网络信息系统安全方案.docx
《网络信息系统安全方案.docx》由会员分享,可在线阅读,更多相关《网络信息系统安全方案.docx(24页珍藏版)》请在冰豆网上搜索。
网络信息系统安全方案
网络信息系统的安全设计方案
一、常用的网络信息系统安全技术
面对网络信息安全的诸多问题,我们采纳了多种的防举措。
1、防火墙
当前出现的新技术种类主要有以下几种状态监督技术、安全操作系统、自适应代理技术、及时侵入检测系统等。
混淆使用数据包过滤技术、代理服务技术和其余一些新技术是将来防火墙的趋向。
2、认证
当前,常用的身份辨别技术主假如鉴于RADIUS的鉴识、受权和
管理(AAA)系统。
RADIUS(remoteauthentica2tiondialinuser
service)是网络远程接入设施的客户和包含用户认证与配置信息的
服务器之间信息互换的标准客户或服务器模式。
它包含相关用户的专
门简档,如,用户名、接进口令、接入权限等。
这是保持远程接入网络的集中认证、受权、记费和审察的获得接受的标准。
华为、思科等厂商都有使用RADIUS技术的产品。
3、虚构专用网
跟着商务的发展,办公形式的改变,分支机构之间的通讯有很大
需求,假如使用公用的互联网络来进行通讯,而不是架设专用线路,这
样,就能够明显降低使用成本。
VPN(virtualprivatenetwork)即虚
拟专用网是解决这一问题的方法。
VPN成立一条经过民众网络的逻辑上的专用连结,使得用户在异地接见部网络时,能够和在当地接见相同的资源,同时,不用担忧泄密的问题。
采纳IPSec协议的产品是市场的主流和标准,有相当多的厂商都推出了相应产品。
4、入侵检测和集中网管
入侵检测(intrusiondetection)是对入侵行为的觉察,是一种
增强系统安全的有效方法,能检测出系统中违反系统安全性规则或许
威迫到系统安全的活动。
当前,入侵检测系统的产品好多,仅国的就有
东软、海信、联想等十几种;集中网管主要表此刻对网管的集中上,
网管集中的实现方式主要包含寄存网管系统的物理平面集中和经过
综合集中网管实现对不一样厂商网管系统的集中管控。
大唐、朗讯、华
勤等厂商各自有不一样的集中网管产品上市。
二、网络信息系统的安全设计方案
外网出口
外网出口采纳防火墙。
支持双机热备功能,核心互换机经过
两根电缆连到防火墙上,防火墙经过两台2层互换机分别接入电
信线路和网通线路。
当出口设施开启双机热备后,即便此中一台
防火墙出问题,此外一台防火墙也能正常保证外网的使用,不会
出现网络中止的状况。
核心设施
作为网络的核心,要有很高的稳固性,瘫痪一分钟都会带来严重的结果,针对这个要素,我们将两台全千兆核心互换机采纳双机热备的方式,上联到防火墙,并下联到办公网络。
Catalyst3960系列互换机拥有240G背板带宽;线速三层互换包转发率达到96Mpps;,是标准三层无堵塞互换机为所有的端口供给多层互换能力和线速的路由转发能力。
同时拥有高性能、低成
本等主要特色。
而其强盛的办理能力是建立靠谱、稳固、高速的
IP网络平台的重要保障。
同时拥有高性能、低成本等主要特色。
Catalyst3960支持独有的ARP入侵检测功能,防备包含MAC欺诈、
IP欺诈、MAC/IP欺诈在的非法地点仿冒,以及大流量地点仿冒带
来的DoS/DDoS攻击等。
接入设施
接入互换机作为楼层网络的小型网关设施上连至上司互换
机,需要考虑互换机能供给的网络安全性以及设施的办理能力。
我们所采纳的接入互换机能够支持区分vlan、端口保护、Qos功
能、广播/组播风暴控制等功能。
同时应具备扩展性。
达到可依据需要灵巧地配置网络。
互换机能与所有的以太网、快速以太网设施相连结,保护用户已有的网络投资。
可在工作组
之间或公司部供给高带宽、高性能连结,同时还可以增强服务器群的容量,让用户能更快速存取整个网络资源。
能够缓解因为网络带宽不足及用户快速增添所造成的网络传输瓶颈,并且投资少,管理简单。
2.2接见控制
我们以为采纳VLAN+ACL组网方式,可实现不一样部门、不一样应用系统之间进行隔绝,实现对跨系统、跨部门的接见控制。
其本
身已经能够供给的安全体制,可保证接见控制的安全。
采纳VLAN+ACL实现组网,依据各楼层或各部门,实现VLAN的区分。
所有的部门系统所有二层隔绝,同一个汇聚层设施下的单位
需要进行互通,则在核心互换机上终结VLAN,进行三层互通,如
果是不一样的汇聚层设施下的单位需要互通,则需要经过汇聚互换
机上送到核心互换机上,经过配置的acl和路由进行三层转发,
实现受控互通。
2.3双机热备实现方案
对于公司网的组网方式,我们规划了VRRP双机热备方案:
让我们来看看双机热备的工作
VRRP图1
如上图所示,正常状况下,左边核心互换机优先级高于右边
核心互换机,所以左边核心互换机处于master状态,响应所有对
虚构IP(即图中的192.168.1.1、192.168.2.1)的恳求,右边核心互换机处于backup状态,不会响应任何对于虚构IP的恳求,可是右边互换机及时关注着从VRRP心跳线发来的状态包。
很显然,此刻所有汇聚互换机都会将数据包发送至左边交
机。
左边互换机作为线路正常时的主互换机。
右边互换机只关注VRRP
心跳线发来的状态包。
此时,办公网互换机到左边核心互换机的线路若发生故障,
或左边核心互换机的发生故障。
以下列图:
VRRP图2
假如是汇聚互换机到核心互换机的线路产生故障,此时左边
核心互换机将会发现所连结端口发生故障,左边互换机将会经过
VRRP心跳线通知右边互换机,告之对于的状态变化,
此时,右边核心互换机将会作为主核心互换机,并相应并办理来
自二层汇聚互换机的所有数据包。
假如是左边核心互换机产生故障,右边互换机收不到心跳线
传来的数据,那么它会以为左边互换机已经无常工作,自己切换
成为Master状态,办理来自所有汇聚互换机的数据包。
从左边核心设施发现线路故障到右边核心设施变成主互换
机,或许右边核心设施发现左边设施产生故障没法工作而自己变
为主互换机,时期耗时不到2秒钟,对正在使用网络的用户而言,
完整感觉不到发生了什么故障。
这样就能保证整个网络骨干层
7*24小时的无故障运转了。
假如线路恢复正常或左边核心互换机的故障排查解决完成
能够正常工作,左边互换机相同能够发现其线路所连结的端口恢
复正常,而通知右边核心设施,同时自己变成主互换机,左边核
心互换机在故障办理完成后能正常工作相同会通知右边核心互换
机,自己变成主互换机。
2.4ARP防备
ARP(欺诈类)病毒堪称是此刻最广泛的网络危害,一具用户
感得病毒便可能危害到整个网络。
欺诈类病毒当前能够分为
3种种类:
1、中毒机器不断发送“我是网关”的
ARP信息,试图来欺诈
其余
PC,让他们将自己看作网关,如图中的
F0/1
口下的
PCA可
以经过这种种类的
ARP病毒让
PCB以为网关是
PCA。
Loopback
:
00-E0-0F-27-96-D0
网关
F0/24
F0/1
F0/10
待测设施
PCA
PCB
MAC
IP:
:
00-0F-B0-7F-38-82
IP
MAC
:
:
00-E0-0F-26-22-30
无网关
网关:
欺诈源
被欺诈者
2、中毒机器不断的变换自己的IP,来搅乱网关设施的ARP
表象,试图让网关看到的所有的IP都是自己,这样其余用户的IP
就不可以被网关设施认出了,如上图中,PCA能够不断的变换自己
的IP,这样网关就会被欺诈以为也是PCA,PC
B自然就不可以被网关辨别了。
3、中毒机器将自己的MAC地点改正成互换机的下一跳网络设
备的MAC地点,试图让互换机的MAC表发生杂乱,让互换机从错
误的端口发送出数据包,如上图中,PCA会将自己的MAC地点修
改成网关的MAC地点00-E0-0F-27-96-D0,这样互换机在F0/1和
F0/24上都学习到这个地点,MAC表就乱了--------这种种类其实不
能算上ARP病毒,可是同属于欺诈类病毒。
当前大多数厂家都是经过绑定IP、MAC、端口的方式来保证安全,可是这样的方式实现起来麻烦(要一条一条的把绑定信息写进去),假如增添了新设施或许某台设施改换了端口或许网卡,假如不及时通知网络管理员进行改正,就没有方法上网,费时费劲。
针对这种状况,我们设计了一套较完美的ARP防备方式。
在端口下过滤ARP报文,防备假冒网关。
既然我们知道互换
机的F0/24口上接的是网关,那么F0/1到F0/23口都不行能发送出“我是网关”的ARP信息,所以我们能够在这些端口下过滤此类报文。
互换机命令(需要两层半互换机,S2026/S2126以上设施):
interfaceFastEthernet0/1
//阻挡该端口下发送的ARP报文
在所有的非上联端口上都配置此类命令,互换机可阻挡其下
端口发送“我是网关”类的ARP欺诈报文
在接口下配置Filter功能,防ARP扫描攻击。
假如中毒机器
不断变换自己的IP,那么他在短时间发送的ARP信息是特别多的,
我们能够经过设置ARP计数器的方式来进行管理,在一个时间单位,假如某个设施发送的ARP数目超出了我们设置的阀值,那么我们将过滤这台设施的MAC一段时间,这个时间段这台设施发送任何信息我们的互换机都不进行转发。
互换机命令(需要两层半互换机,既S2026/S2126以上设施):
interfaceFastEthernet0/1
filterarp
//在接口下启用
arp
过滤功能
!
filterperiod5
//以
5秒钟为一个统计周期
filterblock-time60
//将攻击主机隔绝
60秒
filterthreshold100
//一个统计周期超出
100个
arp
报文,
就进行隔绝
filterenable
//在全局下启用过滤功能
一旦互换机
F0/1
端口下有
PC在
5秒发送的
ARP报文超出
100
个,互换机将在60秒严禁此PC的MAC经过。
免费发放ARPRESPONSE报文,纠正主机错误的网关。
对于网
关类的设施一般是不主动发送ARP报文的,往常它都是被动响应
下边的ARP恳求,所以我们也能够让网关主动发送ARPRESPONSE
报文,主动改正下边PC的错误。
互换机命令(需要三层互换机或许路由器)
arpfree-response//启用免费发放arp
response报文的功能
arpfree-responseinterval30//发放arpresponse报文的
间隔
interfaceVLAN1
noipdirected-broadcast
!
interfaceLoopback0
noipdirected-broadcast
这样每30秒网关能够主动改正下边PC的错误。
将网关的MAC地点、端口、以及VLAN进行绑定,防备MAC欺
骗。
互换机命令(两层设施即可)
macaddress-tablestatic00e0.0f96.27d0vlan1interfacef0/24
//保证网关的VLAN1的MAC地点只好出此刻F0/24上
将互换机下联口所有开启端口保护,保证用户只好和上联口
互通,和其余用户之间没法互通。
互换机命令(两层设施即可)
interfaceFastEthernet0/1
switchportprotect
依据上边提到的4种防备ARP欺诈的体制原理,我们能够进
行组合,设置多种全网阻断ARP欺诈的拓扑:
第一经过vlan区分开绝广播域,让arp只会在同1个vlan
流传,别的我们能够在接入层采纳两层设施S2126互换机,开启
端口保护,汇聚层采纳三层互换机S3760,开启Filter防备体制。
此类方法能够保证:
1、用户之间发送“我是网关”的ARP欺诈(种类1欺诈)信
息因为接入互换机的端口保护体制,没法流传到其余用户的端口
上。
2、用户发送种类
2欺诈的信息因为汇聚互换机的
Filter
防
护,在汇聚层上就被阻拦掉,没法欺诈网关设施
此类方法的弊端就是同个互换机且在同个vlan下的用户之间
没法相互接见。
所以我们能够只对不需要产生直接相互通讯的两
台用户之间开启端口保护,其余不开,或许是采纳联合软件的办
法,电脑上安装arp防火墙,这样就能够不开启端口保护了。
结
合软件arp防火墙和三层互换机的filter功能,也是一种特别实
用有效防备arp攻击的方法。
2.5安全制度
任何的举措都不行能解决所有的网络安全问题,也就是“网
络没有绝对的安全,没有绝对的网络安全”。
我们在采纳安全控制
举措后,在增强了安全性、靠谱性的同时,还需要经过制度和行
政手段来进行干涉,比方发文强迫一致安装网络防病毒软件,因
为假如在一个网络里假如有机器没装防病毒产品或许装的是单机版产品,必然会给整个单位网络带来不小影响,在出了问题的时
候没有一个一致的解决方案,反而会让他们成为“漏网游鱼”。
没有那个单机版用户能保证自己每日都及时做病毒码升级,并且现
在装的单机版不过就是瑞星,金山,360之类的产品,这些产品相对于卡巴斯基这种一致部署的防病毒产品来说仍是有必定差距
的,像近来的好多单位网络瘫痪都是因为网络里有些机器装了这种软件致使的,而装有一致部署的防病毒的基本上没有问题。
还有一种状况广泛,就是网络储存设施的使用,常常会实用户会因
为U盘携带病毒而使机器出现问题,假如有一个好的管理制度来做些拘束,按期做些对于网络安全方面的培训,使每一个人都知道网络安全问题的重要性也很必需。
三、网络信息系统的安全估算方案
产品名称
型号
单价
单位
数目
价钱
核心互换机
H3CS9512-N
110000
2
220000
路由器
锐捷网络RSR-04E-BASE-AC-1GE
480000
2
960000
防火墙
思科PIX-535-FO-BUN
68000
2
136000
服务器
戴尔PowerEdgeR710
21800
3
65400
汇聚层互换机
H3CS5100-50C-EI-AC
26000
10
260000
二层互换机
TP-LinkTL-SF1024
410
501
205410
网络机柜
奥科OKE(OKE18812B)
130
380
49400
水晶头
AMP
30000
6000
网线
AMP
650
1065
692250
信息模块
20
6500
130000
配线架
安普406330-1超5类非障蔽24口配线架2
620
501
310620
光纤
单模
25
1000
25000
光纤
多模
16
500
8000
D-LinkRJ45压线工具
D-LinkRJ45压线工具(DTOOLCRIMPG1)
200
100
20000
D-Link1对110打线工具
D-Link1对110打线工具(DTOOLPUNCDN1P)
200
400
80000
光纤收发器
天为电信光纤收发器
100
150
15000
跳线
VBELST-ST(多模)
100
40
4000
PVC管、转角、软管、胶布、线槽、打
100000
线嵌、螺钉等、成品跳线、机柜等其余
溶纤费
5000
总计
3013560
总造价=资料+A+B+C+D;
A(系统设计费)=资料总价*3%;
B(施工督导费)=资料总价*5%;
C(安装调试费)=资料总价*10%;
D(辅材花费)=资料总价*5%。
E(税收费)=资料总价*3.69%
双绞线施工估算消耗<5%。
共:
3013560+3013560*3%+3013560*5%+3013560*10%+3013560
*5%+3013560*3.69%
=3514768元
共:
3514768元