版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
网络安全方案TOC\o"1-1"\h\u某校园网方案 2网络防火墙设计中的问题 16如何构建网络整体安全方案 22四台Cisco防火墙实现VPN网络 27企业级防火墙选购热点 30增强路由器安全的十个技巧 32启明星辰银行安全防御方案 33神码基金公司信息安全解决方案 34安天校园网解决方案 37网络入侵检测解决方案 38企业需要什么样的IDS测试IDS的几个性能指标 40东软安全助力武汉信用风险管理信息系统 43某校园网方案1.1设计原则1.充分满足现在以及未来3-5年内的网络需求,既要保证校园网能很好的为学校服务,又要保护学校的投资。2.强大的安全管理措施,四分建设、六分管理,管理维护的好坏是校园网正常运行的关键3.在满足学校的需求的前提下,建出自己的特色1.2网络建设需求网络的稳定性要求整个网络需要具有高度的稳定性,能够满足不同用户对网络访问的不同要求网络高性能需求整个网络系统需要具有很高的性能,能够满足各种流媒体的无障碍传输,保证校园网各种应用的畅通无阻认证计费效率高,对用户的认证和计费不会对网络性能造成瓶颈网络安全需求防止IP地址冲突非法站点访问过滤非法言论的准确追踪恶意攻击的实时处理记录访问日志提供完整审计网络管理需求需要方便的进行用户管理,包括开户、销户、资料修改和查询需要能够对网络设备进行集中的统一管理需要对网络故障进行快速高效的处理第二章、某校园网方案设计2.1校园网现网拓扑图整个网络采用二级的网络架构:核心、接入。核心采用一台RG-S4909,负责整个校园网的数据转发,同时为接入交换机S1926F+、内部服务器提供百兆接口。网络出口采用RG-WALL1200防火墙。原有网络设备功能较少,无法进行安全防护,已经不能满足应用的需求。2.2校园网设备更新方案方案一:不更换核心设备核心仍然采用锐捷网络S4909交换机,在中校区增加一台SAM服务器,部署SAM系统,同时东校区和西校区各用3台S2126G替换原有S1926F+,其中汇聚交换机各采用一台新增的S2126G,剩余的两台S2126G用于加强对关键机器的保护,中校区的网络结构也做相应的调整,采用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。方案二:更换核心设备核心采用一台锐捷网络面向10万兆平台设计的多业务IPV6路由交换机RG-S8606,负责整个校园网的数据转发。在中校区增加一台SAM服务器,部署SAM系统,同时东校区和西校区各用3台S2126G替换原有S1926F+。将原有的S4909放到东校区做为汇聚设备,下接三台S2126G实现安全控制,其它二层交换机分别接入相应的S2126G。西校区汇聚采用一台S2126G,剩余两台S2126G用于保护重点机器,其它交换机接入对应的S2126G。中校区的网络结构也做相应的调整,采用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。2.3骨干网络设计骨干网络由RG-S8606构成,核心交换机RG-S8606主要具有5特性:1、骨干网带宽设计:千兆骨干,可平滑升级到万兆整个骨干网采用千兆双规线路的设计,二条线路通过VRRP冗余路由协议和OSPF动态路由协议实现负载分担和冗余备份,以后,随着网络流量的增加,可以将链路升级到万兆。2、骨干设备的安全设计:CSS安全体系架构3、CSS之硬件CPPCPP即CPUProtectPolicy,RG-S8606采用硬件来实现,CPP提供管理模块和线卡CPU的保护功能,对发往CPU的数据流进行带宽限制(总带宽、QOS队列带宽、类型报文带宽),这样,对于ARP攻击的数据流、针对CPU的网络攻击和病毒数据流,RG-S8606分配给其的带宽非常的有限,不会影响其正常工作。由于锐捷10万兆产品RG-S8606采用硬件的方式实现,不影响整机的运行效率4、CSS之SPOH技术现在的网络需要更安全、需要为不同的业务提供不同的处理优先级,这样,大量的ACL和QOS需要部署,需要核心交换机来处理,而这些应用属于对交换机硬件资源消耗非常大的,核心交换机RG-S8606通过在交换机的每一个用户端口上增加一个FFP(快速过滤处理器),专门用来处理ACL和QOS,相当于把交换机的每一个端口都变成了一台独立的交换机,可以保证在非常复杂的网络环境中核心交换机的高性能。2.4网络安全设计2.4.1某校园网网络安全需求分析1、网络病毒的防范病毒产生的原因:某校园网很重要的一个特征就是用户数比较多,会有很多的PC机缺乏有效的病毒防范手段,这样,当用户在频繁的访问INTERNET的时候,通过局域网共享文件的时候,通过U盘,光盘拷贝文件的时候,系统都会感染上病毒,当某个学生感染上病毒后,他会向校园网的每一个角落发送,发送给其他用户,发送给服务器。病毒对校园网的影响:校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗,用户正常的网络访问得不到响应,办公平台不能使用;资源库、VOD不能点播;INTERNET上不了,学生、老师面临着看着丰富的校园网资源却不能使用的尴尬境地。2、防止IP、MAC地址的盗用IP、MAC地址的盗用的原因:某校园网采用静态IP地址方案,如果缺乏有效的IP、MAC地址管理手段,用户可以随意的更改IP地址,在网卡属性的高级选项中可以随意的更改MAC地址。如果用户有意无意的更改自己的IP、MAC地址,会引起多方冲突,如果与网关地址冲突,同一网段内的所有用户都不能使用网络;如果恶意用户发送虚假的IP、MAC的对应关系,用户的大量上网数据包都落入恶意用户的手中,造成ARP欺骗攻击。IP、MAC地址的盗用对校园网的影响:在用户看来,校园网络是一个很不可靠是会给我带来很多麻烦的网络,因为大量的IP、MAC冲突的现象导致了用户经常不能使用网络上的资源,而且,用户在正常工作和学习时候,自己的电脑上会经常弹出MAC地址冲突的对话框。由于担心一些机密信息比如银行卡账户、密码、邮箱密码泄漏,用户会尽量减少网络的使用,这样,学生、老师对校园网以及网络中心的信心会逐渐减弱,投入几百万的校园网也就不能充分发挥其服务于教学的作用,造成很大程度上的资源浪费。3、安全事故发生时候,需要准确定位到用户安全事故发生时候,需要准确定位到用户原因:国家的要求:2002年,朱镕基签署了282号令,要求各大INTERNET运营机构(包括高校)必须要保存60天的用户上网记录,以待相关部门审计。校园网正常运行的需求:如果说不能准确的定位到用户,学生会在网络中肆无忌弹进行各种非法的活动,会使得校园网变成“黑客”娱乐的天堂,更严重的是,如果当某个学生在校外的某个站点发布了大量涉及政治的言论,这时候公安部门的网络信息安全监察科找到我们的时候,我们无法处理,学校或者说网络中心只有替学生背这个黑锅。4、安全事故发生时候,不能准确定位到用户的影响:一旦发生这种涉及到政治的安全事情发生后,很容易在社会上广泛传播,上级主管部门会对学校做出处理;同时也会大大降低学校在社会上的影响力,降低家长、学生对学校的满意度,对以后学生的招生也是大有影响的。5、用户上网时间的控制无法控制学生上网时间的影响:如果缺乏有效的机制来限制用户的上网时间,学生可能会利用一切机会上网,会旷课。学生家长会对学校产生强烈的不满,会认为学校及其的不负责任,不是在教书育人。这对学校的声誉以及学校的长期发展是及其不利的。6、用户网络权限的控制在校园网中,不同用户的访问权限应该是不一样的,比如学生应该只能够访问资源服务器,上网,不能访问办公网络、财务网络。办公网络的用户因该不能访问财务网络。因此,需要对用户网络权限进行严格的控制。7、各种网络攻击的有效屏蔽校园网中常见的网络攻击比如MACFLOOD、SYNFLOOD、DOS攻击、扫描攻击、ARP欺骗攻击、流量攻击、非法组播源、非法DHCP服务器及DHCP攻击、窃取交换机的管理员密码、发送大量的广播报文,这些攻击的存在,会扰乱网络的正常运行,降低了校园网的效率。2.4.2某校园网网络安全方案设计思想安全到边缘的设计思想用户在访问网络的过程中,首先要经过的就是交换机,如果我们能在用户试图进入网络的时候,也就是在接入层交换机上部署网络安全无疑是达到更好的效果。全局安全的设计思想锐捷网络提倡的是从全局的角度来把控网络安全,安全不是某一个设备的事情,应该让网络中的所有设备都发挥其安全功能,互相协作,形成一个全民皆兵的网络,最终从全局的角度把控网络安全。全程安全的设计思想用户的网络访问行为可以分为三个阶段,包括访问网络前、访问网络的时候、访问网络后。对着每一个阶段,都应该有严格的安全控制措施。2.4.3某校园网网络安全方案锐捷网络结合SAM系统和交换机嵌入式安全防护机制设计的特点,从三个方面实现网络安全:事前的准确身份认证、事中的实时处理、事后的完整审计。事前的身份认证对于每一个需要访问网络的用户,我们需要对其身份进行验证,身份验证信息包括用户的用户名/密码、用户PC的IP地址、用户PC的MAC地址、用户PC所在交换机的IP地址、用户PC所在交换机的端口号、用户被系统定义的允许访问网络的时间,通过以上信息的绑定,可以达到如下的效果:每一个用户的身份在整个校园网中是唯一,避免了个人信息被盗用.当安全事故发生的时候,只要能够发现肇事者的一项信息比如IP地址,就可以准确定位到该用户,便于事情的处理。只有经过网络中心授权的用户才能够访问校园网,防止非法用户的非法接入,这也切断了恶意用户企图向校园网中传播网络病毒、黑客程序的通道。网络攻击的防范1、常见网络病毒的防范对于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒,通过部署扩展的ACL,能够对这些病毒所使用的TCP、UDP的端口进行防范,一旦某个用户不小心感染上了这种类型的病毒,不会影响到网络中的其他用户,保证了校园网网络带宽的合理使用。2、未知网络病毒的防范对于未知的网络病毒,通过在网络中部署基于数据流类型的带宽控制功能,为不同的网络应用分配不同的网络带宽,保证了关键应用比如WEB、课件资源库、邮件数据流有足够可用的带宽,当新的病毒产生时,不会影响到主要网络应用的运行,从而保证了网络的高可用性。3、防止IP地址盗用和ARP攻击通过对每一个ARP报文进行深度的检测,即检测ARP报文中的源IP和源MAC是否和端口安全规则一致,如果不一致,视为更改了IP地址,所有的数据包都不能进入网络,这样可有效防止安全端口上的ARP欺骗,防止非法信息点冒充网络关键设备的IP(如服务器),造成网络通讯混乱。4、防止假冒IP、MAC发起的MACFlood\SYNFlood攻击通过部署IP、MAC、端口绑定和IP+MAC绑定(只需简单的一个命令就可以实现)。并实现端口反查功能,追查源IP、MAC访问,追查恶意用户。有效的防止通过假冒源IP/MAC地址进行网络的攻击,进一步增强网络的安全性。5、非法组播源的屏蔽锐捷产品均支持IMGP源端口检查,实现全网杜绝非法组播源,指严格限定IGMP组播流的进入端口。当IGMP源端口检查关闭时,从任何端口进入的视频流均是合法的,交换机会把它们转发到已注册的端口。当IGMP源端口检查打开时,只有从路由连接口进入的视频流才是合法的,交换机把它们转发向已注册的端口;而从非路由连接口进入的视频流被视为是非法的,将被丢弃。锐捷产品支持IGMP源端口检查,有效控制非法组播,实现全网杜绝非法组播源,更好地提高了网络的安全性和全网的性能,同时可以有效杜绝以组播方式的传播病毒.在校园网流媒体应用多元化和潮流下具有明显的优势,而且也是网络带宽合理的分配所必须的。同时IGMP源端口检查,具有效率更高、配置更简单、更加实用的特点,更加适用于校园运营网络大规模的应用环境。6、对DOS攻击,扫描攻击的屏蔽通过在校园网中部署防止DOS攻击,扫描攻击,能够有效的避免这二种攻击行为,节省了网络带宽,避免了网络设备、服务器遭受到此类攻击时导致的网络中断。事后的完整审计当用户访问完网络后,会保存有完备的用户上网日志纪录,包括某个用户名,使用那个IP地址,MAC地址是多少,通过那一台交换机的哪一个端口,什么时候开始访问网络,什么时候结束,产生了多少流量。如果安全事故发生,可以通过查询该日志,来唯一的确定该用户的身份,便于了事情的处理。2.5网络管理设计网络管理包括设备管理、用户管理、网络故障管理2.5.1网络用户管理网络用户管理见网络运营设计开户部分2.5.2网络设备管理网络设备的管理通过STARVIEW实现,主要提供以下功能,这些功能也是我们常见的解决问题的思路:1、网络现状及故障的自动发现和了解STARVIEW能自动发现网络拓扑结构,让网络管理员对整个校园网了如指掌,对于用户私自挂接的HUB、交换机等设备能及时地发现,提前消除各种安全隐患。对于网络中的异常故障,比如某台交换机的CPU利用率过高,某条链路上的流量负载过大,STARVIEW都可以以不同的颜色进行显示,方便管理员及时地发现网络中的异常情况。2、网络流量的查看STARVIEW在网络初步异常的情况下,能进一步的察看网络中的详细流量,从而为网络故障的定位提供了丰富的数据支持。3、网络故障的信息自动报告STARVIEW支持故障信息的自动告警,当网络设备出现故障时,会通过TRAP的方式进行告警,网络管理员的界面上能看到各种故障信息,这些信息同样为管理员的故障排除提供了丰富的信息。4、设备面板管理STARVIEW的设备面板管理能够很清楚的看到校园中设备的面板,包括端口数量、状态等等,同时可以很方便的登陆到设备上,进行配置的修改,完善以及各种信息的察看。5、RGNOS操作系统的批量升级校园网很大的一个特点就是规模大,需要使用大量的接入层交换机,如果需要对这些交换机进行升级,一台一台的操作,会给管理员的工作带来很大的压力,STARVIEW提供的操作系统的批量升级功能,能够很方便的一次对所有的相同型号的交换机进行升级,加大的较少了网络管理员的工作量。2.5.3网络故障管理随着校园网用户数的增多,尤其是宿舍网运营的开始,用户网络故障的排除会成为校园网管理工作的重点和难点,传统的网络故障解决方式主要是这样一个流程:2.6流量管理系统设计网络中的流量情况是网络是否正常的关键,网络中大量的P2P软件的使用,已经对各种网络业务的正常开展产生了非常严重的影响,有的学校甚至因为P2P软件的泛滥,直接导致了网络出口的瘫痪。2.6.1方案一:传统的流量管理方案传统的流量管理方案的做法很多就是简单的封堵这些P2P软件,从而达到控制流量的目的,这有三大弊端,第一:这些软件之所以有如此强大的生命力,是因为用户通过使用这些软件的确能快速的获取各种有用的资源,如果简单的通过禁止的方式,用户的意见会非常的大,同时,各种有用的资源我们很难获取。第二:各种新型的,对网络带宽消耗更大的应用软件也在不断的出现。所谓道高一尺,魔高一丈,一味的封堵这些软件,我们永远处于被动的局面,显然不能从根本上解决这个问题。第三:我们无法获取网络中的流量信息,无法为校园网的优化,网络管理,网络故障预防和排除提供数据支撑。2.6.2方案二:锐捷的流量管理与控制方案锐捷网络的流量管理主要通过RG-NTD+日志处理软件+RG-SAM系统来实现。NTD是锐捷流量管理解决方案的重要组成部分,我们希望能为用户提供一种流量控制和管理的方法而不单纯是流量计费,锐捷的流量管理方案有三大功能:第一:为SAM系统对用户进行流量计费提供原始数据,这是我们已经实现了的功能。该功能能满足不同消费层次的用户对带宽的需求,经济条件好一点,可以多用点流量,提高了用户的满意度。而且,对于以后新出现的功能更加强大的下载软件,都不必担心用户任意使用造成带宽拥塞。第二:提供日志审计和带宽管理功能,通过NTD、SAM、日志系统的结合,能够做到基于用户身份对用户进行管理,做到将用户名、源IP、目的IP直接关联,通过目的IP,可以直接定位到用户名,安全事件处理起来非常的方便,同时还能提供P2P的限速,带宽管理等功能,这一部分的功能我们会在明年4月份提供。第三:能够对网络中的各种流量了如指掌,可以对用户经常访问的资源进行分析对比,为应用系统的建设、服务器的升级改造提供数据支持;能够及时的发现网络中的病毒、恶意流量,从而进行有效的防范,结合认证计费系统SAM,能够捕捉到事件源头,并于做出处理。总体来说,流量控制和管理和日志系统的整体解决方案对于校园网的长期健康可持续发展是很有帮助的。网络防火墙设计中的问题方案:硬件?还是软件?现在防火墙的功能越来越多越花哨,如此多的功能必然要求系统有一个高效的处理能力。防火墙从实现上可以分为软件防火墙和硬件防火墙。软件防火墙以checkpoint公司的Firewall-I为代表,其实现是通过dev_add_pack的办法加载过滤函数(Linux,其他操作系统没有作分析,估计类似),通过在操作系统底层做工作来实现防火墙的各种功能和优化。国内也有一些所谓的软件防火墙,但据了解大多是所谓“个人”防火墙,而且功能及其有限,故不在此讨论范围。在国内目前已通过公安部检验的防火墙中,硬件防火墙占绝大多数。硬件防火墙一种是从硬件到软件都单独设计,典型如Netscreen防火墙不但软件部分单独设计,硬件部分也采用专门的ASIC集成电路。另外一种就是基于PC架构的使用经过定制的通用操作系统的所谓硬件防火墙。目前国内绝大多数防火墙都属于这种类型。虽然都号称硬件防火墙,国内厂家和国外厂家还是存在着巨大区别。硬件防火墙需要在硬件和软件两方面同时下功夫,国外厂家的通常做法是软件运算硬件化,其所设计或选用的运行平台本身的性能可能并不高,但它将主要的运算程序(查表运算是防火墙的主要工作)做成芯片,以减少主机CPU的运算压力。国内厂家的防火墙硬件平台基本上采用通用PC系统或工业PC架构(直接原因是可以节省硬件开发成本),在提高硬件性能方面所能做的工作仅仅是提升系统CPU的处理能力,增大内存容量而已。现在国内防火墙的一个典型结构就是:工业主板+x86+128(256)M内存+DOC/DOM+硬盘(或不要硬盘而另增加一个日志服务器)+百兆网卡这样一个工业PC结构。在软件性能方面,国内外厂家的差别就更大了,国外(一些著名)厂家均是采用专用的操作系统,自行设计防火墙。而国内所有厂家操作系统系统都是基于通用的Linux,无一例外。各厂家的区别仅仅在于对Linux系统本身和防火墙部分(2.2内核为ipchains,2.4以后内核为netfilter)所作的改动量有多大。事实上,Linux只是一个通用操作系统,它并没有针对防火墙功能做什么优化,而且其处理大数据量通信方面的能力一直并不突出,甚至比较低下(这也是Linux一直只是低端服务器的宠儿的重要原因,我自己认为,在这一点上它还不如BSD系列,据说国外有用BSD做防火墙的,国内尚未见到)。现在绝大部分厂家,甚至包括号称国内最大的天融信,在软件方面所作的工作无非也就是系统有针对性的裁减、防火墙部分代码的少量改动(绝大部分还是没有什么改动)和少量的系统补丁。而且我们在分析各厂家产品时可以注意这一点,如果哪个厂家对系统本身做了什么大的改动,它肯定会把这个视为一个重要的卖点,大吹特吹,遗憾的是似乎还没有什么厂家有能力去做宣传(天融信似乎有一个类似于checkpoint的功能:开放式的安全应用接口TOPSEC,但它究竟做了多少工作,还需要去仔细了解)。目前国内厂家也已经认识到这个问题,有些在做一些底层的工作,但有明显成效的,似乎还没有。在此我们仅针对以Linux(或其他通用操作系统)为基础的、以PC架构为硬件载体的防火墙做讨论,以下如不特别提出,均同。2.内核和防火墙设计现在有一种商业卖点,即所谓“建立在安全操作系统之上的第四代防火墙”(关于防火墙分代的问题,目前有很多讨论,比较一致的是把包过滤防火墙称为第一代防火墙,把应用型防火墙(一般结合了包过滤功能,因此也成为混合型防火墙)称为第二代防火墙,有些厂家把增加了检测通信信息、状态检测和应用监测的防火墙称为第三代防火墙,更有甚者在此基础上提出了采用安全操作系统的防火墙,并把这个称为第四代防火墙)。所谓安全操作系统,其实大多用的还是Linux,所不同的是需要做一些内核加固和简单改造的工作,主要有以下:取消危险的系统调用,或者截获系统调用,稍加改动(如加载一些llkm);限制命令执行权限;取消IP转发功能;检查每个分组的接口;采用随机连接序号;驻留分组过滤模块;取消动态路由功能;采用多个安全内核(这个只见有人提出,但未见到实例,对此不是很清楚)。以上诸多工作,其实基本上都没有对内核源码做太大改动,因此从个人角度来看算不上可以太夸大的地方。对于防火墙部分,国内大部分已经升级到2.4内核所支持的netfilter。netfilter已经是一个功能比较完善的防火墙框架,它已经支持基于状态的监测(通过connectiontrack模块实现)。而且netfilter是一个设计很合理的框架,可以在适当的位置上登记一些需要的处理函数,正式代码中已经登记了许多处理函数,如在NF_IP_FORWARD点上登记了装发的包过滤功能(包过滤等功能便是由这些正式登记的函数实现的)。我们也可以登记自己的处理函数,在功能上作扩展(如加入简单的IDS功能等等)。这一点是国内厂家可以做文章的地方,至于netfilter源码的修改,对国内厂家来说似乎不太现实。至于采用其它防火墙模型的,目前还没有看到(可能是netfilter已经设计的很成功,不需要我们再去做太多工作)。3.自我保护能力(安全性)由于防火墙的特殊功能和特殊位置,它自然是众多攻击者的目标,因此它的自我包括能力在设计过程中应该放在首要的位置。A.管理上的安全性防火墙需要一个管理界面,而管理过程如何设计的更安全,是一个很重要的问题。目前有两种方案。a.设置专门的服务端口为了减少管理上的风险和降低设计上的难度,有一些防火墙(如东方龙马)在防火墙上专门添加了一个服务端口,这个端口只是用来和管理主机连接。除了专用的服务口外,防火墙不接受来自任何其它端口的直接访问。这样做的显著特点就是降低了设计上的难度,由于管理通信是单独的通道,无论是内网主机、外网主机还是DMZ内主机都无法窃听到该通信,安全性显然很高,而且设计时也无需考虑通信过程加密的问题。然而这样做,我们需要单独设置一台管理主机,显然太过浪费,而且这样管理起来的灵活性也不好。b.通信过程加密这样无需一个专门的端口,内网任意一台主机都可以在适当的情况下成为管理主机,管理主机和防火墙之间采用加密的方式通信。目前国内有采用的是使用自定义协议、一次性口令认证。对加密这个领域了解不多,不做详细讨论。B.对来自外部(和内部)攻击的反应能力目前常见的来自外部的攻击方式主要有:a.DOS(DDOS)攻击(分布式)拒绝服务攻击是目前一种很普遍的攻击方式,在预防上也是非常困难的。目前防火墙对于这种攻击似乎没有太多的解决办法,主要是提高防火墙本身的健壮性(如增加缓冲区大小)。在Linux内核中有一个防止Synflooding攻击的选项:CONFIG_SYN_COOKIES,它是通过为每一个Syn建立一个缓冲(cookie)来分辨可信请求和不可信请求。另外对于ICMP攻击,可以通过关闭ICMP回应来实现。b.IP假冒(IPspoofing)IP假冒是指一个非法的主机假冒内部的主机地址,骗取服务器的“信任”,从而达到对网络的攻击目的。第一,防火墙设计上应该知道网络内外的IP地址分配,从而丢弃所有来自网络外部但却有内部地址的数据包。实际实现起来非常简单,只要在内核中打开rp_filter功能即可。第二,防火墙将内网的实际地址隐蔽起来,外网很难知道内部的IP地址,攻击难度加大。IP假冒主要来自外部,对内网无需考虑此问题(其实同时内网的IP假冒情况也可以得到遏制)。c.特洛伊木马防火墙本身预防木马比较简单,只要不让系统不能执行下载的程序即可。一个需要说明的地方是必须指出的是,防火墙能抗特洛伊木马的攻击并不意味着内网主机也能防止木马攻击。事实上,内网主机可能会透过防火墙下载执行携带木马的程序而感染。内网主机的在预防木马方面的安全性仍然需要主机自己解决(防火墙只能在内网主机感染木马以后起一定的防范作用)。d.口令字攻击口令字攻击既可能来自外部,也可能来自内部,主要是来自内部。(在管理主机与防火墙通过单独接口通信的情况下,口令字攻击是不存在的)来自外部的攻击即用穷举的办法猜测防火墙管理的口令字,这个很容易解决,只要不把管理部分提供给外部接口即可。内部的口令字攻击主要是穷举和嗅探,其中以嗅探危害最大。嗅探指监测网络截获管理主机给防火墙的口令字,如果口令字已加密,则解密得到口令字。目前一般采用一次性口令和禁止直接登录防火墙的措施来防止对口令字的攻击。e.邮件诈骗邮件诈骗是目前越来越突出的攻击方式。防火墙本身防止邮件诈骗非常简单,不接收任何邮件就可以了。然而象木马攻击一样,内网主机仍可收发邮件,邮件诈骗的危险仍然存在,其解决办法一个是内网主机本身采取措施防止邮件诈骗,另一个是在防火墙上做过滤。f.对抗防火墙(anti-firewall)目前一个网络安全中一个研究的热点就是对抗网络安全产品如防火墙。一种是分析防火墙功能和探测防火墙内部网络结构,典型的如Firewalk。另外有一些其他的网络安全性分析工具本身具有双刃性,这类工具用于攻击网络,也可能会很有效的探测到防火墙和内部网络的安全缺陷,典型的如SATAN和ISS公司的InternetSecurityScanner。目前对于这种探测(攻击)手段,尚无有效的预防措施,因为防火墙本身是一个被动的东西,它只能靠隐藏内部网络结构和提高自身的安全性来对抗这些攻击。C.透明代理的采用应用代理防火墙一般是通过设置不同用户的访问权限来实现,这样就需要有用户认证体系。以前的防火墙在访问方式上主要是要求用户登录进系统(如果采用sock代理的方式则需要修改客户应用)。透明代理的采用,可以降低系统登录固有的安全风险和出错概率,从而提高了防火墙的安全性。4.透明性防火墙的透明性指防火墙对于用户是透明的,在防火墙接入网络时,网络和用户无需做任何设置和改动,也根本意识不到防火墙的存在。防火墙作为一个实际存在的物理设备,要想放入已存在地网络中又不对网络有任何影响,就必须以网桥的方式置入网络。传统方式下,防火墙安装时,更象是一台路由器或者网关,原有网络拓扑结构往往需要改变,网络设备(包括主机和路由器)的设置(IP和网关、DNS、路由表等等)也需要改变。但如果防火墙采用了透明模式,即采用类似网桥的方式运行,用户将不必重新设定和修改路由,也不需要知道防火墙的位置,防火墙就可以直接安装和放置到网络中使用。透明模式最大的好处在于现有网络无需做任何改动,这就方便了很多客户,再者,从透明模式转换到非透明模式又很容易,适用性显然较广。当然,此时的防火墙仅仅起到一个防火墙的作用,其他网关位置的功能如NAT、VPN功能不再适用,当然,其他功能如透明代理还可以继续使用。目前透明模式的实现上可采用ARP代理和路由技术实现。此时防火墙相当于一个ARP代理的功能。内网(可以仍含有路由器或子网,依次类推)、防火墙、路由器的位置大致如下:内网―――――防火墙―――――路由器(需要说明的是,这种方式是绝大多数校园网级网络的实现方式)内网主机要想实现透明访问,必须能够透明的传送内网和路由器之间的ARP包,而此时由于事实上内网和路由器之间无法连通,防火墙就必须配置成一个ARP代理(ARPProxy)在内网主机和路由器之间传递ARP包。防火墙所要做的就是当路由器发送ARP广播包询问内网内的某一主机的硬件地址时,防火墙用和路由器相连接口的MAC地址回送ARP包;内网内某一主机发送ARP广播包询问路由器的硬件地址时,防火墙用和内网相连接口的MAC地址回送ARP包,因此路由器和内网主机都认为将数据包发给了对方,而实际上是发给了防火墙转发。显然,此时防火墙还必须实现路由转发,使内外网之间的数据包能够透明的转发。另外,防火墙要起到防火墙的作用,显然还需要把数据包上传给本身应用层处理(此时实现应用层代理、过滤等功能),此时需要端口转发来实现(?这个地方不是十分清楚,也没找到相关资料)。透明模式和非透明模式在网络拓扑结构上的最大区别就是:透明模式的两块网卡(与路由器相连的和与内网相连的)在一个网段(也和子网在同一个网段);而非透明模式的两块网卡分别属于两个网段(内网可能是内部不可路由地址,外网则是合法地址)。这个过程如下:1.用ARP代理实现路由器和子网的透明连接(网络层)2.用路由转发在IP层实现数据包传递(IP层)3.用端口重定向实现IP包上传到应用层(IP层)前边我们讨论过透明代理,和这里所说的防火墙的透明模式是两个概念。透明代理主要是为实现内网主机可以透明的访问外网,而无需考虑自己是不可路由地址还是可路由地址。内网主机在使用内部网络地址的情况下仍然可以使用透明代理,此时防火墙既起到网关的作用又起到代理服务器的作用(显然此时不是透明模式)。需要澄清的一点是,内外网地址的转换(即NAT,透明代理也是一种特殊的地址转换)和透明模式之间并没有必然的联系。透明模式下的防火墙能实现透明代理,非透明模式下的防火墙(此时它必然又是一个网关)也能实现透明代理。它们的共同点在于可以简化内网客户的设置而已。目前国内大多防火墙都实现了透明代理,但实现了透明模式的并不多。这些防火墙可以很明显的从其广告中看出来:如果哪个防火墙实现了透明模式,它的广告中肯定会和透明代理区分开而大书特书的。5.可靠性防火墙系统处于网络的关键部位,其可靠性显然非常重要。一个故障频频、可靠性很差的产品显然不可能让人放心,而且防火墙居于内外网交界的关键位置,一旦防火墙出现问题,整个内网的主机都将根本无法访问外网,这甚至比路由器故障(路由器的拓扑结构一般都是冗余设计)更让人无法承受。防火墙的可靠性也表现在两个方面:硬件和软件。国外成熟厂商的防火墙产品硬件方面的可靠性一般较高,采用专门硬件架构且不必多说,采用PC架构的其硬件也多是专门设计,系统各个部分从网络接口到存储设备(一般为电子硬盘)集成在一起(一块板子),这样自然提高了产品的可靠性。国内则明显参差不齐,大相径庭,大多直接使用PC架构,且多为工业PC,采用现成的网卡,DOC/DOM作为存储设备。工业PC虽然可靠性比普通PC要高不少,但是毕竟其仍然是拼凑式的,设备各部分分立,从可靠性的角度看显然不如集成的(著名的水桶原理)。国内已经有部分厂家意识到了这个问题,开始自行设计硬件。但大多数厂家还是从成本的角度考虑使用通用PC架构。另外一方面,软件可靠性的提高也是防火墙优劣的主要差别所在。而国内整个软件行业的可靠性体系还没有成熟,软件可靠性测试大多处于极其初级的水平(可靠性测试和bug测试完全是两个概念)。一方面是可靠性体系建立不起来,一方面是为了迎合用户的需求和跟随网络应用的不断发展,多数防火墙厂商一直处于不断的扩充和修改中,其可靠性更不能让人恭维。总的来说,如同国内大多数行业(除了少数如航天、航空)一样,网络安全产品特别是防火墙的可靠性似乎还没有引起人们的重视。6.市场定位市场上防火墙的售价极为悬殊,从数万元到数十万元,甚至到百万元不等。由于用户数量不同,用户安全要求不同,功能要求不同,因此防火墙的价格也不尽相同。厂商因而也有所区分,多数厂家还推出模块化产品,以符合各种不同用户的要求。总的说来,防火墙是以用户数量作为大的分界线。如checkpoint的一个报价:CheckPointFirewall-14.125user19000.00CheckPointFirewall-14.150user31000.00CheckPointFirewall-14.1100user51000.00CheckPointFirewall-14.1250user64000.00CheckPointFirewall-14.1无限用户131000.00从用户量上防火墙可以分为:a.10-25用户:这个区间主要用户为单一用户、家庭、小型办公室等小型网络环境。防火墙一般为10M(针对硬件防火墙而言),两网络接口,涵盖防火墙基本功能:包过滤、透明模式、网络地址转换、状态检测、管理、实时报警、日志。一般另有可选功能:VPN、带宽管理等等。这个区间的防火墙报价一般在万元以上2万元以下(没有VPN和带宽管理的价格更低)。据调查,这个区间的防火墙反而种类不多,也许是国内厂商不屑于这个市场的缘故?b.25-100用户这个区间用户主要为小型企业网。防火墙开始升级到100M,三或更多网络接口。VPN、带宽管理往往成为标准模块。这个区间的防火墙报价从3万到15万不等,根据功能价格有较大区别。相对来说,这个区间上硬件防火墙价格明显高于软件防火墙。目前国内防火墙绝大部分集中在这个区间中。c.100-数百用户这个区间主要为中型企业网,重要网站、ISP、ASP、数据中心等使用。这个区间的防火墙较多考虑高容量、高速度、低延迟、高可靠性以及防火墙本身的健壮性。并且开始支持双机热备份。这个区间的防火墙报价一般在20万以上。这样的中高端防火墙国内较少,有也是25-100用户的升级版,其可用性令人怀疑。d.数百用户以上这个区间是高端防火墙,主要用于校园网、大型IDC等等。我们接触较少,不多做讨论。当然其价格也很高端,从数十万到数百万不等。总的来说,防火墙的价格和用户数量、功能模块密切相关,在用户数量相同的情况下,功能越多,价格就越贵。如Netscreen的百兆防火墙:NetScreen-100f(ACPower)-带防火墙+流量控制等功能,交流电源,没有VPN功能报价在¥260,000而在此基础上增加了128位VPN功能的报价则高出5万元:¥317,5007.研发费用如同其他网络安全产品一样,防火墙的研发费用也是很高的。防火墙由于技术含量较高,人员技术储备要求较高,防火墙核心部分的研发必须要对操作系统有相当的熟悉,所需为UNIX系统下开发人员,而目前国内真正能拿的出手的UNIX程序员数量还是太少(远远少于Windows平台下开发人员),人员成本很高。总的来说,防火墙的研发是一个大项目,而且其前期定位一定要准确,该做什么、不该做什么,哪些功能得实现,哪些功能不必实现、哪些功能可以在后期实现,一定要清楚,否则费用会远远超出预计。下边对一个中小型企业级防火墙的研发费用作个简单的估计。研发时,防火墙可以细分为(当然在具体操作时往往需要再具体划分):内核模块防火墙模块(含状态检测模块)NAT模块带宽管理模块通信协议模块管理模块图形用户界面模块(或者Web界面模块)透明代理模块(实质属于NAT模块)透明模式模块(包括ARP代理子模块、路由转发子模块等)各应用代理模块(包括URL过滤模块)VPN模块流量统计与计费模块审计模块其他模块(如MAC、IP地址绑定模块、简单的IDS、自我保护等等)上边把防火墙划分为12个模块,其中每一个模块都有相当的工作量要做,除了弹性较大的内核模块和防火墙模块(它们的工作量可能异常的大,视设计目标不同),其他模块暂定10人周的话就需要120周(VPN的工作量也相当大),两个主模块各按20人周计算,防火墙实现总共需要150人周。加上前期10-15人周论证、定方案,后期20人周(保守数字)集成、测试,前后总共需要约210人周。按每人周1200元开发费用(折合工资5000月,但由于有运行费用、保险等费用摊分,个人工资应远低于这个数字),开发费用约需25万。显然,这个数字只是一个局外人估计的下限,实际的研发应该超出这个数字很多。8.可升级能力(适用性)和灵活性对用户来说,防火墙作为大成本投入的商品,势必要考虑到可升级性的问题,如果防火墙不能升级,那它的可用性和可选择余地势必要大打折扣。目前国内防火墙一般都是软件可升级的,这是因为大多数防火墙采用电子硬盘(少数采用磁盘),实现升级功能只要很小的工作量要做。但究竟升级些什么内容?升级周期多长一次?这就涉及到一个灵活性的问题。防火墙的灵活性主要体现在以下几点:a.易于升级b.支持大量协议c.易于管理(如纳入通用设备管理体系(支持SNMP)而不是单列出来)d.功能可扩展这里对功能可扩展做一简单讨论。一般情况下,防火墙在设计完成以后,其过滤规则都是定死的,用户可定制的余地很小。特别如URL过滤规则(对支持URL过滤的防火墙而言),当前网络中的漏洞是不断发现的,如最近很猖獗的codered攻击的就是Windows机器IIS服务器的ida漏洞,而我们如果能够及时定义过滤规则,对于“GET/default.ida”的请求及时过滤,那么内网主机(此时一般为DMZ内主机)的安全性就会高很多,内网管理人员也不必时时密切关注网络漏洞(这是个工作量很大,既耗费体力又容易出现遗漏的工作)。这样大部分工作留给防火墙厂家来做(相应需要有一个漏洞监测体系),用户肯定会满意很多。另外,灵活性一开始也往往不是前期设计所能设计的很完美的,它需要和用户具体实践相配合。另外灵活性也是和具体环境密切结合的,往往需要在不同的用户环境里考虑。如何构建网络整体安全方案整体的安全方案分成技术方案、服务方案以及支持方案三部分。一、技术解决方案安全产品是网络安全的基石,通过在网络中安装一定的安全设备,能够使得网络的结构更加清晰,安全性得到显著增强;同时能够有效降低安全管理的难度,提高安全管理的有效性。下面介绍在局域网中增加的安全设备的安装位置以及他们的作用。1、防火墙安装位置:局域网与路由器之间;WWW服务器与托管机房局域网之间;局域网防火墙作用:(1)实现单向访问,允许局域网用户访问INTERNET资源,但是严格限制INTERNET用户对局域网资源的访问;(2)通过防火墙,将整个局域网划分INTERNET,DMZ区,内网访问区这三个逻辑上分开的区域,有利于对整个网络进行管理;(3)局域网所有工作站和服务器处于防火墙地整体防护之下,只要通过防火墙设置的修改,就能有限绝大部分防止来自INTERNET上的攻击,网络管理员只需要关注DMZ区对外提供服务的相关应用的安全漏洞;(4)通过防火墙的过滤规则,实现端口级控制,限制局域网用户对INTERNET的访问;(5)进行流量控制,确保重要业务对流量的要求;(6)通过过滤规则,以时间为控制要素,限制大流量网络应用在上班时间的使用。托管机房防火墙的作用:(7)通过防火墙的过滤规则,限制INTERNET用户对WWW服务器的访问,将访问权限控制在最小的限度,在这种情况下,网络管理员可以忽略服务器系统的安全漏洞,只需要关注WWW应用服务软件的安全漏洞;(8)通过过滤规则,对远程更新的时间、来源(通过IP地址)进行限制。2、入侵检测安装位置:局域网DMZ区以及托管机房服务器区;IDS的作用:(1)作为旁路设备,监控网络中的信息,统计并记录网络中的异常主机以及异常连接;(2)中断异常连接;(3)通过联动机制,向防火墙发送指令,在限定的时间内对特定的IP地址实施封堵。3、网络防病毒软件控制中心以及客户端软件安装位置:局域网防病毒服务器以及各个终端防病毒服务器作用:(1)作为防病毒软件的控制中心,及时通过INTERNET更新病毒库,并强制局域网中已开机的终端及时更新病毒库软件;(2)记录各个终端的病毒库升级情况;(3)记录局域网中计算机病毒出现的时间、类型以及后续处理措施。防病毒客户端软件的作用:(4)对本机的内存、文件的读写进行监控,根据预定的处理方法处理带毒文件;(5)监控邮件收发软件,根据预定处理方法处理带毒邮件;4、邮件防病毒服务器安装位置:邮件服务器与防火墙之间邮件防病毒软件:对来自INTERNTE的电子邮件进行检测,根据预先设定的处理方法处理带毒邮件。邮件防病毒软件的监控范围包括所有来自INTERNET的电子邮件以及所属附件(对于压缩文件同样也进行检测)5、反垃圾邮件系统安装位置:同邮件防病毒软件,如果软硬件条件允许的话,建议安装在同一台服务器上。反垃圾邮件系统作用:(1)拒绝转发来自INTERNET的垃圾邮件;(2)拒绝转发来自局域网用户的垃圾邮件并将发垃圾邮件的局域网用户的IP地址通过电子邮件等方式通报网管;(3)记录发垃圾邮件的终端地址;(4)通过电子邮件等方式通知网管垃圾邮件的处理情况。6、动态口令认证系统安装位置:服务器端安装在WWW服务器(以及其他需要进行口令加强的敏感服务器),客户端配置给网页更新人员(或者服务器授权访问用户);动态口令认证系统的作用:通过定期修改密码,确保密码的不可猜测性。7、网络管理软件安装位置:局域网中。网络管理软件的作用:(1)收集局域网中所有资源的硬件信息;(2)收集局域网中所有终端和服务器的操作系统、系统补丁等软件信息;(3)收集交换机等网络设备的工作状况等信息;(4)判断局域网用户是否使用了MODEM等非法网络设备与INTERNET连接;(5)显示实时网络连接情况;(6)如果交换机等核心网络设备出现异常,及时向网管中心报警;8、QOS流量管理安装位置:如果是专门的产品安装在路由器和防火墙之间;部分防火墙本身就有QOS带宽管理模块。QOS流量管理的作用:(1)通过IP地址,为重要用户分配足够的带宽;(2)通过端口,为重要的应用分配足够的带宽资源;(3)限制非业务流量的带宽;(4)在资源闲置时期,允许其他人员使用资源,一旦重要用户或者重要应用需要使用带宽,则确保它们能够至少使用分配给他们的带宽资源。9、重要终端个人防护软件安装位置:重要终端个人防护软件的作用:(1)保护个人终端不受攻击;(2)不允许任何主机(包括局域网主机)非授权访问重要终端资源;(3)防止局域网感染病毒主机通过攻击的方式感染重要终端。10、页面防篡改系统安装位置:WWW服务器页面防篡改系统的作用:(1)定期比对发布页面文件与备份文件,一旦发现不匹配,用备份文件替换发布文件;(2)通过特殊的认证机制,允许授权用户修改页面文件;(3)能够对数据库文件进行比对。二、安全服务解决方案在安全服务方案中,采用不同的安全服务,定期对网络进行检测、改进,以达到动态增进网络安全性,最大限度发挥安全设备作用的目的。安全服务分为以下几类:1、网络拓扑分析服务对象:整个网络服务周期:半年一次服务内容:(1)根据网络的实际情况,绘制网络拓扑图;(2)分析网络中存在的安全缺陷并提出整改建议意见。服务作用:针对网络的整体情况,进行总体、框架性分析。一方面,通过网络拓扑分析,能够形成网络整体拓扑图,为网络规划、网络日常管理等管理行为提供必要的技术资料;另一方面,通过整体的安全性分析,能够找出网络设计上的安全缺陷,找到各种网络设备在协同工作中可能产生的安全问题。2、中心机房管理制度制订以及修改服务对象:中心机房服务周期:半年一次服务内容:协助用户制订并修改机房管理制度。制度内容涉及人员进出机房的登记制度、设备进出机房的登记制度、设备配置修改的登记制度等。服务作用:严格控制中心机房的人员进出、设备进出并及时登记设备的配置更新情况,有助于网络核心设备的监控,确保网络的正常运行。3、操作系统补丁升级服务对象:服务器、工作站、终端服务周期:不定期服务内容:(1)一旦出现重大安全补丁,及时更新所有相关系统;(2)出现大型补丁(如微软的SP),及时更新所有相关系统;服务作用:通过及时、有效的补丁升级,能够有效防止局域网主机和服务器相互之间的攻击,降低现代网络蠕虫病毒对网络的整体影响,增加网络带宽的有效利用率。4、防病毒软件病毒库定期升级服务对象:防病毒服务器、安装防病毒客户端的终端服务周期:每周一次服务内容:(1)防病毒服务器通过INTERNET更新病毒库;(2)防病毒服务器强制所有在线客户端更新病毒库;服务作用:通过不断升级病毒库确保防病毒软件能够及时发现新的病毒。5、服务器定期扫描、加固服务对象:服务器服务周期:半年一次服务内容:使用专用的扫描工具,在用户网络管理人员的配合,对主要的服务器进行扫描。服务作用:(1)找出对应服务器操作系统中存在的系统漏洞;(2)找出服务器对应应用服务中存在的系统漏洞;(3)找出安全强度较低的用户名和用户密码。6、防火墙日志备份、分析服务对象:防火墙设备服务周期:一周一次服务内容:导出防火墙日志并进行分析。服务作用:通过流量简图找出流量异常的时间段,通过检查流量较大的主机,找出局域网中的异常主机。7、入侵检测等安全设备日志备份服务对象:入侵检测等安全设备服务周期:一周一次服务内容:备份安全设备日志。服务作用:防止日志过大导致检索、分析的难度,另一方面也有利于事后的检查。8、服务器日志备份服务对象:主要服务器(如WWW服务器、文件服务器等)服务周期:一周一次服务内容:备份服务器访问日志服务作用:防止日志过大导致检索、分析的难度,另一方面也有利于事后的检查。9、白客渗透服务对象:对INTERBET提供服务的服务器服务周期:半年一次服务内容:服务商在用户指定的时间段内,通过INTERNET,使用各种工具在不破坏应用的前提下攻击服务器,最终提供检测报告。服务作用:先于黑客进行探测性攻击以检测系统漏洞。根据最终检测报告进一步增强系统的安全性10、设备备份系统服务对象:骨干交换机、路由器等网络骨干设备服务周期:实时服务内容:根据用户的网络情况,提供骨干交换机、路由器等核心网络设备的备份。备份设备可以在段时间内替代网络中实际使用的设备。服务作用:一旦核心设备出现故障,使用备件替换以减少网络故障时间。11、信息备份系统服务对象:所有重要信息服务周期:根据网络情况定完全备份和增量备份的时间服务内容:定期备份电子信息服务作用:防止核心服务器崩溃导致网络应用瘫痪。12、定期总体安全分析报告服务对象:整个网络服务周期:半年一次服务内容:综合网络拓扑报告、各种安全设备日志、服务器日志等信息,对网络进行总体安全综合性分析,分析内容包括网络安全现状、网络安全隐患分析,并提出改进建议意见。服务作用:提供综合性、全面的安全报告,针对全网络进行安全性讨论,为全面提高网络的安全性提供技术资料。以上是服务解决方案,众所周知,安全产品一般是共性的产品,通过安全服务,能够配制出适合本网络的安全设备,使得安全产品在特定的网络中发挥最大的效能,使得各种设备协同工作,增强网络的安全性和可用性。当然,在网络中,不安全是绝对的,即使采取种种措施,网络也可能遭到应用某种原因无法正常运作,这时候,就需要有及时有效的技术支持,使得网络在尽可能短的时间内恢复正常。下面将提出技术支持解决方案。三、技术支持解决方案技术支持是整个安全方案的重要补充。其主要作用是在用户网络发生重要安全事件后,通过及时、高效的安全服务,达到尽快恢复网络应用的目的。技术支持主要包括以下几方面:1、故障排除支持范围:(1)用户无法访问网络(如局域网用户无法访问INTERNET);(2)应用服务无法访问(如不能对外提供WWW服务);(3)网络访问异常(如访问速度慢)。作用:一旦网络出现异常,为用户提供及时、有效的网络服务。在最短的时间内恢复网络应用。2、灾难恢复支持范围:设备遇到物理损害网络网络应用异常。作用:通过备品备件,快速恢复网络硬件环境;通过备份文件的复原,尽快恢复网络的电子资源;由此可在最短的时间内恢复整个网络应用。3、查找攻击源支持范围:网络管理员发现网络遭到攻击,并需要确定攻击来源。作用:通过日志文件等信息,确定攻击的来源,为进一步采取措施提供依据。4、实时检索日志文件支持范围:遭到实时的攻击(如DOS,SYNFLOODING等),需要及时了解攻击源以及攻击强度。作用:通过实时检索日志文件,可以当时存在的针对本网络的攻击并查找出攻击源。如果攻击强度超出网络能够承受的范围,可采取进一步措施进行防范。5、即时查杀病毒支持范围:由不可确定的因素导致网络中出现计算机病毒。作用:即使网络中出现病毒,通过及时有效的技术支持,在最短的时间内查处感染病毒的主机并即时查杀病毒,恢复网络应用。6、即时网络监控支持范围:网络出现异常,但应用基本正常。作用:通过网络监控,近可能发现网络中存在的前期网络故障,在故障扩大化以前及时进行防治。以上是技术支持解决方案,技术支持是安全服务的重要补充部分,即使在完善的安全体系下,也存在不可预测的因素导致网络故障,此时,需要及时、有效的技术支持服务,在尽可能短的时间内恢复网络的正常运行。综上所述,局域网的安全由三大部分组成,涵盖设备、技术、制度、管理、服务等各个部分。四、分布实施建议意见网络安全涉及面相当广,同时进行建设的可行性较差,因此,建议按照以下方式进行分阶段实施。1、第一阶段(1)技术方面,采用防火墙、网络防病毒软件、页面防篡改系统来建立一个结构上较完善的网络系统。(2)服务方面,进行网络拓扑分析、建立中心机房管理制度、建立操作系统以及防病毒软件定期升级机制、对重要服务器的访问日志进行备份,通过这些服务,增强网络的抗干扰性。(3)支持方面,要求服务商提供故障排除服务,以提高网络的可靠性,降低网络故障对网络的整体影响。2、第二阶段在第一阶段安全建设的基础上,进一步增加网络安全设备,采纳新的安全服务和技术支持来增强网络的可用性。(1)技术方面,采用入侵检测、邮件防病毒软件、动态口令认证系统、并在重要客户端安装个人版防护软件。(2)服务方面,对服务器进行定期扫描与加固、对防火墙日志进行备份与分析、对入侵检测设备的日志进行备份、建立设备备份系统以及文件备份系统。(3)支持方面,要求服务商提供灾难恢复、实时日志检索、实时查杀病毒、实时网络监控等技术支持。3、第三阶段在这一阶段,采取的措施以进一步提高网络效率为主。(1)技术方面,采用反垃圾邮件系统、网络管理软件、QOS流量管理软件。(2)服务方面,采用白客渗透测试,要求服务商定期提供整体安全分析报告。(3)支持方面,要求能够实时或者时候查找攻击源。以上针对用户网络分别从三个方面提出了安全解决方案,并按照实施的紧迫性分成三个阶段来实现,但是实际针对某个用户,对于安全的要求可能各不相同,具体网络情况也可能有很大的差异,因此建议用户根据实际情况建立网络安全建设的时间表。另外,随着新技术、新产品的不断涌现,网络技术的不断发展,对于网络安全的要求不断提高,在实际实施过程中采取的措施完全可能超越本文中提及的产品、服务、支持,这也是安全建设的最基本原则:不断改进,不断增强,安全无止境。四台Cisco防火墙实现VPN网络其实四台Cisco防火墙的VPN同两台防火墙做VPN没什么大的区别,只是一定要注意路由的配置;在四台Ciscopix做VPN中,有两种方式,一种是采用一个中心的方式,另一种就是分散式的,前者,也就是说以一个PIX点为中心,其它的机器都连到本机上,在通过本机做路由;后者,则是在每一个路由上都要写出到另外三台的加密方式,这里采用的就是第一种类型;以下,是施工图以及四个Ciscopix的详细配置:详细配置如下:中心pix1::Saved:Writtenbyenable_15at23:10:31.763UTCThuApr242003PIXVersion6.2(2)nameifethernet0outsideifethernet1insidesecurity100enablepasswordNHvIO9dsDwOK8b/kencryptedpasswdNHvIO9dsDwOK8b/kencryptedhostnamepixfirewallfixupprotocolftp21fixupprotocolhttp80fixupprotocolh323h2251720fixupprotocolh323ras1718-1719fixupprotocolils389fixupprotocolrsh514fixupprotocolrtsp554fixupprotocolsmtp25fixupprotocolsqlnet1521fixupprotocolsip5060fixupprotocolskinny2000namesaccess-list101permitipaccess-list101permitipaccess-list101permitipaccess-list101permitipaccess-list101permitipaccess-list101permitipaccess-listhyzcpermiticmpanyanyaccess-listhyzcpermittcpanyanyaccess-listhyzcpermitudpanyanypagerlines24interfaceethernet0erfaceethernet1automtuoutside1500mtuinside1500ipaddressoutside40ipaddressinsideipauditinfoactionalarmipauditattackactionalarmpdmhistoryenablearptimeout14400nat(outside)100nat(inside)100access-grouphyzcininterfaceoutsiderouteoutside91routeinside01routeoutside1routeoutside1routeoutside1routeoutside21routeoutside491routeoutside005291timeoutxlate3:00:00timeoutconn1:00:00half-closed0:10:00udp0:02:00rpc0:10:00h3230:05:00sip0:30:00sip_media0:02:00timeoutuauth0:05:00absoluteaaa-serverTACACS+protocoltacacs+aaa-serverRADIUSprotocolradiusaaa-serverLOCALprotocollocalnosnmp-serverlocationnosnmp-servercontactsnmp-servercommunitypublicnosnmp-serverenabletrapsfloodguardenablesysoptconnectionpermit-ipsecnosysoptroutednatcryptoipsectransform-setstrongesp-desesp-sha-hmaccryptomaptohyjt20ipsec-isakmpcryptomaptohyjt20matchaddress101cryptomaptohyjt20setpeercryptomaptohyjt20setpeercryptomaptohyjt20setpeercryptomaptohyjt20settransform-setstrongcryptomaptohyjtinterfaceoutsideisakmpenableoutsideisakmpkeyciscoaddressnetmask55isakmpkeyciscoaddressnetmask55isakmpkeyciscoaddressnetmask55isakmpidentityaddressisakmppolicy9authenticationpre-shareisakmppolicy9encryptiondesisakmppolicy9hashshaisakmppolicy9group1isakmppolicy9lifetime86400telnet955insidetelnet055insidetelnettimeout5sshtimeout5terminalwidth80Cryptochecksum:8982919a8bfa10ba09cddee3f2da0e6a:endpix2配置::Saved:Writtenbyenable_15at00:00:48.042UTCFriApr252003PIXVersion6.2(2)nameifethernet0outsideifethernet1insidesecurity100enablepasswordN.swjdczcTdUzgrSencryptedpasswdN.swjdczcTdUzgrSencryptedhostnameHYZCrcfixupprotocolftp21fixupprotocolhttp80fixupprotocolh323h2251720fixupprotocolh323ras1718-1719fixupprotocolils389fixupprotocolrsh514fixupprotocolrtsp554fixupprotocolsmtp25fixupprotocolsqlnet1521fixupprotocolsip5060fixupprotocolskinny2000namesaccess-list101permitipaccess-list101permitipaccess-listhyzcpermiticmpanyanyaccess-listhyzcpermittcpanyanyaccess-listhyzcpermitudpanyanypagerlines24interfaceethernet0erfaceethernet1automtuoutside1500mtuinside1500ipaddressoutside52ipaddressinside54ipauditinfoactionalarmipauditattackactionalarmpdmhistoryenablearptimeout14400nat(outside)100nat(inside)0access-list101nat(inside)100routeoutside1timeoutxlate3:00:00timeoutconn1:00:00half-closed0:10:00udp0:02:00rpc0:10:00h3230:05:00sip0:30:00sip_media0:02:00timeoutuauth0:05:00absoluteaaa-serverTACACS+protocoltacacs+aaa-serverRADIUSprotocolradiusaaa-serverLOCALprotocollocalnosnmp-serverlocationnosnmp-servercontactsnmp-servercommunitypublicnosnmp-serverenabletrapsfloodguardenablesysoptconnectionpermit-ipsecnosysoptroutednatcryptoipsectransform-setstrongesp-desesp-sha-hmaccryptomaptohyzc20ipsec-isakmpcryptomaptohyzc20matchaddress101cryptomaptohyzc20setpeercryptomaptohyzc20settransform-setstrongcryptomaptohyzcinterfaceoutsideisakmpenableoutsideisakmpkeyciscoaddressnetmask55isakmpidentityaddressisakmppolicy9authenticationpre-shareisakmppolicy9encryptiondesisakmppolicy9hashshaisakmppolicy9group1isakmppolicy9lifetime86400telnet5355insidetelnettimeout5sshtimeout5terminalwidth80Cryptochecksum:f63109daf8abcaf74a4f3b30ab01b:endpix3配置::Saved:PIXVersion6.0(1)nameifethernet0outsideifethernet1insidesecurity100enablepasswordX8QPBTnOSyX6X9Y9encryptedpasswdX8QPBTnOSyX6X9Y9encryptedhostnamepixfirewallfixupprotocolftp21fixupprotocolhttp80fixupprotocolh3231720fixupprotocolrsh514fixupprotocolsmtp25fixupprotocolsqlnet1521fixupprotocolsip5060企业级防火墙选购热点防火墙是主要的网络安全设备,一个配置良好的防火墙,能够有效地防止外来的入侵,控制进出网络的信息流向和信息包,提供使用和流量的日志和审计,隐藏内部IP地址及网络结构的细节,以及提供VPN功能等等。对于企业网络而言,一个没有配备防火墙的网络无异于“开门揖盗”,安全性无从谈起。那么,如何选择合适的防火墙呢?本文从技术角度出发,谈谈企业级防火墙的选购要点。
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 工程四新技术应用
- 18杭州亚运会猴脸识别技术天才女孩加入门萨
- 基金公司阳台整修合同
- 道 法共建美好集体 课件-2024-2025学年统编版道德与法治七年级上册
- OracleExadata数据库云平台X6-2(PDF)
- 2023-2024学年全国小学三年级下数学仁爱版期末考试试卷(含答案解析)
- 2024年湛江驾驶员货运从业资格证考试题
- 2024年银川小型客运从业资格证考试真题保过
- 2024年常州小型客运从业资格证理论考题
- 2024年河北客运驾驶员考试题库及答案选择题及解析
- 民用建筑电气设计课件
- 人事档案整理讲义课件
- SY∕T 7338-2016 石油天然气钻井工程 套管螺纹连接气密封现场检测作业规程
- 自考《人员素质测评理论与方法》【06090】考试参考题库(含答案)
- 静脉治疗管理规范
- 巧克力包装机设计-课程设计
- 小学北师大版四年级上册数学教学课件 加法结合律
- 空调维保质量保障体系及措施方案
- DB37-T 4149-2020 水质 UV254的测定 紫外分光光度法
- 高中化学竞赛辅导课件:酸碱平衡
- 电力管道、电力井施工方案
评论
0/150
提交评论