赛门铁克网关安全方案模板

精选文档赛门铁克网关安全解决方案北京赛门铁克信息技术有限公司2012年3月.精选文档赛门铁克网关安全解决方案1一、某某公司网络构造描绘3二、某某公司网络网关安全需求分析32．1分析来自Internet的安全威迫42．2其余网关安全考虑72．3某某公司网络网关安全需求分析7三、项目的设计目标和原则8四、网关安全产品的种类及公司选择网关安全产品应试虑的要素94．1网关安全产品的种类及优弊端94．2公司选择网关安全产品应试虑的要素11五、赛门铁克网关安全产品介绍15六、赛门铁克网关安全产品部署规划166．1部署前准备166．2试验性部署166．3实质部署176．4调试、查收186．5管理保护说明18.精选文档一、某某公司网络构造描绘（以客户网络拓扑图为基础，正确、清楚的描绘客户的网络构造，包含Internet出口，Extranet连结，路由器互换机部署，各线路的带宽，以及近期可能的网络改动计划等等）（客户网络拓扑图）某某公司是在1999年建立。网络规模较小。目前全部办公及业务赞成均在一个网络中。进行分析：只有一个连结INTERNET的连结口，使用？？？的上网方式。重要服务器集中在某一网段里。。。。。。。。。（拜见表示图）。（公司网络拓扑）二、某某公司网络网关安全需求分析网络的宽泛连结性、专用网络与鉴于这些网络之上的计算机基础设备间的混淆应用改变了公司商务运作的方式。跟着信息变得愈来愈有价值，也愈来愈易传达，因此在网络的受保护地区及未受保护地区间进行信息的安全传达显得比从前更加重要。公司的信息技.精选文档术主管都在考虑以下所列出的问题：·能否公司的网络同互联网相联·经过公司的网络能否能够获得机密信息·公司的职工及信息财产能否遇到保护·公司能否有远程或许挪动工作职工；如何对他们的系统进行保护·公司能否拥有远程做事处；他们能否有需要保护的信息财产·公司能否因为攻击而遇到财政损失·公司能否满意现有的安全保护级别，并且公司能否已拥有了此种保护能力防火墙（或近似产品）关于任何一个公司网络安全规划都是一个重要的组件。防火墙是一种鉴于硬件或软件之上的，在专用或封闭网络的内部或许界限进行战略安装的系统。它阻截未受权用户进入这些网络或相应网络段。这也就是为何称它们为界限防备系统或安全网关的原由所在。一个高安全的防火墙能够检查从互联网或外面网络试图进入受保护网络或网络段的全部信息。它经过分析网络信息和鉴于预设规则的赞成通道而供给保护。它防备任何不知足特定的、不符合安全标准规则的信息进入。2．1分析来自Internet的安全威迫Internet是最宽泛、最复杂也最不安全的网络，因此当私有网络在没有安装防火墙而直接与Internet连结时私有网络上的每个节点都裸露给Internet上的其余主机，极易受到攻击。这就意味着私有网络的安全性要由内部每一个主机的自己的牢固程度来决定，并且安全性等同于此中最弱的系统。这样一旦某台内网的主机被黑客攻击成功，便能够经过这台主机作为跳板，顺利的实行对内部网其余主机的攻击。黑客攻击产生的结果常常是及其严重的，比方造成机密信息泄露，重要数据的损坏，没法供给正常服务等恶劣结果。从而给整个网络造成极大的损失，还将严重影响公司形象和公司信用甚至致使没法拯救的灾难。网络的开放和互联使Internet接口几乎承受着全部可能的安全威迫，因此接入Internet的界限处对安全技术要求很高。对内部网接入Internet的安全防备应知足以下原则：在未采纳安全举措的状况下，严禁内部网以任何形式直接接入Internet；.精选文档采纳足够的安全举措后，赞成内部网对Internet开通必需的业务；对Internet公然宣告的信息应采纳安全举措保障信息不被窜改。在内部网络和Internet的连结处部署集成的安全技术和产品。因此，连结Internet的界限处考虑实行网关安全举措时，主要考虑:身份认证、接见控制、数据圆满性、安全审计、入侵检测及入侵防备、病毒防备和反垃圾邮件等安全指标，要求以下：1、身份认证必需时能够对内部网接见Internet加身份认证，认证方式可采纳静态口令来实现；从Internet进入内部网指定主机的特定接见，必然经过鉴于动向口令或公钥系统的身份认证。2、接见控制在Internet接口，接见控制的主体是内部网用户和Internet用户，客体是内部主机、内部服务器及对Internet开放的各样资源服务器。对内部网用户和Internet用户的接见控制应有所差别。内部网用户接见Internet，接见控制要求以下：能限制开通的服务种类，如开通www、email，封闭telnet；能限制接见特定的Internet网站；能开通内部对外面的单向接见；能严禁或赞成特定主机对Internet的接见。对来自Internet的接见，其接见控制要求以下：严禁来自Internet的接见直接进入内部网；只赞成Internet特定用户经代理设备接见内部网指定主机供给的指定业务；必然采纳安全举措，将为Internet供给信息服务的服务器与Internet隔离，从而保障该服务器的安全；必然采纳安全举措，将为Internet供给信息服务的服务器与内部网间隔，从而保障内部网的安全。.精选文档3、数据圆满性Internet接口的安全举措必然保障为Internet供给服务的服务器上的数据不受非授权改正。4、安全审计对进出Internet的接见必然进行审计。详尽要求以下：能够生成进出Internet的接见日记；日记内容包含接见时间、主体和客体地点和身份信息、接见方式、接见成败状况、连续时间、同一接见倡议建立连结次数、本次接见通信流量等；对所记录的日记拥有格式化的审计功能，能够针对不一样样主体、客体、时间段、接见成败等状况进行统计并形式化输出。5、入侵检测及入侵防备入侵检测系统是安全系统重要构成部分，能够对流经的数据包进行数据分析，过滤掉含有攻击指令和操作的数据包，保护网络的安全。供给对内部攻击、外面攻击和误操作的及时保护。利用高效的智能检测技术，并配置过滤规则知识库，从而能够迅速地对经过系统的信息包进行分析检测，在保障正常网络通信的同时能够有效地阻截黑客的攻击行为或用户的非法操作。入侵检测系统在发现入侵后，会及时做进出侵防备响应，包含切断网络连结、记录事件、自动调用防火墙来实现阻断和报警等。6、病毒防备在网关、服务器、客户端均有病毒防备的需求，而在网关处部署网关级病毒防备有重粗心义，对进出内部网络流量，特别是从Internet进入内部网络的流量，如：FTP、HTTP、SMTP流量进行病毒扫描，防备绝大部分病毒由Internet传入公司内部网络，大大降低内部网络应付病毒的难度和工作量。7、反垃圾邮件在网关处对进出内部网络的SMTP流量，特别是从Internet进入内部网络的SMTP流量进行反垃圾邮件控制，防备大批的垃圾邮件由Internet传入公司内部网络，大大降低内部.精选文档网络应付垃圾邮件的难度和工作量。2．2其余网关安全考虑1、VPN接入VPN中文全称是虚假专用网，是一种使用公网实现安全数据传输的技术，它能够保证数据传输途中不被窥伺其内容，但它没法阻截VPN两头的某端借此通路对另一端实行攻击或病毒流传。因此，对VPN接入线路相同需考虑安全举措，主要考虑对来自VPN通路的数据也需进行入侵检测和防病毒，并且考虑将VPN进口置于防火墙从前，不要直接接入内部网络。2、拨号接入近似对VPN接入的考虑，对拨号接入线路相同需考虑安全举措，主要考虑对来自拨号接入通路的数据也需进行入侵检测和防病毒，并且考虑将拨号接入进口置于防火墙从前，不要直接接入内部网络。3．内部重要服务器间隔对一些内部的重要服务器或重要部门的小网络，为了供给其安全性，特别是为防备内部人员的攻击或内部病毒延伸的损坏，考虑设置“内部网关”实现内部的网络间隔。4．对外公然的服务器对外公然的服务器，比方WEB服务器，FTP服务器等，必然不可以够直接裸露于外面网络，建立DMZ区（非军事区），将对外公然的服务器置于此中，再加以必需的安全控制。2．3某某公司网络网关安全需求分析（分析客户网络连结状况，目前客户网络中已经采纳的安全产品和安全举措，要点分析关于重要服务器/重要网络网段而言的界限点的安全威迫，如Internet连结处或与Entranet的其余部分的连结处，明确提出需求分析结论即建议在哪些界限点部署如何的网关安全产品。）.精选文档经过以上分析，联合某某公司网络拓扑构造的分析，我们建议:1、在INTERNET连结处部署一台高安全性高性能的硬件防火墙（包含接见控制、身份认证、VPN、入侵检测、防病毒、反垃圾邮件、安全审计功能）来控制Internet通信、VPN接入，同时用它建立一个DMZ区，将一些需要对外公然的服务器放入DMZ区加以保护。（见部署表示图）5、对核心服务器群（如财务服务器）部署一台高安全性高性能的硬件防火墙（包含接见控制、身份认证、VPN、入侵检测、防病毒、反垃圾邮件、安全审计功能）来实现重要服务器群的安全间隔。（见部署表示图）三、项目的设计目标和原则本项目的设计目标是为某某公司网络建立一套界限安全系统，联合目前某某公司网络的现状，在尽量不改变目前网络构造和尽量不影响目前网络性能的前提下，提出合理可行、安全高效的解决方案。在规划设计过程中，主要考虑和依据以下几条原则：1、保证选择先进的、开放的技术和产品；2、保证选择的产品有优异的安全性、可扩大性和易管理性；.精选文档3、在选择产品和确立相应的解决方案时，充分考虑其合用性和靠谱性；4、尽量本着不降低网络性能；尽量减少网络改造；5、本着保护现有投资原则；6、充分考虑高可用性以及高扩展性；7、保证公司最低总拥有成本，尽量减少公司的成本；8、从发展的角度出发，提出远景规划和其余方面的考虑。四、网关安全产品的种类及公司选择网关安全产品应试虑的要素4．1网关安全产品的种类及优弊端包过滤防火墙在Internet这样的TCP/IP网络上，全部来往的信息都被切割成许很多多必然长度的信息包，包中包含发送者的IP地点和接收者的IP地点信息。当这些信息包被奉上Internet时，路由器会读取接收者的IP并选择一条适合的物理线路发送出去，信息包可能经由不一样样的路线到达目的地，当全部的包到达目的地后会从头组装复原。包过滤式的防火墙会检查全部经过的信息包中的IP地点，并依据系统管理员所给定的过滤规则进行过滤。假如防火墙设定某一IP地点的站点为不适合接见的话，从这个地点来的全部信息都会被防火墙障蔽掉。包过滤防火墙检查进出IP信息包，决定能否接收鉴于下边一种或两种状况的信息IP地点的信号源或目的地TCP/UDP端口的信号源或目的地包过滤防火墙的长处是它关于用户来说是透明的，办理速度快并且易于保护，平常作为第一道防线。包过滤路由器平常没合用户的使用记录，这样我们就不可以够获得入侵者的攻击记录。而攻破一个纯真的包过滤式防火墙对黑客来说仍是有方法的。“IP地点欺诈”和“同步风暴”即是黑客用于攻击包过滤防火墙比较常用的手段。其余,包过滤防火墙还拥有配置繁琐的弊端。它阻截他人进入内部网络,但也不告诉你何人进入你的系统,或许何人从内部进入Internet。它能够阻截外面对私有网络的接见,却不可以够记录内部的接见。包过滤另一个要点的弊端就是不可以够在用户级别进步行过滤,即不可以够鉴识不一样样的用户和防备IP地点盗用。.精选文档状态监测防火墙这类防火墙相较于纯真的过滤包而言，供给了更高级其余安全性能，它使用了一个在网关上履行网络安全策略的软件模块，称之为监测引擎，监测引擎在不影响网络正常运转的前提下，采纳抽取相关数据的方法对网络通信的各层实行监测，抽取状态信息，并动向地保留起来作为此后履行安全策略的参照。与前种防火墙不一样样，当用户接见恳求到达网关的操作系统前，状态督查器要抽取相关数据进行分析，联合网络配置和安全规定做出采纳、拒绝、身份认证、报警或给该通信加密等办理动作。这类防火墙的长处是一旦某个接见违犯安全规定，就会拒绝该接见，并报告相关状态作日记记录。状态监测防火墙的另一个长处是它会监测无连结状态的远程过程调用（RPC）和用户数据报（UDP）之类的端口信息。这类防火墙会降低网络的速度，并且配置也比较复杂。应用代理型防火墙应用代理型防火墙包含一系列代理服务器，它合用于各样特定的Internet服务，如SMTP、HTTP、FTP等等。代理服务器平常运转在两个网络之间，它关于客户来说像是一台真的服务器，而关于外界的服务器来说，它又是一台客户机。今世理服务器接收到用户对某站点的接见恳求后会检查该恳求能否符合规定，假如规则赞成用户接见该站点的话，代理服务器会像一个客户相同去那个站点取回所需信息，做全面的安全检查（包含包头和数据检查），再转发给用户。代理服务器平常都拥有一个高速缓存，这个缓储藏藏用户常常接见的站点内容，在下一个用户要接见同一站点时，服务器就不用重复地获得相同的内容，直接将缓存内容发出即可，既节俭了时间也节俭了网络资源。代理服务器会像一堵墙相同挡在内部用户和外界之间，不让他们建立直接的连结，这样提升了安全性，从外面只美丽到该代理服务器而没法获知任何的内部资源，诸如用户的IP地点等。应用代理型防火墙比单调的包过滤和状态检测型防火墙都更加安全靠谱，除了包头信息外会详尽检查子协议内容和内部Data部分，并且会详尽地记录全部的接见状态信息。.精选文档可是应用代理型防火墙也存在一些不足之处：第一它会使接见速度变慢，因为它不一样样意用户直接连结外面网络，并且收到的包要做全面的安全检查，其余应用代理型防火墙需要对每一个特定的Internet服务供给相应的应用代理模块，假如应用代理模块有限，那么用户不可以够使用没有模块支持的服务。多模式防火墙多模式防火墙包含着来自其余防火墙的多种工作模式，一般此类防火墙常拥有包过滤和应用代理两类工作模式，可依据需要对不一样样的应用环境使用不一样样的工作模式来实现安全控制和性能的均衡。新式多功能网关近一两年，鉴于对网关安全需求的全面考虑（如2.1,2.2的分析），很多安全厂商推出了新式的多功能网关，新式多功能网关就是在防火墙的基础上供给网关需要的其余安全功能，比方最常有的是在防火墙上增添VPNSERVER功能。还有在防火墙上增添防病毒功能。也有更加先进的是在防火墙上同时集成了VPN、防病毒、入侵检测、内容过滤等全面安全功能。新式多功能网关是网关安全发展的趋向，只有新式多功能网关才能真实让网关地点成为安全防备系统的重要有力的构成部分。4．2公司选择网关安全产品应试虑的要素因为每一各样类的网关安全产品都有自己的特色和着要点，有些网关安全产品主要考虑速度，有的网关安全产品安全性特别好，公司应依据自己的详尽状况，包含网络状况、所要达到的安全级别、需要保护的对象以及被保护对象的重要程度等因向来选择知足公司要求的产品，因此公司必然先理解网关安全产品的工作方式和工作原理才能评估它能否能够真实知足自己的需要。为了找出合合用户所在组织的最正确网关安全产品产品，公司必然将自己的需求照耀到特定的网关安全产品种类上，才能够选择最适合自己的产品，一般来讲，在选择网关安全产品时，主要考虑以下几个方面的要素：网关安全产品功能方面：.精选文档1、接见控制：能够供给鉴于时间的安全策略；以不一样样的服务端口划分各样应用进行管理，新应用能够由管理员配置成新的服务，拥有高安全性、高性能、更好的伸缩性和扩展性。2、身份认证：用户认证：对FTP、TELNET、HTTP、HTTPS、RLOGIN的鉴于身份的透明认证。客户机认证：鉴于客户机的IP地点进行认证，与协议没关。3、及时监控活动会话4、地点变换：静态源地点变换和静态目的地点变换动向地点变换，隐蔽整个内部网络地点端口（服务）变换5、供给日记、报警、审查等功能6、能否拥有加强功能：VPN功能供给S2S(SitetoSite)VPN连结功能供给R2S（RemoteclienttoSite）VPN连结功能7、能否拥有加强功能：防病毒功能检测并办理各样病毒、蠕虫、木马、混淆威迫8、能否拥有加强功能：入侵检测功能正确检测各样入侵妄图、入侵数据包9、能否拥有加强功能：入侵防备功能正确响应入侵，阻截入侵，保护网关和内部网络10、能否拥有加强功能：反垃圾邮件功能检测并过滤大批垃圾邮件，防备其进入内部网络11、内容过滤依据安全策略，过滤公司敏感信息传出网关，也过滤不良信息进入内部网络.精选文档网关安全产品的可管理性：1、网关安全产品管理的难易程度，能否拥有直观的管理界面。2、规则无序性。3、能否能够实现集中的安全管理，包含远程配置管理网关安全产品等。各个网关安全产品经过单调控制台用图形用户界面进行集中管理、配置、保护。4、制定规则的难易程度，能否拥有规则制定导游。5、网关安全产品安装实行的难易程度。6、支持跨平台的安全管理。网关安全产品的可扩展性和高可用性关于一个好的网关安全产品而言，它的规模和功能应当能够适应内部网络的规模和安全策略的变化。选择哪一种网关安全产品，除了应试虑它的基天性能以外，毫无疑问，还应试虑用户的实质需求与将来网络的升级。因此网关安全产品除了拥有保护网络安全的基本功能外，还供给对VPN的支持，同时还应当拥有可扩展的内驻应用层代理，除了支持常有的网络服务以外，还应当能够依据用户的需求供给相应的代理服务，比方，假如用户需要NNTP（网络信息传输协议），XWindow，HTTP和Gopher等服务，网关安全产品就应当包含相应的代理服务程序。优异的网关安全产品系统应是一个可任意伸缩的模块化解决方案，从最为基本的包过滤器到带加密功能的VPN型包过滤器，直至一个独立的应用网关，使用户有充分的余地建立自己所需要的网关安全产品系统。优异的性能新一代的网关安全产品不只应当能够更好地保护后边内部网络的安全，并且应当拥有更加优异的整体性能。传统的应用代理型防火墙固然能够供给较高级其余安全保护，可是同时它也成为限制网络带宽的瓶颈，这极大地限制了在网络中的实质应用。数据经过率是.精选文档表示防火墙性能的参数，因为不一样样防火墙的不一样样功能拥有不一样样的工作量和系统资源要求，因此数据在经过防火墙时会产生延时。自然，数据经过率越高，防火墙性能越好。此刻大多半的防火墙产品都支持NAT功能，它能够让防火墙受保护的一边的IP地点不至于裸露在没有保护的另一边，可是启用NAT后必然会对防火墙系统的性能有所影响。目前如何尽量减少这类影响也成为防火墙产品的卖点之一。其余防火墙系统中集成的VPN解决方案必然是真实的线速运转，不然将成为网络通信的瓶颈。特别是采纳复杂的加密算法（如3DES）时，其性能特别重要。自然，新式的网关安全产品因为具备的比常例防火墙更多更强的安全功能，那么这些加强功能必然也有资源耗费和性能损失，因此新式网关安全产品在供给高安全性的同时还要要点考虑如何供给硬件平台的更高性能以保证多种安全功能的使用，总之，客户对优异的网关安全产品的要求是把最大限度的安全性和高速的性能有机联合在一同。网关安全产品自己的安全性大部分公司在选择网关安全产品时都将注意力放在网关安全产品如何控制连结以及网关安全产品支持多少种服务，但常常忽视了一点，网关安全产品也是网络上的主机之一，也可能存在安全问题，网关安全产品假如不可以够保证自己安全，则网关安全产品的控制功能再强，也终归不可以够圆满保护内部网络。大部分网关安全产品都安装或运转在一般的操作系统上，如Unix、NT系统等。在网关安全产品主机上履行的除了防火墙软件外，全部的程序、系统核心，也大多来自于操作系统自己的原有程序。当网关安全主机上所履行的软件出现安全破绽时，网关安全产品自己也将遇到威迫。此时，任何的网关安全产品控制系统都可能无效，因为当一个黑客获得了网关安全产品上的控制权此后，黑客几乎可为非作恶地改正网关安全产品上的配置规则，从而侵入更多的系统。因此网关安全产品自己应有相当高的安全保护。网关安全产品自己的安全性主要表现为以下几个方面：1、当网关安全产品不论因为任何原由造成某个功能模块，甚至整个网关安全产品的功能无效时，应当拒绝来自外面的接见，间隔来自外面的连结。2、网关安全产品的自动加固功能：.精选文档在安装网关安全产品时，应当自动封闭与网关安全产品没关的服务和端口。在网关安全产品运转的过程中，同时实行连续安全性检查-不停的发现并停止、记录不安全行为包含不安全的进度和服务等。在安装以及运转时自动进行系统自己安全配置与监控，能够减少因系统管理员的失误而带来的威迫。拥有对进入公司内部网络的全部数据包进行入侵检测功能，如：端口扫描、IP地点欺诈、SYNFlood和碎片攻击等鉴于网络的攻击。五、赛门铁克网关安全产品介绍介绍使用赛门铁克网关集成安全（SymantecGatewaySecurity5400系列,简称SGS）。SymantecGatewaySecurity5400系列是新式的网关安全设备，作为业界功能最全面的公司网关安全设备，它将全封包检测防火墙、鉴于协议异样和鉴于特色的入侵防守及入侵检测引擎、有名的病毒防备、鉴于URL的内容过滤、反垃圾邮件以及符合IPSec标准的VPN技术无缝地集成在一同。SymantecGatewaySecurity5400系列对最歹意的互联网安全威迫也能供给最大程度的防备，其“即插即用”简单配置功能使得管理员在30分钟就能够达成配置工作，其内置HA/LB功能可轻松实现扩展，总之，SymantecGatewaySecurity5400系列为公司Internet和Intranet安全供给最大安全的、可管理的和可扩展的安全解决方案。其主要特色归纳以下：拥有七种必需的公司安全功能，集成了防火墙、鉴于协议异样和鉴于攻击特色的入侵防守及入侵检测、有名的病毒防备、鉴于URL的内容过滤、反垃圾邮件以及符合IPSec标准的VPN技术。供给全面的网络防备，既能保护连结Internet的网络，又能保护连结广域网或局域网的子网。供给集中式管理，经过集中的日记记录、警报、报告和策略配置简化网络安全的.精选文档管理拥有集成的高可用性和负载均衡选件，能够知足任何规模的组织的性能要求拥有三种高性能的型号，可供给从100Mbps到1.8Gbps以上的吞吐量范围经过赛门铁克?安全响应中心－世界当先的互联网安全研究和支持组织的LiveUpdate?技术，供给自动安全更新另附上详尽的《SGS5400产品技术白皮书》六、赛门铁克网关安全产品部署规划6．1部署前准备部署从前，针对各个网关安全产品的部署环境（总部、各分公司）进行调研，采集部署所需的必需信息，并提出部署所需条件，让当地IT部门做好准备。准备方面包含：现有IP地点使用状况需开放的常有服务端口特别应用（使用何协议、何端口）物理部署地点（某机房、哪一个机架、电源线、网线）可用于部署的时间（比方某个周末能够）（遇到财年关不可以够够）IT人员在场配合（谁，何时能够）真实部署时哪些部门会受影响需起初通知6．2试验性部署真实部署从前，依据调研和采集的信息，在一个封闭环境里用几台代表机模拟内外网主要应用（特别是特别业务应用要模拟），部署SymantecGatewaySecurity5400于此模拟环境进行试验，保证定义的协议、配置的规则、地点变换、各安全功能实现均没有问题，这样能够防备贸然在实质环境里部署一旦出现问题就会马上影响正常业务运作的风险。同时在此试验性部署过程中，能够发现一些问题，累积使用经验