网络安全解决方案

1、3.1网络安全解决方案安全建设目标总体安全性：全面有效的保护企业网络系统的安全，保护计算机硬件、 软件、数据、网络不因偶然的或恶意破坏的原因遭到更改、泄漏和丢失， 确保数据的完整性，大幅度地提高系统的安全性和保密性。可控与可管理性：可自动和手动分析网络安全状况，适时检测并及时发现 记录潜在的安全威胁，制定安全策略，及时报警、阻断不良攻击行为， 具有很强的可控性和可管理性。系统可用性：保持网络原有的性能特点，即对网络的协议和传输具有很 好的透明性；尽量不影响原网络拓扑结构，便于系统及系统功能的扩展； 易于操作、维护，并便于自动化管理，而不增加或少增加附加操作.可扩展特性：满足成都酒店的业务需求和

2、企业可持续发展的要求，具有很强的可扩展性和柔韧性；安全保密系统具有较好的性能价格比，一次性 投资，可以长期使用。合法性：安全与密码产品具有合法性，并便于安全管理单位与密码管理 单位的检查与监督.安全建设手段防火墙作为一种有效的保护计算机网络安全技术性措施，防火墙是一种隔离控制 技术，在某个机构的网络和不安全的网络（如Internet）之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止专利信息从企业的网络上被非法输 出。防火墙是一种被动防卫技术，它假设了网络的边界和服务，因此，防火墙最 适合于部署在相对独立的企业内部网络与公网 （主要为Internet）之间。作为对企业内网的安全性保护

3、设备/节点，防火墙已经得到广泛的应用。通常企 业为了维护内部的信息系统安全，在企业内网和Internet间安装防火墙。企业信息系统对于来自Internet的访问，采取有选择的接收方式。它可以允许或禁止一类 具体的IP地址访问，也可以接收或拒绝 TCP/IP上的某一类具体的应用。防火墙是企业网安全问题的流行方案，即把公共数据和服务置于防火墙外，使其对防火墙内部资源的访问受到限制。作为一种网络安全技术，防火墙具有简 单实用的特点，并且透明度高，可以在不修改原有网络应用系统的情况下达到一 定的安全要求。加密与数字签名数据加密技术从技术上的实现分为在软件和硬件两方面。按作用不同，数据加密技术主要分为数

4、据传输、数据存储、数据完整性的鉴别以及密钥管理技术这 四种.在网络应用中一般米取两种加密形式：对称密钥和非对称/公开密钥，米用何 种加密算法则要结合具体应用环境和系统，而不能简单地根据其加密强度来作出 判断。因为除了加密算法本身之外，密钥合理分配、加密效率与现有系统的结合 性，以及投入产出分析都应在实际环境中具体考虑。对于对称密钥加密.其常见加密标准为DES等,当使用DES时,用户和接受方 采用64位密钥对报文加密和解密，当对安全性有特殊要求时，则要采取IDEA和三重DES等作为传统企业网络广泛应用的加密技术，秘密密钥效率高，它采 用KDC来集中管理和分发密钥并以此为基础验证身份，但是并不适合

5、Internet环境。在Internet中使用更多的是公钥系统。即公开密钥加密，它的加密密钥和解 密密钥是不同的。一般对于每个用户生成一对密钥后，将其中一个作为公钥公开， 另外一个则作为私钥由属主保存。常用的公钥加密算法是 RSA算法，加密强度 很高。具体作法是将数字签名和数据加密结合起来。发送方在发送数据时必须加 上数据签名，做法是用自己的私钥加密一段与发送数据相关的数据作为数字签名,然后与发送数据一起用接收方密钥加密。当这些密文被接收方收到后，接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名，然后，用发布方公布的公钥对数字签名进行解密，如果成功，则确定是由发送方发出的.数字签名

6、每次还与被传送的数据和时间等因素有关.由于加密强度高，而且并不要求通信 双方事先要建立某种信任关系或共享某种秘密，因此十分适合Internet网上使用。用户认证仅仅加密是不够的，全面的保护还要求认证和识别。它确保参与加密对话的 人确实是其本人。用户认证可以依靠许多机制来实现，从安全卡到身份鉴别.前一个安全保护能确保只有经过授权的用户才能通过可靠终端进行公网/私网的交立式访问；后者则提供一种方法，用它生成某种形式的口令或数字签名，被访问的一方（通常是准入设备）据此来认证来自访问者的请求。用户管理的口令通常是前一种安全措施；硬件/软件解决方案则不仅正逐步成为数字身份认证的手段， 同时它也可以被可信

7、第三方用来完成用户数字身份（ID）的相关确认.网络防病毒随着Internet开拓性的发展，病毒可能为网络带来灾难性后果。 Internet带 来了两种不同的安全威胁。一种威胁是来自文件下载.这些被浏览的或是通过FTP 下载的文件中可能存在病毒。而共享软件（public shareware和各种可执行的文 件，如格式化的介绍性文件（formatted presentation）已经成为病毒传播的重要途 径。并且,Internet上还出现了 Java和Active X形式的恶意小程序。另一种主要威胁来自于电子邮件。大多数的Internet邮件系统提供了在网络间传送附带格式化文档邮件的功能。 只要简

8、单地敲敲键盘，邮件就可以发给一个 或一组收信人。因此，受病毒感染的文档或文件就可能通过网关和邮件服务器涌 入企业网络。另一种网络化趋势也加重了病毒的威胁。这种趋势是向群件应用程序发展 的，如 Lotus Notes, Microsoft Exchange,Novell Groupwise 和 Netscape Colabra 由于群件的核心是在网络内共享文档，那么这就为病毒的发展提供了丰富的基础。而群件不仅仅是共享文档的储藏室，它还提供合作功能 ，能够在相关工作组之间 同步传输文档。这就大大提高了病毒传播的机会。因此群件系统的安全保护显得 格外重要。在企业中，重要的数据往往保存在位于整个网络中

9、心结点的文件服务器上这也是病毒攻击的首要目标。为保护这些数据，网络管理员必须在网络的多个层 次上设置全面保护措施。有效的多层保护措施必须具备四个特性：?集成性:所有的保护措施必须在逻辑上是统一的和相互配合的 .?单点管理:作为一个集成的解决方案，最基本的一条是必须有一个安全管 理的聚焦点。?自动化：系统需要有能自动更新病毒特征码数据库和其它相关信息的功能。?多层分布:这个解决方案应该是多层次的，适当的防毒部件在适当的位置 分发出去，最大限度地发挥作用，而又不会影响网络负担。一般情况下， 防毒软件至少应该安装在服务器工作站和邮件系统上 .解决方案计算机网络是一个分层次的拓扑结构，因此网络的安全防

10、护也需采用分层 次的拓扑防护措施。即一个完整的网络信息安全解决方案应该覆盖网络的各个层 次，并且与安全管理相结合。以该思想为出发点，提出如下的“网络信息安全解决方案网络安全建设总体原则?满足Intranet网的分级管理需求根据客户网络规模大、用户众多的特点，对Intranet信息安全实施分级管理的解决方案，将对它的控制点分为三级实施安全管理。第一级：数据中心级网络，主要实现内外网隔离；内外网用户的访问控制； 内部网的监控；内部网传输数据的备份与稽查。第二级：部门级，主要实现不同用户分配的虚拟网络间的访问控制；同用户虚拟网络不同地点问的访问控制；以及用户虚拟网络内部的安全审计。第三级：终端/个人

11、用户级，实现用户内部主机的访问控制；数据库及终端信 息资源的安全保护。?需求、风险、代价平衡的原则对任何网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际 额研究（包括任务、性能、结构、可靠性、可维护性等），并对网络面临的威胁 及可能承担的风险进行定性与定量相结合的分析， 然后制定规范和措施，确定本 系统的安全策略。?综合性、整体性原则应用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要 包括:行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）以及 专业措施（识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产 品等）。一个较好的安全措施往往是多种方

12、法适当综合的应用结果。一个计算机 网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用， 也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计 算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安 全体系结构。?可用性原则安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降 低了安全性，如密钥管理就有类似的问题.其次，措施的采用不能影响系统的正 常运行，如不采用或少采用极大地降低运行速度的密码算法。?分步实施原则：分级管理分步实施由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加.一劳永逸地

13、解决网络安全问题是不现实的。同时由于 实施信息安全措施需相当的费用支出。因此分步实施，即可满足网络系统及信息安全的基本需求，亦可节省费用开支。安全防护手段与安全区域规划由于网络安全的目的是保障用户的重要信息的安全，因此限制直接接触十分重要。如果用户的网络连入Internet,那么最好尽可能地把与Internet连接的机器 与网络的其余部分隔离开来。实现这个目标的最安全的方法是将Internet服务器与网络划分不同的领域，建立不同的安全策略。如此一来，如果有人闯入隔离开 的机器，那么网络的其余部分不会受到牵连.安全区域的规划核心点是访问控制，访问控制是网络安全防范和保护的主 要策略，它的主要任务

14、是保证网络资源不被非法使用和非常访问.它也是维护网络 系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到 保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一.网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和 用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、 文件和其他资源.可以指定用户对这些文件、目录、设备能够执行哪些操作。用 户对网络资源的访问权限可以用一个访问控制表来描述 .防火墙是最主流也是最重要的安全产品，是边界安全解决方案的核心 .它可 以对整个网络进行区域分割，提供基于 IP地址和TCP/IP服务端口等的访问控 制

15、;对常见的网络攻击，如拒绝服务攻击、端口扫描、IP欺骗、IP盗用等进行有 效防护；并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定、智能 蠕虫防护等安全增强措施。? ARP攻击防护ARP欺骗：在同一个IP子网内，数据包根据目标机器的 MAC地址进行寻 址，而目标机器的MAC地址是通过ARP协议由目标机器的IP地址获得的。每 台主机（包括网关）都有一个ARP缓存表，在正常情况下这个缓存表能够有效维 护IP地址对MAC地址的一对一对应关系。但是在ARP缓存表的实现机制和ARP 请求应答的机制中存在一些不完善的地方，容易造成ARP欺骗的情况发生. 对于ARP欺骗攻击来说，单独针对任何一台设

16、备做防护配置都是微薄的，解决 ARP欺骗需要对整体网络的进行有效的规划，在每一台网络设备，每一台终端 设备上做有效地防护措施：把网络划分多个网段，ARP询问不会超出你的 VLAN ,超出VLAN的IP 和MAC地址表由网关来控制.这样危急的范围会变小，易于故障处理在每一台网络设备/终端设备上做IP和MAC静态绑定，在网内把主机和网 关都做IP和MAC绑定.欺骗是通过ARP的动态实时的规则欺骗内网机器， 所以 我们把ARP全部设置为静态可以解决对内网 PC的欺骗，同时在网关也要进行 IP和MAC的静态绑定，这样双向绑定才比较保险.通过对防火墙进行设置也是防御 ARP攻击的好方法，通过防火墙的 A

17、RP 严格限制可以使网关、服务器等重要的设备地址不被冒用，能够有效地解决针对网关地址欺骗等的问题.在接入层/汇聚层的交换机等设备上启动 ARP防护也是行之有效的办法，包 括使用DHCP认证、ARP-Guard等安全功能，能够限制ARP包在网络间传输，有 效过滤虚假ARP信息，保持网络的真实性。? 静态/动态VPN接入基于VPN隧道的加密数据传输能够提供安全可靠的网络互联，在无法保证电路安全、信道安全、网络安全、应用安全的情况下，或者也不相信其他安全措施的情况下，一种行之有效的办法就是加密，而加密就是必须考虑加密算法和密 码的问题。考虑到我国对密码管理的体制情况 ，密码是一个单独的领域。对防火

18、墙而言，是否防火墙支持对其他密码体制的支持，支持提供 API来调用第三方 的加密算法和密码，非常重要.对于VPN业务，企业比较关心的一个问题能是传输的安全性。在这个问题 上，BMC的企业级防火墙能够提供全面的安全性保证。企业级防火墙可以应用 户的要求，在VPN用户拨入时对他的身份进行验证，然后才建立隧道，将用户 交由VPN服务器进行再次验证。其次,企业级防火墙对用户数据包进行完整转发， 并不读取数据包的内容。因此，用户可以对它的数据进行加密， 而不会影响防火 墙本身的工作，而且此时即使是防火墙本身也无法读取用户数据.最后，企业级防 火墙支持自身到VPN服务器间隧道的数据加密。这样，即使拨入用户不对其数 据加密，Internet上的其他用户也无法读取 VPN用户的私有数据.方案描述：通过在650AE交换机上安装防火墙模块实现防火墙的集成.根据“横向隔 离、纵向加密”的理念，对酒店网络实行安全区域划分，包括实验室、培训教室、 办公室等接入层网络定义为同级别、 同安全等级的单独区域、即为横向，要求做 到网间隔离，