网络安全集成方案.docx
《网络安全集成方案.docx》由会员分享,可在线阅读,更多相关《网络安全集成方案.docx(19页珍藏版)》请在冰豆网上搜索。
网络安全集成方案
网络安全集成方案
第一章网关安全
网络安全首先是边界安全即网关安全,在企业网关处加入防火墙。
选择按全方案需要考虑多方面的因素:
安全性、加密、性能、容量、灵活性、稳健性
一、全性
安全设备装置除了提供状态检验的防火墙及存取监管,更须拥有多项入侵防护和警报功能,确保整个网络更加稳固。
有关设备装置不应依赖普遍性的作业系统作为防火墙的软件平台,因为这类平台的弊病是很容易被侵入破坏,且需要进行定期修补和更新。
由于很多安全问题同时涉及多个类别,以下将逐一进行探讨。
二、加密
在今天的环境下,企业一般希望他们的VPN设置完全符合自身的整体安全情况。
这衍生了一个问题:
‘VPN通道的终点应该设在哪处地方才最为安全?
’答案自然是防火墙,不过这样对传统防火墙的性能产生了很严重的问题。
由于IPSec加密需要进行密集的电脑运算,当在一般用途的电脑平台运作时(正如大多数传统防火墙)其性能表现非常差劲,防火墙的传输速率亦大受影响。
即使加上专用的VPN硬件加速卡,个人电脑的结构只会使VPN性能出现轻微改善。
供应商之间为系统设置VPN互通性能是另一个必须考虑的因素,尤以现今营运的环境倾向企业合并、建造企业外联网络,将工作外包给服务供应商及通勤VPN用户的诞生。
远端分支站点设立的VPN所面对的安全威胁与中央网络大致相同,然而这问题经常为人所忽视。
远端工作人员和分公司一般会使用本地互联网络或企业VPN接入,但这无形中让企业受到‘U型’攻击的机会大增,入侵者可以通过分支站点设立的VPN进入网络,然后通过VPN通道进入企业内部网络。
VPN专用设备装置可以进行设置,过滤所有并非前往或来自企业VPN网络的流量,但是由于企业网络连接互联网络多了一层阻隔,这会引起
远端节点出现传输延误和可能的网络堵塞情况。
与中央网络的配置一样,将VPN通道的重点设在企业管理的防火墙可以改善安全和营运上的问题,只需要一个在性能和容量方面都适合的站点设置。
三、性能
除了需要支援高性能的VPN流量外,企业防火墙必须能够应付公司为提高收入而进行的销售和市场推广活动所产生的额外流量。
这些促销活动的目标,旨在发挥因特网的力量(E-mail广告、banner广告、通讯刊物的宣传赞助),以此吸引消费者登录公司网站浏览,从而透过电子商务直接满足客户的需要,或者获取客户资料作为将来行销之用。
不过,所有行销活动都会带来一个副作用,便是引起骇客的注意。
这些推销活动会直接或间接地加重企业防火墙的负荷,并提高出现系统故障或被侵袭的情况。
局部故障最严重的例子是防火墙成为瓶颈,令客户流量传输变得缓慢不已。
在现今商业环境下,一个运作迟缓的网站是完全不可接受的,一旦发生这种情况,公司的声誉和收入会受到沉重打击。
企业将部分基础设施外包给服务供应商的主要原因之一,是希望获得更多的频宽、更完善的备援机构,以及在Web和电子商务方面得到更高水准的专业服务。
因此,相比选择不外包的企业,对服务供应商在各方面的原需求为高,包括传输速率、会话(session)或VPN通道数目,以及处理尖峰流量负载的能力。
同时,服务供应商必须根据服务水平协议(SLA)为客户提供一定的服务水平,以免负上金钱赔偿的责任,故此他们自身的系统
架构,在设计上皆足以应付尖峰流量负载,而且所有组件设备装置的性能容量皆预留一定的空间。
四、容量
VPN中央站点需要一个在传输速率和支援的通道数目方面具备可扩展性的安全方案,因为家庭办公人员、远端工作人员、分公司和内部网络的伙伴全部将VPN通道的终点设于中央站点。
此外,中央站点方案也需要支援数以千计的并发VPN通道,以及可选择支援中转站(HubandSpoke)的配置,让各分公司之间可以互相联系,而不需建立错综复杂的VPN拓扑网络。
企业防火墙通常利用数据包状态监测追踪每个离开和进入企业网络周边的会话。
一旦防火墙达到可以处理的最高会话数目的容量时,所有新的会话将不会获准经过防火墙,直至完成处理现有会话为止。
对网站而言,这是一个非常严重的问题,因为用户浏览每一版网页,已经包含众多个并发HTTP会话。
换言之,受欢迎网站的防火墙需要同时处理数以万计的并发会话。
在达到尖峰流量负载期间,一道防火墙可以处理新用户的流量是极为重要的,这容量一般称为斜率(ramprate),即计算每秒可以增加新会话的数目。
高斜率不单可以确保用户的满意程度,而且对预防网站受到阻断服务的攻击(denialofserviceattacks)同样重要。
这类攻击利用发出数以千计要求建立会话的讯息,导致防火墙的容量出现饱和,因而拒绝客户访问网站或使用其他服务。
五、灵活性
由于企业环境目前变化相当迅速,企业安全管理设备装置变得非常重要,尤其是在中央网络方案方面,以便企业能因这些变化,适当地作出调整。
这些网络安全设备必须具备以下特点:
1.当网络频宽增加,或是拓扑架构改变时,必须能增加不同的或是额外的实体界面(如路由器,交换机等);
2.必须能在不同的企业环境中发挥性能,例如中央网点、主机代管设施,或是分公司;
3.必须让使用者得以自行调整部分功能,而毋需求助于制造商。
这些功能例如:
VPN授权、支援额外的IP位址部分,以及增加会话数目。
从设备扩展性的角度来看,服务供应商必须能够配合整体市场的增长,以及现有个别客户需求的提升。
换言之,成功的服务供应商必须具备长远产品策划的条件。
他们需要配合客户数目的递增,从数十个到数百个,甚至数千个时,仍然能提供优质的可控安全服务,无需对已经建好的安全平台及管理工具进行重大的改动。
更进一步来看,这些网络安全设备还必须易于扩展以添置新的服务项目来增加收入,而不需要更换客户的硬件平台。
例如,当代管网站的现有客户需要增添VPN服务时,供应商无需安装额外的硬件平台便可轻易为客户增加服务项目。
六、稳健性
对于在企业网络环境中的任何设备而言,稳健性是相当重要的,尤其是管理所有网络进出流量的设备装置。
中央站点的设备,必须考虑以下几点:
1.备援界面、电源供应与风扇;
2.传输带宽以外提供近端与远端的监管能力;
3.可组态系统以兼备高可用性及热备援方案。
另外,网络的设计必须仔细考虑负载能力的问题,设备装置所能承载的流量,必须高于平时需求的百分之五十,以应付尖峰时段的需求、远端节点的扩张、流量的增加及骇客的攻击。
网络拓扑结构示意图:
Internet链路接入到贵公司,边缘网络设备为路由器,它使企业内部局域网可以访问Internet资源;将防火墙放在路由器之后,对所有向内和向外的流量予以控制,从而可以防止黑客入侵及非法访问;IDS设备置于主干线路上(防火墙之后即可)
根据贵公司的情况,可选用NetScreen-500防火墙
第二章NetScreen的优势
无论是现在还是未来的安全设备装置,都必须符合以上的要求,而这些需求,也逐渐成为设备装置上必须提供的功能。
这些设备必须能够将防火墙、VPN及流量管理无缝结合成单一架构,不但能为企业提供最高的安全性,而且能够依照企业的策略制定流量的优先顺序。
例如,调整企业用的VPN流量速度而非电子商务网站的存取速度。
这些设备装置也必须能负载防火墙及VPN最大的传输速率,支援最大的并发会话数目及最高的会话斜率,这相等于每秒产生的新会话数目。
系统必须能支援庞大的客户量,同样重要的是防卫阻断服务的攻击,避免因处理突发大量会话需求而引致防火墙出现故障。
即使在重负载的情况下,系统必须能维持以上的性能,而不产生任何封包遗失。
若只有一个会话能达到1Gbps的传输速率,而两万个会话只能达到300Mbps的传输速率的话,这个情况是不能接受的。
同样要维持传输速率但取而代之是大量的封包遗失,又或高层次的协定只单纯将这些封包输送,客户最终都面对差强人意的通讯回应。
NetScreen-500为状态检验的整和式系统安全产品,它整合了防火墙、VPN及流量管理的功能,仅占用2U的机架空间。
它是一款高性能的产品,不但具有备援能力,而且管理容易,并支援多重安全网域。
NetScreen-500是一独特平台,兼具NetScreen-1000及NetScreen-100的优点。
NetScreen-500是依据模块概念设计,具备多项出众的性能。
另外,在备援功能上还设有高可用性交换口、管理接口和四个流量模块,还有一个可制定程序的LCD,以便管理者远端设置。
主要产品特点:
700Mbps防火墙和NAT传输速率
250Mbps3DESVPN传输速率
能处理250,000个并发会话
每秒处理22,000个新会话
10,000个VPN通道
25个虚拟系统,100个VLAN
NAT,路由及透明模式运作
基于策略的NAT
支援中转站VPN
与Websense内容过滤方案兼容
10/100双交换端口或GBIC(SX或LX接受器)模块卡
背援高可用性介面
10/100传输带宽以外的监管能力
可制定式LCD
第三章企业局域网防病毒
防病毒采用趋势科技防病毒产品服务器版ServerProtect、网络版OfficeScan以及控制管理中心TMCM。
病毒码、扫描引擎以及程序版本可自动从趋势科技服务器更新,毋须手动操作;通过管理控制台集中控制管理并统一防病毒策率;对机器的实时防护技术是由趋势科技首先提出的;通过控管中心TMCM对所有趋势产品进行统一部署、分发防毒策率
趋势科技在防毒领域的优势
全方位防毒分析:
一、计算机病毒发展趋势分析
自从1983年世界上第一个计算机病毒出现以来,在不到20年的时间里,计算机病毒已到了无孔不入的地步,有些甚至给我们造成了巨大的破坏。
每当一种新的计算机技术广泛应用的时候,总会有相应的病毒随之出现。
例如,随着微软宏技术的应用,宏病毒成了简单而又容易制作的流行病毒之一;配合主板BIOS升级技术,出现了第一款可以损坏硬件的CIH病毒;随着Internet网络的普及,各种蠕虫病毒如梅丽莎、爱虫、SirCAM等疯狂传播。
最近更产生了集病毒和黑客攻击于一体,通过80端口进行传播的“红色代码(CordRed)”病毒和Nimda病毒。
在现今的网络时代,病毒的发展呈现出以下趋势:
病毒与黑客程序相结合
随着网络的普及和网速的提高,计算机之间的远程控制越来越方便,传输文件也变得非常快捷,正因为如此,病毒与黑客程序(木马病毒)结合以后的危害更为严重,病毒的发作往往伴随着用户机密资料的丢失。
病毒的传播可能会具有一定的方向性,按照制作者的要求侵蚀固定的内容。
蠕虫病毒更加泛滥
其表现形式是邮件病毒会越来越多,这类病毒是由受到感染的计算机自动向用户的邮件列表内的所有人员发送带毒文件,往往在邮件当中附带一些具有欺骗性的话语,由于是熟人发送的邮件,接受者往往没有戒心。
因此,这类病毒传播速度非常快,只要有一个用户受到感染,就可以形成一个非常大的传染面。
病毒破坏性更大
计算机病毒不再仅仅以侵占和破坏单机的资料为目的。
木马病毒的传播使得病毒在发作的时候有可能自动联络病毒的创造者(如爱虫病毒),或者采取DoS(拒绝服务)的攻击(如最近的:
红色代码病毒)。
一方面可能会导致本机机密资料的泄漏,另一方面会导致一些网络服务的中止。
而蠕虫病毒则会抢占有限的网络资源,造成网络堵塞(如最近的Nimda病毒),如有可能,还会破坏本地的资料(如针对911恐怖事件的Vote病毒)。
制作病毒的方法更简单
由于网络的普及,使得编写病毒的知识越来越容易获得。
同时,各种功能强大而易学的编程工具让用户可以轻松编写一个具有极强杀伤力的病毒程序。
用户通过网络甚至可以获得专门编写病毒的工具软件,只需要通过简单的操作就可以生成破坏性的病毒。
病毒传播速度更快,传播渠道更多
目前上网用户已不再局限于收发邮件和网站浏览,此时,文件传输成为病毒传播的另一个重要途径。
随着网速的提高,在数据传输时间变短的同时,病毒的传送时间会变得更加微不足道。
同时,其他的网络连接方式如ICQ、IRC也成为了传播病毒的途径。
病毒的实时检测更困难
众所周知,对待病毒应以预防为主,如果发生了病毒感染,往往就已经造成了不可挽回的损失,因此对网上传输的文件进行实时病毒检测成了亟待解决的重要问题。
网关防毒已成趋势
如果等病毒已经进入局域网后再作剿杀,显然为时已晚。
因此,通过网关把病毒拒绝在网络之外是最好的解决办法。
这种办法还可以防止将网络内部受到感染的病毒文件传到其他的网络当中,使得各个网络能够互相独立。
各种计算机病毒与反病毒之间的较量永远也不会停止。
用户只有提高自己的防毒意识,才能将病毒对自己的危害降到最低。
二、病毒入侵渠道分析
目前绝大多数病毒传播的途径是网络。
对于一个网络系统而言,针对病毒的入侵渠道和病毒集散地进行防护是最有效的防治策略。
正如一个国家如果只让每个公民进行自我保护是低效和不可控制的,必须设立专门的海关、警署等机关,对进入本地的人员进行检查,以便将外来的威胁阻止在本地的入口。
因此,对于每一个病毒可能的入口,部署相应的防病毒软件,实时检测其中是否有病毒,是构建一个完整有效防病毒体系的关键。
●来自系统外部(Internet或外网)的病毒入侵:
这是目前病毒进入最多的途径。
因此在与外部连接的网关处进行病毒拦截是效率最高,耗费资源最少的措施。
可以使进入内部系统的病毒数量大为减少。
但很明显,它只能阻挡进出网关病毒的入侵。
●网络邮件/群件系统:
如果网络内采用了自己的邮件/群件系统实施办公和信息自动化,那么一旦有某个用户感染了病毒,通过邮件方式该病毒将以几何级数在网络内迅速传播,并且很容易导致邮件系统负荷过大而瘫痪。
因此在邮件系统上部署防病毒也显得尤为重要。
●文件服务器:
文件资源共享是网络提供的基本功能。
文件服务器大大提高了资源的重复利用率,并且能对信息进行长期有效的存储和保护。
但是一旦服务器本身感染了病毒,就会对所有的访问者构成威胁。
因此文件服务器也需要设置防病毒保护。
●最终用户:
病毒最后的入侵途径就是最终的桌面用户。
由于网络共享的便利性,某个感染病毒的桌面机可能随时会感染其它的机器,或是被种上了黑客程序而向外传送机密文件(如“SirCam”病毒)。
因此在网络内对所有的客户机进行防毒控制也很有必要。
●内容保护:
由于目前邮件系统的使用异常方便,造成了用户很容易在不经意间将重要的、机密的或是不当的信息通过邮件发送出去;另一方面,来自Internet上的垃圾邮件也到处都是,导致用户需花大量的精力和时间去处理,降低了工作效率。
因此对往来的邮件内容进行过滤也很重要。
●集中管理:
对于一个大型网络来说,部署的防毒系统将十分复杂和庞大。
尤其在各网点在地域上分离的情况下,通过一个监控中心对整个系统内的防毒服务和情况进行管理和维护显得十分重要。
这样可以大大降低维护人员的数量和维护成本,并且缩短了升级、维护系统的响应时间。
防毒系统的最大特点是需要不断的升级和更新防毒软件,以应对新产生的各类病毒。
因此各点的防毒软件集中进行升级行动也是有效防毒的重要一环。
三、潜在病毒威胁分析
●外部–与互联网有直接通道,虽然中间有防火墙验证数据的合法性,但仍会受到来自互联网以HTTP、SMTP、FTP等数据流为载体的潜在病毒的威胁。
●内部–局域网中的工作站及文件服务器都会受到病毒的感染,病毒的攻击方式多种多样,有通过局域网传播、传统介质(光盘、软盘等)传播等等,一旦受到感染,便会迅速传播,会给日常的工作和生产带来极大的威胁。
●邮件服务器–电子邮件已成为病毒传播的最大载体,任一与外界有邮件往来的邮件服务器如果没有采取有效的病毒防护措施,极易受到攻击,并会导致病毒在企业内部网中快速传播。
其实邮件服务器本身不会受到邮件病毒的破坏,只是转发染毒邮件至客户信箱中,但是当客户机染毒并产生几何数量级的信件时,邮件服务器会由于在短时间内需转发大量邮件而导致性能迅速下降,直至当机。
创新的防毒体系:
2002年,趋势科技在全球向用户推广企业安全防护战略,基于此战略的全新的防毒体系向用户提供更全面、更及时、更彻底的病毒保护服务。
通俗来讲,趋势科技的防毒软件不仅仅下载病毒代码、扫描引擎和程序补丁,同进还下载预防代码、垃圾邮件列表、群发邮件病毒列表、清除工具,使得用户在面对象NIMDA这样恶性病毒的时候,并不是仅仅依靠病毒代码这根救命稻草,而是在病毒代码到来之前通过预防代码就可以获得保护。
在后期的病毒清除中,也不再需要手工清除,而是通过工具分发,可以实现集中大清除。
一句话,全新的防毒体系将病毒爆发周期完整地保护起来,面对恶性病毒,用户不用再象从前无奈和无助。
四、成熟、完整的防毒解决方案
趋势科技是世界上提供防毒解决方案最完整的厂商,无论是在网关防毒、群件服务器防毒、应用服务器防毒、客户端防毒,还是在无线防毒、宽带防毒方面,趋势科技都走在世界的最前面,向客户提供完整、高效,基于Internet技术的解决方案。
1、防毒墙技术的领导者
InterScan防毒墙是趋势科技率先开发的划时代产品,目前在全球网关防毒市场占有率名列第一(IDC2002统计数据),其使用的专利技术“onthefly”能够为用户提供海量级的可靠性服务,并已成为其它防毒厂商竞相效仿的对象。
强大的中央控管系统实现跨广域网管理
趋势科技率先推出强大的中央控管系统,可以通过TCP/IP轻松实现跨广域网的远程管理、远程调用、远程监控等功能,使各分支病毒防护系统的管理和维护更加简洁、有效,实现从单一客户端即可集中管理整个网络的病毒防护工作。
中央控管系统能够提供整个企业范围内全面的病毒活动追踪报告及病毒分析报告,并提供多种病毒报警方法,帮助管理员加强整个网络病毒防护产品的管理工作。
中央控管系统还负责集中的防毒元件更新,节省了网络资源,保证了整个网络系统防范病毒的高效性和一致性。
2、整体服务器、群件服务器市场排第一
趋势科技提供适合于各类大型企事业网络的服务器防毒解决方案。
ServerProtect支持NT/2000、Netware、Linux等众多平台,并支持大型网络存储系统,提供海量级的数据安全解决方案。
ScanMailforNotes支持NT/2000、Solaris、Linux、AIX、AS400、S/390等众多Notes运行平台。
ScanMailforExchange全面支持MicrosoftExchangeServer4.0/5.0/5.5/2000等多种版本。
在IDC2002最新报告中,趋势科技在整体服务器市场和群件服务器市场上都占据第一的位置。
序号
产品系列
安装地点
1
防毒中央控管系统TMCM
TMCM服务器端安装在管理中心的NT/2000服务器;TMCM代理安装在受管理的防毒软件平台上
2
趋势科技防毒墙讯息安全版IMSS
邮件服务器或单独机器
3
趋势科技防毒墙服务器版ServerProtect
应用服务器
4
趋势科技防毒墙网络版OfficeScan
NT/2000服务器上安装OfficeScan管理端,管理所有客户端
3.入侵检测系统(IntrusionDetectionSystem)
入侵监测系统处于防火墙之后对网络活动进行实时检测。
许多情况下,由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。
它们可以和你的防火墙和路由器配合工作。
入侵监测系统IDS与系统扫描器systemscanner不同。
系统扫描器是根据攻击特征数据库来扫描系统漏洞的,它更关注配置上的漏洞而不是当前进出你的主机的流量。
在遭受攻击的主机上,即使正在运行着扫描程序,也无法识别这种攻击 IDS扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时报警。
网络扫描器检测主机上先前设置的漏洞,而IDS监视和记录网络流量。
如果在同一台主机上运行IDS和扫描器的话,配置合理的IDS会发出许多报警。
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。
它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。
入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
这些都通过它执行以下任务来实现:
·监视、分析用户及系统活动;
·系统构造和弱点的审计;
·识别反映已知进攻的活动模式并向相关人士报警;
·异常行为模式的统计分析;
·评估重要系统和数据文件的完整性;
·操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
Symantec公司推出一系列最新的入侵检测产品:
基于网络的SymantecManHunt、采用诱捕技术的SymantecManTrap和基于主机的SymantecHostIDS。
SymantecManHunt是千兆级检测产品,它可以提供超越被动的事件识别和告警功能,为网络提供积极防护。
首先,其定制策略能够根据事件类型、网络中的事件位置,对入侵行为或DoS攻击立即采取应对措施;其次,它提供集成记录和分析功能,以检索捕获的数据包和键盘输入行为,显示具体详细的证明信息;另外,它可以在高可用性的配置中部署多个ManHunt节点,确保网络的正常运行和连续事件检查。
通过多个千兆网段和高速流量监控技术,企业可实施任意级别的检测,并结合基于数据流协议的异常分析和事件关联分析技术,识别协议内具体状态的恶意流量。
SymantecManTrap是一种诱捕技术,可帮助用户有效避免误确认。
它支持早期预警Sensor网络的自动安装和集中管理,能够协助检测基于主机和网络的混合攻击。
基于主机的SymantecHostIDS帮助用户防范针对主机的入侵与攻击,同时可与防火墙或其他存取控制产品相整合,强力抵制黑客的破坏。
随着企业网络的日趋扩大、日趋动态化与复杂化,来自网络的安全威胁也在呈指数级增长,企业也因此希望提高网络安全整体水平的呼声日渐高涨。
为了通过风险评估减少企业的网络风险,第一步就是需要通过基于网络的扫描工具评定网络安全的漏洞及弱点,进而使企业网络系统的安全防护做到先知先觉,未雨绸缪。
对于具体企业网络环境的网络风险评估,企业往往希望扫描工具能够做到对整个网络进行安全漏洞扫描,进而发现、发掘、分析、并报告安全性漏洞。
这就对网络扫描工具提出了极高的要求。
而目前作为一般的漏洞和风险评估工具,现有的网络扫描器也可用于发现、报告网络安全漏洞,但它们却不能识别漏洞的真伪,更无法提供漏洞的发生地与产生原因。
这对企业而言,就好比是一个处于危险的人被庸医告知自己病了,却连病情的轻重、病源何在均一概不知,仍需要进一步的确诊。
更进一步的如需要这些扫描工具对网络潜在的安全漏洞进行识别,就更无从谈起。
对此,网络安全专家赛门铁克认为,一个好的基于网络风险评估解决方案,往往需要对于其扫描技术的科学性、安全漏洞的真伪识别及诊断能力、对于安全漏洞的深层发掘能力、灵活的报告能力等功能均提出明确要求。
除此之外,还需要其具有如下特色功能:
●实时自动的扫描探测网络上的系统设备和服务;
●扫描信息并行处理,具备自学习能力;
●可对Unix\Linux\Windows\Netware等主流的操作系统进行扫描;
●可采用TCP/IP、IPX/SPX等协议进行扫描。
有鉴于此,赛门铁克推出了基于网络的采用顺序扫描技术的网络风险评估解决方案——NetRecon。
它可根据整体网络视图进行风险评估,同时可在那些常见安全漏洞被入侵者利用且实施攻击之前进行漏洞识别,从而帮助企业妥善保护网络和系统。
NetR
升级会员 