集团网络升级改造建设方案.docx

-集团网络升级改造建设方案一、概述网络是集团信息的基础设施，以集团为中心下属各分支机构及项目部通过与中心节点的连接，实现互联互通。此方案从网络入口、网络安全、数据加密、网站加密等安全防护方面出发，保障公司网络安全与数据互联的畅通。2、 原拓扑介绍：1、 外网接入： 目前公司大楼接入的电信带宽是100兆光纤，较难满足公司后期带宽的需求。2网络层设备 核心路由器：设备接口为百兆而且是六年前采购的，相关配件已经停产。目前要想提速到300兆必须采购千兆接口路由器，因为千兆端口可以接收更多的并发访问数量，后期相关模块上线使用后会有大量的用户访问集团网络中心，带宽的扩容可以解决此问题。 层交换机：目前公司六层主楼加五层副楼只有四个光口交换机，从网络拓扑角度来讲应该是核心交换机通过光纤直连到层交换机，还需要采购七台光口交换机，保证300带宽可以到达弱电井，目前的设备只支持最多一百兆带宽到达弱电井，不能满足后期带宽的扩容。 核心网关：目前公司用的核心网关为2013年采购，且前段时间已升级最新版本，完全符合公司的后期扩容要求，一般硬件厂家的支持升级年限为五年以上。 上网行为：规范和限制员工的设备，包括上班时间禁止看视频、下载大容量文件等，后期网络改造将进行手工配置ip地址的模式，每人都对应自己唯一的ip地址。公司现在网络情况总结：百兆光纤接入，通过百兆路由器千兆交换机接入到弱电井，通过网络线接入到办公室，有相应的上网行为设备的控制，在服务器区通过核心网关做映射与外网相连，同时起到安全防护的作用。缺点：用户访问外部网络没有安全设备，会造成后期网络访问的数据安全问题；服务器区只有核心网关做防护，不能保证服务器区的足够安全；各楼层没有光纤交换机，后期扩容带宽受限；网站没有足够防护，主要原应是访问量和数据交换较少，暂时不会有大量的数据，不会引起相关木马等的攻击。之所以公司网络是这个现状主要原因是当时集团大楼为临时大楼只为过度使用，申特对网络的要求也很低，同时在线人数也不会超过100人，网络负载基本满足。3、 网络整改后拓扑介绍1、接入方式扩容：光纤接入：原先为100兆，拟增加到300兆，考虑后期集团大楼人数的增加、应用系统的上线和视频会议的需要。2、网络层设备：核心路由器：更换千兆接口路由器，核心路由器作为各个接入机构的业务数据汇聚点，需满足高性能、高稳定、接口丰富灵活、可扩展的要求，现有百兆路由器已经不满足需求，建议在出口替换成模块化核心路由器，保证高稳定性，用于各个机构的主链路接入，保证出口快速转发，并方便后期扩展，路由器支持光口、电口、155M CPOS接口、E1/CE1接口、V35同步接口、155M ATM接口等，满足各种广域网接入要求。接入交换机：现有七台接入交换机无光口，且性能偏低，无法满足现有数据线速转发要求，建议将现有7台交换机升级为光口交换机，各大楼及楼层之间通过光纤直连，提升可靠性、分布性和易管理性。 安全防护：目前公司只有一台核心网关，并没有相应的安全设备，特新增一台入侵防御系统，针对互联网病毒、蠕虫，黑客攻击等入侵行为进行检测、报警和阻断，提供安全检测、流量分析、修正分析、及时准确告警，更好地进行风险分析、风险预警、系统和网络脆弱性分析，构建安全可靠的信息网络，后期信息系统的通入必然会有大量的数据，入侵防御系统是目前网络安全领域较好的抵御设备，也是目前主流的安全设备，一般的使用年限在五年以上，考虑公司的成本问题建议采购。增加入侵防御系统的原因：在网络的运行维护中，IT部门仍然发现网络的带宽利用率居高不下、而应用系统的响应速度越来越慢，只好提升带宽并升级服务器喽，可过不了多久问题再次出现。而实际上，业务增长速度并没有这样快，业务流量占用带宽不会达到这样的数量，这是目前各大公司网络都可能存在的问题。并不是当初网络设计不周，而是自2003年以来，蠕虫、点到点，入侵技术日益滋长并演变到应用层面（L7）的结果，而这些有害代码总是伪装成客户正常业务进行传播，目前部署的防火墙其软硬件设计当初仅按照其工作在L2-L4时的情况考虑，不具有对数据流进行综合、深度监测的能力，自然就无法有效识别伪装成正常业务的非法流量，结果蠕虫、攻击、间谍软件、点到点应用等非法流量轻而易举地通过防火墙开放的端口进出网络，如下图所示：这就是为何用户在部署了防火墙后，仍然遭受入侵以及蠕虫、病毒、拒绝服务攻击的困扰。事实上，员工的PC都既需要访问Internet又必须访问公司的业务系统，所以存在被病毒感染和黑客控制的可能，蠕虫可以穿透防火墙并迅速传播，导致主机瘫痪，吞噬宝贵网络带宽，P2P等应用，利用80端口进行协商，然后利用开放的DP进行大量文件共享，导致机密泄漏和网络拥塞，对系统的危害极大。为了能够让防火墙具备深入的监测能力，许多厂商都基于现有的平台增加了L4-L7分析能力，但问题是仅仅将上千个基于简单模式匹配过滤器同时打开来完成对数据包的L4-L7深入检测时，防火墙的在数据流量较大时会迅速崩溃，或虽可以勉强工作，却引入很大的处理延时，造成业务系统性能的严重下降，所以基于现有防火墙体系结构增加深入包检测功能的方案存在严重的性能问题。防火墙和IPS协同工作：内部网络和外部网络的连接处一向是网络安全的重点，防火墙无法阻止黑客间接地通过有权限的主机发起攻击。因此在防火墙之后部署一台IPS，配置保护内部网络的安全策略。通过防火墙过滤掉非法的访问数据，转发开放端口的服务数据到内部网络中，进入内部网络之前，在通过IPS的深度检测，检查每一个数据包是否存在病毒或攻击代码，能够进行实时阻断。Web应用防火墙：主要部署在网站、应用服务器前端，后期应用系统将通过网站访问，如果没有较强的保护措施，后期会对应用的访问造成一定的安全威胁，同时它具备用户访问的行为分析与审计，对页面点击率、客户端地址、访问流量和时间等维度进行有效行为跟踪和呈现，内置典型攻击特征，针对穿山甲等常用软甲工具精心优化，阻止SQL注入HTTP参数污染等常见攻击。涵盖OWASPTOP110威胁，并能自动升级。增加web防火墙的原因：从狭义的保护角度来看，计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害；从其本质上来讲就是系统上的信息安全。从广义来说，凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。基于共享的网络存在以下共同的风险。1)操作系统安全的脆弱性操作系统不安全，是计算机不安全的根本原因。主要表现在：l操作系统结构体制本身的缺陷；l操作系统支持在网络上传输文件、加载与安装程序，包括可执行文件；l操作系统不安全的原因还在于创建进程，甚至可以在网络的结点上进行远程的创建和激活；l操作系统提供网络文件系统(NFS)服务，NFS系统是一个基于RPC的网络文件系统，如果NFS设置存在重大问题，则几乎等于将系统管理权拱手交出；l操作系统安排的无口令人口，是为系统开发人员提供的边界入口，但这些入口也可能被黑客利用；l操作系统还有隐蔽的信道，存在潜在的危险。2)网络安全的脆弱性由于InternetIntranet的出现，网络安全问题更加严重。可以说，使用TCPIP协议的网络所提供的FTP、E-Mail、RPC和NFS都包含许多不安全的因素，存在许多漏洞。同时，网络的普及使信息共享达到了一个新的层次，信息被暴露的机会大大增多。Intranet网络就是一个不设防的开放大系统，谁都可以通过未受保护的外部环境和线路访问系统内部，随时可能发生搭线窃听、远程监控、攻击破坏。3)数据库管理系统安全的脆弱性当前，大量的信息存储在各种各样的数据库中，而这些数据库系统在安全方面的考虑却很少。而且，数据库管理系统安全必须与操作系统的安全相配套。4)内部资料被窃取现在企业信息化过程中上传下达的各种资料基本上都要先经过电脑录入并打印后再送发出去，电脑内一般都留有电子版的备份，若此电脑直接接入局域网或Intranet，就有可能受到来自内部或外部人员的威胁，其主要方式有：l利用系统漏洞入侵，浏览、拷贝甚至删除重要文件。前段时间在安全界流行一个名为DCOM RPC的漏洞，其涉及范围非常之广，从Windows NT40、Windows 2000、Windows XP到WindowsServer 2003。由于Microsoft RPC的DCOM(分布式组件对象模块)接口存在缓冲区溢出缺陷，如果攻击者成功利用了该漏洞，将会获得本地系统权限，并可以在系统上运行任何命令，如安装程序，查看或更改、删除数据或是建立系统管理员权限的帐户等。目前关于该漏洞的攻击代码已经涉及到的相应操作系统和版本已有48种之多，其危害性可见一斑；电脑操作人员安全意识差，系统配置疏忽大意，随意共享目录；系统用户使用空口令，或将系统帐号随意转借他人，都会导致重要内容被非法访问，甚至丢失系统控制权。5)Web服务被非法利用基于网页的入侵及欺诈行为威胁着网站数据的安全性及可信性。其主要表现在：lWeb页面欺诈许多提供各种法律法规及相关专业数据查询的站点都提供了会员服务，这些会员一般需要缴纳一定的费用才能正式注册成为会员，站点允许通过信用卡在线付费的形式注册会员。攻击者可以通过一种被称为Man-In-the-Middle的方式得到会员注册中的敏感信息。攻击者可通过攻击站点的外部路由器，使进出方的所有流量都经过他。在此过程中，攻击者扮演了一个代理人的角色，在通信的受害方和接收方之间传递信息。代理人是位于正在同心的两台计算机之间的一个系统，而且在大多数情况下，它能在每个系统之间建立单独的连接。在此过程中，攻击者记录下用户和服务器之间通信的所有流量，从中挑选自己感兴趣的或有价值的信息，对用户造成威胁。lCGI欺骗CGI(Common Gateway Interface)即通用网关接口，许多Web页面允许用户输入信息，进行一定程度的交互。还有一些搜索引擎允许用户查找特定信息的站点，这些一般都通过执行CGI程序来完成。一些配置不当或本身存在漏洞的CGI程序，能被攻击者利用并执行一些系统命令，如创建具有管理员权限的用户，开启共享、系统服务，上传并运行木马等。在夺取系统管理权限后，攻击者还可在系统内安装嗅探器，记录用户敏感数据，或随意更改页面内容，对站点信息的真实性及可信性造成威胁。l错误和疏漏Web管理员、Web设计者、页面制作人员、Web操作员以及编程人员有时会无意中犯一些错误，导致一些安全问题，使得站点的稳定性下降、查询效率降低，严重的可导致系统崩溃、页面被篡改、降低站点的可信度。6)网络服务的潜在安全隐患一切网络功能的实现，都基于相应的网络服务才能实现，如 IIS服务、FTP服务、E-Mail服务等。但这些有着强大功能的服务，在一些有针对性的攻击面前，也显得十分脆弱。以下列举几种常见的攻击手段。l分布式拒绝服务攻击攻击者向系统或网络发送大量信息，使系统或网络不能响应。对任何连接到Intranet上并提供基于TCP的网络服务(如Web服务器、FrP服务器或邮件服务器)的系统都有可能成为被攻击的目标。大多数情况下，遭受攻击的服务很难接收进新的连接，系统可能会因此而耗尽内存、死机或产生其他问题。l口令攻击基于网络的办公过程中不免会有利用共享、FTP或网页形式来传送一些敏感文件，这些形式都可以通过设置密码的方式来提高文件的安全性，但多数八会使用一些诸如123、work、 happy等基本数字或单词作为密码，或是用自己的生日、姓名作为口令，由于人们主观方面的原因，使得这些密码形同虚设，攻击者可通过词典、组合或暴力破解等手段得到用户密码，从而达到访问敏感信息的目的。网页防篡改软件针对网站群实现安全防护。防范数据篡改、网站暗链、页面篡改、后台管理、文件包含、目录遍历、文件上传、信息泄露、攻击痕迹、中间件。部署于服务器前端，串联，针对网站安全漏洞、攻击手段及最终攻击结果，行扫描、防护及诊断，对网站进行应用层防护，防止篡改，保障数据完整性。对网站进行应用层防护，防止篡改，保障数据完整性，内核控制、本地备份、异地备份等多种组合防护措施，保证网站免遭篡改，维护网站形象，同时保证网站和应用系统的前端安全。整改后的网络介绍：通过路由器接入外网，核心网关、上网行为、ips主动防御部署在主路上，web防火墙部署在网站和应用前端，网页防窜改系统部署在网站和应用服务器上，保证整条链路的安全和访问速度，同时核心交换于层交换机光口相连，保证三百兆带宽直达弱电井。四、配置清单序号产品规格描述数量1侵防御系统标准2U机架式设备，冗余电源，液晶屏；吞吐率1.5Gbps，并发连接数200万；全模块化配置，支持万兆接口；配置有6个千兆接口,1个扩展插槽；配置2路IPS许可。内置软/硬bybass，最大支持2路IPS和1路IDS。防范系统漏洞、网站木马、跨站脚本、危险端口、文件上传、信息泄露、攻击痕迹、中间件。部署于WAF之前，串联，针对互联网病毒、蠕虫，黑客攻击等入侵行为进行检测、报警和防护，提供安全检测、流量分析、修正分析、及时准确告警，帮助安全管理员更好地进行风险