还剩12页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
网络平安解决方案设计 网络平安中的入侵检测系统是近年来出现的新型网络平安技术,也是重要的网络平安工具下面是有网络平安解决方案设计,欢送参阅
一、客户背景 集团内联网主要以总部局域网为核心,采用广域网方式与外地子公司联网集团广域网采用MPLS-技术,用来为各个分公司提供骨干网络平台和接入,各个分公司可以在集团的骨干信息网络系统上建设各自的子系统,确保各类系统间的相互独立
二、平安威胁 某公司属于大型上市公司,在北京,上海、广州等地均有分公司公司内部采用无纸化办公,OA系统成熟每个局域网连接着该所有部门,所有的数据都从局域网中传递同时,各分公司采用技术连接公司总部该单位为了方便,将相当一局部业务放在了对外开放的网站上,网站也成为了既是对外形象窗口又是内部办公窗口 由于网络设计部署上的缺陷,该单位局域网在建成后就不断出现网络拥堵、网速特别慢的情况,同时有些个别机器上的杀毒软件频频出现病毒报警,网络经常瘫痪,每次时间都持续几十分钟,网管简直成了救火队员,忙着去除病毒,重装系统对外WEB网站同样也遭到黑客攻击,网页遭到非法篡改,有些网页甚至成了传播不良信息的平台,不仅影响到网站的正常运行,而且还对政府形象也造成不良影响平安威胁根据拓扑图分析从网络平安威胁看,集团网络的威胁主要包括外部的攻击和入侵、内部的攻击或误用、企业内的病毒传播,以及平安管理漏洞等信息平安现状经过分析发现该公司信息平安根本上是空白,主要有以下问题 公司没有制定信息平安政策,信息管理不健全公司在建内网时与inter的连接没有防火墙内部网络同一城市的各分公司之间没有任何平安保障为了让网络正常运行 根据我国《信息平安等级保护管理方法》的信息平安要求,近期公司决定对该网络加强平安防护,解决目前网络出现的平安问题
三、平安需求 从平安性和实用性角度考虑,平安需求主要包括以下几个方面
1、平安管理咨询 平安建设应该遵照7分管理3分技术的原那么,通过本次平安工程,可以发现集团现有平安问题,并且协助建立起完善的平安管理和平安组织体系
2、集团骨干网络边界平安 主要考虑骨干网络中Inter出口处的平安,以及移动用户、远程拨号访问用户的平安
3、集团骨干网络效劳器平安 主要考虑骨干网络中网关效劳器和集团内部的效劳器,包括OA、财务、人事、内部WEB等内部信息系统效劳器区和平安管理效劳器区的平安
4、集团内联网统一的病毒防护 主要考虑集团内联网中,包括总公司在内的所有公司的病毒防护
5、统一的增强口令认证系统 由于系统管理员需要管理大量的主机和网络设备,如何确保口令平安称为一个重要的问题
6、统一的平安管理平台 通过在集团内联网部署统一的平安管理平台,实现集团总部对全网平安状况的集中监测、平安策略的统一配置管理、统计分析各类平安事件、以及处理各种平安突发事件
7、专业平安效劳 过专业平安效劳建立全面的平安策略、管理组织体系及相关管理制度,全面评估企业网络中的信息资产及其面临的平安风险情况,在必要的情况下,进行主机加固和网络加固通过专业紧急响应效劳保证企业在面临紧急事件情况下的处理能力,降低平安风险
四、方案设计 骨干网边界平安 集团骨干网共有一个Inter出口,位置在总部,在Inter出口处部署LinkTrustCyberwall-200F/006防火墙一台 在Inter出口处部署一台LinkTrustNetworkDefender领信网络入侵检测系统,通过交换机端口镜像的方式,将进出Inter的流量镜像到入侵检测的监听端口,LinkTrust NetworkDefender可以实时监控网络中的异常流量,防止恶意入侵 在各个分公司中添加一个DMZ区,保证各公司的信息平安,内部网络同一城市的各分公司之间没有任何平安保障骨干网效劳器平安 集团骨干网效劳器主要指网络中的网关效劳器和集团内部的应用效劳器包括OA、财务、人事、内部WEB等,以及专为此次工程配置的、用于平安产品管理的效劳器的平安主要考虑为在效劳器区配置千兆防火墙,实现效劳器区与办公区的隔离,并将内部信息系统效劳器区和平安管理效劳器区在防火墙上实现逻辑隔离还考虑到在效劳器区配置主机入侵检测系统,在网络中配置百兆网络入侵检测系统,实现主机及网络层面的主动防护 漏洞扫描 了解自身平安状况,目前面临的平安威胁,存在的平安隐患,以及定期的了解存在那些平安漏洞,新出现的平安问题等,都要求信息系统自身和用户作好平安评估平安评估主要分成网络平安评估、主机平安评估和数据库平安评估三个层面 内联网病毒防护 病毒防范是网络平安的一个根本的、重要局部通过对病毒传播、感染的各种方式和途径进行分析,结合集团网络的特点,在网络平安的病毒防护方面应该采用“多级防范,集中管理,以防为主、防治结合”的动态防毒策略 病毒防护体系主要由桌面网络防毒、效劳器防毒和邮件防毒三个方面 增强的身份认证系统 由于需要管理大量的主机和网络设备,如何确保口令平安也是一个非常重要的问题减小口令危险的最为有效的方法是采用双因素认证方式双因素认证机制不仅仅需要用户提供一个类似于口令或者PIN的单一识别要素,而且需要第二个要素,也即用户拥有的,通常是认证令牌,这种双因素认证方式提供了比可重用的口令可靠得多的用户认证级别用户除了知道他的PIN号码外,还必须拥有一个认证令牌而且口令一般是一次性的,这样每次的口令是动态变化的,大大提高了平安性 统一平安平台的建立 通过建立统一的平安管理平台平安运行管理中心—SOC,建立起集团的平安风险监控体系,利于从全局的角度发现网络中存在的平安问题,并及时归并相关人员处理这里的风险监控体系包括平安信息库、平安事件收集管理系统、平安工单系统等,同时开发有效的多种手段实时告警系统,定制高效的平安报表系统
1.1平安系统建设目标 本技术方案旨在为某市政府网络提供全面的网络系统平安解决方案,包括平安管理制度策略的制定、平安策略的实施体系结构的设计、平安产品的选择和部署实施,以及长期的合作和技术支持效劳系统建设目标是在不影响当前业务的前提下,实现对网络的全面平安管理 1将平安策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的平安风险; 2通过部署不同类型的平安产品,实现对不同层次、不同类别网络平安问题的防护; 3使网络管理者能够很快重新组织被破坏了的文件或应用使系统重新恢复到破坏前的状态最大限度地减少损失 具体来说,本平安方案能够实现全面网络访问控制,并能够对重要控制点进行细粒度的访问控制; 其次,对于通过对网络的流量进行实时监控,对重要效劳器的运行状况进行全面监控
1.
1.1防火墙系统设计方案
1.
1.
1.1防火墙对效劳器的平安保护 网络中应用的效劳器,信息量大、处理能力强,往往是攻击的主要对象另外,效劳器提供的各种效劳本身有可能成为黑客攻击的突破口,因此,在实施方案时要对效劳器的平安进行一系列平安保护 如果效劳器没有加任何平安防护措施而直接放在公网上提供对外效劳,就会面临着黑客各种方式的攻击,平安级别很低因此当安装防火墙后,所有访问效劳器的请求都要经过防火墙平安规那么的详细检测只有访问效劳器的请求符合防火墙平安规那么后,才能通过防火墙到达内部效劳器防火墙本身抵御了绝大局部对效劳器的攻击,外界只能接触到防火墙上的特定效劳,从而防止了绝大局部外界攻击
1.
1.
1.2防火墙对内部非法用户的防范 网络内部的环境比拟复杂,而且各子网的分布地域广阔,网络用户、设备接入的可控性比拟差,因此,内部网络用户的可靠性并不能得到完全的保证特别是对于存放敏感数据的主机的攻击往往发自内部用户,如何对内部用户进行访问控制和平安防范就显得特别重要为了保障内部网络运行的可靠性和平安性,我们必须要对它进行详尽的分析,尽可能防护到网络的每一节点 对于一般的网络应用,内部用户可以直接接触到网络内部几乎所有的效劳,网络效劳器对于内部用户缺乏根本的平安防范,特别是在内部网络上,大局部的主机没有进行根本的安 全防范处理,整个系统的平安性容易受到内部用户攻击的威胁,平安等级不高根据国际上流行的处理方法,我们把内部用户跨网段的访问分为两大类其一,是内部网络用户之间的访问,即单机到单机访问这一层次上的应用主要有用户共享文件的传输NETBIOS应用;其次,是内部网络用户对内部效劳器的访问,这一类应用主要发生在内部用户的业务处理时一般内部用户对于网络平安防范的意识不高,如果内部人员发起攻击,内部网络主机将无法防止地遭到损害,特别是针对于NETBIOS文件共享协议,已经有很多的漏洞在网上公开报道,如果网络主机保护不完善,就可能被内部用户利用黑客工具造成严重破坏
1.
1.2入侵检测系统 利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供平安的网络保护,降低了网络平安风险,但是入侵者可寻找防火墙背后可能敞开的后门,入侵者也可能就在防火墙内 网络入侵检测系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统平安策略做出反响,包括实时报警、事件登录,或执行用户自定义的平安策略等网络监控系统可以部署在网络中有平安风险的地方,如局域网出入口、重点保护主机、远程接入效劳器、内部网重点工作站组等在重点保护区域,可以单独各部署一套网络监控系统管理器+探测引擎,也可以在每个需要保护的地方单独部署一个探测引擎,在全网使用一个管理器,这种方式便于进行集中管理 在内部应用网络中的重要网段,使用网络探测引擎,监视并记录该网段上的所有操作,在一定程度上防止非法操作和恶意攻击网络中的重要效劳器和主机同时,网络监视器还可以形象地重现操作的过程,可帮助平安管理员发现网络平安的隐患 需要说明的是,IDS是对防火墙的非常有必要的附加而不仅仅是简单的补充 按照现阶段的网络及系统环境划分不同的网络平安风险区域,xxx市政府本期网络平安系统工程的需求为 区域部署平安产品 DMZ区在效劳器上安装趋势防毒墙效劳器版防病毒软件;安装一台InterScan VirusWall防病毒网关;安装百兆眼镜蛇入侵检测系统探测器和NetHawk网络平安监控与审计系统 平安监控与备份中心安装FW3010-5000千兆防火墙,安装RJ-iTOP榕基网络平安漏洞扫描器;安装眼镜蛇入侵检测系统控制台和百兆探测器;安装趋势防毒墙效劳器版管理效劳器,趋势防毒墙网络版管理效劳器,对各防病毒软件进行集中管理 网络信息系统的平安技术体系通常是在平安策略指导下合理配置和部署网络隔离与访问控制、入侵检测与响应、漏洞扫描、防病毒、数据加密、身份认证、平安监控与审计等技术设备,并且在各个设备或系统之间,能够实现系统功能互补和协调动作 网络系统平安具备的功能及配置原那么
1.网络隔离与访问控制通过对特定网段、效劳进行物理和逻辑隔离,并建立访问控制机制,将绝大多数攻击阻止在网络和效劳的边界以外
2.漏洞发现与堵塞通过对网络和运行系统平安漏洞的周期检查,发现可能被攻击所利用的漏洞,并利用补丁或从管理上堵塞漏洞
3.入侵检测与响应通过对特定网络段、效劳建立的入侵检测与响应体系,实时检测出攻击倾向和行为,并采取相应的行动如断开网络连接和效劳、记录攻击过程、加强审计等
4.加密保护主动的加密通信,可使攻击者不能了解、修改敏感信息如方式或数据加密通信方式;对保密或敏感数据进行加密存储,可防止窃取或丧失
5.备份和恢复良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统效劳
6.监控与审计在办公网络和主要业务网络内配置集中管理、分布式控制的监控与审计系统一方面以计算机终端为单元强化桌面计算的内外平安控制与日志记录;另一方面通过集中管理方式对内部所有计算机终端的平安态势予以掌控 边界平安解决方案 在利用公共网络与外部进行连接的“内”外网络边界处使用防火墙,为“内部”网络段与“外部”网络段划定平安边界在网络内部进行各种连接的地方使用带防火墙功能的设备,在进行“内”外网络段的隔离的同时建立网络段之间的平安通道
1.防火墙应具备如下功能 使用NAT把DMZ区的效劳器和内部端口影射到Firewall的对外端口; 允许Inter公网用户访问到DMZ区的应用效劳、ftp、smtp、dns等; 允许DMZ区内的工作站与应用效劳器访问Inter公网; 允许内部用户访问DMZ的应用效劳、ftp、smtp、dns、pop
3、s; 允许内部网用户通过代理访问Inter公网; 禁止Inter公网用户进入内部网络和非法访问DMZ区应用效劳器; 禁止DMZ区的公开效劳器访问内部网络; 防止Inter的DOS一类的攻击; 能接受入侵检测的联动要求,可实现对实时入侵的策略响应; 对所保护的主机的常用应用通信协议、ftp、tel、smtp能够替换效劳器的Banner信息,防止恶意用户信息刺探; 提供日志报表的自动生成功能,便于事件的分析; 提供实时的网络状态监控功能,能够实时的查看网络通信行为的连接状态当前有那些连接、正在连接的IP、正在关闭的连接等信息,通信数据流量提供连接查询和动态图表显示 防火墙自身必须是有防黑客攻击的保护能力
2.带防火墙功能的设备是在防火墙根本功能隔离和访问控制根底上,通过功能扩展,同时具有在IP层构建端到端的具有加密选项功能的ESP隧道能力,这类设备也有S的,主要用于通过外部网络公共通信根底网络将两个或两个以上“内部”局域网平安地连接起来,一般要求S应具有一下功能 防火墙根本功能,主要包括IP包过虑、应用代理、提供DMZ端口和NAT功能等有些功能描述与上相同; 具有对连接两端的实体鉴别认证能力; 支持移动用户远程的平安接入; 支持IPESP隧道内传输数据的完整性和机密性保护; 提供系统内密钥管理功能; S设备自身具有防黑客攻击以及网上设备认证的能力 入侵检测与响应方案 在网络边界配置入侵检测设备,不仅是对防火墙功能的必要补充,而且可与防火墙一起构建网络边界的防御体系通过入侵检测设备对网络行为和流量的特征分析,可以检测出侵害“内部”网络或对外泄漏的网络行为和流量,与防火墙形成某种协调关系的互动,从而在“内部”网与外部网的边界处形成保护体系 入侵检测系统的根本功能如下 通过检测引擎对各种应用协议,操作系统,网络交换的数据进行分析,检测出网络入侵事件和可疑操作行为 对自身的数据库进行自动维护,无需人工干预,并且不对网络的正常运行造成任何干扰 采取多种报警方式实时报警、音响报警,信息记录到数据库,提供电子邮件报警、SysLog报警、SNMPTrap报警、Windows日志报警、Windows消息报警信息,并按照预设策略,根据提供的报警信息切断攻击连接 与防火墙建立协调联动,运行自定义的多种响应方式,及时阻隔或消除异常行为 全面查看网络中发生的所有应用和连接,完整的显示当前网络连接状态 可对网络中的攻击事件,访问记录进行适时查询,并可根据查询结果输出图文报表,能让管理人员方便的提取信息 入侵检测系统犹如摄像头、监视器,在可疑行为发生前有预警,在攻击行为发生时有报警,在攻击事件发生后能记录,做到事前、事中、事后有据可查 漏洞扫描方案 除利用入侵检测设备检测对网络的入侵和异常流量外,还需要针对主机系统的漏洞采取检查和发现措施目前常用的方法是配置漏洞扫描设备主机漏洞扫描可以主动发现主机系统中存在的系统缺陷和可能的平安漏洞,并提醒系统管理员对该缺陷和漏洞进行修补或堵塞 对于漏洞扫描的结果,一般可以按扫描提示信息和建议,属外购标准产品问题的,应及时升级换代或安装补丁程序;属委托开发的产品问题的,应与开发商协议修改程序或安装补丁程序;属于系统配置出现的问题,应建议系统管理员修改配置参数,或视情况关闭或卸载引发平安漏洞的程序模块或功能模块 漏洞扫描功能是协助平安管理、掌握网络平安态势的必要辅助,对使用这一工具的平安管理员或系统管理员有较高的技术素质要求 考虑到漏洞扫描能检测出防火墙策略配置中的问题,能与入侵检测形成很好的互补关系漏洞扫描与评估系统使系统管理员在事前掌握主动地位,在攻击事件发生前找出并关闭平安漏洞;而入侵检测系统那么对系统进行监测以期在系统被破坏之前阻止攻击得逞因此,漏洞扫描与入侵检测在平安保护方面不但有共同的平安目标,而且关系密切本方案建议采购将入侵检测、管理控制中心与漏洞扫描一体化集成的产品,不但可以简化管理,而且便于漏洞扫描、入侵检测和防火墙之间的协调动作 网络防病毒方案 网络防病毒产品较为成熟,且有几种主流产品本方案建议,网络防病毒系统应具备以下功能 网络单机防护—提供个人或家庭用户病毒防护; 文件及存储效劳器防护—提供效劳器病毒防护; 邮件效劳器防护—提供LotusNotesMicrosoftExchange等病毒防护; 网关防护—在SMTP和FTPservergateway阻挡计算机病毒; 集中管理—为企业网络的防毒策略,提供了强大的集中控管能力 关于平安设备之间的功能互补与协调运行 各种网络平安设备防火墙、入侵检测、漏洞扫描、防病毒产品等,都有自己独特的平安探测与平安保护能力,但又有基于自身主要功能的扩展能力和与其它平安功能的对接能力或延续能力因此,在平安设备选型和配置时,尽可能考虑到相关平安设备的功能互补与协调运行,对于提高网络平台的整体平安性具有重要意义 防火墙是目前广泛用于隔离网络段边界并实施进/出信息流控制的群众型网络平安产品之一作为不同网络段之间的逻辑隔离设备,防火墙将内部可信区域与外部危险区域有效隔离,将网络的平安策略制定和信息流动集中管理控制,为网络边界提供保护,是抵御入侵控制内外非法连接的 但防火墙具有局限性这种局限性并不说明防火墙功能有失缺,而且由于本身只应该承当这样的职能因为防火墙是配置在网络连接边界的通道处的,这就决定了它的根本职能只应提供静态防御,其规那么都必须事先设置,对于实时的攻击或异常的行为不能做出实时反响这些控制规那么只能是粗颗粒的,对一些协议细节无法做到完全解析而且,防火墙无法自动调整策略设置以阻断正在进行的攻击,也无法防范基于协议的攻击 为了弥补防火墙在实际应用中存在的局限,防火墙厂商主动提出了协调互动思想即联动问题防火墙联动即将其它平安设备组件例如IDS探测或处理的结果通过接口引入系统内调整防火墙的平安策略,增强防火墙的访问控制能力和范围,提高整体平安水平模板内容仅供参考 。