内网安全建设方案.docx

1、内网安全建设方案201年月第一章 概述信息网络技术的应用正日益普及和广泛，信息获取能力和信息安全保障能力是当今世界各国奋力抢占的制高点。而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一.第二章 实施原则设计本着整体防护、分步实施的原则，采用先进技术，优先国内安全产品，符合相关标准、易于系统扩充,强调总体安全，避免因某个环节的不安全因素导致总体安全性能的下降整体原则为：安全性原则:充分保证系统的安全性.使用的信息安全产品和技术方案在设计和实现的

2、全过程中有具体的措施来充分保证其安全性。经济性原则:在满足用户需求的基础上,在充分保证系统的安全性和可靠性前提下，尽量选用经济的方案和产品。可靠性原则:保证产品质量和可靠性，对项目实施过程实现严格的技术管理和设备的冗余配置，保证系统的可靠性。先进性原则:具体技术和技术方案应保证整个系统具有技术领先性和持续发展性。可推广性原则:方案及其采用的技术应该支持系统规模的扩大和网点数量的增加，易于广泛推广.可扩展性原则:IT技术的发展和变化非常迅速，方案采用的技术具有良好的可扩展性,充分保护当前的投资和利益。兼容性原则：系统的标准化程度很高,可以做到不同应用系统间的完全兼容；同时，也可以根据特殊的要求给

3、出不兼容的设计。可管理性原则：所有安全系统都应具备在线式的安全监控和管理模式。第三章 安全需求3.1 防火墙需求防火墙是网络安全最基本、最经济、最有效的手段之一.防火墙可以实现内外网或内网与不信任域之间的隔离与访问控制。据有关数据统计，防火墙的加设会使整个网络的安全风险降低90%。防火墙可以做到网络间的访问控制需求,过滤一些不安全服务，可以针对协议、端口号、时间、流量等条件实现安全的访问控制。同时防火墙具有很强的记录日志的功能，可以对您所要求的策略来记录所有不安全的访问行为。网络安全是整体的概念，不是单一产品能够完全实现。防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的

4、访问进行严格控制。但防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其它攻击。所以为确保网络更加安全必须配备其他相关的安全产品.3。2 入侵防御系统需求随着网络技术的广泛应用，网络为我们的工作和生活提供了便利，但同时网络环境中的各种安全问题，如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS攻击、垃圾邮件、网络资源滥用(P2P 下载、IM 即时通讯、网游）等极大地困扰着用户，尤其是混合威胁的风险,给我们的信息网络造成严重的破坏。能否及时发现并成功阻止网络黑客的入侵、保证计算机和网络系统的安全和正常运行已经成为各级政府网络所面临的问题.面对这些问题，传统的安全产品已经无法独立应对。

5、传统防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码；无法发现内部网络中的攻击行为。建议部署一台入侵防御系统,以实现对进入内网数据的访问控制、透明代理、数据包深度过滤、漏洞攻击防御、邮件病毒过滤、报文完整性分析等功能，并提供更高的性能、更细的安全控制粒度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持，为网络提供完整的立体式网络安全防护。3.3 防病毒网关需求在互联网入口处部署病毒网关过滤系统，网络防病毒网关是为了阻止病毒从外网向内部网传播，因此最适合于部署在最主要的病毒传播出口，就是核心交换机出口上，这样，防病毒网关防止了主要的病毒传播途径，防止病毒代码从

6、设备穿过渗透到内部网络,同时防止蠕虫攻击，以及垃圾邮件对正常办公的干扰。3.4 上网行为管理系统需求随着对互联网的使用越来越普及，互联网给我们带来许多方便的同时，也带来了许多风险和挑战。公司需对上网进行合理的控制,而网管无法找到一个可以实现该功能的专用工具。因为现有的网络设备,网管软件都不能灵活分配员工可获得的上网资源，透视员工的上网行为. 政府和企事业单位内部人员通过网络泄漏敏感资料的事件时有报道，员工因私上网影响工作的问题日益明显，网管对限制办公人员私自下载危险文档的需求越来越迫切。 因此，非常有必要在互联网出口处通过串接的方式部署一套上网行为管理系统对内部网络连接到互联网（Interne

7、t）的数据流进行采集、分析、识别、审计和控制.3.5 VPN需求VPN系统采用开放性的系统架构及模块化的设计,融合了身份认证、访问控制等安全手段，具有安全、高效、易于管理和扩展等特点，使内部办公人员通过网络可以迅速地获取信息，使“在家办公”、“异地办公”、“移动办公等多种远程办公模式得以逐步实现,同时使合作第三方人员也能够访问到相应的信息资源。第四章 设计目标总体目标是在不影响股份有限公司信息系统当前业务的前提下，实现对股份有限公司网络全面安全技术改造和提升。安全总体方案设计将在保证物理安全和网络运行安全的基础上，确保信息的产生、存储、传递和处理过程中保密、完整、可用和抗抵赖。第五章 安全方案

8、设计5.1 安全设备部署股份有限公司信息安全建设是业务的持续性发展的关键，因此必须保证网络和数据足够的稳定和安全。遵循网络安全设计原则并结合安全需求，通过对股份有限公司网络现状分析,结合股份有限公司系统扩展需求，我们建议股份有限公司部署拓扑图中的标记红色字体的安全设备.5。2 防火墙部署在互联网出口部署一台防火墙系统，防火墙可以防范来自内网的数据流中存在被黑客利用的恶意数据,确保进行数据交互时的安全性。设立防火墙的目的就是保护一个网络不受来自另一个网络的攻击,防火墙的主要功能包括以下几个方面:（1）防火墙提供安全边界控制的基本屏障。设置防火墙可提高内部网络安全性，降低受攻击的风险。（2)防火墙

9、体现网络安全策略的具体实施。防火墙集成所有安全软件（如口令、加密、认证、审计等）,比分散管理更经济.(3）防火墙强化安全认证和监控审计。因为所有进出网络的数据流都通过防火墙，使防火墙也能提供日志记录、统计数据、报警处理、审计跟踪等服务。（4）防火墙能阻止内部信息泄漏。防火墙实际意义上也是一个隔离器，即能防外，又能防止内部XX用户对互联网的访问。5。3 入侵防御系统随着网络技术的广泛应用，网络为我们的工作和生活提供了便利，但同时网络环境中的各种安全问题，如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS攻击、垃圾邮件、网络资源滥用（P2P 下载、IM 即时通讯、网游)等极大地困扰着用户

10、，尤其是混合威胁的风险，给企业的信息网络造成严重的破坏。能否及时发现并成功阻止网络黑客的入侵、保证计算机和网络系统的安全和正常运行已经成为各个企业所面临的问题。面对这些问题，传统的安全产品已经无法独立应对.传统防火墙作为访问控制设备,无法检测或拦截嵌入到普通流量中的恶意攻击代码;无法发现内部网络中的攻击行为。建议在股份有限公司互联网区部署1套入侵防御系统，以实现对进入公司内网数据的访问控制、透明代理、数据包深度过滤、漏洞攻击防御、邮件病毒过滤、报文完整性分析等功能，并提供更高的性能、更细的安全控制粒度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持，为股份有限公司网络提供完整的

11、立体式网络安全防护。在互联网入口处部署入侵防御系统设备，以实现对服务器区的访问控制、透明代理、数据包深度过滤、漏洞攻击防御、邮件病毒过滤、报文完整性分析等功能，并提供更高的性能、更细的安全控制粒度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持，为网络提供完整的立体式网络安全防护。TopIDP入侵防御系统的体系架构包括三个主要组件:控制台、网络引擎、在线更新服务器，支持各种网络环境的灵活部署和管理。控制台(Manage System)控制台是提供引擎控制与制定安全策略等管理功能的集中管理中心.控制台系统监控网络引擎状态、管理引擎和相关日志。控制台可以同时管理多个引擎。网络引擎(

12、IDP System)网络引擎用于检测网络中数据的合法性，是TopIDP入侵防护系统的核心组件。应当以嵌入模式安装于要保护的网络中。网络引擎内置违反安全事件数据库，用于存储收集的安全事件信息。在线更新服务器（Upgrade System）存储最新的病毒特征和入侵检测特征,用于病毒库和入侵特征数据库的在线更新。入侵防御系统是在线部署在网络中，提供主动的、实时的防护，具备对2到7层网络的线速、深度检测能力，同时配合以精心研究、及时更新的攻击特征库，即可以有效检测并实时阻断隐藏在海量网络中的病毒、攻击与滥用行为，也可以对分布在网络中的各种流量进行有效管理，从而达到对网络架构防护、网络性能保护和核心应

13、用防护.入侵防御系统通过加载不同的攻击规则库对流经它的网络流量进行分析过滤，来判断是否为异常数据流量或可疑数据流量，并对异常及可疑流量进行积极阻断，同时向管理员通报攻击信息，从而提供对网络系统内部IT资源的安全保护。入侵防御系统能够完全阻断各种非法攻击行为，比如利用薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的DoS攻击等，安全地保护内部IT资源。并提供了网络架构防护、网络性能保护、核心应用防护，通过使用入侵防御系统可提供最强大且最完整的保护以防御各种形式的网络攻击行为，如：蠕虫、拒绝服务攻击、病毒以及非法的入侵和访问，为网络提供“虚拟补丁的保护作用。5。4 上网行为管理系统在网络出

14、口处串联一台天融信网络行为管理系统,所有上网的数据流量全部经过控制网关实现监控.提供强大的网页过滤功能，屏蔽办公人员对非法网站的访问；提供基于时间、用户、应用的精细管理控制策略，控制办公人员在上班时间玩网络游戏、炒股、观看在线视频，以及无节制地网络聊天，从而保障工作效率,确保企业的核心业务带宽得以保障；提供对通过电子邮件、即时通讯、论坛发帖等途径的外发信息进行监控审计，避免公司机密信息泄露.5.5 防病毒网关计算机病毒(Computer Virus)在 中华人民共和国计算机信息系统安全保护条例中被明确定义为：“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我

15、复制的一组计算机指令或者程序代码”.目前，计算机病毒的种类与传播媒介日益繁多，病毒更主要是通过网络共享文件、电子邮件及Internet/Intranet进行传播。随着业务应用和数据交换越来越依赖于网络，病毒的危害也越来越普遍。往往是整个网络中只要有一台机器（哪怕是远程的）感染了某种可怕的病毒，很快抱怨声就会从网络的各个角落传出来，文件被破坏，系统被摧毁，数据丢失，结果所带来的侵害不仅对于个人,而且对于整个机构都可能是致命的。对几乎每个企业来说,电子邮件均是企业沟通的重要工具,电子邮件病毒也已变成企业宕机的最大原因之一.蠕虫病毒和特洛伊木马是邮件病毒的主要传播方式。蠕虫病毒是一种独立程序，可将自

16、己进行复制到其它系统中.蠕虫病毒的唯一目的是复制并扩散至新的区域，通常同时会造成一些损害。蠕虫病毒通常以邮件附件的方式进行传播。电子邮件是恶意蠕虫病毒的最理想传播工具,因为所有的邮件都有同等地位。邮件作为信息传播工具是平等的，它们使用同样的协议,而不论来自于最卑微的企业还是世界上最大的公司。特洛伊木马通常被认为是恶意蠕虫病毒进行扩散的工具 - 但更准确的定义应该是:特洛伊木马仅仅是一个隐蔽的程序，它执行发起人计划的行为，而此行为不是接收人所希望的。在当今环境中，更实际的定义应该是:特洛伊木马是一种有吸引力的内容，可吸引人将它打开.邮件的最终接收者通常是网络的头号安全威胁：个人。打开这一内容是释

17、放蠕虫病毒的第一步。一旦打开这一可执行的附件,蠕虫病毒就与一个本地应用程序进行互动，剩下的就都成为历史。一旦蠕虫病毒进入系统，蠕虫病毒的应用程序接口（API）即与微软Outlook接口（MAPI）互动，以打开地址簿并将自己发送给其中的所有地址，循环再次开始。如蠕虫病毒或病毒进入系统中，则它们可造成的损坏就没有限制.阻断这一循环并预防其传播的最现实解决方法是大家经常听到的“不要打开来自不明地址的邮件附件”。只有在严格遵守这一规定时，此方法才有效.因为是人在接收电子邮件，所以特洛伊木马的吸引力有时无法拒绝.很明显，不允许病毒达到最终接收者是一个重要的战略，而使用边缘病毒防御便是针对该目标的一个可异

18、常轻松执行的方式。网关防毒系统所达到的效果：阻止99以上的病毒传播据ICSA病毒流行性调查结果，电子邮件和Internet互联网已成为病毒传播的绝对主要途径。99%的病毒都是通过SMTP、HTTP和FTP协议进入用户的计算机。病毒过滤网关作为一个专门的硬件防病毒设备，安装在湘潭市公安局网的因特网网关处，实时检查进入网络的数据流，保护网络内部的服务器和工作站设备免受各类病毒，蠕虫,木马和垃圾邮件的干扰。病毒过滤网关可处理以下协议：SMTP、POP3、HTTP、FTP和IMAP，及时清除进出网关的邮件病毒、蠕虫攻击包，对进出网关的垃圾邮件、关键字进行过滤，对进出网关的Web访问、FTP访问行全面防

19、毒扫描，彻底阻断因特网病毒的传播途径.弥补网络版防病毒产品的不足网络版防毒软件无法拦截攻击操作系统和应用软件安全漏洞的新型蠕虫（如SQLSlammer），而且需要投入较多的管理精力,往往会因为用户防病毒意识薄弱或对防毒产品配置不当而极大地影响防病毒能力。病毒过滤网关作为一个专门的硬件防病毒设备,只要安装在网络的入口处，就可以保护内部局域网免受各类病毒，木马的和垃圾邮件的干扰。病毒过滤网关实时检查进入内部网络的数据流，当网关检测到病毒时,它会自动根据相应的策略来处理病毒和染毒文件,保护内部的服务器和工作站设备，同时对用户是完全透明的.自动在线升级病毒过滤网关可以按照管理员设定的更新策略自动连接到

20、厂商的升级服务器，升级最新的病毒库，保证网络得到最有效的防病毒保护.建议在互联网入口处部署一台天融信防病毒网关产品，实时检查进入网络的数据流，保护网络内部的服务器和工作站设备免受各类病毒，蠕虫，木马和垃圾邮件的干扰。5。6 VPN系统移动要求越来越强、移动接入的目的日益多样性，多种安全接入手段要求日益多样.随着电子商务信息化建设的快速推进和发展，越来越多的政府、企事业部门已经或即将构建网上办公系统和业务应用系统，使内部办公人员通过网络可以迅速地获取信息，使“在家办公”、“异地办公、“移动办公”等多种远程办公模式得以逐步实现，同时使合作伙伴人员也能够访问到相应的信息资源。可是要享受通过互联网访问

21、企业内部的信息资源的便利，就面临着非法访问、信息窃取和数据篡改等越来越多的来自外部和内部的安全威胁.而我们目前所使用的操作系统、网络协议和应用系统不可避免地存在着不少的安全漏洞.因此，在构建和应用这些应用系统时，必须要保障关键应用在开放网络环境中的安全，同时还需尽量降低实施和维护成本。 SSL VPN属于应用层VPN技术，协议定义了完整的安全机制，对用户数据的完整性和私密性都有完善的保护;由于在windows等操作系统中的IE浏览器已经支持了完整的SSL协议，因此原理上将对于B/S应用是无需安装客户端软件的，部署使用较为简单。主要适用与移动用户接入并访问B/S结构的应用系统,对于C/S应用的支

22、持仍然需要安装客户端的插件. 各种VPN技术都有其优点和缺点，而在用户的实际应用中，往往需要将这几种技术进行综合应用,才能满足较为复杂的用户需求。天融信将这几种VPN技术有机的进行了整合，实现了在一台设备中同时支持上述几种主流的VPN组网技术，同时集成了天融信成熟领先的防火墙和身份认证系统,形成了一个完整的安全接入解决方案。第六章 安全产品介绍6。1 天融信防火墙的说明NGFW4000-UF采用天融信自主知识产权的安全操作系统TOS（Topsec Operating System）,并采用模块化结构设计，既提高了产品性能，又提高了产品的灵活性、高效性和安全性。通过简单的license控制,NG

23、FW4000-UF可以集成防火墙、VPN、SSL-VPN、带宽管理、反病毒、反垃圾邮件等众多功能，是高性能的综合性的网关产品。NGFW4000-UF系列是网络卫士系列防火墙产品，是集成防火墙、VPN、SSLVPN、带宽管理、反病毒、反垃圾邮件等多功能的综合性网关产品,具有高性能、高可靠性、高安全性的特点，普遍适用于银行、电信、教育等大型网络系统，特别适用于网络结构复杂、应用丰富、高带宽、大流量的大中型企业骨干级网络环境。防火墙功能说明：类别功能详细描述工作模式支持透明、路由、混合、直连（虚拟线）模式网络安全性内容过滤采用完全内容检测（Complete Content Inspection)技术

24、.支持基于流、数据包、透明代理的过滤方式。支持对HTTP、SMTP、POP3、IMAP、FTP等协议的深度内容过滤。支持URL过滤。支持DNS过滤。支持web重定向。支持HTTP URL长度限制。支持伪装http连接识别。支持DNS过滤。支持RSH命令过滤.支持telnet命令过滤。支持对移动代码如Java applet、Active-X、VBScript、Java script的过滤.支持对邮件的收发邮件地址、文件名、文件类型过滤。支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤。支持反垃圾邮件功能（用户配置黑白名单）支持MSN,QQ,Skype等Instant Messen

25、ger通信，并可以对于这些应用进行登陆限制和帐号过滤。可限制BT，eMule，eDonkey，迅雷等P2P应用.可屏蔽受保护主机/服务器系统信息，如替换服务器（FTP、SMTP、POP3、telnet，HTTP)的BANNER信息。访问控制基于状态检测的动态包过滤.基于源/目的IP地址、MAC地址、端口和协议、时间、用户的访问控制.支持基于用户的PPTP的访问控制。支持报文合法性检查。动态端口支持协议:H.323、SIP、FTP、RTSP、SQLNET、MMS、RPC、TFTP、PPTP。可实现IP/MAC绑定。会话收集整理，由收集数据生成访问控制策略。访问控制策略分组管理。地址对象源目的发起

26、连接数控制，支持全网段地址。支持大数量级的策略匹配加速算法。支持对于策略重复和策略冲突的检查。防御攻击非法报文攻击：land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、ip_option、teardrop、targa3、ipspoof。统计型报文攻击：Synflood、Icmpflood、Udpflood、Portscan、ipsweep. Topsec联动：可与支持TOPSEC协议的IDS设备联动，以提高入侵检测效率。端口阻断:可以根据数据包的来源和数据包的特征进行阻断设置.SYN代理：对来自定义区域的Syn Flood攻击行为进行阻断过滤。CC攻击：可通过

27、设置端口和阀值阻断CC攻击。可记录攻击日志和报警。支持手动设置和根据IDS规则自动生成黑名单。支持手动设置和根据可信连接达到一定规模后升级为白名单用户。NAT支持双向NAT。支持动态地址转换和静态地址转换。支持多对一、一对多和一对一等多种方式的地址转换。支持虚拟服务器功能。网络适应性路由支持静态路由、动态路由。支持基于源/目的地址、源/目的端口、协议类型、接口的策略路由.支持单臂路由,可通过单臂模式接入网络,并提供路由转发功能。支持Vlan路由，能够在不同的VLAN虚接口间实现路由功能。支持RIP、OSPF、BGP动态路由协议。支持源路返回的智能选路方式。组播支持IGMP组播协议。支持IGMP

28、 SNOOPING。可有效地实现视频会议等多媒体应用。VLAN可与交换机的Trunk接口对接，并且能够实现Vlan间通过安全设备传播路由。交换口和子接口都支持802。1Q，能进行封装和解封。支持ISL,能进行ISL的封装和解封。在同一个Vlan内能进行二层交换。支持对报文进行二次基于802.1Q封装的vlan-vpn应用。生成树支持802.1D生成树协议。端口聚合支持对物理端口的聚合，提高带宽利用率。每个聚合组的端口数不做限制，提高了聚合组的配置灵活性.ARP支持ARP代理、ARP学习。可设置静态ARP。可设置防ARP欺骗。DHCP支持DHCP Client、DHCP Server、DHCP

29、relay。接入支持ADSL等宽带接入。支持PPPOE拨号接入.其它支持网络时钟协议SNTP，可以自动根据NTP服务器的时钟调整本机时间.支持IPX、NetBEUI等非IP 协议.PKI证书格式支持X。509 V3数字证书，支持DER/PEM/PKCS12多种证书编码。本地CA支持内置CA,为其他设备或移动用户签发证书。支持本地CA根证书、根私钥的更新。支持证书废弃，支持生成标准CRL列表。第三方CA支持同时导入多个第三方CA的根证书和CRL列表，对不同CA证书用户进行身份认证，支持通告HTTP协议定时下载CRL列表。支持通过OCSP/LDAP等协议在线认证证书.安全管理用户认证支持使用一次性

30、口令认证（OTP）、本地认证、双因子认证（SecurID）以及数字证书（CA)等常用的安全认证方式.支持使用第三方认证,如RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式。支持Session认证、HTTP会话认证.支持认证保活功能。可将认证用户信息加密存放在本地数据库.日志支持Welf、Syslog日志格式的输出.支持日志分级和按类型输出。支持通过第三方软件来查看日志。可对日志进行加密传输.支持安全审计系统（TAL)，获得更详尽的日志分析和审计功能。TAL除接受防火墙日志外还能接受交换机、路由器、操作系统、应用系统和其他安全产品的日志进行联合分析。监控支持网络接口、C

31、PU利用率、内存使用率、操作系统状况、网络状况、硬件系统、进程、进程内存、加密卡状况的监测。可根据配置文件进行错误恢复。报警内置了“管理、“系统”、“安全”、“策略、“通信”、“硬件”、“容错”、“测试”等多种触发报警的事件类。支持邮件、NETBIOS、声音、SNMP、控制台等多种组合报警方式。流量统计支持基于IP对session数的统计,并有阀值报警功能。支持基于IP对流量的统计。支持基于传输层端口进行流量、session数的统计。支持NETFLOW协议版本5,支持设置过滤条件。带宽管理QoS流量整形QOS带宽管理。根据IP、协议、网络接口、时间定义带宽分配策略。支持最小保证带宽和最大限制带宽.支持分层的带宽管理。支持根据源/目的进行独享的带宽管理方式。优先级支持8级优先级控制.高可用性双机热备支持双机热备(Active-Standby）。支持负载均衡模式（Active-Active)。支持连接保护模式（Session