企业网络安全整体解决方案.docx

1、企业网络安全整体解决方案目 录1 引言 11.1 课题背景 11.2 国内外现况 11.3 企业面临的安全威胁 1需求分析 1.企业面临的安全威胁 1.业务系统的安全需求 1.Internet服务网络的安全需求 2解决思路 3.网络安全与网络性能和功能的关系 3.网络安全的管理因素 3.网络安全的拓扑图 4具体解决方案 5. 虚拟网技术 5. 防火墙技术 6. 使用防火墙的益处 6. 设置防火墙的要素 7.防火墙的基本分类 8.建设防火墙的基本原则 9.选择防火墙的要点 11. 病毒防护技术 11. 入侵检测技术 12. 安全扫描技术 14. 认证与数字签名技术 15. 技术 16.企业对VP

2、N技术的需求 16.数字签名 16.IPSec 17. 应用系统的安全技术 18.域名服务 18.Web Server应用安全 19.电子邮件系统安全 19.操作系统安全 208结论 209参考文献 211 引言1.1 课题背景近年来计算机系统漏洞的发现速度加快，计算机网络安全状况不容乐观。目前的计算机网络攻击具有攻击源相对集中，攻击手段更加灵活，攻击对象的范围扩大等新特点。虽然现在的网络安全技术较过去有了很大进步，但计算机网络安全是攻击和防御的技术和力量中此消彼长中的一个动态过程，整体状况不容乐观。网络安全企业和专家应该从这些特点出发，寻找更好的解决之道。1.2 国内外现况自信息系统开始运行

3、以来就存在信息系统安全问题，通过网络远程访问而构成的安全威胁成为日益受到严重关注的问题。根据美国FBI的调查，美国每年因为网络安全造成的经济损失超过1.5万亿美元。1.3 企业面临的安全威胁 由于企业网络内运行的主要是多种网络协议，而这些网络协议并非专为安全通讯而设计。所以，企业网络可能存在的安全威胁来自以下方面： (1) 操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC。 (2) 防火墙的安全性。防火墙产品自身是否安全，是否设置错误，需要经过检验。 (3) 来自内部网用户的安全威胁。 (4) 缺乏有效的手段监视、评估网络系统的安

4、全性。 (5) 采用的TCP/IP协议族软件，本身缺乏安全性。 (6) 未能对来自Internet的电子邮件夹带的病毒及Web浏览可能存在的Java/ActiveX控件进行有效控制。 (7) 应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。需求分析.企业面临的安全威胁满足基本的安全要求，是该网络成功运行的必要条件，在此基础上提供强有力的安全保障，是建设企业网络系统安全的重要原则。企业网络内部部署了众多的网络设备、服务器，保护这些设备的正常运行，维护主要业务系统的安全，是企业网络的基本安全需求。对于各科各样的网络攻击，如何在提供灵活且高效

5、的网络通讯及信息服务的同时，抵御和发现网络攻击，并且提供跟踪攻击的手段，是本项目需要解决的问题。.业务系统的安全需求与普通网络应用不同的是，业务系统是企业应用的核心。对于业务系统应该具有最高的网络安全措施。企业网络应保障： 访问控制，确保业务系统不被非法访问。 数据安全，保证数据库软硬件系统的整体安全性和可靠性。 入侵检测，对于试图破坏业务系统的恶意行为能够及时发现、记录和跟踪，提供非法攻击的犯罪证据。 来自网络内部其他系统的破坏，或误操作造成的安全隐患。.Internet服务网络的安全需求Internet服务网络分为两个部分：提供网络用户对Internet的访问：提供Internet对网内服

6、务的访问。网络内客户对Internet的访问，有可能带来某些类型的网络安全。如通过电子邮件、FTP引入病毒、危险的Java或ActiveX应用等。因此，需要在网络内对上述情况提供集成的网络病毒检测、消除等操作。网络安全需求是保护网络不受破坏，确保网络服务的可用性，作为信息网络之间的互联的边界安全应作为主要安全需求： 需要保证信息网络之间安全互联，能够实现网络安全隔离； 对于专有应用的安全服务； 必要的信息交互的可信任性； 能够提供对于主流网络应用（如WWW、Mail、Ftp、Oicq和NetMeeting等）良好支持，并能够实现安全应用； 同时信息网络公共资源能够对开放用户提供安全访问； 能够

7、防范包括： 利用Http应用，通过Java Applet、ActiveX以及Java Script形式； 利用Ftp应用，通过文件传输形式； 利用SMTP应用，通过对邮件分析及利用附件所造成的信息泄漏和有害信息对于信息网络的侵害； 对网络安全事件的审计； 对于网络安全状态的量化评估； 对网络安全状态的实时监控；其次，对于信息网络内部同样存在安全需求，包括： 信息网络中的各单位网络之间建立连接控制手段； 能够满足信息网络内的授权用户对相关专用网络资源访问； 同时对于远程访问用户增强安全管理； 加强对于整个信息网络资源和人员的安全管理与培训。解决思路.网络安全与网络性能和功能的关系通常，系统安全与

8、性能和功能是一对矛盾的关系。如果某个系统不向外界提供任何服务（断开），外界是不可能构成安全威胁的。但是，企业接入国际互连网络，提供网上商店和电子商务等服务，等于将一个内部封闭的网络建成了一个开放的网络环境，各种安全包括系统级的安全问题也随之产生。构建网络安全系统，一方面由于要进行认证、加密、监听，分析、记录等工作，由此影响网络效率，并且降低客户应用的灵活性；另一方面也增加了管理费用。但是，来自网络的安全威胁是实际存在的，特别是在网络上运行关键业务时，网络安全是首先要解决的问题。选择适当的技术和产品，制订灵活的网络安全策略，在保证网络安全的情况下，提供灵活的网络服务通道。采用适当的安全体系设计和

9、管理计划，能够有效降低网络安全对网络性能的影响并降低管理费用。全方位的安全体系：与其它安全体系（如保安系统）类似，企业应用系统的安全休系应包含：访问控制：通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。检查安全漏洞：通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。攻击监控：通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）。加密通讯：主动的加密通讯，可使攻击者不能了解、修改敏感信息。认证：良好的认证体系可防止攻击者假冒合法用户。备份和恢复：良好的备份和恢复机制，

10、可在攻击造成损失时，尽快地恢复数据和系统服务。多层防御，攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。隐藏内部信息，使攻击者不能了解系统内的基本情况。设立安全监控中心，为信息系统提供安全体系管理、监控，渠护及紧急情况服务。.网络安全的管理因素网络安全可以采用多种技术来增强和执行。但是，很多安全威胁来源于管理上的松懈及对安全威胁的认识。安全威胁主要利用以下途径： 系统实现存在的漏洞。 系统安全体系的缺陷。 使用人员的安全意识薄弱。 管理制度的薄弱。良好的网络管理有助于增强系统的安全性： 及时发现系统安全的漏洞。 审查系统安全体系。 加强对使用人员的安全知识教育。 建立完善的系统管理制度。如

11、前所述，能否制定一个统一的安全策略，在全网范围内实现统一的安全管理，对于信息网来说就至关重要了。安全管理主要包括两个方面： 内部安全管理：主要是建立内部安全管理制度，如机房管理制度、设备管理制度、安全系统管理制度、病毒防范制度、操作安全管理制度、安全事件应急制度等，并采取切实有效的措施保证制度的执行。内部安全管理主要采取行政手段和技术手段相结合的方法。 网络安全管理：在网络层设置路由器、防火墙、安全检测系统后，必须保证路由器和防火墙的ACL设置正确，其配置不允许被随便修改。网络层的安全管理可以通过防火墙、安全检测、网络病毒防治以及网管等一些网络层的管理工具来实现。.网络安全的拓扑图 具体解决方

12、案基于以上的分析，企业网络系统涉及到各方面的网络安全问题，我们认为整个企业的安全体系必须集成多种安全技术实现。如虚拟网技术、防火墙技术，入侵监控技术、安全漏洞扫描技术、病毒防护技术、加密技术、认证和数字签名技术等。下面就以上技术加以详细阐述：. 虚拟网技术虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换）。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。由以上运行机制带来的网络安全的好处是显而易见的：信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制，使在虚拟网

13、外的网络节点不能直接访问虚拟网内节点。但是，虚拟网技术也带来了新的安全问题：执行虚拟网交换的设备越来越复杂，从而成为被攻击的对象。基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。基于MAC的VLAN不能防止MAC欺骗攻击。 以太网从本质上基于广播机制，但应用了交换器和VLAN技术后，实际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入（改变）问题。 但是，采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此，VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。网络层通讯可以跨越路由器，因此攻

14、击可以从远方发起。IP协议族各厂家实现的不完善，因此，在网络层发现的安全漏洞相对更多，如IP sweep, teardrop, sync-flood, IP spoofing攻击等。. 防火墙技术 防火墙是近年发展起来的重要安全技术，其主要作用是在网络入口点检查网络通讯，根据客户设定的安全规则，在保护内部网络安全的前提下，提供内外网络通讯。. 使用防火墙的益处保护脆弱的服务 通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。例如，Firewall可以禁止NIS、NFS服务通过，Firewall同时可以拒绝源路由和ICMP重定向封包。控制对系统的访问 Firew

15、all可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如，Firewall允许外部访问特定的Mail Server和Web Server。集中的安全管理 Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。如在Firewall可以定义不同的认证方法，而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过次认证即可访问内部网。增强的保密性 使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Finger和DNS。记录和统计网络利用数据以及非法使用数据

16、 Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据，来判断可能的攻击和探测。策略执行 Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时，网络安全取决于每台主机的用户。. 设置防火墙的要素网络策略 影响Firewall系统设计、安装和使用的网络策略可分为两级，高级的网络策略定义允许和禁止的服务以及如何使用服务，低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。服务访问策略 服务访问策略集中在Internet访问服务以及外部网络访问（如拨入策略、SLIP/PPP连接等）

17、。 服务访问策略必须是可行的和合理的。可行的策略必须在阻止己知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是：允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务；允许内部用户访问指定的Internet主机和服务。Firewall设计策略 Firewall设计策略基于特定的firewall，定义完成服务访问策略的规则。通常有两种基本的设计策略：允许任何服务除非被明确禁止；禁止任何服务除非被明确允许。通常采用第二种类型的设计策略。.防火墙的基本分类包过滤 IP包过滤： 源IP地址； 目的IP地址； TCP/UDP源端口； TCP/UDP目的端口。 包过滤路由器

18、存在许多弱点： 包过滤规则难于设置并缺乏已有的测试工具验证规则的正确性(手工测试除外)。一些包过滤路由器不提供任何日志能力，直到闯入发生后，危险的封包才可能检测出来。 实际运行中，经常会发生规则例外，即要求允许通常情况下禁止的访问通过。但是，规则例外使包过滤规则过于复杂而难以管理。例如，定义规则-禁止所有到达(Inbound)的端口23连接(telnet)，如果某些系统需要直接Telnet连接，此时必须为内部网的每个系统分别定义一条规则。 某些包过滤路由器不支持TCP/UDP源端口过滤，可能使过滤规则集更加复杂，并在过滤模式中打开了安全漏洞。如SMTP连接源端口是随机产生的(1023)，此时如

19、果允许双向的SMTP连接，在不支持源端口过滤的路由器上必须定义一条规则：允许所有1023端口的双向连接。此时用户通过重新映射端口，可以绕过过滤路由器。 对许多RPC(Remoute Procedure Call服务进行包过滤非常困难。由于RPC的Listen口是在主机启动后随机地分配的，要禁止RPC服务，通常需要禁止所有的UDP(绝大多数RPC使用UDP)，如此可能需要允许的DNS连接就会被禁止。应用网关 为了解决包过滤路由器的弱点，Firewall要求使用软件应用来过滤和传送服务连接（如Telnet和Ftp)。这样的应用称为代理服务，运行代理服务的主机被称为应用网关。应用网关和包过滤器混合使

20、用能提供比单独使用应用网关和包过滤器更高的安全性和更大的灵活性。 应用网关的优点是： 比包过滤路由器更高的安全件。 提供对协议的过滤，如可以禁止FTP连接的Put命令。 信息隐藏，应用网关为外部连接提供代理。 健壮的认证和日志。 节省费用，第三方的认证设备(软件或硬件)只需安装在应用网关上。 简化和灵活的过滤规则，路由器只需简单地通过到达应用网关的包并拒绝其余的包通过。 应用网关的缺点在于： 新的服务需要安装新的代理服务器。 有时需要对客户软件进行修改。 可能会降低网络性能。 应用网关可能被攻击。线路级网关线路级网关提供内部网和外部网连接的中继，但不提供额外的处理和过滤能力。Stateful防

21、火墙 该类防火墙综合了包过滤防火墙及应用网关的特性。能够提供比应用网关更多的连接特性，但是安全性比较应用网关差。.建设防火墙的基本原则 分析安全和服务需求 以下问题有助于分析安全和服务需求： 计划使用哪些Internet服务(如http，ftp，gopher)，从何处使用Internet服务(本地网，拨号，远程办公室)。 增加的需要，如加密或拔号接入支持。 提供以上服务和访问的风险。 提供网络安全控制的同时，对系统应用服务牺牲的代价。 策略的灵活性 Internet相关的网络安全策略总的来说，应该保持一定的灵活性，主要有以下原因： Internet自身发展非常快，机构可能需要不断使用Inter

22、net提供的新服务开展业务。新的协议和服务大量涌现带来新的安全问题，安全策略必须能反应和处理这些问题。 机构面临的风险并非是静态的，机构职能转变、网络设置改变都有可能改变风险。 远程用户认证策略 远程用户不能通过放置于Firewall后的未经认证的Modem访问系统。 PPP/SLIP连接必须通过Firewall认证。 对远程用户进行认证方法培训。拨入/拨出策略 拨入/拨出能力必须在设计Firewall时进行考虑和集成。 外部拨入用户必须通过Firewall的认证。 Information Server策略 公共信息服务器的安全必须集成到Firewall中。 必须对公共信息服务器进行严格的安全

23、控制，否则将成为系统安全的缺口。 为Information server定义折中的安全策略允许提供公共服务。 对公共信息服务和商业信息(如email)讲行安全策略区分。 Firewall系统的基本特征 Firewall必须支持“禁止任何服务除非被明确允许”的设计策略。 Firewall必须支持实际的安全政策，而非改变安全策略适应Firewall。 Firewall必须是灵活的，以适应新的服务和机构智能改变带来的安全策略的改变。 Firewall必须支持增强的认证机制。 Firewall应该使用过滤技术以允许或拒绝对特定主机的访问。 IP过滤描述语言应该灵活，界面友好，并支持源IP和目的IP，协

24、议类型，源和目的TCP/UDP口，以及到达和离开界面。 Firewall应该为FTP、TELNET提供代理服务，以提供增强和集中的认证管理机制。如果提供其它的服务(如NNTP，http等)也必须通过代理服务器。 Firewall应该支持集中的SMTP处理，减少内部网和远程系统的直接连接。 Firewall应该支持对公共Information server的访问，支持对公共Information server的保护，并且将Information server同内部网隔离。 Firewall可支持对拨号接入的集中管理和过滤。 Firewall应支持对交通、可疑活动的日志记录。 如果Firewall

25、需要通用的操作系统，必须保证使用的操作系统安装了所有己知的安全漏洞Patch。 Firewall的设计应该是可理解和管理的。 Firewall依赖的操作系统应及时地升级以弥补安全漏洞。.选择防火墙的要点 (1) 安全性：即是否通过了严格的入侵测试。 (2) 抗攻击能力：对典型攻击的防御能力 (3) 性能：是否能够提供足够的网络吞吐能力 (4) 自我完备能力：自身的安全性，Fail-close (5) 可管理能力：是否支持SNMP网管 (6) VPN支持 (7) 认证和加密特性(8) 服务的类型和原理(9)网络地址转换能力. 病毒防护技术病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联，

26、病毒的传播途径和速度大大加快。 我们将病毒的途径分为： (1 ) 通过FTP，电子邮件传播。 (2) 通过软盘、光盘、磁带传播。 (3) 通过Web游览传播，主要是恶意的Java控件网站。 (4) 通过群件系统传播。 病毒防护的主要技术如下： (1) 阻止病毒的传播。 在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。 (2) 检查和清除病毒。 使用防病毒软件检查和清除病毒。 (3) 病毒数据库的升级。 病毒数据库应不断更新，并下发到桌面系统。 (4) 在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件，禁止未经许可的

27、控件下载和安装。. 入侵检测技术利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险。但是，仅仅使用防火墙、网络安全还远远不够： (1) 入侵者可寻找防火墙背后可能敞开的后门。 (2) 入侵者可能就在防火墙内。 (3) 由于性能的限制，防火焰通常不能提供实时的入侵检测能力。 入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。 实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击，其次它能够缩短hacker入侵的时间。 入侵检测系统可分为两类： 基于主机 基于网络 基于主机

28、的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查，非法访问的闯入等，并且提供对典型应用的监视如Web服务器应用。基于网络的入侵检测系统用于实时监控网络关键路径的信息，其基本模型如下图示：(i.e., close connection)(i.e.,detection of“phf”stringin session)Countermeasure(C) Box(i.e., store contentsof connectiondisk)Pattern-MatchingSignatureAnalysisStorage (D) BoxPassiveProtocolAnalysis

29、 (i.e, TCP Stream reconstruction) Ethernet图入侵检测系统的基本模型 上述模型由四个部分组成： (1) Passive protocol Analyzer网络数据包的协议分析器、将结果送给模式匹配部分并根据需要保存。 (2) Pattern-Matching Signature Analysis根据协议分析器的结果匹配入侵特征，结果传送给Countermeasure部分。 (3) countermeasure执行规定的动作。 (4) Storage保存分析结果及相关数据。 基于主机的安全监控系统具备如下特点： (1) 精确，可以精确地判断入侵事件。 (2

30、) 高级，可以判断应用层的入侵事件。 (3) 对入侵时间立即进行反应。 (4) 针对不同操作系统特点。 (5) 占用主机宝贵资源。 基于网络的安全监控系统具备如下特点： (1) 能够监视经过本网段的任何活动。 (2) 实时网络监视。 (3) 监视粒度更细致。 (4) 精确度较差。 (5) 防入侵欺骗的能力较差。 (6) 交换网络环境难于配置。 基于主机及网络的入侵监控系统通常均可配置为分布式模式： (1) 在需要监视的服务器上安装监视模块(agent)，分别向管理服务器报告及上传证据，提供跨平台的入侵监视解决方案。 (2) 在需要监视的网络路径上，放置监视模块(sensor),分别向管理服务器报告及上传证据，提供跨网络的入侵监视解决方案。 选择入侵监视系统的要点是： (1) 协议分析及检测能力。 (2)