安全防护解决方案1.docx

安全防护解决方案1.docx

《安全防护解决方案1.docx》由会员分享，可在线阅读，更多相关《安全防护解决方案1.docx（11页珍藏版）》请在冰豆网上搜索。

安全防护解决方案1

安全防护方案

2020年4月

1项目背景

本次项目属于新建工厂的核心业务系统，网络中涉及到的业务种类较多，包括了办公、生产、弱点、互联网接入和数据中心等多种业务系统。

对于这些业务系统来说，安全防护是其中涉及的重点。

因此需要单独进行设计和考虑。

2需求分析

面对网络技术的快速发展以及业务风险的不断增阿基，需要建立有效的网络安全防范体系。

这些管理和控制的需求主要体现在以下几个方面：

•业务隔离

需要对网络区域进行划分，对不同区域之间的流量进行控制，可以根据数据包的源地址、目的地址、源端口、目的端口和网络协议等对网络流量的进行控制。

一方面是把可能的安全风险控制在相对独立的区域内，避免安全风险的大规模扩散。

另一方面是可以对网络

•攻击防范

由于TCP/IP协议的开放特性，尤其是IPv4，缺少足够的安全特性的考虑，带来了非常大的安全风险，常见的IP地址窃取、IP地址假冒，网络端口扫描以及危害非常大的拒绝服务攻击（DOS、DDOS）等，必须能够提供对这些攻击行为有效的检测和防范能力的措施。

•流量管理

对于用户应用网络，必须提供灵活的流量管理能力，保证关键用户和关键应用的网络带宽，同时应该提供完善的QOS机制，保证数据传输的质量。

另外，应该能够对一些常见的高层协议，提供细粒度的控制和过滤能力，比如可以支持WEB和MAIL的过滤，可以支持BT识别并限流等能力；

•用户管理

合法用户利用SSLVPN方式从外部互联网接入，需要对这些用户的网络应用行为进行管理，包括对用户进行身份认证，对用户的访问资源进行限制，对用户的网络访问行为进行控制等；

3设计目标

通过本次安全防护设计，明确安全区域，针对每个安全区域根据其安全等级进行相应的安全防护，以达到使整个系统结构合理、提高安全性、降低风险，使之易于管理维护，实现系统风险的可控性，在保证安全性的同时不以牺牲性能及易用性为代价。

其具体目标如下：

∙网络边缘进行防护，按业务需要隔离，利用防火墙部署灵活的安全控制策略，保护业务安全，并以高可靠性冗余架构保证业务连续性和可用性。

∙明确数据的访问方向，利用防火墙的细粒度安全控制机制及深度检测功能在保证正常业务通讯的同时，放置网络安全风险。

4设计原则

本次安全设计方案的核心目标是实现对比XX网络系统和应用操作过程的有效控制和管理。

网络安全建设是一个系统工程，网络安全体系建设应按照“统一规划、统筹安排，统一标准、相互配套”的原则进行，采用先进的“平台化”建设思想，避免重复投入、重复建设，充分考虑整体和局部的利益，坚持近期目标与远期目标相结合。

在设计的网络安全系统时，我们将遵循以下原则：

•全局性、综合性、整体性设计原则

安全方案将运用系统工程的观点、方法，从网络整体角度出发，分析安全问题，提出一个具有相当高度、可扩展性的安全解决方案。

从网络的实际情况看，单纯依靠一种安全措施，并不能解决全部的安全问题。

而且一个较好的安全体系往往是多种安全技术综合应用的结果。

本方案将从系统综合的整体角度去看待和分析各种安全措施的使用。

•需求、风险、代价平衡分析的原则

对任一网络来说，绝对安全难以达到，也不一定必要。

对一个网络要进行实际分析，对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。

保护成本、被保护信息的价值必须平衡。

在设计安全方案时，将均衡考虑各种安全措施的效果，提供具有最优的性能价格比的安全解决方案。

安全需要付出代价（资金、性能损失等），但是任何单纯为了安全而不考虑代价的安全方案都是不切实际的。

方案设计同时提供了可操作的分步实施计划。

•可行性、可靠性、安全性

作为一个工程项目，可行性是设计安全方案的根本，它将直接影响到网络通信平台的畅通；可靠性是安全系统和网络通信平台正常运行的保证；而安全性是设计安全方案的最终目的。

•可管理、易操作原则

安全措施要由人来完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。

其次，采用的措施不能影响系统正常运行。

设计方案应该尽量采用最新的安全技术，实现安全管理的自动化，以减轻安全管理的负担。

同时减小因为管理上的疏漏而系统的安全造成的威胁。

5部署方案

防火墙是网络系统的核心基础防护措施，它可以对整个网络进行网络区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制；对常见的网络攻击方式，如拒绝服务攻击（pingofdeath,land,synflooding,pingflooding,teardrop,…）、端口扫描（portscanning）、IP欺骗（ipspoofing）、IP盗用等进行有效防护；并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。

根据现有的网络结构接机和网络规模、以及网络安全防护需求，在本次网络规划中，防火墙的部署位置主要包括了网络接入、数据中心、生产网和弱电网等几中网络需求。

此外，还需要建设对于所有区域进行管理的运维管理区。

5.1安全域的识别和划分

安全域是指网络系统内包含相同的安全要求，达到相同的安全防护等级的区域。

同一安全域一般要求有统一的安全管理组织和制度以及统一的安全技术防护体系。

安全域定义了网络系统的最低安全等级，在安全域内可以包含更高安全级别的安全域。

划分网络安全域是指按照不同区域的不同功能目的和安全要求，将网络划分为不同的安全域，以便实施不同的安全策略。

其中，安全域是由一组具有相同安全保护需求并相互信任的系统组成的逻辑区域。

每一逻辑区域有相同的安全保护需求，具有相同的安全访问控制和边界控制策略，遵循同样的安全策略。

通过对网络系统进行合理的安全域划分，为每个安全域定义其安全等级，据此分析相邻两个安全域的边界的风险等级。

一般来说，两个安全域的安全等级差别越大，其边界的可信度越低，风险等级就越高。

网络安全域的划分，应遵循如下原则。

∙网络整体的拓扑结构需要进行严格的规划、设计和管理，一经确定，不能轻易更改。

如因业务需要，确实需对网络的整体拓扑结构进行调整和改变，需按照相应的运维管理流程上报。

∙按照网络分层设计的原则进行规划，层次划分和设计合理清晰，保证网络系统骨干稳定可靠，接入安全，便于扩充和管理，易于故障隔离和排除。

∙网络按访问控制策略划分成不同的安全域，将有相同安全需求的网络设备划分到一个安全域中，采取相同或类似的安全策略，对重要网段进行重点保护。

∙使用防火墙等安全设备、VLAN或其他访问控制方式与技术，将重要网段与其他网段隔离开，在不同安全域之间设置访问控制措施。

现有网络分区包括了办公网、生产网、弱电网、DMZ区、数据中心和互联接入区等几个区域。

这些区域的安全等级识别如下：

表1安全区域等级识别表

区域

安全风险

安全等级

办公网

较高，内部用户的安全事件会对其他高安全等级区域造成风险

3

生产网

高，工业设备受到的攻击会对生产产生致命影响

4

弱电网

低，对安全生产和数据安全影响较小

1

数据中心

极高，数据中心内的资源是企业最重要的数字资源

5

DMZ区

高，DMZ区的安全事件会威胁其他高安全等级区域

4

互联接入

高，互联接入区的安全事件会直接影响到其他高安全等级区域

4

运维管理

高，运维管理可以访问所有业务区域，并且进行业务管理

5

5.2安全区域访问关系

根据对现有安全区域之间业务访问关系的划分，可以得到以下的安全区域访问关系分析图。

图1安全区域访问关系图

在图中，相同安全等级的区域用同一种颜色表示。

而红色线则是存在低安全等级区域向高安全等级区域访问的需求。

这类访问需要需要专门设计。

访问关系最多的是运维管理区。

这一区域对所有的业务区域都存在访问联系。

因此，对于运维管理区也需要额外考虑。

5.3整体网络架构

根据各安全区域的划分和各区域之间的访问关系，则需要设计核心交换区域，对所有区域进行连接。

另一方面，通过核心交换机区域，则可以是各业务区域边缘明晰，有利于边缘区域的防护。

根据现有的区域划分情况，网络整体架构设计如下。

图2整体网络框架

在网络中，设计核心交换区域，所有的网络区域都与核心交换区域进行连接，利用核心交换区域进行快速交换。

可以在各区域边缘设计相应的安全防护设备，对各区域之间的安全策略进行控制。

5.4防火墙高可用性设计

网络区域边缘的安全防护设备主要是防火墙。

为了保证防火墙工作的可靠性，可以采用双机方式部署。

为了最大限度地减少出现单点故障的可能性，可以采用设备冗余来实现高可用性。

这种高可用性，即使是在设备出现故障的情况下，对于保护网络免受攻击也是非常关键的。

组件、链路和系统级冗余特性的结合使该解决方案可以经受多次故障并确保连接不会中断。

防火墙的高可用性以冗余协议（NSRP）为中心，通过在系统和相邻网络交换机之间建立物理连接，从而使一对冗余安全系统可以轻松集成到一个高可用性网络体系结构中。

借助链路冗余，可以消除导致系统故障的许多常见原因，如物理端口故障或电缆断开，以确保连接不会中断而不必切换整个系统。

为了最大限度的保证防火墙的设备安全，可以采用集群方式部署，即两台防火墙在逻辑上虚拟化为一台，降低管理的复杂度。

防火墙的双机部署的连接模式具有两种方式，分别是全连接模式和口字型连接模式。

分别如下图。

图3防火墙高可靠部署

对于以上两种连接模式来说，防火墙都做了冗余链路的连接。

全连接方式下的可靠性最好，但是链路连接关系较为复杂，在部分链路或者设备损坏后，流量的切换方式比较复杂，需要提前做好详细的规划和演练才能确保业务的正常。

因此，在本次项目中，建议采用口字型连接。

这样也可以提供足够的可靠性，同时又避免了全连接方式带来的复杂性风险。

无论哪种连接方式，都建议在两台防火墙之间部署冗余的连接链路，分别为控制线路和数据线路，这样可以保证防火墙集群最大的安全性。

以冗余HA方式部署时，需要进行会话同步。

在进行故障切换时，备份设备已经包含有必要的网络配置信息、会话状态信息和安全关联，因此可以在一秒种之内完成切换，继续处理现有流量，操作系统可以在冗余系统之间自动映射配置，以提供工作防火墙的会话维护功能（Session备份功能）。

HA架构可以使静态信息（如配置）和动态实时信息同步。

因此在故障切换同步期间可以共享以下信息：

连接/会话状态信息、IPSec安全性关联、NAT流量、地址簿信息以及配置变化等，保证在故障切换时已有业务连接不会断开，保证业务不受故障影响，用户根本察觉不到故障的发生。

5.5数据中心的安全防护

数据中心的核心功能是对外提供网络服务，保证外网对数据中心服务器的正常访问极其重要，这不仅要求边界防护设备拥有强大的处理性能和完善的可靠性机制，还可以在发生网络攻击时仍不影响正常的网络访问。

数据中心流量复杂，需要有针对性的配置配置和调整。

在防火墙上基于IP地址和应用进行策略管理，使服务器稳定运行，也避免网络出口拥塞，影响网络服务。

采用双机热备部署，提高系统可靠性。

单机故障时可以将业务流量平滑切换至备机上运行，保证服务器业务持续无间断的运行。

图4数据中心的防火墙部署

在数据中心防火墙上设定策略，只能接受来自各允许访问区域对指定的服务器资源进行访问，同时，拒绝服务器区域对外发出主动连接。

由于数据中心业务的重要性和复杂度，在数据中心边缘防护防火墙的性能需要有足够的冗余度，从而可以保证业务在遇到意外攻击时，还可以正常运行。

同时，预留高峰时期的突发流量处理能力和未来升级的能力。

5.6生产网的安全防护

生产网内主要是工业设备以及部分工业计算资源，这部分资源对于企业生产来说至关重要。

因此，这部分区域的安全防护等级同样要求非常高。

在生产网的边缘设计防火墙，拒绝来自非允许区域对内部资源的主动访问。

同时，允许工业设备和相关计算资源访问数据中心内的计算资源。

图5生产网的安全防护

对于从办公网对生产网的访问需要进行限制。

为了保证只有经过授权的人员可以从办公网访问到生产网，需要部署SSLVPN网关。

利用SSLVPN网关对内部可以访问的资源进行限制。

另一方面，可以将相关的计算资源通过虚拟化的方式进行发布，防止外界对于生产网内部资源进行攻击。

由于对于远程用户访问也需要SSLVPN网关，因此，生产网所需的SSLVPN网关可以不用单独部署，而是采用互连区的SSLVPN完成。

生产网对外访问的流量并不会很大，因此可以按照10Gbps的防火墙性能规划。

5.7弱电区的安全防护

弱电区内主要是安全生产用摄像机、IP广播和环境传感器等设备。

这类设备本身并不存在与其他区域交互的需求。

但是这部分设备由于遍布整个厂区，因此在被攻击后，也会对其他连接的区域产生威胁。

因此，需要在边缘部署网络安全设备，对进出的流量进行过滤。

图6弱电网的安全防护

在网络边缘部署防火墙，对弱电区的网络边缘进行控制。

5.8互联和DMZ区域的安全防护

互联区域和DMZ区域关系密切，因此两个区域可以放在一起来进行设计。

互联区域需要提供的业务包括了互联网访问、DMZ区域的Web服务等对外提供服务、远程用户对数据中心内网资源的访问、深圳总部之间的远程连接访问等。

对于这些服务，以下分别讨论。

互联网访问：

这部分访问的业务流量主要是来自办公网以及部分业务区域的某些特殊业务需求。

这部分的访问业务流量可以通过防火墙来进行过滤和控制。

防火墙需要拒绝外部互联网对内的主动访问，仅允许内部对外的访问。

DMZ区域的Web服务器等服务：

这类服务属于对外的业务提供，在防火墙上需要开启相关的访问策略，允许外部对内的指定资源的访问。

远程用户对数据中心资源的访问：

这类业务主要是面对移动或者远程办公人员提供，因此这部分业务需要利用SSLVPN方式完成。

深圳总部的远程访问：

这部分业务需要通过IPSecVPN方式完成。

在两个站点间形成稳定的固定连接，满足业务访问的需求。

针对以上的分析，可以对这部分业务整体设计如下图。

图7互联与DMZ区域安全设计

在网络出口区域部署出口防火墙和SSLVPN网关，提供上述的所有业务。

DMZ区域与互联接入区共享防火墙。

这一方面可以节约投资，另一方面也是业务需要。

因为互联网出口业务和DMZ区域业务本身结合较为紧密。

对于远程接入用户，可以按照其业务类型进行分组，其利用SSLVPN方式接入后，分别分配相应的IP地址段，使其可以按需要访问相关业务。

5.9运维管理区的设计

运维管理区是面向所有区域提供运维服务。

目前运维管理人员较少，并且缺乏独立的运维管理办公区域，因此，初期可以考虑建设虚拟的运维管理区，即利用SSLVPN网关提供虚拟区域，为内部管理人员提供专用的管理网段。

此外，运维管理区需要访问到所有的计算、存储、网络和安全设备。

并且，由于对于防火墙的操作具有相当的风险性。

因此，建议建立独立的带外管理网对重要设备进行管理。

从而也可以利用SSLVPN设备，运维人员运维时，可以要求登陆SSLVPN，获取指定的网络地址段，之后才可以访问到带外管理网，进行设备维护。

在运维人员没有进行运维工作时，其访问权限与办公网一致。

图8带外管理设计

如上图所示，在数据中心区域内设计带外管理区，利用数据中心防火墙进行防护。

运维人员平时在办公网中办公，在其需要对设备进行运维管理时，启动SSLVPN，利用SSLVPN网关给该PC分发新的IP地址段，该地址段可以穿透数据中心区域的边缘防火墙，并且进入带外管理区。

在该区域内，用户可以完成对所有设备的带外管理。

6主要设备的选型

6.1设备需求

本次项目中涉及到的安全设备主要包括了七台防火墙和一台SSLVPN网关。

对于这些设备的主要需求如下：

表2设备需求表

序号

类别

用途

数量

主要技术要求

1

防火墙

数据中心

2

2

防火墙

生产网

2

3

防火墙

弱电网

2

4

防火墙

网络出口

1

5

SSLVPN网关

用户接入

1

对于以上设备的性能来说，数据中心的防火墙由于位置重要，业务较多，性能进行了预留。

其他防火墙则按照实际性能需求的1.5~2倍实际性能进行预留。

而SSLVPN网关设备则因为其需要满足三种不同用途的用户接入，负载较大，因此需要进行适当的预留。

6.2相关产品