联想网络安全方案设计

网络安全方案设计依照第二章对蚌埠市怀洪新河管理局安全需求分析，结合安全设计策略，我们提出网络安全设计方案。同时，依照用户实际情况结合成本投入等原因，我们将整个方案将首先处理时间紧迫且安全隐患最大安全问题，即防火墙系统，其余安全产品如入侵监测系统、防病毒系统布署将依照蚌埠市怀洪新河管理局里实际情况再分步建设。4.1设计目标将蚌埠市怀洪新河管理局内部网与其它外部网络安全隔离，拒绝非法访问，恶意攻击，保护网络边界安全。抵挡木马攻击、蠕虫攻击、后门攻击、利用漏洞攻击和拒绝服务攻击。强化对网络控制，确保关键业务网络带宽。确保内部数据库服务器数据安全，并方便内、外数据库数据传输管理。防止因网络管理造成安全风险。4.2处理方案描述布署方案示意图以下列图所表示：附：蚌埠市怀洪新河管理局网络信息安全拓扑图4.3方案选型提议在蚌埠市怀洪新河管理局内部网与外部网之间布署高性能防火墙——1台联想网御PowerV203防火墙。对内、外网访问进行必要控制，防止无须要登陆访问破坏内部资源。4.3.1选取联想网御PowerV203防火墙原因基本功效为确保网络系统安全可靠运行，保障系统资源受控正当使用，防火墙应具备或实现以下功效：包过滤、应用代理和NAT功效：在局域网与外网接点处加入防火墙，实现存取访问控制。所以选取防火墙产品必须具备包过滤、应用代理和地址转换等功效。高性能：对各局域网进行网段划分，设置服务器网段、管理网段等不一样网段经过交换机划分虚拟子网（VLAN）。服务器网段放置主要资源服务器、数据库服务器等，对该网段需设置防火墙尤其保护。因为该网段处于局域网内，全部内部、外部用户均需经过防火墙对服务器进行访问，所以选取防火墙产品必须是高性能，即高带宽、高并发会话数目、高安全功效、高审计功效及高可靠性等。高可靠性：系统中一部分应用是实时，系统要稳定可靠工作，所以要求防火墙具备双机热备份功效，同时具备负载均衡功效，确保系统稳定可靠。日志审计：对主要关键资源使用情况应进行有效监控，所以要求防火墙系统有较强日志处理能力和日志分析能力，能够实现日志分级管理。身份认证及IP+MAC绑定：防火墙必须能对使用敏感业务用户进行身份认证；对主要指定用户采取MAC地址绑定等伎俩，确保其身份不被盗用。所以，要求防火墙具备较强身份认证和MAC地址绑定功效。网络管理身份认证：联想防火墙具备USB-KEY认证系统，在用户名及密码被盗用但没有USB-KEY情况下也能确保网络安全。集中管理与远程管理：电信系统计算机网络分布面广，防火墙布控数量多，所以，防火墙系统应具备良好远程集中管理功效，同时远程集中管理过程必须是安全。抗攻击：防火墙本身必须具备强大抗攻击性。及时告警：受攻击后，防火墙系统应能及时通知关于人员，所以要求防火墙系统有良好告警能力，要求支持Email，SNMP等响应方式。时间控制：防火墙应具备具备良好基于时间段控制能力。与IDS互动：防火墙还应具备一定IDS功效和与其它IDS互动能力。多协议支持：防火墙应支持多个协议，如：OSPF、RIP、RIPII路由协议，IPX、NETBIOS、VLAN、H.323、VOD、SSH等协议。联想网御防火墙技术特色1.基于状态检测动态包过滤技术联想网御PowerV203防火墙动态包过滤技术是基于状态检测机制包过滤技术，它不但具备状态包过滤安全性和高效性，它还能够很好处理如ftp、H.323等动态协商协议，它依照协议动态协商结果，结合定义好策略，动态生成规则，从而确保网络高度安全和数据完整，同时具备很好网络处理性能。经典如ftp协议，ftp协议使用一个控制连接，多个数据连接，数据连接使用端口是协商决定，数据传输完后连接关闭，而且数据连接存在两种工作模式：主动模式和被动模式。这两种模式主要区分是它们发起连接方向截然相反，主动模式是从服务器端向客户端发起；被动模式是客户端向服务器端发起连接。动态包过滤能够自动识别出数据连接工作模式以及协商服务端口，自动开放端口，数据连接完成后自动关闭端口。2.主动式防火墙技术传统包过滤防火墙和应用网关防火墙都是被动在对应层上等候抵达该层数据包，然后决定是允许还是禁止，并不能依照用户策略主动地控制数据包流动，而主动式防火墙技术，能够依照安全策略主动地控制数据包在不一样协议层之间传递，为用户提供透明、安全、高效防火墙。联想网御PowerV203防火墙采取主动式防火墙技术，在链路层截获数据包，然后送给主动式状态包过滤器，在这里依照用户安全策略决定该怎样处理该数据包。假如策略是转发，防火墙直接将该数据包从链路层转发，并不上传网络层，提升了效率；假如策略是NAT、路由转发和应用代理，则将状态信息保留在数据包中，然后直接送到网络层。在网络层并不再进行安全策略检验，而是依照保留状态信息，决定数据包是NAT、路由转发还是需要送往应用层处理。我们能够清楚看到主动式防火墙在链路层就已经知道了数据包流向，并在链路层开始分流，和传统防火墙必须抵达网络层才能决定相比，降低了许多无须要处理，提升了网络处理性能，而且将包过滤和应用代理有机结合起来，能够为用户提供一个全透明、安全、高防火墙。3.支持VLAN 联想网御PowerV203防火墙完全支持工业标准802.1Q封装协议和Cisco专有Trunk封装协议ISL，能对这两种协议包进行动态包过滤处理。另外，在使用802.1Q协议时，网御防火墙还能够在IP层对VLAN间数据包进行NAT，也能够使用代理实现VLAN间数据包转发，具备更高安全性。4.应用层协议分析与过滤技术联想网御PowerV203防火墙能够依照用户需要在链路层进行应用层协议分析和过滤，提供和应用代理同等保护能力，如URL过滤，用户不需要使用HTTP代理就能够实现对URL访问控制和防范针对Web服务器攻击。5.全透明网关技术联想网御PowerV203防火墙采取基于链路层全透明交换工作模式，当防火墙接收到一个以太帧时候，防火墙并不是将该帧去除帧头后交由IP层处理，而是直接在链路层检验该帧内含IP报文头信息以及连接信息进行分析过滤，不正当帧被丢弃，正当帧将依照该帧MAC信息和防火墙内核维护端口状态信息被转发，因为在链路层转发完全于IP层（如头地址、路由表）无关，所以网御防火墙是一个无IP透明网关技术。这么首先大大降低了防火墙本身受到攻击可能性，另首先也使系统安装变得十分简单，不再需要改变原有网络拓扑结构和各主机与设备网络设置，即不需要重新划分网段和调整网络结构，降低了网络管理员工作量。联想网御PowerV203防火墙还提供透明代理服务，管理员能够设置允许经过代理访问IP范围，则来自于于该范围客户端访问请求都会自动重定向到防火墙高层协议实体、在应用层与防火墙应用代理建立连接、防火墙应用代理在进行必要用户认证、会话检验后再进而与访问目标建立连接，从而完成一次访问。因为客户端请求是在防火墙处理下主动完成重定向，所以客户端用户感觉不到代理存在，这么无须改变客户端配置，就能在授权范围内与外网通信，网御防火墙可透明地级连原代理，支持惯用HTTP、FTP（可限制GET、PUT命令）、Telnet、SMTP等协议，同时提供针对用户自定义透明代理功效。6.工作模式自适应技术联想网御PowerV203防火墙采取了基于链路层全透明交换工作模式，并不是说网御防火墙只能工作于链路层，网御防火墙采取了全新自适应技术，能够让防火墙在必要时无切换地工作于IP层、或混合工作于链路层与IP层之间。假如防火墙不一样网口所接局域网都位于同一网段时，因为IP层路由表里无法表征这种转发路由，传统工作于IP层防火墙是无法完成这种方式包转发，网御防火墙在这时就直接在链路层经过规则检验之后、依照帧头MAC地址完成帧转发；而假如防火墙不一样网口分别接在不一样网段时，来自于这些网段报文在转发时就会自动上传到IP层、并在IP层匹配路由表、最终转发出去。该技术使用能够使防火墙工作于任何复杂工作环境，并极大地方便了管理员地配置与使用。7.入侵检测与实时响应技术联想网御PowerV203防火墙入侵检测模块包含包解码、规则解析及检测引擎、日志统计及报警等子模块。防火墙在被保护网络边界对全部进出被保护网络通信进行检验，对每一个防火墙接收包，将由包入侵检测包解码子模块负责抓包和解码工作，包解码子模块对捕捉到每一个数据包在不一样网络层次进行协议解析，在数据链路层，系统可针对以太网、令牌环及PPP协议等进行解码；在网络层，系统可针对IP、IPX、ARP及ICMP等协议进行解码；在传输层，系统可针对TCP和UDP协议进行解码，在应用层，系统可针对HTTP、TELNET、RPC等多个常见应用协议进行解码分析。解码工作完成后，由检测引擎读入解码后数据包并与预先设置好检测规则进行模式匹配。假如匹配成功，防火墙日志会记入写报警信息外，同时往预先设置报警邮箱发送报警邮件，并亮起防火墙入侵报警灯，提醒系统管理员有入侵事件发生。联想网御PowerV203防火墙支持入侵检测库升级，为查出最新攻击伎俩提供保障。同时，用户能够定制入侵检测策略，能够自定义检测规则，建立自己入侵检测规则库。因为防火墙预置了大量检测规则，有些规则可能不适适用于一些网络环境。该系统提供调整规则功效，管理员可将不适用检测规则禁用，以降低误报警数量。当然，管理员也可将禁用规则恢复，从而提升了入侵检测功效自适应性。为了最大程度地保护内部可信任网络，防火墙采取了自动响应技术。防火墙能够对本机入侵检测系统或其它入侵检测系统发出告警信息进行处理，实时阻断危险源地址、源端口，或者是正处于危险中目标地址及端口。自动响应技术能够全方位地确保被防火墙保护网络安全，实现了对安全功效逻辑赔偿。8.安全管理联想网御PowerV203防火墙可选取多个安全管理模式：当地串口web管理——经过当地串口进入web方式配置界面进行配置管理，提供了管理安全、方便与灵活性；远程安全管理——采取基于密码技术PKI-CA证书认证和基于双因子硬件一次性口令认证技术管理员身份认证，使得只有认证经过管理员才能经过远程访问配置管理界面、操作相关文件，全部防火墙配置文件及与安全关于数据都经加密处理存放；集中式安全管理——集中管理员经过集中管理中心能够对全局网络中防火墙进行统一配置与管理，该集中管理中心支持SNMT、SSL协议，具备设备（防火墙）自动发觉功效、设备运行状态监控功效，同时利用SNMPtrap机制实现安全事件报警，并采取基于密码技术PKI-CA证书认证和基于双因子硬件一次性口令认证实现集中管理员身份认证，这种分级分层管理模式可提升防火墙整体管理方便性与安全性。9.日志审计联想网御PowerV203防火墙提供防火墙日志管理和日志服务器（支持Linux和windows平台）两种统计日志功效，具备实时监控、审计、报警和自动备份功效，同时日志服务器管理员与防火墙管理员实施分权管理；联想网御PowerV203防火墙可为管理员提供丰富完整日志信息和强大完善安全审计，允许管理员设定审计查询规则，以可了解格式输出查询结果，生成HTML格式日志文件，具备日志存放溢出报警和补救功效。10VPN功效联想网御PowerV203防火墙集成VPN功效使得您能够在Internet上构建基于IPSec技术一系列加密认证技术以及密钥交换方案，使得在公共网络上组建VPN具备同当地私有网络一样安全性、可靠性和可管理性等特点，同时大大降低了建设当地私有网络费用。联想信息安全业务详细优势表现在对用户需求深刻了解：联想在系统集成领域多年经验，使我们对行业应用与网络环境有比较深入了解，这使我们能够依照用户需求设计优异集成方案；对信息安全技术深入掌握：以联想研究院为关键企业级研发平台将长久对信息安全技术进行全方面，深入跟踪研究。对当前安全产品与技术准确把握：联想信息安全服务事业部对市场上被广泛应用系列安全软硬件产品进行专业评测，使我们得以准确把握当前信息安全产品与技术，从而使得安全方案先进性、适用性、针对性具备了坚实技术保障。优异专业人员贮备：经过几年努力，联想研究院，信息安全事业部已贮备了大量优异信息安全专业技术人员，有丰富信息安全方案集成与产品研发经验。出众项目管理能力：联想拥有了一支由近百人组成信息安全处理方案与专业服务队伍，拥有精专技能和丰富项目管理经验。联想网御防火墙功效及技术参数（网御powerV203）产品概述网御强五系列防火墙是专门为企业级用户打造高可用安全产品。利用精心设计网御放火墙操作系统，基于IA架构，充分发挥了硬件高效数据交换能力和系统并行处理能力，实现了高性能与高安全性完美结合。产品特点强试用性：网络布署灵活，适应多个复杂网络环境和接入模式支持常见应用代理及多个基于动态协议复杂应用提供多样VPN可护短介入方式强安全性：采取增强型抗攻击技术，可防范各种常见类型网络攻击强可靠性：拥有国内唯一放火墙HA集群技术，可实现四个防火墙集群主动负载均衡强扩展性：软件设计采取安全功效模块化和关键模块核外化技术，模块升级简便，充分保障用户投资利益强管理性：支持多个管理方式，提供完善日志管理和审计功效，有效降低管理成本产品功效网络适应性适应多个复杂网络环境支持透明模式、纯路由模式、混合模式、NAT模式支持VLAN安全功效提供状态检测动态过滤支持H.323、RTSP、upnp、FTP等复杂动态协议支持IPX、NETBEUI等非IP协议支持双向NAT提供透明网关式应用代理支持URL智能过滤支持邮件动态过滤提供与应用服务无关用户认证支持IP/MAC地址绑定全方面防范常见网络攻击支持多个IDS产品联动和自动响应阻断方式提供目标路由和源地址路由提供标准IPSecVPN网关处理方案管理功效提供QoS带宽管理提供方便且安全配置管理提供远程安全管理和集中安全管理支持远程维护和系统升级支持防火墙系统实时监控提供强大日志管理和日志审计与网御集中安全管理系统无缝联动管理员身份认证支持电子钥匙认证或证书认证集群特征支持防火墙双机热备份支持防火墙集群，可实现2-4台防火墙负载产品型号与指标设备类型：百兆级防火墙并发连接数：600000网络吞吐量（Mpps）：200用户数限制：无用户数限制VPN支持：支持产品性能指标基本规格设备类型百兆级防火墙挑错硬件参数10/100以太网口*3并发连接数600000挑错VPN支持支持挑错网络网络吞吐量（Mpps）200安全性用户数限制无用户数限制入侵检测IDS主要功效动态检测包过滤,支持双向NAT,全方面支持VLAN,支持复杂动态协议,提供透明网关式应用代理,抗DoS/DdoS攻击,IPSecVPN网关,与IDS联动,双机热备和多机集群,流量管理,远程安全管理,安全集中管理,日志管理安全标准FCCClassA其它控制端口无管理远程管理电气规格电源电压（V）100-250环境参数工作温度（℃）0-50工作湿度0%-90%存放温度（℃）-40-80存放湿度0%-90%

联想信息安全业务关键能力5.1具备长久推行承诺能力信息安全技术和产品需要伴随网络攻防技术发展而不停发展，所以尤其需要信息安全产品和服务供给商具备长久推行承诺能力。联想是国内排名第一IT厂商，其市值达300多亿港币,依照企业信誉度和综合实力能够看出，联想具备长久推行承诺能力。5.2具备连续发展信息安全技术能力信息安全是包括多个技术高科技产业，要保持其连续发展，需要大量人力物力财力投入。联想以中科院计算所和联想研究院等企业级研发平台为依靠，以信息安全事业部为基础，将信息安全业务看成长久事业，仅一年，企业就对信息安全业务投入了数千万元，今后每年还将继续加大投入，所以具备连续发展能力。5.3具备帮助客户躲避安全风险能力信息安全产品与技术将伴随网络攻防技术不停发展而发展，当用户购置信息安全产品不能抵抗新攻