• 1个月广东6市针对楼市发文7次,大湾区规划将“去地产化” ——凤凰网房产北京 2019-01-16
  • 四川坚持稳中求进 提升精准落实水平 2019-01-16
  • 重庆市渝中区:创新党建引领社会治理 2019-01-15
  • 感触名家笔下的端午文化 吃香粽原来可以这样"文艺" 2019-01-14
  • Xi Menschen sind die Erschaffer der Geschichte, die wahren Helden 2018-12-25
  • Windows 10新版17692发布:游戏帧率显示加入Windows10新版17692发布-手机行情 2018-12-25
  • 安徽:跟进固体废物倾倒长江案 监督公安机关立案2件2人 2018-12-01
  • 特不靠谱先生言而无信,翻云覆雨小人,王八吃秤砣铁了心要与我朝为敌了。[福尔摩斯] 2018-12-01
  • 新十一选五走势图:XXXXX公司 网络安全建设建议方案(三)

    2014-12-17 17:41:00
    dxt001
    原创
    3169

    福建快3专家推荐 www.kwrf.net 接XXXXX公司 网络安全 建设建议方案(二)


    ?         针对****公司网络,根据实现功能,我们将其划分为接入访问区域,数据中心区域和互联网区域四个部分,分别为:

                     

    ? ?    接入访问区域:包括****公司网络接入的各公司,该区域是****公司网络应用的主要组成部分;

    ?  ?    数据中心区域:即****公司网络的管理中心机房,该区域实现了对整体网络的统一管理,具有相当重要的位置;

    ?  ?   互联网区域:国际互联网。


        防火墙被部署在各个区域之间,对不同的区域之间形成逻辑隔离,并且控制不同区域之间的访问,参考安全策略,按照IP地址、协议、端口、MAC地址、时间、带宽等多个因素,确保各个区域之间只有授权许可的访问才能进行,从而达到边界防护的目的。具体部署方案参考下图:


    ****公司网络防火墙部署示意图

    防火墙主要在以下三个方面进行部署:

    部署在办公网与互联网的边界处

    在此防火墙工作在“路由模式”下,既内、外网口分别被分配两个网段的IP地址,并且对接入访问区域向互联网的访问做地址转换,确保接入访问区域能够顺利访问互联网资源;

    此处部署的防火墙主要配置以下的安全规则:

    1、 限制接入访问区域内用户对互联网访问的种类,规定只有HTTP、HTTPS、FTP、MAIL、FTP、QQ、MSN等访问能够经过防火墙转发;

    2 、互联网用户只能通过HTTP、MAIL、DNS、FTP的方式,访问信息发布区域内的信息发布服务器;

    3 、其他任何访问均被禁止;

    4、 地址转换规则:地址转换分为两个方面,一是接入访问区域的用户通过正向地址转换,访问到互联网的资源;二是对信息发布区域的服务器,通过反向地址转换,提供给互联网用户进行访问;

    5、 该防火墙需要与部署在网络核心交换机上的入侵检测系统进行联动,当入侵检测系统发现攻击行为时,发送消息给该防火墙,防火墙则自动生成阻断规则,将发起攻击的来源阻断在网络之外。

    6 、抗攻击策略:防火墙采取抗拒绝服务攻击,扫描攻击、木马攻击等策略,确保系统的持续可用能力;

    部署在办公网与数据中心的边界处

    在此防火墙工作在“透明模式”下,在该模式下,防火墙接入方便灵活,通过访问控制策略,确保数据中心的边界安全;

    此处部署的防火墙主要配置以下的安全规则:

    1、 限制接入访问区域内用户对数据中心访问的种类,规定只能访问数据中心的服务器资源;

    2 、数据中心的网管服务器可以单向地任意访问其他任何区域;

    3 、其他任何访问均被禁止;

    4 、部署在此的两台防火墙采取双机热备的方式,与原有的物理链路配合,具有较好的可靠性;

    5 、该防火墙需要与部署在网络核心交换机上的入侵检测系统进行联动,当入侵检测系统发现攻击行为时,发送消息给该防火墙,防火墙则自动生成阻断规则,将发起攻击的来源阻断在网络之外。

    详细的防火墙访问规则与应用是密切配合的,因此在具体实施的过程中,我们将根据****公司网络的具体应用,将进一步细化规则

    6.1.2. 防火墙的作用

    6.1.2.1. 防御网络攻击

    各局域网中的用户均有可能对其他局域网中的对外服务器进行各种各样的攻击,通过在防火墙上设置相应的规则,可以抵御或者阻止这些攻击。例如:

    l  用户一经授权便能够采用任何现有的或新出现的网络技术与应用而在广域网中最大限度的访问所需要的信息和服务;

    l  这些用户和系统应该可以防范各种网络攻击,能够查找到攻击的来源和类型,能够对这些攻击进行反应,而且能够对这些攻击造成的破坏进行修复;

    l  对网络访问接入点的?;びΩ枚韵喙刈榧胪绲男阅茉斐删】赡苌俚挠跋?;

    l  对网络访问接入点的?;びΩ镁哂姓攵晕蠢葱枨蟮目衫┱剐?;

    l  DOS/DDOS攻击:拒绝服务攻击(DOS)、分布式拒绝服务攻击(DDOS)就是攻击者过多的占用共享资源,导致服务器超载或系统资源耗尽,而使其他用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警机制,防止DOS黑客攻击。所以通过防火墙上进行规则设置,规定防火墙在单位时间内接到同一个地址的TCP全连接、半连接的数量,如果超出这个数量便认为是DOS/DDOS攻击,防火墙在设定的时间内就不接受来自于这个地址的数据包,从而抵御了DOS/DDOS攻击;

    l  防止入侵者的扫描:大多数黑客在入侵之前都是通过对攻击对象进行端口扫描,收集被攻击对象开放什么端口、什么服务、有何漏洞、哪些用户的口令弱等信息,然后再展开相应的攻击。通过防火墙上设置规则:如果发现外部有某台计算机在单位时间内与内部某台服务器或者主机建立多个连接,便认为是扫描行为,并截断这个连接。从而防止入侵者的扫描行为,把入侵行为扼杀在最初阶段;

    l  防止源路由攻击:源路由攻击是指黑客抓到数据包后改变数据包中的路由选项,把数据包路由到它可以控制的一台路由器上,进行路由欺骗或者得到该数据包的返回信息。通过在防火墙上配置规则,禁止TCP/IP数据包中的源路由选项,防止源路由攻击;

    l  防止IP碎片攻击:IP碎片攻击是指黑客把一个攻击数据包分成多个数据据包,从而隐藏了该数据包的攻击特征。通过在防火墙上设置规则防火墙在进行检查之前必须将IP分片重组为一个IP报文,而且这个报文必须具有一个最小长度以包含必要的信息以供检查,从而防止了IP碎片攻击;

    l  防止ICMP/IGMP攻击:许多拒绝服务攻击是通过发送大量的ICMP数据包、IGMP数据包实现的。通过在防火墙上设置规则,禁止ICMP/IGMP数据包的通过防火墙,保证系统的安全;

    l  阻止ActiveX、Java、Javascript等侵入:防火墙能够从HTTP页面剥离ActiveX、JavaApplet等小程序及从Script、PHPASP等代码检测出危险的代码,也能够过滤用户上载的CGI、ASP等程序;

    l  其他阻止的攻击:通过在防火墙上的URL过滤可以防止一些来自于系统漏洞的攻击(例如:通过配置规则禁止访问../winnt/system32/cmd.exe?/可以防止WINDOW NT/2000 UNICODE漏洞以及其他CGI漏洞攻击:/Cgi-bin/phf、cgi-bin/count.cig、_vti_pvt/service.pwd、cfdocs/expeval/ openfile.cfm等)、和一些病毒的攻击(例如:禁止default.ida可以防止红色代码的攻击);

    l  提供实时监控、审计和告警:通过防火墙提供对网络的实时监控,当发现攻击和危险代码时,防火墙提供告警功能;

    6.1.2.2. 访问控制

    访问控制也是防火墙的主要作用,这里我们在****公司网络中引入防火墙系统,将****公司网络从逻辑上隔离为多个安全区域,在安全区域之间对访问进行灵活的控制,从而确保只有授权许可的访问才能穿越防火墙,具体内容如下:

    l  提供基于状态检测技术的对象式访问控制:访问控制对象定义灵活,可以为IP对象、域名对象、NAT对象、代理对象、用户对象、用户组对象、时间对象等;

    l  高效的透明代理实现细粒度应用级访问控制:提供应用级透明代理,对常用高层应用(HTTP、FTP、SMTP、POP3、NNTP、TELNET)做了更详细控制,如HTTP命令(GET,POST,HEAD)及URL,FTP命令(GET,PUT)及文件控制,从而对重点服务器的安全?;?,如控制用户访问的路径,控制用户的“读”、“写”权限等。

    l  支持邮件过滤和内容安全审计:实现URL阻断及HTTP、FTP 、SMTP、POP3、NNTP协议下交互操作命令和指令的过滤,?;びτ玫陌踩?。例如,管理员可以控制用户是否可以访问WWW服务器上的某个页面,是否过滤页面中java,vbscript,javascript组件,也可以查看内部网用户发出的邮件,控制用户访问的新闻组等等。

    6.1.2.3.WWW防火墙的优势

    自主安全操作系统平台

    采用自主知识产权的安全操作系统 TOSTopsec Operating System),TOS拥有优秀的??榛杓萍芄?,有效保障了防火墙、VPN、防病毒、内容过滤、抗攻击、流量整形等??榈挠乓煨阅?,其良好的扩展性为未来迅速扩展更多特性提供了无限可能。TOS具有具有高安全性、高可靠性、高实时性、高扩展性及多体系结构平台适应性的特点。 

    自主产权的安全芯片

    安全核心芯片—TopASIC?,是天融信在多年芯片开发的经验积累下,在上一代芯片开发的基础上完成的,从而确保该芯片在继承了原有技术优势的同时,技术的稳定性好。TopASIC?的成功开发和应用,使天融信跻身于少数拥有芯片级核心技术自主产权的国际安全厂商的行列。

     

    高集成度高稳定性的芯片

    WWW防火墙借鉴了业内芯片SoC(System on Chip)技术,芯片内置硬件防火墙单元、7层数据分析单元、VPN加密单元、硬件路由交换单元、快速报文缓存、MAC等众多硬件芯片单元,使得防火墙全部业务功能都在安全芯片系统内完成。高度集成化确保产品具有低功耗、高性能、高稳定、长寿命的特点。

    灵活的双引擎构架

    WWW防火墙核心构架采用高性能管理CPU与可编程ASIC技术相结合的方式,将系统的控制平面与数据平面分开,大大降低了控制平面与数据平面间的数据流量。ASIC硬件芯片负责数据业务的处理转发;高性能管理CPU处理器提供系统的管理控制功能,它具有强大运算能力的优势可以大大提高系统的自身抗攻击能力,以及保证在高强度攻击下的系统自身管理效率。

     

    真正的线速性能

    内置的专用硬件加速芯片,保证系统从小包64字节到1518字节的数据处理,从简单功能到复杂网络应用组合,都可以达到100%的线速转发。加之WWW公司自主TAPF (TopASIC Packet Fashpath)报文转发技术,报文转发延迟比传统防火墙降低了数十倍。具体表现为:

    ?  各种业务条件下的线速转发。例如当启动NAT、各种防火墙策略后,系统性能不变。

    ?  系统大容量。8Gbps总容量。所有端口全部线速转发。

    ? 低延迟。借助报文快速处理TAPT等技术,使得报文转发延迟相对X86或者NP构架防火墙有数十倍的降低,最低可以小于3us。

     

    高稳定性和高处理能力

    专用芯片技术是当前高端网络设备广泛采用的技术。由于采用了硬件转发模式、多总线技术、数据层面与控制层面分离等技术, 专用芯片架构防火墙解决了带宽容量和性能不足的问题,稳定性也得到了很好的保证。

    通过对用户需求的深入了解,对关键功能的处理流程进行大量的优化工作,使得关键处理部分以简单而固定的方式实现,从而固化到硬件。通过把指令或计算逻辑固化到硬件中,可以获得很高的处理速度,因而能够很好地满足网络安全设备对处理能力、性能及稳定性的要求。

     

    虚拟防火墙

    虚拟防火墙,是指在一台物理防火墙上可以存在多套虚拟系统,每套虚拟系统在逻辑上都相互独立,具有独立的用户与访问控制系统。不同的企业或不同的部门可以共用1台防火墙,但使用不同的虚拟系统。对于用户来说,就像是使用独立的防火墙。大大节省了成本。

     

    强大的应用控制

    WWW防火墙提供了强大的网络应用控制功能。用户可以轻松的针对一些典型网络应用,如BT、MSN、QQ等。

    6.2. 入侵检测子系统设计

    在基于TCP/IP的网络中,普遍存在遭受攻击的风险。除了恶意的攻击外,非恶意目的发起的攻击也是非常重要的一部分。有效的入侵检测系统可以同时检测内部和外部威胁。入侵检测系统的目的是检测恶意和非预期的数据和行为(如变更数据、恶意执行、允许非预期资源访问的请求和非预期使用服务)。一旦入侵被检测到,会引发某种响应(如断开攻击者连接、通知操作员、自动停止或减轻攻击、跟踪攻击来源或适当地反攻击)。

    6.2.1. 入侵检测部署方案


    探测器部署位置

    如图上图所示,整个网络的入侵检测探测器部署在三个地方,分别是接入访问区域边界的交换机、数据中心区域核心交换机以及对外信息发布区域核心交换机,分别对所在区域内的访问进行实时探测与响应,当发现存在异常行为时,将事件以消息的方式传递到数据中心的监控台,提供给网络管理人员对网络内的活动进行监测。

    管理中心部署方式

    入侵检测系统的部署采取“各单位独立部署、单位内部集中管理、分层管理”的方式,即每个独立的局级单位分别部署独立的入侵检测系统控制中心,用于管理本局内的所有探测器,每个单位自己进行入侵检测。为了保证监测效率,原则上一个控制中心控制的下级探测器不宜超过10个,因此,当一个单位有更多探测器时,允许利用入侵检测系统控制中心的多级管理功能,部署二级或多级的控制中心,以扩充引擎数量。

    探测器部署方式

    探测器采用监听的方式发现非法事件,因此,探测器需要部署在网络内部,将探测器的监听端口接在被?;ぶ骰耐桓鐾沃?,每个独立网段只安装一个探测器,整个网段都将在其监视之下。对交换式网络,需要在交换机上配置监听端口即可。

    事件库升级方式

    事件库的升级应当由控制中心统一进行,事件库的派发可采用由开发商统一发放,进行全体系的升级。升级方式可以是通过网络、光盘等方式。

    系统管理方式

    入侵检测系统的管理、使用、升级等策略由****公司统一做出要求,各单位遵照执行。

    建议各单位设置安全管理员,在一个统一的安全管理委员会的组织下管理入侵检测系统。系统的管理方式应遵循相关章节中关于安全管理组织结构及其运行方式的描述。

    性能要求

    要求探测器工作在双网卡工作模式下,探测端口和通讯端口分开的,探测端口只进行抓取网络数据包功能、只进不出,保证对原网络不产生影响,尤其保证不能大量占用带宽等网络资源,原则是不能影响正常业务的进行。


    6.2.2. 入侵检测的作用

    ****公司网络是一个基于TCP/IP协议的通用网络,它的如下特点使得它面临较大的攻击风险:

    (1)         多个局域子网联入总公司网络,使网络更加复杂和难以保证安全;

    (2)         防火墙一般不提供对内部的?;?,不能防止通向站点的后门,无法防范数据驱动型的攻击。

    (3)         开放的Internet环境,使得黑客工具唾手可得,无论是外部入侵还是内部破坏几乎不需要专业的计算机网络知识,安全事件逐年上升。

    利用防火墙技术,经过精心的配置,通常能够在内外网之间提供安全的网络?;?,降低网络安全风险。但是,存在着一些防火墙等其它安全设备所不能防范的安全威胁,这就需要入侵检测系统提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等,来?;ね绲陌踩?。

    入侵检测是防火墙等其它安全措施的补充,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时检测。

    除了入侵检测技术能够保障系统安全之外,下面几点也是使用入侵检测的原因:

    (1)         计算机安全管理的基本目标是规范单个用户的行为以?;ば畔⑾低趁馐馨踩侍獾睦?。入侵检测系统可以发现已有的威胁,并对攻击者进行惩罚,有助于上述目标的实现,并对那些试图违反安全策略的人造成威慑。

    (2)         入侵检测可以检测其它安全手段无法防止的问题。攻击者使用越来越容易得到的攻击技术,能够对大量系统进行非授权的访问,当系统具有已知漏洞的时候这种攻击更容易发生。尽管开发商和管理员试图将漏洞带来的威胁降到最低程度,但是很多情况下这是不能避免的:

    l  很多系统的操作系统不能得到及时的更新


    l  有的系统虽然可以及时得到补丁程序,但是管理员没有时间或者资源进行系统更新,这个问题很普遍,特别是在那些具有大量主机或多种类型的软硬件的环境中。

    l  正常工作可能需要开启网络服务,而这些协议是具有漏洞,容易被攻击的。

    l  用户和管理员在配置和使用系统时可能犯错误。

    l  在进行系统访问控制机制设置时可能产生矛盾,而这将造成合法用户逾越他们权限的错误操作。

    l  商业软件开发商总是希望将自己产品中的漏洞数量减到最少,而用户也应尽可能迅速可靠的修补已经公布的漏洞,但是并不总是我们希望的那样,事实上每天都有很多新的漏洞公布。当攻击者利用已知的漏洞进入一个系统时,入侵检测可以将其检测出来,此外,它将入侵汇报给管理员,管理员可以进行相应的系统恢复。

    (1)         当有人攻击一个系统时,他们总是按照一定的步骤进行。首先是对系统或网络的探测和分析,如果一个系统没有配置入侵检测,攻击者可以自由的进行探测而不被发现,这样很容易找到最佳攻入点。如果同样的系统配置了入侵检测,则会对攻击者的行动带来一定难度,它可以识别可疑探测行为,阻止攻击者对目标系统的访问,或者对安全人员报警以便采取响应措施阻止攻击者的下一步行动。

    (2)         入侵检测证实并且详细记录内部和外部的威胁,在制定网络安全方案时,通常需要证实网络很可能或者正在受到攻击。此外,攻击的频率和特征有助于选择?;ね缑馐芟嘤セ鞯陌踩侄?。

    (3)         在入侵检测运行了一段时间后,系统使用模式和检测问题变得明显,这会使系统的安全设计与管理的问题暴露出来,在还没有造成损失的时候进行纠正。

    (4)         即使当入侵检测不能阻止攻击时,它仍可以收集该攻击的可信的详细信息进行事件处理和恢复,此外,这些信息在某些情况下可以作为犯罪的佐证。


    总之,入侵检测的根本意义在于发现网络中的异常。管理人员需要了解网络中正在发生的各种活动,需要在攻击到来之前发现攻击行为,需要识别异常行为,需要有效的工具进行针对攻击行为以及异常的实时和事后分析?!?b>知情权是网络安全的关键”,这使得入侵检测成为其它许多安全手段,如审计系统、安全网管系统的基础。

    入侵检测系统作为边界?;さ囊幌罟丶侄?,可有效实现如下安全措施:

    (1)         报告安全事故,降低外部访问风险;

    入侵检测系统可有效发现来自外部访问人员的违规行为,可探测网络中不应出现的行为,包括内部人员的行为,如口令猜测等。入侵检测系统作为收集网络中异常信息的技术,是建立安全事故报告的基础,它不仅能够在安全事件发生时给出警告,还可以在安全事件发生后,为调查事故发生过程提供基本支持信息。

    (2)         协助发现安全弱点,生成安全事件分析报告;

    检测到的安全事件信息同样也反映了系统中存在的某些安全漏洞,许多场合下,正是由于这些弱点的存在,才导致出现攻击。

    (3)         建立边界的安全?;ぬ逑?;

    入侵检测的设置点之一就是关键网段的边界、外部网关等位置,以便可以监测那些可抽取网络事件特征的流量(如最有可能被用来攻击的通道),检测部分恶意软件危害信息保密性、完整性的行为,同时,可检测网络病毒(如Nimida)等恶意代码。入侵检测是?;さ缱佑始低?、办公自动化系统的一种重要手段,可防止上述系统被恶意攻击。同时,入侵检测能够检测整个网络的安全状况,包括检测来自外部和内部对无人值守的设备的攻击。

    入侵检测反映出的安全事件可用于指导制订设备的操作制度。

    (4)         对远程访问进行?;?;

    入侵检测可发现并记录任何对远程诊断端口的使用,可检测对网络路由的控制和攻击。任何对开放的网络服务的滥用、攻击,入侵检测系统都能够记录下来。

    (5)         对敏感系统建立专用?;せ肪?;

    入侵检测系统可实时检测敏感系统的安全状况,?;っ舾邢低巢槐环欠üセ?,近乎实时地识别和阻止内部网络用户和外部攻击者对计算机系统的非授权使用、误用和滥用。同时,能够发现并记录利用隐通道发出的信息流,以及特洛伊木马的破坏保密性的行为。

    (6)         建立安全事件记录系统;

    入侵检测系统可发现并存储安全事件,以作为建立安全事件记录体系、报告体系、分析体系、安全应对体系的基础,并可作为审计的基础。




    XXXXX公司 网络安全建设建议方案(四)



      文章分类
      联系我们
      联系人: 牟经理
      电话: 028-85666248
      传真: 028-85666248-8008
      Email: [email protected]
      QQ: 489323802
      微信: cddxt
      旺旺: dreamsilcon
      网址: 福建快3专家推荐
      地址: 成都市二环路西一段80号金科双楠天都2号楼1116、1117号
      购买咨询:销售咨询 技术咨询:技术咨询 阿里旺旺:点击这里给我发消息 网络发烧友:网络发烧友
    • 1个月广东6市针对楼市发文7次,大湾区规划将“去地产化” ——凤凰网房产北京 2019-01-16
    • 四川坚持稳中求进 提升精准落实水平 2019-01-16
    • 重庆市渝中区:创新党建引领社会治理 2019-01-15
    • 感触名家笔下的端午文化 吃香粽原来可以这样"文艺" 2019-01-14
    • Xi Menschen sind die Erschaffer der Geschichte, die wahren Helden 2018-12-25
    • Windows 10新版17692发布:游戏帧率显示加入Windows10新版17692发布-手机行情 2018-12-25
    • 安徽:跟进固体废物倾倒长江案 监督公安机关立案2件2人 2018-12-01
    • 特不靠谱先生言而无信,翻云覆雨小人,王八吃秤砣铁了心要与我朝为敌了。[福尔摩斯] 2018-12-01