网络安全设计.docx
《网络安全设计.docx》由会员分享,可在线阅读,更多相关《网络安全设计.docx(14页珍藏版)》请在冰豆网上搜索。
网络安全设计
网络安全设计
班级:
________________________
姓名:
________________________
指导老师:
__________________________
完成日期:
________________
项目背景3
设计目的4
安全风险分析4
网络安全技术方案6
部署防火墙7
部署入侵检测系统11
部署网闸13
VPN15
计算机系统安全16
心得体会与反思19
项目背景
1、设计背景
X研究所是我国重要的军工研究所,拥有强大的军事装备研发实力,在研发过程中充分应用信息技术,显著提高了研发工作的效率。
该所除总部建设了覆盖全所的计算机网络外,北京办事处也建有计算机网络以处理日常事务。
总部和北京办事处间通过Internet连接。
少量员工到外地出差时也可能需要通过Internet访问研究所内部网络。
总部包括一室、二室、计算机中心等许多业务和职能部门。
研究所网络的拓扑结构如下图:
在研究所内网中,运行着为全所提供服务的数据库服务器、电子邮件服务器、Web服务器等。
2、安全需求
(1)防止来自Internet的攻击和内部网络间的攻击;
(2)实现Internet上通信的保密和完整性,并实现方便的地址管理;
(3)数据库服务器存储了研究所的所有数据需要特殊保护;
(4)主机操作系统主要是Linux和Windows,要采取相应的安全措施;
(6)解决移动办公条件下文件安全问题。
设计目的
网络安全课程设计是信息安全专业重要的实践性教学环节,目的是使学生通过综合应用各种安全技术和产品来解决实际网络安全问题,以深入理解和掌握课堂教学内容,培养解决实际问题的能力。
安全风险分析
该所的办公主要有三类,即在公司总部办公、在北京办事处办公以及出差员工在外的移动办公。
公司总部、北京办事处以及出差员工间需要通过网络通信来进行数据传输。
公司总部设置有web服务器、email服务器和数据库服务器,这些服务器存储着公司的大量机密信息跟关键数据,它们的安全性决定了公司的是否能安全正常的运营。
影响公司系统安全的攻击主要分为两种,即内部攻击和外部攻击。
对该公司的网络拓扑结构及公司提供的各种服务来进行分析,可以看出该公司的网络系统存在以下风险:
内部攻击
即来自内部人员的攻击,公司内部人员无意或者有意的操作引起的对网络系统的攻击,通常有数据窃取、越权访问等。
外部攻击
外部攻击方式多种多样且攻击方式层出不穷,有ip欺诈、口令破解、非法访问、垃圾邮件轰炸、ddos攻击、数据窃取、网络监听、病毒、木马、蠕虫等攻击方式。
这些攻击方式将对系统的安全性、可靠性、可用性、机密性、完整性产生巨大的威胁。
通过对该公司的网络拓扑结构的分析出的该公司存在的来自内部或外部的安全风险,结合各种安全技术的原理特点和具体安全产品功能,对其归类总结出该公司的系统安全类别如下:
1.网络安全:
通过入侵检测、防火墙、vpn、网闸等,保证网络通信的安全。
2.系统安全:
通过各种技术保证操作系统级的安全。
3.系统应用的安全:
通过各种技术保证数据库、电子邮件、web等服务的安全。
4.数据安全:
通过数据加密、身份认证、访问控制等措施,保证文件和数据库数据的安全。
根据该公司的网络拓扑结构和其存在的安全风险,该公司的网络架设需求如下:
1.防止来自Internet的攻击和内部网络间的攻击
2.实现Internet上通信的保密和完整性,并实现方便的地址管理
3.数据库服务器存储了研究所的所有数据需要特殊保护
4.主机操作系统主要是Linux和Windows,要采取相应的安全措施
5.解决移动办公条件下文件安全问题
网络安全技术方案
网络安全:
通过入侵检测、防火墙、vpn、网闸等,保证网络通信的安全。
该公司网络系统与其他网络系统一样,存在着遭受各种网络攻击的危险。
为实现公司的网络安全,因根据各种安全产品和安全技术的特点,结合该公司特有的网络拓扑结构来架设具有自己特色的企业系统。
部署防火墙
防火墙定义
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。
该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。
防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。
换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
防火墙主要部署在内部网和外部网之间,以有效限制外网对内网的访问。
此外,根据企业的具体情况,也可以在公司内部不同部门。
不同子网之间以及个人主机上部署防火墙。
防火墙分为软件防火墙和硬件防火墙,根据其针对的安全需求不同,其功能等各方面也有较大的差异,公司应根据本企业的具体安全需求和经济效益等方面的综合考虑选取防火墙产品,公司网络部署的多个防火墙也根据其部署位置不同而选择不同的产品。
CiscoSecurePIX525硬件防火墙
CiscoSecurePIX525防火墙是世界领先的CiscoSecurePIX防火墙系列的组成部分,它所提供的完全防火墙保护以及IP安全(IPsec)虚拟专网(VPN)能力使特别适合于保护企业总部的边界。
采用NAT技术的CiscoSecurePIX525-R-BUN具有节省IP地址、扩展网络地址空间等好处。
对内部网络的IP地址进行转换,而对外部网络则隐藏起内部网络的结构,使对局域网内部发起攻击更加困难。
支持各种网络接口,其中包括单端口或4端口10/100快速以太网、千兆以太网、4/16令牌环和双连接多模FDDI卡。
另外,PIX525还提供多种电源选件,用户可以选择交流或48V直流电源。
每一种选件都配有为第二个"故障切换"PIX系统准备的成对儿产品,从而实现最高的冗余和高可用性。
CiscoSecurePIX防火墙能够提供空前的安全保护能力,它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法(ASA)。
静态安全性虽然比较简单,但与包过滤相比,功能却更加强劲;另外,与应用层代理防火墙相比,其性能更高,扩展性更强。
ASA可以跟踪源和目的地址、传输控制协议(TCP)序列号、端口号和每个数据包的附加TCP标志。
只有存在已确定连接关系的正确的连接时,访问才被允许通过CiscoSecurePIX防火墙。
这样做,内部和外部的授权用户就可以透明地访问企业资源,而同时保护了内部网络不会受到非授权访问的侵袭。
另外,实时嵌入式系统还能进一步提高CiscoSecurePIX防火墙系列的安全性。
虽然UNIX服务器是广泛采用公开源代码的理想开放开发平台,但通用的操作系统并不能提供最佳的性能和安全性。
而专用的CiscoSecurePIX防火墙是为了实现安全、高性能的保护而专门设计。
华为赛门铁克USG2130防火墙
华为赛门铁克USG2130为VPN是一款统一集成企业防火墙,该款防火墙只有两个网络端口,一个是配置端口(CON),另一个是备份端口(AUX),提供DoS/DdoS两种入侵检测模式,支持VPN。
华为赛门铁克USG2130提供安全的路由解析功能,提供安全的交换机系统,拥有百兆的性能,系统模块化架构。
华为赛门铁克SecowayUSG2130支持外部攻击防范、IPS(入侵防御)、抗DDoS攻击、P2P限流、URL过滤等功能,能够有效的保证网络的安全;支持多种VPN业务,如L2TPVPN、GREVPN、IPSecVPN、MPLSVPN等,可以构建多种形式的VPN;提供丰富的路由能力,支持RIP/OSPF/BGP/路由协议及策略路由。
并支持100多种IM/P2P应用协议识别,基于时间、应用、用户、带宽、连接数的多方位调控手段,让IM/P2P随您掌控,可有效保障关键业务带宽,提升带宽利用率,提升员工工作效率。
华为赛门铁克USG2130提供丰富路由特性,不仅支持IPv4路由(静态路由、RIP、OSPF与BGP动态路由),还支持完整的IPv6路由协议,IPv4/IPv6全兼容,从而使组网应用更加灵活。
其还可以通过接口卡扩展,最高支持21FE+2GE的下行接口,满足企业终端、服务器的接入,节约用户投资。
360个人防火墙
360网络防火墙是一款保护用户上网安全的产品,为用户阻截各类网络风险。
防火墙拥有云安全引擎,解决了传统防火墙频繁拦截,识别能力弱的问题,可以轻巧快速地保护上网安全。
360网络防火墙的智能云监控功能,可以拦截不安全的上网程序,保护隐私、帐号安全;上网信息保护功能,可以对不安全的共享资源、端口等网络漏洞进行封堵;入侵检测功能可以解决常见的网络攻击,让电脑不受黑客侵害;ARP防火墙功能可以解决局域网互相使用攻击工具限速的问题。
日前,精睿安全实验室发布《2017主流杀毒软件年度测试报告》,选取了国内外10款主流杀毒软件,在Windows10系统中进行测试,旨在为越来越多使用Win10的用户提供参考。
测试考察了杀毒软件对病毒木马的查杀、对受感染文件的修复、以及对恶意程序的主动防御三大指标。
测试结果表明,国产软件360不仅领先卡巴斯基、Avast等国外老牌杀软,综合实力排名第一。
其中,在最近接用户场景、也最考验杀软硬实力的主动防御领域,360更是遥遥领先,展现了其精准的实时识别与防御能力。
图为十款杀毒软件综合能力对比
BarracudaEmailSecurityGateway梭子鱼邮件安全网关
梭子鱼垃圾邮件防火墙是由美国博威特公司的主打产品。
博威特网络是位于美国加州Cupertino的专业的应用网络安全设备厂商,在日本东京,香港,台湾。
英国,阿联酋等十几个国家设有分公司,在全世界45个国家销售。
在日本也有很高的市场占有率。
并且我们提供八种国际语言,包括英语,简体中文,繁体中文,德语,日语,西班牙语,法语,葡萄牙语等
博威特网络技术(上海)有限公司是美国BarracudaNetworks,Inc.在上海设立的全资子公司。
BarracudaNetworks,Inc.是国际领导的应用网络安全设备厂商,2002年成立于美国硅谷,目前公司总部设在美国加州硅谷山景城(MountainView)。
博威特网络公司是目前国际应用网络安全设备的领导者,其主打的梭子鱼垃圾邮件防火墙采用了世界上领先的“十大技术”、“十层过滤”垃圾邮件防护技术,结合其“五大优点”,为用户提供安全、高效、全面的垃圾和病毒邮件防护的整体解决方案。
部署方案
在公司总部中心网络和外部网络之间部署CiscoPIX525防火墙,中心交换机与数据库服务器、web服务器、一室、二室、三室之间及外部网与北京办事处之间部署华为赛门铁克USG2130防火墙,公司总部中心交换机与email服务器之间部署BarracudaEmailSecurityGateway,能在一定程度上确保电子邮件安全。
为了保护个人主机的安全,在员工个人主机上部署360防火墙。
部署入侵检测系统
入侵检测系统定义
入侵检测系统(intrusiondetectionsystem,简称“IDS”),是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。
而IDS在应对对自身的攻击时,对其他传输的检测也会被抑制。
同时由于模式识别技术的不完善,IDS的高虚警率也是它的一大问题。
IDS是计算机的监视系统,它通过实时监视系统,一旦发现异常情况就发出警告。
IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类:
根据信息来源可分为基于主机IDS和基于网络的IDS,根据检测方法又可分为异常入侵检测和滥用入侵检测。
不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。
因此,对IDS的部署,唯一的要求是:
IDS应当挂接在所有所关注流量都必须流经的链路上。
在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。
在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。
因此,IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。
[1]这些位置通常是:
服务器区域的交换机上;Internet接入路由器之后的第一台交换机上;重点保护网段的局域网交换机上。
由于入侵检测系统的市场在近几年中飞速发展,许多公司投入到这一领域上来。
Venustech(启明星辰)、InternetSecuritySystem(ISS)、思科、赛门铁克等公司都推出了自己的产品。
启明星辰天阗NS100
天阗入侵检测与管理系统是启明星辰信息技术有限公司自行研制开发的入侵检测类网络安全产品。
天阗入侵检测与管理系统是在以新一代入侵检测技术为核心的基础上,引入全面流量监测发现异常,结合地理信息显示入侵事件的定位状况,应用入侵和漏洞之间具有对应的关联关系,给出入侵威胁和资产脆弱性之间的关联风险分析结果,从而有效地管理安全事件并进行及时处理和响应。
天阗NS100具有攻击检测能力;响应方式;日志与报表;策略功能;管理功能;用户管理;升级管理;产品安全性等功能
部署方案
为保证该公司网络系统的安全,根据入侵检测系统部署位置和该公司的网络拓扑结构,将入侵检测系统部署在Internet与公司总部相连的位置,置于防火墙之后,作为公司网络的第二道防线。
这样入侵检测系统能监听到所有进入内网的数据包,以达到安全审计的目睹,从而能从审计记录中找出已经产生的攻击。
部署网闸
网闸定义
网闸(简称:
GAP),全称安全隔离网闸,是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。
安全隔离网闸是由软件和硬件组成。
隔离网闸分为两种架构,一种为双主机的2+1结构,另一种为三主机的三系统结构。
2+1的安全隔离网闸的硬件设备由三部分组成:
外部处理单元、内部处理单元、隔离安全数据交换单元。
安全数据交换单元不同时与内外网处理单元连接,为2+1的主机架构。
隔离网闸采用SU-Gap安全隔离技术,创建一个内、外网物理断开的环境。
三系统的安全隔离网闸的硬件也由三部分组成:
外部处理单元(外端机)、内部处理单元(内端机)、仲裁处理单元(仲裁机),各单元之间采用了隔离安全数据交换单元。
京泰物理隔离网闸
京泰物理隔离网闸采用高速固态开关,在内外网络之间切换,开关的物理特性决定了任意一个时刻,系统在物理链路上只能处于内网或者外网的一侧;当连入外网时,与内网断开,从外网获取需要交换的数据;断开外网连接,连接内网,交换数据到内网。
往复不断,从而完成内外网络信息的交换;连接建立后,采用自定义信息交换报文和协议进行信息传递和交换,防止黑客利用标准网络协议的各种漏洞进行攻击;由于采用自定义安全传输协议,系统在底层自行完成对文件的分片、传递工作,在另一端负责对其进行重组、检测;系统提供应用接口,对应用系统的表单内容进行严格的信息检测和过滤,防止利用各种非法的查询来获取信息或者破坏信息;由于通过高速固态开关交换信息,时间延迟极短,为毫秒级,为用户应用系统提供实时的在线访问提供了坚实的基础。
安全网闸不但提供标准的信息交流服务,如文件交流、数据库交流和邮件交流等。
还提供其他具体应用系统的二次开发接口,帮助用户更快、更好的建立自己的安全信息交流平台。
支持第三方安全软件,如对传递和交换的数据进行杀毒等,采用Linux操作系统设计,通过公安部、保密局、国家信息安全测评认证中心等权威部门的安全认证,使得自身系统的安全性大为提高。
部署方案
在公司总部网络与Internet之间部署网闸作为防火墙后的另一道防线,实现公司内部网与外部网的物理与协议上的安全隔离,使当防火墙被攻破或绕过时能保证系统安全
VPN
VPN定义
VPN的英文全称是“VirtualPrivateNetwork”,翻译过来就是“虚拟专用网络”。
顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。
它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。
这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。
VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或WINDOWS2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
虚拟专用网是对企业内部网的扩展。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
之前选用的CiscoPIX525防火墙集成了VPN功能,能直接提供一种安全、可扩展的平来来经济高效的使用公共数据服务来实现远程访问。
远程办公和外部网连接。
部署方案
直接配置CiscoPIX525防火墙的vpn功能。
用网络层的vpn技术实现网络层vpn。
网络层vpn技术之一的IPsec也是IETF支持的标准之一,它是第三层即IP层的加密。
IPsec不是某种特殊的加密算法或认证算法,也没有在它的数据结构中指定某种特殊的加密算法或认证算法,它是一个开放的结构,定义在IP数据包格式中,不同的加密算法都可以利用IPsec定义的体系结构在网络数据传输中实施。
计算机系统安全
主机操作系统主要是Linux和Windows,而这两款操作系统依旧有些常见的漏洞和普遍的安全问题存在,因此要采取一些安全措施尽可能的保证系统平台的安全,以保证公司系统的安全运作。
1.Windows系统安全
为了达到安全的目的,一般来说我们需要关注操作系统的八个方面:
补丁管理>账号漏洞>授权管理>服务管理>功能优化>文件管理>远程访问控制>日志审计
其中:
补丁管理
使用最新版的补丁,避免使系统存在已知的漏洞,从而被攻击者利用。
账号口令
梳理出系统中正在使用和存在的账号和口令,避免使用默认的账号
密码和脆弱的口令如123456、admin等
授权管理
降低操作系统上的软件的权限,将权限降低到不影响软件运行所需的最低权限,避免软件因为拥有过高的权限而被有心人利用。
服务管理
如果操作系统上如果运行着不需要的功能或者服务,尽量关闭。
功能优化
对操作系统上的软件进行安全优化,确保系统的安全性。
文件管理
配置好关键文件的权限,比如说windows文件夹这种关键性的文件夹,不应该允许被非管理员权限的用户访问。
远程访问控制
如果计算机上开启了远程访问功能,需要对访问的人员进行限制,比如说只允许某个ip或者某个网络的人员能够远程登陆,其他的一律拒绝。
日志审计
对于服务器来说,应该要增强操作系统的日志功能,以防发生安全事件后可以追溯源头,提供保障。
根据这八大方面的安全操作需要做的有:
2.Linux系统安全
保护Linux系统安全的九个常用方法
1.使用SELinux
SELinux是用来对Linux进行安全加固的,有了它,用户和管理员们就可以对访问控制进行更多控制。
SELinux为访问控制添加了更细的颗粒度控制。
与仅可以指定谁可以读、写或执行一个文件的权限不同的是,SELinux可以让你指定谁可以删除链接、只能追加、移动一个文件之类的更多控制。
(LCTT译注:
虽然NSA也给SELinux贡献过很多代码,但是目前尚无证据证明SELinux有潜在后门)
2.订阅漏洞警报服务
安全缺陷不一定是在你的操作系统上。
事实上,漏洞多见于安装的应用程序之中。
为了避免这个问题的发生,你必须保持你的应用程序更新到最新版本。
此外,订阅漏洞警报服务,如SecurityFocus。
3.禁用不用的服务和应用
通常来讲,用户大多数时候都用不到他们系统上的服务和应用的一半。
然而,这些服务和应用还是会运行,这会招来攻击者。
因而,最好是把这些不用的服务停掉。
(LCTT译注:
或者干脆不安装那些用不到的服务,这样根本就不用关注它们是否有安全漏洞和该升级了。
)
4.检查系统日志
你的系统日志告诉你在系统上发生了什么活动,包括攻击者是否成功进入或试着访问系统。
时刻保持警惕,这是你第一条防线,而经常性地监控系统日志就是为了守好这道防线。
5.考虑使用端口试探
设置端口试探(Portknocking)是建立服务器安全连接的好方法。
一般做法是发生特定的包给服务器,以触发服务器的回应/连接(打开防火墙)。
端口敲门对于那些有开放端口的系统是一个很好的防护措施。
6.使用Iptables
Iptables是什么?
这是一个应用框架,它允许用户自己为系统建立一个强大的防火墙。
因此,要提升安全防护能力,就要学习怎样一个好的防火墙以及怎样使用Iptables框架。
7.默认拒绝所有
防火墙有两种思路:
一个是允许每一点通信,另一个是拒绝所有访问,提示你是否许可。
第二种更好一些。
你应该只允许那些重要的通信进入。
(LCTT译注:
即默认许可策略和默认禁止策略,前者你需要指定哪些应该禁止,除此之外统统放行;后者你需要指定哪些可以放行,除此之外全部禁止。
)
8.使用入侵检测系统
入侵检测系统,或者叫IDS,允许你更好地管理系统上的通信和受到的攻击。
Snort是目前公认的Linux上的最好的IDS。
9.使用全盘加密
加密的数据更难窃取,有时候根本不可能被窃取,这就是你应该对整个驱动器加密的原因。
采用这种方式后,如果有某个人进入到你的系统,那么他看到这些加密的数据后,就有得头痛了。
根据一些报告,大多数数据丢失源于机器被盗。
心得体会与反思
这次的课程设计能够顺利完成要感谢老师平日对我们的严格要求。
老师在平日的教学中善于启迪我们的思想,乐于传授我们课程之外的知识。
正因为这样才能使我完成本次课程设计时感觉到轻松不少。
通过这次的课程设计让我对企业的安全保障机制有了一定的了解,自己动手进行设计才知道方案制作的不易。
同时经过这次的课程设计让我知道了自己在平时学习时的知识不足、知识面不够广,想到的安全保障方面不够完善,若是将之投入使用会导致严重的后果。
这是这次的课程设计让我初步了解了安全方案的制作方法。
同时这次的课程设计我所做的依旧有不足的地方存在,总结出的问题如下:
1.在外设的选购方面,只放眼于安全保障效果却忽略了外设的价格,若是在工作中这样的安全方案是绝对不合格的。
2.安全保障系统中依旧存在些许漏洞,主要是因为平时知识积累不足导致。
升级会员 