某单位网络安全解决方案.docx

1、某单位网络安全解决方案*单位网络安全解决方案1 *单位通信有限公司网络现状网络拥挤、办公效率下降；病毒木马猖狂，系统瘫痪无法办公；误用和滥用关键、敏感数据和计算资源，无迹可寻；外出办公无法安全方便访问公司内部资源，安全风险过高；不同业务部门无区域隔离。1.1 网络拓扑1.2 安全风险分析1.2.1 来自公网的安全威胁由于内部网络中其办公系统及各人主机上都有涉密信息。假如内部网络的一台机器安全受损（被攻击或者被病毒感染），就会同时影响在同一网络上的许多其他系统。透过网络传播，还会影响到与本系统网络有连接的外单位网络。如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施，内部网络容易造到

2、来自外网一些不怀好意的入侵者的攻击。如： 入侵者通过漏洞扫描、Sniffer嗅探等工具来探测扫描网络及操作系统存在的安全漏洞，如网络IP地址、应用操作系统类型、开放哪些服务端口号、系统保存用户名和口令等安全信息的关键文件等，并通过相应攻击程序对内网进行攻击； 入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网重要信息； 恶意攻击:入侵者通过发送大量PING包对内部网重要服务器进行攻击，使得服务器超负荷工作以至拒绝服务甚至系统瘫痪； 发送大量包含恶意代码或病毒程序的邮件。1.2.2 来自内部人员及分部的安全威胁据调查在已有的网络安全攻击事

3、件中约70%是来自内部网络的侵犯。来自机构内部局域网的威胁包括： 误用和滥用关键、敏感数据和计算资源。无论是有不满情绪的员工的故意破坏，还是没有访问关键系统权限的员工因误操作而进入关键系统，由此而造成的数据泄露、偷窃、损坏或删除将给企业带来很大的负面影响。 因不当使用Internet接入而降低生产率。不当使用Internet资源不但会浪费工人的时间，还能增加计算机网络的负担，降低了人员与网络的工作效率。 如果工作人员发送、接收和查看攻击性材料，可能会形成敌意的工作环境，从而增大内耗。 内部人员故意泄漏内部网络的网络结构；安全管理员有意透露其用户名及口令； 内部不怀好意员工编些破坏程序在内部网上

4、传播或者内部人员通过各种方式盗取他人涉密信息传播出去； 内部人员利用公司网络访问黄色网站、反动网站和其他与工作无关的网站； 内部人员访问不良网站时，无意中执行了网页上的恶意代码或病毒程序； 内部人员使用移动存储设备，不小心涉带有关病毒，导致网络瘫痪； 内部人员使用BT、P2P下载，严重影响网络使用1.2.3 应用的安全风险分析应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用，检测安全漏洞，采取相应的安全措施，降低应用的安全风险。A. 资源共享的安全风险办公网络应用通常是共享网络资源，比如文件共、打印机共享等。由此就可能存在着：员工有意、

5、无意把硬盘中重要信息目录共享，长期暴露在网络邻居上，可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密，因为缺少必要的访问控制策略。B. Web系统的安全风险如果提供Web服务，也存在安全的风险，例如Web服务器本身存在漏洞容易受到攻击，网页被篡改，Web服务器容易受到网络病毒的感染。Web是电子业务的发布板，与其他服务器连接在一起，对Web服务器的攻击容易波及其他的网络服务器和设备。C. 数据库服务器的安全风险数据库服务器上运行数据库系统软件，主要提供数据存储服务。数据库服务器也存在安全风险，风险包括：非授权用户的访问、通过口令猜测获得系统管理员权限、数据库服务器本身存在漏洞容易受

6、到攻击（例如SQL Slammer）等。数据库中数据由于意外（硬件问题或软件崩溃）而导致不可恢复，也是需要考虑的安全问题。D. 电子邮件系统的安全风险电子邮件为网系统用户提供电子邮件应用。内部网用户可够通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等，由于许多用户安全意识比较淡薄，对一些来历不明的邮件，没有警惕性，给入侵者提供机会，给系统带来不安全因至素。E. 病毒侵害的安全风险网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因此，病毒的危害的不可以轻视的。网络中一旦有一台主机

7、受病毒感染，则病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，可能造成信息泄漏、文件丢失、机器死机等不安全因素。F. 数据信息的安全风险数据安全对*单位通信来说尤其重要，数据在公网线路上传输，很难保证在传输过程中不被非法窃取，篡改。现今很多先进技术，黑客或一些工业间谍会通过一些手段，设法在线路上做些手脚，获得在网上传输的数据信息。也就造成的泄密。这对贵单位网络用户来说，是决不允许的。2 需求分析依据轻重缓急、分步实施的原则，系统信息安全可以划分为近阶段需求和远期需求两个阶段，并最终达到以下总体目标： 建立具备完善的防黑及防毒能力的安全体系； 建立完善安全管理制度，为网络和系统

8、的正常运行提供充分的安全保障，最大程度上保证网络系统的信息安全、可靠。近阶段需求集中表现在服务器的安全访问、防黑、流量优化的建设在内部网络不同的安全区域间部署防火墙，实现内网、Internet和业务系统的安全访问控制，保护内部局域网上的各种信息和网络资源。同时部署入侵检测系统，实时监视分析网络中所有的数据报文，防范入侵行为，通过对网络流量、网络安全情况的审计，帮助管理人员了解网络的运行情况，以便及早发现网络瓶颈并调整安全策略设置。再与网络流量优化系统相结合，分析网络现状，对P2P流量及与工作无关的协议过滤，增加员工工作效率。对防病毒控制系统，能够对所有节点的防病毒软件进行集中控制，包括集中下发

9、、集中版本升级、病毒库更新、集中配置管理、远程安装、远程杀毒、远程报警等。远期信息安全需求集中表现在建立网络管理中心，实行对全网安全的集中控制。建立网络管理中心，可以实现先进的网络管理功能，实现动态监控管理网络，实时查看全网的状态，检测网络性能可能出现的瓶颈，并进行自动处理或告警显示，保证网络高效、可靠地运转，提高网络的使用效率，减轻网管人员的工作强度，提高工作效率。2.1 服务器区需求分析该区域的主要功能： 提供数据查询、接发邮件、自动办公软件、应用软件等服务 作为重要的数据交换核心，提供对数据的拆分与统计等工作， 可提供内部例如OA服务，及未来还需扩充新的业务服务。 可提供连接互联网的通道

10、该区域的主要问题： 用户内部私人信息暴露出去的安全风险 被非法存取、非法访问的安全风险 电脑病毒传播和感染文件，破坏资料的风险 假冒合法用户访问禁止信息的安全风险 主机配置和其他信息被非法篡改的安全风险 用户和其他信息被非法篡改的安全风险 非法占用网络资源,从事与工作无关工作 发布有关违法违纪言论,使企业受到法律风险 拒绝服务攻击的风险 数据因其他故障或人为误操作丢失的风险2.2 办公区需求分析该区域的主要功能： 办公人员上网 可提供内部例如OA服务，及未来还需扩充新的业务服务。该区域的主要问题： 用户内部私人信息暴露出去的安全风险 被非法存取、非法访问的安全风险 电脑病毒传播和感染文件，破坏

11、资料的风险 假冒合法用户访问禁止信息的安全风险 主机配置和其他信息被非法篡改的安全风险 用户和其他信息被非法篡改的安全风险 拒绝服务攻击的风险 限制网络带宽较死，带宽利用率较低 上OA、上公网一个速度，不能根据数据流控制 网络游戏、P2P不能限制 网络状态不能时时查看，不能分析网络整体使用情况 IPSec客户端、分公司出现故障时，维护调试困难 在使用C/S架构的应用系统时需要较高的网络接入带宽3 安全方案设计3.1 方案概述我们为贵单位网络构架了一个整套的安全体系结构，整个体系中最基本单元是每台在线主机的安全，即安全体系中的每一个点；子网/局域网是体系中的块状组成部分，是安全体系中的各个面；整

12、个安全体系由各个层次和面组成，形成安全体系的立体框架。我们知道实现网络安全不是一次可以完成的任务，需要不断根据网络环境和网络管理进行调整，我们设计的解决方案充分兼容今后的安全管理及优化的需求。基于以上的分析，我们建议以系统的内部安全优化修复，清除网络安全漏洞为主要手段，提高网络内每个点的安全系数，清除各点的安全隐患，以网络优化系统、防火墙和防毒软件等安全产品对网络施以自动监控和防御，在各个面形成有效的防御体系，最后通过加强人员培训，提高管理水平，制定先进的安全策略，消除全网的各种安全威胁，全面提高软件、硬件和人员的安全水平，形成一个牢固的，立体的网络安全防御体系。3.2 总体设计依据我们的安全

13、系统设计原则，并结合贵单位网络系统的实际情况和需求，采用一系列产品搭建安全防范体系，通过安全技术和管理手段，使安全产品充分发挥其安全保护的作用。首先，从安全区域上，我们将网络划分为：服务器区、办公区，并采用防火墙将上述各个区域进行隔离，以对各个区域之间的相互访问进行访问控制，构成第一道安全防护体系。对于接入Internet的区域，都将Internet的LAN接口接在防火墙的接口上，从而实现对来自Internet的入侵的防护。第二，为了对保护公司本部的重要服务器（如管理服务器、邮件服务器、数据库服务器），特将这些重要的服务器放在同一网段，用防火墙进行访问控制，该网段称为核心防护区。再使用SSL

14、VPN设备将重要服务器进行发布，对外呈现只有SSL VPN一个服务，并根据具体要求配置SSL VPN安全访问策略，保护公司本部的重要服务器。第三，在网络出口防火墙与核心交换机间部署天网网络流量优化设备，进行P2P及与办公无关业务的拦截，从整体上分析网络使用情况，方便日后网络升级及维护。并在网络出口防火墙使用IP多管道技术，达到去不同目标地址有不同的带宽管理功能，增加带宽利用率。第四,在办公区部署天网行为管理系统,通过有关安全策略规范员工的上网行为,记录有关上网日志,规避有关法律问题.第五，通过天网防毒墙的部署，全面地保护内部各区域网络不受到病毒的入侵和破坏。利用全方位的企业防毒产品，实施“层层

15、设防，集中控管，以防为主、防治结合”的策略，使网络没有能成为病毒入侵的薄弱环节。针对网络中所有可能的病毒攻击设置对应的防毒软件，构建全方位、多层次的整体的防病毒体系。拓扑图如下：以下我们把贵单位应用结构划分成以下2个区域分别进行安全改造： 服务器区 办公区A服务器区域 单独接入防火墙的一个接口，和内网分离保护。使用原防火墙，节约投资。 部署防毒墙管理中心/系统中心，对全网内的病毒的情况采取实时监控及管理。 部署防毒系统主升级中心，承担整个XXX单位的病毒码扫描引擎统一的下载和分发工作。 针对邮件/数据库等服务器部署防毒系统服务器端，服务器端是面向网络中基于服务器操作系统提供的病毒防护执行端，服

16、务器端针对服务器操作系统进行特别优化处理，适合于服务器的大容量、高速度操作。 针对所有客户终端部署防毒墙客户端，客户端是面向网络中的客户机而设计的病毒防护执行端，它提供病毒的监控、查杀、隔离，同时兼具备份和应急盘创建的功能，实现全面防范。 在服务器区部署天网SSL VPN ，对外只呈现SSL VPN一个服务，更好的保护内部服务器安全，并可以采用SSL VPN的USB证书机制实现远程用户访问安全。可以通过登陆SSL VPN进行单点登陆访问内部资源，避免重复操作。B办公区域 在夏茅和北京分公司间部署一台天网基本型防火墙，实现夏茅、北京分公司与公司本部的区域隔离及安全防护，以免造成不必要的经济损失。

17、 针对所有客户终端部署防毒系统客户端，客户端是面向网络中的客户机而设计的病毒防护执行端，它提供病毒的监控、查杀、隔离，同时兼具备份和应急盘创建的功能，实现全面防范。 提供专业安全服务，使整个安全改造更完善。 在办公区部署一台天网行为管理系统，对内网的所有网络行为进行审计和记录，及时有效地管理办公人员的上网行为，包括网页服务、即时聊天、论坛言论发布、邮件收发等； 在网络出口部署天网流量优化系统，进行全网的流量分析，并阻断P2P及与办公无关的应用，保证带宽的使用价值，提升网络的可用性，减少投资。并可以分析网络带宽利用状况，方便排除网络故障。 在网络出口处部署天网流控企业级防火墙，使用其IP多管道技

18、术，通过区分不同的数据流，增加带宽的利用率，并通过自动带宽调节技术，提升带宽使用比。同样做到防黑、保护内网安全的功能。3.3 产品推荐产品型号部署数量关键参数及备注天网流控防火墙SNS-FW-1500TC夏矛与北京分公司1机架式/4FE/40万并发连接/150M吞吐量天网流控防火墙SNS-FW-4500TC网络总出口1机架式/4GE/120万并发连接/ 800M吞吐量天网防毒墙SNS-VW-250服务器区+办公室1机架式/4FE/提供相应客户端软件天网网络流量优化系统 TS-TC-100网络出口1 机架式/4FE天网行为管理系统SNS-NAM-500T办公区1 机架式/4FE天网SSL VPN

19、SNS-SSL-100T服务器区1机架式/4FE/AC POWER/100并发用户4 产品介绍4.1 天网流控防火墙天讯瑞达通信技术有限公司根据创新的安全流量管理理念STM (Security Traffic Management)而首创的天网流控防火墙，通过独特专利技术把专业级流量控制和防火墙完美结合，实现流量管理和安全管理的统一，给用户带来安全防护的同时，改善和提高现有互联网接入宽带的使用效率。4.1.1 产品特色 ABTQ(Adaptive Bandwidth Tuning Queue)ABTQ,自适应带宽调控队列，是一种针对流量管理的全新控制理念。以往的防火墙或流量控制设备都采用压制I

20、P带宽或应用带宽的方式实现流量控制，这种方法的缺点是无法自动根据实际网络使用情况调整。这种管理办法导致宽带的流量确实压制住了，可是每个客户端或者应用的可触发流量变得非常小。当占用带宽的行为减少后就会出现大量带宽空余，对每月租用费用达到几千甚至上万的专线费用造成浪费。天网流控防火墙自适应带宽调控队列，根据客户设置好的最佳带宽使用比率，动态的对局域网的每个IP带宽实施带宽压制和带宽释放。目的是让单位出口带宽维持在一个合理的负载水平范围上下浮动。 IP多管道带宽控制技术要合理分配网络出口带宽，流控防火墙具备了区分网络出口的成千上万种应用中哪些属于关键应用的能力。通过IP多管道带宽控制技术，天网流控防

21、火墙可准确区分网络出口的关键应用（如：OA,ERP.邮件服务器等）。支持在严格控制其它网络应用的同时，放宽每个IP地址到关键应用的带宽。天网流控防火墙把互联网访问分为多个流量类型，访问不同的流量类型局域网IP地址拥有不同的带宽值。 IP信息查询功能天网流控防火墙拥有强大的主机信息记录功能。系统内部会为所有管理的主机分配流量信息记录结构，因此可以统计出局域网内所有主机的流量信息。系统也是依据这些信息对每台机器的上下行包数，上下行带宽进行控制。系统对每台主机的信息记录精确到它的每个连接。4.1.2 产品功能 百万级并发连接数基于高性能硬件及独特的SNOS内核处理，具备超百万级的并发连接数，使防火墙

22、每个网口都可以轻松实现64字节数据包的全双工吞吐率达100%。 抗高强度DDoS攻击高性能SNOS内核，作为专用的防火墙操作系统，可有效防御SYN Flood、UDP Flood、ICMP Flood 等多种 DDoS攻击，基于芯片的DDoS防御功能在有效防御攻击的同时不会增加核心处理器的负载。 多线路负载均衡多线路接入负载均衡功能，支持同时接入超过十条互联网线路和线路堆叠使用。灵活的路由权重策略，保证带宽高使用率。支持南北通功能，有效解决电信和网通互访问题。独特的线路备份功能，确保网络永不中断。 多种VPN互联方式网络时代远程协同工作和远程办公成为潮流。天网流控防火墙支持多种VPN连接方式，

23、包括IPSec/PPTP/L2TP/MPLS VPN。使用标准的IPSec协议兼容主流防火墙和安全网关。自主研发的天匙虚拟专网，通过对IPSec协议的改进，在保证加密能力的基础上极大提高压缩比率有效提高VPN隧道的传输速度。 多种动态路由协议支持针对大型复杂网络，动态路由支持成为组网的关键。天网流控防火墙支持RIP/BGP/OSPF动态路由协议，使复杂网络简单化。4.2 天网网络流量优化系统天网网络流量优化系统是在P2P流行时代，诞生的新一代应用层流量管理产品，支持对IP流量的应用分类，实时控制用户组、应用服务流量。天网网络流量优化系统的解决方案是基于状态和特征的检测，精确识别9大类80余种常

24、用协议，并创新地自主开发“协议特征描述语言”PSDL(Protocol Signature Description Language)，使得维护协议特征库更加方便快捷。4.2.1 主要功能特色 天网网络流量优化系统主要功能模块有：1) 强大的协议识别引擎2) 内网IP统计功能3) 丰富的报表统计4) 系统高可用性下面分别详细介绍上述模块：4.2.1.1 强大的协议识别引擎天网网络流量优化系统强大的协议识别引擎不但可以识别各种明文的协议，如Bittorrent，eDonkey，而且其独有的“加密协议深度识别”技术可以识别经过加密的P2P协议，如Skype和eMule 0.47c。到目前为止，天网

25、网络流量优化系统已经支持如下协议： 1)传统协议：HTTP，HTTPS，SSH，DNS，SMTP，POP3，NetBIOS，CVS，DHCP，NTP，NFS，NNTP，SNMP，T，HTTP分块传输，伪IE下载，Microsoft-DS，Remote-sync。2)流媒体协议：RTSP，MMS。3)P2P下载：BitTorrent，eMule，Gnutella，Kazaa，iMesh，DC，AppleJuice，Ares，Mute，SoulSeek，Poco，酷狗，迅雷（含Web迅雷），百宝，XX下吧，Vagaa，脱兔，PPGou。4)即时通信：MSN，MSN视频，YahooMessger，Q

26、Q，QQ视频，QQ文件传输，网易泡泡，淘宝旺旺，新浪UC。、5)网络电话：Skype。6)网络电视：PPStream，PPLive，沸点，Recool，QQLive，TVAnts，TVKoo，PPMate，MySee，UUSee，CCIPTV，SopCast，VJBase，JeBoo。7)网络游戏：魔兽世界，奇迹世界，征途，热血江湖，跑跑卡丁车，QQ幻想，泡泡游戏，QQ游戏，中国游戏中心。8)股票证券：大智慧（经典版、新一代）、钱龙（经典版、旗舰版）、核新（同花顺2007）注：应用协议的支持更新，请参考我们的支持协议更新列表。 系统运行效果图：4.2.1.2 内网IP统计功能(1) 用户可在W

27、eb界面中选择是否打开内网IP统计功能。(2) TOP N统计功能用户可选择TOP 10 、20、30、所有IP的统计排名，并可选择以下三种方式：a、按照累计流量进行排名b、按照当前速率进行排名c、按照在线时间进行排名(3) 单个IP的应用流量、连接明细可直观的列出某个IP具体的历史应用明细，以及目前与该IP相关的连接情况，包括每条连接中对方的IP地址及端口。4.2.1.3 丰富的报表统计 (1) 网卡流量、各应用协议/协议组的日图表、周图表、月图表 (2) 连接统计、节点统计、协议统计、PPS统计(3) 自定义报表功能用户可针对自己关心的IP/IP组、应用协议/协议组等不同的对象自定义一个报

28、表，将针对多个对象的统计结果集中显示在一个图表中，减少日常监控的工作量。统计数据可以指定不同的线形和颜色以绝对值或叠加的方式显示。报表统计的时间跨度可以是当天、本周和当月。以下两张截图是某用户自定义的只统计“P2P协议组”和“网络电视协议组”上、下行流量的图表。 P2P与NetTV(网络电视)流量的日图表 说明：当前策略为08:0024:00之间将P2P与网络电视两类流量双方向控制为20M； 00:0008:00不做限制。可以看到在策略生效的时间点，流量呈现明显的瞬间下降情况。 P2P与NetTV(网络电视)流量的周图表 说明：一周内应用限速策略时P2P与网络电视两种协议组的流量曲线图。(周五

29、将策略修改为全天放开网络电视流量，只在08:0024:00之间限制P2P流量双向为20M)，同样可以看到每天在策略生效的时间段，被限速的流量始终被严格控制在20M以内。4.2.1.4 系统高可用性支持硬件Lan Bypass功能，当断电、硬件故障、系统死机等，系统自动切换到Lan Bypass状态，保持网络连通。4.3 天网网络行为管理系统天网网络行为管理系统，就是对网络使用者的网络行为进行记录、控制、限制等管理，达到上网安全审计、上网信息过滤、上网行为规范。对常用上网协议服务：浏览网页、WEB表单提交、网页内容、邮件外发(SMTP)、接收邮件(POP3)、网页邮件、文件上传下载传输(FTP)

30、、远程主机登陆(TELNET)、即时通讯（聊天软件QQ、MSN）、常用在线游戏、网络多媒体等进行安全审计，对符合设定的规则进行动作（阻断、保存数据、报警等）等信息过滤。系统内置防火墙实现基于IP/子网策略、基于部门/分组策略、基于用户帐号策略，实现对（员工）上网行为进行策略规范。随着网络技术和信息技术的快速发展，网络行为已经变得越来越复杂，管理网络行为也是势在必行,对于网络管理者和网络管理部门显得很重要。致力于管理结合技术，天网网络行为管理系统是为满足此需求而研发的新一代网络行为管理系统。4.3.1 天网行为管理器功能特点 行为管理日志详尽记录15大类网络活动的行为日志，并提供多种组合条件查询

31、功能，图文、报表显示，可快速导出多种格式文档。 全面的网络行为审计无关的网络活动是企业效率的杀手，本系统能详细记录访问网站、WEB表单提交、收发邮件、QQ、MSN、Yahoo Message、流媒体、数据库查询、聊天室、BBS、网络游戏等多达15种以上的网络活动，并拦截、过滤相关机密信息、违法违规信息，提供桌面、邮件等报警提示。下图为：全面的网络行为审计图： 人性化的报表统计系统提供强大的自定义报表生成功能，针对技术管理与行政分析的需要，系统提供3大类及17个小类共85种自定义管理报表，包括月、周、日、时刻、人员、部门、群组、机器、访问次数、报警次数、流量等多维度进行网络现状分析。下图为：人性化的图文报表： 网络异常行为分析系统根据数据综合分析算法，能有效地综合定位网络异常行为，判断内网用户人为或非人为因素引起的类攻击行为，为管理人员排除网络故障提供快速辅助工具。下图为：异常行为综合分析图： 强力防泄密功能系统可以对内网用