网络信息系统的安全设计方案

网络信息系统的安全设计方案网络信息系统的安全设计方案一、常用的网络信息系统安全技术面对网络信息安全的诸多问题，我们采取了多种的防范措施。1、防火墙目前出现的新技术类型主要有以下几种状态监视技术、安全操作系统、自适应代理技术、实时侵入检测系统等。混合使用数据包过滤技术、代理服务技术和其他一些新技术是未来防火墙的趋势。2、认证网络信息系统的安全设计方案全文共15页，当前为第1页。目前,常用的身份识别技术主要是基于RADIUS的鉴别、授权和管理(AAA)系统。RADIUS(remoteauthentica2tiondialinuserservice)是网络远程接入设备的客户和包含用户认证与配置信息的服务器之间信息交换的标准客户或服务器模式。它包含有关用户的专门简档,如,用户名、接入口令、接入权限等。这是保持远程接入网络的集中认证、授权、记费和审查的得到接受的标准。华为、思科等厂商都有使用RADIUS技术的产品。网络信息系统的安全设计方案全文共15页，当前为第1页。3、虚拟专用网网络信息系统的安全设计方案全文共15页，当前为第2页。随着商务的发展,办公形式的改变,分支机构之间的通信有很大需求,如果使用公用的互联网络来进行通信,而不是架设专用线路,这样,就可以显著降低使用成本。VPN(virtualprivatenetwork)即虚拟专用网是解决这一问题的方法。VPN建立一条通过公众网络的逻辑上的专用连接,使得用户在异地访问内部网络时,能够和在本地访问一样的资源,同时,不用担心泄密的问题。采用IPSec协议的产品是市场的主流和标准,有相当多的厂商都推出了相应产品。网络信息系统的安全设计方案全文共15页，当前为第2页。4、入侵检测和集中网管网络信息系统的安全设计方案全文共15页，当前为第3页。入侵检测(intrusiondetection)是对入侵行为的发觉,是一种增强系统安全的有效方法,能检测出系统中违背系统安全性规则或者威胁到系统安全的活动。目前,入侵检测系统的产品很多,仅国内的就有东软、海信、联想等十几种;集中网管主要体现在对网管的集中上,网管集中的实现方式主要包括存放网管系统的物理平面集中和通过综合集中网管实现对不同厂商网管系统的集中管控。大唐、朗讯、华勤等厂商各自有不同的集中网管产品上市。网络信息系统的安全设计方案全文共15页，当前为第3页。二、网络信息系统的安全设计方案网络信息系统的安全设计方案全文共15页，当前为第4页。网络信息系统的安全设计方案全文共15页，当前为第4页。2.1.1外网出口外网出口采用防火墙。支持双机热备功能，核心交换机通过两根电缆连到防火墙上，防火墙通过两台2层交换机分别接入电信线路和网通线路。当出口设备开启双机热备后，即使其中一台防火墙出问题，另外一台防火墙也能正常保证外网的使用，不会出现网络中断的情况。2.1.2核心设备作为网络的核心，要有很高的稳定性，瘫痪一分钟都会带来严重的后果，针对这个因素，我们将两台全千兆核心交换机采用双机热备的方式，上联到防火墙，并下联到办公网络。Catalyst3960系列交换机具有240G背板带宽;线速三层交换包转发率达到96Mpps;，是标准三层无阻塞交换机为所有的端口提供多层交换能力和线速的路由转发能力。同时具有高性能、低成本等主要特点。而其强大的处理能力是构建可靠、稳定、高速的IP网络平台的重要保障。同时具有高性能、低成本等主要特点。Catalyst3960支持特有的ARP入侵检测功能，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的DoS/DDoS攻击等。2.1.3接入设备网络信息系统的安全设计方案全文共15页，当前为第5页。接入交换机作为楼层网络的小型网关设备上连至上级交换机，需要考虑交换机能提供的网络安全性以及设备的处理能力。我们所采用的接入交换机可以支持划分vlan、端口保护、Qos功能、广播/组播风暴控制等功能。同时应具备扩展性。网络信息系统的安全设计方案全文共15页，当前为第5页。达到可根据需要灵活地配置网络。交换机能与所有的以太网、快速以太网设备相连接，保护用户已有的网络投资。可在工作组之间或企业内部提供高带宽、高性能连接，同时还能增强服务器群的容量，让用户能更快速存取整个网络资源。可以缓解因为网络带宽不足及用户迅速增长所造成的网络传输瓶颈，并且投资少，管理简单。2.2访问控制我们认为采用VLAN+ACL组网方式，可实现不同部门、不同应用系统之间进行隔离，实现对跨系统、跨部门的访问控制。其本身已经能够提供的安全机制，可保证访问控制的安全。采用VLAN+ACL实现组网，按照各楼层或各部门，实现VLAN的划分。所有的部门系统全部二层隔离，同一个汇聚层设备下的单位需要进行互通，则在核心交换机上终结VLAN，进行三层互通，如果是不同的汇聚层设备下的单位需要互通，则需要经过汇聚交换机上送到核心交换机上，通过配置的acl和路由进行三层转发，实现受控互通。2.3双机热备实现方案对于集团内网的组网方式，我们规划了VRRP双机热备方案：网络信息系统的安全设计方案全文共15页，当前为第6页。让我们来看看双机热备的工作网络信息系统的安全设计方案全文共15页，当前为第6页。VRRP图1如上图所示，正常情况下，左边核心交换机优先级高于右边核心交换机，所以左侧核心交换机处于master状态，响应所有对虚拟IP（即图中的192.168.1.1、192.168.2.1）的请求，右侧核心交换机处于backup状态，不会响应任何关于虚拟IP的请求，但是右侧交换机实时关注着从VRRP心跳线发来的状态包。很明显，现在所有汇聚交换机都会将数据包发送至左侧交机。左侧交换机作为线路正常时的主交换机。右侧交换机只关注VRRP心跳线发来的状态包。网络信息系统的安全设计方案全文共15页，当前为第7页。此时，办公网交换机到左侧核心交换机的线路若发生故障，或左侧核心交换机的发生故障。如下图：网络信息系统的安全设计方案全文共15页，当前为第7页。VRRP图2如果是汇聚交换机到核心交换机的线路产生故障，此时左侧核心交换机将会发现所连接端口发生故障，左侧交换机将会通过VRRP心跳线通知右侧交换机，告之关于192.168.2.1的状态变化，此时，右侧核心交换机将会作为主核心交换机，并相应并处理来自二层汇聚交换机的所有数据包。如果是左侧核心交换机产生故障，右侧交换机收不到心跳线传来的数据，那么它会认为左侧交换机已经无法正常工作，自己切换成为Master状态，处理来自所有汇聚交换机的数据包。从左侧核心设备发现线路故障到右侧核心设备变为主交换机，或者右侧核心设备发现左侧设备产生故障无法工作而自己变为主交换机，期间耗时不到2秒钟，对正在使用网络的用户而言，完全感觉不到发生了什么故障。这样就能保证整个网络骨干层7*24小时的无故障运行了。网络信息系统的安全设计方案全文共15页，当前为第8页。如果线路恢复正常或左侧核心交换机的故障排查解决完毕能够正常工作，左侧交换机同样可以发现其线路所连接的端口恢复正常，而通知右侧核心设备，同时自己变为主交换机，左侧核心交换机在故障处理完毕后能正常工作同样会通知右侧核心交换机，自己变为主交换机。网络信息系统的安全设计方案全文共15页，当前为第8页。2.4ARP防护ARP（欺骗类）病毒可谓是现在最普遍的网络危害，一具用户感染病毒就可能危害到整个网络。欺骗类病毒目前可以分为3种类型：1、中毒机器不停发送“我是网关”的ARP信息，试图来欺骗其他PC，让他们将自己看作网关，如图中的F0/1口下的PCA可以通过这种类型的ARP病毒让PCB认为网关是PCA。2、中毒机器不停的变换自己的IP，来扰乱网关设备的ARP表象，试图让网关看到的所有的IP都是自己，这样其他用户的IP就不能被网关设备认出了，如上图中，PCA可以不停的变换自己的IP，这样网关就会被欺骗认为192.168.43.100也是PCA，PCB当然就不能被网关识别了。网络信息系统的安全设计方案全文共15页，当前为第9页。3、中毒机器将自己的MAC地址修改成交换机的下一跳网络设备的MAC地址，试图让交换机的MAC表发生紊乱，让交换机从错误的端口发送出数据包，如上图中，PCA会将自己的MAC地址修改成网关的MAC地址00-E0-0F-27-96-D0，这样交换机在F0/1和F0/24上都学习到这个地址，MAC表就乱了--------这种类型并不能算上ARP病毒，但是同属于欺骗类病毒。网络信息系统的安全设计方案全文共15页，当前为第9页。目前大部分厂家都是通过绑定IP、MAC、端口的方式来保证安全，但是这样的方式实现起来麻烦（要一条一条的把绑定信息写进去），如果增加了新设备或者某台设备更换了端口或者网卡，如果不及时通知网络管理员进行修改，就没有办法上网，费时费力。针对这种情况，我们设计了一套较完善的ARP防护方式。在端口下过滤ARP报文，防止冒充网关。既然我们知道交换机的F0/24口上接的是网关，那么F0/1到F0/23口都不可能发送出“我是网关”的ARP信息，所以我们可以在这些端口下过滤此类报文。交换机命令（需要两层半交换机，S2026/S2126以上设备）：interfaceFastEthernet0/1switchportport-securityblockarp192.168.43.254//阻止该端口下发送192.168.43.254的ARP报文在所有的非上联端口上都配置此类命令，交换机可阻止其下端口发送“我是网关”类的ARP欺骗报文网络信息系统的安全设计方案全文共15页，当前为第10页。在接口下配置Filter功能，防ARP扫描攻击。如果中毒机器不停变换自己的IP，那么他在短时间内发送的ARP信息是非常多的，我们可以通过设置ARP计数器的方式来进行管理，在一个时间单位内，如果某个设备发送的ARP数量超过了我们设置的阀值，那么我们将过滤这台设备的MAC一段时间，这个时间段内这台设备发送任何信息我们的交换机都不进行转发。网络信息系统的安全设计方案全文共15页，当前为第10页。交换机命令（需要两层半交换机，既S2026/S2126以上设备）：interfaceFastEthernet0/1filterarp//在接口下启用arp过滤功能！filterperiod5//以5秒钟为一个统计周期filterblock-time60//将攻击主机隔离60秒filterthreshold100//一个统计周期超过100个arp报文，就进行隔离filterenable//在全局下启用过滤功能一旦交换机F0/1端口下有PC在5秒内发送的ARP报文超过100个，交换机将在60秒内禁止此PC的MAC通过。免费发放ARPRESPONSE报文，纠正主机错误的网关。对于网关类的设备一般是不主动发送ARP报文的，通常它都是被动响应下面的ARP请求，因此我们也可以让网关主动发送ARPRESPONSE报文，主动矫正下面PC的错误。网络信息系统的安全设计方案全文共15页，当前为第11页。交换机命令（需要三层交换机或者路由器）网络信息系统的安全设计方案全文共15页，当前为第11页。arpfree-response//启用免费发放arpresponse报文的功能arpfree-responseinterval30//发放arpresponse报文的间隔interfaceVLAN1ipaddress192.168.43.254255.255.255.0noipdirected-broadcast!interfaceLoopback0ipaddress1.1.1.1255.255.255.0noipdirected-broadcast这样每30秒网关可以主动矫正下面PC的错误。将网关的MAC地址、端口、以及VLAN进行绑定，防止MAC欺骗。交换机命令（两层设备即可）macaddress-tablestatic00e0.0f96.27d0vlan1interfacef0/24//保证网关的VLAN1的MAC地址只能出现在F0/24上将交换机下联口全部开启端口保护，保证用户只能和上联口互通，和其他用户之间无法互通。网络信息系统的安全设计方案全文共15页，当前为第12页。交换机命令（两层设备即可）网络信息系统的安全设计方案全文共15页，当前为第12页。interfaceFastEthernet0/1switchportprotect根据上面提到的4种防护ARP欺骗的机制原理，我们可以进行组合，设置多种全网阻断ARP欺骗的拓扑：首先通过vlan划分隔离广播域，让arp只会在同1个vlan内传播，此外我们可以在接入层采用两层设备S2126交换机，开启端口保护，汇聚层采用三层交换机S3760，开启Filter防护机制。此类方法可以保证：1、用户之间发送“我是网关”的ARP欺骗（类型1欺骗）信息由于接入交换机的端口保护机制，无法传播到其他用户的端口上。2、用户发送类型2欺骗的信息由于汇聚交换机的Filter防护，在汇聚层上就被阻挡掉，无法欺骗网关设备此类方法的缺点就是同个交换机且在同个vlan下的用户之间无法互相访问。因此我们可以只对不需要产生直接互相通信的两台用户之间开启端口保护，其他不开，或者是采用结合软件的办法，电脑上安装arp防火墙，这样就可以不开启端口保护了。结合软件arp防火墙和三层交换机的filter功能，也是一种非常实用有效防止arp攻击的方法。2.5安全制度网络信息系统的安全设计方案全文共15页，当前为第13页。任何的措施都不可能解决所有的网络安全问题，也就是“网络没有绝对的安全，没有绝对的网络安全”。我们在采取安全控制措施后，在加强了安全性、可靠性的同时，还需要通过制度和行政手段来进行干预，比如发文强制统一安装网络防病毒软件，因为如果在一个网络里如果有机器没装防病毒产品或者装的是单机版产品，势必会给整个单位网络带来不小影响，在出了问题的时候没有一个统一的解决方案，反而会让他们成为“漏网之鱼”。没有那个单机版用户能保证自己每天都及时做病毒码升级，而且现在装的单机版无非就是瑞星，金山，360之类的产品，这些产品相对于卡巴斯基这类统一部署的防病毒产品来说还是有一定差距的，像最近的好多单位网络瘫痪都是因为网络里有些机器装了这类软件导致的，而装有统一部署的防病毒的基本上没有问题。还有一种情况普遍，就是网络存储设备的使用，经常会有用户会因为U盘携带病毒而使机器出现问题，如果有一个好的管理制度来做些约束，定期做些关于网络安全方面的培训，使每个人都知道网络安全问题的重要性也很必要。网络信息系统的安全设计方案全文共15页，当前为第13页。网络信息系统的安全设计方案全文共15页，当前为第14页。三、网络信息系统的安全预算方案网络信息系统的安全设计方案全文共15页，当前为第14页。产品名称型号单价单位数量价格核心交换机H3CS9512-N1100002220000路由器锐捷网络RSR-04E-BASE-AC-1GE4800002960000防火墙思科PIX-535-FO-BUN680002136000服务器戴尔PowerEdgeR71021800365400汇聚层交换机H3CS5100-50C-EI-AC2600010260000二层交换机TP-LinkTL-SF1024