网络安全设计方案一.docx

1、网络安全设计方案一网络安全设计方案 2009-03-27 23:02:39标签： IDC网络系统安全实施方案1 吉通上海 IDC网络安全功能需求1.1 吉通上海公司对于网络安全和系统可靠性的总体设想（1）网络要求有充分的安全措施，以保障网络服务的可用性和网络信息的完整性。要把网络安全层，信息服务器安全层，数据库安全层，信息传输安全层作为一个系统工程来考虑。 网络系统可靠性：为减少单点失效，要分析交换机和路由器应采用负荷或流量分担方式，对服务器、计费服务器和DB服务器，WWW服务器，分别采用的策略。说明对服务器硬件、操作系统及应用软件的安全运行保障、故障自动检测/报警/排除的措施。 对业务系统可

2、靠性，要求满足实现对硬件的冗余设计和对软件可靠性的分析。 网络安全应包含：数据安全； 预防病毒； 网络安全层； 操作系统安全； 安全系统等； （2）要求卖方提出完善的系统安全政策及其实施方案，其中至少覆盖以下几个方面： l 对路由器、服务器等的配置要求充分考虑安全因素 l 制定妥善的安全管理政策，例如口令管理、用户帐号管理等。 l 在系统中安装、设置安全工具。要求卖方详细列出所提供的安全工具清单及说明。 l 制定对黑客入侵的防范策略。 l 对不同的业务设立不同的安全级别。 （3）卖方可提出自己建议的网络安全方案。 1.2 整体需求l 安全解决方案应具有防火墙,入侵检测,安全扫描三项基本功能。

3、l 针对IDC网络管理部分和IDC服务部分应提出不同的安全级别解决方案。 l 所有的IDC安全产品要求厂家稳定的服务保障和技术支持队伍。服务包括产品的定时升级，培训，入侵检测,安全扫描系统报告分析以及对安全事故的快速响应。 l 安全产品应能与集成商方案的网管产品，路由，交换等网络设备功能兼容并有效整合。 l 所有的安全产品应具有公安部的销售许可和国家信息化办公室的安全认证。 l 所有安全产品要求界面友好，易于安装，配置和管理，并有详尽的技术文档。 l 所有安全产品要求自身高度安全性和稳定性。 l 安全产品要求功能模块配置灵活，并具有良好的可扩展性。 1.3 防火墙部分的功能需求l 网络特性：防

4、火墙所能保护的网络类型应包括以太网、快速以太网、(千兆以太 网、ATM、令牌环及FDDI可选)。支持的最大LAN接口数：软、硬件防火墙应能提供至少4个端口。 l 服务器平台：软件防火墙所运行的操作系统平台应包括Solaris2.5/2.6、Linux、Win NT4.0(HP-UX、IBM-AIX、Win 2000可选)。 l 加密特性：应提供加密功能，最好为基于硬件的加密。 l 认证类型：应具有一个或多个认证方案，如RADIUS、Kerberos、TACACS/TACACS、 口令方式、数字证书等。 l 访问控制：包过滤防火墙应支持基于协议、端口、日期、源/目的IP和MAC地址过滤；过滤规则

5、应易于理解，易于编辑修改；同时应具备一致性检测机制，防止冲突；在传输层、应用层(HTTP、FTP、TELNET、SNMP、STMP、POP)提供代理支持；支持网络地址转换(NAT)。 l 防御功能：支持病毒扫描，提供内容过滤，能防御Ping of Death,TCP SYN Floods及其它类型DoS攻击。 l 安全特性：支持转发和跟踪ICMP协议（ICMP 代理）；提供入侵实时警告；提供实时入侵防范；识别/记录/防止企图进行IP地址欺骗。 l 管理功能：支持本地管理、远程管理和集中管理；支持SNMP监视和配置；负载均衡特性；支持容错技术，如双机热备份、故障恢复，双电源备份等。 l 记录和报

6、表功能：防火墙应该提供日志信息管理和存储方法；防火墙应具有日志的自动分析和扫描功能；防火墙应提供告警机制，在检测到入侵网络以及设备运转异常情况时，通过告警来通知管理员采取必要的措施，包括Email、呼机、手机等；提供简要报表（按照用户ID或IP 地址提供报表分类打印）； 提供实时统计。 2 惠普公司在吉通上海IDC中的网络安全管理的设计思想2.1 网络信息安全设计宗旨惠普公司在为客户IDC项目的信息安全提供建设和服务的宗旨可以表述为： l 依据最新、最先进的国际信息安全标准 l 采用国际上最先进的安全技术和安全产品 l 参照国际标准ISO9000系列质量保证体系来规范惠普公司提供的信息安全产品

7、和服务 l 严格遵守中华人民共和国相关的法律和法规 2.2 网络信息安全的目标网络安全的最终目标是保护网络上信息资源的安全，信息安全具有以下特征： l 保密性：确保只有经过授权的人才能访问信息； l 完整性：保护信息和信息的处理方法准确而完整； l 可用性：确保经过授权的用户在需要时可以访问信息并使用相关信息资产。 信息安全是通过实施一整套适当的控制措施实现的。控制措施包括策略、实践、步骤、组织结构和软件功能。必须建立起一整套的控制措施，确保满足组织特定的安全目标。 2.3 网络信息安全要素 惠普公司的信息安全理念突出地表现在三个方面-安全策略、管理和技术。 l 安全策略-包括各种策略、法律法

8、规、规章制度、技术标准、管理标准等，是信 息安全的最核心问题，是整个信息安全建设的依据； l 安全管理-主要是人员、组织和流程的管理，是实现信息安全的落实手段； l 安全技术-包含工具、产品和服务等，是实现信息安全的有力保证。 根据上述三个方面，惠普公司可以为客户提供的信息安全完全解决方案不仅仅包含各种安全产品和技术，更重要的就是要建立一个一致的信息安全体系，也就是建立安全策略体系、安全管理体系和安全技术体系。 2.4 网络信息安全标准与规范 在安全方案设计过程和方案的实施中，惠普公司将遵循和参照最新的、最权威的、最具有代表性的信息安全标准。这些安全标准包括： l ISO/IEC 17799

9、Information technologyCode of practice for information security managementl ISO/IEC 13335 Information technology Guidelines for The Management of IT Securityl ISO/IEC 15408 Information technology Security techniques Evaluation criteria for IT securityl 我国的国家标准GB、国家军用标准GJB、公共安全行业标准GA、行业标准SJ等标准作为本项目的参

10、考标准。 2.5 网络信息安全周期 任何网络的安全过程都是一个不断重复改进的循环过程，它主要包含风险管理、安全策略、方案设计、安全要素实施。这也是惠普公司倡导的网络信息安全周期。 l 风险评估管理：对企业网络中的资产、威胁、漏洞等内容进行评估，获取安全风险的客观数据； l 安全策略：指导企业进行安全行为的规范，明确信息安全的尺度； l 方案设计：参照风险评估结果，依据安全策略及网络实际的业务状况，进行安全方案设计； l 安全要素实施：包括方案设计中的安全产品及安全服务各项要素的有效执行。 l 安全管理与维护：按照安全策略以及安全方案进行日常的安全管理与维护，包括变更管理、事件管理、风险管理和配

11、置管理。 l 安全意识培养：帮助企业培训员工树立必要的安全观念。 3 吉通上海IDC信息系统安全产品解决方案3.1 层次性安全需求分析和设计网络安全方案必须架构在科学的安全体系和安全框架之上。安全框架是安全方案设计和分析的基础。为了系统地描述和分析安全问题，本节将从系统层次结构的角度展开，分析吉通IDC各个层次可能存在的安全漏洞和安全风险，并提出解决方案。 3.2 层次模型描述针对吉通IDC的情况，结合吉通上海IDC技术需求书的要求，惠普公司把吉通上海IDC的信息系统安全划分为六个层次，环境和硬件、网络层、操作系统、数据库层、应用层及操作层。 3.2.1 环境和硬件为保护计算机设备、设施（含网

12、络）以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故（如电磁污染等）破坏，应采取适当的保护措施、过程。详细内容请参照机房建设部分的建议书。 3.2.2 网络层安全3.2.2.1安全的网络拓扑结构网络层是网络入侵者进攻信息系统的渠道和通路。许多安全问题都集中体现在网络的安全方面。由于大型网络系统内运行的TPC/IP协议并非专为安全通讯而设计，所以网络系统存在大量安全隐患和威胁。网络入侵者一般采用预攻击探测、窃听等搜集信息，然后利用 IP欺骗、重放或重演、拒绝服务攻击（SYN FLOOD，PING FLOOD等）、分布式拒绝服务攻击、篡改、堆栈溢出等手段进行攻击。 保证网络安全的首要问题就

13、是要合理划分网段，利用网络中间设备的安全机制控制各网络间的访问。在对吉通IDC网络设计时，惠普公司已经考虑了网段的划分的安全性问题。其中网络具体的拓扑结构好要根据吉通IDC所提供的服务和客户的具体要求做出最终设计。 3.2.2.2 网络扫描技术解决网络层安全问题，首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况，依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估，显然是不现实的。解决的方案是，寻找一种能寻找网络安全漏洞、评估并提出修改建议的网络安全扫描工具。 解决方案：ISS网络扫描器Internet Scanner 配置方法：在上海IDC中使用一台高配置的笔记

14、本电脑安装Internet Scanner，定期对本IDC进行全面的网络安全评估， 包括所有重要的服务器、防火墙、路由设备等。扫描的时间间隔请参照安全策略的要求。 ISS网络扫描器Internet Scanner是全球网络安全市场的顶尖产品。它通过对网络安全弱 点全面和自主地检测与分析，能够迅速找到并修复安全漏洞。网络扫描仪对所有附属在网络中的设备进行扫描，检查它们的弱点，将风险分为高，中，低三个等级并且生成大范围的有意义的报表。从以企业管理者角度来分析的报告到为消除风险而给出的详尽的逐步指导方案均可以体现在报表中。 该产品的时间策略是定时操作，扫描对象是整个网络。它可在一台单机上对已知的网络

15、安全漏洞进行扫描。截止Internet Scanner6.01版本，Internet Scanner已能对900 种以上 的来自通讯、服务、防火墙、WEB应用等的漏洞进行扫描。它采用模拟攻击的手段去检测网络上每一个IP隐藏的漏洞，其扫描对网络不会做任何修改和造成任何危害。 Internet Scanner每次扫描的结果可生成详细报告，报告对扫描到的漏洞按高、中、低三 个风险级别分类，每个漏洞的危害及补救办法都有详细说明。用户可根据报告提出的建议修改网络配置，填补漏洞。 可检测漏洞分类表： Brute Force Password-Guessing 为经常改变的帐号、口令和服务测试其安全性 Da

16、emons 检测UNIX进程（Windows服务） Network 检测SNMP和路由器及交换设备漏洞 Denial of Service 检测中断操作系统和程序的漏洞，一些检测将暂停相应的服务 NFS/X Windows 检测网络网络文件系统和X-Windows的漏洞 RPC 检测特定的远程过程调用 SMTP/FTP 检测SMTP和FTP的漏洞 Web Server Scan and CGI-Bin 检测Web服务器的文件和程序（如IIS,CGI脚本和HTTP） NT Users, Groups, and Passwords 检测NT用户，包括用户、口令策略、解锁策略 Browser Pol

17、icy 检测IE和Netscape浏览器漏洞 Security Zones 检测用于访问互联网安全区域的权限漏洞 Port Scans 检测标准的网络端口和服务 Firewalls 检测防火墙设备，确定安全和协议漏洞 Proxy/DNS 检测代理服务或域名系统的漏洞 IP Spoofing 检测是否计算机接收到可疑信息 Critical NT Issues 包含NT操作系统强壮性安全测试和与其相关的活动 NT Groups/Networking 检测用户组成员资格和NT网络安全漏洞 NetBIOS Misc 检测操作系统版本和补丁包、确认日志存取，列举、显示NetBIOS提供的信息 Share

18、s/DCOM 检测NetBIOS共享和DCOM对象。使用DCOM可以测试注册码、权限和缺省安全级别 NT Registry 包括检测主机注册信息的安全性，保护SNMP子网的密匙 NT Services 包括检测NT正在运行的服务和与之相关安全漏洞 2.2.2.3 防火墙技术防火墙的目的是要在内部、外部两个网络之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。具体地说，设置防火墙的目的是隔离内部网和外部网，保护内部网络不受攻击，实现以下基本功能： 禁止外部用户进入内部网络，访问内部机器； 保证外部用户可以且只能访问到某些指定的公开信

19、息； 限制内部用户只能访问到某些特定的Internet资源，如WWW服务、FTP服务、 TELNET服务等； 解决方案：CheckPoint Firewall-1防火墙和Cisco PIX防火墙 防火墙除了部署在IDC的私有网（即网管网段等由IDC负责日常维护的网络部分）以外，还可以根据不同的用户的需求进行防火墙的部署，我们建议对于独享主机和共享主机都进行防火墙的配置，而对于托管的主机可以根据用户的实际情况提供防火墙服务。 无论是虚拟主机还是托管主机，IDC都需要为这些用户提供不同程度的远程维护手段，因此我们也可以采用VPN的技术手段来保证远程维护的安全性，VPN同时也可以满足IDC为某些企业

20、提供远程移动用户和合作企业之间的安全访问的需求。 根据吉通上海IDC的安全要求以及安全产品的配置原则，我们建议使用的产品包括Cisco PIX和CheckPoint Firewall1在内的两种防火墙，其中： l Cisco PIX防火墙配置在对网络访问速度要求较高但安全要求相对较低的网站托管区和主机托管区； l CheckPoint防火墙配置在对网络速度较低但安全要求相对较高的IDC维护网段。 这两种防火墙分别是硬件防火墙和软件防火墙的典型代表产品，并在今年4月刚刚结束的安全产品的年度评比中，并列最佳防火墙产品的首位。这里只对CheckPoint的Firewall1进行说明。 Checkpo

21、int公司是一家专门从事网络安全产品开发的公司，是软件防火墙领域的佼佼者，其旗舰产品CheckPoint Firewall-1在全球软件防火墙产品中位居第一（52），在亚太 地区甚至高达百分之七十以上，远远领先同类产品。在中国电信、银行等行业都有了广泛的应用。 CheckPoint Firewall-1 是一个综合的、模块化的安全套件，它是一个基于策略的解决方 案，提供集中管理、访问控制、授权、加密、网络地址传输、内容显示服务和服务器负载平衡等功能。主要用在保护内部网络资源、保护内部进程资源和内部网络访问者验证等领域。CheckPoint Firewall-1 套件提供单一的、集中的分布式安全

22、的策略，跨越Unix、 NT、路由器、交换机和其他外围设备，提供大量的API，有150多个解决方案和OEM厂商的 支持。CP Firewall-1 由3个交互操作的组件构成：控制组件、加强组件和可选组件。这些 组件即可以运行在单机上，也可以部署在跨平台系统上。其中，控制组件包括Firewall-1 管理服务器和图形化的客户端；加强组件包含Firewall-1 检测模块和Firewall-1 防火墙 模块；可选组件包括Firewall-1 Encryption Module（主要用于保护VPN）、Firewall-1 Connect Control Module(执行服务器负载平衡)Router

23、 Security Module （管理路由器 访问控制列表）。 Checkpoint Firewall-1 防火墙的操作在操作系统的核心层进行，而不是在应用程序层， 这样可以使系统达到最高性能的扩展和升级。此外Checkpoint Firewall-1 支持基于Web 的多媒体和基于UDP的应用程序，并采用多重验证模板和方法，使网络管理员容易验证客户端、会话和用户对网络的访问。 CHECKPOINT防火墙功能要求： 1) 支持透明接入和透明连接，不影响原有网络设计和配置： Check Point FireWall-1是一款软件防火墙，是安装在现有的网关或服务器计算机上，对接入和连接都是透明的

24、，不会影响原有网络设计和配置。 2) 带有DMZ的连接方式： Check Point FireWall-1可以支持多个网络接口，所以客户可以很容易的按照需要设置DMZ分区。 3) 支持本地和远程管理两种管理方式： Check Point FireWall-1中的Enterprise Management Console模块功能十分强 大，支持本地和远程两种管理方式，减轻了网络管理员对网络的管理负担。 4) 支持命令行和GUI方式的管理与配置： Check Point FireWall-1中的管理控制台支持命令行和GUI方式的管理与配置； 可以在Windows 95/98/NT上安装Window

25、s GUI界面，在Unix操作系统下可以安装 Motif GUI图形用户界面进行管理与配置。 5) 对分布式的防火墙支持集中统一状态管理： Check Point FireWall-1中的管理控制台支持对分布式防火墙的集中统一状态 管理。它可以同时管理多个防火墙模块。 6) 规则测试功能，支持规则一致性测试： Check Point FireWall-1中的策略编辑器中有一命令，可以对已经配置好的规则 进行测试，可以检测其一致性。 7) 透明代理功能： Check Point FireWall-1支持代理功能，而且功能强大，可以支持本身自带的预 定义 的超过150多种的常用协议。 8) 地址转

26、换功能，支持静态地址转换、动态地址转换以及IP地址与TCP/UDP端口的转换： Check Point FireWall-1支持NAT地址转换功能，支持Static Mode(静态转换)和 Hide Mode(动态转换) 两种方式；目前不支持IP地址与TCP/UDP端口的转换。 9) 访问控制，包括对HTTP、FTP、SMTP、TELNET、NNTP等服务类型的访问控制； Check Point FireWall-1可以通过制定策略来进行访问控制，可以支持超过150 多种的常用协议，并可以自定义各种不常用的协议。 10) 用户级权限控制： Check Point FireWall-1可以指定用

27、户对象，在其属性中有各种认证方式可供选 择，加强了用户级的权限控制。 11) 防止IP地址欺骗功能： Check Point FireWall-1提供了防止IP地址欺骗的功能，可以在设定防火墙网关 的网卡属性时激活该功能。 12) 包过滤，支持IP层以上的所有数据包的过滤： Check Point FireWall-1中的对象以IP地址或TCP/UDP端口号来识别，所以可以 对IP层以上的所有数据包进行过滤。 13) 信息过滤，包括HTTP、FTP、SMTP、NNTP等协议的信息过滤： Check Point FireWall-1可以通过OPSEC接口，与第三方厂商的软件或硬件产品无 缝结合起

28、来对HTTP、FTP、SMTP等协议进行信息过滤。 14) 地址绑定功能，实现MAC地址与固定IP地址的绑定，防止IP地址盗用： Check Point FireWall-1目前为止不能实现MAC地址与固定IP地址的绑定。但是 可以利用各节点处的路由器来进行MAC地址与固定IP地址的绑定。 15) 抗攻击性要求，包括对防火墙本身和受保护网段的攻击抵抗： 防火墙本身的抗攻击能力与其所运行的操作系统的安全级别有关。操作系统的安全级别越高，防火墙本身的抗攻击的能力也越高。 16) 审计日志功能，支持对日志的统计分析功能： Check Point FireWall-1中自带有日志功能，可以对符合预定规

29、则的网络流量事先规定的方式进行记录；在Check Point FireWall-1 4.1产品中带有Reporting Module，可以对日志进行分析统计。 17) 实时告警功能，对防火墙本身或受保护网段的非法攻击支持多种告警方式（声光告警、EMAIL告警、日志告警等）以及多种级别的告警： Check Point FireWall-1的策略中有报警功能，其中包括了E-mail告警，日志告警等多种告警方式。 CheckPoint防火墙技术性能指标： 1) 时延：在每个包大小平均为512字节的情况下，在3DES加密方式下Unix的时延是 1.8msec，NT是1.2msec；在DES加密下Unix的时延是1.3msec，NT是1msec。 2) 吞吐量：在没有数据加密情况下，不同的操作系统可以分别达到152M246Mbps；在数据加密情况下，可以达到约55Mbps。 3) 最小规则数： 在防火墙概念中无此提法。按照我们的理解，此概念如果是指策略中的规则数的话，则无限制。 4) 包转发率：1015Mbps。 5) 最大位转发率：在防火墙概念中无此提法。按照我们的理解，此概念类似吞吐量。 6) 并发连接数：理论上没有限制。 Firewall-1防火墙是一种应用级防火墙，它的监测模块能监测和分析网络通信所有七层协议的内