网络安全设计方案一.docx
《网络安全设计方案一.docx》由会员分享,可在线阅读,更多相关《网络安全设计方案一.docx(40页珍藏版)》请在冰豆网上搜索。
网络安全设计方案一
网络安全设计方案
2009-03-27 23:
02:
39
标签:
IDC 网络系统安全实施方案
1 吉通上海 IDC 网络安全功能需求
1.1 吉通上海公司对于网络安全和系统可靠性的总体设想
(1)网络要求有充分的安全措施,以保障网络服务的可用性和网络信息的完整
性。
要把网络安全层,信息服务器安全层,数据库安全层,信息传输安全层作
为一个系统工程来考虑。
网络系统可靠性:
为减少单点失效,要分析交换机和路由器应采用负荷或流量
分担方式,对服务器、计费服务器和 DB 服务器,WWW 服务器,分别采用的策略。
说明对服务器硬件、操作系统及应用软件的安全运行保障、故障自动检测/报警
/排除的措施。
对业务系统可靠性,要求满足实现对硬件的冗余设计和对软件可靠性的分析。
网络安全应包含:
数据安全;
预防病毒;
网络安全层;
操作系统安全;
安全系统等;
(2)要求卖方提出完善的系统安全政策及其实施方案,其中至少覆盖以下几个
方面:
l对路由器、服务器等的配置要求充分考虑安全因素
l制定妥善的安全管理政策,例如口令管理、用户帐号管理等。
l在系统中安装、设置安全工具。
要求卖方详细列出所提供的安全工具
清单及说明。
l制定对黑客入侵的防范策略。
l对不同的业务设立不同的安全级别。
(3)卖方可提出自己建议的网络安全方案。
1.2 整体需求
l安全解决方案应具有防火墙,入侵检测,安全扫描三项基本功能。
l针对 IDC 网络管理部分和 IDC 服务部分应提出不同的安全级别解决方
案。
l所有的 IDC 安全产品要求厂家稳定的服务保障和技术支持队伍。
服务
包括产品的定时升级,培训,入侵检测,安全扫描系统报告分析以及对安全事故
的快速响应。
l安全产品应能与集成商方案的网管产品,路由,交换等网络设备功能
兼容并有效整合。
l所有的安全产品应具有公安部的销售许可和国家信息化办公室的安全
认证。
l所有安全产品要求界面友好,易于安装,配置和管理,并有详尽的技
术文档。
l所有安全产品要求自身高度安全性和稳定性。
l安全产品要求功能模块配置灵活,并具有良好的可扩展性。
1.3 防火墙部分的功能需求
l网络特性:
防火墙所能保护的网络类型应包括以太网、快速以太网、
(千兆以太 网、ATM、令牌环及 FDDI 可选)。
支持的最大 LAN 接口数:
软、硬件
防火墙应能提供至少 4 个端口。
l服务器平台:
软件防火墙所运行的操作系统平台应包括
Solaris2.5/2.6、Linux、Win NT4.0(HP-UX、IBM-AIX、Win 2000 可选)。
l加密特性:
应提供加密功能,最好为基于硬件的加密。
l认证类型:
应具有一个或多个认证方案,如
RADIUS、Kerberos、TACACS/TACACS+、 口令方式、数字证书等。
l访问控制:
包过滤防火墙应支持基于协议、端口、日期、源/目的 IP
和 MAC 地址过滤;过滤规则应易于理解,易于编辑修改;同时应具备一致性检
测机制,防止冲突;在传输层、应用层(HTTP、FTP、TELNET、SNMP、STMP、POP)提
供代理支持;支持网络地址转换(NAT)。
l防御功能:
支持病毒扫描,提供内容过滤,能防御 Ping of
Death,TCP SYN Floods 及其它类型 DoS 攻击。
l安全特性:
支持转发和跟踪 ICMP 协议(ICMP 代理);提供入侵实时
警告;提供实时入侵防范;识别/记录/防止企图进行 IP 地址欺骗。
l管理功能:
支持本地管理、远程管理和集中管理;支持 SNMP 监视和
配置;负载均衡特性;支持容错技术,如双机热备份、故障恢复,双电源备份
等。
l记录和报表功能:
防火墙应该提供日志信息管理和存储方法;防火墙
应具有日志的自动分析和扫描功能;防火墙应提供告警机制,在检测到入侵网
络以及设备运转异常情况时,通过告警来通知管理员采取必要的措施,包括
E-mail、呼机、手机等;提供简要报表(按照用户 ID 或 IP 地址提供报表分
类打印); 提供实时统计。
2 惠普公司在吉通上海 IDC 中的网络安全管理的设计思想
2.1 网络信息安全设计宗旨
惠普公司在为客户 IDC 项目的信息安全提供建设和服务的宗旨可以表述为:
l依据最新、最先进的国际信息安全标准
l采用国际上最先进的安全技术和安全产品
l参照国际标准 ISO9000 系列质量保证体系来规范惠普公司提供的信息
安全产品和服务
l严格遵守中华人民共和国相关的法律和法规
2.2 网络信息安全的目标
网络安全的最终目标是保护网络上信息资源的安全,信息安全具有以下特征:
l保密性:
确保只有经过授权的人才能访问信息;
l完整性:
保护信息和信息的处理方法准确而完整;
l可用性:
确保经过授权的用户在需要时可以访问信息并使用相关信息
资产。
信息安全是通过实施一整套适当的控制措施实现的。
控制措施包括策略、实践、
步骤、组织结构和软件功能。
必须建立起一整套的控制措施,确保满足组织特
定的安全目标。
2.3 网络信息安全要素
惠普公司的信息安全理念突出地表现在三个方面--安全策略、管理和技术。
l安全策略--包括各种策略、法律法规、规章制度、技术标准、管理标
准等,是信 息安全的最核心问题,是整个信息安全建设的依据;
l安全管理--主要是人员、组织和流程的管理,是实现信息安全的落实
手段;
l安全技术--包含工具、产品和服务等,是实现信息安全的有力保证。
根据上述三个方面,惠普公司可以为客户提供的信息安全完全解决方案不仅仅
包含各种安全产品和技术,更重要的就是要建立一个一致的信息安全体系,也
就是建立安全策略体系、安全管理体系和安全技术体系。
2.4 网络信息安全标准与规范
在安全方案设计过程和方案的实施中,惠普公司将遵循和参照最新的、最权威
的、最具有代表性的信息安全标准。
这些安全标准包括:
lISO/IEC 17799 Information technology–Code of practice for
information security management
lISO/IEC 13335 Information technology– Guidelines for The
Management of IT Security
lISO/IEC 15408 Information technology– Security techniques
– Evaluation criteria for IT security
l我国的国家标准 GB、国家军用标准 GJB、公共安全行业标准 GA、行
业标准 SJ 等标准作为本项目的参考标准。
2.5 网络信息安全周期
任何网络的安全过程都是一个不断重复改进的循环过程,它主要包含风险管理、
安全策略、方案设计、安全要素实施。
这也是惠普公司倡导的网络信息安全周
期。
l风险评估管理:
对企业网络中的资产、威胁、漏洞等内容进行评估,
获取安全风险的客观数据;
l安全策略:
指导企业进行安全行为的规范,明确信息安全的尺度;
l方案设计:
参照风险评估结果,依据安全策略及网络实际的业务状况,
进行安全方案设计;
l安全要素实施:
包括方案设计中的安全产品及安全服务各项要素的有
效执行。
l安全管理与维护:
按照安全策略以及安全方案进行日常的安全管理与
维护,包括变更管理、事件管理、风险管理和配置管理。
l安全意识培养:
帮助企业培训员工树立必要的安全观念。
3 吉通上海 IDC 信息系统安全产品解决方案
3.1 层次性安全需求分析和设计
网络安全方案必须架构在科学的安全体系和安全框架之上。
安全框架是安全方
案设计和分析的基础。
为了系统地描述和分析安全问题,本节将从系统层次结
构的角度展开,分析吉通 IDC 各个层次可能存在的安全漏洞和安全风险,并提
出解决方案。
3.2 层次模型描述
针对吉通 IDC 的情况,结合《吉通上海 IDC 技术需求书》的要求,惠普公司把
吉通上海 IDC 的信息系统安全划分为六个层次,环境和硬件、网络层、操作系
统、数据库层、应用层及操作层。
3.2.1 环境和硬件
为保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有
害气体和其它环境事故(如电磁污染等)破坏,应采取适当的保护措施、过程。
详细内容请参照机房建设部分的建议书。
3.2.2 网络层安全
3.2.2.1 安全的网络拓扑结构
网络层是网络入侵者进攻信息系统的渠道和通路。
许多安全问题都集中体现在
网络的安全方面。
由于大型网络系统内运行的 TPC/IP 协议并非专为安全通讯而
设计,所以网络系统存在大量安全隐患和威胁。
网络入侵者一般采用预攻击探
测、窃听等搜集信息,然后利用 IP 欺骗、重放或重演、拒绝服务攻击(SYN
FLOOD,PING FLOOD 等)、分布式拒绝服务攻击、篡改、堆栈溢出等手段进行
攻击。
保证网络安全的首要问题就是要合理划分网段,利用网络中间设备的安全机制
控制各网络间的访问。
在对吉通 IDC 网络设计时,惠普公司已经考虑了网段的
划分的安全性问题。
其中网络具体的拓扑结构好要根据吉通 IDC 所提供的服务
和客户的具体要求做出最终设计。
3.2.2.2 网络扫描技术
解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。
面对大
型网络的复杂性和不断变化的情况,依靠网络管理员的技术和经验寻找安全漏
洞、做出风险评估,显然是不现实的。
解决的方案是,寻找一种能寻找网络安
全漏洞、评估并提出修改建议的网络安全扫描工具。
解决方案:
ISS 网络扫描器 Internet Scanner
配置方法:
在上海 IDC 中使用一台高配置的笔记本电脑安装 Internet
Scanner,定期对本 IDC 进行全面的网络安全评估, 包括所有重要的服务器、
防火墙、路由设备等。
扫描的时间间隔请参照安全策略的要求。
ISS 网络扫描器 Internet Scanner 是全球网络安全市场的顶尖产品。
它通过对
网络安全弱 点全面和自主地检测与分析,能够迅速找到并修复安全漏洞。
网络
扫描仪对所有附属在网络中的设备进行扫描,检查它们的弱点,将风险分为高,
中,低三个等级并且生成大范围的有意义的报表。
从以企业管理者角度来分析
的报告到为消除风险而给出的详尽的逐步指导方案均可以体现在报表中。
该产品的时间策略是定时操作,扫描对象是整个网络。
它可在一台单机上对已
知的网络安全漏洞进行扫描。
截止 Internet Scanner6.01 版本,Internet
Scanner 已能对 900 种以上 的来自通讯、服务、防火墙、WEB 应用等的漏洞进
行扫描。
它采用模拟攻击的手段去检测网络上每一个 IP 隐藏的漏洞,其扫描对
网络不会做任何修改和造成任何危害。
Internet Scanner 每次扫描的结果可生成详细报告,报告对扫描到的漏洞按高、
中、低三 个风险级别分类,每个漏洞的危害及补救办法都有详细说明。
用户可
根据报告提出的建议修改网络配置,填补漏洞。
可检测漏洞分类表:
Brute Force Password-Guessing
为经常改变的帐号、口令和服务测试其安全性
Daemons
检测 UNIX 进程(Windows 服务)
Network
检测 SNMP 和路由器及交换设备漏洞
Denial of Service
检测中断操作系统和程序的漏洞,一些检测将暂停相应的服务
NFS/X Windows
检测网络网络文件系统和 X-Windows 的漏洞
RPC
检测特定的远程过程调用
SMTP/FTP
检测 SMTP 和 FTP 的漏洞
Web Server Scan and CGI-Bin
检测 Web 服务器的文件和程序(如 IIS,CGI 脚本和 HTTP)
NT Users, Groups, and Passwords
检测 NT 用户,包括用户、口令策略、解锁策略
Browser Policy
检测 IE 和 Netscape 浏览器漏洞
Security Zones
检测用于访问互联网安全区域的权限漏洞
Port Scans
检测标准的网络端口和服务
Firewalls
检测防火墙设备,确定安全和协议漏洞
Proxy/DNS
检测代理服务或域名系统的漏洞
IP Spoofing
检测是否计算机接收到可疑信息
Critical NT Issues
包含 NT 操作系统强壮性安全测试和与其相关的活动
NT Groups/Networking
检测用户组成员资格和 NT 网络安全漏洞
NetBIOS Misc
检测操作系统版本和补丁包、确认日志存取,列举、显示 NetBIOS 提供的信息
Shares/DCOM
检测 NetBIOS 共享和 DCOM 对象。
使用 DCOM 可以测试注册码、权限和缺省安全
级别
NT Registry
包括检测主机注册信息的安全性,保护 SNMP 子网的密匙
NT Services
包括检测 NT 正在运行的服务和与之相关安全漏洞
2.2.2.3 防火墙技术
防火墙的目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、
拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的
审计和控制。
具体地说,设置防火墙的目的是隔离内部网和外部网,保护内部
网络不受攻击,实现以下基本功能:
·禁止外部用户进入内部网络,访问内部机器;
·保证外部用户可以且只能访问到某些指定的公开信息;
·限制内部用户只能访问到某些特定的 Internet 资源,如 WWW 服务、
FTP 服务、 TELNET 服务等;
解决方案:
CheckPoint Firewall-1 防火墙和 Cisco PIX 防火墙
防火墙除了部署在 IDC 的私有网(即网管网段等由 IDC 负责日常维护的网络部
分)以外,还可以根据不同的用户的需求进行防火墙的部署,我们建议对于独
享主机和共享主机都进行防火墙的配置,而对于托管的主机可以根据用户的实
际情况提供防火墙服务。
无论是虚拟主机还是托管主机,IDC 都需要为这些用户提供不同程度的远程维
护手段,因此我们也可以采用 VPN 的技术手段来保证远程维护的安全性,VPN
同时也可以满足 IDC 为某些企业提供远程移动用户和合作企业之间的安全访问
的需求。
根据吉通上海 IDC 的安全要求以及安全产品的配置原则,我们建议使用的产品
包括 Cisco PIX 和 CheckPoint Firewall-1 在内的两种防火墙,其中:
lCisco PIX 防火墙配置在对网络访问速度要求较高但安全要求相对较
低的网站托管区和主机托管区;
lCheckPoint 防火墙配置在对网络速度较低但安全要求相对较高的 IDC
维护网段。
这两种防火墙分别是硬件防火墙和软件防火墙的典型代表产品,并在今年 4 月
刚刚结束的安全产品的年度评比中,并列最佳防火墙产品的首位。
这里只对
CheckPoint 的 Firewall-1 进行说明。
Checkpoint 公司是一家专门从事网络安全产品开发的公司,是软件防火墙领域
的佼佼者,其旗舰产品 CheckPoint Firewall-1 在全球软件防火墙产品中位居
第一(52%),在亚太 地区甚至高达百分之七十以上,远远领先同类产品。
在
中国电信、银行等行业都有了广泛的应用。
CheckPoint Firewall-1 是一个综合的、模块化的安全套件,它是一个基于策
略的解决方 案,提供集中管理、访问控制、授权、加密、网络地址传输、内容
显示服务和服务器负载平衡等功能。
主要用在保护内部网络资源、保护内部进
程资源和内部网络访问者验证等领域。
CheckPoint Firewall-1 套件提供单一
的、集中的分布式安全的策略,跨越 Unix、 NT、路由器、交换机和其他外围
设备,提供大量的 API,有 150 多个解决方案和 OEM 厂商的 支持。
CP
Firewall-1 由 3 个交互操作的组件构成:
控制组件、加强组件和可选组件。
这
些 组件即可以运行在单机上,也可以部署在跨平台系统上。
其中,控制组件包
括 Firewall-1 管理服务器和图形化的客户端;加强组件包含 Firewall-1 检测
模块和 Firewall-1 防火墙 模块;可选组件包括 Firewall-1 Encryption
Module(主要用于保护 VPN)、Firewall-1 Connect Control Module(执行服
务器负载平衡)Router Security Module (管理路由器 访问控制列表)。
Checkpoint Firewall-1 防火墙的操作在操作系统的核心层进行,而不是在应
用程序层, 这样可以使系统达到最高性能的扩展和升级。
此外 Checkpoint
Firewall-1 支持基于 Web 的多媒体和基于 UDP 的应用程序,并采用多重验证
模板和方法,使网络管理员容易验证客户端、会话和用户对网络的访问。
CHECKPOINT 防火墙功能要求:
1)支持透明接入和透明连接,不影响原有网络设计和配置:
Check Point FireWall-1 是一款软件防火墙,是安装在现有的网关或服务器计
算机上,对接入和连接都是透明的,不会影响原有网络设计和配置。
2)带有 DMZ 的连接方式:
Check Point FireWall-1 可以支持多个网络接口,所以客户可以很容易的按照
需要设置 DMZ 分区。
3)支持本地和远程管理两种管理方式:
Check Point FireWall-1 中的 Enterprise Management Console 模块功能十分
强 大,支持本地和远程两种管理方式,减轻了网络管理员对网络的管理负担。
4)支持命令行和 GUI 方式的管理与配置:
Check Point FireWall-1 中的管理控制台支持命令行和 GUI 方式的管理与配置;
可以在 Windows 95/98/NT 上安装 Windows GUI 界面,在 Unix 操作系统下可以
安装 Motif GUI 图形用户界面进行管理与配置。
5)对分布式的防火墙支持集中统一状态管理:
Check Point FireWall-1 中的管理控制台支持对分布式防火墙的集中统一状态
管理。
它可以同时管理多个防火墙模块。
6)规则测试功能,支持规则一致性测试:
Check Point FireWall-1 中的策略编辑器中有一命令,可以对已经配置好的规
则 进行测试,可以检测其一致性。
7)透明代理功能:
Check Point FireWall-1 支持代理功能,而且功能强大,可以支持本身自带的
预 定义 的超过 150 多种的常用协议。
8)地址转换功能,支持静态地址转换、动态地址转换以及 IP 地址与
TCP/UDP 端口的转换:
Check Point FireWall-1 支持 NAT 地址转换功能,支持 Static Mode(静态转换)和
Hide Mode(动态转换) 两种方式;目前不支持 IP 地址与 TCP/UDP 端口的转换。
9)访问控制,包括对 HTTP、FTP、SMTP、TELNET、NNTP 等服务类型的访
问控制;
Check Point FireWall-1 可以通过制定策略来进行访问控制,可以支持超过
150 多种的常用协议,并可以自定义各种不常用的协议。
10)用户级权限控制:
Check Point FireWall-1 可以指定用户对象,在其属性中有各种认证方式可供
选 择,加强了用户级的权限控制。
11)防止 IP 地址欺骗功能:
Check Point FireWall-1 提供了防止 IP 地址欺骗的功能,可以在设定防火墙
网关 的网卡属性时激活该功能。
12)包过滤,支持 IP 层以上的所有数据包的过滤:
Check Point FireWall-1 中的对象以 IP 地址或 TCP/UDP 端口号来识别,所以
可以 对 IP 层以上的所有数据包进行过滤。
13)信息过滤,包括 HTTP、FTP、SMTP、NNTP 等协议的信息过滤:
Check Point FireWall-1 可以通过 OPSEC 接口,与第三方厂商的软件或硬件产
品无 缝结合起来对 HTTP、FTP、SMTP 等协议进行信息过滤。
14)地址绑定功能,实现 MAC 地址与固定 IP 地址的绑定,防止 IP 地址盗用:
Check Point FireWall-1 目前为止不能实现 MAC 地址与固定 IP 地址的绑定。
但是 可以利用各节点处的路由器来进行 MAC 地址与固定 IP 地址的绑定。
15)抗攻击性要求,包括对防火墙本身和受保护网段的攻击抵抗:
防火墙本身的抗攻击能力与其所运行的操作系统的安全级别有关。
操作系统的
安全级别越高,防火墙本身的抗攻击的能力也越高。
16)审计日志功能,支持对日志的统计分析功能:
Check Point FireWall-1 中自带有日志功能,可以对符合预定规则的网络流量
事先规定的方式进行记录;在 Check Point FireWall-1 4.1 产品中带有
Reporting Module,可以对日志进行分析统计。
17)实时告警功能,对防火墙本身或受保护网段的非法攻击支持多种告警方
式(声光告警、EMAIL 告警、日志告警等)以及多种级别的告警:
Check Point FireWall-1 的策略中有报警功能,其中包括了 E-mail 告警,日
志告警等多种告警方式。
CheckPoint 防火墙技术性能指标:
1)时延:
在每个包大小平均为 512 字节的情况下,在 3DES 加密方式下
Unix 的时延是 1.8msec,NT 是 1.2msec;在 DES 加密下 Unix 的时延是
1.3msec,NT 是 1msec。
2)吞吐量:
在没有数据加密情况下,不同的操作系统可以分别达到
152M~246Mbps;在数据加密情况下,可以达到约 55Mbps。
3)最小规则数:
在防火墙概念中无此提法。
按照我们的理解,此概念如果是指策略中的规则数
的话,则无限制。
4)包转发率:
10~15Mbps。
5)最大位转发率:
在防火墙概念中无此提法。
按照我们的理解,此概念
类似吞吐量。
6)并发连接数:
理论上没有限制。
Firewall-1 防火墙是一种应用级防火墙,它的监测模块能监测和分析网络通信
所有七层协议的内容。
实际上路由器本身就可以实现包过滤防火墙的功能,对吉通上海 IDC 的各个路
由器的配置进行检查和调整。
保证整个网络中各个路由器的配置相互一致,并
承担包过滤检查的功能。
因为防火墙在核心网上起着安全管理的“警察”的重要作用,它的可靠性往往代
表着整个网络的可靠性。
如果一台防火墙发生故障,那么所有经过它的网络连
接都中断了,防火墙就成为一个“单点故障”,这在一个及其关键的网络环境
中是不允许的。
建议方案:
Checkpoint FireWall-1 防火墙产品可以通过两台防火墙之间建
升级会员 