网络安全分析.docx

1、网络安全分析目 录1. 网络现状以及安全需求 21.1. 防火墙/VPN需求 21.2. 病毒潜在威胁分析 31.3. 内部、外部攻击以及网络行为监控 52. 防火墙/VPN解决方案 52.1. NETSCREEN防火墙/VPN技术 52.2. Netscreen/VPN解决方案特点 72.3. 防火墙/VPN部署 82.4. 产品选型 82.5. 方案特点 92.6. 产品信息 102.6.1. NetScreen-5GT 102.6.2. NetScreen-25 143. 防病毒解决方案 223.1. 防病毒结构体系 223.2. 防病毒产品的部署 233.3. 客户机防护 243.4.

2、 服务器防护 283.5. 趋势科技网络防毒墙Network viruswall 303.5.1. 网络防毒墙功能简介 303.5.2. 详细特性描述 313.5.3. 部署NVW的效果 343.6. 中央控管体系 343.7. 防病毒解决方案特点 383.8. 产品清单 404. 入侵检测系统 404.1. Netscreen的解决方案 404.1.1. 多重方法检测（MMD）提高精确度 414.1.2. 封包处理模式以提供精确数据 424.1.3. 带内操作模式提供真正保护 424.1.4. 集中式、基于规则的管理提供更高可控性 43NetScreen-IDP系统利用中央式、基于规则的管理

3、方式可以提供: 434.1.5. 总结 444.2. Netscreen-IDP解决方案 444.2.1. 工作模式 454.2.2. 具体部署拓扑图 484.2.3. 实施步骤 481. 网络现状以及安全需求珠海格力小家电中山新厂房（以下简称格力中山）网络是典型的三层结构，核心和汇聚层都是采用CISCO交换机设备，接入层使用DLINK交换机，服务器直接接在核心交换机上面，终端除了工作站以外还部署了IP电话系统，具体的网络拓扑如下图所示：1.1. 防火墙需求总公司网络通过专线接入互联网络，如果采用直接接入方式，就会使整个总公司内部局域网络暴露在互联网上面，而且有限的公网IP地址不能确保所有的机

4、器访问互联网络，为了让整个内部局域网络能够接入互联网络，同时防止来自互联网络的恶意攻击，建议在总公司网络出口处架设防火墙。为了对网络进行严格、有效的安全控制，必须采用专用的基于网络层面的网络安全产品，访问控制机制应用在网络安全环境中，主要是限制用户可以建立什么样的连接以及通过网络传输什么样的数据。网络访问控制的目的就是在各网络连接之间建立一个安全控制点，通过允许、拒绝经过网络访问控制设备的数据流，实现对进、出内部网络的服务和访问的审计和控制。防火墙作为网络访问控制设备，有它自己的几个优点：1、它的包过滤功能实现要比路由器的ACL实现简单，特别是防火墙的GUI管理界面，更是简化了路由器的复杂配置

5、；2、路由器上面实施多个ACL，会给路由器带来很大的负载，影响路由器原有功能的正常应用；3、防火墙建立在专有的安全操作系统上面，确保了防火墙本身的系统安全；4、基于硬件的防火墙处理网络流量速度快，不至于成为网络流量的瓶颈；5、能够抵御常见的端口扫描和攻击的能力；6、通过防火墙构建安全级别不同的区域，能够对这些安全功能区域进行访问控制。这些防火墙独有的特点决定了防火墙在网络安全产品中的不可替代的地位。1.2. 病毒潜在威胁分析由于客户机对服务器、INTERNET网络访问频繁，如果不加控制，病毒可能带来的威胁是相当现实。病毒一旦发作，带来的损失是不可估量的，而在信息被破坏后再杀毒也无法挽回已经造成

6、的损失，对计算机病毒的态度将是防毒+杀毒的结合，以防为主。在病毒可能流传的各个渠道中都设有监控，结合定时病毒扫描和自动更新，才能保证系统的安全。同时需要结合对应的管理策略，充分发挥趋势产品在病毒防护集中管理、监控中的优势，在格力中山企业网中构建有效的病毒监控体系。基于上述病毒入侵途径的分析，评估格力中山目前是否存在以下病毒防护漏洞： 是否具有良好的防病毒安全策略，且能构成动态自适应防病毒系统构建一个全面有效的网络防病毒系统，应根据特定的网络环境定制病毒防护策略：策略包括预防策略、升级策略、病毒爆发初期管理控制策略、集中清除策略、审计策略、集中管理策略等。从宏观角度统筹规划网络安全体系，全面顾及

7、到网络系统病毒发生、预防、清除、审核等各个阶段，能够在病毒爆发生命周期各个阶段对病毒进行有效的控制，将病毒造成的损失降到最低。 客户端机器没有及时更新微软补丁最近爆发的网络病毒对网络产生很大的影响，甚至一度导致互联网主干瘫痪。这些网络病毒与传统的应用文件型病毒还不一样，它主要是针对微软的漏洞进行攻击感染，在最短的时间内感染所有有同样漏洞的机器，进而影响整个网络的正常运行。通过使用漏洞评估工具发现格力中山的补丁更新情况很糟糕，连2003年的一些补丁都没有更新，这样的情况下，很容易受到网络病毒的攻击。 缺少防病毒中央控管系统要管理好整个防病毒系统良好运行必须有一个良好的管理控制系统。能通过浏览器方

8、式实现远程异地管理远程防病毒软件，监视该软件的运行状况参数（如防病毒软件病毒库、扫描引擎更新日期，系统配置等）。能实现病毒集中报警，准确定位病毒入侵节点，让管理员对病毒入侵节点做适当处理以防危险扩大。控制中心能与其它网络安全系统实现联动，协同管理工作。 缺少全网病毒代码统一自动更新功能构建有效病毒防护的关键环节需要保证产品能做到定期升级，网络防病毒软件必须具备主动式、零干预、增量式的自动升级功能，同时具备自动分发功能，能够在单点更新，然后在不需要人为干预的情况下，实现全网所有产品的病毒码更新。 尚未建立完善的安全制度和制定安全培训机制防病毒工作是一项复杂、长期的任务，需要全体人员配合，提高对病

9、毒的警觉和防范意识。格力中山防病毒系统需要建立良好的安全规范，以制度严格控制不良行为，另外还得提高全体人员的防范病毒的能力。网络安全应急小组至少配备2-3人才能很好的处理网络安全运营的所有事件，应急处理技术和人员管理也需要专业应急小组提供技术培训和长时间的跟踪培训。 缺乏完善的防病毒信息支援体系防病毒厂商长期提供防病毒信息，新病毒预警信息，安全培训等专业的支持，以提高整个网络使用人员的防病毒素质。格力中山内部尚未建立完善的信息支援系统。1.3. 内部、外部攻击以及网络行为监控据调查，在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。比如内部人员故意泄漏内部网络的网络结构；安全管理员有意透

10、露其用户名及口令；内部不怀好意员工编写破坏程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去；内部某些好奇的员工从网络或者是书籍上面学到了一些攻击网络的一些方法，在内部网络练手，造成连本人都没有想象到的一些损失和影响。内部攻击者通过Sniffer等嗅探程序来探测扫描网络及操作系统存在的安全漏洞，如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等，并通过相应攻击程序对内网进行攻击；通过网络监听等先进手段获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网重要信息。这些工具可以从专门讲述黑客攻击的书籍所带

11、光盘或者网络中获取，只要是会使用计算机的人都能按照书籍的指导掌握攻击方法。来在互联网的黑客们也不会放过任何破坏有漏洞的网络系统的机会，这些来自内部、外部的攻击要加以识别，并且要采取一定的动作去阻止这种攻击行为。2. 防火墙解决方案NetScreen 防火墙是一种整合式的网络安全硬件设备，专为互联网网络安全而设计，将防火墙、VPN和流量管理等功能集于一体，能够很好的满足格力中山现在的需求。NetScreen防火墙具有硬件加速的IPSec加密算法性能、低延时，可以无缝地部署到任何网络中。2.1. NETSCREEN防火墙 防火墙技术NetScreen提供了可扩展的网络安全解决方案，适用于包括宽带移

12、动用户、大中型企业，以至电子商务网站。NetScreen全功能防火墙采用实时检测技术，可以防止入侵者和拒绝服务(denial-of-service)的攻击。NetScreen的ScreenOS软件是ICSA认证的实时检测防火墙。 全功能解决方案，采用安全优化的硬件、操作系统和防火墙，比拼凑而成的软件类方案提供更高级的安全水平。 强大的攻击防御能力，包括SYN攻击、ICMP泛滥、端口扫描(Port Scan)等攻击防御能力，配备硬件加速的会话斜率(session ramp rates)性能，即使在最关键性的环境下也可以提供安全保护。 提供网络地址翻译(NAT)、端口地址翻译(PAT)-隐藏内部、

13、无法路由的IP地址。 虚拟专用(VPN)所有NetScreen安全设备中都整合了一个全功能VPN解决方案，它们支持端到端VPN及远程接入VPN应用。 通过VPNC测试，与其他通过IPSec认证的厂商设备兼容。 三倍DES、DES和AES加密使用数字证书(PKI X.509)，自动的或手动的IKE。 SHA-1和MD5认证。 同时支持网状式(mesh)及集中星型(hub and spoke)的VPN网络，可按VPN部署的需求，配置用其一或整合两种网络拓扑。 流量管理流量管理允许网络管理员实时监视、分析和分配各类网络流量使用的带宽，有助确保在用户上网浏览时或在执行其他非关键性应用时而不会影响关键性

14、业务的流量。 根据IP地址、用户、应用或时间段来进行管理。 设定保障带宽和最大带宽。 以八种优先等级，为流量分配优先权。 支援符合行业标准的diffserv数据包标记，允许NetScreen安全设备在MPLS的环境下运行。 强大的ASIC功能NetScreen的安全机制采用ASIC，在硬件中处理防火墙访问策略和加密算法，这方面运算的速度是软件类方案不能相比的；同时它还可以省出中央处理器资源用于管理数据流。目前，其他采用PC或工作站作为平台的软件类方案，往往令系统性能大打折扣。 设备的可靠性和安全性NetScreen将所有功能集成于单一硬件产品中，它不仅易于安装和管理，而且能够提供更高可靠性和安

15、全性。采用NetScreen设备，只需要对防火墙、VPN和流量管理功能进行配置和管理，减轻了配置另外的硬件和操作系统。 完备简易的管理NetScreen的安全设备包括强健的管理支持，允许网络管理员安全地管理设备。由于VPN功能是内置的，因此可以对所有管理加密，从而实现真正的安全远程管理。2.2. 防火墙的部署在路由器与核心交换机之间部署防火墙，具体部署拓扑图如下图所示：通过使用防火墙的NAT功能可以确保内部网络使用单个公网IP访问INTERNET，同时Netscreen防火墙的MIP和VIP功能可以让外面访问内部的服务器，使得内部服务器安全的对外部提供服务。同时通过开启Netscreen防火墙

16、的SCREEN功能，可以防御大多数DoS攻击，保护内部网络不受到外部拒绝服务攻击。同时可以划分多个功能安全区域，特别是可以把那些对外提供服务的服务器集中在一起，放在一个独立的安全功能区域，可以对它们实行更为细粒度的访问控制策略，加强其安全性能。2.3. 产品选型NS-500ES-FE2-ACNetScreen-500ES System, 2 Dual-Port 10/100 I/O Modules, 1 AC Power Supplies, 0 Virtual Systems2.4. 产品信息NetScreen-500集防火墙、VPN及流量管理等功能于一体，占用2U机架空间。它是一款高性能的产

17、品，支持多个安全域。NetScreen-500具有NetScreen-1000及NetScreen-100的所有优点。另外在功能上设有高可用性交换端口、管理端口及四个流量模块组，还有一个可编辑的LCD指示屏，使管理变得更加容易。 产品性能 拥有NetScreen千兆级ASIC 700Mbps防火墙和NAT处理能力 250Mbps 3DES VPN处理能力 250000并发会话处理能力 每秒产生22000个新的会话 10000个VPN通道 25个虚拟系统，100个VLAN 支持NAT、路由模式及透明模式 基于策略的NAT 集中星型VPN 与Websense(URL地址过滤软件)兼容 10/100

18、双口或GBIC（SX/LX接收器）接口 具有高可用性界面 10/100M出口带宽接口 可编辑的LCD显示屏 性能并发会话：250,000(1)每秒的新会话数：22,000(1)防火墙性能：700Mbps三倍DES(128位)：250Mbps策略：20,000(1)时间表：256(1) 虚拟系统虚拟系统最大数量：25支持的VLAN数量：100工作模式透明模式（所有端口）：是(2)；路由模式：是；NAT(网络地址转换)：是；PAT(端口地址转换）：是；虚拟IP(VIP):4(2)；映射IP(MIP)：256(1)；IP路由-静态路由：256(1)；基于策略的NAT：是；每个端口的用户数：没有限制

19、防 火 墙攻击检测同步攻击：是(3)ICMP flood检测:是(3)UDP flood泛滥检测:是(3)检测死ping(Ping of death):是(3)检测IP欺骗(IP spoofing):是(3)检测端口扫描(Port scan):是(3)检测陆地攻击(Land attack):是(3)检测撕毁攻击(Tear drop attack):是(3)过滤IP源路由选项(Filter IP source route option):是(3)检测IP地址扫描攻击(IP address sweep attack):是(3)检测WinNuke attack攻击:是(3)Java/ActiveX/

20、Zip/EXE:是(3)默认分组拒绝(Default packet deny):是(3)Dos & DDoS保护:是(3)VPN 专用隧道：(10,000)(1)手动密匙、IKE、PKI(X.509) ：是；DES(56-bit)&三倍DES(168bit)加密encryption；完全正向保密(DH群组)Perfect forward secrecy(DH Groups)：1,2,5；防止回复攻击(Prevent replay attack)：是；远程接入VPN(Remote access VPN)：是；站点间VPN(Site-to-site VPN)：是；集中星型VPN网络拓扑：是；L2T

21、P ：是；IPSec认证：SHA-1:是MD5:是认证请求（PKCS 7& PKCS 10）：是支持的证书服务器：Versign认证中心:是Entrust认证中心:是Microsoft认证中心:是RSA Keon认证中心:是IPlanet(Netscape)认证中心:是Baltimore认证中心:是高可用性(HA)高可用性(HA)：是；防火墙和VPN会话保护 ：是；设备故障检测：是；链路故障检测：是；故障切换网络通知：是防火墙和PN用户认证内置（内部）数据库用户限额：15，000；RADIUS（外部）数据库：是；SA SecureID(外部）数据库：是；LDAP（外部）数据库：是；流 量 管

22、理有保障的带宽：是(2)最大带宽：是(2)优先使用带宽：是(2)DiffServ标记：是(2)系 统 管 理网 址 浏 览 器 配 置 管 理（WebUI:HTTP and HTTPS）；命令行界面（Command line interface:console，telnet）；安全命令外壳（兼容ssh v1)Secure Command Shell(ssh v1compatible)；NetScreen Global Manager：不适用；NetScreen Global Pro：很快提供；所有管理均经过任何接口上的VPN隧道：是管理多个管理员：20(2)；远程数据库管理： RADIUS；网

23、络管理：6；根管理、管理和只读三种用户权限(Root Admin,Admin,&ReadOnly user levels)：是；软件升级和配置变动：TFTP/WebUI日志/监控系统日志(Syslog):外部；电子邮件(两个地址)E-mail(2 addresses):是；Web Trends:外部；SNMP:是；Traceroute:是；VPN隧道监视程序(VPN tunnel monitor)：是；Websense URL过滤:外部(3)PCMCIAPCMCIA卡:440MB，Type2和3事件日志和告警(Event logs & alarms):是；系统配置脚本(System confi

24、g script):是；ScreenOS软件(ScreenOS software):是支持的标准ARP,TCP/IP,UDP,ICMP,HTTP,RADIUS,IPSeC(IPESP,IPAH),MD5,SHA1,DES,3DES,IKE,TFTP(client),SNMP,X.509v3,VLAN 802.1q安全标准认证安全认证：CSAEMI：FCC Part 15 class A,CE,VCCI,C-Tick,BSMI3. 防病毒解决方案3.1. 防病毒结构体系根据对格力中山网络现状分析以及潜在的病毒威胁分析，使用趋势科技防病毒产品为其构建的整体防病毒安全体系简述如下：1. 分级管理，集

25、中控制的三层次防病毒体系：趋势科技为格力中山防病毒所设计的防病毒体系，采用了三层次的架构，从集中式管理控制台到单一产品的管理控制台，最终到每一个客户端。三层次管理体系可以避免采用两个层次的防病毒体系所带来的“单点故障”（单点故障：中心服务器一旦出现故障，整个防病毒体系处于瘫痪）。同时，整个防病毒系统中的病毒日志都可以集中收集到集中式管理控制台。2. 独一无二的“网络层防病毒”：对于当今网络病毒的巨大威胁，趋势科技摆脱了传统的防病毒软件厂商所固有的在 应用层防范病毒的模式，推出了全球创新的，独树一帜的网络层病毒扫描产品趋势科技网络病毒墙，确保了病毒在网络设备之间传播的过程中就能够直接被清除，以避

26、免对整个网络造成冲击。3. 防病毒产品的全面性，领先性：采用全方位，多层次防毒的方式，部署多层次病毒防线，具体来说就是在整个格力中山网络中的客户端采用趋势科技防毒墙网络版Officescan，对整个格力中山网络中的服务器部署趋势科技防病毒墙服务器版Serverprotect，为了防范现今流行的网络病毒，在网关处部署网络防毒墙NVW，对于整个格力中山整体的防病毒系统的中央控管则可以通过趋势科技中央控管软件TMCM来整体中央控管。4. 独创的企业保护战略：趋势科技结合当今病毒的特性，提出并应用了针对病毒生命周期的新一代的防病毒体系，将其他防病毒厂商只是针对病毒码更新的解决方案扩展到四个阶段： 漏洞

27、扫描和防御：趋势科技利用自身产品帮助用户找出网络中存在微软安全漏洞的计算机，同时区分漏洞的轻重缓急，隔离具有系统漏洞的计算机，强制打补丁，以次确保当病毒来临时，不会因为系统的漏洞造成网络的受到病毒攻击而瘫痪 病毒发作防御：趋势科技利用独创的病毒爆发防御策略技术（可更新的数据包），在新病毒爆发而新病毒码还没更新的“防病毒真空期”，趋势科技利用病毒爆发防御策略技术，将网络内部所有病毒可能利用的途径全部关闭，例如：自动关闭病毒的利用和攻击的特定端口，并自动的隔离已经感染病毒的PC，关闭共享文件夹等 病毒响应：利用趋势科技全球病毒响应系统，同时，结合全球唯一病毒响应承诺即病毒码制作有严格的时间限制“无

28、论什么病毒2小时给出解决方案”。这也是趋势科技对自己服务和病毒响应信心的体现，从而确保用户在更新病毒码时，有时间上的保证 评估与恢复：通过趋势科技中央控管安全平台，收集整个网络所有的计算机的防病毒信息，通过周报表，月报表等方式，对整个网络的防病毒工作做一个整体的评估，同时，利用趋势损害和清理服务从后台自动的将被病毒感染的机器清除干净，避免了人为手动清除病毒，从而将网管从大量的手动清除病毒的状态下解脱出来。5. 厂商和代理商全面的服务：趋势科技授权服务商和趋势科技，格力中山相关人员组成专门的防病毒以及安全小组，负责对格力中山的防病毒体系部署，防病毒安全规范的制定。趋势科技授权服务商相关人员将对格

29、力中山的防病毒体系定期进行巡检，在格力中山的病毒爆发造成业务影响的紧急时刻，趋势科技授权服务商工程师将至格力中山现场服务。3.2. 防病毒产品的部署根据提出的整体防病毒体系以及格力中山的网络实际应用，建议采用趋势科技的客户机防护产品OfficeScan Corporate Edition 6.5、服务器防护产品ServerProtect、网络防病毒墙NVW2500以及集中式管理控制中心，具体部署图如图2所示：3.3. 客户机防护趋势科技防毒墙网络版6.5 OfficeScan Corporate Edition 6.5趋势科技的OfficeScan网络版防病毒产品将管理,配置与部署的功能集中到

30、服务器端（Officescan服务器端）。透过Officescan服务器端的Web接口的管理主控台，管理人员可以从网络上的任何地点，来管理和设置全公司的防毒策略（每一台计算机都安装了Officescan客户端防病毒软件），并且也能迅速响应各种紧急事件。竞争优势：1) 支持防护策略的自动/手动配置：有效控制病毒扩散（通过主控服务器，在设定的时间段内，关闭所有客户机的共享文件，特定端口，保护文件或文件夹不被病毒修改）；2) 集成网络版防火墙：通过Officescan服务器端统一配置和管理每个计算上安装的网络版网络墙；3) 集成专杀工具：病毒专杀工具和客户端防病毒软件无缝集成，专杀工具的扫描引擎和病

31、毒码可以自动更新，完全摆脱传统防病毒软件需要独立使用专杀工具，并且每一个病毒都有特定的专杀工具，造成数量巨大；4) 安全的通信机制：Officescan服务器和客户机的通讯不依赖ICMP（Ping），而采用Winsock API的方式；5) 移动管理界面：HTTP Base具有Web管理功能,可以跨WAN进行管理；6) 实时更新病毒日志：方便而简单的配置管理与实时报告；7) 自动更新：先进的自动更新技术,无须管理员与用户的手动操作,不需要重新启动；支持客户端自行上互联网更新防毒组件；8) 灵活的更新代理设置：通过设定网络中任意计算机做为病毒码更新源，将其它计算机指定到该计算机更新，以节省网络带宽。对低带宽网络环境特别有效；9) 检测为安装防病毒软件的计算机：支持网段扫描侦测尚未安装OfficeScan的用户机,杜绝防毒漏洞；10) 强大的数据库管理：支持将纪录数据导入SQL服务器方便数据分析与管理；11)