大型局域網(wǎng)網(wǎng)絡(luò)安全方案

1、大型網(wǎng)絡(luò)安全解決方案第一章 總則 本方案為某大型局域網(wǎng)網(wǎng)絡(luò)安全解決方案，包括原有網(wǎng)絡(luò)系統(tǒng)分析、安全需求分析、安全目標(biāo)的確立、安全體系結(jié)構(gòu)的設(shè)計(jì)等。本安全解決方案的目標(biāo)是在不影響某大型企業(yè)局域網(wǎng)當(dāng)前業(yè)務(wù)的前提下，實(shí)現(xiàn)對(duì)他們局域網(wǎng)全面的安全管理。 1.將安全策略、硬件及軟件等方法結(jié)合起來(lái)，構(gòu)成一個(gè)統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶(hù)進(jìn)入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。 2.定期進(jìn)行漏洞掃描，審計(jì)跟蹤，及時(shí)發(fā)現(xiàn)問(wèn)題，解決問(wèn)題。 3.通過(guò)入侵檢測(cè)等方式實(shí)現(xiàn)實(shí)時(shí)安全監(jiān)控，提供快速響應(yīng)故障的手段，同時(shí)具備很好的安全取證措施。 4.使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用；使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)，最大限

2、度地減少損失。 5.在工作站、服務(wù)器上安裝相應(yīng)的防病毒軟件，由中央控制臺(tái)統(tǒng)一控制和管理，實(shí)現(xiàn)全網(wǎng)統(tǒng)一防病毒。 第二章 網(wǎng)絡(luò)系統(tǒng)概況 2.1 網(wǎng)絡(luò)概況 這個(gè)企業(yè)的局域網(wǎng)是一個(gè)信息點(diǎn)較為密集的千兆局域網(wǎng)絡(luò)系統(tǒng)，它所聯(lián)接的現(xiàn)有上千個(gè)信息點(diǎn)為在整個(gè)企業(yè)內(nèi)辦公的各部門(mén)提供了一個(gè)快速、方便的信息交流平臺(tái)。不僅如此，通過(guò)專(zhuān)線與Internet的連接，打通了一扇通向外部世界的窗戶(hù)，各個(gè)部門(mén)可以直接與互聯(lián)網(wǎng)用戶(hù)進(jìn)行交流、查詢(xún)資料等。通過(guò)公開(kāi)服務(wù)器，企業(yè)可以直接對(duì)外發(fā)布信息或者發(fā)送電子郵件。高速交換技術(shù)的采用、靈活的網(wǎng)絡(luò)互連方案設(shè)計(jì)為用戶(hù)提供快速、方便、靈活通信平臺(tái)的同時(shí)，也為網(wǎng)絡(luò)的安全帶來(lái)了更大的風(fēng)險(xiǎn)。因此，在

3、原有網(wǎng)絡(luò)上實(shí)施一套完整、可操作的安全解決方案不僅是可行的，而且是必需的。 2.1.1 網(wǎng)絡(luò)概述 這個(gè)企業(yè)的局域網(wǎng)，物理跨度不大，通過(guò)千兆交換機(jī)在主干網(wǎng)絡(luò)上提供1000M的獨(dú)享帶寬，通過(guò)下級(jí)交換機(jī)與各部門(mén)的工作站和服務(wù)器連結(jié)，并為之提供100M的獨(dú)享帶寬。利用與中心交換機(jī)連結(jié)的Cisco 路由器，所有用戶(hù)可直接訪問(wèn)Internet。 2.1.2 網(wǎng)絡(luò)結(jié)構(gòu) 這個(gè)企業(yè)的局域網(wǎng)按訪問(wèn)區(qū)域可以劃分為三個(gè)主要的區(qū)域：Internet區(qū)域、內(nèi)部網(wǎng)絡(luò)、公開(kāi)服務(wù)器區(qū)域。內(nèi)部網(wǎng)絡(luò)又可按照所屬的部門(mén)、職能、安全重要程度分為許多子網(wǎng)，包括：財(cái)務(wù)子網(wǎng)、領(lǐng)導(dǎo)子網(wǎng)、辦公子網(wǎng)、市場(chǎng)部子網(wǎng)、中心服務(wù)器子網(wǎng)等。在安全方案設(shè)計(jì)中，

4、我們基于安全的重要程度和要保護(hù)的對(duì)象，可以在Catalyst 型交換機(jī)上直接劃分四個(gè)虛擬局域網(wǎng)（VLAN），即：中心服務(wù)器子網(wǎng)、財(cái)務(wù)子網(wǎng)、領(lǐng)導(dǎo)子網(wǎng)、其他子網(wǎng)。不同的局域網(wǎng)分屬不同的廣播域，由于財(cái)務(wù)子網(wǎng)、領(lǐng)導(dǎo)子網(wǎng)、中心服務(wù)器子網(wǎng)屬于重要網(wǎng)段，因此在中心交換機(jī)上將這些網(wǎng)段各自劃分為一個(gè)獨(dú)立的廣播域，而將其他的工作站劃分在一個(gè)相同的網(wǎng)段。（圖省略） 2.2 網(wǎng)絡(luò)應(yīng)用 這個(gè)企業(yè)的局域網(wǎng)可以為用戶(hù)提供如下主要應(yīng)用： 1文件共享、辦公自動(dòng)化、WWW服務(wù)、電子郵件服務(wù)； 2文件數(shù)據(jù)的統(tǒng)一存儲(chǔ)； 3針對(duì)特定的應(yīng)用在數(shù)據(jù)庫(kù)服務(wù)器上進(jìn)行二次開(kāi)發(fā)(比如財(cái)務(wù)系統(tǒng))； 4提供與Internet的訪問(wèn)； 5通過(guò)公開(kāi)服務(wù)器

5、對(duì)外發(fā)布企業(yè)信息、發(fā)送電子郵件等； 2.3 網(wǎng)絡(luò)結(jié)構(gòu)的特點(diǎn) 在分析這個(gè)企業(yè)局域網(wǎng)的安全風(fēng)險(xiǎn)時(shí)，應(yīng)考慮到網(wǎng)絡(luò)的如下幾個(gè)特點(diǎn)： 1、網(wǎng)絡(luò)與Internet直接連結(jié)，因此在進(jìn)行安全方案設(shè)計(jì)時(shí)要考慮與Internet連結(jié)的有關(guān)風(fēng)險(xiǎn)，包括可能通過(guò)Internet傳播進(jìn)來(lái)病毒，黑客攻擊，來(lái)自Internet的非授權(quán)訪問(wèn)等。 2、網(wǎng)絡(luò)中存在公開(kāi)服務(wù)器，由于公開(kāi)服務(wù)器對(duì)外必須開(kāi)放部分業(yè)務(wù)，因此在進(jìn)行安全方案設(shè)計(jì)時(shí)應(yīng)該考慮采用安全服務(wù)器網(wǎng)絡(luò)，避免公開(kāi)服務(wù)器的安全風(fēng)險(xiǎn)擴(kuò)散到內(nèi)部。 3、內(nèi)部網(wǎng)絡(luò)中存在許多不同的子網(wǎng)，不同的子網(wǎng)有不同的安全性，因此在進(jìn)行安全方案設(shè)計(jì)時(shí)，應(yīng)考慮將不同功能和安全級(jí)別的網(wǎng)絡(luò)分割開(kāi)，這可以通

6、過(guò)交換機(jī)劃分VLAN來(lái)實(shí)現(xiàn)。 4、網(wǎng)絡(luò)中有二臺(tái)應(yīng)用服務(wù)器，在應(yīng)用程序開(kāi)發(fā)時(shí)就應(yīng)考慮加強(qiáng)用戶(hù)登錄驗(yàn)證，防止非授權(quán)的訪問(wèn)。 總而言之，在進(jìn)行網(wǎng)絡(luò)方案設(shè)計(jì)時(shí)，應(yīng)綜合考慮到這個(gè)企業(yè)局域網(wǎng)的特點(diǎn)，根據(jù)產(chǎn)品的性能、價(jià)格、潛在的安全風(fēng)險(xiǎn)進(jìn)行綜合考慮。 第三章 網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)分析 隨著Internet網(wǎng)絡(luò)急劇擴(kuò)大和上網(wǎng)用戶(hù)迅速增加，風(fēng)險(xiǎn)變得更加嚴(yán)重和復(fù)雜。原來(lái)由單個(gè)計(jì)算機(jī)安全事故引起的損害可能傳播到其他系統(tǒng)，引起大范圍的癱瘓和損失；另外加上缺乏安全控制機(jī)制和對(duì)Internet安全政策的認(rèn)識(shí)不足，這些風(fēng)險(xiǎn)正日益嚴(yán)重。 針對(duì)這個(gè)企業(yè)局域網(wǎng)中存在的安全隱患，在進(jìn)行安全方案設(shè)計(jì)時(shí)，下述安全風(fēng)險(xiǎn)我們必須要認(rèn)真考慮，并

7、且要針對(duì)面臨的風(fēng)險(xiǎn)，采取相應(yīng)的安全措施。下述風(fēng)險(xiǎn)由多種因素引起，與這個(gè)企業(yè)局域網(wǎng)結(jié)構(gòu)和系統(tǒng)的應(yīng)用、局域網(wǎng)內(nèi)網(wǎng)絡(luò)服務(wù)器的可靠性等因素密切相關(guān)。下面列出部分這類(lèi)風(fēng)險(xiǎn)因素： 網(wǎng)絡(luò)安全可以從以下三個(gè)方面來(lái)理解：1 網(wǎng)絡(luò)物理是否安全；2 網(wǎng)絡(luò)平臺(tái)是否安全；3 系統(tǒng)是否安全；4 應(yīng)用是否安全；5 管理是否安全。針對(duì)每一類(lèi)安全風(fēng)險(xiǎn)，結(jié)合這個(gè)企業(yè)局域網(wǎng)的實(shí)際情況，我們將具體的分析網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。 3.1物理安全風(fēng)險(xiǎn)分析 網(wǎng)絡(luò)的物理安全的風(fēng)險(xiǎn)是多種多樣的。 網(wǎng)絡(luò)的物理安全主要是指地震、水災(zāi)、火災(zāi)等環(huán)境事故；電源故障；人為操作失誤或錯(cuò)誤；設(shè)備被盜、被毀；電磁干擾；線路截獲。以及高可用性的硬件、雙機(jī)多冗余的設(shè)計(jì)、機(jī)

8、房環(huán)境及報(bào)警系統(tǒng)、安全意識(shí)等。它是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提，在這個(gè)企業(yè)區(qū)局域網(wǎng)內(nèi)，由于網(wǎng)絡(luò)的物理跨度不大，只要制定健全的安全管理制度，做好備份，并且加強(qiáng)網(wǎng)絡(luò)設(shè)備和機(jī)房的管理，這些風(fēng)險(xiǎn)是可以避免的。 3.2網(wǎng)絡(luò)平臺(tái)的安全風(fēng)險(xiǎn)分析 網(wǎng)絡(luò)結(jié)構(gòu)的安全涉及到網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)路由狀況及網(wǎng)絡(luò)的環(huán)境等。 公開(kāi)服務(wù)器面臨的威脅 這個(gè)企業(yè)局域網(wǎng)內(nèi)公開(kāi)服務(wù)器區(qū)（WWW、EMAIL等服務(wù)器）作為公司的信息發(fā)布平臺(tái)，一旦不能運(yùn)行后者受到攻擊，對(duì)企業(yè)的聲譽(yù)影響巨大。同時(shí)公開(kāi)服務(wù)器本身要為外界服務(wù)，必須開(kāi)放相應(yīng)的服務(wù)；每天，黑客都在試圖闖入Internet節(jié)點(diǎn)，這些節(jié)點(diǎn)如果不保持警惕，可能連黑客怎么闖入的都不知道，甚至?xí)?/p>

9、為黑客入侵其他站點(diǎn)的跳板。因此，規(guī)模比較大網(wǎng)絡(luò)的管理人員對(duì)Internet安全事故做出有效反應(yīng)變得十分重要。我們有必要將公開(kāi)服務(wù)器、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時(shí)還要對(duì)外網(wǎng)的服務(wù)請(qǐng)求加以過(guò)濾，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機(jī)，其他的請(qǐng)求服務(wù)在到達(dá)主機(jī)之前就應(yīng)該遭到拒絕。 整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)和路由狀況 安全的應(yīng)用往往是建立在網(wǎng)絡(luò)系統(tǒng)之上的。網(wǎng)絡(luò)系統(tǒng)的成熟與否直接影響安全系統(tǒng)成功的建設(shè)。在這個(gè)企業(yè)局域網(wǎng)絡(luò)系統(tǒng)中，只使用了一臺(tái)路由器，用作與Internet連結(jié)的邊界路由器，網(wǎng)絡(luò)結(jié)構(gòu)相對(duì)簡(jiǎn)單，具體配置時(shí)可以考慮使用靜態(tài)路由，這就大大減少了因網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)路由造成的安全風(fēng)險(xiǎn)。 3.3

10、系統(tǒng)的安全風(fēng)險(xiǎn)分析 所謂系統(tǒng)的安全顯而易見(jiàn)是指整個(gè)局域網(wǎng)網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)硬件平臺(tái)是否可靠且值得信任。 網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)硬件平臺(tái)的可靠性：對(duì)于中國(guó)來(lái)說(shuō)，恐怕沒(méi)有絕對(duì)安全的操作系統(tǒng)可以選擇，無(wú)論是Microsoft的Windows NT或者其他任何商用UNIX操作系統(tǒng)，其開(kāi)發(fā)廠商必然有其Back-Door。我們可以這樣講：沒(méi)有完全安全的操作系統(tǒng)。但是，我們可以對(duì)現(xiàn)有的操作平臺(tái)進(jìn)行安全配置、對(duì)操作和訪問(wèn)權(quán)限進(jìn)行嚴(yán)格控制，提高系統(tǒng)的安全性。因此，不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺(tái)。而且，必須加強(qiáng)登錄過(guò)程的認(rèn)證（特別是在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證），確保用戶(hù)的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作

11、權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。 3.4應(yīng)用的安全風(fēng)險(xiǎn)分析 應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān)，它涉及很多方面。應(yīng)用系統(tǒng)的安全是動(dòng)態(tài)的、不斷變化的。應(yīng)用的安全性也涉及到信息的安全性，它包括很多方面。 應(yīng)用系統(tǒng)的安全動(dòng)態(tài)的、不斷變化的：應(yīng)用的安全涉及面很廣，以目前Internet上應(yīng)用最為廣泛的E-mail系統(tǒng)來(lái)說(shuō)，其解決方案有幾十種，但其系統(tǒng)內(nèi)部的編碼甚至編譯器導(dǎo)致的BUG是很少有人能夠發(fā)現(xiàn)的，因此一套詳盡的測(cè)試軟件是相當(dāng)必須的。但是應(yīng)用系統(tǒng)是不斷發(fā)展且應(yīng)用類(lèi)型是不斷增加的，其結(jié)果是安全漏洞也是不斷增加且隱藏越來(lái)越深。因此，保證應(yīng)用系統(tǒng)的安全也是一個(gè)隨網(wǎng)絡(luò)發(fā)展不斷完善的過(guò)程。 應(yīng)用的安全性

12、涉及到信息、數(shù)據(jù)的安全性：信息的安全性涉及到：機(jī)密信息泄露、未經(jīng)授權(quán)的訪問(wèn)、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。由于這個(gè)企業(yè)局域網(wǎng)跨度不大，絕大部分重要信息都在內(nèi)部傳遞，因此信息的機(jī)密性和完整性是可以保證的。對(duì)于有些特別重要的信息需要對(duì)內(nèi)部進(jìn)行保密的（比如領(lǐng)導(dǎo)子網(wǎng)、財(cái)務(wù)系統(tǒng)傳遞的重要信息）可以考慮在應(yīng)用級(jí)進(jìn)行加密，針對(duì)具體的應(yīng)用直接在應(yīng)用系統(tǒng)開(kāi)發(fā)時(shí)進(jìn)行加密。 3.5管理的安全風(fēng)險(xiǎn)分析 管理是網(wǎng)絡(luò)安全中最重要的部分 管理是網(wǎng)絡(luò)中安全最最重要的部分。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。責(zé)權(quán)不明，管理混亂，使得一些員工或管理員隨便讓一些非本地員工甚至

13、外來(lái)人員進(jìn)入機(jī)房重地，或者員工有意無(wú)意泄漏他們所知道的一些重要信息，而管理上卻沒(méi)有相應(yīng)制度來(lái)約束。 當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)（如內(nèi)部人員的違規(guī)操作等），無(wú)法進(jìn)行實(shí)時(shí)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警。同時(shí)，當(dāng)事故發(fā)生后，也無(wú)法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對(duì)網(wǎng)絡(luò)的可控性與可審查性。這就要求我們必須對(duì)站點(diǎn)的訪問(wèn)活動(dòng)進(jìn)行多層次的記錄，及時(shí)發(fā)現(xiàn)非法入侵行為。 建立全新網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案，因此，最可行的做法是管理制度和管理解決方案的結(jié)合。 3.6黑客攻擊 黑客們的攻擊行動(dòng)是無(wú)時(shí)無(wú)刻不在進(jìn)行的，而且會(huì)利用系統(tǒng)和管理上的一切可能利用的漏洞。公開(kāi)服

14、務(wù)器存在漏洞的一個(gè)典型例證，是黑客可以輕易地騙過(guò)公開(kāi)服務(wù)器軟件，得到Unix的口令文件并將之送回。黑客侵入U(xiǎn)NIX服務(wù)器后，有可能修改特權(quán)，從普通用戶(hù)變?yōu)楦呒?jí)用戶(hù)，一旦成功，黑客可以直接進(jìn)入口令文件。黑客還能開(kāi)發(fā)欺騙程序，將其裝入U(xiǎn)NIX服務(wù)器中，用以監(jiān)聽(tīng)登錄會(huì)話。當(dāng)它發(fā)現(xiàn)有用戶(hù)登錄時(shí)，便開(kāi)始存儲(chǔ)一個(gè)文件，這樣黑客就擁有了他人的帳戶(hù)和口令。這時(shí)為了防止黑客，需要設(shè)置公開(kāi)服務(wù)器，使得它不離開(kāi)自己的空間而進(jìn)入另外的目錄。另外，還應(yīng)設(shè)置組特權(quán)，不允許任何使用公開(kāi)服務(wù)器的人訪問(wèn)WWW頁(yè)面文件以外的東西。在這個(gè)企業(yè)的局域網(wǎng)內(nèi)我們可以綜合采用防火墻技術(shù)、Web頁(yè)面保護(hù)技術(shù)、入侵檢測(cè)技術(shù)、安全評(píng)估技術(shù)來(lái)保護(hù)網(wǎng)絡(luò)內(nèi)的信息資源，防止黑客攻擊。 3.7通用網(wǎng)關(guān)接口（CGI）漏洞 有一類(lèi)風(fēng)險(xiǎn)涉及通用網(wǎng)關(guān)接口（CGI）腳本。許多頁(yè)面文件和指向其他頁(yè)面或站點(diǎn)的超連接。然而有些站點(diǎn)用到這些超連接所指站點(diǎn)尋找特定信息。搜索引擎是通過(guò)CGI腳本執(zhí)行的方式實(shí)現(xiàn)的。黑客可以修