性VLAN是建立在各種交換技術基礎之上的。所謂交換實質上只是物理網(wǎng)絡上的一個控制點，它由軟件進行管理，所以允許用戶利用軟件功能靈活地配置資源，管理網(wǎng)絡。利用交換設備中的虛網(wǎng)功能，不必改變網(wǎng)絡的物理基礎，即可重新配置網(wǎng)絡。采用

19、虛網(wǎng)功能，網(wǎng)絡性能可以獲得較大的改善：1、虛網(wǎng)技術能對工作組業(yè)務進行過濾，有效地分割通信量，因而能更好地利用帶寬，提高網(wǎng)絡總的吞吐量。2、采用虛網(wǎng)技術可以將不同區(qū)域的設備組成一個網(wǎng)段而不用更改布線，因為虛網(wǎng)技術是從邏輯角度而非物理角度來劃分子網(wǎng)的，所以采用虛網(wǎng)技術能減輕系統(tǒng)的擴容壓力，將遷移費用降至最小。3、采用虛網(wǎng)技術能有效隔離網(wǎng)絡設備，增加網(wǎng)絡的安全性和保密性。虛擬網(wǎng)絡的安全策略采用的主要協(xié)議為IEEE802.1Q，此協(xié)議結合有鑒別和加密技術以確保整個網(wǎng)絡內部數(shù)據(jù)的保密性和完整性。4、虛網(wǎng)技術能對屬于同一工作組的用戶提供廣播服務，但與傳統(tǒng)的局域網(wǎng)協(xié)議所不同的是，虛擬局域網(wǎng)能限制廣播的區(qū)域，

20、從而節(jié)省網(wǎng)絡帶寬。5、虛擬局域網(wǎng)可以建立在不同的物理網(wǎng)絡上，用封裝的辦法支法支持不同的網(wǎng)絡協(xié)議絡協(xié)議，如SNMP、NMP、IPX、TCP/IP、IEEE802.33等，兼容性非常好。3.52 VLAN劃分說明：按照體育館的業(yè)務要求，合理地對不同的業(yè)務劃分VLAN,有利于業(yè)務之間的的隔離、縮小廣播域、并對IP地址規(guī)劃和QoS、安全設計等有直接的支持作用。劃分原則：把功能（應用）相近的設備群組（端口）劃分到同一VLAN，將不同性質的設備（端口）劃分到不同VLAN。各VLAN成員之間不能直接訪問，不同VLAN之間的流量必須經(jīng)過路由。在辦公網(wǎng)現(xiàn)有規(guī)劃的基礎上，進行VLAN的設計及劃分，如下：賽事專網(wǎng)：

21、VLAN 10；技術部門：VLAN 11；辦公新聞官員服務：VLAN 12；第四章.網(wǎng)絡安全方案建議隨著計算機網(wǎng)絡的廣泛使用和網(wǎng)絡之間信息傳輸量的急劇增長，一些機構和部門在得益于網(wǎng)絡加快業(yè)務運作的同時，其上網(wǎng)的數(shù)據(jù)也遭到了不同程度的破壞,或被刪除或被復制或被篡改和竊取，數(shù)據(jù)的安全性和自身的利益受到了嚴重的威脅。無論是有意的攻擊，還是無意的誤操作，都將會給系統(tǒng)帶來不可估量的損失。攻擊者可以竊聽網(wǎng)絡上的信息，竊取用戶的口令、數(shù)據(jù)庫的信息；還可以篡改數(shù)據(jù)庫內容，偽造用戶身份，否認自己的簽名。更有甚者，攻擊者可以刪除數(shù)據(jù)庫內容，摧毀網(wǎng)絡節(jié)點，釋放計算機病毒等等。黑客的威脅見諸報道的已經(jīng)屢見不鮮，像不久

22、前的中美黑客大戰(zhàn)就曾轟動一時。內部工作人員的不小心甚至充當間諜，據(jù)統(tǒng)計分析，70%的安全問題來自于內部。內部工作人員能較多地接觸內部信息，工作中的任何有意行為或者不小心都可能給信息安全帶來危險。這些都使信息安全問題越來越復雜。在國家奧林匹克體育中心局域網(wǎng)中運行著各種管理業(yè)務系統(tǒng)，存儲數(shù)據(jù)涉及核心秘密的信息，若網(wǎng)絡系統(tǒng)被非法攻擊將會直接影響地下商業(yè)的各個企業(yè)業(yè)務并造成損失，其影響是難以估量的。綜上所述，在國家奧林匹克體育中心局域網(wǎng)必須有足夠強的安全措施。無論是在局域網(wǎng)還是在Internet出口處，網(wǎng)絡的安全措施都應能全方位地應付各種不同的安全威脅和系統(tǒng)脆弱性，這樣才能確保網(wǎng)絡信息的保密性、完整性

23、和可用性。4.1網(wǎng)絡安全技術概述網(wǎng)絡安全技術包括：防火墻，身份認證，入侵檢測和漏洞掃描，VPN安全通道，安全策略管理和防病毒。1、防火墻技術，一般用于內部網(wǎng)絡和外部網(wǎng)絡交界處的安全，主要包括因特網(wǎng)出口處以及內部單位之間的安全，Internet出口處的安全措施一般采取加防火墻的方法，實施地址轉換，隱藏內部網(wǎng)絡結構，限制外部用戶訪問內部網(wǎng)絡的權限和可到達的區(qū)域等，防火墻目前包括硬件防火墻和軟件防火墻2種，由于硬件防火墻的高性能和更好的安全性，目前被更加廣泛的使用，新型的防火墻具有的透明防火墻功能更多的被用于內部網(wǎng)絡之間進行訪問控制，提高網(wǎng)絡的安全性和可管理性。2、身份認證，包括用戶身份鑒別、用戶訪

24、問權限授權、用戶訪問資源計帳。3、漏洞掃描，檢查安全基礎設施的有效性，包括新系統(tǒng)安裝檢查，發(fā)現(xiàn)惡意入侵行為的措施等。安全掃描工具主要用于主動的發(fā)現(xiàn)內部網(wǎng)絡上所有設備存在的安全漏洞，可以提示用戶進行相應的措施加以解決。 4、安全通道，指數(shù)據(jù)的保密性，涉及數(shù)據(jù)在傳輸過程特別是在公網(wǎng)信道上不被竊取，保證數(shù)據(jù)的目標用戶可以容易解讀加密的數(shù)據(jù)。包括有硬件信道加密以及二層VPN、三層VPN等技術。5、防病毒，當今計算機電腦病毒對用戶網(wǎng)絡、計算機、重要資料造成的損害越來越大，而且傳播途徑多種多樣，必須建立網(wǎng)絡病毒檢測、預防和治理相結合的完善防病毒體系。6、安全策略，主要由用戶根據(jù)網(wǎng)絡內部不同部分的重要性的差

25、別，以及功能差別等因素，定制處不同的安全策略，包括Internet網(wǎng)絡用戶對內部網(wǎng)絡的訪問以及內部用戶的不同的訪問權限等，安全策略的制定將直接影響到網(wǎng)絡的安全性能。4.2防火墻解決方案在國家奧林匹克體育中心局域網(wǎng)系統(tǒng)中，在Internet出口處使用硬件防火墻，更好的完成對內部網(wǎng)絡的安全防護功能。隨著Internet的越來越普及，應用的越廣泛，病毒的危害也越來越大?？偸遣煌５挠行碌牟《境霈F(xiàn)，并造成破壞，人們特別是系統(tǒng)管理員的工作量也越來越大，因此，如何構筑一個更加有效的防病毒體制，成為了一個企業(yè)不得不去面對的問題。防火墻的主要功能都使用包過濾、網(wǎng)絡地址轉換、代理服務三個基本方法。包過濾功能拒絕接

26、受從未授權的主機發(fā)送的TCP/IP 包，并拒絕接受使用未授權服務的連接請求。網(wǎng)絡地址轉換翻譯內部主機的IP 地址而使外部監(jiān)視器無法探測它們。代理服務代表內部主機進行高層應用連接，完全中斷內部主機與外部主機的網(wǎng)絡層連接。大多數(shù)防火墻還執(zhí)行加密的身份認證和加密通道兩個重要的安全服務。加密的身份認證允許公共網(wǎng)絡上的用戶從外部網(wǎng)絡為獲得專用網(wǎng)絡的訪問權證實他們的身份。通過公共網(wǎng)絡（如Internet）為兩個專用網(wǎng)絡之間建立一個安全的加密通道來進行通信。由于內部網(wǎng)絡要和外部網(wǎng)絡發(fā)生業(yè)務聯(lián)系，又要保證網(wǎng)絡的安全性，故在內部網(wǎng)絡和INTERNET出口路由器之間設置華三公司的硬件防火墻H3C SecPath

27、F1000-S來保證網(wǎng)絡內系統(tǒng)的安全。H3C SecPath F1000-S提供完善的安全特性，如包過濾防火墻、狀態(tài)防火墻、驗證、加密等功能和完善的VPN服務。1)、NAT 特性通過防火墻的NAT/PAT則可以用來實現(xiàn)私有網(wǎng)絡地址與公有網(wǎng)絡地址之間的轉換。地址轉換的優(yōu)點在于屏蔽了內部網(wǎng)絡的實際地址，外部網(wǎng)絡基本不可能穿過地址轉換層直接訪問國家奧林匹克體育中心局域網(wǎng)。地址轉換能夠將網(wǎng)內服務器發(fā)出的報文的源地址全部映射成一個外部地址。地址轉換使網(wǎng)內用戶通過路由器訪問Internet的同時保證網(wǎng)絡內部的安全性。2)、包過濾防火墻特性H3C SecPath F1000-S提供完善的包過濾防火墻特性：A

28、、 可以根據(jù)IP包的目的地址、源地址，TCP/UDP的目的端口、源端口，ICMP報文的類型、Code等信息進行包過濾。B、可以針對分片報文指定專門的過濾規(guī)則。C、可以針對分片報文進行精確的四層匹配。D、可以對違反規(guī)則的報文做日志。E、配置ACL安全規(guī)則的時候，可以提供自動排序或者按照配置順序排序兩種規(guī)則排序方式，極大的方便了用戶配置安全規(guī)則。F、可以根據(jù)收到報文的接口進行包過濾，例如可以禁止從Eth0接口進入的報文從Eth1接口轉發(fā)。G、黑名單過濾惡意主機為了更快捷地發(fā)現(xiàn)并屏蔽某些惡意主機的攻擊行為，H3C SecPath F1000-S系列防火墻提供主動防御措施（即動態(tài)、手工兩種方式維護黑名

29、單列表），將某些報文源IP地址記錄在黑名單中，從而實現(xiàn)高速的報文過濾。H、防范假冒IP地址H3C SecPath F1000-S系列防火墻根據(jù)用戶配置，將MAC和IP地址的綁定并形成關聯(lián)關系，從而過濾IP地址和MAC地址不匹配的報文，從而有效避免IP地址假冒攻擊的行為。3)、應用層狀態(tài)檢測傳統(tǒng)的包過濾技術雖然簡單，但缺乏一定的靈活性，對類似于FTP這樣的多通道應用來說，配置包過濾是困難的；FTP應用包含一個預知端口的TCP控制通道和一個動態(tài)協(xié)商的TCP數(shù)據(jù)通道，配置安全策略時無法預知數(shù)據(jù)通道的端口號，因此無法確定數(shù)據(jù)通道的入口。H3C SecPath F1000-S 系列防火墻提供的ASPF（

30、Application Specific Packet Filter，基于應用層規(guī)范的包過濾）特性可以解決這個問題。ASPF是一種高級通信過濾，它檢測基于TCP和UDP應用的報文應用層信息，監(jiān)控每一個連接的應用層協(xié)議狀態(tài)，并動態(tài)地根據(jù)報文的內容創(chuàng)建和刪除臨時的ACL表項。每一個連接狀態(tài)信息都將被ASPF維護并用于動態(tài)地決定數(shù)據(jù)包是否被允許通過防火墻或丟棄，可以保證所有建立的連接都是合法連接，防止地址欺騙、身份偽造等惡意攻擊行為。H3C SecPath F1000-S 的ASPF特性還可以檢測基于TCP SYN的DoS攻擊；由于ASPF維護并記錄每一個TCP連接狀態(tài)，因此根據(jù)TCP SYN狀態(tài)的

31、數(shù)目及速率等方式（是否超過一個預定的閾值）來判定系統(tǒng)是否正在遭受DoS攻擊，從而可以防止DoS攻擊。目前提供如下檢測：標準TCP、UDP報文檢測分片報文檢測FTP協(xié)議數(shù)據(jù)通道和協(xié)議狀態(tài)檢測SMTP協(xié)議狀態(tài)檢測RTSP（Real Time Streaming Protocol）協(xié)議媒體通道和協(xié)議狀態(tài)檢測H.323協(xié)議多通道和協(xié)議狀態(tài)檢測HTTP協(xié)議狀態(tài)檢測Java Blocking保護和ActiveX Blocking保護Java小程序由Internet瀏覽器進行解釋并在客戶端執(zhí)行，因此它把安全風險直接從服務器端轉移到了客戶端。H3C SecPath F1000-S系列防火墻通過在兩個區(qū)域之間對

32、較高安全級別的區(qū)域實施Java Blocking保護，確保網(wǎng)絡傳輸（通過HTTP方式傳送的Java信息）不受有害Java applets的破壞。同樣，H3C SecPath F1000-S系列防火墻也能有效實施ActiveX Blocking保護，從而避免ActiveX控件給Internet瀏覽器端造成安全威脅。端口到應用的映射：由于所有應用層協(xié)議都使用一些系統(tǒng)預定義的（知名）端口號通信，為了防范惡意用戶進行端口掃描，從而攻擊系統(tǒng)，系統(tǒng)管理員可以對不同應用在系統(tǒng)定義的端口號之外指定一組新的端口號，外界主機與這些新端口號發(fā)起連接，從而隱藏內部知名端口，從而提供良好的安全機制。目前支持兩類映射機制

33、：通用端口映射和基于標準ACL的主機端口映射。通用端口映射將用戶自定義端口號和應用層協(xié)議建立映射關系，這樣目的端口號就決定了該報文類別。主機端口映射利用標準ACL規(guī)則，將來自某些特定主機的報文、端口號和應用協(xié)議之間建立映射關系。4)、防范攻擊隨著Internet的廣泛應用，網(wǎng)絡攻擊手段越來越高明，并且越加隱蔽。按照攻擊采用的方式，網(wǎng)絡攻擊大致可以分為：DoS（Denial of Service，拒絕服務）攻擊、掃描窺探攻擊、其它攻擊。H3C SecPath F1000-S系列防火墻提供強大的攻擊防范機制，對設備進行安全保護，防止非法報文對內部網(wǎng)絡造成危害。防范多種DoS攻擊：可以有效地檢測出這

34、些類攻擊報文，避免攻擊行為，記錄日志。包括：SYN Flood攻擊、ICMP Flood、UDP Flood攻擊、Land攻擊、Smurf攻擊、Fraggle攻擊、WinNuke攻擊、ICMP重定向或不可達報文、TCP報文標志位（如ACK、SYN、FIN等）不合法、Ping of Death攻擊、Tear Drop攻擊等等。防范掃描窺探：H3C SecPath F1000-S防火墻通過比較分析，可以靈活高效地檢測出這類掃描窺探報文，預先避免后續(xù)的攻擊行為?？煞乐沟膾呙韪Q探包括：地址掃描、端口掃描、IP源站選路選項、IP路由記錄選項、tracert窺探網(wǎng)絡結構：Tracert利用TTL限定的IC

35、MP或UDP報文，發(fā)現(xiàn)報文到達目的地所經(jīng)過的路徑，從而窺探網(wǎng)絡結構。防范其它攻擊：IP Spoofing 攻擊：在基于IP地址驗證的應用中，入侵者通常偽造報文的源地址從而獲得對系統(tǒng)的訪問權。5)、重要數(shù)據(jù)加密H3C SecPath F1000-S系列防火墻支持IETF制訂的IPSec系列協(xié)議，通過采用自動協(xié)商密鑰的方式，在傳輸或隧道模式下能夠單獨或組合應用AH（Authentication Header ，確認報頭）和ESP（Extended Services Processor，擴展業(yè)務處理器）安全協(xié)議，對整個IP報文或數(shù)據(jù)載荷內容進行不同粒度級別的加密和認證，從而提供驗證數(shù)據(jù)源、校驗數(shù)據(jù)完

36、整性和防止報文重放等（ESP還提供加密）功能，結合ACL訪問控制列表共同確保數(shù)據(jù)信息在Internet上傳送的安全保密性。H3C SecPath F1000-S遵照ISAKMP（Internet Security Association and Key Management Protocol，因特網(wǎng)相關安全和密鑰管理協(xié)議）協(xié)議框架和IKE（Internet Key Exchange，因特網(wǎng)密鑰交換）協(xié)議實現(xiàn)自動密鑰交換功能，簡化了IPSec的使用和管理。4.3深度安全的防范設計由于防火墻的功能主要集中在四層以下的攻擊防范，針對上層入侵、病毒、蠕蟲和拒絕服務攻擊的新特點，防火墻的處理能力相對較弱

37、，為了能更好地完成對外的防范目的，保護內部的安全，必須采用創(chuàng)新的硬件和軟件技術來應對主動入侵防御系統(tǒng)。4.31部署方案主動式入侵防御系統(tǒng)部署方案如下圖所示：在Internet出口處配置H3C SecPath T200-A IPS，網(wǎng)絡的吞吐量為200M，提供高吞吐量和低時延，幫助IT管理員完成對應用、網(wǎng)絡架構以及網(wǎng)絡和應用系統(tǒng)性能保護這三個關鍵任務。H3C 提供業(yè)界最完整的入侵偵測防御功能，遠遠超出傳統(tǒng)IPS 的能力。 H3C定義的三大入侵偵測防御功能包括：應用程序防護、網(wǎng)絡架構防護與性能保護。這三大功能可提供最強大且最完整的保護以防御各種形式的網(wǎng)絡攻擊行為，如：病毒、Spyware、蠕蟲、拒絕服務攻擊與非法的入侵和訪問。4.32應用程序防護H3C IPS提供擴展至用戶端、服務器、及第二至第七層的網(wǎng)絡型攻擊防護，如：病毒、蠕蟲與木馬程序。利用深層檢測應用層數(shù)據(jù)包的技術，H3C IPS可以分辨出合法與有害的封包內容。最新型的攻擊可以透過偽裝成合法應用的技術，輕易的穿透防火墻。而H3C IPS運用重組TCP 流量以檢視應用層數(shù)