网络安全管理结构

1、附件五附件五 湖北移动通信湖北移动通信 对外互联网站扩容工程对外互联网站扩容工程 网络解决方案网络解决方案 北京泰利特科技发展有限责任公司北京泰利特科技发展有限责任公司 2004 年年 7 月月 8 日日 地址：北京市东城区东长安街地址：北京市东城区东长安街 1 号东方广场东号东方广场东 3 办公楼办公楼 8 层层 电话：电话：010- 传真：传真：010- Http： 目目 录录 1.前言.5 2.需求分析.6 2.1.用户现状.6 2.1.1.拓扑现状.6 2.1.2.设备现状.6 2.1.3.业务量现状.7 2.2.用户需求及分析.9 2.2.1.网络需求.10 3.设计原则.11 3.

2、1.网络设计原则.12 4.网络扩容方案.13 4.1.方案简述.13 4.2.防火墙扩容.14 4.3.核心交换机扩容.15 4.4.接入交换机扩容.17 4.5.服务器均衡负载扩容.17 5.系统安全扩容.24 5.1.安全体系综述.24 5.1.1.网络安全体系建立原则.24 5.1.2.整体网络安全体系结构.25 5.1.3.网络安全层次.27 5.1.4.全方位安全体系.28 5.1.5.安全管理因素.29 5.2.系统安全设计思想与原则.30 5.2.1.系统安全设计思想.30 5.2.2.系统安全设计原则.30 5.3.整体网络安全设计方案.31 5.3.1.整体安全防护系统综述

3、.31 5.3.2.ACL 策略控制 .32 5.3.3.采用 VLAN 技术.32 5.3.4.网络入侵检测系统.32 5.3.5.网络防病毒措施.36 5.3.6.网络安全扫描系统.39 5.3.7.防火墙安全防护体系.43 5.3.8.设备管理及平台安全管理.46 6.网络发展方向的建议.47 7.设备主要功能说明.48 7.1.核心交换机.48 7.2.接入交换机.50 7.3.防火墙.52 7.4.均衡负载设备.55 7.5.入侵检测系统.57 7.6.漏洞扫描系统.59 扫描范围.60 漏洞类别.60 7.7.防病毒系统.61 8.设备物理规格说明.64 8.1.1.核心交换机 4

4、507 .64 8.1.2.均衡负载交换机 WSD .65 8.1.3.接入层交换机.66 8.1.4.防火墙.66 8.1.5.入侵检测系统.66 8.1.6.漏洞扫描系统.67 8.1.7.集中控制台.68 9.设备可靠性声明.68 1. 前言前言 湖北移动网上客户服务系统（原湖北移动对外互联网站）始建 于 2002 年 6 月。系统主要硬件设备包括应用服务器、数据库服务器、 WWW 服务器、存储设备（磁盘阵列） 、网络设备（局域网交换机） 、 防火墙等设备组成。 由于访问用户的不断增长，以及网站应用的不断丰富，访问数 据量不断增多，现有的设备和结构已经不能负担未来业务的增长需 求。针对湖

5、北移动网上客服系统的扩容需求，泰利特公司凭借丰富 的集成经验荣幸的为湖北移动提供扩容建议方案。 2. 需求分析需求分析 2.1. 用户现状用户现状 2.1.1. 拓扑现状拓扑现状 湖北移动对外互联网站现状网络拓扑图 2.1.2. 设备现状设备现状 网络硬软件、网络配置如下： 硬件配置 网络配置 设备名称型号备注 交换机FoundryServeriton XL 交换机Submit 48 防火墙Netscreen-100F 2.1.3. 业务量现状业务量现状 网站访问情况网站访问情况 Netscreen防火墙 EXP300磁盘阵列 WEB服务器 网上1860服务器数据库服务器(应用服务器)应用服务

6、器(数据库服务器) Submit 48交换机 INTERNET 1860客服 Foundry交换机 2004 年年 02 月月 01 日日-2004 年年 02 月月 29 日网站流量统计日网站流量统计 有效统计天数： 29 天天 总访问量： 人次人次 平均访问量： 9399 人次人次 日最高访问量： 13964 人次人次 最高日访问量 日期： 2004-02-02 月最高访问量： 人次人次 最高月访问量 月份： 2004-2 最高访问量时 段： 16:00-17:00 最低访问量时 段： 5:00-6:00 访问最多的栏 目： 短信业务短信业务(33737 人次人次) 访问最少的栏 目： 工

7、具箱工具箱(1389 人次人次) 18601860访问情况访问情况 1860 访问流量统计 2004 年年 02 月月 01 日日-2004 年年 02 月月 29 日日 有效统计天数： 29 天天 总访问量： 次次 平均访问量： 4962 次次 日最高访问量： 8399 次次 最高日访问量 日期： 2004-02-25 最高访问量时 段： 16:00-17:00 最低访问量时 段： 5:00-6:00 业务查询及业务办理情况业务查询及业务办理情况 2004 年年 02 月月 01 日日-2004 年年 02 月月 29 日自助服务业务统计日自助服务业务统计 业务名称 业务办理笔业务办理笔 数

8、数 成功办理成功办理 的笔数的笔数 成功百分比 话费清单 99.71% 客户帐单6997845470 64.97% 用户总帐4355133247 76.34% 欠费总额117697971 67.72% 积分查询2699421869 81.01% 缴费记录3752536386 96.96% 实时话费7255057165 78.79% 报停1524660 43.3% 报开788612 77.66% 取消短信功能628361 57.48% 取消 WAP 功能18181054 57.97% 取消呼叫保持功 能 42171 16.86% 取消呼叫转移功 能 593202 34.06% 受理短信新功能83

9、2357 42.9% 受理 WAP 新功 能 1048461 43.98% 受理呼叫保持新 功能 366266 72.67% 受理呼叫转移功 能 589383 65.02% 业务查询成功次业务查询成功次 数：数： 次次 业务成功办理笔业务成功办理笔 数：数： 4429 笔笔 数据量大小计算： 按照每比最大网站访问量计算（首页为 400KB,业务查询及 1860 都为 200KB） ，计算得出每天访问量在最大业务时的数据量最大业务时的数据量： 每天最大数据量每天最大数据量=最大每天网站日最高访问次数*每次数据最大流量+1860 日最高访问次数*每次数据=（13964*400+8399*200）=

10、（KB） 按照流量高峰时间为 8 小时计算（上午四小时，下午 4 小时） 平均每秒最大数据量平均每秒最大数据量=（KB）/8*3600 秒=252.3k/秒=2018Kbits/秒2.02M/S 最大每秒突发数据量最大每秒突发数据量=平均每秒最大数据量平均每秒最大数据量*突发系数突发系数 当前最大每秒突发数据量当前最大每秒突发数据量=2.02M/S*3=6M 依此数据分析，现有的百兆带宽及百兆设备转发能力均满足需求现阶段需 求 2.2. 用户需求及分析用户需求及分析 2.2.1. 网络需求网络需求 . 业务量预测业务量预测及需求及需求 据业务部门预测，至 2005 年底业务量见下

11、表。 1)网站每日可承受访问量 20 万人次； 2)网站在线访问人数2 万人 3)网站可承受并发响应数 100 人； 4)网上自助服务在线访问人数 1 万人； 5)网上自助服务可承受并发响应数 60 人； 6)电子帐单、电子期刊邮件发送能力为每月 2000 万次 依照业务量现状分析的数据得知，未来业务量为现有业务量的 14.4 倍。 （原日最高访问量：13964 人次，人次，先要求每日可承受访问量 20 万人次，20 万/1.396 万=14.4 倍） 未来网站带宽需求未来网站带宽需求=当前最大每秒突发数据量当前最大每秒突发数据量*（未来承受最大访问人数/现 在最大访问人数） 因此，未来网站数

12、据量需求将达到 6M*14.4= 87.2M/秒 现有主要设备能满足未来用户量增长需求：现有防护墙 Netscreen-100F 吞 吐量为 100M。 Netscreen 最大吞吐量为 200M（双工）,最大会话数为 128，000 但是现有防火墙是非冗余结构，容易产生单点故障。Netscreen-100 冗余必 须相同的硬件平台和软件平台，但与移动网站相同配置的 Netscreen-100 现在已 无货。因此为冗余性，排除单点故障，需要将现有防火墙升级为新型号防火墙， 不利旧。 而且如果随着未来业务的发展，和客户服务质量的不断提升，新型软件应 用（网页，查询）的变化及数据内容形式的变化，比

13、如面向用户的多媒体等新 技术的应用，网页带宽将成倍增长，带宽要求将超过百兆防火墙的承受能力， 增大到 87.2M*N,N1。 因此对带宽的需求不断加大的情况下，本需求分析现有防火墙能力明显不 足，应用层数据量变化将导致设备的负载能力将不能满足整个平台的需求。需 要更换新型号防火墙。 . 可靠性需求可靠性需求 由于用户在现有拓扑和结构中，所有核心网络设备均未冗余配置，很容易 产生单点故障，而单点故障带来的损失远远大于冗余设备的投入，为保证业务 的不间断运行及整个平台不间断的提供服务，有增强现有网络设备和结构可靠 性的需求。 . 均衡负载设备需求均衡负载设备需求 本系统

14、运行要求最大并发响应数为 100 人，根据经验，把平均每个对 网站访问折算成动态内容与静态内容的服务，每个动态内容/静态内容需要 不同的硬件处理能力。 当前对用于网上服务的主机性能评估主要是针对主机的处理能力。对于 当前对用于网上服务的主机性能评估主要是针对主机的处理能力。对于主机 处理能力主要是针对主机对交易的并发计算处理能力，通常以 TPMC(TPC- C 值)来进行评估。即计算主机性能 TPMC 的经验公式为： web TPMC=N*(S*ST+D*DT+DC*DCT+DB*DBT) 并发访问数N(按照 100 个计算) 每个并发中静态页面S(按照 2 个计算)|ST(每个页面需要 30

15、 个 TPCC) 每个并发中动态页面D(按照 1 个计算)|DT(每个页面需要 60 个 TPCC) 动态页面访问内容库DC(按照 2 个计算)|DCT(需要 60 个 TPCC) 动态页面访问后台 DB(按照 2 个计算)|DBT(需要 60 个 TPCC) 计算过程为： Total TPCC=N*(S*ST+D*DT+DC*DCT+DB*DBT)=36000 考虑到瞬间突发高峰的要求其处理能力有 20的冗余，因此该主机的 网站访问处理能力 TPMC 值至少为 36000（120）43200 tpm 若网站 web 服务器采用 P615 服务器，其 TPMC 值约为 33359tpm tpm

16、 未达 到 43200 tpm,为了节省投资，可采用流行的均衡负载设备，变纵向的扩展服务 器档次，Cpu 个数为横向添加服务器数目，将高 TMPC 需求均衡负载到多台服 务器上，并增强服务冗余性，服务维护性，利用均衡负载可以方便的维护应用 （在访问低峰时采取渐进式停机方式，停下一台主机进行维护） 。 3. 设计原则设计原则 3.1. 网络设计原则网络设计原则 工程应按照“统一领导、统一规划、统一标准、统一组织”的要求进行， 对整个网络的设计本着实用性、先进性、可靠性、安全性、灵活性、可扩展性、 开放性、互连性、经济性、高性价比和可管理性等几个方面来考虑，具体来说 就是以下几点： 实用性和先进性

17、相结合：采用先进的网络技术以适应更高的数据、多媒体 信息的传输需要，但是不过分追求最新技术，取得稳定性、成熟性和新技术的 统一，从而保证网络的高可用性。 可靠性：对网络结构、通信线路、核心设备等各方面进行可靠性设计和建 设，并采用硬件备份、冗余、迂回、策略等技术。 安全性：在采用多种可靠性技术的基础上，采用相关的软件技术提供较强 的管理机制、控制手段、故障监控和网络安全保密等技术措施。 灵活性与可扩展性：能够适应通信业务不断发展的需要，方便地扩展网络 覆盖范围，扩大网络容量，提高网络各节点的功能。具备支持多种通信媒体、 多种物理接口的能力，提供技术升级、设备更新的灵活性。 经济性：以较低的成本

18、、较少的人员投入来维持系统运转，提供高效能与 高效益。 可管理性：通过先进的策略管理和管理工具提高网络运行性的可靠性，简 化网络的维护工作。 保护原有投资：对于本系统中的一些辅助产品则尽可能利用原有的设备。 高性价比：在采用可实现、可持续发展技术的基础上，合理选择最佳性价 比的技术及设备，保证投资的高效率。 设备利旧：能够在现有主机系统基础上，利用现有设备，保护前期的设备 投资。 4. 网络扩容方案网络扩容方案 4.1. 方案简述方案简述 如果随着未来业务的发展，和客户服务质量的不断提升，新型应用（网页， 查询）的变化，比如面向用户的多媒体等新技术的应用，对带宽的需求不断加 大的情况下，设备的

19、负载能力将不能满足整个平台的需求。 因此，本方案将在利旧不能满足未来应用需求的前提下，采用大幅度提高 能力的新设备替换现有网络平台的各个设备来满足未来业务需求。 4.2. 防火墙扩容防火墙扩容 考虑到未来互连网站的网络流量需要满足无单点故障，具备冗余性。 由于原有防火墙型号 Netscreen-100 已停止供货，而高可靠性的双机防火墙 必须使用同一型号，同一版本的软件。因此不得不将原有防火墙 Netscreen-100 换下。同时增加两台 Netscree-204 防火墙,该防火墙具备 4 x 10/100 M 以太网端 口，支持 HA 双 active,在冗余的同时可增大与互联网的带宽。

20、Netscreen 最大吞吐量为 400M,最大会话数为 128，000。完全满足未来业 务增长需求。 两台防火墙支持双激活形式，具备均衡负载相互备份的能力。完全能够适 应和满足未来发展的需求。 4.3. 核心交换机扩容核心交换机扩容 由于原有交换机除可靠性不满足未来用户需求，且其数据流量负载能力不 能满足用户需求（网站扩容规范要求核心交换机参数为：千兆网交换机，提供 10Gbps 级 100Gbps 级的背板带宽）而原有核心交换机 FoundryServeriton XL 参数为： ServerIronXLServerIronXL 并发会话 1,000,000 吞吐量 2 Gbps 交换能力

21、 4.2 Gbps 数据包转发速率 (包/秒) 3,000,000 pps 虚拟 IP 地址数目不限 真实服务器数目 1,024 10/100 端口数目 24 千兆位端口数目 2 总端口数目 26 第 3 层交换功能服务器可以位于与 VIP 不同的子网上 其交换能力远远小与需求的 10Gbps 级。因此不可利旧原有交换机，只可替换 原有交换机为冗余的两台高性能交换机。本方案采用交换机为 Cisco4507 交换 机 CiscoCisco 4507R4507R 采用引擎 Supervisor Engine IV(WS-X4515)支持交换能力 64Gbps，三层转发能力 48Mpps 冗余引擎支

22、持：冗余引擎支持： Cisco Catalyst 4500 的冗余机制是在无源背板上使用可拆除的网络冗余模块， 以便将流量交换到主动超级引擎。每块线路卡有一个网络冗余模块。每个标准 的 Catalyst 4507R 机箱都配有矩阵冗余模块和冗余时钟。为了便于维护，思科 还提供了备用矩阵冗余模块和时钟模块。 冗余风扇：冗余风扇： 为了制冷，每个 Cisco Catalyst 4500 机箱都采用了一个风扇架。所有风扇 架都由独立风扇组成。如果一个风扇出现故障，系统仍然能够继续正常操作， 而不会出现散热问题。当系统检测到某个风扇出现故障，风扇架需要更换时， 将向用户发出通知（通过 LED、CLI

23、和 SNMP） 。 支持热插拔：支持热插拔： 所有模块支持热插拔。 支持如下协议：支持如下协议： 标准网络协议 以太网 IEEE 802.3，10BASE-T 快速以太网 IEEE 802.3u，100BASE-TX IEEE 802.3，100BASE-FX 千兆位以太网 IEEE 802.3z IEEE 802.3x IEEE 802.3ab 1000BASE-X (GBIC) 1000BASE-SX 1000BASE-LX/LH 1000BASE-ZX 虚拟 LAN（VLAN）中继/标记 IEEE 802.1Q IEEE 802.3ad 生成树协议 IEEE 802.1D IEEE 80

24、2.1w IEEE 802.1s 安全 IEEE 802.1x 以太网馈线供电（PoE） IEEE 802.3af 支持 TCP/IP 协议 支持 OSPF、IS-IS、RIP、BGP 等多种路由协议，支持多路由的负载均衡； 支持 HSRP/VRRP 热备份协议； 支持 IP Multicast 技术，支持 IGMP、MOSPF、PIM 等多种 IP Multicast 路由 协议； 支持 STP 协议； 支持 VLAN 划分和 802.1Q VLAN TRUNK 协议； 提供强大的 QoS 管理功能，支持 802.1p 标准和 IP Precedence/DSCP 标准， 提供第二层和第三层

25、的 QoS 支持； 支持 SNMP 和 SNMPv2 协议； 关键模块如中心引擎、电源、风扇等支持冗余备份，电源、风扇等冗余，并 可热插拔； 系统板、关键 I/O 板由于采取的是双交换机冗余构架，在已经冗余的基础上 考虑节省投资，支持冗余系统引擎的功能，但每台核心交换机不配置冗余引擎。 平均无故障时间大于 8000 小时，可用性不小于 99.99%； 核心交换机端口配置说明及端口扩展能力：核心交换机端口配置说明及端口扩展能力： 每台 Cisco 4507 具有 7 个槽位，其中使用三个槽位（一个槽位用于引擎， ， 第二个槽位为 48 端口 10/100Basetx 模块） ，支持五个槽位的扩展

26、能力。 48 端口 10/100Basetx 用于接驳： 防病毒系统、入侵检测系统集中控制台、网管工作站、漏洞扫描系统、其 他管理工作台 4.4. 接入交换机扩容接入交换机扩容 在内网区域各增加一台冗余用交换机 Cisco 3550-24，使现有网络结构和设 备变为冗余、可靠。Cisco 3550-24 具备 24 个 10/100BasetX 端口，具备三层路 由能力，支持主流各种协议，具有良好兼容性，满足未来业务增长的用户需求。 4.5. 服务器均衡负载扩容服务器均衡负载扩容 为节省投资，充分利用现有 web 服务器资源，增强处理能力，满足未来业 务对服务器处理能力的需求，新添置两台 Ra

27、dware WSD 均衡负载交换机，两台 交换机互为冗余，互为备份，Radware WSD 可提供 9.6Gbps 交换能里支持 2（Gb）X8（10/100）交换机端口。 其主要功能如下： 使用 Radware 的 Web Server Director (WSD) 应用交换机系列产品，可以 确保公司的 IP 应用不会因为 Web 上固有的不确定性而发生瘫痪。不论您的 内容位于单个或多个数据中心，都能确保用户获得优质服务和网络的高可用性。 为不确定的动态网络提供不间断服务 应用状态监控 首先，WSD 可靠的状态监控机制可以保证用户获得最佳的服务。WSD 可 以监视服务器在 IP、TCP、UD

28、P、应用和内容等所有协议层上的工作状态。如 果发现故障，用户即被透明地重定向到正常工作的服务器上。这可以保证用户 始终能够获得他们所期望的信息。 交易完整性的可靠保证 为了确保服务正常运行，WSD 监控从 Web 服务器、中间件服务器到后端 数据库服务器的整个路径上工作状态，确保整个数据路径上的服务器都处于正 常状态。如果存在一个故障服务器，WSD 则不会将用户分配到这个发生故障 路径的服务器，从而保证为用户提供透明的数据完整性保障。 完全的容错与冗余 WSD 的配置提供设备间的完全容错，以确保网络最大的可用性。两个设备 通过网络相互检查各自的工作状态，为其所管理的应用保障完全的网络可用性。

29、它们可工作于“主用-备用”模式或“主用-主用”模式，在“主用-主用”模式 下，因为两个设备都处于工作状态，从而最大限度地保护了投资。并且所有的 信息都可在设备间进行镜像，从而提供透明的冗余和完全的容错，确保在任何 时候用户都可以获得从点击到内容的最佳服务。 通过正常退出服务保证稳定运行 当需要进行服务器升级或系统维护时，WSD 保证稳定的服务器退出服务以 避免服务中断。当选定某台服务器要从服务器退出服务后，WSD 将不会将任 何新的用户分配到该服务器。但是，它可以要退出服务的服务器上完成对当前 用户的服务。从而保证了无中断的优质服务，以及服务器组的简易管理能力。 智能的服务器服务恢复 将重新启

30、动的服务器应用到服务中时，避免新服务器因突然出现的流量冲击 导致系统故障是非常重要的。所以，在将新服务器引入服务器组时，WSD 将逐 渐地增加分配到该服务器的流量，直至达到其完全的处理能力。从而不仅保证 用户在服务器退出服务时，同时还保证服务器在启动期间以及应用程序开始时， 均能获得不间断服务。 其他功能如下： 通过应用交换保证最佳服务 通过负载均衡优化服务器资源 WSD 执行复杂的负载均衡算法， 在多个本地和远程服务器间动态分配 负载。这些算法包括循环、最少用户 数、最小流量、Native Windows NT 以 及定制代理支持。除了这些算法， WSD 还可以为每个服务器分配一个可 以配置

31、的性能加权，从而提高服务器 组的性能。 应用交换 WSD 根据 IP 地址、应用类型和 内容类决定流量分配。这样，管理员 就可以为不同类型的应用程序分配不 同的服务器资源。应用交换支持不同 协议上的各种应用，包括 TCP、UDP、IP、Telnet、Rshell、TFT P、流、被动 FTP、HTTP、e- mail、DNS、VOIP 等等。Radware 还 为运行于动态端口并要求同步的应用 设计了特殊支持功能。 Web 交换 WSD 完全支持 URL 交换，根据 URL 和 HTTP 信息分配流量。每个 简单的管理 WSD 可以通过 CLI、Telnet、Web 应用、HPOV 插件以及

32、Radware 的 ConfigWare （一个独立的全 GUI Java 实用工具）来进行管理。这个独立的 平台管理系统使您可以非常方便地远 程连接和管理设备。其直观的布局和 易于使用的菜单与向导，使用户可以 按部就班地进行系统配置，并对配置 内容进行备份。ConfigWare 还提供统 计资料，帮助您更好地了解网络的流 量需求，并有效地管理服务器资源。 简单的网络安装 WSD 可以非常容易地集成到任何 网络中，而不需对现有网络做任何改 动，从而避免了工作量和花费。 Radware 的多种配置可以安装成为网 桥、路由器或单臂配置（“棒棒糖” ） ， 保证简单快速的安装。 可靠的应用交换性能

33、Radware 在提供最小延迟时间的电 线速度连接的同时，还提供丰富的功 能集和智能负载均衡。Radware 的应 URL 都可以重定向到某服务器，或在 多个服务器之间进行负载均衡，从而 提供优化的 Web 交换性能。根据 URL 文本中包含的信息，WSD 可以 保持客户持续性，从而保证内容的个 性化。 内容交换 内容交换使管理员可以根据交易的 内容来分配服务器资源。例如，CGI 脚本可以位于一个单独的服务器组， 当发生对该内容的请求时，会话就被 重定向到其中某个服务器。WSD 的内 容交换能力可以广泛支持 SSL ID 和 cookies， 保持客户持续性，保证最佳 流量管理和应用内容个性化

34、。 用交换平台具有多层交换技术和千兆 位级连接，提高了速度并保证您得到 更快的响应。 本地解决方案 站点可用性 可用性和就近性 产品规格 Web Server Director 本地和全局流量管理 RISC 处理器MPC 750 266 MHz (Power 底板速度9.6 Gbps 10/100 兆以太网端 口 8 千兆以太网端口2 L2 交换线速 RAM64 Mb (128 Mb) VLAN64 实际服务器数10,000 VIP（虚拟 IP）512/3,000 IP 路由接口2,000 路由表数128,000 并发客户500,000 并发会话数无限制 路由协议OSPF, RIP, RIP

35、II 网络管理 命令行接口(CLI) HP OpenView for Sun Solaris Web SNMP Telnet 图形界面(GUI) 标准 10BASE-T/100BASE-TX (IEEE 802.3, 802.3u), 1000BASE-SX (IEEE 802.3z), SNMP (1213 MIB-II, 1643 Ethernet, 1493 Bridge), IP, OSPF, RIPv1, RIPv2, TFTP, BootP, Telnet 1000BASE-SX 端口 全双工千兆位以太网 SC 光纤接口 1000BASE-SX 工作距离 短波 (850 nm) 6

36、2.5 纳米光纤 2 到 275 米， 50 纳米光纤 2 到 550 米 10BASE-T/100BASE-TX 端口 10/100 全双工或半双工（自动识别） ， 用于 UTP 端口的 RJ-45 接口。 RS-232C 控制 DB-9 串行接口，用于频带外管理的 DCE 接口(孔式) 5. 系统安全扩容系统安全扩容 5.1. 安全体系综述安全体系综述 5.1.1. 网络安全体系建立原则网络安全体系建立原则 可实施性原则可实施性原则 安全体系中的网络风险分析、网络安全需求分析都是从可 实施的角度出发的，按照体系的指导，可以直接把目前已有的安全技术、安全 产品、安全措施、网络设施建设、直至管

37、理规范都规划到某个安全层次中去。 因此，本体系不是一个学术化的理论体系，而是一个用于指导实际工作的一个 可实施的安全体系。 可管理性原则可管理性原则 在进行网络的安全性改造时往往存在一个问题，就是花了 很多钱，买了很多设备，但是往往网络的安全性得不到显著的改善，常常出现 由于管理制度的不完善，或职责划分的不明确，导致采取的安全技术、购买的 安全设备不能很好地发挥作用。我们制订安全体系的原则之二就是试图建立一 个动态的、可控的安全体系结构，管理人员不需要掌握具体的安全技术，在一 套合理的安全规范的指导下，就可以管理网络的安全。这样，可以有效地对安 全设备和安全技术进行利用与管理，使得整个网络的安

38、全性是可控的。 安全完备性原则安全完备性原则 安全是一个多层面的问题，同样，安全体系也是一个 多层次的结构。以安全的层次理论模型为基础，从安全层次出发，对湖北移动 互联网站扩容进行详细的安全分析，再从每一个层次中分离出若干子系统，完 整地将网络的总体安全因素都考虑在内，可以保证基本不会遗漏大的安全问题 和安全隐患。 可扩展性原则可扩展性原则 随着网络的扩展，其网络结构和应用结构也会日趋复杂。 本安全体系考虑到了这一点，安全体系的可扩充性结构为以后的网络扩展和业 务扩充都预留了接口，只要在安全防护体系的指导下，安全子系统的实施都可 以采取更新的技术、更换更高档次的产品、或进行拓扑的扩充来对安全功

39、能进 行扩展和延续。 专业性原则专业性原则 安全体系所涉及的所有网络安全的概念、系统定义、体 系思想，都是参考目前国内、国际有关网络安全的专业规范制定的，均符合相 关的安全标准，这样可以确保本安全体系的技术深度和专业性。 5.1.2. 整体网络安全体系结构整体网络安全体系结构 湖北移动互联网站扩容的安全体系结构是划分为若干层次的一种多层次、 多方面、立体的安全构架。针对“全网安全”的要求，网络安全体系涉及的各 个环节包括：网络安全策略指导、网络安全标准规范、网络安全防范技术、网 络安全管理保障、网络安全服务支持体系等几部分。如图 1 所示。 网络安全策略 安全标准 规范体系 安全管理 保障体系

40、 安全技术 防范体系 安全服务支持体系 图1 网络安全的环节 网络安全策略 安全标准 规范体系 安全管理 保障体系 安全技术 防范体系 安全服务支持体系 图1 网络安全的环节 我们认为湖北移动互联网站扩容的安全是一个动态的概念。我们已经 制定和开发出针对性的一系列安全方案、技术框架和应用工具，并发展成 为一种有效的网络安全解决方案动态安全模型，它能够提供给用户比 较完整、合理的安全机制。 湖北移动互联网站扩容的动态安全管理公式可由下面公式概括： 湖北移动互联网站扩容的网络安全湖北移动互联网站扩容的网络安全 = 风险分析风险分析 + 制订策略制订策略 + 系统防护系统防护 + 实时监测实时监测

41、+ 实时响应实时响应 + 恢复恢复 即：网络的安全是一个“AP2DR2”的动态安全公式，如图 2 所示。 风险分析 安全策略 系统防护 实时监测 实时响应 灾难恢复 网络安全 图2 网络动态安全体系模型 从安全体系的实施的动态性角度，湖北移动互联网站扩容动态安全管理公 式的设计充分考虑到了风险评估、安全策略的制定、防御系统、监控与检测、 响应与恢复等各个方面，并且考虑到各个部分之间的动态关系与依赖性。 安全需求和风险评估安全需求和风险评估是制定湖北移动互联网站扩容安全策略的依据。风险 分析（又称风险评估、风险管理） ，是指确定网络资产的安全威胁和脆弱性、并 估计可能由此造成的损失或影响的过程。

42、风险分析有两种基本方法：定性分析 和定量分析。我们协助制订业务网络安全策略的时候，是从全局进行考虑，基 于风险分析的结果进行决策，建议究竟是加大投入，采取更强有力的保护措施， 还是可以容忍一些小的风险存在而不采取措施。因此，我们采取了科学的风险 分析方法对湖北移动互联网站扩容的安全进行风险分析，风险分析的结果作为 制定安全策略的重要依据之一。 根据安全策略安全策略的要求，我们协助选择相应的安全机制和安全技术，实施安安 全防御系统全防御系统、进行监控与检测监控与检测。我们认为湖北移动互联网站扩容安全防御系统 必须包括技术和管理两方面，涵盖物理层、系统层、网络层、应用层和管理层 各个层面上的诸多风

43、险类。安全防御系统搭建得完善与否，直接决定了湖北移 动互联网站扩容的安全程度，无论哪个层面上的安全措施不到位，都可能是很 大的安全隐患，都有可能造成业务网络中的后门。 响应与恢复系统响应与恢复系统是保障湖北移动互联网站扩容安全性的重要手段。我们协 助采取检测手段，制订紧急事件响应的方法与技术。根据检测和响应的结果， 可以发现防御系统中的薄弱环节，或者安全策略中的漏洞，进一步进行风险分 析，修改安全策略，根据技术的发展和业务的变化，逐步完善安全策略，加强 业务网安全措施。 5.1.3. 网络安全层次网络安全层次 湖北移动互联网站扩容对网络的安全需求是全方位的、整体的，相应的网 络安全体系也是分层

44、次的，在不同层次反映了不同的安全问题。根据网络的应 用现状情况和网络的结构，我们将安全体系的层次划分为五层：物理层安全、 系统层安全、网络层安全、应用层安全、安全管理。如图 3 所示： 安全管理 应用层安全 系统层安全 网络层安全 物理层安全 图3 安全体系层次结构 层次一：物理环境的安全性（物理层安全）层次一：物理环境的安全性（物理层安全） 包括通信线路的安全，物理设备的安全，机房的安全等。物理层的安 全主要体现在通信线路的可靠性（线路备份、网管软件、传输介质） ；软硬 件设备安全性（替换设备；拆卸设备；增加设备） ；设备的备份；防灾害能 力、防干扰能力；设备的运行环境（温度、湿度、烟尘）

45、；不间断电源保障， 等等。 层次二：操作系统的安全性（系统层安全）层次二：操作系统的安全性（系统层安全） 这一层次的安全问题来自网络内使用的操作系统：Windows NT，Windows 2000，Unix 等。系统层的安全性问题表现在三方面：一是操 作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系 统漏洞等；二是对操作系统的安全配置问题；三是病毒对操作系统的威胁。 层次三：网络的安全性（网络层安全）层次三：网络的安全性（网络层安全） 该层次的安全问题主要体现在网络信息的安全性。包括网络层身份认 证，网络资源的访问控制，数据传输的保密与完整性，远程接入的安全， 域名系统的安全，

46、路由系统的安全，入侵检测的手段，网络设施防病毒等。 层次四：应用的安全性（应用层安全）层次四：应用的安全性（应用层安全） 该层次的安全考虑湖北移动互联网站扩容提供服务所采用的应用软件 和数据的安全性，包括：Web 服务、电子邮件系统、各类服务器等。此外， 还包括病毒对系统的威胁。 层次五：管理的安全性（管理层安全）层次五：管理的安全性（管理层安全） 安全管理包括安全技术和设备的管理，安全管理制度，部门与人员的 组织规则等。管理的制度化程度极大地影响着整个网络的安全，严格的安 全管理制度、明确的部门安全职责划分、合理的人员角色定义都可以在很 大程度上降低其它层次的安全漏洞。 5.1.4. 全方位

47、安全体系全方位安全体系 与其它安全体系类似，湖北移动互联网站扩容的安全体系应包含： (1)访问控制。通过对特定网关、网段、服务建立的访问控制 体系，将绝大多数攻击阻止在到达攻击目标之前。通过安全产品，严格 控制不同安全等级间的访问，保证数据由安全级别较高的专业生产系统 向安全级别较低的管理系统等流动的单向性。 (2)检查安全漏洞。通过对安全漏洞的周期检查，即使攻击可 到达攻击目标，也可使绝大多数攻击无效。 (3)攻击监控。通过对特定网段、服务建立的攻击监控体系， 可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记 录攻击过程、跟踪攻击源等） 。 (4)加密通讯。主动的加密通讯，可使

48、攻击者不能了解、修改 敏感信息。 (5)认证。良好的认证体系可防止攻击者假冒合法用户。 (6)备份和恢复。良好的备份和恢复机制，可在攻击造成损失 时，尽快地恢复数据和系统服务。 (7)多层防御，攻击者在突破第一道防线后，延缓或阻断其到 达攻击目标。 (8)隐藏内部信息，使攻击者不能了解系统内的基本情况。 (9)设立安全监控中心，为信息系统提供安全体系管理、监控， 及紧急情况服务。 5.1.5. 安全管理因素安全管理因素 系统安全可以采用多种技术来增强和执行。但是，很多安全威胁来源于管 理上的松懈及对安全威胁的认识。 安全威胁主要利用以下途径：安全威胁主要利用以下途径： (1)系统实现存在的漏洞

49、。 (2)系统安全体系的缺陷。 (3)使用人员的安全意识薄弱。 (4)管理制度的薄弱。 良好的系统管理有助于增强系统的安全性：良好的系统管理有助于增强系统的安全性： (1)及时发现系统安全的漏洞。 (2)审查系统安全体系。 (3)加强对使用人员的安全知识教育。 (4)建立完善的系统管理制度。 5.2. 系统安全设计思想与原则系统安全设计思想与原则 5.2.1. 系统安全设计思想系统安全设计思想 考虑到安全层次、技术难度及经费支出等因素，在设计方案时我们遵 循了如下设计思想： (1) 尽可能的提高系统的安全性和保密性； (2) 保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性； (3

50、) 易于操作、维护、并便于自动化管理，而不增加或少增加附加操作； (4) 尽量不影响原网络拓扑结构，便于系统结构及系统功能的扩展； (5) 网络安全系统具有较好的性能价格比，一次性投资，可以长期使用。 5.2.2. 系统安全设计原则系统安全设计原则 湖北移动互联网站扩容安全方案的设计遵循了如下原则： (1) 需求、风险、代价平衡的原则需求、风险、代价平衡的原则 对任一网络，绝对安全难以达到，也不一定是必要的。应对一个网络进行 实际研究(包括任务、性能、结构、可靠性、可维护性等)，并对网络面临的威 胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确 定安全策略。 (2) 综合性

51、、整体性原则综合性、整体性原则 安全模块和设备的引入应该体现系统运行和管理的统一性。一个完整的系 统的整体安全性取决于其中安全防范最薄弱的一个环节，必须提高整个系统的 安全性以及系统中各个部分之间的严密的安全逻辑关联的强度，以保证组成系 统的各个部分协调一致地运行。 (3) 可用性原则可用性原则 安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就 降低了安全性。 (4) 设备地先进性与成熟性设备地先进性与成熟性 安全设备的选择，既要考虑其先进性，还要考虑其成熟性。先进意味着技 术、性能方面的优越，而成熟性表示可靠与可用。 (5) 无缝接入无缝接入 安全设备的安装、运行，应不改变网

52、络原有的拓扑结构，对网络内的用户 应是透明的，不可见的，同时，安全设备的运行应该不会对网络传输造成通信 “瓶颈” 。 (6) 可管理性与扩展性可管理性与扩展性 安全设备应易于管理，而且支持通过现有网络对网上的安全设备进行安全 地统一管理、控制，能够在网上监控设备的运行状况，进行实时的安全审计。 5.3. 整体网络安全设计方案整体网络安全设计方案 5.3.1. 整体安全防护系统综述整体安全防护系统综述 对于整体湖北移动互联网网络系统，为了保证其充分的安全性，以下对整 体网络安全架构进行了论述： 核心区域部分：核心区域部分： 在对外提供 WEB 服务网络部分和核心网络间设置冗余防火墙，以控制来 自

53、互联网网络部分与核心网络之间的相互访问。所有流量须经防火墙审查过滤 才能在两个区域间通过，并通过安全等级设置和地址翻译等手段，使核心网络 可以主动访问外部网络（INTERNET）和非军事化区（DMZ） ，而外部网络只 能够访问非军事化区，而不能主动访问核心网络，从而确保核心网络基本是一 个相对安全的、可信任的网络。 仅仅通过防火墙在网络层进行安全防护是不够的，为充分保障外部接入网 络系统的安全，通过添加入侵检测系统并与防火墙系统进行联动，可以及时发 现并切断来自 Internet 的应用层面上的扫描和攻击，防止漏洞和后门造成的危 险。 同时对整个核心网络布置了网络防病毒系统、漏洞扫描系统，通过

54、这些安 全系统可以实现对网络各层次更详尽的安全监控，及时的发现网络中的安全漏 洞和病毒，对网络定期的作出安全评估。 湖北移动互联网站扩容的安全问题是一个系统工程，我们在制定安全网络 策略时尽可能地考虑到网络中的各个方面及网络的拓展性，采用 TCP/IP 协议进 行网络通信的网络，在网络层对计算机通信进行安全保护是业界流行的安全解 决办法。遵照上述设计思想及设计原则，通常我们下面几个章节的几项措施。 5.3.2. ACL 策略控制策略控制 在对外路由器上设置过滤规则，形成第一道防护网。使用过滤规则设置功 能，作过滤防护，形成网络与 Intranet 第一道防护网； 5.3.3. 采用采用 VLA

55、N 技术技术 湖北移动互联网站扩容的局域网均采用 Ethernet 技术，为了更好的保证局 域网的安全，我们应按照用户群组和系统资源的访问权限进行安全划分。也可 以按照机构的设置来划分 VLAN，如将特殊业务所在的网络单独化为一个 VLAN(SVLAN)，其业务分别作为一个 VLAN，并且控制 SVLAN 与其它 VLAN 之间的单向信息流出，即允许 SVLAN 查看其它 VLAN 的相关信息，其 它 VLAN 不能访问 LVLAN 的信息。 5.3.4. 网络入侵检测系统网络入侵检测系统 利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网 络保护，降低了网络安全风险，但是入侵者

56、可寻找防火墙背后可能敞开的后门， 入侵者也可能就在防火墙内。入侵检测系统，对网络进行实时监控与阻断响应， 它集成了在线网络入侵监测、入侵即时处理、离线入侵分析、入侵侦测查询、 报告生成等多项功能的分布式计算机安全系统，不仅能即时监控网络资源运行 状况，为网络管理员及时提供网络入侵预警和防范解决方案，还使得对于检查 黑客入侵，变得有迹可寻，为用户采取进一步行动提供了强有力的技术支持， 大大加强了对恶意黑客的威慑力量。 本方案采用的为安式 LinkTrust IDS100。 安氏公司的网络入侵检测系统NetworkDefenderTM采用了新一代的入侵 检测技术，包括基于状态的协议分析技术、开放灵

57、活的行为描述代码、安全的 嵌入式操作系统、先进的体系架构、丰富完善的各种功能，配合高性能专用硬 件设备，是最先进的网络实时入侵检测系统。它以不引人注目的方式最大限度 地、全天候地监控和分析企业网络的安全问题。捕获安全事件，给予适当的响 应，阻止非法的入侵行为，保护企业的信息资产。 NetworkDefender的技术核心是新一代的协议分析技术。该技术结合了高速 信息包捕捉、协议分析、及行为描述代码来探测攻击。这种技术是 NetworkDefender所有解决方案的基础，它显著地提高了入侵检测系统的性能 并带来单平台千兆IDS的时代。 NetworkDefender使用了所有最先进的入侵检测技术

58、，见下图： TAPSPANMuti- Port 硬硬件件加加速速包包截截获获技技术术 多处理器并行处理多进程多线程 高高性性能能实实时时操操作作系系统统 连接追踪碎片重组拒绝服务检测 T TC CP P/ /I IP P 协协议议状状态态检检测测 代码编译解释器内建函数触发器/过滤器 行行为为描描述述代代码码虚虚拟拟机机 协议状态追踪协议异常分析可调整参数 应应用用层层协协议议分分析析 攻击事件整理快速匹配有效数据匹配 攻攻击击特特征征匹匹配配 NetworkDefender所使用的新一代入侵检测技术带来许多基本的好处： 显著地提高性能：显著地提高性能：协议分析技术充分利用通信协议结构，与模

59、式匹配系统使用简单匹配相比，可以更快更有效的处理数据包和连接。 提高准确度：提高准确度：协议分析技术比一个非智能模式匹配IDS系统有 少得多的错误倾向和误诊断。NetworkDefender将命令解析（语法分析） 技术与协议分析技术相结合，来模拟一个命令串的执行，从而在通信 流到达操作系统或应用之前决定该通信流是否是恶意的。 基于状态的分析：基于状态的分析：当协议分析引擎评估一个信息包时，它考虑 信息包的前后关系，前面有什么、下一步可能发生什么，而模式匹配 系统只能独立的看待每一个信息包。 灵活高效的行为描述代码：灵活高效的行为描述代码：允许用户根据自己的需要自创建几 乎任意的新的特征签名，配

60、置为最适合自己的入侵检测系统。 反躲避：反躲避：由于协议分析引擎能够判断一个通信会话实际内容及 含义，它们不太容易受到黑客IDS躲避技术的影响，这些技术包括 URL编码、干扰、及IP或TCP碎片。 资源消耗：资源消耗：协议分析技术的高效性使网络传感器系统资源消耗 极低，模式匹配技术则是非常消耗资源的。 NetworkDefenderTM采用基于状态的协议分析技术，结合模式匹配、异常统 计来检测网络误用行为和异常活动。它采用专门定制的硬件平台，能够在高负 载的千兆网络上提供高水平的性能；同时使用内置操作系统和传感器程序的 CDROM 进行引导，从而提供了可能达到的最安全的操作环境。 Networ