版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、典型網(wǎng)絡(luò)安全方案設(shè)計(jì),本項(xiàng)目主要從當(dāng)前網(wǎng)絡(luò)安全的狀況做出安全需求分析,并結(jié)合網(wǎng)絡(luò)安全的評(píng)價(jià)標(biāo)準(zhǔn)以及網(wǎng)絡(luò)安全防御體系的一般結(jié)構(gòu)來(lái)制定相關(guān)網(wǎng)絡(luò)(如校園網(wǎng)、企業(yè)網(wǎng)、政府網(wǎng)等)的安全方案規(guī)劃。最后,對(duì)后續(xù)的網(wǎng)絡(luò)安全實(shí)驗(yàn)進(jìn)行設(shè)計(jì)并建立一個(gè)虛擬的實(shí)驗(yàn)環(huán)境。,校園網(wǎng)絡(luò)安全方案設(shè)計(jì),校園網(wǎng)安全現(xiàn)狀目前,校園網(wǎng)在學(xué)校的辦公系統(tǒng)中起著重要作用,合理的使用不僅能促進(jìn)各院校的現(xiàn)代化教學(xué)改革、提高教學(xué)質(zhì)量、改善教學(xué)環(huán)境,還將會(huì)極大的提高教育行業(yè)整體的工作效率和
2、教育質(zhì)量,而前提就是校園網(wǎng)必須是穩(wěn)定的、安全的和可靠的。因此,校園網(wǎng)安全方案的設(shè)計(jì)尤為重要。。,,校園網(wǎng)安全需求分析校園網(wǎng)總體上分為校園內(nèi)網(wǎng)和校園外網(wǎng)。校園內(nèi)網(wǎng)主要包括教學(xué)局域網(wǎng)、圖書(shū)館局域網(wǎng)、辦公自動(dòng)化局域網(wǎng)等。校園外網(wǎng)主要指學(xué)校提供對(duì)外服務(wù)的服務(wù)器群、與CERNET的接入以及遠(yuǎn)程移動(dòng)辦公用戶的接入等。但具體還要根據(jù)不同校園網(wǎng)的實(shí)際情況來(lái)做簡(jiǎn)要分析。一般情況下,校園網(wǎng)安全主要可以從以下5個(gè)方面進(jìn)行分析:(1)物理安全。是指保護(hù)校園
3、網(wǎng)內(nèi)計(jì)算機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備及通信線路,使其免遭自然災(zāi)害及其它環(huán)境事故(如電磁污染)的破壞。(2)網(wǎng)絡(luò)安全。是指校園網(wǎng)安全建設(shè)的基礎(chǔ),完善的網(wǎng)絡(luò)安全防御措施可以解決大多數(shù)的校園網(wǎng)安全問(wèn)題,包括基礎(chǔ)網(wǎng)絡(luò)安全、邊界防護(hù)、遠(yuǎn)程接入和全局安全。(3)主機(jī)安全。校園網(wǎng)內(nèi),主機(jī)的安全問(wèn)題最為常見(jiàn),也是其他安全問(wèn)題源頭,主機(jī)安全涉及到統(tǒng)一身份認(rèn)證,主機(jī)安全防護(hù)體系。通過(guò)校園網(wǎng)統(tǒng)一身份認(rèn)證和校園網(wǎng)主機(jī)安全防護(hù)體系來(lái)全面實(shí)現(xiàn)校園網(wǎng)的主機(jī)安全目標(biāo)。(4)
4、應(yīng)用安全。校園網(wǎng)的應(yīng)用安全是最為復(fù)雜的部分,涵蓋的內(nèi)容涉及到了業(yè)務(wù)應(yīng)用的各個(gè)層面。(5)數(shù)據(jù)安全。數(shù)據(jù)是當(dāng)前高校信息化建設(shè)中最寶貴的資源,其重要性已經(jīng)得到越來(lái)越高的重視。校園網(wǎng)的安全建設(shè)中,數(shù)據(jù)安全是一個(gè)不可忽視的方面。數(shù)據(jù)的遺失或損壞對(duì)于學(xué)校而言,其后果不可想象。,,校園網(wǎng)安全功能設(shè)計(jì)1. 設(shè)計(jì)原則為了建設(shè)全方面的、完整的校園網(wǎng)絡(luò)安全體系結(jié)構(gòu),綜合考慮可實(shí)施性、可管理性、可擴(kuò)展性、綜合完備性和系統(tǒng)均衡性等方面,網(wǎng)絡(luò)安全防御體系在
5、整體設(shè)計(jì)過(guò)程中應(yīng)遵循以下5項(xiàng)原則:(1)保密性:防止信息泄露給非授權(quán)用戶的特性。達(dá)到保密性可選擇VLAN的劃分,并能在VLAN之間進(jìn)行第三層交換時(shí)進(jìn)行有效的安全控制,以保證系統(tǒng)的安全性;(2)完整性:防止信息在存儲(chǔ)或傳輸過(guò)程中被修改、破壞和丟失的特性。達(dá)到完整性采用VPN技術(shù),用它的專用通道進(jìn)行通信保證了信息的完整性;(3)可用性:就是易于操作、維護(hù),并便于自動(dòng)化管理。達(dá)到可用性可以利用圖形化的管理界面和簡(jiǎn)潔的操作方式,合理地網(wǎng)絡(luò)
6、規(guī)劃策略,提供強(qiáng)大的網(wǎng)絡(luò)管理功能,使日常的維護(hù)和操作變得直觀,便捷和高效;(4)可控性:就是對(duì)信息的傳播及內(nèi)容具有控制能力。達(dá)到可控性對(duì)于網(wǎng)絡(luò)管理來(lái)說(shuō),要求采用智能化網(wǎng)絡(luò)管理軟件,并支持虛擬網(wǎng)絡(luò)功能,對(duì)網(wǎng)絡(luò)用戶具有分類控制功能,從而來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的自動(dòng)監(jiān)測(cè)和控制;(5)擴(kuò)展性:就是便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展。達(dá)到擴(kuò)展性對(duì)選擇的網(wǎng)絡(luò)設(shè)備最好是模塊化的,便于網(wǎng)絡(luò)的擴(kuò)大和更改,其中核心交換機(jī)應(yīng)具有多種模塊類型,以滿足各種網(wǎng)絡(luò)類型的接入,所選擇
7、的設(shè)備都應(yīng)具有良好的軟件再升級(jí)能力。,,,,,。,,,,,,3. 功能模塊及設(shè)備需求分析1)主要功能模塊(1)交換機(jī)安全模塊主要實(shí)現(xiàn)的功能:IP與MAC的綁定、VLAN的劃分、端口的安全和訪問(wèn)控制列表(ACL);(2)防火墻模塊:包過(guò)濾、地址轉(zhuǎn)換(NAT);(3)VPN模塊:建立專用通道IPSEC VPN 和SSL VPN;(4)DMZ區(qū)域模塊:IDS與防火墻的聯(lián)動(dòng)。,,2)設(shè)備需求方案主要設(shè)備如表11-3所示。
8、(1)三層交換機(jī)的主要功能包括:高背板帶寬為所有的端口提供非阻塞性能、靈活完備的安全控制策略、強(qiáng)大的多應(yīng)用支持能力和完善的QoS策略等。(2)防火墻的主要功能包括:擴(kuò)展的狀態(tài)檢測(cè)功能、防范入侵及其它(如URL過(guò)濾、HTTP透明代理、SMTP代理、分離DNS、NAT功能和審計(jì)/報(bào)告等)附加功能。(3)入侵檢測(cè)系統(tǒng)主要功能包括:能夠阻止來(lái)自外部或內(nèi)部的蠕蟲(chóng)、病毒和攻擊帶來(lái)的安全威脅,確保企業(yè)信息資產(chǎn)的安全,能夠檢測(cè)各種IM即時(shí)通
9、訊軟件、P2P下載等網(wǎng)絡(luò)資源濫用行為,保證重要業(yè)務(wù)的正常運(yùn)轉(zhuǎn),能夠高效、全面的事件統(tǒng)計(jì)分析;能迅速定位網(wǎng)絡(luò)故障,提高網(wǎng)絡(luò)穩(wěn)定運(yùn)行時(shí)間。(4)VPN的主要功能包括:嚴(yán)格的身份認(rèn)證、權(quán)限管理、細(xì)粒度控制、傳輸加密和終端安全檢查等機(jī)制保障移動(dòng)用戶SSL安全接入可實(shí)現(xiàn)用戶身份和PC硬件信息的對(duì)應(yīng);通過(guò)人機(jī)捆綁可以為遠(yuǎn)程用戶分配內(nèi)部IP地址;真正實(shí)現(xiàn)遠(yuǎn)程局域網(wǎng)可以為遠(yuǎn)程移動(dòng)用戶分配內(nèi)部服務(wù)器地址;真正實(shí)現(xiàn)移動(dòng)辦公通過(guò)證書(shū)管理器為用戶生成證書(shū)、私
10、鑰,可通過(guò)郵件通知用戶自己到證書(shū)管理器上下載軟件安裝包和配置文件,用戶只需在本地安裝就可實(shí)現(xiàn)快速部署。,,校園網(wǎng)安全模塊詳細(xì)設(shè)計(jì)1. 交換模塊安全設(shè)計(jì)與實(shí)施為了更加安全,減小廣播風(fēng)暴,VLAN技術(shù)在網(wǎng)絡(luò)中得到大量應(yīng)用,但同時(shí)網(wǎng)絡(luò)訪問(wèn)站點(diǎn)也不斷增加,而路由器的接口數(shù)目有限,二層交換機(jī)又不具備路由功能?;谶@種情況,三層交換機(jī)便應(yīng)運(yùn)而生,三層交換機(jī)彌補(bǔ)了路由器和二層交換機(jī)在某些方面的不足,它可以通過(guò)VLAN劃分、配置ACL、IP地址與M
11、AC地址的綁定以及arp-check防護(hù)等功能來(lái)提升網(wǎng)絡(luò)中數(shù)據(jù)的安全性,如圖11-2所示。,,(1)VLAN劃分方案VLAN劃分的方案圖如圖11-3所示,說(shuō)明如下:(1)高校的學(xué)生通過(guò)網(wǎng)絡(luò)交換的信息量日益增大,特別是一個(gè)班的同學(xué),但住在一個(gè)寢室的同學(xué)不一定就是一個(gè)班的,所以將一個(gè)班的同學(xué)劃為同一個(gè)VLAN便于信息的傳遞。一個(gè)班同學(xué)的寢室劃為同一個(gè)VLAN,再將一棟宿舍樓劃為一個(gè)大VLAN;(2)每個(gè)老師的計(jì)算機(jī)里可能有一些重要的科
12、研資料,從安全性考慮,不能將所有老師的寢室劃為同一個(gè)網(wǎng),即將每個(gè)老師的寢室劃為一個(gè)VLAN,并且學(xué)生宿舍和教師宿舍不能互相訪問(wèn);(3)將教學(xué)樓的所有教室劃為一個(gè)VLAN;(4)為了方便同學(xué)和老師做一些教學(xué)實(shí)驗(yàn),實(shí)驗(yàn)室會(huì)進(jìn)行一些專項(xiàng)課題研究,將一個(gè)實(shí)驗(yàn)室劃分在同一個(gè)VLAN的做法安全性更高。因此,可以將實(shí)驗(yàn)樓劃為一個(gè)大VLAN,再將每個(gè)實(shí)驗(yàn)室劃為一個(gè)小VLAN;(5)為了方便每個(gè)部門管理,可以根據(jù)每個(gè)的不同性質(zhì),將辦公樓劃為一個(gè)大V
13、LAN,再將每個(gè)部門劃為一個(gè)小VLAN;(6)劃分方法采用基于端口的劃分。高校學(xué)生的流動(dòng)性大(如新生的入學(xué),畢業(yè)生離校等)會(huì)導(dǎo)致的學(xué)生的人數(shù)和班級(jí)的變動(dòng)?;诙丝诘膭澐?,相對(duì)來(lái)說(shuō)容易設(shè)置和監(jiān)控,只需要將端口配置的VLAN重新分配。,,,,2)訪問(wèn)控制列表ACL(Access Control List)是一項(xiàng)在路由器和三層交換機(jī)上實(shí)現(xiàn)的包過(guò)濾技術(shù),通過(guò)讀取第三和第四層的包頭部信息(如源地址、目的地址、源端口、目的端口等),并根據(jù)預(yù)先定
14、義好的規(guī)則來(lái)對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾,從而達(dá)到訪問(wèn)控制的目的。本方案中,主要在S3760三層交換機(jī)上配置ACL規(guī)則,可以限制各個(gè)VLAN之間的訪問(wèn),如,阻止教學(xué)樓1臺(tái)IP地址為172.17.1.5的源主機(jī)通過(guò)fa 0/1,放行其他的通訊流量通過(guò)端口,并阻止172.17.1.5主機(jī)執(zhí)行Telnet命令。S3760#configure terminalEnter configuration commands, one per line. En
15、d with CNTL/Z.S3760(config)#access-list 1 deny 172.17.1.5 255.255.255.0 S3760(config)#access-list 1 permit any S3760(config)#interface fa 0/1 S3760(config-if)#ip access-group 1 in S3760(config)#access-list 100 deny
16、tcp 172.17.1.5 255.255.255.0 any eq 23 S3760(config)#access-list 100 permit ip any any S3760(config)#interface fa 0/1 S3760(config-if)#ip access-group 100 in,,3)IP與MAC地址綁定目前在使用靜態(tài)IP地址的局域網(wǎng)管理中經(jīng)常碰到IP地址被盜用或者用戶自行修改地址導(dǎo)致IP地址
17、管理混亂,而且ARP病毒和利用ARP協(xié)議進(jìn)行欺騙的網(wǎng)絡(luò)問(wèn)題也日漸嚴(yán)重,在防范過(guò)程中除了通過(guò)VLAN的劃分來(lái)抑制問(wèn)題的擴(kuò)散之外,還需要將IP地址與MAC地址進(jìn)行綁定來(lái)配合達(dá)到更有效的防范。在其核心交換機(jī)RG-S3760用address-bind命令手動(dòng)進(jìn)行一些特殊IP與MAC地址的綁定使其對(duì)應(yīng)的主機(jī)不能隨便地更改IP地址或者M(jìn)AC地址,另外在網(wǎng)絡(luò)中設(shè)一臺(tái)DHCP服務(wù)器,所有主機(jī)都通過(guò)DHCP自動(dòng)獲得IP地址,在這個(gè)過(guò)程中,RG-S376
18、0開(kāi)啟DHCP snooping功能以及ARP-check防護(hù)功能,交換機(jī)會(huì)自動(dòng)偵聽(tīng)DHCP分配地址的過(guò)程,將其中有用的IP+MAC地址信息記錄下來(lái),自動(dòng)綁定到相應(yīng)的端口上,減少大量的手工配置。例如在S3760上的fa0/1端口上開(kāi)啟DHCP snooping功能、ARP-check防護(hù)功能、端口安全功能以及動(dòng)態(tài)地綁定命令如下。S3760#configure terminalEnter configuration commands
19、, one per line. End with CNTL/Z.S3760(config)#ip dhcp snoopingS3760(config)#interface fa0/1S3760(config-if)#switchport port-security arp-checkS3760(config-if)#switchport port-securityS3760(config-if)#ip dhcp snoopin
20、g address-bindS3760(config-if)#exitS3760(config)#exit,,2. VPN模塊安全設(shè)計(jì)與實(shí)施校園網(wǎng)VPN可以通過(guò)公眾IP網(wǎng)絡(luò)建立私有數(shù)據(jù)傳輸通道,將遠(yuǎn)程或分校的分支辦公室、合作伙伴、移動(dòng)辦公人員等連接起來(lái),減輕校園網(wǎng)的遠(yuǎn)程訪問(wèn)費(fèi)用負(fù)擔(dān),節(jié)省電話費(fèi)用開(kāi)支,不過(guò)對(duì)于端到端的安全數(shù)據(jù)通訊,還需要根據(jù)實(shí)際情況采取不同的架構(gòu)。IPSec VPN和SSL VPN是目前校園網(wǎng)VPN方案采用最為廣泛
21、的安全技術(shù),但它們之間有很大的區(qū)別,從VPN技術(shù)架構(gòu)來(lái)看,IPSec VPN是比較理想的校園網(wǎng)接入方案,由于它工作在網(wǎng)絡(luò)層,可以對(duì)終端站點(diǎn)間所有傳輸數(shù)據(jù)進(jìn)行保護(hù),可以實(shí)現(xiàn)Internet多專用網(wǎng)安全連接,而不管是哪類網(wǎng)絡(luò)應(yīng)用。IPSec VPN還要求在遠(yuǎn)程接入客戶端適當(dāng)安裝和配置IPSec客戶端軟件和接入設(shè)備,這大大提高了網(wǎng)絡(luò)的安全級(jí)別。本方案采用IPSec VPN。由于IPSec VPN在IP層提供訪問(wèn)控制、無(wú)連接的完整性、數(shù)據(jù)來(lái)源
22、驗(yàn)證、防重放保護(hù)、加密以及數(shù)據(jù)流分類加密等服務(wù)。通過(guò)對(duì)IPSec VPN的配置和VPN冗余配置,來(lái)實(shí)現(xiàn)遠(yuǎn)程用戶的接入,提高網(wǎng)絡(luò)的負(fù)載均衡并有效的提高了網(wǎng)絡(luò)安全性。VPN模塊的詳細(xì)拓?fù)浣Y(jié)構(gòu)如圖11-4所示。,,建立安全的IP 通信隧道,是建立虛擬專用網(wǎng)的關(guān)鍵。本方案中采用銳捷VPN 進(jìn)行配置。在VPN配置界面中,選擇網(wǎng)關(guān)的目錄樹(shù)上的IPSec VPN,如圖11-5所示。接著開(kāi)始對(duì)VPN進(jìn)行具體配置:,,1)遠(yuǎn)程用戶接入配置遠(yuǎn)程用戶接入方
23、式多種多樣,比如通過(guò)無(wú)線接入、ADSL拔號(hào)接入和專線接入等等,當(dāng)需要配置遠(yuǎn)程移動(dòng)用戶接入,那么在上圖中雙擊遠(yuǎn)程用戶管理,打開(kāi)遠(yuǎn)程用戶管理界面進(jìn)行配置,如圖11-6所示。(1)配置允許客戶端訪問(wèn)的子網(wǎng)。在遠(yuǎn)程用戶管理界面下打開(kāi)“允許訪問(wèn)子網(wǎng)”進(jìn)行配置,如如圖11-7所示,可以通過(guò)添加按鈕來(lái)添加用戶接入后可以訪問(wèn)的內(nèi)網(wǎng)的子網(wǎng)數(shù)目。,,(2)配置內(nèi)部DNS服務(wù)器。在遠(yuǎn)程用戶管理界面下打開(kāi)“內(nèi)部DNS服務(wù)器”進(jìn)行配置,如圖11
24、-8所示,可以通過(guò)添加按鈕來(lái)添加內(nèi)部DNS服務(wù)器即校園內(nèi)網(wǎng)DNS服務(wù)器的IP地址,這樣當(dāng)隧道建立起來(lái)之后, RG-SRA 軟件自動(dòng)將客戶端主機(jī)的DNS 設(shè)置為內(nèi)部DNS。,,(3)配置內(nèi)部WINS服務(wù)器。內(nèi)部WINS服務(wù)器和內(nèi)部DNS服務(wù)器配置相似,使用校園內(nèi)網(wǎng)WINS服務(wù)器的IP地址配置后客戶機(jī)可以用機(jī)器名來(lái)訪問(wèn)在服務(wù)器上注冊(cè)了的機(jī)器,沒(méi)有時(shí)也可以不進(jìn)行配置。(4)配置虛IP地址池。內(nèi)部地址池允許網(wǎng)絡(luò)管理員輸入一個(gè)或者幾個(gè)IP 地址
25、范圍,這些地址將用于對(duì)遠(yuǎn)程用戶分配虛擬IP 地址,打開(kāi)虛地址池的配置窗口選擇添加下列子網(wǎng)地址或連續(xù)地址,進(jìn)行內(nèi)部地址池的添加,如圖11-9所示。(5)配置用戶特征碼表。如果需要對(duì)用戶的登錄機(jī)器進(jìn)行限制,可以對(duì)用戶機(jī)器特征進(jìn)行綁定,用戶機(jī)器的特征(每個(gè)客戶端軟件都可以顯示本機(jī)的特征碼)可以由管理員手工導(dǎo)入,也可以由客戶端首次上線的時(shí)候自動(dòng)報(bào)告。,,(6)用戶認(rèn)證配置。RG-SRA選擇網(wǎng)關(guān)本地認(rèn)證,要為RG-SRA用戶設(shè)置認(rèn)證用戶名和口令
26、。在窗口左側(cè)菜單區(qū)中用鼠標(biāo)點(diǎn)擊“用戶認(rèn)證”-“本地用戶數(shù)據(jù)庫(kù)”,此時(shí)在窗口右側(cè)操作區(qū)顯示本地用戶列表,點(diǎn)擊工具欄的“添加用戶”按鈕,進(jìn)行添加用戶操作,如圖11-10所示。,,2)網(wǎng)關(guān)之間的隧道網(wǎng)關(guān)到網(wǎng)關(guān)的應(yīng)用模式主要包括以太網(wǎng)、ADSL撥號(hào)等網(wǎng)絡(luò)環(huán)境,在這種環(huán)境下VPN設(shè)備需要設(shè)置路由信息才能連接上網(wǎng)。內(nèi)部子網(wǎng)的主機(jī)把默認(rèn)網(wǎng)關(guān)設(shè)置為VPN設(shè)備的內(nèi)口,下面是兩個(gè)網(wǎng)關(guān)之間的隧道配置。(1)網(wǎng)關(guān)A的配置。添加設(shè)備后在“對(duì)方設(shè)備名稱”文本框
27、中,為網(wǎng)關(guān) B設(shè)置一個(gè)唯一名稱,如vpnb。在“本地設(shè)備接口”列表框中選擇與網(wǎng)關(guān)B的連接的端口,如eth0。在本地設(shè)備身份中選擇“作為客戶端”單選按鈕,并在“對(duì)方設(shè)備地址”中填寫(xiě)網(wǎng)關(guān)B的IP地址。在認(rèn)證方式中,選擇“預(yù)共享密鑰”單選按鈕,然后在“密鑰”文本框中輸入共享密鑰,如“123456”,雙方必須相同,如圖11-11所示。添加遂道后在“隧道名稱”為該隧道設(shè)置一個(gè)唯一名稱,如Ta-b?!皩?duì)方設(shè)備名稱”選剛才為B設(shè)置的設(shè)備名:“vpnb
28、”,“本地子網(wǎng)”如192.168.1.0/255.255.255.0,“對(duì)方子網(wǎng)”如172.18.48.0/255.255.255.0,如圖11-12所示,“通信策略”根據(jù)需要配置,算法必須與B相同,配置如圖11-13所示。,,,,2)網(wǎng)關(guān)B的配置。與網(wǎng)關(guān)A的配置相似,只需要把上述配置中的對(duì)方相應(yīng)改成網(wǎng)關(guān)A的信息,如添加設(shè)備時(shí)設(shè)備名稱叫vpna,密鑰相同。在添加遂道時(shí),本地子網(wǎng)和對(duì)方子網(wǎng)互換,其余保持不變。3)VPN冗余配置VPN冗
29、余的目的是為了提高系統(tǒng)的可靠性,本方案通過(guò)RG-WALL V160S中的VRRP來(lái)實(shí)現(xiàn)VPN之間的冗余,詳細(xì)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)如圖11-14所示。,,(1)VPN的備份配置。在安全網(wǎng)關(guān)界面目錄樹(shù)上,點(diǎn)擊“VRRP設(shè)置”即可進(jìn)入VRRP設(shè)置界面,如圖11-15所示。首先在“網(wǎng)絡(luò)接口”中把安全網(wǎng)關(guān)A的eth1接口IP配置為:192.168.1.50,然后選擇“VRRP設(shè)置 | 添加虛擬路由器”,把 網(wǎng)絡(luò)接口選擇為eth1;組號(hào)配置為
30、:1;虛擬IP配置為:192.168.1.77;主機(jī)優(yōu)先級(jí)填為:200;默認(rèn)使用搶占模式、認(rèn)證方式和密碼可以根據(jù)實(shí)際情況選擇和填寫(xiě);通告時(shí)間間隔默認(rèn)選擇為:1秒;監(jiān)控選項(xiàng)選eth0;優(yōu)先級(jí)衰減量量設(shè)為150;如圖11-16所示。接著再在“網(wǎng)絡(luò)接口”中把安全網(wǎng)關(guān)B的eth1接口IP置為:192.168.1.51,然后選擇“VRRP設(shè)置 | 添加虛擬路由器”,把網(wǎng)絡(luò)接口選擇eth1;組號(hào)配置為:1;虛擬IP配置為:192.168.1.77
31、;主機(jī)優(yōu)先級(jí)填為:100;默認(rèn)使用搶占模式、認(rèn)證方式和密碼和安全網(wǎng)關(guān)A配置相同;通告時(shí)間間隔和安全網(wǎng)關(guān)A配置相同都為:1秒;監(jiān)控選項(xiàng)選eth0;優(yōu)先級(jí)衰減量量設(shè)為45;如圖11-17所示。,,,,,,,,,,,,,4)負(fù)載均衡的配置用相同的方法在網(wǎng)關(guān)A上添加第二組虛擬路由,網(wǎng)絡(luò)接口選擇eth1;組號(hào)配置為:2;虛擬IP配置為:192.168.1.88;主機(jī)優(yōu)先級(jí)填為:100;默認(rèn)使用搶占模式;默認(rèn)啟用虛擬MAC地址;認(rèn)證方式和密碼可以
32、根據(jù)實(shí)際情況選擇和填寫(xiě);通告時(shí)間間隔默認(rèn)選擇為:1秒。網(wǎng)關(guān)B上添加第二組虛擬路由,網(wǎng)絡(luò)接口選擇eth1;組號(hào)配置為:2;虛擬IP配置為:192.168.1.88;主機(jī)優(yōu)先級(jí)填為:200;默認(rèn)使用搶占模式;默認(rèn)啟用虛擬MAC地址;認(rèn)證方式和密碼安全網(wǎng)關(guān)A中組號(hào)2配置相同;通告時(shí)間間隔默認(rèn)選擇為:1秒。,,3. 防火墻模塊安全設(shè)計(jì)與實(shí)施本方案采用RG-WALL 160M進(jìn)行防火墻的策略配置。首先,對(duì)防火墻進(jìn)行管理與初始化配置,然后再按照本
33、方案的要求進(jìn)行防火墻的基本配置,如防火墻接口IP地址配置、路由配置以及安全規(guī)則等設(shè)置。本校園網(wǎng)安全方案中,學(xué)校出口有2條100M鏈路,分別是教育網(wǎng)和電信網(wǎng),客戶內(nèi)網(wǎng)是教育網(wǎng)公網(wǎng)地址,要求訪問(wèn)教育網(wǎng)的資源走教育網(wǎng),訪問(wèn)其他的資源走電信網(wǎng),并且DMZ 服務(wù)器分別映射到教育網(wǎng)和網(wǎng)通IP 地址。具體的配置過(guò)程如下:,,(1)防火墻 IP 地址配置,如圖10-18所示。(2)路由配置:配置去往教育網(wǎng)的路由,下一跳為教育網(wǎng),再配置默
34、認(rèn)路由,下一跳為電信網(wǎng),如圖10-19,圖10-20所示。并配置防火墻內(nèi)網(wǎng)接口啟用源路由功能,如圖10-21所示。,圖10-18 IP地址配置,,圖10-21 配置啟用源路由功能 圖10-22 安全規(guī)則(3)安全規(guī)則的配置:安全規(guī)則配置是防火墻配置的重點(diǎn),具體配置如圖10-22所示,其中:內(nèi)網(wǎng)服務(wù)器映射成教育網(wǎng)IP地址,允許任意源地址訪問(wèn),同時(shí),設(shè)置源路由讓此服務(wù)器的數(shù)據(jù)流從教育網(wǎng)出去;
35、內(nèi)網(wǎng)服務(wù)器映射成電信網(wǎng)IP地址,允許任意源地址訪問(wèn),同時(shí),設(shè)置源路由讓此服務(wù)器的數(shù)據(jù)流從電信線路出去;內(nèi)網(wǎng)訪問(wèn)教育網(wǎng)資源的數(shù)據(jù)流,做包過(guò)濾規(guī)則允許通過(guò);內(nèi)網(wǎng)訪問(wèn)其他資源的數(shù)據(jù)流,做 NAT 規(guī)則轉(zhuǎn)換成網(wǎng)通的地址通過(guò)。,,4. IDS入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)施入侵檢測(cè)系統(tǒng)可以檢測(cè)校園網(wǎng)的入侵行為并將這些信息通知給管理員或相關(guān)安全設(shè)備(如防火墻)來(lái)進(jìn)行防御。RG-IDS依賴于一個(gè)或多個(gè)傳感器來(lái)監(jiān)測(cè)網(wǎng)絡(luò)數(shù)據(jù)流。這些傳感器代表著RG-IDS
36、的眼睛。因此,傳感器在某些重要位置的部署對(duì)于RG-IDS能否發(fā)揮作用至關(guān)重要。本方案的IDS模塊的拓?fù)浣Y(jié)構(gòu)如圖10-23所示。,傳感器利用策略來(lái)控制其所監(jiān)測(cè)的內(nèi)容,并對(duì)監(jiān)測(cè)到的事件做出響應(yīng)。設(shè)置步驟如下:(1)單擊主界面上的“策略”按鈕,切換到策略編輯器界面,如圖10-24所示,單擊工具欄上的“編輯鎖定”按鈕,如圖10-25所示。,,圖10-24 策略設(shè)置,圖10-25編輯鎖定,再單擊工具欄上的“派生策略”按鈕在彈出的窗口中輸入新
37、策略的名稱,如圖10-26所示,單擊“確定”按鈕。,,(2)策略編輯:?jiǎn)螕糇远x策略,單擊“編輯鎖定”以確保其他人不能同時(shí)更改策略,然后根據(jù)需求來(lái)設(shè)置策略,如下圖10-27所示。,(3)策略應(yīng)用。選擇需要下發(fā)的策略,單擊“應(yīng)用策略”按鈕,如下圖10-28所示,,,,,11.1.5 項(xiàng)目總結(jié)本方案根據(jù)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)的總體規(guī)劃,從網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全四個(gè)方面安全和管理措施設(shè)計(jì)出一整套解決方案,目的是要建立一個(gè)完整的、
38、立體的、多層次的網(wǎng)絡(luò)安全防御體系。方案中,我們主要采用了星網(wǎng)銳捷公司的安全產(chǎn)品來(lái)對(duì)校園網(wǎng)進(jìn)行安全設(shè)計(jì),如RG-S3760E-24、RG-WALL160M、RG-IDS500S、RG-WALL V160S,這些產(chǎn)品在功能上完全能夠滿足本方案的需求,并實(shí)現(xiàn)了安全、VPN安全、防火墻安全、IDS與防火墻聯(lián)動(dòng)的安全設(shè)置等內(nèi)容,同時(shí),還對(duì)方案進(jìn)行了測(cè)試驗(yàn)證,并得到了較好的實(shí)驗(yàn)效果。本方案在設(shè)計(jì)上還具有局限性,今后的改進(jìn)目標(biāo)主要有以下幾個(gè)方面:
39、(1)設(shè)計(jì)更復(fù)雜的測(cè)試環(huán)境,來(lái)檢查方案中存在的缺陷;(2)改進(jìn)本方案的拓?fù)浣Y(jié)構(gòu),使之能夠適應(yīng)更大規(guī)模的網(wǎng)絡(luò)需求;(3)采用更先進(jìn)的技術(shù),將其融入到本方案中,從而達(dá)到更好的安全防御效果。,任務(wù)11.2 企業(yè)網(wǎng)絡(luò)安全方案設(shè)計(jì),11.2.1 企業(yè)網(wǎng)絡(luò)安全需求分析1.企業(yè)網(wǎng)絡(luò)業(yè)務(wù)安全需求(1)控制網(wǎng)絡(luò)不同部門之間的互相訪問(wèn);(2)對(duì)不斷變更的用戶進(jìn)行有效的管理;(3)防止網(wǎng)絡(luò)廣播風(fēng)暴影響系統(tǒng)關(guān)鍵業(yè)務(wù)的正常運(yùn)轉(zhuǎn),甚至導(dǎo)致系統(tǒng)的崩潰;(
40、4)加強(qiáng)遠(yuǎn)程撥號(hào)用戶的安全認(rèn)證管理;(5)實(shí)現(xiàn)企業(yè)局域網(wǎng)與其他各網(wǎng)絡(luò)之間的安全、高速數(shù)據(jù)訪問(wèn)交換;(6)建立局域網(wǎng)的立體殺毒系統(tǒng);(7)建立WWW服務(wù)器,實(shí)現(xiàn)企業(yè)在Internet和Intranet上的信息發(fā)布,使公司內(nèi)外的人員能夠及時(shí)了解公司的最新信息;(8)建立郵件服務(wù)器,實(shí)現(xiàn)企業(yè)工作人員與上級(jí)機(jī)構(gòu)、分支機(jī)構(gòu)之間的電子信息的傳遞;(9)構(gòu)建起企業(yè)運(yùn)行基于網(wǎng)絡(luò)設(shè)計(jì)的Client/Server(客戶機(jī)/服務(wù)器)或Browser
41、/Server(瀏覽器/服務(wù)器)結(jié)構(gòu)的辦公自動(dòng)化系統(tǒng)、各種信息管理系統(tǒng)的網(wǎng)絡(luò)硬件平臺(tái)和系統(tǒng)運(yùn)行平臺(tái)。,,2.存在的安全威脅1)外部威脅企業(yè)網(wǎng)絡(luò)的外部安全威脅主要來(lái)源于以下幾個(gè)方面:(1)病毒侵襲;(2)黑客入侵;(3)垃圾郵件;(4)無(wú)線網(wǎng)絡(luò)、移動(dòng)手機(jī)帶來(lái)的安全威脅。2)內(nèi)部威脅企業(yè)網(wǎng)絡(luò)的內(nèi)部安全威脅主要來(lái)源于以下幾個(gè)方面:(1)用戶的操作失誤帶來(lái)的安全問(wèn)題;(2)某些用戶故意的破壞,如被解雇或工作變動(dòng)的職員因?qū)?/p>
42、的不滿而對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行破壞或盜取公司的機(jī)密信息;(3)用戶的無(wú)知引起的安全問(wèn)題。3)網(wǎng)絡(luò)設(shè)備的安全隱患網(wǎng)絡(luò)設(shè)備是網(wǎng)絡(luò)系統(tǒng)的主要組成部分,是網(wǎng)絡(luò)運(yùn)行的核心。網(wǎng)絡(luò)運(yùn)行狀況根本上是由網(wǎng)絡(luò)設(shè)備的運(yùn)行性能和運(yùn)行狀態(tài)決定的,因此,網(wǎng)絡(luò)設(shè)備穩(wěn)定可靠的運(yùn)行對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的正常工作起著關(guān)鍵性作用。特別是對(duì)于可以通過(guò)遠(yuǎn)程連接TELNET、網(wǎng)管、WEB等方式進(jìn)行配置管理的網(wǎng)絡(luò)設(shè)備(如路由器、防火墻等)容易受到入侵的攻擊,主要的安全隱患表現(xiàn)在以下幾個(gè)方面
43、:(1)人為因素;(2)網(wǎng)絡(luò)設(shè)備運(yùn)行的操作系統(tǒng)存在漏洞;(3)網(wǎng)絡(luò)設(shè)備提供不必要的服務(wù);(4)網(wǎng)絡(luò)設(shè)備沒(méi)有安全存放,易受臨近攻擊。,,3.企業(yè)網(wǎng)絡(luò)安全建設(shè)的原則1)系統(tǒng)性原則企業(yè)網(wǎng)絡(luò)系統(tǒng)整個(gè)安全系統(tǒng)的建設(shè)要有系統(tǒng)性和適應(yīng)性,不因網(wǎng)絡(luò)和應(yīng)用技術(shù)的發(fā)展、信息系統(tǒng)攻防技術(shù)的深化和演變、系統(tǒng)升級(jí)和配置的變化,而導(dǎo)致在系統(tǒng)的整個(gè)生命期內(nèi)的安全保護(hù)能力和抗御風(fēng)險(xiǎn)的能力降低。2)技術(shù)先進(jìn)性原則企業(yè)網(wǎng)絡(luò)系統(tǒng)整個(gè)安全系統(tǒng)的設(shè)計(jì)采用先進(jìn)的安
44、全體系進(jìn)行結(jié)構(gòu)性設(shè)計(jì),選用先進(jìn)、成熟的安全技術(shù)和設(shè)備,實(shí)施中采用先進(jìn)可靠的工藝和技術(shù),提高系統(tǒng)運(yùn)行的可靠性和穩(wěn)定性。3)管理可控性原則系統(tǒng)的所有安全設(shè)備(管理、維護(hù)和配置)都應(yīng)自主可控;系統(tǒng)安全設(shè)備的采購(gòu)必須有嚴(yán)格的手續(xù);安全設(shè)備必須有相應(yīng)機(jī)構(gòu)的認(rèn)證或許可標(biāo)記;安全設(shè)備供應(yīng)商應(yīng)具備相應(yīng)資質(zhì)并可信。4)適度安全性原則系統(tǒng)安全方案應(yīng)充分考慮保護(hù)對(duì)象的價(jià)值與保護(hù)成本之間的平衡性,在允許的風(fēng)險(xiǎn)范圍內(nèi)盡量減少安全服務(wù)的規(guī)模和復(fù)雜性,使之具
45、有可操作性,避免超出用戶所能理解的范圍,變得很難執(zhí)行或無(wú)法執(zhí)行。5)技術(shù)與管理相結(jié)合原則企業(yè)網(wǎng)絡(luò)系統(tǒng)安全建設(shè)是一個(gè)復(fù)雜的系統(tǒng)工程,它包括產(chǎn)品、過(guò)程和人的因素,因此它的安全解決方案,必須在考慮技術(shù)解決方案的同時(shí)充分考慮管理、法律、法規(guī)方面的制約和調(diào)控作用。單靠技術(shù)或單靠管理都不可能真正解決安全問(wèn)題,因此必須堅(jiān)持技術(shù)和管理相結(jié)合的原則。6)測(cè)評(píng)認(rèn)證原則企業(yè)網(wǎng)絡(luò)系統(tǒng)作為重要的政務(wù)系統(tǒng),其系統(tǒng)的安全方案和工程設(shè)計(jì)必須通過(guò)國(guó)家有關(guān)部門的評(píng)
46、審,采用的安全產(chǎn)品和保密設(shè)備需經(jīng)過(guò)國(guó)家主管理部門的認(rèn)可。7)系統(tǒng)可伸縮性原則企業(yè)網(wǎng)絡(luò)系統(tǒng)將隨著網(wǎng)絡(luò)和應(yīng)用技術(shù)的發(fā)展而發(fā)生變化,同時(shí)信息安全技術(shù)也在發(fā)展,因此安全系統(tǒng)的建設(shè)必須考慮系統(tǒng)可升級(jí)性和可伸縮性。重要和關(guān)鍵的安全設(shè)備不因網(wǎng)絡(luò)變化或更換而廢棄。,11.2.2 企業(yè)網(wǎng)總體設(shè)計(jì)1.企業(yè)網(wǎng)總體設(shè)計(jì)拓?fù)鋱D,,圖11-29 企業(yè)網(wǎng)絡(luò)拓?fù)鋱D,企業(yè)網(wǎng)絡(luò)總體拓?fù)浣Y(jié)構(gòu)如圖11-29所示,其部門的IP地址規(guī)劃如表11-4所示。設(shè)備IP地址規(guī)劃如表
47、11-5所示。,,表11-4 部門IP地址規(guī)劃表,表11-5 設(shè)備IP地址規(guī)劃分配表,,2.功能模塊設(shè)計(jì)分析本方案主要實(shí)現(xiàn)以下幾個(gè)功能模塊:(1)防火墻功能模塊,主要實(shí)現(xiàn)防火墻的部署、防火墻策略設(shè)置、與IDS聯(lián)動(dòng)等;(2)虛擬專用網(wǎng)功能模塊,主要實(shí)現(xiàn)雙機(jī)熱備、與防火墻雙重防護(hù)關(guān)鍵服務(wù)器群、與IDS聯(lián)動(dòng)、PKI用戶認(rèn)證設(shè)置、IPSec VPN和VPN虛擬子網(wǎng)設(shè)置等;(3)入侵檢測(cè)功能模塊,實(shí)現(xiàn)與防火墻的聯(lián)動(dòng);(4)三層交換機(jī)安
48、全功能模塊,主要實(shí)現(xiàn)VLAN、IP與MAC綁定、與IDS聯(lián)動(dòng)等;(5)病毒防護(hù)功能模塊等。,11.2.3 防火墻系統(tǒng)設(shè)計(jì)1.防火墻的部署在防火墻的部署方式上,類似于區(qū)域分割的三角方式,是指將網(wǎng)絡(luò)分為內(nèi)部網(wǎng)絡(luò)(軍事化區(qū)域)、外部網(wǎng)絡(luò)和DMZ區(qū)域。例如,將Web服務(wù)器、郵件服務(wù)器、DNS服務(wù)器、前臺(tái)查詢計(jì)算機(jī)等放置在DMZ區(qū)域,而內(nèi)部的文件服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等關(guān)鍵應(yīng)用都放置在內(nèi)部網(wǎng)絡(luò)中,從而使它們受到良好的保護(hù),如圖11-30所示。
49、,,圖11-30 防火墻部署,企業(yè)網(wǎng)絡(luò)擁有自己的FTP、Web和Mail等服務(wù)器,并對(duì)Internet及內(nèi)部用戶提供相應(yīng)的服務(wù)。其中,將向外提供服務(wù)的主機(jī)旋轉(zhuǎn)在DMZ區(qū),以保證內(nèi)部的安全。在接入Internet時(shí),本方案選擇使用防火墻來(lái)接入,并實(shí)現(xiàn)NAT、PAT和ACL等配置方案。,,2. 防火墻應(yīng)用規(guī)則與配置1)配置IP/MAC綁定與主機(jī)保護(hù)設(shè)置IP/MAC地址綁定,就可以執(zhí)行IP/MAC地址對(duì)的探測(cè)。如果防火墻某網(wǎng)口配置了“I
50、P/MAC地址綁定啟用功能”、“IP/MAC地址綁定的默認(rèn)策略(允許或禁止)”,當(dāng)該網(wǎng)口接收數(shù)據(jù)包時(shí),將根據(jù)數(shù)據(jù)包中的源IP地址與源MAC地址,檢查管理員設(shè)置好的IP/MAC地址綁定表。如果地址綁定表中查找成功并匹配,則允許數(shù)據(jù)包通過(guò),不匹配則禁止數(shù)據(jù)包通過(guò)。如果查找失敗,則按缺省策略(允許或禁止)執(zhí)行。 使用命令添加IP/MAC地址綁定:語(yǔ)法: ipmac add [ if { | none} ] [ unique { o
51、n | off } ] 參數(shù)說(shuō)明: ip 指定IP地址, mac 指定MAC地址, if 指定相應(yīng)的網(wǎng)絡(luò)接口,可選參數(shù),默認(rèn)為不指定網(wǎng)絡(luò)接口 unique 指定是否進(jìn)行MAC地址的唯一性檢查,可選參數(shù),默認(rèn)為不檢查。 例如, firewall>ipmac add 172.18.56.254 00:05:66:00:88:B8 if none unique off,,2)配置防火墻URL過(guò)濾WEB服務(wù)是Internet上使
52、用最多的服務(wù)之一。Internet上信息魚(yú)龍混雜,存在部分不良信息,因此必須對(duì)其訪問(wèn)進(jìn)行必要的控制。RG-WALL防火墻可以通過(guò)對(duì)某些URL進(jìn)行過(guò)濾實(shí)現(xiàn)對(duì)訪問(wèn)不良信息的控制。通過(guò)使用黑名單和白名單來(lái)控制用戶不能訪問(wèn)哪些URL,可以訪問(wèn)哪些URL。3)NAT配置NAT技術(shù)能夠解決IP地址不夠的問(wèn)題,同時(shí),也能夠隱藏網(wǎng)絡(luò)內(nèi)部信息,從而保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。RG-WALL防火墻支持源地址一對(duì)一的轉(zhuǎn)換,也支持源地址轉(zhuǎn)換為地址池中的某一
53、個(gè)地址。 用戶可通過(guò)安全規(guī)則設(shè)定需要轉(zhuǎn)換的源地址(支持網(wǎng)絡(luò)地址范圍)、源端口。此處的NAT指正向NAT,正向NAT也是動(dòng)態(tài)NAT,通過(guò)系統(tǒng)提供的NAT地址池,支持多對(duì)多,多對(duì)一,一對(duì)多,一對(duì)一的轉(zhuǎn)換關(guān)系。4)配置安全規(guī)則安全規(guī)則的配置可以說(shuō)是防火墻最重要的配置了,因?yàn)闆](méi)有安全規(guī)則,防火墻是不能轉(zhuǎn)發(fā)數(shù)據(jù)流的。默認(rèn)情況下,防火墻的行為是,除非明文允許,否則全部禁止。防火墻支持的安全規(guī)則有包過(guò)濾、NAT、IP 映射、端口映射和代理等。
54、5)配置防火墻主機(jī)保護(hù)增加主機(jī)保護(hù)確保關(guān)鍵服務(wù)器的安全穩(wěn)定,用于保護(hù)服務(wù)器訪問(wèn)時(shí)不會(huì)因?yàn)楣舳^(guò)載。,11.2.4 虛擬專用網(wǎng)設(shè)計(jì)1. VPN系統(tǒng)部署VPN系統(tǒng)部署的詳細(xì)拓?fù)浣Y(jié)構(gòu)如圖11-31所示。,,圖11-31 VPN部署,,1)總部網(wǎng)絡(luò)VPN系統(tǒng)部署RG-WALL V160S作為認(rèn)證網(wǎng)關(guān),對(duì)內(nèi)網(wǎng)的關(guān)鍵服務(wù)器進(jìn)行認(rèn)證控制,非授權(quán)用戶不能訪問(wèn)。USB KEY 保障密鑰的安全性,進(jìn)一步降低安全使用風(fēng)險(xiǎn)。兩臺(tái)數(shù)據(jù)中心的R
55、G-WALLV160S通過(guò)HA實(shí)現(xiàn)雙機(jī)熱,雙網(wǎng)鏈路冗余和狀態(tài)熱備快速故障恢復(fù)。2)分支機(jī)構(gòu)VPN系統(tǒng)部署企業(yè)分支機(jī)構(gòu)一般指分布在全國(guó)各地規(guī)模中等的分公司,公司內(nèi)部建有中等規(guī)模的局域網(wǎng),同時(shí)通過(guò)當(dāng)?shù)豂SP提供的寬帶接入方式接入Internet并安裝一臺(tái)VPN設(shè)備,作為客戶端接入總部。3)移動(dòng)辦公網(wǎng)點(diǎn)VPN系統(tǒng)部署采用L2TP+IPSEC隧道協(xié)議,接入總部,用戶即使在乘坐車船甚至飛機(jī)的途中,可隨時(shí)隨地實(shí)現(xiàn)移動(dòng)辦公,猶如在辦公
56、室一樣方便流暢地交流信息。4)合作伙伴VPN部署商業(yè)合作伙伴可能要實(shí)時(shí)共享某些信息,網(wǎng)絡(luò)類似分支機(jī)構(gòu)接入,通過(guò)防火墻策略設(shè)置訪問(wèn)權(quán)限 。,,2. VPN雙機(jī)熱備份本方案采用遠(yuǎn)程安全接入和邊界安全防護(hù)的組合解決方案。針對(duì)本企業(yè)對(duì)系統(tǒng)和數(shù)據(jù)的高可用性和高安全性的需求,采用了兩臺(tái)RG-WALLV160S通過(guò)HA實(shí)現(xiàn)雙機(jī)熱備,雙網(wǎng)鏈路冗余。該方案為用戶提供了強(qiáng)大的容錯(cuò)功能,避免了單點(diǎn)故障,快速自動(dòng)恢復(fù)正常通信。網(wǎng)絡(luò)本身通過(guò)VPN網(wǎng)關(guān)
57、實(shí)現(xiàn)數(shù)據(jù)在廣域網(wǎng)鏈路中的安全傳輸,防止被竊聽(tīng)或被篡改。設(shè)計(jì)中兩臺(tái)RG-WALLV160S之間通過(guò)HA來(lái)實(shí)現(xiàn)雙機(jī)熱備,主機(jī)和備機(jī)通過(guò)一條串口線連接,正常工作時(shí),主機(jī)處于工作狀態(tài),備機(jī)網(wǎng)口處于down狀態(tài),主機(jī)和備機(jī)的配置完全相同,并通過(guò)串口線同步動(dòng)態(tài)信息,更加增強(qiáng)了網(wǎng)絡(luò)的可靠性,當(dāng)主機(jī)出現(xiàn)問(wèn)題或者鏈路不通時(shí),備機(jī)將在3~6秒鐘之內(nèi)進(jìn)入工作狀態(tài),接管主機(jī)的工作,整個(gè)切換過(guò)程平滑透明,網(wǎng)絡(luò)用戶只會(huì)感覺(jué)到有短暫的加大,不會(huì)對(duì)整個(gè)網(wǎng)絡(luò)造成大的影響
58、。,,3. VPN與防火墻雙重防護(hù)關(guān)鍵服務(wù)器群在服務(wù)器群網(wǎng)絡(luò)外部署的兩臺(tái)VPN外又添加了兩臺(tái)虛擬防火墻,從而提高關(guān)鍵位置的安全性及敏感數(shù)據(jù)的安全性。以此防止惡意用戶在網(wǎng)絡(luò)中進(jìn)行非法網(wǎng)絡(luò)攻擊及網(wǎng)絡(luò)訪問(wèn)。并能同時(shí)保證公司帶寬投入得到有效地利用。就算黑客能突破虛擬防火墻,里面還有一層VPN認(rèn)證防護(hù),提高了安全級(jí)別。4. VPN與IDS聯(lián)動(dòng)網(wǎng)絡(luò)安全不可能完全依靠單一產(chǎn)品來(lái)實(shí)現(xiàn),網(wǎng)絡(luò)安全是個(gè)整體,必須配相應(yīng)的安全產(chǎn)品。作為必要的補(bǔ)充,入侵
59、檢測(cè)系統(tǒng)(IDS)可與安全VPN系統(tǒng)形成互補(bǔ)。入侵檢測(cè)系統(tǒng)是根據(jù)已有的、最新的和可預(yù)見(jiàn)的攻擊手段的信息代碼對(duì)進(jìn)出網(wǎng)絡(luò)的所有操作行為進(jìn)行實(shí)時(shí)監(jiān)控、記錄,并按制定的策略實(shí)行響應(yīng)(阻斷、報(bào)警、發(fā)送E-mail)。從而防止針對(duì)網(wǎng)絡(luò)的攻擊與犯罪行為。入侵檢測(cè)儀在使用上是獨(dú)立網(wǎng)絡(luò)使用的,網(wǎng)絡(luò)數(shù)據(jù)全部通過(guò)VPN設(shè)備,而入侵檢測(cè)設(shè)備在網(wǎng)絡(luò)上進(jìn)行疹聽(tīng),監(jiān)控網(wǎng)絡(luò)狀況,一旦發(fā)現(xiàn)攻擊行為將通過(guò)報(bào)警、通知VPN設(shè)備中斷網(wǎng)絡(luò)(即IDS與VPN聯(lián)動(dòng)功能)等方式進(jìn)行控
60、制(即安全設(shè)備自適應(yīng)機(jī)制),最后將攻擊行為進(jìn)行日志記錄以供以后審查。,,5.PKI配置與用戶認(rèn)證配置由于銳捷VPN 設(shè)備采用標(biāo)準(zhǔn)X.509 證書(shū)進(jìn)行設(shè)備身份標(biāo)識(shí),所以系統(tǒng)提供標(biāo)準(zhǔn)PKI(公鑰基礎(chǔ)設(shè)施)配置。銳捷 VPN 設(shè)備可以對(duì)遠(yuǎn)程用戶進(jìn)行身份驗(yàn)證。目前可以支持一次性口令認(rèn)證、數(shù)字證書(shū)認(rèn)證、第三方Radius 認(rèn)證和SecureID 認(rèn)證。6.報(bào)文過(guò)濾設(shè)置報(bào)文過(guò)濾策略來(lái)指定某些傳輸層協(xié)議能否通過(guò)VPN。另外可以通過(guò)配置與ID
61、S的聯(lián)動(dòng)規(guī)則,當(dāng)IDS 檢測(cè)到攻擊后,將立即通知報(bào)文過(guò)濾模塊,過(guò)濾模塊一方面顯示對(duì)應(yīng)的IDS 過(guò)濾規(guī)則,同時(shí)也會(huì)對(duì)攻擊報(bào)文進(jìn)行過(guò)濾,從而阻止其對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊。7.VPN 虛子網(wǎng)配置如果用戶網(wǎng)絡(luò)中不同 VPN 設(shè)備保護(hù)的內(nèi)部子網(wǎng)地址相同,出現(xiàn)了沖突,那么常規(guī)VPN設(shè)備就會(huì)要求用戶進(jìn)行地址調(diào)整,但是銳捷VPN 可以允許用戶通過(guò)虛子網(wǎng)來(lái)解決這個(gè)問(wèn)題。所謂虛子網(wǎng)就是把沖突一方的網(wǎng)絡(luò)地址映射成另外一個(gè)不沖突的子網(wǎng)地址,網(wǎng)絡(luò)地址部分發(fā)生
62、變化,但是主機(jī)地址部分不變,這樣用戶仍然可以知道變換后對(duì)方的主機(jī)地址。8.日志審計(jì)配置日志記錄提供對(duì)系統(tǒng)活動(dòng)的詳細(xì)審計(jì),銳捷 VPN 提供了詳細(xì)的日志審計(jì)信息,這些信息用于評(píng)估、審查系統(tǒng)的運(yùn)行環(huán)境和各種操作,能夠幫助管理員來(lái)尋找系統(tǒng)中存在的問(wèn)題,對(duì)系統(tǒng)維護(hù)十分有用。管理器中對(duì)日志進(jìn)行分級(jí)管理,使日志信息更詳盡、更規(guī)范、層次更清楚。,11.2.5 入侵檢測(cè)系統(tǒng)設(shè)計(jì)本方案實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)與防火墻的聯(lián)動(dòng),從而使防火墻可以根據(jù)網(wǎng)絡(luò)運(yùn)行
63、的狀況來(lái)動(dòng)態(tài)設(shè)置防火墻規(guī)則,其部署的方拓?fù)浣Y(jié)構(gòu)如圖11-32所示。,,圖11-32 防火墻與IDS的聯(lián)動(dòng)部署,,11.2.6 三層交換機(jī)系統(tǒng)設(shè)計(jì)三層核心交換機(jī)是整個(gè)企業(yè)網(wǎng)絡(luò)的中樞節(jié)點(diǎn),因此它的合理設(shè)置和安全規(guī)劃將影響到整個(gè)網(wǎng)絡(luò)的運(yùn)行。本方案將從以下幾個(gè)方面進(jìn)行設(shè)計(jì):(1)合理的VLAN劃分規(guī)劃;(2)IP與MAC地址的綁定設(shè)計(jì);(3)防攻擊的系統(tǒng)保護(hù)配置;(4)動(dòng)態(tài)的ARP檢測(cè)配置,防止ARP欺騙攻擊等。,,11.2
64、.7 病毒防御系統(tǒng)設(shè)計(jì)企業(yè)網(wǎng)絡(luò)的病毒防御體系要針對(duì)企業(yè)網(wǎng)絡(luò)的現(xiàn)狀,對(duì)網(wǎng)絡(luò)中可能存在的病毒入侵點(diǎn)進(jìn)行詳細(xì)分析,然后對(duì)其進(jìn)行層層防護(hù),對(duì)癥下藥才能真正保護(hù)企業(yè)網(wǎng)絡(luò)的安全。一般情況下,病毒的入侵點(diǎn)主要有:(1)從客戶端入侵:任何一個(gè)客戶端計(jì)算機(jī)都可能會(huì)通過(guò)可移動(dòng)介質(zhì)、Internet下載、接收Email以及訪問(wèn)受感染的服務(wù)器等途徑被病毒侵害,如果此客戶端再去訪問(wèn)企業(yè)網(wǎng)絡(luò)或其中的資源,則很有可能會(huì)把這些病毒傳播出去,而且目前大部分病毒都
65、可以自動(dòng)進(jìn)行復(fù)制傳播,增加了其對(duì)企業(yè)網(wǎng)絡(luò)的危害性;(2)從文件或應(yīng)用服務(wù)器入侵:如果這些服務(wù)器被病毒侵害,則訪問(wèn)這些服務(wù)器的客戶機(jī)將非常容易感染病毒;(3)從網(wǎng)關(guān)入侵:網(wǎng)關(guān)是一個(gè)企業(yè)網(wǎng)絡(luò)的門戶,任何防火墻都無(wú)法阻止Internet上病毒的入侵。本方案的企業(yè)網(wǎng)絡(luò)防病毒產(chǎn)品的部署如圖11-33所示。,,圖11-33 企業(yè)網(wǎng)絡(luò)防病毒產(chǎn)品部署,,11.2.10 項(xiàng)目總結(jié)本方案主要是以IDS為中心的聯(lián)動(dòng)來(lái)實(shí)現(xiàn)全網(wǎng)動(dòng)態(tài)安全部署,并融
66、合配置IDS、防火墻、VPN和三層交換機(jī)等設(shè)備,采用多手段多方位的立體防御體系,特別是對(duì)核心和保密部門加強(qiáng)其隧道實(shí)現(xiàn)技術(shù),并通過(guò)測(cè)試,成功驗(yàn)證方案的可行性。但本方案在安全細(xì)節(jié)上設(shè)計(jì)的還不夠,需要在實(shí)際的運(yùn)行過(guò)程中不斷改進(jìn)完善,使之成為一個(gè)安全、可靠、先進(jìn)的企業(yè)網(wǎng)絡(luò)安全方案。,任務(wù)11.3 政府網(wǎng)絡(luò)安全方案設(shè)計(jì),任務(wù)11.3.1 了解政府網(wǎng)絡(luò)安全現(xiàn)狀某地稅分局外網(wǎng)建設(shè)的目的是能夠通過(guò)構(gòu)建一個(gè)統(tǒng)一、高效、可靠、安全的信息化平臺(tái),有效促
67、進(jìn)稅務(wù)網(wǎng)絡(luò)互聯(lián)互通和稅務(wù)信息資源共享,形成統(tǒng)一的某地稅網(wǎng)絡(luò)和資源共享平臺(tái)。同時(shí),能夠?yàn)槭?、區(qū)各級(jí)相關(guān)部門在進(jìn)行職能辦公、社會(huì)管理、公共服務(wù)等業(yè)務(wù)應(yīng)用提供支持,將網(wǎng)絡(luò)服務(wù)延伸到鄉(xiāng)(鎮(zhèn)、街道)、村(社區(qū)),使網(wǎng)絡(luò)服務(wù)惠及全民。地稅分局外網(wǎng)連接著市及其所管轄的某區(qū)各相關(guān)稅務(wù)局網(wǎng)絡(luò),是某區(qū)稅務(wù)局面向公眾服務(wù)的重要信息網(wǎng)絡(luò)樞紐,也是各部門實(shí)現(xiàn)縱向和橫向互聯(lián)互通、整合Internet出口和共享資源的統(tǒng)一網(wǎng)絡(luò)平臺(tái)。某地稅分局辦公樓高為五層,核
68、心機(jī)房在一樓弱電間,網(wǎng)絡(luò)接入節(jié)點(diǎn)約60個(gè),網(wǎng)絡(luò)結(jié)構(gòu)采用單核心結(jié)構(gòu)。外網(wǎng)為公共信息服務(wù)平臺(tái)和一般的辦公網(wǎng)絡(luò),通過(guò)ISP運(yùn)營(yíng)商接入Internet,內(nèi)網(wǎng)則通過(guò)專線連接與市局相連接。,,任務(wù)11.3.2 政府網(wǎng)安全需求分析1.政府網(wǎng)絡(luò)安全隱患政府對(duì)網(wǎng)絡(luò)的安全需求是全方位的,整體的,相應(yīng)的網(wǎng)絡(luò)安全體系也是分層次的,在不同層次反映了不同的安全問(wèn)題。根據(jù)網(wǎng)絡(luò)應(yīng)用現(xiàn)狀和網(wǎng)絡(luò)結(jié)構(gòu),本方案基于物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全和管理安全五個(gè)安全
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 網(wǎng)絡(luò)安全建設(shè)方案
- 網(wǎng)絡(luò)安全應(yīng)急方案
- 網(wǎng)絡(luò)安全技術(shù)方案
- 網(wǎng)絡(luò)安全解決方案
- 網(wǎng)絡(luò)安全管理方案說(shuō)明
- 網(wǎng)絡(luò)安全管理保障方案
- 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析
- 網(wǎng)絡(luò)安全設(shè)計(jì)方案
- 學(xué)校網(wǎng)絡(luò)安全管理方案
- 網(wǎng)絡(luò)安全論文網(wǎng)絡(luò)安全與網(wǎng)絡(luò)安全文化
- 構(gòu)建企業(yè)網(wǎng)絡(luò)安全方案
- 構(gòu)建企業(yè)網(wǎng)絡(luò)安全方案
- 網(wǎng)絡(luò)安全sercurity+培訓(xùn)方案
- 網(wǎng)絡(luò)安全建設(shè)實(shí)施方案
- 淺談網(wǎng)絡(luò)安全技術(shù)與企業(yè)網(wǎng)絡(luò)安全解決方案研究
- 銀行網(wǎng)絡(luò)安全設(shè)計(jì)方案
- 網(wǎng)絡(luò)安全實(shí)施方案資料
- 學(xué)校網(wǎng)絡(luò)安全實(shí)施方案
- 網(wǎng)絡(luò)安全調(diào)查分析及方案設(shè)計(jì).pdf
- 2018年“網(wǎng)絡(luò)安全為人民,網(wǎng)絡(luò)安全靠人民”國(guó)家網(wǎng)絡(luò)安全宣傳周活動(dòng)實(shí)施方案
評(píng)論
0/150
提交評(píng)論