网络信息系统安全方案.docx

1、网络信息系统安全方案网络信息系统的安全设计方案一、 常用的 网络信息系统 安全技术面对网络信息安全的诸多问题，我们采纳了多种的防举措。1、防火墙当前出现的新技术种类主要有以下几种状态监督技术、 安全操作系统、自适应代理技术、及时侵入检测系统等。混淆使用数据包过滤技术、代理服务技术和其余一些新技术是将来防火墙的趋向。2、认证当前 , 常用的身份辨别技术主假如鉴于 RAD IUS的鉴识、受权和管理 (AAA) 系统。 RADIUS ( remote authentica2tion dial in userservice) 是网络远程接入设施的客户和包含用户认证与配置信息的服务器之间信息互换的标准客

2、户或服务器模式。 它包含相关用户的专门简档 , 如, 用户名、接进口令、接入权限等。这是保持远程接入网络的集中认证、受权、记费和审察的获得接受的标准。华为、思科等厂商都有使用 RAD IUS技术的产品。3、虚构专用网跟着商务的发展 , 办公形式的改变 , 分支机构之间的通讯有很大需求 , 假如使用公用的互联网络来进行通讯 , 而不是架设专用线路 , 这样, 就能够明显降低使用成本。 VPN( virtual private network) 即虚拟专用网是解决这一问题的方法。 VPN成立一条经过民众网络的逻辑上的专用连结 , 使得用户在异地接见部网络时 , 能够和在当地接见相同的资源 , 同时

3、 , 不用担忧泄密的问题。 采纳 IPSec 协议的产品是市场的主流和标准 , 有相当多的厂商都推出了相应产品。4、入侵检测和集中网管入侵检测 ( intrusion detection) 是对入侵行为的觉察 , 是一种增强系统安全的有效方法 , 能检测出系统中违反系统安全性规则或许威迫到系统安全的活动。 当前 , 入侵检测系统的产品好多 , 仅国的就有东软、海信、联想等十几种 ; 集中网管主要表此刻对网管的集中上 ,网管集中的实现方式主要包含寄存网管系统的物理平面集中和经过综合集中网管实现对不一样厂商网管系统的集中管控。大唐、朗讯、华勤等厂商各自有不一样的集中网管产品上市。二、 网络信息系统

4、的 安全设计方案 外网出口外网出口采纳防火墙。支持双机热备功能，核心互换机经过两根电缆连到防火墙上，防火墙经过两台 2 层互换机分别接入电信线路和网通线路。当出口设施开启双机热备后，即便此中一台防火墙出问题，此外一台防火墙也能正常保证外网的使用，不会出现网络中止的状况。 核心设施作为网络的核心，要有很高的稳固性，瘫痪一分钟都会带来严重的结果，针对这个要素，我们将两台全千兆核心互换机采纳双机热备 的方式，上联到防火墙，并下联到办公网络。Catalyst 3960 系列互换机拥有 240G背板带宽 ; 线速三层互换包转发率达到 96Mpps; ，是标准三层无堵塞互换机为所有的端口供给多层互换能力和

5、线速的路由转发能力。同时拥有高性能、低成本等主要特色。而其强盛的办理能力是建立靠谱、稳固、高速的IP 网络平台的重要保障。同时拥有高性能、低成本等主要特色。Catalyst 3960 支持独有的 ARP入侵检测功能，防备包含 MAC欺诈、IP 欺诈、 MAC/IP欺诈在的非法地点仿冒，以及大流量地点仿冒带来的 DoS/DDoS攻击等。 接入设施接入互换机作为楼层网络的小型网关设施上连至上司互换机，需要考虑互换机能供给的 网络安全性 以及设施的 办理能力 。我们所采纳的接入互换机能够支持区分 vlan 、端口保护、 Qos 功能、广播 / 组播风暴控制等功能。同时应具备扩展性。达到可依据需要灵巧

6、地配置网络。 互换机能与所有的以太网、快速以太网设施相连结，保护用户已有的网络投资。可在工作组之间或公司部供给高带宽、高性能连结，同时还可以增强服务器群的容量，让用户能更快速存取整个网络资源。能够缓解因为网络带宽不足及用户快速增添所造成的网络传输瓶颈，并且投资少，管理简单。2.2 接见控制我们以为采纳 VLAN+ACL组网方式，可实现不一样部门、 不一样应用系统之间进行隔绝，实现对跨系统、跨部门的接见控制。其本身已经能够供给的安全体制，可保证接见控制的安全。采纳VLAN+ACL实现组网，依据各楼层或各部门，实现 VLAN的区分。所有的部门系统所有二层隔绝，同一个汇聚层设施下的单位需要进行互通，

7、则在核心互换机上终结 VLAN，进行三层互通，如果是不一样的汇聚层设施下的单位需要互通，则需要经过汇聚互换机上送到核心互换机上，经过配置的 acl 和路由进行三层转发，实现受控互通。2.3 双机热备实现方案对于公司网的组网方式，我们规划了 VRRP双机热备方案：让我们来看看双机热备的工作VRRP图 1如上图所示，正常状况下，左边核心互换机优先级高于右边核心互换机，所以左边核心互换机处于 master 状态，响应所有对虚构 IP（即图中的 192.168.1.1 、192.168.2.1 ）的恳求，右边核心互换机处于 backup 状态，不会响应任何对于虚构 IP 的恳求，可是右边互换机及时关注

8、着从 VRRP心跳线发来的状态包。很显然，此刻所有汇聚互换机都会将数据包发送至左边交机。左边互换机作为线路正常时的主互换机。右边互换机只关注 VRRP心跳线发来的状态包。此时，办公网互换机到左边核心互换机的线路若发生故障，或左边核心互换机的发生故障。以下列图：VRRP图 2假如是汇聚互换机到核心互换机的线路产生故障，此时左边核心互换机将会发现所连结端口发生故障，左边互换机将会经过VRRP心跳线通知右边互换机， 告之对于 的状态变化，此时，右边核心互换机将会作为主核心互换机，并相应并办理来自二层汇聚互换机的所有数据包。假如是左边核心互换机产生故障，右边互换机收不到心跳线传来的数据，那么它会以为左

9、边互换机已经无常工作，自己切换成为 Master 状态，办理来自所有汇聚互换机的数据包。从左边核心设施发现线路故障到右边核心设施变成主互换机，或许右边核心设施发现左边设施产生故障没法工作而自己变为主互换机，时期耗时不到 2 秒钟，对正在使用网络的用户而言，完整感觉不到发生了什么故障。这样就能保证整个网络骨干层7*24 小时的无故障运转了。假如线路恢复正常或左边核心互换机的故障排查解决完成能够正常工作，左边互换机相同能够发现其线路所连结的端口恢复正常，而通知右边核心设施，同时自己变成主互换机，左边核心互换机在故障办理完成后能正常工作相同会通知右边核心互换机，自己变成主互换机。2.4 ARP 防备

10、ARP（欺诈类）病毒堪称是此刻最广泛的网络危害，一具用户感得病毒便可能危害到整个网络。欺诈类病毒当前能够分为3 种种类：1、中毒机器不断发送“我是网关”的ARP信息，试图来欺诈其余PC，让他们将自己看作网关，如图中的F0/1口下的PC A可以经过这种种类的ARP病毒让PC B以为网关是PC A。Loopback：00-E0-0F-27-96-D0网关F0/24F0/1F0/10待测设施PC APC BMACIP ： 00-0F-B0-7F-38-82IPMAC：00-E0-0F-26-22-30无网关网关：欺诈源被欺诈者2、中毒机器不断的变换自己的 IP ，来搅乱网关设施的 ARP表象，试图让

11、网关看到的所有的 IP 都是自己，这样其余用户的 IP就不可以被网关设施认出了，如上图中， PC A 能够不断的变换自己的 IP ，这样网关就会被欺诈以为 也是 PC A，PCB自然就不可以被网关辨别了。3、中毒机器将自己的 MAC地点改正成互换机的下一跳网络设备的 MAC地点，试图让互换机的 MAC表发生杂乱，让互换机从错误的端口发送出数据包，如上图中， PC A会将自己的 MAC地点修改成网关的 MAC地点 00-E0-0F-27-96-D0 ，这样互换机在 F0/1 和F0/24 上都学习到这个地点， MAC表就乱了 - 这种种类其实不能算上 ARP病毒，可是同属于欺诈类病毒。当前大多数

12、厂家都是经过绑定 IP 、MAC、端口的方式来保证安全，可是这样的方式实现起来麻烦（要一条一条的把绑定信息写进去），假如增添了新设施或许某台设施改换了端口或许网卡，假如不及时通知网络管理员进行改正，就没有方法上网，费时费劲。针对这种状况，我们设计了一套较完美的 ARP防备方式。在端口下过滤 ARP报文，防备假冒网关 。既然我们知道互换机的 F0/24 口上接的是网关，那么 F0/1 到 F0/23 口都不行能发送出“我是网关”的 ARP信息，所以我们能够在这些端口下过滤此类报文。互换机命令（需要两层半互换机， S2026/S2126 以上设施）：interface FastEthernet0/

13、1/ 阻挡该端口下发送 的 ARP报文在所有的非上联端口上都配置此类命令，互换机可阻挡其下端口发送“我是网关”类的 ARP欺诈报文在接口下配置 Filter 功能，防 ARP扫描攻击。 假如中毒机器不断变换自己的 IP ，那么他在短时间发送的 ARP信息是特别多的，我们能够经过设置 ARP计数器 的方式来进行管理，在一个时间单位，假如某个设施发送的 ARP数目超出了我们设置的阀值，那么我们将过滤这台设施的 MAC一段时间，这个时间段这台设施发送任何信息我们的互换机都不进行转发。互换机命令（需要两层半互换机，既 S2026/S2126 以上设施）：interface FastEthernet0/

14、1filter arp/ 在接口下启用arp过滤功能！filter period 5/ 以5 秒钟为一个统计周期filter block-time 60/ 将攻击主机隔绝60 秒filter threshold 100/ 一个统计周期超出100 个arp报文，就进行隔绝filter enable/ 在全局下启用过滤功能一旦互换机F0/1端口下有PC在5 秒发送的ARP报文超出100个，互换机将在 60 秒严禁此 PC的 MAC经过。免费发放 ARPRESPONSE报文，纠正主机错误的网关。 对于网关类的设施一般是不主动发送 ARP报文的，往常它都是被动响应下边的 ARP恳求，所以我们也能够让网

15、关主动发送 ARP RESPONSE报文，主动改正下边 PC的错误。互换机命令（需要三层互换机或许路由器）arp free-response / 启用免费发放 arpresponse 报文的功能arp free-response interval 30 / 发放 arp response 报文的间隔interface VLAN1no ip directed-broadcast!interface Loopback0no ip directed-broadcast这样每 30 秒网关能够主动改正下边 PC的错误。将网关的 MAC地点、端口、以及 VLAN进行绑定，防备 MAC欺骗。互换机命令（两

16、层设施即可）mac address-table static 00e0.0f96.27d0 vlan 1 interface f0/24/保证网关的 VLAN 1的 MAC地点只好出此刻 F0/24 上将互换机下联口所有开启端口保护，保证用户只好和上联口互通，和其余用户之间没法互通。互换机命令（两层设施即可）interface FastEthernet0/1switchport protect依据上边提到的 4 种防备 ARP欺诈的体制原理，我们能够进行组合，设置多种全网阻断 ARP欺诈的拓扑：第一经过 vlan 区分开绝广播域，让 arp 只会在同 1 个 vlan流传，别的我们能够在接入层

17、采纳 两层设施 S2126 互换机，开启端口保护，汇聚层采纳 三层互换机 S3760，开启 Filter 防备体制。此类方法能够保证：1、用户之间发送“我是网关”的 ARP欺诈（种类 1 欺诈）信息因为接入互换机的端口保护体制，没法流传到其余用户的端口上。2、用户发送种类2 欺诈的信息因为汇聚互换机的Filter防护，在汇聚层上就被阻拦掉，没法欺诈网关设施此类方法的弊端就是同个互换机且在同个 vlan 下的用户之间没法相互接见。所以我们能够只对不需要产生直接相互通讯的两台用户之间开启端口保护，其余不开，或许是采纳联合软件的办法，电脑上安装 arp 防火墙，这样就能够不开启端口保护了。结合软件

18、arp 防火墙和三层互换机的 filter 功能，也是一种特别实用有效防备 arp 攻击的方法。2.5 安全制度任何的举措都不行能解决所有的网络安全问题，也就是“网络没有绝对的安全，没有绝对的网络安全” 。我们在采纳安全控制举措后，在增强了安全性、靠谱性的同时，还需要经过制度和行政手段来进行干涉，比方发文强迫一致安装网络防病毒软件，因为假如在一个网络里假如有机器没装防病毒产品或许装的是单机版产品，必然会给整个单位网络带来不小影响，在出了问题的时候没有一个一致的解决方案，反而会让他们成为“漏网游鱼” 。没有那个单机版用户能保证自己每日都及时做病毒码升级，并且现在装的单机版不过就是瑞星， 金山，3

19、60 之类的产品， 这些产品相对于卡巴斯基这种一致部署的防病毒产品来说仍是有必定差距的，像近来的好多单位网络瘫痪都是因为网络里有些机器装了这种软件致使的，而装有一致部署的防病毒的基本上没有问题。还有一种状况广泛，就是网络储存设施的使用，常常会实用户会因为 U 盘携带病毒而使机器出现问题，假如有一个好的管理制度来做些拘束，按期做些对于网络安全方面的培训，使每一个人都知道网络安全问题的重要性也很必需。三、网络信息系统的 安全估算方案产品名称型号单价单位数目价钱核心互换机H3C S9512-N1100002220000路由器锐捷网络 RSR-04E-BASE-AC-1GE4800002960000防

20、火墙思科 PIX-535-FO-BUN680002136000服务器戴尔 PowerEdge R71021800365400汇聚层互换机H3C S5100-50C-EI-AC2600010260000二层互换机TP-Link TL-SF1024410501205410网络机柜奥科 OKE (OKE18812B)13038049400水晶头AMP300006000网线AMP6501065692250信息模块206500130000配线架安普 406330-1 超5类非障蔽 24口配线架 2620501310620光纤单模25100025000光纤多模165008000D-Link RJ45 压线

21、工具D-Link RJ45 压线工具 (DTOOLCRIMPG1)20010020000D-Link 1 对110打线工具D-Link 1对110打线工具 (DTOOLPUNCDN1P)20040080000光纤收发器天为电信 光纤收发器10015015000跳线VBEL ST-ST(多模 )100404000管、转角、软管、胶布、线槽、打100000线嵌、螺钉等、成品跳线、机柜等其余溶纤费5000总计3013560总造价 =资料 +A+B+C+D；A（系统设计费） =资料总价 *3%；B（施工督导费） =资料总价 *5%；C（安装调试费） =资料总价 *10%；D（辅材花费） =资料总价 *5%。E（税收费） =资料总价 *3.69%双绞线施工估算消耗 5%。共： 3013560 +3013560 *3%+ 3013560 *5%+ 3013560 *10%+ 3013560*5%+ 3013560 *3.69%=3514768元共： 3514768 元