《網(wǎng)絡(luò)安全方案分析》PPT課件.ppt

典型網(wǎng)絡(luò)安全方案設(shè)計,本項目主要從當(dāng)前網(wǎng)絡(luò)安全的狀況做出安全需求分析，并結(jié)合網(wǎng)絡(luò)安全的評價標(biāo)準(zhǔn)以及網(wǎng)絡(luò)安全防御體系的一般結(jié)構(gòu)來制定相關(guān)網(wǎng)絡(luò)（如校園網(wǎng)、企業(yè)網(wǎng)、政府網(wǎng)等）的安全方案規(guī)劃。最后，對后續(xù)的網(wǎng)絡(luò)安全實驗進(jìn)行設(shè)計并建立一個虛擬的實驗環(huán)境。,校園網(wǎng)絡(luò)安全方案設(shè)計,校園網(wǎng)安全現(xiàn)狀 目前，校園網(wǎng)在學(xué)校的辦公系統(tǒng)中起著重要作用，合理的使用不僅能促進(jìn)各院校的現(xiàn)代化教學(xué)改革、提高教學(xué)質(zhì)量、改善教學(xué)環(huán)境，還將會極大的提高教育行業(yè)整體的工作效率和教育質(zhì)量，而前提就是校園網(wǎng)必須是穩(wěn)定的、安全的和可靠的。因此，校園網(wǎng)安全方案的設(shè)計尤為重要。,校園網(wǎng)安全需求分析 校園網(wǎng)總體上分為校園內(nèi)網(wǎng)和校園外網(wǎng)。校園內(nèi)網(wǎng)主要包括教學(xué)局域網(wǎng)、圖書館局域網(wǎng)、辦公自動化局域網(wǎng)等。校園外網(wǎng)主要指學(xué)校提供對外服務(wù)的服務(wù)器群、與CERNET的接入以及遠(yuǎn)程移動辦公用戶的接入等。但具體還要根據(jù)不同校園網(wǎng)的實際情況來做簡要分析。一般情況下，校園網(wǎng)安全主要可以從以下5個方面進(jìn)行分析： （1）物理安全。是指保護(hù)校園網(wǎng)內(nèi)計算機設(shè)備、網(wǎng)絡(luò)設(shè)備及通信線路，使其免遭自然災(zāi)害及其它環(huán)境事故（如電磁污染）的破壞。 （2）網(wǎng)絡(luò)安全。是指校園網(wǎng)安全建設(shè)的基礎(chǔ)，完善的網(wǎng)絡(luò)安全防御措施可以解決大多數(shù)的校園網(wǎng)安全問題，包括基礎(chǔ)網(wǎng)絡(luò)安全、邊界防護(hù)、遠(yuǎn)程接入和全局安全。 （3）主機安全。校園網(wǎng)內(nèi)，主機的安全問題最為常見，也是其他安全問題源頭，主機安全涉及到統(tǒng)一身份認(rèn)證，主機安全防護(hù)體系。通過校園網(wǎng)統(tǒng)一身份認(rèn)證和校園網(wǎng)主機安全防護(hù)體系來全面實現(xiàn)校園網(wǎng)的主機安全目標(biāo)。 （4）應(yīng)用安全。校園網(wǎng)的應(yīng)用安全是最為復(fù)雜的部分，涵蓋的內(nèi)容涉及到了業(yè)務(wù)應(yīng)用的各個層面。 （5）數(shù)據(jù)安全。數(shù)據(jù)是當(dāng)前高校信息化建設(shè)中最寶貴的資源，其重要性已經(jīng)得到越來越高的重視。校園網(wǎng)的安全建設(shè)中，數(shù)據(jù)安全是一個不可忽視的方面。數(shù)據(jù)的遺失或損壞對于學(xué)校而言，其后果不可想象。,校園網(wǎng)安全功能設(shè)計 1. 設(shè)計原則 為了建設(shè)全方面的、完整的校園網(wǎng)絡(luò)安全體系結(jié)構(gòu)，綜合考慮可實施性、可管理性、可擴展性、綜合完備性和系統(tǒng)均衡性等方面，網(wǎng)絡(luò)安全防御體系在整體設(shè)計過程中應(yīng)遵循以下5項原則： （1）保密性：防止信息泄露給非授權(quán)用戶的特性。達(dá)到保密性可選擇VLAN的劃分，并能在VLAN之間進(jìn)行第三層交換時進(jìn)行有效的安全控制，以保證系統(tǒng)的安全性； （2）完整性：防止信息在存儲或傳輸過程中被修改、破壞和丟失的特性。達(dá)到完整性采用VPN技術(shù)，用它的專用通道進(jìn)行通信保證了信息的完整性； （3）可用性：就是易于操作、維護(hù)，并便于自動化管理。達(dá)到可用性可以利用圖形化的管理界面和簡潔的操作方式，合理地網(wǎng)絡(luò)規(guī)劃策略，提供強大的網(wǎng)絡(luò)管理功能，使日常的維護(hù)和操作變得直觀，便捷和高效； （4）可控性：就是對信息的傳播及內(nèi)容具有控制能力。達(dá)到可控性對于網(wǎng)絡(luò)管理來說，要求采用智能化網(wǎng)絡(luò)管理軟件，并支持虛擬網(wǎng)絡(luò)功能，對網(wǎng)絡(luò)用戶具有分類控制功能，從而來實現(xiàn)對網(wǎng)絡(luò)的自動監(jiān)測和控制； （5）擴展性：就是便于系統(tǒng)及系統(tǒng)功能的擴展。達(dá)到擴展性對選擇的網(wǎng)絡(luò)設(shè)備最好是模塊化的，便于網(wǎng)絡(luò)的擴大和更改，其中核心交換機應(yīng)具有多種模塊類型，以滿足各種網(wǎng)絡(luò)類型的接入，所選擇的設(shè)備都應(yīng)具有良好的軟件再升級能力。,。,3. 功能模塊及設(shè)備需求分析 1）主要功能模塊 （1）交換機安全模塊主要實現(xiàn)的功能：IP與MAC的綁定、VLAN的劃分、端口的安全和訪問控制列表（ACL）； （2）防火墻模塊：包過濾、地址轉(zhuǎn)換（NAT）； （3）VPN模塊：建立專用通道IPSEC VPN 和SSL VPN； （4）DMZ區(qū)域模塊：IDS與防火墻的聯(lián)動。,2）設(shè)備需求 方案主要設(shè)備如表11-3所示。 （1）三層交換機的主要功能包括：高背板帶寬為所有的端口提供非阻塞性能、靈活完備的安全控制策略、強大的多應(yīng)用支持能力和完善的QoS策略等。 （2）防火墻的主要功能包括：擴展的狀態(tài)檢測功能、防范入侵及其它（如URL過濾、HTTP透明代理、SMTP代理、分離DNS、NAT功能和審計/報告等）附加功能。 （3）入侵檢測系統(tǒng)主要功能包括：能夠阻止來自外部或內(nèi)部的蠕蟲、病毒和攻擊帶來的安全威脅，確保企業(yè)信息資產(chǎn)的安全，能夠檢測各種IM即時通訊軟件、P2P下載等網(wǎng)絡(luò)資源濫用行為，保證重要業(yè)務(wù)的正常運轉(zhuǎn)，能夠高效、全面的事件統(tǒng)計分析；能迅速定位網(wǎng)絡(luò)故障，提高網(wǎng)絡(luò)穩(wěn)定運行時間。 （4）VPN的主要功能包括：嚴(yán)格的身份認(rèn)證、權(quán)限管理、細(xì)粒度控制、傳輸加密和終端安全檢查等機制保障移動用戶SSL安全接入可實現(xiàn)用戶身份和PC硬件信息的對應(yīng)；通過人機捆綁可以為遠(yuǎn)程用戶分配內(nèi)部IP地址；真正實現(xiàn)遠(yuǎn)程局域網(wǎng)可以為遠(yuǎn)程移動用戶分配內(nèi)部服務(wù)器地址；真正實現(xiàn)移動辦公通過證書管理器為用戶生成證書、私鑰，可通過郵件通知用戶自己到證書管理器上下載軟件安裝包和配置文件，用戶只需在本地安裝就可實現(xiàn)快速部署。,校園網(wǎng)安全模塊詳細(xì)設(shè)計 1. 交換模塊安全設(shè)計與實施 為了更加安全，減小廣播風(fēng)暴，VLAN技術(shù)在網(wǎng)絡(luò)中得到大量應(yīng)用，但同時網(wǎng)絡(luò)訪問站點也不斷增加，而路由器的接口數(shù)目有限，二層交換機又不具備路由功能。基于這種情況，三層交換機便應(yīng)運而生，三層交換機彌補了路由器和二層交換機在某些方面的不足，它可以通過VLAN劃分、配置ACL、IP地址與MAC地址的綁定以及arp-check防護(hù)等功能來提升網(wǎng)絡(luò)中數(shù)據(jù)的安全性，如圖11-2所示。,（1）VLAN劃分方案 VLAN劃分的方案圖如圖11-3所示，說明如下： （1）高校的學(xué)生通過網(wǎng)絡(luò)交換的信息量日益增大，特別是一個班的同學(xué)，但住在一個寢室的同學(xué)不一定就是一個班的，所以將一個班的同學(xué)劃為同一個VLAN便于信息的傳遞。一個班同學(xué)的寢室劃為同一個VLAN，再將一棟宿舍樓劃為一個大VLAN； （2）每個老師的計算機里可能有一些重要的科研資料，從安全性考慮，不能將所有老師的寢室劃為同一個網(wǎng)，即將每個老師的寢室劃為一個VLAN，并且學(xué)生宿舍和教師宿舍不能互相訪問； （3）將教學(xué)樓的所有教室劃為一個VLAN； （4）為了方便同學(xué)和老師做一些教學(xué)實驗，實驗室會進(jìn)行一些專項課題研究，將一個實驗室劃分在同一個VLAN的做法安全性更高。因此，可以將實驗樓劃為一個大VLAN，再將每個實驗室劃為一個小VLAN； （5）為了方便每個部門管理，可以根據(jù)每個的不同性質(zhì)，將辦公樓劃為一個大VLAN，再將每個部門劃為一個小VLAN； （6）劃分方法采用基于端口的劃分。高校學(xué)生的流動性大（如新生的入學(xué)，畢業(yè)生離校等）會導(dǎo)致的學(xué)生的人數(shù)和班級的變動?；诙丝诘膭澐?，相對來說容易設(shè)置和監(jiān)控，只需要將端口配置的VLAN重新分配。,2）訪問控制列表 ACL（Access Control List）是一項在路由器和三層交換機上實現(xiàn)的包過濾技術(shù)，通過讀取第三和第四層的包頭部信息（如源地址、目的地址、源端口、目的端口等），并根據(jù)預(yù)先定義好的規(guī)則來對數(shù)據(jù)包進(jìn)行過濾，從而達(dá)到訪問控制的目的。 本方案中，主要在S3760三層交換機上配置ACL規(guī)則，可以限制各個VLAN之間的訪問，如，阻止教學(xué)樓1臺IP地址為的源主機通過fa 0/1，放行其他的通訊流量通過端口，并阻止主機執(zhí)行Telnet命令。 S3760#configure terminal Enter configuration commands, one per line. End with CNTL/Z. S3760(config)#access-list 1 deny S3760(config)#access-list 1 permit any S3760(config)#interface fa 0/1 S3760(config-if)#ip access-group 1 in S3760(config)#access-list 100 deny tcp any eq 23 S3760(config)#access-list 100 permit ip any any S3760(config)#interface fa 0/1 S3760(config-if)#ip access-group 100 in,3）IP與MAC地址綁定 目前在使用靜態(tài)IP地址的局域網(wǎng)管理中經(jīng)常碰到IP地址被盜用或者用戶自行修改地址導(dǎo)致IP地址管理混亂，而且ARP病毒和利用ARP協(xié)議進(jìn)行欺騙的網(wǎng)絡(luò)問題也日漸嚴(yán)重，在防范過程中除了通過VLAN的劃分來抑制問題的擴散之外，還需要將IP地址與MAC地址進(jìn)行綁定來配合達(dá)到更有效的防范。 在其核心交換機RG-S3760用address-bind命令手動進(jìn)行一些特殊IP與MAC地址的綁定使其對應(yīng)的主機不能隨便地更改IP地址或者M(jìn)AC地址，另外在網(wǎng)絡(luò)中設(shè)一臺DHCP服務(wù)器，所有主機都通過DHCP自動獲得IP地址，在這個過程中，RG-S3760開啟DHCP snooping功能以及ARP-check防護(hù)功能，交換機會自動偵聽DHCP分配地址的過程，將其中有用的IP+MAC地址信息記錄下來，自動綁定到相應(yīng)的端口上，減少大量的手工配置。 例如在S3760上的fa0/1端口上開啟DHCP snooping功能、ARP-check防護(hù)功能、端口安全功能以及動態(tài)地綁定命令如下。 S3760#configure terminal Enter configuration commands, one per line. End with CNTL/Z. S3760(config)#ip dhcp snooping S3760(config)#interface fa0/1 S3760(config-if)#switchport port-security arp-check S3760(config-if)#switchport port-security S3760(config-if)#ip dhcp snooping address-bind S3760(config-if)#exit S3760(config)#exit,2. VPN模塊安全設(shè)計與實施 校園網(wǎng)VPN可以通過公眾IP網(wǎng)絡(luò)建立私有數(shù)據(jù)傳輸通道，將遠(yuǎn)程或分校的分支辦公室、合作伙伴、移動辦公人員等連接起來，減輕校園網(wǎng)的遠(yuǎn)程訪問費用負(fù)擔(dān)，節(jié)省電話費用開支，不過對于端到端的安全數(shù)據(jù)通訊，還需要根據(jù)實際情況采取不同的架構(gòu)。IPSec VPN和SSL VPN是目前校園網(wǎng)VPN方案采用最為廣泛的安全技術(shù)，但它們之間有很大的區(qū)別，從VPN技術(shù)架構(gòu)來看，IPSec VPN是比較理想的校園網(wǎng)接入方案，由于它工作在網(wǎng)絡(luò)層，可以對終端站點間所有傳輸數(shù)據(jù)進(jìn)行保護(hù)，可以實現(xiàn)Internet多專用網(wǎng)安全連接，而不管是哪類網(wǎng)絡(luò)應(yīng)用。IPSec VPN還要求在遠(yuǎn)程接入客戶端適當(dāng)安裝和配置IPSec客戶端軟件和接入設(shè)備，這大大提高了網(wǎng)絡(luò)的安全級別。 本方案采用IPSec VPN。由于IPSec VPN在IP層提供訪問控制、無連接的完整性、數(shù)據(jù)來源驗證、防重放保護(hù)、加密以及數(shù)據(jù)流分類加密等服務(wù)。通過對IPSec VPN的配置和VPN冗余配置，來實現(xiàn)遠(yuǎn)程用戶的接入，提高網(wǎng)絡(luò)的負(fù)載均衡并有效的提高了網(wǎng)絡(luò)安全性。VPN模塊的詳細(xì)拓?fù)浣Y(jié)構(gòu)如圖11-4所示。,建立安全的IP 通信隧道，是建立虛擬專用網(wǎng)的關(guān)鍵。本方案中采用銳捷VPN 進(jìn)行配置。在VPN配置界面中，選擇網(wǎng)關(guān)的目錄樹上的IPSec VPN，如圖11-5所示。接著開始對VPN進(jìn)行具體配置：,1）遠(yuǎn)程用戶接入配置 遠(yuǎn)程用戶接入方式多種多樣，比如通過無線接入、ADSL拔號接入和專線接入等等，當(dāng)需要配置遠(yuǎn)程移動用戶接入，那么在上圖中雙擊遠(yuǎn)程用戶管理，打開遠(yuǎn)程用戶管理界面進(jìn)行配置，如圖11-6所示。 （1）配置允許客戶端訪問的子網(wǎng)。在遠(yuǎn)程用戶管理界面下打開“允許訪問子網(wǎng)”進(jìn)行配置，如如圖11-7所示，可以通過添加按鈕來添加用戶接入后可以訪問的內(nèi)網(wǎng)的子網(wǎng)數(shù)目。,（2）配置內(nèi)部DNS服務(wù)器。在遠(yuǎn)程用戶管理界面下打開“內(nèi)部DNS服務(wù)器”進(jìn)行配置，如圖11-8所示，可以通過添加按鈕來添加內(nèi)部DNS服務(wù)器即校園內(nèi)網(wǎng)DNS服務(wù)器的IP地址，這樣當(dāng)隧道建立起來之后， RG-SRA 軟件自動將客戶端主機的DNS 設(shè)置為內(nèi)部DNS。,（3）配置內(nèi)部WINS服務(wù)器。內(nèi)部WINS服務(wù)器和內(nèi)部DNS服務(wù)器配置相似，使用校園內(nèi)網(wǎng)WINS服務(wù)器的IP地址配置后客戶機可以用機器名來訪問在服務(wù)器上注冊了的機器，沒有時也可以不進(jìn)行配置。 （4）配置虛IP地址池。內(nèi)部地址池允許網(wǎng)絡(luò)管理員輸入一個或者幾個IP 地址范圍，這些地址將用于對遠(yuǎn)程用戶分配虛擬IP 地址，打開虛地址池的配置窗口選擇添加下列子網(wǎng)地址或連續(xù)地址，進(jìn)行內(nèi)部地址池的添加，如圖11-9所示。 （5）配置用戶特征碼表。如果需要對用戶的登錄機器進(jìn)行限制，可以對用戶機器特征進(jìn)行綁定，用戶機器的特征（每個客戶端軟件都可以顯示本機的特征碼）可以由管理員手工導(dǎo)入，也可以由客戶端首次上線的時候自動報告。,（6）用戶認(rèn)證配置。RG-SRA選擇網(wǎng)關(guān)本地認(rèn)證，要為RG-SRA用戶設(shè)置認(rèn)證用戶名和口令。在窗口左側(cè)菜單區(qū)中用鼠標(biāo)點擊“用戶認(rèn)證”“本地用戶數(shù)據(jù)庫”，此時在窗口右側(cè)操作區(qū)顯示本地用戶列表，點擊工具欄的“添加用戶”按鈕，進(jìn)行添加用戶操作，如圖11-10所示。,2）網(wǎng)關(guān)之間的隧道 網(wǎng)關(guān)到網(wǎng)關(guān)的應(yīng)用模式主要包括以太網(wǎng)、ADSL撥號等網(wǎng)絡(luò)環(huán)境，在這種環(huán)境下VPN設(shè)備需要設(shè)置路由信息才能連接上網(wǎng)。內(nèi)部子網(wǎng)的主機把默認(rèn)網(wǎng)關(guān)設(shè)置為VPN設(shè)備的內(nèi)口，下面是兩個網(wǎng)關(guān)之間的隧道配置。 （1）網(wǎng)關(guān)A的配置。添加設(shè)備后在“對方設(shè)備名稱”文本框中，為網(wǎng)關(guān) B設(shè)置一個唯一名稱，如vpnb。在“本地設(shè)備接口”列表框中選擇與網(wǎng)關(guān)B的連接的端口，如eth0。在本地設(shè)備身份中選擇“作為客戶端”單選按鈕，并在“對方設(shè)備地址”中填寫網(wǎng)關(guān)B的IP地址。在認(rèn)證方式中，選擇“預(yù)共享密鑰”單選按鈕，然后在“密鑰”文本框中輸入共享密鑰，如“123456”，雙方必須相同，如圖11-11所示。添加遂道后在“隧道名稱”為該隧道設(shè)置一個唯一名稱，如Ta-b?！皩Ψ皆O(shè)備名稱”選剛才為B設(shè)置的設(shè)備名：“vpnb”，“本地子網(wǎng)”如/，“對方子網(wǎng)”如/，如圖11-12所示，“通信策略”根據(jù)需要配置，算法必須與B相同，配置如圖11-13所示。,2）網(wǎng)關(guān)B的配置。與網(wǎng)關(guān)A的配置相似，只需要把上述配置中的對方相應(yīng)改成網(wǎng)關(guān)A的信息，如添加設(shè)備時設(shè)備名稱叫vpna，密鑰相同。在添加遂道時，本地子網(wǎng)和對方子網(wǎng)互換，其余保持不變。 3）VPN冗余配置 VPN冗余的目的是為了提高系統(tǒng)的可靠性，本方案通過RG-WALL V160S中的VRRP來實現(xiàn)VPN之間的冗余，詳細(xì)拓?fù)浣Y(jié)構(gòu)設(shè)計如圖11-14所示。,（1）VPN的備份配置。在安全網(wǎng)關(guān)界面目錄樹上，點擊“VRRP設(shè)置”即可進(jìn)入VRRP設(shè)置界面，如圖11-15所示。 首先在“網(wǎng)絡(luò)接口”中把安全網(wǎng)關(guān)A的eth1接口IP配置為：0，然后選擇“VRRP設(shè)置 | 添加虛擬路由器”，把 網(wǎng)絡(luò)接口選擇為eth1；組號配置為：1；虛擬IP配置為：7；主機優(yōu)先級填為：200；默認(rèn)使用搶占模式、認(rèn)證方式和密碼可以根據(jù)實際情況選擇和填寫；通告時間間隔默認(rèn)選擇為：1秒；監(jiān)控選項選eth0；優(yōu)先級衰減量量設(shè)為150；如圖11-16所示。 接著再在“網(wǎng)絡(luò)接口”中把安全網(wǎng)關(guān)B的eth1接口IP置為：1，然后選擇“VRRP設(shè)置 | 添加虛擬路由器”，把網(wǎng)絡(luò)接口選擇eth1；組號配置為：1；虛擬IP配置為：7；主機優(yōu)先級填為：100；默認(rèn)使用搶占模式、認(rèn)證方式和密碼和安全網(wǎng)關(guān)A配置相同；通告時間間隔和安全網(wǎng)關(guān)A配置相同都為：1秒；監(jiān)控選項選eth0；優(yōu)先級衰減量量設(shè)為45；如圖11-17所示。,4）負(fù)載均衡的配置 用相同的方法在網(wǎng)關(guān)A上添加第二組虛擬路由，網(wǎng)絡(luò)接口選擇eth1；組號配置為：2；虛擬IP配置為：8；主機優(yōu)先級填為：100；默認(rèn)使用搶占模式；默認(rèn)啟用虛擬MAC地址；認(rèn)證方式和密碼可以根據(jù)實際情況選擇和填寫；通告時間間隔默認(rèn)選擇為：1秒。網(wǎng)關(guān)B上添加第二組虛擬路由，網(wǎng)絡(luò)接口選擇eth1；組號配置為：2；虛擬IP配置為：8；主機優(yōu)先級填為：200；默認(rèn)使用搶占模式；默認(rèn)啟用虛擬MAC地址；認(rèn)證方式和密碼安全網(wǎng)關(guān)A中組號2配置相同；通告時間間隔默認(rèn)選擇為：1秒。,3. 防火墻模塊安全設(shè)計與實施 本方案采用RG-WALL 160M進(jìn)行防火墻的策略配置。首先，對防火墻進(jìn)行管理與初始化配置，然后再按照本方案的要求進(jìn)行防火墻的基本配置，如防火墻接口IP地址配置、路由配置以及安全規(guī)則等設(shè)置。 本校園網(wǎng)安全方案中，學(xué)校出口有2條100M鏈路，分別是教育網(wǎng)和電信網(wǎng)，客戶內(nèi)網(wǎng)是教育網(wǎng)公網(wǎng)地址，要求訪問教育網(wǎng)的資源走教育網(wǎng)，訪問其他的資源走電信網(wǎng)，并且DMZ 服務(wù)器分別映射到教育網(wǎng)和網(wǎng)通IP 地址。 具體的配置過程如下：,（1）防火墻 IP 地址配置，如圖10-18所示。 （2）路由配置：配置去往教育網(wǎng)的路由，下一跳為教育網(wǎng)，再配置默認(rèn)路由，下一跳為電信網(wǎng)，如圖10-19，圖10-20所示。并配置防火墻內(nèi)網(wǎng)接口啟用源路由功能，如圖10-21所示。,圖10-18 IP地址配置,圖10-21 配置啟用源路由功能 圖10-22 安全規(guī)則 （3）安全規(guī)則的配置：安全規(guī)則配置是防火墻配置的重點，具體配置如圖10-22所示，其中： 內(nèi)網(wǎng)服務(wù)器映射成教育網(wǎng)IP地址，允許任意源地址訪問，同時，設(shè)置源路由讓此服務(wù)器的數(shù)據(jù)流從教育網(wǎng)出去； 內(nèi)網(wǎng)服務(wù)器映射成電信網(wǎng)IP地址，允許任意源地址訪問，同時，設(shè)置源路由讓此服務(wù)器的數(shù)據(jù)流從電信線路出去； 內(nèi)網(wǎng)訪問教育網(wǎng)資源的數(shù)據(jù)流，做包過濾規(guī)則允許通過； 內(nèi)網(wǎng)訪問其他資源的數(shù)據(jù)流，做 NAT 規(guī)則轉(zhuǎn)換成網(wǎng)通的地址通過。,4. IDS入侵檢測系統(tǒng)設(shè)計與實施 入侵檢測系統(tǒng)可以檢測校園網(wǎng)的入侵行為并將這些信息通知給管理員或相關(guān)安全設(shè)備（如防火墻）來進(jìn)行防御。RG-IDS依賴于一個或多個傳感器來監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)流。這些傳感器代表著RG-IDS的眼睛。因此，傳感器在某些重要位置的部署對于RG-IDS能否發(fā)揮作用至關(guān)重要。 本方案的IDS模塊的拓?fù)浣Y(jié)構(gòu)如圖10-23所示。,傳感器利用策略來控制其所監(jiān)測的內(nèi)容，并對監(jiān)測到的事件做出響應(yīng)。設(shè)置步驟如下： （1）單擊主界面上的“策略”按鈕，切換到策略編輯器界面，如圖10-24所示，單擊工具欄上的“編輯鎖定”按鈕，如圖10-25所示。,圖10-24 策略設(shè)置,圖10-25編輯鎖定,再單擊工具欄上的“派生策略”按鈕在彈出的窗口中輸入新策略的名稱，如圖10-26所示，單擊“確定”按鈕。,（2）策略編輯：單擊自定義策略，單擊“編輯鎖定”以確保其他人不能同時更改策略，然后根據(jù)需求來設(shè)置策略，如下圖10-27所示。,（3）策略應(yīng)用。選擇需要下發(fā)的策略，單擊“應(yīng)用策略”按鈕，如下圖10-28所示,11.1.5 項目總結(jié) 本方案根據(jù)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計的總體規(guī)劃,從網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全四個方面安全和管理措施設(shè)計出一整套解決方案，目的是要建立一個完整的、立體的、多層次的網(wǎng)絡(luò)安全防御體系。方案中，我們主要采用了星網(wǎng)銳捷公司的安全產(chǎn)品來對校園網(wǎng)進(jìn)行安全設(shè)計，如RG-S3760E-24、RG-WALL160M、RG-IDS500S、RG-WALL V160S，這些產(chǎn)品在功能上完全能夠滿足本方案的需求，并實現(xiàn)了安全、VPN安全、防火墻安全、IDS與防火墻聯(lián)動的安全設(shè)置等內(nèi)容，同時，還對方案進(jìn)行了測試驗證，并得到了較好的實驗效果。 本方案在設(shè)計上還具有局限性，今后的改進(jìn)目標(biāo)主要有以下幾個方面：（1）設(shè)計更復(fù)雜的測試環(huán)境，來檢查方案中存在的缺陷；（2）改進(jìn)本方案的拓?fù)浣Y(jié)構(gòu)，使之能夠適應(yīng)更大規(guī)模的網(wǎng)絡(luò)需求；（3）采用更先進(jìn)的技術(shù)，將其融入到本方案中，從而達(dá)到更好的安全防御效果。,任務(wù)11.2 企業(yè)網(wǎng)絡(luò)安全方案設(shè)計,11.2.1 企業(yè)網(wǎng)絡(luò)安全需求分析 1.企業(yè)網(wǎng)絡(luò)業(yè)務(wù)安全需求 （1）控制網(wǎng)絡(luò)不同部門之間的互相訪問； （2）對不斷變更的用戶進(jìn)行有效的管理； （3）防止網(wǎng)絡(luò)廣播風(fēng)暴影響系統(tǒng)關(guān)鍵業(yè)務(wù)的正常運轉(zhuǎn)，甚至導(dǎo)致系統(tǒng)的崩潰； （4）加強遠(yuǎn)程撥號用戶的安全認(rèn)證管理； （5）實現(xiàn)企業(yè)局域網(wǎng)與其他各網(wǎng)絡(luò)之間的安全、高速數(shù)據(jù)訪問交換； （6）建立局域網(wǎng)的立體殺毒系統(tǒng)； （7）建立WWW服務(wù)器，實現(xiàn)企業(yè)在Internet和Intranet上的信息發(fā)布，使公司內(nèi)外的人員能夠及時了解公司的最新信息； （8）建立郵件服務(wù)器，實現(xiàn)企業(yè)工作人員與上級機構(gòu)、分支機構(gòu)之間的電子信息的傳遞； （9）構(gòu)建起企業(yè)運行基于網(wǎng)絡(luò)設(shè)計的Client/Server(客戶機/服務(wù)器)或Browser/Server(瀏覽器/服務(wù)器)結(jié)構(gòu)的辦公自動化系統(tǒng)、各種信息管理系統(tǒng)的網(wǎng)絡(luò)硬件平臺和系統(tǒng)運行平臺。,2.存在的安全威脅 1）外部威脅 企業(yè)網(wǎng)絡(luò)的外部安全威脅主要來源于以下幾個方面： （1）病毒侵襲； （2）黑客入侵； （3）垃圾郵件； （4）無線網(wǎng)絡(luò)、移動手機帶來的安全威脅。 2）內(nèi)部威脅 企業(yè)網(wǎng)絡(luò)的內(nèi)部安全威脅主要來源于以下幾個方面： （1）用戶的操作失誤帶來的安全問題； （2）某些用戶故意的破壞，如被解雇或工作變動的職員因?qū)镜牟粷M而對企業(yè)網(wǎng)絡(luò)進(jìn)行破壞或盜取公司的機密信息； （3）用戶的無知引起的安全問題。 3）網(wǎng)絡(luò)設(shè)備的安全隱患 網(wǎng)絡(luò)設(shè)備是網(wǎng)絡(luò)系統(tǒng)的主要組成部分，是網(wǎng)絡(luò)運行的核心。網(wǎng)絡(luò)運行狀況根本上是由網(wǎng)絡(luò)設(shè)備的運行性能和運行狀態(tài)決定的，因此，網(wǎng)絡(luò)設(shè)備穩(wěn)定可靠的運行對整個網(wǎng)絡(luò)系統(tǒng)的正常工作起著關(guān)鍵性作用。特別是對于可以通過遠(yuǎn)程連接TELNET、網(wǎng)管、WEB等方式進(jìn)行配置管理的網(wǎng)絡(luò)設(shè)備（如路由器、防火墻等）容易受到入侵的攻擊，主要的安全隱患表現(xiàn)在以下幾個方面： （1）人為因素； （2）網(wǎng)絡(luò)設(shè)備運行的操作系統(tǒng)存在漏洞； （3）網(wǎng)絡(luò)設(shè)備提供不必要的服務(wù)； （4）網(wǎng)絡(luò)設(shè)備沒有安全存放，易受臨近攻擊。,3.企業(yè)網(wǎng)絡(luò)安全建設(shè)的原則 1）系統(tǒng)性原則 企業(yè)網(wǎng)絡(luò)系統(tǒng)整個安全系統(tǒng)的建設(shè)要有系統(tǒng)性和適應(yīng)性，不因網(wǎng)絡(luò)和應(yīng)用技術(shù)的發(fā)展、信息系統(tǒng)攻防技術(shù)的深化和演變、系統(tǒng)升級和配置的變化，而導(dǎo)致在系統(tǒng)的整個生命期內(nèi)的安全保護(hù)能力和抗御風(fēng)險的能力降低。 2）技術(shù)先進(jìn)性原則 企業(yè)網(wǎng)絡(luò)系統(tǒng)整個安全系統(tǒng)的設(shè)計采用先進(jìn)的安全體系進(jìn)行結(jié)構(gòu)性設(shè)計，選用先進(jìn)、成熟的安全技術(shù)和設(shè)備，實施中采用先進(jìn)可靠的工藝和技術(shù)，提高系統(tǒng)運行的可靠性和穩(wěn)定性。 3）管理可控性原則 系統(tǒng)的所有安全設(shè)備（管理、維護(hù)和配置）都應(yīng)自主可控；系統(tǒng)安全設(shè)備的采購必須有嚴(yán)格的手續(xù)；安全設(shè)備必須有相應(yīng)機構(gòu)的認(rèn)證或許可標(biāo)記；安全設(shè)備供應(yīng)商應(yīng)具備相應(yīng)資質(zhì)并可信。 4）適度安全性原則 系統(tǒng)安全方案應(yīng)充分考慮保護(hù)對象的價值與保護(hù)成本之間的平衡性，在允許的風(fēng)險范圍內(nèi)盡量減少安全服務(wù)的規(guī)模和復(fù)雜性，使之具有可操作性，避免超出用戶所能理解的范圍，變得很難執(zhí)行或無法執(zhí)行。 5）技術(shù)與管理相結(jié)合原則 企業(yè)網(wǎng)絡(luò)系統(tǒng)安全建設(shè)是一個復(fù)雜的系統(tǒng)工程，它包括產(chǎn)品、過程和人的因素，因此它的安全解決方案，必須在考慮技術(shù)解決方案的同時充分考慮管理、法律、法規(guī)方面的制約和調(diào)控作用。單靠技術(shù)或單靠管理都不可能真正解決安全問題，因此必須堅持技術(shù)和管理相結(jié)合的原則。 6）測評認(rèn)證原則 企業(yè)網(wǎng)絡(luò)系統(tǒng)作為重要的政務(wù)系統(tǒng)，其系統(tǒng)的安全方案和工程設(shè)計必須通過國家有關(guān)部門的評審，采用的安全產(chǎn)品和保密設(shè)備需經(jīng)過國家主管理部門的認(rèn)可。 7）系統(tǒng)可伸縮性原則 企業(yè)網(wǎng)絡(luò)系統(tǒng)將隨著網(wǎng)絡(luò)和應(yīng)用技術(shù)的發(fā)展而發(fā)生變化，同時信息安全技術(shù)也在發(fā)展，因此安全系統(tǒng)的建設(shè)必須考慮系統(tǒng)可升級性和可伸縮性。重要和關(guān)鍵的安全設(shè)備不因網(wǎng)絡(luò)變化或更換而廢棄。,11.2.2 企業(yè)網(wǎng)總體設(shè)計 1.企業(yè)網(wǎng)總體設(shè)計拓?fù)鋱D,圖11-29 企業(yè)網(wǎng)絡(luò)拓?fù)鋱D,企業(yè)網(wǎng)絡(luò)總體拓?fù)浣Y(jié)構(gòu)如圖11-29所示，其部門的IP地址規(guī)劃如表11-4所示。設(shè)備IP地址規(guī)劃如表11-5所示。,表11-4 部門IP地址規(guī)劃表,表11-5 設(shè)備IP地址規(guī)劃分配表,2.功能模塊設(shè)計分析 本方案主要實現(xiàn)以下幾個功能模塊： （1）防火墻功能模塊，主要實現(xiàn)防火墻的部署、防火墻策略設(shè)置、與IDS聯(lián)動等； （2）虛擬專用網(wǎng)功能模塊，主要實現(xiàn)雙機熱備、與防火墻雙重防護(hù)關(guān)鍵服務(wù)器群、與IDS聯(lián)動、PKI用戶認(rèn)證設(shè)置、IPSec VPN和VPN虛擬子網(wǎng)設(shè)置等； （3）入侵檢測功能模塊，實現(xiàn)與防火墻的聯(lián)動； （4）三層交換機安全功能模塊，主要實現(xiàn)VLAN、IP與MAC綁定、與IDS聯(lián)動等； （5）病毒防護(hù)功能模塊等。,11.2.3 防火墻系統(tǒng)設(shè)計 1.防火墻的部署 在防火墻的部署方式上，類似于區(qū)域分割的三角方式，是指將網(wǎng)絡(luò)分為內(nèi)部網(wǎng)絡(luò)（軍事化區(qū)域）、外部網(wǎng)絡(luò)和DMZ區(qū)域。例如，將Web服務(wù)器、郵件服務(wù)器、DNS服務(wù)器、前臺查詢計算機等放置在DMZ區(qū)域，而內(nèi)部的文件服務(wù)器、數(shù)據(jù)庫服務(wù)器等關(guān)鍵應(yīng)用都放置在內(nèi)部網(wǎng)絡(luò)中，從而使它們受到良好的保護(hù)，如圖11-30所示。,圖11-30 防火墻部署,企業(yè)網(wǎng)絡(luò)擁有自己的FTP、Web和Mail等服務(wù)器，并對Internet及內(nèi)部用戶提供相應(yīng)的服務(wù)。其中，將向外提供服務(wù)的主機旋轉(zhuǎn)在DMZ區(qū)，以保證內(nèi)部的安全。在接入Internet時，本方案選擇使用防火墻來接入，并實現(xiàn)NAT、PAT和ACL等配置方案。,2. 防火墻應(yīng)用規(guī)則與配置 1）配置IP/MAC綁定與主機保護(hù) 設(shè)置IP/MAC地址綁定，就可以執(zhí)行IP/MAC地址對的探測。如果防火墻某網(wǎng)口配置了“IP/MAC地址綁定啟用功能”、“IP/MAC地址綁定的默認(rèn)策略（允許或禁止）”，當(dāng)該網(wǎng)口接收數(shù)據(jù)包時，將根據(jù)數(shù)據(jù)包中的源IP地址與源MAC地址，檢查管理員設(shè)置好的IP/MAC地址綁定表。如果地址綁定表中查找成功并匹配，則允許數(shù)據(jù)包通過，不匹配則禁止數(shù)據(jù)包通過。如果查找失敗，則按缺省策略（允許或禁止）執(zhí)行。 使用命令添加IP/MAC地址綁定： 語法： ipmac add if | none unique on | off 參數(shù)說明： ip 指定IP地址， mac 指定MAC地址， if 指定相應(yīng)的網(wǎng)絡(luò)接口，可選參數(shù)，默認(rèn)為不指定網(wǎng)絡(luò)接口 unique 指定是否進(jìn)行MAC地址的唯一性檢查，可選參數(shù)，默認(rèn)為不檢查。 例如， firewallipmac add 54 00:05:66:00:88:B8 if none unique off,2）配置防火墻URL過濾 WEB服務(wù)是Internet上使用最多的服務(wù)之一。Internet上信息魚龍混雜，存在部分不良信息，因此必須對其訪問進(jìn)行必要的控制。RG-WALL防火墻可以通過對某些URL進(jìn)行過濾實現(xiàn)對訪問不良信息的控制。通過使用黑名單和白名單來控制用戶不能訪問哪些URL，可以訪問哪些URL。 3）NAT配置 NAT技術(shù)能夠解決IP地址不夠的問題，同時，也能夠隱藏網(wǎng)絡(luò)內(nèi)部信息，從而保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。 RG-WALL防火墻支持源地址一對一的轉(zhuǎn)換，也支持源地址轉(zhuǎn)換為地址池中的某一個地址。 用戶可通過安全規(guī)則設(shè)定需要轉(zhuǎn)換的源地址（支持網(wǎng)絡(luò)地址范圍）、源端口。此處的NAT指正向NAT，正向NAT也是動態(tài)NAT，通過系統(tǒng)提供的NAT地址池，支持多對多，多對一，一對多，一對一的轉(zhuǎn)換關(guān)系。 4）配置安全規(guī)則 安全規(guī)則的配置可以說是防火墻最重要的配置了，因為沒有安全規(guī)則，防火墻是不能轉(zhuǎn)發(fā)數(shù)據(jù)流的。默認(rèn)情況下，防火墻的行為是，除非明文允許，否則全部禁止。防火墻支持的安全規(guī)則有包過濾、NAT、IP 映射、端口映射和代理等。 5）配置防火墻主機保護(hù) 增加主機保護(hù)確保關(guān)鍵服務(wù)器的安全穩(wěn)定，用于保護(hù)服務(wù)器訪問時不會因為攻擊而過載。,11.2.4 虛擬專用網(wǎng)設(shè)計 1. VPN系統(tǒng)部署 VPN系統(tǒng)部署的詳細(xì)拓?fù)浣Y(jié)構(gòu)如圖11-31所示。,圖11-31 VPN部署,1）總部網(wǎng)絡(luò)VPN系統(tǒng)部署 RG-WALL V160S作為認(rèn)證網(wǎng)關(guān)，對內(nèi)網(wǎng)的關(guān)鍵服務(wù)器進(jìn)行認(rèn)證控制，非授權(quán)用戶不能訪問。USB KEY 保障密鑰的安全性，進(jìn)一步降低安全使用風(fēng)險。兩臺數(shù)據(jù)中心的RG-WALLV160S通過HA實現(xiàn)雙機熱，雙網(wǎng)鏈路冗余和狀態(tài)熱備快速故障恢復(fù)。 2）分支機構(gòu)VPN系統(tǒng)部署 企業(yè)分支機構(gòu)一般指分布在全國各地規(guī)模中等的分公司，公司內(nèi)部建有中等規(guī)模的局域網(wǎng)，同時通過當(dāng)?shù)豂SP提供的寬帶接入方式接入Internet并安裝一臺VPN設(shè)備，作為客戶端接入總部。 3）移動辦公網(wǎng)點VPN系統(tǒng)部署 采用L2TP+IPSEC隧道協(xié)議，接入總部，用戶即使在乘坐車船甚至飛機的途中，可隨時隨地實現(xiàn)移動辦公，猶如在辦公室一樣方便流暢地交流信息。 4）合作伙伴VPN部署 商業(yè)合作伙伴可能要實時共享某些信息，網(wǎng)絡(luò)類似分支機構(gòu)接入，通過防火墻策略設(shè)置訪問權(quán)限 。,2. VPN雙機熱備份 本方案采用遠(yuǎn)程安全接入和邊界安全防護(hù)的組合解決方案。針對本企業(yè)對系統(tǒng)和數(shù)據(jù)的高可用性和高安全性的需求，采用了兩臺RG-WALLV160S通過HA實現(xiàn)雙機熱備，雙網(wǎng)鏈路冗余。該方案為用戶提供了強大的容錯功能，避免了單點故障，快速自動恢復(fù)正常通信。網(wǎng)絡(luò)本身通過VPN網(wǎng)關(guān)實現(xiàn)數(shù)據(jù)在廣域網(wǎng)鏈路中的安全傳輸，防止被竊聽或被篡改。設(shè)計中兩臺RG-WALLV160S之間通過HA來實現(xiàn)雙機熱備，主機和備機通過一條串口線連接，正常工作時，主機處于工作狀態(tài)，備機網(wǎng)口處于down狀態(tài)，主機和備機的配置完全相同，并通過串口線同步動態(tài)信息，更加增強了網(wǎng)絡(luò)的可靠性，當(dāng)主機出現(xiàn)問題或者鏈路不通時，備機將在36秒鐘之內(nèi)進(jìn)入工作狀態(tài)，接管主機的工作，整個切換過程平滑透明，網(wǎng)絡(luò)用戶只會感覺到有短暫的加大，不會對整個網(wǎng)絡(luò)造成大的影響。,3. VPN與防火墻雙重防護(hù)關(guān)鍵服務(wù)器群 在服務(wù)器群網(wǎng)絡(luò)外部署的兩臺VPN外又添加了兩臺虛擬防火墻，從而提高關(guān)鍵位置的安全性及敏感數(shù)據(jù)的安全性。以此防止惡意用戶在網(wǎng)絡(luò)中進(jìn)行非法網(wǎng)絡(luò)攻擊及網(wǎng)絡(luò)訪問。并能同時保證公司帶寬投入得到有效地利用。就算黑客能突破虛擬防火墻，里面還有一層VPN認(rèn)證防護(hù)，提高了安全級別。 4. VPN與IDS聯(lián)動 網(wǎng)絡(luò)安全不可能完全依靠單一產(chǎn)品來實現(xiàn)，網(wǎng)絡(luò)安全是個整體，必須配相應(yīng)的安全產(chǎn)品。作為必要的補充，入侵檢測系統(tǒng)（IDS）可與安全VPN系統(tǒng)形成互補。入侵檢測系統(tǒng)是根據(jù)已有的、最新的和可預(yù)見的攻擊手段的信息代碼對進(jìn)出網(wǎng)絡(luò)的所有操作行為進(jìn)行實時監(jiān)控、記錄，并按制定的策略實行響應(yīng)（阻斷、報警、發(fā)送E-mail）。從而防止針對網(wǎng)絡(luò)的攻擊與犯罪行為。入侵檢測儀在使用上是獨立網(wǎng)絡(luò)使用的，網(wǎng)絡(luò)數(shù)據(jù)全部通過VPN設(shè)備，而入侵檢測設(shè)備在網(wǎng)絡(luò)上進(jìn)行疹聽，監(jiān)控網(wǎng)絡(luò)狀況，一旦發(fā)現(xiàn)攻擊行為將通過報警、通知VPN設(shè)備中斷網(wǎng)絡(luò)（即IDS與VPN聯(lián)動功能）等方式進(jìn)行控制（即安全設(shè)備自適應(yīng)機制），最后將攻擊行為進(jìn)行日志記錄以供以后審查。,5.PKI配置與用戶認(rèn)證配置 由于銳捷VPN 設(shè)備采用標(biāo)準(zhǔn)X.509 證書進(jìn)行設(shè)備身份標(biāo)識，所以系統(tǒng)提供標(biāo)準(zhǔn)PKI（公鑰基礎(chǔ)設(shè)施）配置。銳捷 VPN 設(shè)備可以對遠(yuǎn)程用戶進(jìn)行身份驗證。目前可以支持一次性口令認(rèn)證、數(shù)字證書認(rèn)證、第三方Radius 認(rèn)證和SecureID 認(rèn)證。 6.報文過濾 設(shè)置報文過濾策略來指定某些傳輸層協(xié)議能否通過VPN。另外可以通過配置與IDS的聯(lián)動規(guī)則，當(dāng)IDS 檢測到攻擊后，將立即通知報文過濾模塊，過濾模塊一方面顯示對應(yīng)的IDS 過濾規(guī)則，同時也會對攻擊報文進(jìn)行過濾，從而阻止其對內(nèi)部網(wǎng)絡(luò)的攻擊。 7.VPN 虛子網(wǎng)配置 如果用戶網(wǎng)絡(luò)中不同 VPN 設(shè)備保護(hù)的內(nèi)部子網(wǎng)地址相同，出現(xiàn)了沖突，那么常規(guī)VPN設(shè)備就會要求用戶進(jìn)行地址調(diào)整，但是銳捷VPN 可以允許用戶通過虛子網(wǎng)來解決這個問題。 所謂虛子網(wǎng)就是把沖突一方的網(wǎng)絡(luò)地址映射成另外一個不沖突的子網(wǎng)地址，網(wǎng)絡(luò)地址部分發(fā)生變化，但是主機地址部分不變，這樣用戶仍然可以知道變換后對方的主機地址。 8.日志審計配置 日志記錄提供對系統(tǒng)活動的詳細(xì)審計，銳捷 VPN 提供了詳細(xì)的日志審計信息，這些信息用于評估、審查系統(tǒng)的運行環(huán)境和各種操作,能夠幫助管理員來尋找系統(tǒng)中存在的問題，對系統(tǒng)維護(hù)十分有用。管理器中對日志進(jìn)行分級管理，使日志信息更詳盡、更規(guī)范、層次更清楚。,11.2.5 入侵檢測系統(tǒng)設(shè)計 本方案實現(xiàn)入侵檢測系統(tǒng)與防火墻的聯(lián)動，從而使防火墻可以根據(jù)網(wǎng)絡(luò)運行的狀況來動態(tài)設(shè)置防火墻規(guī)則，其部署的方拓?fù)浣Y(jié)構(gòu)如圖11-32所示。,圖11-32 防火墻與IDS的聯(lián)動部署,11.2.6 三層交換機系統(tǒng)設(shè)計 三層核心交換機是整個企業(yè)網(wǎng)絡(luò)的中樞節(jié)點，因此它的合理設(shè)置和安全規(guī)劃將影響到整個網(wǎng)絡(luò)的運行。本方案將從以下幾個方面進(jìn)行設(shè)計： （1）合理的VLAN劃分規(guī)劃； （2）IP與MAC地址的綁定設(shè)計； （3）防攻擊的系統(tǒng)保護(hù)配置； （4）動態(tài)的ARP檢測配置，防止ARP欺騙攻擊等。,11.2.7 病毒防御系統(tǒng)設(shè)計 企業(yè)網(wǎng)絡(luò)的病毒防御體系要針對企業(yè)網(wǎng)絡(luò)的現(xiàn)狀，對網(wǎng)絡(luò)中可能存在的病毒入侵點進(jìn)行詳細(xì)分析，然后對其進(jìn)行層層防護(hù)，對癥下藥才能真正保護(hù)企業(yè)網(wǎng)絡(luò)的安全。一般情況下，病毒的入侵點主要有： （1）從客戶端入侵：任何一個客戶端計算機都可能會通過可移動介質(zhì)、Internet下載、接收Email以及訪問受感染的服務(wù)器等途徑被病毒侵害，如果此客戶端再去訪問企業(yè)網(wǎng)絡(luò)或其中的資源，則很有可能會把這些病毒傳播出去，而且目前大部分病毒都可以自動進(jìn)行復(fù)制傳播，增加了其對企業(yè)網(wǎng)絡(luò)的危害性； （2）從文件或應(yīng)用服務(wù)器入侵：如果這些服務(wù)器被病毒侵害，則訪問這些服務(wù)器的客戶機將非常容易感染病毒； （3）從網(wǎng)關(guān)入侵：網(wǎng)關(guān)是一個企業(yè)網(wǎng)絡(luò)的門戶，任何防火墻都無法阻止Internet上病毒的入侵。 本方案的企業(yè)網(wǎng)絡(luò)防病毒產(chǎn)品的部署如圖11-33所示。,圖11-33 企業(yè)網(wǎng)絡(luò)防病毒產(chǎn)品部署,11.2.10 項目總結(jié) 本方案主要是以IDS為中心的聯(lián)動來實現(xiàn)全網(wǎng)動態(tài)安全部署，并融合配置IDS、防火墻、VPN和三層交換機等設(shè)備，采用多手段多方位的立體防御體系，特別是對核心和保密部門加強其隧道實現(xiàn)技術(shù)，并通過測試，成功驗證方案的可行性。但本方案在安全細(xì)節(jié)上設(shè)計的還不夠，需要在實際的運行過程中不斷改進(jìn)完善，使之成為一個安全、可靠、先進(jìn)的企業(yè)網(wǎng)絡(luò)安全方案。,任務(wù)11.3 政府網(wǎng)絡(luò)安全方案設(shè)計,任務(wù)11.3.1 了解政府網(wǎng)絡(luò)安全現(xiàn)狀 某地稅分局外網(wǎng)建設(shè)的目的是能夠通過構(gòu)建一個統(tǒng)一、高效、可靠、安全的信息化平臺，有效促進(jìn)稅務(wù)網(wǎng)絡(luò)互聯(lián)互通和稅務(wù)信息資源共享，形成統(tǒng)一的某地稅網(wǎng)絡(luò)和資源共享平臺。同時，能夠為市、區(qū)各級相關(guān)部門在進(jìn)行職能辦公、社會管理、公共服務(wù)等業(yè)務(wù)應(yīng)用提供支持，將網(wǎng)絡(luò)服務(wù)延伸到鄉(xiāng)（鎮(zhèn)、街道）、村（社區(qū)），使網(wǎng)絡(luò)服務(wù)惠及全民。 地稅分局外網(wǎng)連接著市及其所管轄的某區(qū)各相關(guān)稅務(wù)局網(wǎng)絡(luò)，是某區(qū)稅務(wù)局面向公眾服務(wù)的重要信息網(wǎng)絡(luò)樞紐，也是各部門實現(xiàn)縱向和橫向互聯(lián)互通、整合Internet出口和共享資源的統(tǒng)一網(wǎng)絡(luò)平臺。 某地稅分局辦公樓高為五層，核心機房在一樓弱電間，網(wǎng)絡(luò)接入節(jié)點約60個，網(wǎng)絡(luò)結(jié)構(gòu)采用單核心結(jié)構(gòu)。外網(wǎng)為公共信息服務(wù)平臺和一般的辦公網(wǎng)絡(luò)，通過ISP運營商接入Internet，內(nèi)網(wǎng)則通過專線連接與市局相連接。,任務(wù)11.3.2 政府網(wǎng)安全需求分析 1政府網(wǎng)絡(luò)安全隱患 政府對網(wǎng)絡(luò)的安全需求是全方位的，整體的，相應(yīng)的網(wǎng)絡(luò)安全體系也是分層次的，在不同層次反映了不同的安全問題。根據(jù)網(wǎng)絡(luò)應(yīng)用現(xiàn)狀和網(wǎng)絡(luò)結(jié)構(gòu)，本方案基于物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全和管理安全五個安全層面分別進(jìn)行了分析，提交詳細(xì)的風(fēng)險分析報告。地稅分局外網(wǎng)可能面臨的安全威脅和風(fēng)險具體見下表11-6。,2地稅分局政府網(wǎng)絡(luò)安全需求 地稅分局外網(wǎng)對信息安全程度要求較高，因其涉及到重要信息的泄密等。構(gòu)筑網(wǎng)絡(luò)安全系統(tǒng)的最終目的是對網(wǎng)絡(luò)資源或者說是保護(hù)對象，實施最有效的安全保護(hù)。地稅分局外網(wǎng)的安全，既涉及到各種硬件通信設(shè)施和各種服務(wù)器、終端設(shè)備的安全，又涉及到各種系統(tǒng)軟件、通用應(yīng)用軟件和自行開發(fā)的應(yīng)用程序的安全；既涉及各種信息安全技術(shù)本身，也涉及保障這些安全技術(shù)順利實施的各種安全管理。任何一種或幾種安全技術(shù)都無法解決網(wǎng)絡(luò)中的所有安全問題，必須以科學(xué)的安全保障體系結(jié)構(gòu)模型為依據(jù)，全面系統(tǒng)地分析內(nèi)外網(wǎng)的安全保障需求，為建立科學(xué)合理的安全保障體系打下堅實的基礎(chǔ)。 針對地稅分局外網(wǎng)的網(wǎng)絡(luò)安全需要從以下方面考慮： （1）針對重要信息可能通過電磁輻射或線路干擾等泄漏。需要對存放機密信息的機房進(jìn)行必要的設(shè)計，如構(gòu)建屏蔽室。采用輻射干擾機，防止電磁輻射泄漏機密信息。對重要的設(shè)備和重要系統(tǒng)進(jìn)行備份等安全保護(hù)。 （2）不同業(yè)務(wù)網(wǎng)絡(luò)之間的物理隔離或者邏輯隔離，特別是外網(wǎng)與因特網(wǎng)之間，外網(wǎng)與內(nèi)網(wǎng)之間需要通過邏輯或物理隔離保證網(wǎng)絡(luò)邊界的安全。有效保障各網(wǎng)絡(luò)系統(tǒng)之間的數(shù)據(jù)安全，確保政府部門內(nèi)部保密數(shù)據(jù)的安全性和可靠性。 （3）嚴(yán)格控制各種人員對地稅分局內(nèi)部網(wǎng)絡(luò)的接入，尤其是地稅分局內(nèi)部網(wǎng)絡(luò)的接入，防止政府部門內(nèi)部涉密信息的外泄。,（4）確保合法用戶使用合法網(wǎng)絡(luò)資源，通過統(tǒng)一的用戶身份認(rèn)證體系，確認(rèn)用戶的真實身份，嚴(yán)格控制用戶的訪問，防范非法用戶非法訪問、合法用戶非授權(quán)訪問和假冒合法用戶非法訪問等安全威脅。 （5）具有靈活、方便、有效的注冊機制、身份認(rèn)證機制和授權(quán)管理機制，保證內(nèi)、外網(wǎng)中的數(shù)據(jù)的可控性和不可否認(rèn)性。 （6）保護(hù)信息通過網(wǎng)上傳輸過程中的機密性、完整性，加強遠(yuǎn)程接入的安全，保證遠(yuǎn)程用戶安全的訪問應(yīng)用數(shù)據(jù)資源。 （7）稅務(wù)網(wǎng)上申報系統(tǒng)采用加密措施，構(gòu)建CA系統(tǒng)通過信任的第三方來確保通信雙方互相交換信息，就可以解決加密系統(tǒng)對密鑰的分發(fā)及管理的可靠性卻存在安全問題。 （8）網(wǎng)絡(luò)系統(tǒng)需要充分考慮各種網(wǎng)絡(luò)設(shè)備的安全，保障網(wǎng)絡(luò)系統(tǒng)在受到蠕蟲、掃描等攻擊時網(wǎng)絡(luò)設(shè)備的穩(wěn)定性，充分提升政府網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性。 （9）各網(wǎng)絡(luò)系統(tǒng)內(nèi)部需要從網(wǎng)絡(luò)設(shè)備到網(wǎng)絡(luò)應(yīng)用等多個層面，充分考慮各層面的網(wǎng)絡(luò)安全，以保障網(wǎng)絡(luò)系統(tǒng)內(nèi)部對病毒、攻擊等的防護(hù)。 （10）保護(hù)稅務(wù)網(wǎng)絡(luò)中主機資源安全，及時發(fā)現(xiàn)系統(tǒng)和數(shù)據(jù)庫的安全漏洞，以有效避免黑客攻擊的發(fā)生，確保網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性，做到防患于未然。,（11）防范病毒的侵害，建立有效的防病毒機制，防止病毒在整個網(wǎng)絡(luò)中的大規(guī)模傳播，防止各種病毒等進(jìn)入內(nèi)部網(wǎng)。 （12）安全的防護(hù)不能是單一的，需要各種網(wǎng)絡(luò)安全設(shè)備聯(lián)合防護(hù)，提供網(wǎng)絡(luò)的全面安全。 （12）實現(xiàn)網(wǎng)絡(luò)的安全管理，實時監(jiān)控和動態(tài)監(jiān)測網(wǎng)絡(luò)的運行狀態(tài)，監(jiān)控內(nèi)網(wǎng)用戶的各種訪問行為。 （13）整個安全系統(tǒng)必須提供詳實的安全日志功能。 （14）建立網(wǎng)絡(luò)的安全審計體系，完善特定應(yīng)用及服務(wù)的安全報告、日志和審計的功能，建立準(zhǔn)確的審計體系。 （15）具有有效的應(yīng)急處理和災(zāi)難恢復(fù)機制，確保突發(fā)事件后能迅速恢復(fù)系統(tǒng)的各項服務(wù)。 （16）安全管理體制健全的人的安全意識可以通過安全常識培訓(xùn)來提高。人的行為的約束只能通過嚴(yán)格的管理體制，并利用法律手段來實現(xiàn)。,3）網(wǎng)絡(luò)安全設(shè)計的目標(biāo) 根據(jù)上述政務(wù)外網(wǎng)將面臨的威脅和風(fēng)險，政府建立網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計目標(biāo)應(yīng)該滿足保密性、完整性、可用性、可控性和擴展性的要求，建立從物理、網(wǎng)絡(luò)、系統(tǒng)、信息和管理等方面的整體安全體系，實現(xiàn)綜合防范機制，保障網(wǎng)絡(luò)安全、高效、可靠的運行。 政務(wù)外網(wǎng)建立網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計目標(biāo)： （1）保密性：信息不被泄露給非授權(quán)用戶的特性。 （2）完整性：信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。 （3）可用性：易于操作、維護(hù)，并便于自動化管理。 （4）可控性：控對信息的傳播及內(nèi)容具有控制能力。 （5）擴展性：便于系統(tǒng)及系統(tǒng)功能的擴展。,基于以上的設(shè)計目標(biāo)，本方案網(wǎng)絡(luò)安全建設(shè)將實現(xiàn)以下具體安全目標(biāo)： （1）保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性； （2）保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性； （3）防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問； （4）防范入侵者的惡意攻擊與破壞； （5）保護(hù)政府信息通過網(wǎng)上傳輸過程中的機密性、完整性； （6）防范病毒的侵害； （7）實現(xiàn)網(wǎng)絡(luò)的安全管理。,4）網(wǎng)絡(luò)安全設(shè)計的原則 政府網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)，以網(wǎng)絡(luò)需求為基礎(chǔ)，以構(gòu)建系統(tǒng)安全、網(wǎng)絡(luò)安全為重點，從入侵防范、服務(wù)檢測、防病毒、訪問控制、身份認(rèn)證、報告審計等入手，建設(shè)以業(yè)務(wù)應(yīng)用為核心的網(wǎng)絡(luò)安全系統(tǒng)，并為進(jìn)一步實現(xiàn)業(yè)務(wù)應(yīng)用安全打下基礎(chǔ)，要求制定統(tǒng)一的網(wǎng)絡(luò)安全策略，總體上體現(xiàn)保密性、完整性、可用性、可控性、擴展性。 具體原則如下： （1）全方位實現(xiàn)安全性。安全性設(shè)計必須從全方位、多層次加以考慮，即通過網(wǎng)絡(luò)級、應(yīng)用級、系統(tǒng)級安全性設(shè)計措施來確實保證安全。 （2）切合實際實施安全性。必須緊密切合要進(jìn)行安全防護(hù)的實際對象來實施安全性，以免過于龐大冗雜的安全措施導(dǎo)致性能下降。有效地防止網(wǎng)絡(luò)的非法侵入和信息的泄露，保護(hù)關(guān)鍵的數(shù)據(jù)不被非法竊取、篡改或泄漏，使數(shù)據(jù)具有極高的可信性。 （3）易于實施、管理與維護(hù)。網(wǎng)絡(luò)安全系統(tǒng)的管理和維護(hù)工作也是至關(guān)重要的。網(wǎng)絡(luò)安全工程設(shè)計必須具有良好的可實施性與可管理性，同時還要具有尚佳的易維護(hù)性，為平臺維護(hù)者提供方便的管理工具,（4）易操作性原則。安全措施需要人為去完成，對人員的技術(shù)要求過高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運行。 （5）具有較好的可擴展性。網(wǎng)絡(luò)安全工程設(shè)計，必須具有良好的可擴展性。系統(tǒng)建設(shè)應(yīng)該是統(tǒng)一規(guī)劃、分步實施、逐步完善的過程，整個安全系統(tǒng)必須留有接口，以適應(yīng)將來工程規(guī)模擴展的需要。 （6）具有較好的可靠性。網(wǎng)絡(luò)安全系統(tǒng)是用戶眾多，大量移動用戶依賴它在獲取重要信息。它的穩(wěn)定可靠關(guān)系重大，信息平臺的運行不穩(wěn)定甚至癱瘓將嚴(yán)重影響大量用戶的正常工作，將給用戶帶來不便和不可低估的損失。保證系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)的穩(wěn)定可靠性和不間斷運行是平臺運行的首要保證。,任務(wù)11.3.3 某地稅分局外網(wǎng)安全總體解決方案設(shè)計 1設(shè)計思路 根據(jù)上述網(wǎng)絡(luò)實現(xiàn)的安全目標(biāo)和設(shè)計原則，為了體現(xiàn)保密性、完整性、可用性、可控性、擴展性等特性，本方案提出如下網(wǎng)絡(luò)安全設(shè)計思路： （1）邊緣接入控制。外網(wǎng)與Internet的接口處配置防火墻，把一些對外發(fā)布的服務(wù)器放在DMZ區(qū)域，通過對防火墻設(shè)置包過濾策略，控制Internet用戶對服務(wù)器的訪問。在網(wǎng)絡(luò)內(nèi)部，用戶接入網(wǎng)絡(luò)時，在接入層交換機上部署網(wǎng)絡(luò)安全策略，實現(xiàn)邊緣接入控制。 （2）全局聯(lián)動協(xié)作。從全局的角度來把控網(wǎng)絡(luò)安全，安全不是某一個設(shè)備的事情，應(yīng)該讓網(wǎng)絡(luò)中的所有設(shè)備都發(fā)揮其安全功能，互相協(xié)作，形成一個“全民皆兵”的網(wǎng)絡(luò)，最終從全局的角度把控網(wǎng)絡(luò)安全。,（3）全程立體防御。用戶的網(wǎng)絡(luò)訪問行為可以分為三個階段，包括訪問網(wǎng)絡(luò)前、訪問網(wǎng)絡(luò)時、訪問網(wǎng)絡(luò)后。對每個階段，都應(yīng)進(jìn)行嚴(yán)格的安全控制，做到“事前全面預(yù)防、事中立體防御、事后聯(lián)動處理”，實現(xiàn)立體防御的全程網(wǎng)絡(luò)安全。 （4）統(tǒng)一集中管理。通過VPN分布式部署，用戶更好的實現(xiàn)了策略的統(tǒng)一，通過軟硬件的多方面聯(lián)動、計算機層面與網(wǎng)絡(luò)層面的結(jié)合，從身份、主機、網(wǎng)絡(luò)等多個角度對網(wǎng)絡(luò)安全進(jìn)行監(jiān)控、檢測、防御和處理，實現(xiàn)了與不在同一地理位置的分支機構(gòu)的統(tǒng)一管理。,2體系結(jié)構(gòu) 本方案基于安全性、穩(wěn)定性、實用性、高效性、擴展性的設(shè)計原則，使用銳捷網(wǎng)絡(luò)的防火墻RG-W