可以在S8505和NE40-8上配置访问控制列表ACL来限制各分公司和电厂之间的互访。
2.1.5Internet出口设计
为了实现公网出口的负载分担和冗余,建议采用如下组网方式:
两台防火墙SecPath1800F分别通过100M光纤链接网通和电信。
在两台防火墙上分别做1条缺省路由指向链接运营商的端口,并且把这两条缺省路由<以Type1外部路由的方式引入)发布到全网。
采用Type1外部路由的原因是收到2条缺省路由的内部路由器会优先选择cost值最小<离自己最近)的一条放入路由表,另外一条作为备用。
一台防火墙检测到与运营商的连接断开了,就会停止发布缺省路由,内部所有流量将从另外一台防火墙出去。
这样就实现了内部发起的流量的负载分担和冗余。
对于外部用户访问内部资源,需要在边界防火墙1800F上将对外开放的服务映射到公网上。
示意图如下<注:
图中的地址均为假设的地址):
如图,1800F-1连接网通,1800F-2连接电信。
在1800F-1上将DNS服务器和WWW服务器映射成网通分配的地址。
同样,在在1800F-2上将DNS服务器和WWW服务器映射成电信分配的地址。
用户浏览浙江能源网站时,请求CNNICDNS服务器进行域名解读。
电信用户从CNNICDNS服务器得到的目的地址是61.0.0.2,网通用户得到的是210.0.0.2。
可以正常访问。
假如到电信的连接中断,CNNICDNS服务器返回的地址为210.0.0.2<网通的地址),则电信用户仍然可以绕道电信与网通的连接访问到网站。
如果到网通的连接中断,情况也是一样。
这样就保证了外部用户始终可以访问浙江能源网站。
2.2OSPF路由协议部署
2.2.1OSPF区域划分
XXX集团原网络的路由区域划分如下图:
在新大楼网络建设中,对路由区域划分进行调整,如下图:
OSPF配置原则是只在与其他OSPF路由器连接的端口上启用OSPF进程,不在与2层交换机<或其他非OSPF设备)连接的端口上启OSPF。
通过引入或network命令将直连和静态路由引入OSPF进程。
在ABR/ASBR上对路由进行汇聚后再宣告,以减少网络中的路由条数,从而减少OSPF对CPU、内存等资源的占用。
2.2.2OSPF的Cost值设定
全网采用统一的OSPFCost参考值,考虑到一定的扩展性,参考带宽设为40G。
即40G带宽的Cost为1,以此类推。
如下表:
端口类型
Cost值
Loopback
1
10GE
4
GE
40
FE
400
10M
4000
E1
20000
对于引入到OSPF的静态路由和直连路由的OSPFMETRIC值统一设定为8000。
OSPF进程号设定:
OSPF的process-id是路由器的本地概念,不会影响到其它路由器。
但为了全网的统一、规范,所有路由器的OSPF的process-id统一设置为:
100。
2.3VPN接入
基于对浙江能投集团网络安全及外网用户移动办公的综合考虑,SecPath1000安全网关放置在内网核心交换机S8512下。
在出口防火墙1800F上做NAT转换,静态映射VPN网关地址到公网。
能投集团现有需要通过VPN接入的主要是一部分和总部之间没有直接的专线连接的分公司和出差及移动办公用户。
针对已经使用VPN客户端设备的分公司,在SecPath1000安全网关使用IPsec野蛮模式并启用NAT穿越功能接入分公司的局域网用户。
对于出差及移动办公用户,在笔记本电脑上安装VPN软件,通过预定义的用户名和密码认证接入集团局域网。
IPsec野蛮模式VPN连接采用扩展的用户名认证方式,由分支机构主动连接VPN安全网关SecPath1000。
客户端即分支公司可以不必使用固定IP接入。
使用IPsec加密的VPN隧道,用户数据包不能被篡改。
包括从IP地址,IP数据头,协议端口号,VPN隧道两端都有加密和防篡改,否则对端接收后不能正确解密。
但是,SecPath1000安全网关所在位于NAT设备之后,通过NAT地址转换进入内网。
NAT的基本原理在于修改报文的IP地址和端口信息,这样,一旦报文经过NAT设备,VPN隧道两端就不可能建立IPSEC隧道连接。
SecPath1000安全网关支持IPsec隧道的NAT穿越。
通过在IPSEC报文前增加一层UDP报文头的方式,防火墙只修改封装的UDP头,不修改IPSEC数据报文的内容,使得虽然经过NAT转换,仍然可以正常建立IPSEC隧道连接。
2.4部署用户认证方案
2.4.1与现有LDAP认证方式的融合
在用户的实际应用环境中,终端用户的信息往往已经存在于用户现有的应用系统中,比如电子邮件系统、Windows操作系统等。
如果在CAMS系统中重新为每一个网络接入用户设置新的帐号名/密码信息,不仅会增加用户系统管理员的工作量,而且终端用户必须多记忆一套“用户名/密码”信息。
用户希望在应用CAMS系统进行宽带接入认证管理时,能够使用现有某些应用系统的用户信息,实现单点认证,方便终端用户的使用,并减轻系统管理人员的用户信息管理和维护工作量。
CAMS系统与LDAP服务器配合应用,实现用户信息共享功能时,其组网不受具体的网络设备限制,CAMS服务器与使用LDAP服务器管理用户的应用服务器之间只要能通过LDAP协议通讯即可。
服务器端的操作步骤:
在本项目中,浙江能源集团已经使用ActiveDirectory来管理域用户信息。
ActiveDirectory是微软扩展了的LDAP数据库。
CAMS服务器使用LDAP组件来解决与LDAP服务器的配合问题。
在CAMS系统中,要实现用户的LDAP认证,需要进行以下步骤操作:
第一步:
检测AD服务器配置信息。
需要检测如下项目:
检查项
检查项说明
LDAP服务器版本
目前主流的LDAP服务器支持V2和V3版本的LDAP协议,根据该LDAP服务器的实际情况,选择其支持的LDAP协议版本
LDAP服务器IP地址
CAMS与LDAP服务器通讯需要的IP地址信息
LDAP服务器IP端口
CAMS与LDAP服务器通讯需要的端口信息,LDAP服务器的通讯端口,缺省值为389。
LDAP服务器管理员可更改LDAP服务器的通讯端口,根据实际情况设置此值。
管理员DN拥有用户帐号数据查询权限的管理员DN,CAMS利用该用户与LDAP服务器建立连接
管理员密码
LDAP服务器管理员密码
用户BASEDN用户数据保存的基准节点,所有用户帐号信息均作为该节点的子节点保存,输入值必须与LDAP服务器中存放用户数据的基准节点DN相同。
用户名属性名称
LDAP服务器中用户标识属性名称,利用该属性指定的值,可唯一确定一用户,对于AD来说,此属性设为sAMAccountName
用户密码属性名称
LDAP服务器中,保存用户密码的属性名称
自动连接间隔时长
CAMS系统在与LDAP服务器建立连接时,如果连接失败,会在该设定时间后重试建立连接。
间隔时长范围为[3,1440]分钟
第二步:
同步配置
检查项
检查项说明
LDAP服务器
选择从哪个LDAP服务器上同步帐号信息
同步帐号类型
选择同步为帐号用户或者预注册用户。
如果同步为预注册用户,可以节省CAMS系统的用户数。
过滤条件
只同步BaseDN下符合此条件的用户。
配置状态
有效,表示该同步可以进行同步;无效,表示该配置不能进行同步。
自动同步
选择该项,表示系统会每天进行自动同步用户信息。
不选择,不进行自动同步,但可以手工同步
用户新增帐号
选择该项,如果LDAP服务器新增用户,同步时将同步新增用户;否则,不同步新增用户。
其他项
和账号批量导入界面类似,区别是帐号批量导入选择的是从文件的第N列导入,同步配置选择从LDAP服务器的哪个属性导入。
第三步、在CAMSLDAP组件中配置LDAP服务器;
第四步、从LDAP服务器中导出用户数据
用户的帐号信息要通过CAMS到LDAP服务器进行认证,CAMS服务器中的帐号信息必须要包含LDAP服务器中的用户帐号信息。
CAMS系统提供LDAP用户导出功能,将LDAP服务器中的用户信息导出到文件中,再利用CAMS系统的批量帐号导入功能,将导出文件中的用户信息加入到CAMS服务器中。
第五步、将用户信息批量导入CAMS;
第六步、同步用户信息
在增加LDAP用户成功后,用户的状态为“未知”状态,此时需要“同步”操作才能将用户的userDN和密码从LDAPServer同步到CAMS中,同步有两种方式,一种为手工同步,即点击LDAP服务器列表后面的“同步”链接;另一种为自动同步,CAMS系统每天凌晨会自动同步。
在完成LDAP服务器增加、LDAP用户管理步骤后,可简单测试用户是否可在ActiveDirectory进行认证。
进入用户自助界面,输入已加入LDAP服务器管理的用户名及其在ActiveDirectory中的密码,点击登录,如果用户登录成功,表明上述配置均正确无误。
2.4.2客户端认证
要实现局域网用户更加安全的认证方式,即除了要验证帐号和密码,还要验证MAC地址的合法性,并将帐号与MAC地址绑定起来。
仅实现AD服务器与CAMS的同步是不够的,还需要在楼层交换机S3952P-EI上进行802.1x认证的相关配置,并在客户端安装华为3Com802.1xClient认证软件。
在配置交换机时,除了常规的802.1x配置外,需要把Radius配置中的服务器类型这样做的目的是认证时交换机不仅将用户名、密码等信息送到Radius服务器<即CAMS),还将客户端的MAC地址也上送到CAMS进行认证。
在服务器端通过配置将帐号与MAC地址绑定。
CAMS对客户进行认证时,不仅检查帐号的合法性,也检查MAC地址的合法性。
这样就使外来计算机即使窃取了上网帐号也无法进入集团公司内网,大大增加了安全性。
华为3Com802.1xClient认证软件支持将Windows平台下的域认证与802.1x认证进行统一,使得用户的用户名和密码直接通过NT操作系统的登陆界面获得。
这样,用户在进入操作系统后,就不必再次输入用户名和密码,而可以直接进行802.1X认证,登陆到操作系统并且通过了802.1X认证的用户就可以访问网络。
具体的过程是当进行windows域认证的时候,客户端后台服务自动先把用户名和密码进行802.1X认证,再自动进行域认证,也就是说,一次输入用户名密码就可以进行2次认证。
如果域账号只能通过域认证而不能通过802.1X认证,则可以正常登陆域,但是需要手工进行802.1X认证<以其它正确的口令),当802.1X认证通过后才可以访问网络。
对于错误的域账号,则和通常情况下的域登陆一样,系统会提示您输入的用户名或密码有误,请重新输入或登陆本机。
当802.1X认证通过时,软件会自动向DHCP服务器发出地址请求,接入交换机S3952和核心交换机S8512上配置DHCPRelay功能,将该请求转发到DHCP服务器所在网段,并将分配的地址返回给客户端。
这样客户就可以正常上网了。
2.5部署端点准入EAD方案在用户接入网络前,通过强制检查用户终端的安全状态,并根据对用户终端安全状态的检查结果,强制实行用户接入控制策略,从而实现对不符合安全标准的用户进行“隔离”或监控,并强制用户进行病毒库升级、系统补丁安装等操作。
EAD解决方案中,安全策略是指一项接入服务对应的所有安全管理内容的配置,包括接入用户的安全检查方式、安全认证的通过标准,以及根据安全认证结果如何进行接入权限控制。
其中,对接入权限的控制可以灵活配置:
当安全检查通过时,可以通过使用交换机ACL控制用户访问控制权限。
当安全认证检查结果为不通过时,管理员可选择将用户限制在隔离区<通过交换机ACL控制),或开放用户正常上网权限<与安全检查通过时权限相同),或开放用户正常上网权限但要提示用户安全检查失败及系统修复的措施,对应地,安全策略提供了三种模式满足上述需求,即隔离模式、监控模式和提醒模式。
不论处于哪种模式下,所有的安全检查事件都会被EAD服务器记录,供事后审计。
本项目中的EAD部署如图:
EAD的安全认证是建立在CAMS的身份认证基础上的。
因此客户端必须安装华为3Com802.1xClient认证软件。
楼层交换机S3952P-EI作为安全联动设备和安全策略代理,必须对其配置以实现RADIUS服务器对登录交换机的用户的802.1x认证和安全策略服务器对用户的EAD操作控制。
用户EAD安全认证过程如下:
1、安全客户端发起认证请求;
2、如果通过省份认证,通知设备隔离用户,下发用户服务策略;
3、安全联动设备实行服务策略,将用户限制到隔离区;
4、从安全联动控制服务器获取用户安全策略<是否检查补丁,是否杀病毒);
5、安全客户端与防病毒软件联动,将检查结果发送到安全策略服务器,检查是否合格;
6、如果合格,通知安全联动设备解除隔离;如果不合格,通知安全客户端,下发修复策略,提醒用户自动或手工在隔离区内进行自我修复,回到第5步;
7、实行安全策略<是否实时查杀病毒、是否监控邮件等),提醒用户可以正常上网。
2.6部署日志审计系统Xlog
XLog是可扩展的网络日志审计系统为网络管理者提供用户上网日志审计的解决方案。
部署Xlog一般要进行以下配置:
过滤策略配置
过虑策略的目的是将不关心的日志报文丢弃,降低无用的报文对系统性能的影响。
日志的过滤是由接收器完成。
不同的日志类型设置不同的过滤策略,对应不同的过滤项。
过滤策略可以由一个缺省处理方式、一个或多个过滤条件、日志类型组成。
过滤条件可以由一个或多个过滤项组成。
过滤策略的缺省处理方式与过滤条件中处理方式之间的关系:
缺省处理方式表示当日志报文不符合日志接收器采用过滤策略中包含的任意一个过滤条件时,接收器对日志报文的处理方式。
而当日志报文符合某一个过滤条件时,接收器将按照该条件设定的处理方式处理日志报文。
一个过滤条件中多个过滤项之间的关系:
XLog支持的日志类型都包含多个过滤项,在增加过滤条件时可以根据实际需要进行选择。
如果设置了多个过滤项,则只有同时满足上述项目的日志报文才会按照此过滤条件的处理方式进行处理。
过滤项之间的关系是“与”关系。
不同过滤条件之间的关系:
当某个日志报文同时符合多个过滤条件时,如果这些过滤条件的报文处理方式不同<有的是“接收”,有的是“丢弃”),则“丢弃”方式优先。
聚合策略配置
聚合策略是将同类的日志按照一定的条件合并成一条记录,并丢弃原始报文,只保留汇总后的数据。
目的是有效的减少日志的数据量,增加入库、查询操作的速度。
不同的日志类型采用的聚合策略不同。
聚合策略组成:
日志类型、聚合粒度、聚合条件、聚合处理方式。
聚合粒度是指相邻的两条日志进行聚合的最大时间间隔,默认为10分钟。
此处的时间间隔是指上一条日志报文的结束时间与下一条报文开始时间之差。
聚合条件是指聚合日志时的依据。
无论哪种日志类型,源/目的IP地址为必选项,即当两条日志记录具有相同的源/目的IP地址,并且时间间隔小于策略设置的聚合粒度时,将对二者进行聚合,并根据聚合处理方式记录聚合后数据的开始、结束时间,根据实际需要也可以增加其他聚合条件。
聚合条件之间的关系是“与”关系
聚合处理方式:
日志聚合过程实质上是丢弃原始数据并创建新的数据记录的过程,而新产生的数据记录也包含起始、结束时间、报文数、字节数等字段,聚合处理方式就是新数据记录中这些字段的取值方式
日志服务配置
日志服务将日志处理器、日志接收器有机的结合成一个整体,完成原始日志报文的接收、过滤、聚合、入库等操作。
一个日志服务只能对应一个处理器<一个处理器可以对应多个接收器),因此如果实际应用中包含多个处理器,则必须配置多个日志服务。
日志服务配置是对接收器、探针采集器、处理器运行参数的配置,通知配置下发日志服务,生成接收器、探针采集器、处理器运行所必要的参数。
日志服务下发过程就是配置台生成并发送UDP报文的过程。
网络分析报表
XLog内置了强大的统计分析引擎和报表显示引擎,通过用户定制的应用、区域两个维度对收集到的日志信息进行统计分析。
XLog网络分析报表为用户提供了灵活多样的报表生成、查询方式。
用户可以根据需要定义应用类型以及报表区域。
报表种类包括三大类<区域类、特定跟踪类、应用类)共计18种报表。
报表可以生成即时报表和周期报表<可选周期包括日、周、月)。
报表格式支持HTML和PDF两种格式。
可以根据报表的种类、已生成的周期性报表以及已生成的所有报表三种方式进行查询。
2.7部署入侵检测(IDS>方案
一直以来,业界对于安全需求只局限于单项产品解决单一需求的方式,例如购买防火墙出发点是阻断一切可疑数据从而切断攻击,而购买密码机来实现传输数据的加密,购买IDS随着应用的不断增加,叠加购买的方式不但成本高昂,并且带来很多的管理问题。
同时,部分安全隐患仍然存在。
很多情况下安全产品与安全产品之间、安全产品与网络中的其他部件之间需要通力协作,保证相关的攻击在源头就被发现和阻断,从而更加有效的保护整个网络的安全。
这种通力合作就叫做联动。
交换机支持IDS联动,即交换机和IDS通力合作,有效的保证整个网络的安全。
华为3Com的SecEngineD500入侵检测系统可以与S8512交换机很好的联动,实现动态的网络安全。
具体实行为:
20台服务器可以分别接入85的2块单板上,每块接10台服务器,可以在每台85上配置一台IDS设备。
如下图所示。
每块接口板上,85接服务器的那10个端口的进出流量都镜像到镜像口上,镜像口接D500的检测口,D500的管理口与85的管理口联通<下联动命令时要用管理口)。
IDS联动配置包括:
●端口镜像配置
●端口IDS使能配置
端口镜像配置:
端口镜像就是将被监控端口上的数据复制到指定的监控端口,对数据进行分析和监视。
S85
升级会员 