烟台信息港网络安全解决方案.docx

1、烟台信息港网络安全解决方案烟台信息港网络安全技术建议书2001年12月序 言随着计算机技术和通讯技术的飞速发展，网络正逐步改变着人们的工作方式和生活方式，成为当今社会发展的一个主题。网络的开放性，互连性，共享性程度的扩大，特别是Internet的出现，使网络的重要性和对社会的影响也越来越大。随着网络上电子商务，电子现金，数字货币，网络银行等新兴业务的兴起，网络安全问题变得越来越重要。病毒是网络安全最大的隐患，它对网络的威胁占导致经济损失的安全问题的76%。几乎所有的企业都不同程度的遭受过病毒的侵袭。目前全球已发现五万余种病毒样本，并且以每月新增300多种的速度继续破坏着网络和单机上宝贵的信息资

2、源。病毒给每个计算机用户和企业带来了无法估量和弥补的损失。计算机网络犯罪所造成的经济损失也令人吃惊。仅在美国每年因计算机犯罪所造成的直接经济损失就达150亿美元。在全球平均每二十秒就发生一次网上入侵事件。有近80%的公司至少每周在网络上要被大规模的入侵一次，并且一旦黑客找到系统的薄弱环节，所有用户都会遭殃。面对计算机网络的种种安全威胁，必须采取有力的措施来保证安全。此外，随着网络规模的不断扩大，复杂性不断增加，异构性不断提高，用户对网络性能要求的不断提高，网络管理也逐步成为网络技术发展中一个极为关键的任务，对网络的发展产生很大的影响，成为现代信息网络中最重要的问题之一。如果没有一个高效的网络管

3、理系统对网络进行管理，就很难向广大用户提供令人满意的服务。据测算，管理一台连网的PC机五年的成本就超过65,000美元。因此，找到一种使网络运作更高效，更实用，更低廉的解决方案已成为每一个企业领导人和网络管理人员的迫切要求。虽然其重要性已在各方面得到体现，并为越来越多的人所认识，可迄今为止，在网络管理领域里仍有许多漏洞和亟待完善的问题存在。美国网络联盟公司（NAI）总部位于著名的加利福尼亚硅谷，是全球第五大独立软件公司，也是最大的致力于网络安全和管理的独立软件公司，是目前世界上唯一一家能够为企业提供全面网络安全与管理解决方案的厂商。其核心产品为Net Tools网络安全与管理套件。Net To

4、ols集病毒防护、防火墙、黑客侦测、数据加密、身份验证、网络故障排除、性能监测与优化、管理与桌面服务等全部功能于一身，从而改变了该领域内集成产品空白的现状。Net Tools从单机到Internet网关形成全面、多级的保护，其集中管理模式极大的提高了用户的工作效率，降低了网管费用，使企业的网络真正变得安全高效。构成Net Tools的独立产品及其套件从上市以来，凭借其卓越的性能，获得了无数权威机构颁发的多项最佳技术奖项，成为本行业无可争议的市场领先者。因此，我们有理由相信，有了这样优秀的产品，加之我们为您奉上的全方位的周到服务，您的网络一定会变得安全而高效，您的事业也一定会因此而取得巨大的成功

5、。目 录第一章 网络安全体系综述 4一网络安全的总体目标 4二网络系统安全性分析 4三、需求分析 5第二章 安全系统的建议方案 7一设计原则 7二设计目标 7三解决方案 81即时提供网络系统的安全评估 82综合建立多层的病毒防护体系 83重点保护关键主机和关键网段 9第三章 防火墙的具体解决方案 10一、未安装防火墙之前的烟台信息港的网络情况。 10二Netscreen 千兆防火墙产品特点 10三、防火墙的部署 12第四章 烟台信息港防病毒软件的具体部署和管理 14一、防病毒软件的部署 14二、防病毒系统的管理 151病毒特征代码和引擎的更新和升级 162配置和集中管理 173. 任务调度和执

6、行 17第五章 烟台信息港网络风险评估系统设计 18一、安全扫描工具的分类 18二、网络安全扫描的主要性能 18三、网络安全扫描系统具体实施方案 19第六章 网络性能监控及故障排除 20一、前言 20二、网络性能监控的目的： 20三、Sniffer Total Network Visibility 功能描述 21四、应用Sniffer 组成分布式Sniffer网络性能监控系统 24第一章 网络安全体系综述一网络安全的总体目标保密性：保证非授权操作不能获取保护信息或计算机资源。完整性：保证非授权操作不能修改数据。有效性：保证数据不受非授权操作的破坏。总体上要求做到对烟台信息港网络完全的防病毒，在

7、烟台信息港网络关键的网段要做到限制和拒绝外部非法用户（包括互联网用户和专用网用户）的非授权的访问，以及中心内部网络对关键服务器的越权访问和恶意攻击，能够检测出对网络系统内部服务器的攻击并报警、断开黑客连接等，能够对网络系统做弱点和风险评估，并给出解决方法。二网络系统安全性分析1） 操作系统的安全性一般操作系统均有用户身份识别与权限访问控制等安全措施，但对网络资源缺乏有效的控制，况且有了安全控制机制与制定了行之有效的安全策略是两回事，如用户的密码是否定期更新了，密码是否容易被攻击，网络服务的权限是否被有效控制等；另外操作系统本身都或多或少存在漏洞，也成为被利用的对象。2）来自网络病毒的安全威胁由

8、于Internet的迅速发展，将文件附加在电子邮件中的能力不断提高以及世界对计算机的依赖程度不断提高，使得病毒的扩散速度也急骤提高，受感染的范围越来越广，据NCSA调查，在1994年中，只有约20%的企业受到过病毒的攻击，但是在1997年中，就有约99.3%的企业受到病毒的攻击，也就是说几乎没有那一家企业可以逃脱病毒的攻击。而且感染方式也由主要从软盘介质感染转到了从网络服务器或Internet感染。同样据NCSA调查，在1996年只有21%的病毒是通过电子邮件，服务器或Internet下载来感染的，但到1997年，这一比例就达到52%。3）网络及其所采用的协议族的安全性由于目前采用的通信协议大

9、都未考虑安全性，对信息的完整性也考虑得不够，通过一定的手段如“窥探”等即可得到通讯的信息内容。4）应用程序的安全性许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失；同时对付恶意攻击方面也显得束手无策。5）管理上引起的安全性再好的安全产品，再好的安全策略，若无严格的管理制度，则一切形同虚设。6）网络安全产品自身的安全性防病毒产品是否能实时、有效地阻止现有各种病毒，病毒特征码库是否能及时地更新，有无网关防病毒产品；防火墙产品的实现本身是否存在安全漏洞，防火墙的安全策略配置是否有问题等都成为网络安全要考虑的范畴。三、需求分析(1) 评估主机操作系统的安全性一般

10、的操作系统都有身份认证与访问控制系统，但如何去配置日益复杂的网络环境，如用户认证密码是否容易被别人获取破解；系统资源的各个对象的访问权限是否设置正确；系统的各种服务是否存在有漏洞等。通过网络扫描，可以了解网络的安全配置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级，更正网络系统中的错误配置。 (2) 防止网络病毒的侵袭烟台信息港内部用户之间形成了一个不小的用户群，它们也可能有意无意引进了病毒或有破坏性的程序，因为无论是介质传播还是网络传播等都有可能引入病毒。从PC桌面机、服务器、到各类网关，都有可能成为病毒的入口，因此有必要采用多层病毒防护体系来防止网络上病毒的入侵。(3) 保证数据

11、传输的安全性由于烟台信息港业务数据的安全传输要求很高，而数据流经的物理路径环节又较多，数据在存储和传输过程中极有可能被盗用、暴露、假冒和篡改，因此必须采取有效的数据加密措施，鉴别和监督合法用户的操作，防止对敏感数据的非法访问、使用、修改和破坏。(4) 对付来自外部恶意攻击TCP/IP的灵活设计和INTERNET的普遍应用为网络黑客技术的发展提供了基础， 黑客技术很容易被别有用心或喜欢炫耀的人们掌握，由此黑客数量剧增。加之烟台信息港网络连接点多面广，客观上为黑客的入侵提供了较多的切入点。本着经济、高效的原则，有必要将关键主机和关键网段用防火墙隔离，以实现对系统的访问控制和安全的集中管理。 根据烟

12、台信息港的网络结构特点和具体应用，我们做如下的安全建议： 烟台信息港骨干局域网主要有三类VLAN：互联网段、信息港及托管服务器网段、网管网段及办公网段。 这三类的VLAN由于其相连设备不同，故应区别对待。1) 互联网段主要部署接入服务器，骨干交换机城域网出口，路由器等设备，需要高的互连带宽，且设备专业性强，对上述设备的攻击可能性不大，且不会受到病毒的感染，故不需要防火墙及防病毒产品的保护。另外，为了保证网络的高可用性及减少网络宕机时间，建议部署Sniffer网络监控及分析设备协助网管人员对网络的可视化管理。2) 信息港及托管服务器网段连接的是信息港及用户信息发布的服务器，在保证访问速度的前提下

13、，尽可能严密的加以防护，建议用高安全性和高可用性的硬件防火墙保护该网段，在保证流量的前提下配置细致有效的安全策略。同时，服务器的病毒防护是防病毒的重要环节，建议部署先进的防病毒系统，保护服务器和邮件服务器的病毒安全。另外，对服务器采取定期打补丁，定期备份等措施，从技术和制度两方面加强网络安全工作，保证自身及用户的业务安全稳定。同样，为了保证网络的高可用性及减少网络宕机时间，建议部署Sniffer网络监控及分析设备协助网管人员对网络的可视化管理。3) 网管及办公网段主要连接的是PC工作站，保存的重要数据较少，安全措施以防病毒为主，在各个环节作好病毒防范，确保正常业务及工作的顺利进行。在办公网段和

14、网管网段部署应用网关防火墙，防止来自Internet的攻击，同时限制内部用户对其它网段的非法访问。整个网络应配备有效的风险评估系统和入侵检测系统，检测网络系统自身存在的安全漏洞并及时解决，防止其成为黑客入侵的可利用点，同时，实时监测网络上的数据流量，分析每个数据包的内容，一旦发现非法的数据，可及时作出响应，保护内部网络的安全。第二章 安全系统的建议方案一设计原则在进行计算机网络安全设计、规划时，应遵循以下原则：（1） 需求、风险、代价平衡分析的原则 对任一网络来说，绝对安全难以达到，也不一定必要。对一个网络要进行实际分析，对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范

15、和措施，确定本系统的安全策略。保护成本、被保护信息的价值必须平衡，价值仅1万元的信息如果用5万元的技术和设备去保护是一种不适当的保护。（2） 综合性、整体性原则 运用系统工程的观点、方法，分析网络的安全问题，并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用，只有从系统综合的整体角度去看待和分析，才可能获得有效、可行的措施。 （3）一致性原则 这主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。实际上，在网络建设之初就考虑网络安全对策，

16、比等网络建设好后再考虑，不但容易，而且花费也少得多。（4）易操作性原则 安全措施要由人来完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，采用的措施不能影响系统正常运行。 （5）适应性、灵活性原则 安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改。（6）多重保护原则 任何安全保护措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。二设计目标鉴于业务系统的特殊性，信息的保密性又主要是由应用系统及相应支撑技术去解决，故网络系统的安全性主要体现在保证信息的完整性和有效性方面。信息的完整

17、性是与网络系统的完整性相关，信息的有效性保障则要运用综合的安全手段。通过漏洞扫描能够发现网络系统一些潜在的安全隐患，及时采取相应的措施；通过病毒防护体系可以保护系统免受病毒的攻击；通过数据加密可以保证网络中传输数据不被窃取、篡改和破坏；通过设置防火墙系统可以限制对关键资源的存取方式。这样可达到如下的目标： 访问控制，确保服务器不被非法访问。 数据安全，保证各类服务器系统的整体安全性和可靠性。 防止来自网络内部的其它破坏或误操作造成的安全隐患。三解决方案1即时提供网络系统的安全评估 随着用不断追加新系统和服务项目的方法来满足拓展业务的需求，网络正以惊人的速度发展。方案的实现时间非常短暂，同时复杂

18、的安全性问题经常被忽略。如何寻找到网络脆弱性数据，怎样测量你的安全性预算并决定用于安全环境的工作量，网络漏洞扫描产品可以解决这些问题。网络漏洞扫描产品可以帮助网络管理员去评价操作系统的身份识别及存取控制等策略配置的安全性，以提高操作系统的安全运行级别；检测防火墙的策略规则配置的合理性及防火墙系统本身的安全性，以进一步发挥防火墙的隔离作用。我们选择NAI公司的CyberCop Scanner作为网络漏洞扫描产品，安装在关键网段上一台NT 服务器上，发现网络环境中的安全漏洞，保证网络安全的完整性；它扫描和测试确定存在的可被黑客利用的网络薄弱环节，评估企业内部网络、服务器、防火墙和路由器，提供综合的

19、审计。在黑客到来之前将系统漏洞弥补，当黑客再次使用这种方法攻击系统时，就不会生效，从而主动保护系统安全，变被动为主动。2综合建立多层的病毒防护体系 系统为了免受来自于多方面的病毒威胁，建议采用多层的病毒防卫体系。所谓多层病毒防卫体系，是指在每个台式机上要安装台式机的反病毒软件，在服务器上要安装基于服务器的反病毒软件，在网关上要安装基于网关的反病毒软件，因为防止病毒的攻击是每个员工的责任，人人都要做到自己使用的台式机上不受病毒的感染，从而保证整个企业网不受病毒的感染。我们选择NAI公司的McAfee Active Virus Defense防病毒套件作为整个网络的防病毒工具。（1）客户端的防病毒

20、系统 VirusScanVirusScan ：为全球领先的桌面防病毒产品，可运行在DOS、Windows 3.x 、Windows 95/98/2000 professional、Windows NT worksation、Mac 和OS/2等平台上。VirusScanTC：VirusScan的简化版（2）服务器的防病毒系统如果服务器被感染，其感染文件将成为病毒感染的源头，它们会迅速从桌面感染发展到整个网络的病毒爆发。因此，基于服务器的病毒保护已成为当务之急。所以，建议在内部网络所有关键业务的服务器上采用McAfee AVD套件中NetShield Security Suite ，提供全面的基

21、于服务器的病毒保护。系统管理员可以从单独的直观控制台上远程管理这些服务器平台。其具体的功能有：Netshield：全球领先的服务器防病毒解决方案。（ Netware，Windows NT/2000服务器和高级服务器版，Solaris,Sco unix AIX,HP-UX,LINUX）；GroupShield：群件服务器的防病毒方案（Microsoft Exchange、Lotus Notes/Domino(含NT4.0和AIX平台）；（3）Internet的防病毒系统根据ICSA的报告，一般公司的电脑感染病毒的来源有超过20%是通过网络下载文档感染，另外有26%是经电子邮件的附加文档所感染，连

22、入Interent，很有可能受到来自Interent下载文件的病毒侵害及恶意的Java、ActiveX小程序的威胁。 McAfee AVD套件中Internet Security Suite在网关上可以提供全面的病毒防卫系统，封锁病毒所有可能的进入点。透过管理控制台可直接在任何服务器或工作站上进行远程管理。选用产品：WebShield-e500:可以扫描全部收发的电子邮件及代理服务器和网络协议。如HTTP，SMTP，FTP，POP3等。做到在网关级的实时病毒扫描。3重点保护关键主机和关键网段鉴于系统的关键服务器易于遭受内部用户的非法入侵和攻击，以及内部网络易于受到外部用户的入侵，建议采用美国N

23、AI公司Eppliance-320 硬件防火墙屏蔽关键主机和关键网段，不允许内部用户或外部网的用户直接访问关键服务器，以及不允许外部用户（Internet用户和专用网用户）非授权情况下或与业务无关时访问公司的内部网络，保证访问的合法性与网络服务的安全性。在办公网段部署美国NAI公司Gauntlet系列应用网关防火墙，防止来自Internet的攻击。 第三章 防火墙的具体解决方案一、未安装防火墙之前的烟台信息港的网络情况。在未安装防火墙之前，公司的内部网络和关键主机直接暴露在黑客和病毒的攻击之下，具有相当的危险性。不能阻断外部互联网用户的恶意访问和攻击，同时暴露烟台信息港内部的网络结构，不能阻断

24、内部网络用户中有黑客倾向的员工对内部网络内的关键服务器的恶意访问或越权访问以及对该关键服务器的攻击；公司只有有限的公网IP地址，不能使公司员工同时上网，不能隐藏内部网络结构，不能拒绝非授权的访问，如果有单独的对外公布的机器，同样不能得到有效的保护，不能对外仅公布HTTP、SMTP、POP3、DNS等服务，同时不能对FTP等其它额外的服务做出禁止，不能对HTTP服务本身做出进一步限制。在公司内部网络和关键主机或对外公布访问的机器在受到攻击时不能提供受攻击时的报警或比较详细的日志。不能限制外部用户对内部的非法访问。同时我们根据对烟台信息港的拓扑图分析所知，同样在未安装防火墙之前对专用网的用户不能作

25、到防患，不能禁止专用网另一端用户的非授权访问和攻击。我们下面看一下烟台信息港安装防火墙之前的拓扑图：二Netscreen 千兆防火墙产品特点NetScreen公司提供了一系列专用的高性能系统，它把状态检测防火墙和VPN功能与业内领先的性能集成起来。NetScreen的集成化安全系统是一种容错平台，为大型企业和服务供应商提供了可扩充的解决方案。所有NetScreen安全系统还支持虚拟系统，可以为多个安全域提供安全保护。防火墙NetScreen的全功能防火墙采用状态检测技术，可以防止入侵人员和拒绝服务攻击。NetScreen定制的GigaScreen ASIC在硬件中处理防火墙访问策略和加密算法，

26、其性能明显要高于纯软件解决方案。 NetScreen-ScreenOS是一种经过ICSA认证的状态检测防火墙。 全功能解决方案，采用为安全优化的硬件、操作系统和防火墙，比拼凑在一起的基于软件的解决方案提供了更高的安全水平。 基于策略的NAT允许实现入局地址转换。强健的攻击防范功能，包括SYN攻击、ICMP flood、端口扫描等攻击防范功能。 网络地址转换(NAT)、端口地址转换(PAT)，隐藏了内部不可路由的IP地址；以及透明模式。虚拟专用网(VPN)所有NetScreen安全系统中都集成了一个全功能VPN解决方案，它们支持站点到站点VPN及远程接入VPN应用。 为远程接入VPN应用和站点到

27、站点VPN应用提供全面的VPN支持。网络设计可以采用集中星型VPN拓扑，实现全网状结构，简化远程办公室VPN的配置和管理，同时在主要站点之间提供冗余的高性能链路。 NetScreen-ScreenOS经过ICSA和VPNC认证，提供了IPSec互操作能力。3DES和DES加密，带有数字证书的IKE (PKI X.509)或预先共享的密码或手动密钥协商。 SHA-1和MD5强力认证。 基于策略的NAT实现了企业外部网VPN应用。虚拟系统NetScreen的虚拟系统允许创建多个安全域，每个安全域都拥有自己的地址簿、策略和管理功能。虚拟系统与802.1q VLAN标记相结合，把安全域延伸到整个交换网

28、络中。NetScreen-500和相应的VLAN交换网络，可以表现为一个可支持最多500个端口的综合安全系统。 扩展了互联网数据中心提供的服务，可以在共享的硬件平台上提供托管VPN和防火墙。 针对多个DMZ对企业网络分段，或在内部部门之间提供安全保护能力。 把多个VLAN映射到一个虚拟系统上。每个虚拟系统都采用单独的WebUI、CLI和管理访问权限。高可用性NetScreen的安全系统包括关键的高可用性冗余特性，包括自动化镜像配置、活动会话和容错VPN维护、可带电热插拔的冗余电源、风扇和处理模块。它利用NetScreen冗余协议实现了冗余的高可用性（HA）拓扑，该协议提供了四大功能： 在HA群

29、组成员之间镜像配置，在发生故障切换时确保正确的行为。 可以在HA群组中维护所有活动会话和VPN隧道。 故障切换算法根据系统健康状态确定哪个系统是主系统，把状态与相邻系统连接起来或监控从相邻系统直到远程系统的路径。 故障检测和切换到备用单元可以在不到六秒内完成，而不管活动会话和VPN隧道的数量有多少。模块化 NetScreen系统采用模块化设计，允许定制配置和实现额外的可靠性。所有系统都提供了冗余交流或直流电源及可以拆卸的风扇模块。NetScreen-1000还配有多个处理板，提高了冗余性和性能。NetScreen-500提供了两类接口模块和四个接口模块托架，提高了系统配置水平。全方位管理Net

30、Screen的安全系统包括强健的管理支持，允许网络管理员安全地管理设备。由于VPN功能是内置的，因此可以对所有管理加密，从而实现真正的安全远程管理。 采用NetScreen-Global Manager或NetScreen-Global PRO实现菜单驱动的中央站点管理*。 通过内置Web UI（HTTP和HTTPS）实现基于浏览器的管理。 通过SSH、Telnet和控制台端口进入命令行界面（CLI）。 电子邮件告警、SNMP告警。 与Syslog 或 WebTrends相集成，实现外部登录、监视和分析。为最多20个管理员提供3种访问权限：根管理、管理和只读。三、防火墙的部署 根据烟台信息港网

31、络扑图的结构图可知，在6509交换机和代理服务器网段间部署NetScreen-1000防火墙，保护代理服务器；在6509交换机和办公网间部署NAI Gauntlet 防火墙，确保办公网的安全；在6509交换机和办公网之间部署NAI Gauntlet防火墙，防止黑客对办公网的设备及数据攻击；可以达到对信息港网络内部的各个子网的安全防护和对关键服务器的安全防护。可以动态隐藏上网用户的IP地址，隐藏烟台信息港内部网络结构，共享有限的公网地址，做到所有内部员工均可以利用互连网来增进交流，拓展知识和业务的开展，对从内部网到Internet开通允许的有用或与业务相关的服务，禁止通过多余的服务。同时对Internet外部网开通对内部必要的网访问权限及必须的服务,禁止其它多余的服务；对违反访问策略的请求和对内部网络的攻击，在防火墙上设置Email报警和日志记载（防火墙的工作方式为除非被允许，否则被禁止），特别需要注意的是仅开通专用网另一端对电信的中心网络所必须的服务，无关的服务一律禁止）。防火墙的部署图如下所示： 第四章 烟台信息港防病毒软件的具体部署和管理一、防病毒软件的部署根据烟台信息港公司网络的实际情况，NAI的AVD覆盖了烟台信息港公司网络的防病毒需求，结合烟台信息港公司网络的防病毒需求、网络结构和NAI