XX网站安全解决方案Word格式.docx
《XX网站安全解决方案Word格式.docx》由会员分享,可在线阅读,更多相关《XX网站安全解决方案Word格式.docx(17页珍藏版)》请在冰豆网上搜索。
1.把内网服务器和Internet做物理隔离,拒绝非法访问
2.基于服务器的发布,映射服务器特定端口,给Internet用户提供服务
3.严格的策略的控制
在web服务器和Internet的连接部分我们部署一台HillStone系列防火墙。
连接Internet的ISP链路被直接连接到HillStone防火墙上,内部web服务器需通过HillStone防火墙连接到Internet。
为了内部服务器,我们需要将防火墙上的端口根据需要划分到不同安全级别的安全区域:
到Internet的链路端口划分到UnTrust区域,Trust区域端口连内部网的交换机。
将防火墙设置为NAT模式。
这样就可以保护内部的私有网段,SA系列防火墙有着强大的NAT功能,我们可以根据需要灵活的设置NAT,包括1对1的NAT,基于端口的NAT,源地址NAT和基于目的的NAT等。
HillStone有着强大的访问控制策略设置方法,可以有效保护内部网络对Internet的访问,和公司对互联网提供的各种服务。
通过部署网络入侵防护设备,实现:
1.探测出黑客攻击,并且实时阻断黑客的攻击;
2.能够探测出已知和未知的蠕虫,实时阻止这些蠕虫进入自来水公司网络;
3.探测异常网络流量,阻止进入自来水公司网络;
4.探测和阻挡DOS/DDOS攻击
McAfeeIntruShield(IPS)既能实时阻挡黑客攻击,又能阻挡中、高威胁蠕虫病毒,并且具有完整的阻挡DDOS攻击的能力,包括对抗SynFlood的Syn-Cookie技术。
因此,在自来水公司Internet接入位置部署一台入侵防护设备既作为网络入侵防护设备、同时又作为防DOS/DDOS设备,用以探测和过滤黑客攻击,网络异常流量(异常流量包括蠕虫病毒和蠕虫病毒传播导致的异常流量入NachPing、SqlSlammer异常流量等,另一大类当前网络的异常流量是由Botnet僵尸网络攻击引起的异常流量,这类流量和传统的DOS/DDOS攻击不一样)、DOS/DDOS攻击。
2应用安全解决方案
2.1XX网站现状
XX网站是托管在IDC机房,Internet接入交换机,服务器设置公网IP地址,无任何安全措施,web服务器完全暴露在公网上,存在很大的安全隐患,还时常遭受黑客的攻击,导致正常访问的中断。
XX网站拓扑结构示意图如下所示:
2.2客户网络现状分析
面临的外部安全威胁:
1.黑客的攻击入侵,造成信息泄露,或者破坏网络、应用和服务器系统,可能造成网络、应用和服务器系统瘫痪;
2.蠕虫病毒通过网络、Email和网络文件共享等多种方式传播,植入网站计算机后为黑客攻击留下后门,同时造成网络拥塞,甚至中断;
3.蠕虫、恶意程序利用操作系统、应用、Web服务器和邮件系统的弱点进行传播,植入计算机系统后为黑客攻击留下后门,同样,在传播过程中,产生大量的TCP、UDP或ICMP垃圾信息,造成网络拥塞,如SqlSlammer、Ni集成商a、“冲击波”和Nachi蠕虫病毒;
4.面临DOS/DDOS攻击,造成网络服务中断;
5.P2P、IM等特殊应用缺乏管理和阻断的手段;
6.越来越多的新型应用,如VoIP、SSL加密数据、IPv6等没有相应的防护手段;
7.来自Internet各类安全威胁,没有有效的手段进行评估,并通过高效的措施将其阻断。
2.3XX网站安全解决方案
基于XX网站以上问题,上海恒驰信息有限公司处于负责的态度建议客户从网关处部署一整套安全防护系列产品来完善企业网站的安全建设,其中包括:
1.Hillstone安全防火墙
2.McAfeeIntruShield入侵检测设备
根据以上的安全威胁分析,我们需要采取相应措施解决这些安全问题,因此,安全需求可以归纳为以下几方面:
(1)设定严格的策略控制,阻止非授权的访问;
(2)加强网络边界的安全防护手段,准确的检测入侵行为,并能够实时阻断攻击;
(3)能够检测出已知或未知的各种攻击形式,实时阻断黑客攻击;
(4)能够探测出已知和未知的蠕虫、病毒及恶意代码,准确定位传染源,并能够阻断蠕虫通过网络进行传播;
(5)能够检测异常网络流量,有效阻断DoS/DDoS攻击;
(6)能够检测针对网络的加密攻击;
(7)能够对整个客户网络进行实时、准确、全面的入侵防护;
(8)通过现有系统或新购产品,及时识别网络中的安全弱点,并且获得具体的安全弱点的修补建议;
(9)发现新的弱点和新的威胁时,能够有手段在Internet入口及网络边界阻止这些威胁,实时保护内部网络的安全;
(10)需要依照全行的安全策略和管理策略,部署先进高效的网络入侵防护产品,并从安全风险管理的角度出发,真正有的放矢地解决网络安全问题;
(11)最后,客户更需要建立一个信息安全管理体系,通过一定的基本原则和管理流程,整合好目前已经部署和使用的安全产品,真正做到对安全风险的有效管理。
产品部署之后的网络示意图如下:
3部署的产品
3.1Hillstone公司简介
山石网科通信技术(北京)有限公司(以下简称“山石网科”)创建于2006年,是网络安全领域的代表企业之一,公司总部位于中国北京,并在美国硅谷设有研发中心。
山石网科积累了多年网络安全产品研发和市场运做经验,专注于信息安全,是专业的新一代安全网络设备提供商。
目前,山石网科拥有员工200余人,其中博士、硕士占30%以上,公司的核心团队由来自Juniper、Cisco、Netscreen、Fortinet和H3C等中外著名企业的精英组成,具备先进的技术经验和丰富的企业管理经验。
公司总注册资金475万美金,设有系统架构部,系统运营部,软件系统部,渠道销售部,售前售后技术部等部门,并且已经通过投资、控股和合作等形式,在亚太区形成了良性发展的产业和营销体系。
自成立以来,山石网科就以“贴近市场,贴近客户,快速把握并满足客户需求”为己任,用产品和方案来帮助客户获得网络安全,从而实现自身的企业价值。
山石网科凭借其独特的服务精神和强大的技术实力,以国际一流的技术打造适合中国本土化应用需求的高性能产品,并提供高性价比的新一代网络安全整体解决方案,服务于中国高速发展的网络市场。
作为产业链中至关重要的一环,山石网科勇于创新,公司的SR系列安全路由器和SA系列安全网关产品,已经为网络安全领域树立了新的安全网络产品质量水平,在国内各大中小型企业及各高校中拥有了强大的客户群体,并赢得了用户的高度肯定。
在网络时代的今天,山石网科愿与所有客户、合作伙伴一起,在探索与实践中国网络安全稳健和谐发展的新长征中,携手共赢!
3.1.1面向应用的高性能防火墙需求
传统防火墙以网络层防护为主,软硬件的设计围绕着网络层的安全防护展开,产品经过了第一代纯软件防火墙系统、基于PC架构的第二代硬件防火墙系统和第三代的基于ASIC和NP(网络处理器)纯硬件防火墙系统。
第三代基于ASIC和NP架构的防火墙可以实现高性能的网络安全防护,对于应用层的安全防护无能为力,应用层完全依靠通用CPU进行处理,包括目前流行的UTM产品,一旦打开应用层安全防护功能,如P2P/IM安全控制、IPS、Web过滤、防病毒以及防垃圾邮件等内容过滤功能,性能会急剧下降,无法满足用户实际的网络安全需求。
基于以上原因,Hillstone全线产品采用了创新的新一代网络安全架构,硬件平台采用64位高性能的多核处理器Multi-CoreCPU(多达16核),内部传输采用高达24Gbps高速交换总线,其网络安全的处理能力达到了一个新的起点:
比如,安全产品中重要参数之一的每秒新建会话数是目前业界最高性能的基于ASIC和NP架构安全产品的5到10倍!
64位专用高性能多核处理器的多核并行处理能力为应用层内容安全功能提供了强大的保障,同时又避免了纯ASIC和NP安全系统对会话可管理能力和流量控制能力弱的弊病。
由于新一代64位多核处理器Multi-CoreCPU集成了IPSecVPN、SSLVPN、TCP、QoS、压缩/解压缩以及其他安全功能的芯片级硬件加速功能,使得Hillstone安全产品具有强大高效的VPN和应用层安全处理能力。
采用创新的新一代网络安全架构的Hillstone安全产品提供了更高、更可靠、更稳定和更安全的综合处理能力,开创了新一代网络安全的新纪元。
多达16核的专用64位MIPS处理器具有强大的应用层安全处理能力,众所周知,应用层安全的效率很大程度上依赖于CPU的处理能力,即使基于ASIC/NP架构的安全系统一旦要处理应用层的数据也必须依赖于CPU,而目前安全产品在CPU资源上有很大瓶颈,因此有些厂商已经放弃ASIC/NP架构而采用纯CPU的架构。
Hillstone采用多核处理器,使得该硬件架构充分考虑到了应用安全和网络安全的平衡,在某些性能指标上有了质的飞越,如作为安全网络产品重要指标之一的每秒新建连接数最高达到了20万/秒,同时结合内部高速交换总线和多核64位专用处理器,Hillstone安全产品具有了强大的应用安全处理能力和可扩展能力,为集成更多的应用安全提供了强大的资源保障。
强健的专用实时64位并行操作系统
(RobustSpecificRealtimeOperatingSystem)
Hillstone全线产品采用专用多线程实时64位并行操作系统,多线程的并行处理能力和模块化的结构易于集成和扩展安全功能,专用的安全加固的64位操作系统针对新一代多核处理器安全架构进行了全面的优化和安全加固,极大地提高了系统的处理效率、系统稳定性和安全性。
模块化和多线程的处理机制,为Hillstone新一代的网络安全系统提供了极大的可扩展能力,包括支持更多核处理器和集成更多安全功能。
众所周知,操作系统是整个安全设备的核心和基础,安全产品的操作系统必须具有很强的抗攻击能力,而基于软件的安全系统采用的是通用的操作系统,通用操作系统会暴露大量的操作系统漏洞,安全系统再强大,操作系统的漏洞会直接导致这个系统的崩溃。
目前,专用定制的操作系统被广泛采用。
Hillstone安全产品均采用定制的专用操作系统StoneOS。
StoneOS具有64位实时并行处理能力,其核心针对Hillstone硬件产品进行了全面优化,使得系统具有更高的处理效率和稳定性。
模块化的系统结构易于继承更多的安全功能,系统具有极强的伸缩性和可扩展性。
任何独立的安全模块出现问题都不会影响整个系统的运行。
高可靠性和稳定性(HighReliabilityandStability)
积累多年被证实的专业硬件安全产品研发和市场经验,Hillstone新一代网络安全产品在软硬件的可靠性和稳定性上都有了进一步提高。
全面优化的软硬件系统带来高可靠性和稳定性,这为网络流量和网络攻击日益膨胀的企业IT环境提供了强大的保障。
Hillstone安全产品最大程度上确保企业关键业务的不间断运行,提高用户的竞争力。
最低的总体拥有成本(LowestTCO)
Hillstone全线产品提供了非常友好的使用和管理界面,部署简单、易于维护和管理。
灵活的特性可以满足不同用户不同应用环境的需求。
独特创新的新一代网络安全架构提供给用户最大化的可扩展能力,最大化地保护用户投资。
Hillstone安全产品解决方案特点:
●创新的新一代网络安全架构
●高性能的综合安全系统
●高可靠性和扩展性
●高性价比
●丰富的安全特性
●最低的TCO
●友好和易于使用的管理界面
●细粒度的安全参数调整
●杰出的内容安全综合处理能力
●灵活的部署特性,易于部署和维护
●全面的产品线,满足不同用户的需求
●专业的技术支持和销售团队
●P2P/IM应用的安全控制和细粒化管理
根据企业网络应用系统的现状以及未来系统的结构发展,我们认为着重考虑企业的B/S结构应用特点,是防火墙系统技术指标设计的主要依据。
众所周知,防火墙作为网络设备,对网络性能影响最为主要的是两个参数指标,一个是防火墙的TCP连接处理能力(并发会话处理数),另一个是防火墙对网络数据流量的吞吐能力(带宽参数)。
B/S结构的应用系统虽然具有管理简单,客户端开发、使用和维护的成本很低的优点,但是在网络上B/S结构应用系统将会给网络带来巨大的网络流动数据处理压力,而且是并发的。
具体来说,B/S结构的应用系统在网络上使用,会给网络防火墙带来数倍甚至数十倍于C/S结构应用系统的并发TCP会话数量,而且这些会话绝大部分是包长很短的“垃圾”IP包。
而这些垃圾包必然对网络设备的负载有着极大影响。
随着Internet的不断普及,新的网络应用层出不穷,并且对于网络带宽的占用日益增高,如网络视频、网络游戏、BT下载等。
企业网络中运行着大量的关键应用,这些关键应用很多都要求极低的网络延迟,而网络中大量的娱乐应用不断吞占着有限的网络带宽,严重影响着关键应用的使用。
同时安全和速度始终是两个对立面的事物。
追求更高的网络安全是需要以牺牲网络通讯速度为代价的,而追求更高的网络通讯速度则需要降低网络安全标准。
在目前依赖于网络应用的时代,能够做到应用层的安全检测以及安全防护功能是所有安全厂商的目标。
由于应用层的检测需要进行深度的数据包解析,而使用传统网络平台所带来的网络延迟将是不可接受的。
好的安全功能同样需要好的硬件平台去实现。
通过对各类防火墙的比较分析,我们认为目前面向B/S结构应用、高性能的硬件防火墙是最为明智的选择。
3.1.2技术先进性和实用性原则
网络安全方案中采用技术,具有一定的前瞻性,符合一定时期内网络安全技术发展的趋势,并在今后一定的时期内处于领先地位。
网络安全系统设计必须遵循先进性和成熟性。
由于IT行业的技术更新换代很快,为了保证网络能够满足今后一段时间内应用的发展,在选择网络安全技术和设备时不仅要考虑先进性,也要考虑技术的成熟性,同时更要考虑接入业务的特点等多方面的因素。
一种新技术在刚出现时往往有很大不稳定和不确定因素,需要有一个发展、逐步完善和实践检验的过程,经常有一些技术在刚出现时被宣传和评价很高,但在一段时间后发现存在很多问题,甚至很快退出市场。
用户采用了这种技术,往往会因为设备厂商转产停产等问题,无法对网络扩展升级,最终造成前期投资的浪费。
一种新的技术产品在刚出现时一般价格都非常高,所以选择使用一种新的技术的最佳时机应该是在这种技术在市场上已经得到较为广泛的应用,并且在使用中得到肯定之后。
虽然这时的技术可能已经不是最新的技术,但技术已经成熟,设备的性能价格比更高。
所以选择网络技术和设备时不要去追求最新最好,应该遵循先进性和实用性相结合,并找出其中的平衡点。
3.1.3高可靠性原则
由于网络对数据传输的实时性的要求,对网络的传输环节要求很高。
因而要求选用的网络安全设备具有相当高的可靠性,要达到电信级标准,具备99.999%的可靠性。
建设一个运行稳定可靠的现代化网络系统,网络中任何一台安全设备或任何一条安全设备上的线路发生故障都不会导致通过该安全设备互联的两个网络无法通讯,并且能够保证在不影响网络正常运行的情况下完成对网络故障的检测和排除。
3.1.4易于扩展和升级的原则
网络及数据通信技术发展速度快、新的设备不断面世,新业务也将逐步运行在新的数据网上,用户对带宽的需求必将增长,需要将网络系统扩容,因此在网络设计时应充分考虑将来网络的扩容和升级问题。
随着企业的发展扩大,网络的系统性能的需要将不断提高,网络的规模也会不断扩展,而隔离网络的安全设备也同样需要扩容和升级。
所以在设计网络时,要充分考虑到网络安全设备的可扩展性,为了保护用户的投资,设计应保证至少若干年内网络的升级和扩展不需要更换主要网络安全设备,只通过增加一些模块就可以实现网络性能和规模的扩展,满足今后几年业务发展的需要。
3.1.5管理和维护的方便性
网络系统中的所有安全设备均应是可管理的,支持远程监控和故障的过程诊断和恢复。
可通过网管软件方便地监控网络运行的实时情况,对出现的问题及时处理和解决。
3.1.6网络安全方案设计
3.1.7方案描述
为了XX网站对外提供的服务,建议在当前企业的web网站Internet出口处使用HillStone防火墙来进行安全保护,用HillsonteSA系列防火墙作为链路接入设备。
为了保护内部网络,我们建议防火墙用NAT模式,隐藏内部私有网段。
1.在网站和Internet的连接部分我们部署一台HillStoneSA防火墙。
连接Internet的ISP链路被直接连接到HillstoneSA防火墙上,内部用户需通过核心交换机连接到HillstoneSA防火墙内网口,防火墙做NAT模式。
2.为了保护内部的主机和服务器,我们需要将防火墙上的端口根据需要划分到不同安全级别的安全区域:
到Internet的链路端口划分到UnTrust区域,Trust区域端口连内部网的核心交换机。
3.将防火墙设置为NAT模式。
这样就可以保护内部的私有网段,HillstoneSA防火墙有着强大的NAT功能,我们可以根据需要灵活的设置NAT,包括1对1的NAT,基于端口的NAT,源地址NAT和基于目的的NAT等。
4.防火墙访问控制策略的设定。
在防火墙上设置访问控制策略,不允许内网主机访问Internet。
或者禁止外部对内部的非正常形式的访问(或依据需求开放某些端口和应用)。
5.HillStone防火墙提供VPN功能,外部和远程的人员可以通过VPN隧道与防火墙内的计算机建立连接。
方案可以实现:
通过HillStone防火墙,能够有效保护内部网络的安全和对外提供的服务安全。
HillstoneSA防火墙的64位专用多核并行处理器能够避免纯ASIC和NP安全系统会话可管理能力和流量控制能力弱的弊病,为VPN和应用层内容安全功能提供强大的处理能力保障。
整个网络安全的到了保证,HillStone防火墙将有效保护内部网络,我们能够有效阻止外界对公司内部和服务的DOS攻击,以及4-7层的应用层攻击。
HILLSTONE提供了强大的带宽管理功能,可以按照源和目标IP址或者地址组、应用程序、端口等对流量进行分级和处理。
QOS带宽管理确保了服务质量,保证关键应用的高性能,可以根据具体参数对流量类型进行区分,并确定如何恰当地处理流量类型,从而对内部的用户进行高效的带宽管理。
VPN功能可以保证远程接入用户对内网访问的安全性。
HillStone的解决方案有如下优点:
●提供专业的网络安全服务
HillStone是一家专业的网络安全设备厂商,具备多年安全设备研发和售后经验,能够为用户提供最及时最有效的安全解决方案。
●高性能的防火墙和防攻击能力
HillStoneSA系列提供超强的防火墙吞吐能力,能够满足企业网络中所有网络环境的吞吐要求。
同时,SA系列内置了防攻击模块,能够有效地避免网络攻击对企业网络的影响。
●先进的应用层管控机制
HillStoneSA系列产品能够为用户提供先进的应用层管控技术,包括URL过滤、带宽管理、P2P/IM管理等等,能够使用户在保证网络连通的前提下更细粒度的管控自己的网络。
●提供高性能的应用层解决方案
HillStone产品采用专用的64位多核处理器,能够为应用层数据处理提供前所未有的性能支持,保证在高吞吐高流量的情况下从容有效地进行应用层的管控。
●提高企业网络部署的灵活性和扩展性
随着企业发展,企业网络也会不断发展变化。
HillStone企业网络解决方案能够凭借HillStone产品的多种智能化的功能实现,全面协助企业网络应用的演变。
在企业网络的特定网络安全环境下,通过HillStone产品的部署,灵活的进行功能扩展,最大化的保证了企业网络的灵活性和扩展性。
●降低系统维护难度和成本
凭借多种人性化管理维护方式和HillStone集中管理功能的实现,HillStone企业网络解决方案能够极大的降低系统的维护难度和成本。
结合HillStone专业本地化厂家技术支持和研发队伍,能够为企业应用提供最优质的专业技术保障。
3.2IntruShield网络入侵防护产品简介
IntruShield基于完整的攻击分析方法而构建,并引入了业界最为全面的网络攻击特征检测、异常检测以及拒绝服务检测技术,除了可以探测攻击,还可以探测已知未知蠕虫和后门程序。
3.2.1网络攻击特征检测
为了实现高性能的网络攻击特征检测,IntruShield体系结构不仅采用了创新的专利技术,而且集成了全面的状态检测引擎、完善的特征规范语言、“用户自定义特征”以及实时特征更新,确保了IntruShield能够提供并维护业界最为全面、更新最及时的攻击签名数据库。
特征规范语言
IntruShield以专用的高水平特征规范语言为强大支持。
IntruShield能够从应用程序软件中分离出攻击模式特征,在这个独特的体系结构中,将特征简单地转换为表单项,从而可以通过直观的用户界面实现实时更新,并可被特征引擎立即使用。
目前的IDS产品往往通过软件“补丁程序”来提供新的特征,这不仅降低了部署速度(必须根据整个IDS软件应用程序进行质量保证),而且也不利于安装(必须重新启动系统)。
而IntruShield通过从传感器软件中分离攻击模式特征,从而确保了高质量的全新特征可以快速部署(无需重新启动系统)。
同时,从传感器应用程序代码中分离特征也使得特征编写人员能够将精力集中在特征编写的“质量”上,而无需考虑如何将特征构建为应用程序更新补丁。
全面的状态特征检测引擎
IntruShield体系结构的特征检测引擎引入了强大的上下文敏感检测技术,在数据包中充分利用了状态信息,它通过使用多个令牌匹配来检测超越了数据包界限的攻
升级会员 