网络信息系统方案安全设计书Word格式文档下载.docx
《网络信息系统方案安全设计书Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《网络信息系统方案安全设计书Word格式文档下载.docx(11页珍藏版)》请在冰豆网上搜索。
集中网管主要体现在对网管的集中上,网管集中的实现方式主要包括存放网管系统的物理平面集中和通过综合集中网管实现对不同厂商网管系统的集中管控。
大唐、朗讯、华勤等厂商各自有不同的集中网管产品上市。
二、网络信息系统的安全设计方案
2.1.1外网出口
外网出口采用防火墙。
支持双机热备功能,核心交换机通过两根电缆连到防火墙上,防火墙通过两台2层交换机分别接入电信线路和网通线路。
当出口设备开启双机热备后,即使其中一台防火墙出问题,另外一台防火墙也能正常保证外网的使用,不会出现网络中断的情况。
2.1.2核心设备
作为网络的核心,要有很高的稳定性,瘫痪一分钟都会带来严重的后果,针对这个因素,我们将两台全千兆核心交换机采用双机热备的方式,上联到防火墙,并下联到办公网络。
Catalyst3960系列交换机具有240G背板带宽;
线速三层交换包转发率达到96Mpps;
,是标准三层无阻塞交换机为所有的端口提供多层交换能力和线速的路由转发能力。
同时具有高性能、低成本等主要特点。
而其强大的处理能力是构建可靠、稳定、高速的IP网络平台的重要保障。
Catalyst3960支持特有的ARP入侵检测功能,防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒,以及大流量地址仿冒带来的DoS/DDoS攻击等。
2.1.3接入设备
接入交换机作为楼层网络的小型网关设备上连至上级交换机,需要考虑交换机能提供的网络安全性以及设备的处理能力。
我们所采用的接入交换机可以支持划分vlan、端口保护、Qos功能、广播/组播风暴控制等功能。
同时应具备扩展性。
达到可根据需要灵活地配置网络。
交换机能与所有的以太网、快速以太网设备相连接,保护用户已有的网络投资。
可在工作组之间或企业内部提供高带宽、高性能连接,同时还能增强服务器群的容量,让用户能更快速存取整个网络资源。
可以缓解因为网络带宽不足及用户迅速增长所造成的网络传输瓶颈,并且投资少,管理简单。
2.2访问控制
我们认为采用VLAN+ACL组网方式,可实现不同部门、不同应用系统之间进行隔离,实现对跨系统、跨部门的访问控制。
其本身已经能够提供的安全机制,可保证访问控制的安全。
采用VLAN+ACL实现组网,按照各楼层或各部门,实现VLAN的划分。
所有的部门系统全部二层隔离,同一个汇聚层设备下的单位需要进行互通,则在核心交换机上终结VLAN,进行三层互通,如果是不同的汇聚层设备下的单位需要互通,则需要经过汇聚交换机上送到核心交换机上,通过配置的acl和路由进行三层转发,实现受控互通。
2.3双机热备实现方案
对于集团内网的组网方式,我们规划了VRRP双机热备方案:
让我们来看看双机热备的工作
VRRP图1
如上图所示,正常情况下,左边核心交换机优先级高于右边核心交换机,所以左侧核心交换机处于master状态,响应所有对虚拟IP(即图中的192.168.1.1、192.168.2.1)的请求,右侧核心交换机处于backup状态,不会响应任何关于虚拟IP的请求,但是右侧交换机实时关注着从VRRP心跳线发来的状态包。
很明显,现在所有汇聚交换机都会将数据包发送至左侧交机。
左侧交换机作为线路正常时的主交换机。
右侧交换机只关注VRRP心跳线发来的状态包。
此时,办公网交换机到左侧核心交换机的线路若发生故障,或左侧核心交换机的发生故障。
如下图:
VRRP图2
如果是汇聚交换机到核心交换机的线路产生故障,此时左侧核心交换机将会发现所连接端口发生故障,左侧交换机将会通过VRRP心跳线通知右侧交换机,告之关于192.168.2.1的状态变化,此时,右侧核心交换机将会作为主核心交换机,并相应并处理来自二层汇聚交换机的所有数据包。
如果是左侧核心交换机产生故障,右侧交换机收不到心跳线传来的数据,那么它会认为左侧交换机已经无法正常工作,自己切换成为Master状态,处理来自所有汇聚交换机的数据包。
从左侧核心设备发现线路故障到右侧核心设备变为主交换机,或者右侧核心设备发现左侧设备产生故障无法工作而自己变为主交换机,期间耗时不到2秒钟,对正在使用网络的用户而言,完全感觉不到发生了什么故障。
这样就能保证整个网络骨干层7*24小时的无故障运行了。
如果线路恢复正常或左侧核心交换机的故障排查解决完毕能够正常工作,左侧交换机同样可以发现其线路所连接的端口恢复正常,而通知右侧核心设备,同时自己变为主交换机,左侧核心交换机在故障处理完毕后能正常工作同样会通知右侧核心交换机,自己变为主交换机。
2.4ARP防护
ARP(欺骗类)病毒可谓是现在最普遍的网络危害,一具用户感染病毒就可能危害到整个网络。
欺骗类病毒目前可以分为3种类型:
1、中毒机器不停发送“我是网关”的ARP信息,试图来欺骗其他PC,让他们将自己看作网关,如图中的F0/1口下的PCA可以通过这种类型的ARP病毒让PCB认为网关是PCA。
2、中毒机器不停的变换自己的IP,来扰乱网关设备的ARP表象,试图让网关看到的所有的IP都是自己,这样其他用户的IP就不能被网关设备认出了,如上图中,PCA可以不停的变换自己的IP,这样网关就会被欺骗认为192.168.43.100也是PCA,PCB当然就不能被网关识别了。
3、中毒机器将自己的MAC地址修改成交换机的下一跳网络设备的MAC地址,试图让交换机的MAC表发生紊乱,让交换机从错误的端口发送出数据包,如上图中,PCA会将自己的MAC地址修改成网关的MAC地址00-E0-0F-27-96-D0,这样交换机在F0/1和F0/24上都学习到这个地址,MAC表就乱了--------这种类型并不能算上ARP病毒,但是同属于欺骗类病毒。
目前大部分厂家都是通过绑定IP、MAC、端口的方式来保证安全,但是这样的方式实现起来麻烦(要一条一条的把绑定信息写进去),如果增加了新设备或者某台设备更换了端口或者网卡,如果不及时通知网络管理员进行修改,就没有办法上网,费时费力。
针对这种情况,我们设计了一套较完善的ARP防护方式。
在端口下过滤ARP报文,防止冒充网关。
既然我们知道交换机的F0/24口上接的是网关,那么F0/1到F0/23口都不可能发送出“我是网关”的ARP信息,所以我们可以在这些端口下过滤此类报文。
交换机命令(需要两层半交换机,S2026/S2126以上设备):
interfaceFastEthernet0/1
switchportport-securityblockarp192.168.43.254
//阻止该端口下发送192.168.43.254的ARP报文
在所有的非上联端口上都配置此类命令,交换机可阻止其下端口发送“我是网关”类的ARP欺骗报文
在接口下配置Filter功能,防ARP扫描攻击。
如果中毒机器不停变换自己的IP,那么他在短时间内发送的ARP信息是非常多的,我们可以通过设置ARP计数器的方式来进行管理,在一个时间单位内,如果某个设备发送的ARP数量超过了我们设置的阀值,那么我们将过滤这台设备的MAC一段时间,这个时间段内这台设备发送任何信息我们的交换机都不进行转发。
交换机命令(需要两层半交换机,既S2026/S2126以上设备):
filterarp//在接口下启用arp过滤功能
!
filterperiod5//以5秒钟为一个统计周期
filterblock-time60//将攻击主机隔离60秒
filterthreshold100//一个统计周期超过100个arp报文,就进行隔离
filterenable//在全局下启用过滤功能
一旦交换机F0/1端口下有PC在5秒内发送的ARP报文超过100个,交换机将在60秒内禁止此PC的MAC通过。
免费发放ARPRESPONSE报文,纠正主机错误的网关。
对于网关类的设备一般是不主动发送ARP报文的,通常它都是被动响应下面的ARP请求,因此我们也可以让网关主动发送ARPRESPONSE报文,主动矫正下面PC的错误。
交换机命令(需要三层交换机或者路由器)
arpfree-response//启用免费发放arpresponse报文的功能
arpfree-responseinterval30//发放arpresponse报文的间隔
interfaceVLAN1
ipaddress192.168.43.254255.255.255.0
noipdirected-broadcast
!
interfaceLoopback0
ipaddress1.1.1.1255.255.255.0
这样每30秒网关可以主动矫正下面PC的错误。
将网关的MAC地址、端口、以及VLAN进行绑定,防止MAC欺骗。
交换机命令(两层设备即可)
macaddress-tablestatic00e0.0f96.27d0vlan1interfacef0/24
//保证网关的VLAN1的MAC地址只能出现在F0/24上
将交换机下联口全部开启端口保护,保证用户只能和上联口互通,和其他用户之间无法互通。
switchportprotect
根据上面提到的4种防护ARP欺骗的机制原理,我们可以进行组合,设置多种全网阻断ARP欺骗的拓扑:
首先通过vlan划分隔离广播域,让arp只会在同1个vlan内传播,此外我们可以在接入层采用两层设备S2126交换机,开启端口保护,汇聚层采用三层交换机S3760,开启Filter防护机制。
此类方法可以保证:
1、用户之间发送“我是网关”的ARP欺骗(类型1欺骗)信息由于接入交换机的端口保护机制,无法传播到其他用户的端口上。
2、用户发送类型2欺骗的信息由于汇聚交换机的Filter防护,在汇聚层上就被阻挡掉,无法欺骗网关设备
此类方法的缺点就是同个交换机且在同个vlan下的用户之间无法互相访问。
因此我们可以只对不需要产生直接互相通信的两台用户之间开启端口保护,其他不开,或者是采用结合软件的办法,电脑上安装arp防火墙,这样就可以不开启端口保护了。
结合软件arp防火墙和三层交换机的filter功能,也是一种非常实用有效防止arp攻击的方法。
2.5安全制度
任何的措施都不可能解决所有的网络安全问题,也就是“网络没有绝对的安全,没有绝对的网络安全”。
我们在采取安全控制措施后,在加强了安全性、可靠性的同时,还需要通过制度和行政手段来进行干预,比如发文强制统一安装网络防病毒软件,因为如果在一个网络里如果有机器没装防病毒产品或者装的是单机版产品,势必会给整个单位网络带来不小影响,在出了问题的时候没有一个统一的解决方案,反而会让他们成为“漏网之鱼”。
没有那个单机版用户能保证自己每天都及时做病毒码升级,而且现在装的单机版无非就是瑞星,金山,360之类的产品,这些产品相对于卡巴斯基这类统一部署的防病毒产品来说还是有一定差距的,像最近的好多单位网络瘫痪都是因为网络里有些机器装了这类软件导致的,而装有统一部署的防病毒的基本上没有问题。
还有一种情况普遍,就是网络存储设备的使用,经常会有用户会因为U盘携带病毒而使机器出现问题,如果有一个好的管理制度来做些约束,定期做些关于网络安全方面的培训,使每个人都知道网络安全问题的重要性也很必要。
三、网络信息系统的安全预算方案
产品名称
型号
单价
单位
数量
价格
核心交换机
H3CS9512-N
110000
2
220000
路由器
锐捷网络RSR-04E-BASE-AC-1GE
480000
960000
防火墙
思科PIX-535-FO-BUN
68000
136000
服务器
戴尔PowerEdgeR710
21800
3
65400
汇聚层交换机
H3CS5100-50C-EI-AC
26000
10
260000
二层交换机
TP-LinkTL-SF1024
410
501
205410
网络机柜
奥科OKE(OKE18812B)
130
380
49400
水晶头
AMP
0.2
30000
6000
网线
650
1065
692250
信息模块
20
6500
130000
配线架
安普406330-1超5类非屏蔽24口配线架2
620
310620
光纤
单模
25
1000
25000
多模
16
500
8000
D-LinkRJ45压线工具
D-LinkRJ45压线工具(DTOOLCRIMPG1)
200
100
20000
D-Link1对110打线工具
D-Link1对110打线工具(DTOOLPUNCDN1P)
400
80000
光纤收发器
天为电信光纤收发器
150
15000
跳线
VBELST-ST(多模)
40
4000
PVC管、转角、软管、胶布、线槽、打线嵌、螺钉等、成品跳线、机柜等其它
100000
溶纤费
5000
总计
3013560
总造价=材料+A+B+C+D;
A(系统设计费)=材料总价*3%;
B(施工督导费)=材料总价*5%;
C(安装调试费)=材料总价*10%;
D(辅材费用)=材料总价*5%。
E(税收费)=材料总价*3.69%
双绞线施工预算内损耗<
5%。
共:
3013560+3013560*3%+3013560*5%+3013560*10%+3013560*5%+3013560*3.69%
=3514768元
共:
3514768元
升级会员 