H3C網(wǎng)絡(luò)安全系統(tǒng)規(guī)劃方案投標(biāo)建議書.doc

網(wǎng)絡(luò)安全系統(tǒng)規(guī)劃方案網(wǎng)絡(luò)安全系統(tǒng)規(guī)劃方案 杭州華三通信技術(shù)有限公司杭州華三通信技術(shù)有限公司 20072007 年年 4 4 月月 精選范本 供參考 目目 錄錄 一 一 安全系統(tǒng)整體規(guī)劃安全系統(tǒng)整體規(guī)劃 3 1 1 方案設(shè)計(jì)原則 3 1 2 安全體系模型 4 1 3 方案設(shè)計(jì)思路 5 二 二 網(wǎng)絡(luò)及安全現(xiàn)狀分析網(wǎng)絡(luò)及安全現(xiàn)狀分析 7 2 1 網(wǎng)絡(luò)結(jié)構(gòu)分析 7 2 2 安全層次的分析模型 8 2 3 安全需求分析 9 2 3 1 網(wǎng)絡(luò)層 9 2 3 2 系統(tǒng)層 10 2 3 3 管理層 10 2 3 4 用戶層 11 2 4 安全需求總結(jié) 11 三 三 網(wǎng)絡(luò)安全整體解決方案 網(wǎng)絡(luò)安全整體解決方案 13 3 1 網(wǎng)絡(luò)安全總體方案 13 3 1 1 基礎(chǔ)設(shè)施安全部署 15 3 1 2 防火墻系統(tǒng)防護(hù)方案 20 3 1 3 建立內(nèi)部入侵防御機(jī)制 23 3 1 4 建立入侵防御機(jī)制 25 3 1 5 建立端點(diǎn)準(zhǔn)入控制系統(tǒng) 27 3 1 6 完善的病毒防范機(jī)制 28 3 1 7 防DOS設(shè)備安全防護(hù)方案 30 3 1 8 網(wǎng)絡(luò)漏洞掃描機(jī)制 30 3 1 9 建立科學(xué)的安全管理機(jī)制 33 四 四 安全方案總結(jié)安全方案總結(jié) 36 精選范本 供參考 一 一 安全系統(tǒng)整體規(guī)劃安全系統(tǒng)整體規(guī)劃 1 1 方案設(shè)計(jì)原則方案設(shè)計(jì)原則 在規(guī)劃 信息系統(tǒng)安全時(shí) 我們將遵循以下原則 以這些原則為基礎(chǔ) 提供完善 的體系化的整體網(wǎng)絡(luò)安全解決方案 體系化設(shè)計(jì)原則體系化設(shè)計(jì)原則 通過(guò)分析信息網(wǎng)絡(luò)的網(wǎng)絡(luò)層次關(guān)系 安全需求要素以及動(dòng)態(tài)的實(shí)施過(guò)程 提出科學(xué)的安全體 系和安全模型 并根據(jù)安全體系和安全模型分析網(wǎng)絡(luò)中可能存在的各種安全風(fēng)險(xiǎn) 針對(duì)這些風(fēng)險(xiǎn) 以動(dòng)態(tài)實(shí)施過(guò)程為基礎(chǔ) 提出整體網(wǎng)絡(luò)安全解決方案 從而最大限度地解決可能存在的安全問題 全局性 均衡性原則全局性 均衡性原則 安全解決方案的設(shè)計(jì)從全局出發(fā) 綜合考慮信息資產(chǎn)的價(jià)值 所面臨的安全風(fēng)險(xiǎn) 平衡兩者 之間的關(guān)系 根據(jù)信息資產(chǎn)價(jià)值的大小和面臨風(fēng)險(xiǎn)的大小 采取不同強(qiáng)度的安全措施 提供具有 最優(yōu)的性能價(jià)格比的安全解決方案 可行性 可靠性原則可行性 可靠性原則 在采用全面的網(wǎng)絡(luò)安全措施之后 應(yīng)該不會(huì)對(duì) 的網(wǎng)絡(luò)上的應(yīng)用系統(tǒng)有大的影響 實(shí)現(xiàn)在保證網(wǎng)絡(luò)和應(yīng)用系統(tǒng)正常運(yùn)轉(zhuǎn)的前提下 有效的提高網(wǎng)絡(luò)及應(yīng)用的安全強(qiáng)度 保證整個(gè)信 息資產(chǎn)的安全 可動(dòng)態(tài)演進(jìn)的原則可動(dòng)態(tài)演進(jìn)的原則 方案應(yīng)該針對(duì) 制定統(tǒng)一技術(shù)和管理方案 采取相同的技術(shù)路線 實(shí)現(xiàn)統(tǒng)一安全 策略的制定 并能實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)從基本防御的網(wǎng)絡(luò) 向深度防御的網(wǎng)絡(luò)以及智能防御的網(wǎng)絡(luò)演進(jìn) 形成一個(gè)閉環(huán)的動(dòng)態(tài)演進(jìn)網(wǎng)絡(luò)安全系統(tǒng) 精選范本 供參考 1 2 安全體系安全體系模型模型 安全方案必須架構(gòu)在科學(xué)的安全體系和安全模型之上 因?yàn)榘踩Ｐ褪前踩桨冈O(shè)計(jì)和分析 的基礎(chǔ) 只有在先進(jìn)的網(wǎng)絡(luò)安全理論模型的基礎(chǔ)上 才能夠有效地實(shí)現(xiàn)我們?cè)谏厦娣治龅木W(wǎng)絡(luò)安 全系統(tǒng)規(guī)劃的基本原則 從而保證整個(gè)網(wǎng)絡(luò)安全解決方案的先進(jìn)性 為了系統(tǒng) 科學(xué)地分析網(wǎng)絡(luò)安全方案涉及的各種安全問題 在大量理論分析和調(diào)查研究的基 礎(chǔ)上 H3C 公司提出了 i3SAFE 網(wǎng)絡(luò)安全模型 以此模型為基礎(chǔ) 可以進(jìn)行整個(gè)網(wǎng)絡(luò)安全體系的 有效的分析與合理規(guī)劃 下面我們對(duì)此網(wǎng)絡(luò)安全模型進(jìn)行具體的闡述和說(shuō)明 i3SAFE 安全理論模型示意圖 i3SAFE 安全理論模型是一個(gè)三維立體結(jié)構(gòu) 基于此三維結(jié)構(gòu)安全理論模型 形成一個(gè)智能 的 intelligence 集成的 integrated 定制的 individuality 的網(wǎng)絡(luò)安全解決方案 真正達(dá)到 SAFE 的目的 下面是每個(gè)層次的詳細(xì)分析描述 第一維為應(yīng)用層次維 這個(gè)維度實(shí)現(xiàn)對(duì)整個(gè)信息體系進(jìn)行描述 通過(guò)這個(gè)維度 以層次化對(duì)整個(gè)信息體系 進(jìn)行劃分 層次的劃分依據(jù)信息體系的建設(shè)結(jié)構(gòu) 把整個(gè)信息體系劃分為網(wǎng)絡(luò)層 提供 信息流通的平臺(tái) 用戶層 信息應(yīng)用的終端 業(yè)務(wù)層 信息應(yīng)用的提供層 通過(guò)這種抽 象的層次的劃分 可以以不同的層次對(duì)象為目標(biāo) 分析這些層次對(duì)不同的安全服務(wù)要素 精選范本 供參考 的需求情況 進(jìn)行層次化的 有針對(duì)性的系統(tǒng)安全需求分析 第二維為網(wǎng)絡(luò)空間維 這個(gè)維度從實(shí)際的信息系統(tǒng)結(jié)構(gòu)的組成的角度 對(duì)信息系統(tǒng)進(jìn)行模塊化的劃分 基 本的模塊可以劃分為桌面 服務(wù)器 外網(wǎng) 內(nèi)網(wǎng)等幾個(gè)模塊 這些模塊的劃分可以根據(jù) 需要進(jìn)行組合或者細(xì)化 進(jìn)行模塊劃分的主要目的是為前面相對(duì)抽象的安全需求分析提 供具體可實(shí)施的對(duì)象 保證整個(gè)安全措施有效可實(shí)施性 第三維為業(yè)務(wù)流程維 這個(gè)維度主要描述一個(gè)完善的網(wǎng)絡(luò)安全體系建設(shè)的流程 這個(gè)流程主要的參考 P2DR 模型 以我們前面進(jìn)行的需求分析為基礎(chǔ) 制定統(tǒng)一的安全策略 同時(shí)通過(guò)預(yù)防 Harden 保護(hù) Protect 檢測(cè) Detect 響應(yīng) Respond 以及改進(jìn) Improve 形成 一個(gè)閉環(huán)的網(wǎng)絡(luò)安全措施流程 縱深維為安全管理維 貫穿于上述三個(gè)維度 以及各個(gè)維度內(nèi)部各個(gè)層次的是安全管理 我們認(rèn)為 全面 的安全管理是信息網(wǎng)絡(luò)安全的一個(gè)基本保證 只有通過(guò)切實(shí)的安全管理 才能夠保證各 種安全技術(shù)能夠真正起到其應(yīng)有的作用 常言說(shuō) 三分技術(shù) 七分管理 安全管理 是保證網(wǎng)絡(luò)安全的基礎(chǔ) 安全技術(shù)只是配合安全管理的有效的輔助措施 1 3 方案設(shè)計(jì)思路方案設(shè)計(jì)思路 通過(guò)上述三維安全理論模型 我們可以比較清晰的分析出在一個(gè)信息網(wǎng)絡(luò)系統(tǒng)中 不同系統(tǒng) 層次有各自的特點(diǎn) 對(duì)安全服務(wù)要素的不同的需求的強(qiáng)度 依據(jù)這些安全服務(wù)要素需求的重點(diǎn)不 同 基于這些層次對(duì)應(yīng)的實(shí)際結(jié)構(gòu)模塊 有針對(duì)性地采用一些安全技術(shù)和安全產(chǎn)品來(lái)實(shí)現(xiàn)這些安 全服務(wù)要素 這些措施形成本層次的安全防護(hù)面 不同的層次相互組合銜接 形成一個(gè)立體的網(wǎng) 絡(luò)安全防御體系 在下面的 信息系統(tǒng)安全方案設(shè)計(jì)中 我們將首先通過(guò)信息網(wǎng)絡(luò)的層次劃分 把 其安全系統(tǒng)劃分成若干個(gè)安全層次 并針對(duì)每一個(gè)安全層次 分析其業(yè)務(wù)安全需求 提出安全解 決方案 最后形成一個(gè)全面的安全解決方案 同時(shí)在方案的設(shè)計(jì)過(guò)程中 遵循我們安全理論模型 中的業(yè)務(wù)流程體系 對(duì)所采取的安全措施進(jìn)行實(shí)施階段的劃分 形成一個(gè)動(dòng)態(tài)的 可調(diào)整的具有 強(qiáng)大實(shí)施能力的整體安全解決方案 精選范本 供參考 另外 我們認(rèn)為 網(wǎng)絡(luò)安全是一個(gè)動(dòng)態(tài)的全面的有機(jī)整體 傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品單獨(dú)羅列在 網(wǎng)絡(luò)之上的單點(diǎn)防御部署方法 事實(shí)已經(jīng)證明不能夠及時(shí)有效的解決網(wǎng)絡(luò)的威脅 網(wǎng)絡(luò)安全已經(jīng) 進(jìn)入人民戰(zhàn)爭(zhēng)階段 必須有效整合網(wǎng)絡(luò)中的每一個(gè)節(jié)點(diǎn)設(shè)備資源 通過(guò)加固 聯(lián)動(dòng) 嵌入等多種 技術(shù)手段使安全因素 DNA 滲透到網(wǎng)絡(luò)的每一個(gè)設(shè)備中 為用戶提供一個(gè)可實(shí)現(xiàn)可管理的安全網(wǎng) 絡(luò) 借助多年的網(wǎng)絡(luò)產(chǎn)品研發(fā)經(jīng)驗(yàn) H3C 已經(jīng)能夠?yàn)橛脩籼峁┒喾N安全網(wǎng)絡(luò)構(gòu)成產(chǎn)品技術(shù) 如 具有安全特征的網(wǎng)絡(luò)基礎(chǔ)設(shè)備 能夠與核心路由器 交換機(jī)聯(lián)動(dòng)的安全設(shè)備 安全設(shè)備間聯(lián)動(dòng) 核心交換機(jī) 路由器上的嵌入式安全模塊 智能集中策略管理中心等等 用戶可以根據(jù)網(wǎng)絡(luò)業(yè)務(wù) 需求選擇應(yīng)用 精選范本 供參考 二 二 網(wǎng)絡(luò)及安全現(xiàn)狀分析網(wǎng)絡(luò)及安全現(xiàn)狀分析 2 1 網(wǎng)絡(luò)結(jié)構(gòu)分析網(wǎng)絡(luò)結(jié)構(gòu)分析 網(wǎng)絡(luò)為典型的二級(jí)結(jié)構(gòu) 其中核心區(qū)是一臺(tái) 7505R 服務(wù)器群和 Internet 對(duì)外訪問鏈路都接 在此核心設(shè)備上 向下分為二級(jí)交換結(jié)構(gòu) 用來(lái)連接內(nèi)部各個(gè)網(wǎng)段 精選范本 供參考 2 2 2 2 安全層次的安全層次的分析模型分析模型 以前面介紹的三維安全理論模型為基礎(chǔ) 參照我們進(jìn)行的信息網(wǎng)絡(luò)系統(tǒng)的層次劃分 我們 認(rèn)為整個(gè)網(wǎng)絡(luò)安全系統(tǒng)可以劃分為以下幾個(gè)層次 分別為 1 網(wǎng)絡(luò)層 核心的安全需求為保證網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)目煽啃院桶踩?防范因?yàn)槲锢斫橘|(zhì) 信號(hào)輻射等造成的安全風(fēng)險(xiǎn) 保證整體網(wǎng)絡(luò)結(jié)構(gòu)的安全 保證網(wǎng)絡(luò)設(shè)備配置的安全 同 時(shí)提供網(wǎng)絡(luò)層有效的訪問控制能力 提供對(duì)網(wǎng)絡(luò)攻擊的實(shí)時(shí)檢測(cè)能力等 2 系統(tǒng)層 核心的安全需求為能夠提供機(jī)密的 可用的網(wǎng)絡(luò)應(yīng)用服務(wù) 包括業(yè)務(wù)數(shù)據(jù)存儲(chǔ) 和傳輸?shù)陌踩?業(yè)務(wù)訪問的身份認(rèn)證及資源訪問權(quán)限分配 業(yè)務(wù)訪問的有效的記錄和審 計(jì) 以及特殊應(yīng)用模式的安全風(fēng)險(xiǎn) 比如垃圾 Mail Web 攻擊等 3 管理層 嚴(yán)格規(guī)范的管理制度是保證一個(gè)復(fù)雜網(wǎng)絡(luò)安全運(yùn)行的必要條件 通過(guò)提供安全 的 簡(jiǎn)便的和功能豐富的統(tǒng)一管理平臺(tái) 創(chuàng)建全網(wǎng)統(tǒng)一的管理策略 及時(shí)對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān) 控 分析 統(tǒng)計(jì)和安全機(jī)制的下發(fā) 既便于信息的及時(shí)反饋和交換 又便于全網(wǎng)統(tǒng)一的 安全管理策略的形成 4 應(yīng)用層 核心的安全需求為保證用戶節(jié)點(diǎn)的安全需求 保證用戶操作系統(tǒng)平臺(tái)的安全 防范網(wǎng)絡(luò)防病毒的攻擊 提高用戶節(jié)點(diǎn)的攻擊防范和檢測(cè)能力 同時(shí)加強(qiáng)對(duì)用戶的網(wǎng)絡(luò) 應(yīng)用行為管理 包括網(wǎng)絡(luò)接入能力以及資源訪問控制能力等 漏洞檢測(cè)漏洞檢測(cè) 入侵掃描入侵掃描 WindowsNTWindowsNT 安全設(shè)置安全設(shè)置 數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù) 安全機(jī)制安全機(jī)制 應(yīng)用系統(tǒng)應(yīng)用系統(tǒng) 安全機(jī)制安全機(jī)制 UNIXUNIX 安全設(shè)置安全設(shè)置 可靠性安全措施可靠性安全措施 路由認(rèn)證與過(guò)濾路由認(rèn)證與過(guò)濾 交換機(jī)交換機(jī)VLANVLAN技術(shù)技術(shù) AAAAAA訪問認(rèn)證訪問認(rèn)證 網(wǎng)網(wǎng)絡(luò)絡(luò)層層安安全全網(wǎng)網(wǎng)絡(luò)絡(luò)層層安安全全 管管理理層層安安全全管管理理層層安安全全應(yīng)應(yīng)用用層層安安全全應(yīng)應(yīng)用用層層安安全全 系系統(tǒng)統(tǒng)層層安安全全系系統(tǒng)統(tǒng)層層安安全全 安安全全體體系系總總體體結(jié)結(jié)構(gòu)構(gòu)安安全全體體系系總總體體結(jié)結(jié)構(gòu)構(gòu) 安全管理安全管理 制度制度 計(jì)算機(jī)計(jì)算機(jī) 病毒防范病毒防范 甘甘肅肅網(wǎng)網(wǎng)通通甘甘肅肅網(wǎng)網(wǎng)通通 城城域域數(shù)數(shù)據(jù)據(jù)網(wǎng)網(wǎng)城城域域數(shù)數(shù)據(jù)據(jù)網(wǎng)網(wǎng) VPNVPN接入技術(shù)接入技術(shù) 安全應(yīng)用安全應(yīng)用 平臺(tái)平臺(tái) 硬件防火墻硬件防火墻 網(wǎng)絡(luò) 精選范本 供參考 下面我們將通過(guò)分析在前面描述的德州環(huán)抱局的網(wǎng)絡(luò)及應(yīng)用現(xiàn)狀 全面分析歸納出在不同層 次的安全需求 2 3 2 3 安全需求分析安全需求分析 2 3 1 2 3 1 網(wǎng)絡(luò)層網(wǎng)絡(luò)層 網(wǎng)絡(luò)層的核心的安全需求為保證網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)目煽啃院桶踩?存在的安全風(fēng)險(xiǎn)主要包括 以下幾個(gè)方面 1 線路的物理安全以及信號(hào)輻射的風(fēng)險(xiǎn) 局域網(wǎng)線路采用綜合布線系統(tǒng) 基本不存在太大的物理安全問題 廣域通信線路的 如果是租用 ISP 供應(yīng)商線路的方式 不會(huì)存在太大的安全風(fēng)險(xiǎn) ISP 供應(yīng)商已經(jīng)采 取了足夠的物理保護(hù)措施以及線路冗余措施 如果是獨(dú)立進(jìn)行的線路鋪設(shè) 需要采 取物理保護(hù) 有效標(biāo)示等防范措施 通信線路的信號(hào)輻射風(fēng)險(xiǎn)可以采用比較有效的方式為 屏蔽式線纜 線路電磁屏蔽 或者光通信等方式 相對(duì)來(lái)說(shuō)信號(hào)輻射造成的安全風(fēng)險(xiǎn)不是太大 在一般安全需求 強(qiáng)度的應(yīng)用環(huán)境下 不需要采取太多的防范措施 2 網(wǎng)絡(luò)結(jié)構(gòu)以及網(wǎng)絡(luò)數(shù)據(jù)流通模式的風(fēng)險(xiǎn) 現(xiàn)有主要的網(wǎng)絡(luò)結(jié)構(gòu)為星形 樹形 環(huán)形以及網(wǎng)狀 隨著網(wǎng)絡(luò)節(jié)點(diǎn)間的連接密度的 增加 整個(gè)網(wǎng)絡(luò)提供的線路冗余能力也會(huì)增加 提供的網(wǎng)絡(luò)數(shù)據(jù)的流動(dòng)模式會(huì)更靈 活 整個(gè)網(wǎng)絡(luò)可靠性和可用性也會(huì)大大的增加 的網(wǎng)絡(luò)結(jié)構(gòu) 能夠滿足數(shù)據(jù)流動(dòng)模式的需求 是一種性價(jià)比最高的連 接方式 為了保證網(wǎng)絡(luò)系統(tǒng)的可靠性 將來(lái)可以采取的有效可行的措施是加強(qiáng)線路 備份措施的實(shí)施 3 網(wǎng)絡(luò)設(shè)備安全有效配置的風(fēng)險(xiǎn) 網(wǎng)絡(luò)設(shè)備是網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)暮诵?是整個(gè)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施 各種網(wǎng)絡(luò)設(shè)備本身的安 全與可靠性以及這些設(shè)備上應(yīng)用策略的安全都需要進(jìn)行合理的配置才能夠保證 4 網(wǎng)絡(luò)攻擊行為的檢測(cè)和防范的風(fēng)險(xiǎn) 精選范本 供參考 基于網(wǎng)絡(luò)協(xié)議的缺陷 尤其是 TCP IP 協(xié)議的開放特性 帶來(lái)了非常大的安全風(fēng)險(xiǎn) 常見的 IP 地址竊取 IP 地址假冒 網(wǎng)絡(luò)端口掃描以及危害非常大的拒絕服務(wù)攻擊 DOS DDOS 等 必須能夠提供對(duì)這些攻擊行為有效的檢測(cè)和防范能力的措施 5 網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性的風(fēng)險(xiǎn) 網(wǎng)絡(luò)數(shù)據(jù)在傳輸?shù)倪^(guò)程中 很可能被通過(guò)各種方式竊取 因此保證數(shù)據(jù)在傳輸?shù)倪^(guò) 程中機(jī)密性 保證數(shù)據(jù)傳遞的信息不被第三方獲得 完整性 保證數(shù)據(jù)在傳遞過(guò) 程中不被人修改 是非常重要的 尤其是在傳遞的信息的價(jià)值不斷提高情況下 2 3 2 系統(tǒng)層系統(tǒng)層 1 服務(wù)器及數(shù)據(jù)存儲(chǔ)系統(tǒng)的可用性風(fēng)險(xiǎn) 業(yè)務(wù)系統(tǒng)的可靠性和可用性是網(wǎng)絡(luò)安全的一個(gè)很重要的特性 必須保證業(yè)務(wù)系統(tǒng)硬 件平臺(tái) 主要是大量的服務(wù)器 以及數(shù)據(jù)硬件平臺(tái) 主要是存儲(chǔ)系統(tǒng) 的可靠性 2 操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)平臺(tái)的安全風(fēng)險(xiǎn) 通過(guò)對(duì)各種流行的網(wǎng)絡(luò)攻擊行為的分析 可以發(fā)現(xiàn)絕大多數(shù)的攻擊是利用各種操作 系統(tǒng)和一些網(wǎng)絡(luò)服務(wù)平臺(tái)存在的一些已公開的安全漏洞發(fā)起 因此 杜絕各種操作 系統(tǒng)和網(wǎng)絡(luò)服務(wù)平臺(tái)的已公開的安全漏洞 可以在很大程度上防范系統(tǒng)攻擊的發(fā)生 3 用戶對(duì)業(yè)務(wù)訪問的有效的記錄和審計(jì) 業(yè)務(wù)系統(tǒng)必須能夠?qū)τ脩舻母鞣N訪問行為進(jìn)行詳細(xì)的記錄 以便進(jìn)行事后查證 2 3 3 管理層管理層 1 用戶身份認(rèn)證及資源訪問權(quán)限的控制 由于網(wǎng)絡(luò)中的各個(gè)應(yīng)用系統(tǒng)上有很多信息是提供給不同權(quán)限用戶查閱的 不同級(jí)別 不同部門 不同人員能夠訪問的資源都不一樣 因此需要嚴(yán)格區(qū)分用戶的身份 設(shè) 置合理的訪問權(quán)限 保證信息可以在被有效控制下共享 2 來(lái)自不同安全域的訪問控制的風(fēng)險(xiǎn) 精選范本 供參考 網(wǎng)絡(luò)結(jié)構(gòu)越來(lái)越復(fù)雜 接入網(wǎng)絡(luò)的用戶也越來(lái)越多 必須能夠在不同的網(wǎng)絡(luò)區(qū)域之 間采取一定的控制措施 有效控制不同的網(wǎng)絡(luò)區(qū)域之間的網(wǎng)絡(luò)通信 以此來(lái)控制網(wǎng) 絡(luò)元素間的互訪能力 避免網(wǎng)絡(luò)濫用 同時(shí)實(shí)現(xiàn)安全風(fēng)險(xiǎn)的有效的隔離 把安全風(fēng) 險(xiǎn)隔離在相對(duì)比較獨(dú)立以及比較小的網(wǎng)絡(luò)區(qū)域 3 用戶網(wǎng)絡(luò)訪問行為有效控制的風(fēng)險(xiǎn) 首先需要對(duì)用戶接入網(wǎng)絡(luò)的能力進(jìn)行控制 同時(shí)需要更細(xì)粒度的訪問控制 尤其是 對(duì) Internet 資源的訪問控制 比如應(yīng)該能夠控制內(nèi)部用戶訪問 Internet 的什么網(wǎng)站 在此基礎(chǔ)之上 必須能夠進(jìn)行縝密的行為審計(jì)管理 2 3 4 用戶層用戶層 4 用戶操作系統(tǒng)平臺(tái)安全漏洞的風(fēng)險(xiǎn) 大部分的網(wǎng)絡(luò)攻擊行為以及網(wǎng)絡(luò)病毒的傳播都是由于操作系統(tǒng)平臺(tái)本身存在的安全 漏洞 微軟不斷發(fā)布系統(tǒng)補(bǔ)丁即是明證 因此必須有效避免系統(tǒng)漏洞造成的安全風(fēng) 險(xiǎn) 同時(shí)對(duì)操作系統(tǒng)的安全機(jī)制進(jìn)行合理的配置 5 用戶主機(jī)遭受網(wǎng)絡(luò)病毒攻擊的風(fēng)險(xiǎn) 網(wǎng)絡(luò)給病毒的傳播提供了很好的路徑 網(wǎng)絡(luò)病毒傳播速度之快 危害之大是令人吃 驚的 特別是最近開始流行的一些蠕蟲病毒 更是防不勝防 環(huán)境下必須建設(shè)全面 的網(wǎng)絡(luò)防病毒系統(tǒng) 層層設(shè)防 逐層把關(guān) 堵住病毒傳播的各種可能途徑 6 針對(duì)用戶主機(jī)網(wǎng)絡(luò)攻擊的安全風(fēng)險(xiǎn) 目前 Internet 上有各種完善的網(wǎng)絡(luò)攻擊工具 在局域網(wǎng)的環(huán)境下 這種攻擊會(huì)更加 有效 針對(duì)的目標(biāo)會(huì)更加明確 據(jù)統(tǒng)計(jì) 有 97 的攻擊是來(lái)自內(nèi)部的攻擊 而且 內(nèi)部攻擊成功的概率要遠(yuǎn)遠(yuǎn)高于來(lái)自于 Internet 的攻擊 造成的后果也嚴(yán)重的多 2 4 安全需求總結(jié)安全需求總結(jié) 通過(guò)以上分析 網(wǎng)絡(luò)系統(tǒng)最迫切需要解決的問題包括 1在網(wǎng)絡(luò)邊界部署防火墻系統(tǒng) 它可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)區(qū)域分割 提供基于 IP 地址 精選范本 供參考 和 TCP IP 服務(wù)端口等的訪問控制 對(duì)常見的網(wǎng)絡(luò)攻擊方式 如拒絕服務(wù)攻擊 ping of death land syn flooding ping flooding tear drop 端口掃描 port scanning IP 欺騙 ip spoofing IP 盜用等進(jìn)行有效防護(hù) 并提供 NAT 地址轉(zhuǎn)換 流量限制 用 戶認(rèn)證 IP 與 MAC 綁定等安全增強(qiáng)措施 2部署 IPS 入侵防御系統(tǒng) 及時(shí)發(fā)現(xiàn)并過(guò)濾來(lái)自內(nèi)部和外部網(wǎng)絡(luò)的非法入侵和掃描 并 對(duì)所有的網(wǎng)絡(luò)行為進(jìn)行詳細(xì)的審計(jì) 對(duì)惡意的網(wǎng)絡(luò)活動(dòng)進(jìn)行追查 對(duì)應(yīng)用流量和服務(wù) 器群進(jìn)行保護(hù) 3部署全網(wǎng)統(tǒng)一的防病毒系統(tǒng) 保護(hù)系統(tǒng)免受病毒威脅 4提供終端用戶行為管理工具 強(qiáng)制規(guī)范終端用戶行為 終端用戶安全策略集中下發(fā) 實(shí)時(shí)審計(jì) 5網(wǎng)絡(luò)中部署的各種安全產(chǎn)品不再孤立 提供多種安全產(chǎn)品 網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)防御 防火墻 IPS 交換機(jī) 防病毒 身份認(rèn)證 策略管理 終端用戶行為規(guī)范工具之間能夠集中聯(lián) 動(dòng) 主動(dòng)動(dòng)態(tài)防御 6提供靈活智能的安全策略 設(shè)備集中管理中心平臺(tái) 制定符合 實(shí)際需求的 安全管理規(guī)定 精選范本 供參考 三 三 網(wǎng)絡(luò)安全整體解決方案 網(wǎng)絡(luò)安全整體解決方案 3 1 網(wǎng)絡(luò)安全總體方案 網(wǎng)絡(luò)安全總體方案 在 總體安全規(guī)劃設(shè)計(jì)中 我們將按照安全風(fēng)險(xiǎn)防護(hù)與安全投資之間的平衡原則 主要包括層次化的綜合防護(hù)原則和不同層次重點(diǎn)防護(hù)原則 提出以下的安全風(fēng)險(xiǎn)和防護(hù)措施 從而建立起全防御體系的信息安全框架 由此 在本期總體安全規(guī)劃建設(shè)中 應(yīng)主要針對(duì) 的薄弱環(huán)節(jié) 構(gòu)建完善的網(wǎng)絡(luò) 邊界防范措施 網(wǎng)絡(luò)內(nèi)部入侵防御機(jī)制 完善的防病毒機(jī)制 增強(qiáng)的網(wǎng)絡(luò)抗攻擊能力以及網(wǎng)絡(luò)系 統(tǒng)漏洞安全評(píng)估分析機(jī)制等 詳細(xì)描述如下 首先 是對(duì)網(wǎng)絡(luò)邊界安全風(fēng)險(xiǎn)的防護(hù)首先 是對(duì)網(wǎng)絡(luò)邊界安全風(fēng)險(xiǎn)的防護(hù) 對(duì)于一個(gè)網(wǎng)絡(luò)安全域 局域網(wǎng)網(wǎng)絡(luò)內(nèi)部相對(duì)來(lái)說(shuō)認(rèn)為是安全的 來(lái)說(shuō) 其最大的安全風(fēng)險(xiǎn)則 是來(lái)自網(wǎng)絡(luò)邊界的威脅 其中包括非授權(quán)訪問 惡意探測(cè)和攻擊 非法掃描等 而對(duì)于 網(wǎng)絡(luò)來(lái)說(shuō) 互聯(lián)網(wǎng)及相對(duì)核心網(wǎng)的網(wǎng)絡(luò)均為外網(wǎng) 它們的網(wǎng)絡(luò)邊界處存 在著內(nèi)部或外部人員的非授權(quán)訪問 有意無(wú)意的掃描 探測(cè) 甚至惡意的攻擊等安全威脅 而防 火墻系統(tǒng)則是網(wǎng)絡(luò)邊界處最基本的安全防護(hù)措施 而互聯(lián)網(wǎng)出口更是重中之重 因此 很有必要 在互聯(lián)網(wǎng)出口出部署防火墻系統(tǒng) 建議配置兩臺(tái)高性能千兆防火墻組成雙機(jī)熱備系統(tǒng) 以保證網(wǎng) 絡(luò)高可用性 其次 是建立網(wǎng)絡(luò)內(nèi)部入侵防御機(jī)制其次 是建立網(wǎng)絡(luò)內(nèi)部入侵防御機(jī)制 在互聯(lián)網(wǎng)出口 內(nèi)網(wǎng)出口等邊界處利用防火墻技術(shù) 經(jīng)過(guò)仔細(xì)的配置 通常能夠在內(nèi)外網(wǎng)之 間提供安全的網(wǎng)絡(luò)保護(hù) 降低了網(wǎng)絡(luò)安全風(fēng)險(xiǎn) 但是 僅僅使用防火墻 網(wǎng)絡(luò)安全還遠(yuǎn)遠(yuǎn)不夠 還需要通過(guò)對(duì)網(wǎng)絡(luò)入侵行為進(jìn)行主動(dòng)防護(hù)來(lái)加強(qiáng)網(wǎng)絡(luò)的安全性 因此 系統(tǒng)安全 體系必須建立一個(gè)智能化的實(shí)時(shí)攻擊識(shí)別和響應(yīng)系統(tǒng) 管理和降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn) 保證網(wǎng)絡(luò)安全 防護(hù)能力能夠不斷增強(qiáng) 目前網(wǎng)絡(luò)入侵安全問題主要采用網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)和入侵防御系統(tǒng)等成熟產(chǎn)品和技術(shù)來(lái)解決 因此 需要在外網(wǎng)交換機(jī) 內(nèi)網(wǎng)交換機(jī)和服務(wù)器前端等流量主通路上配置相關(guān)的千兆或百兆 IPS 精選范本 供參考 系統(tǒng) 負(fù)責(zé)辨別并且阻斷各種基于應(yīng)用的網(wǎng)絡(luò)攻擊和危險(xiǎn)應(yīng)用 同時(shí)實(shí)現(xiàn)基于應(yīng)用的網(wǎng)絡(luò)管理 達(dá)到網(wǎng)絡(luò)安全 健壯和流暢運(yùn)行的最終目的 第三 建立端點(diǎn)準(zhǔn)入控制系統(tǒng)第三 建立端點(diǎn)準(zhǔn)入控制系統(tǒng) 網(wǎng)絡(luò)安全問題的解決 三分靠技術(shù) 七分靠管理 嚴(yán)格管理是 網(wǎng)絡(luò)用戶免受網(wǎng) 絡(luò)安全問題威脅的重要措施 事實(shí)上 用戶終端都缺乏有效的制度和手段管理網(wǎng)絡(luò)安全 網(wǎng)絡(luò)用 戶不及時(shí)升級(jí)系統(tǒng)補(bǔ)丁 升級(jí)病毒庫(kù)的現(xiàn)象普遍存在 隨意接入網(wǎng)絡(luò) 私設(shè)代理服務(wù)器 私自訪 問保密資源等行為在企業(yè)網(wǎng)中也比比皆是 管理的欠缺不僅會(huì)直接影響用戶網(wǎng)絡(luò)的正常運(yùn)行 還 可能使機(jī)關(guān)蒙受巨大的損失 為了解決現(xiàn)有網(wǎng)絡(luò)安全管理中存在的不足 應(yīng)對(duì)網(wǎng)絡(luò)安全威脅 網(wǎng)絡(luò)需要從用戶終端準(zhǔn)入控 制入手 整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品 通過(guò)安全客戶端 安全策略服務(wù)器 網(wǎng)絡(luò)設(shè)備以及 防病毒軟件產(chǎn)品 軟件補(bǔ)丁管理產(chǎn)品的聯(lián)動(dòng) 對(duì)接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略 嚴(yán) 格控制終端用戶的網(wǎng)絡(luò)使用行為 可以加強(qiáng)用戶終端的主動(dòng)防御能力 大幅度提高網(wǎng)絡(luò)安全 第四 是構(gòu)建完善的病毒防范機(jī)制第四 是構(gòu)建完善的病毒防范機(jī)制 對(duì)于建立完善的防病毒系統(tǒng)來(lái)說(shuō) 同樣也是當(dāng)務(wù)之急的 必須配備網(wǎng)絡(luò)版的防病毒系統(tǒng)進(jìn)行 文件病毒的防護(hù) 另外 對(duì)于網(wǎng)絡(luò)病毒來(lái)說(shuō) 如果能夠做到在網(wǎng)絡(luò)出口處就將其封殺 截留的話 不僅能夠降低病毒進(jìn)入網(wǎng)絡(luò)內(nèi)部所造成的安全損失風(fēng)險(xiǎn) 更重要的是防止了病毒進(jìn)入內(nèi)部所帶來(lái) 的帶寬阻塞或損耗 有效地保護(hù)了網(wǎng)絡(luò)帶寬的利用率 因此 這種前提下 可以在互聯(lián)網(wǎng)出口處 配置硬件病毒網(wǎng)關(guān)或者基于應(yīng)用的入侵防御系統(tǒng)的方式進(jìn)行解決 特別是 對(duì)于消耗網(wǎng)絡(luò)帶寬 造成網(wǎng)絡(luò)通信中斷的蠕蟲病毒是一個(gè)十分有效的措施 第五 是加強(qiáng)網(wǎng)絡(luò)的抗攻擊能力第五 是加強(qiáng)網(wǎng)絡(luò)的抗攻擊能力 拒絕服務(wù)攻擊是一種對(duì)網(wǎng)絡(luò)危害巨大的惡意攻擊 其中 具有代表性的攻擊手段包括 SYN flood ICMP flood UDP flood 等其原理是使用大量的偽造的連接請(qǐng)求報(bào)文攻擊網(wǎng)絡(luò)服務(wù)所在的 端口 比如 80 WEB 造成服務(wù)器的資源耗盡 系統(tǒng)停止響應(yīng)甚至崩潰 而連接耗盡攻擊 這種攻擊則使用真實(shí)的 IP 地址 發(fā)起針對(duì)網(wǎng)絡(luò)服務(wù)的大量的真實(shí)連接來(lái)?yè)屨紟?也可以造成 WEB Server 的資源耗盡 導(dǎo)致服務(wù)中止 隨著 信息化工作的深入開展 其網(wǎng)絡(luò)中存在著大量的網(wǎng)絡(luò)設(shè)備 安全設(shè)備 服 務(wù)器設(shè)備等 如何保護(hù)它們和整個(gè)網(wǎng)絡(luò)不受 DDOS 的攻擊則是網(wǎng)絡(luò)整體防范中的重點(diǎn) 而對(duì)付 大規(guī)模的 DDOS 攻擊的最好的方式除了及時(shí)對(duì)網(wǎng)絡(luò)設(shè)備 服務(wù)器設(shè)備進(jìn)行漏洞掃描 升級(jí)補(bǔ)丁 精選范本 供參考 進(jìn)行主機(jī)系統(tǒng)加固外 還有一種方式就是在互聯(lián)網(wǎng)出口或者核心服務(wù)器前端配置防 DOS 攻擊設(shè) 備 來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)的安全 第六 建立網(wǎng)絡(luò)系統(tǒng)漏洞的評(píng)估分析機(jī)制第六 建立網(wǎng)絡(luò)系統(tǒng)漏洞的評(píng)估分析機(jī)制 最后 網(wǎng)絡(luò)安全的建設(shè)是一個(gè)動(dòng)態(tài)的 可持續(xù)的過(guò)程 當(dāng)網(wǎng)絡(luò)中增加了新的網(wǎng)絡(luò)設(shè)備 主機(jī) 系統(tǒng)或應(yīng)用系統(tǒng) 能夠及時(shí)發(fā)現(xiàn)并迅速解決相關(guān)的安全風(fēng)險(xiǎn)和威脅 實(shí)施專門地安全服務(wù)評(píng)估掃 描工具是很有必要的 通過(guò)專業(yè)的網(wǎng)絡(luò)漏洞掃描系統(tǒng)對(duì)整個(gè)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備 信息資產(chǎn) 應(yīng)用系統(tǒng) 操作系統(tǒng) 人員以及相關(guān)的管理制度進(jìn)行評(píng)估分析 找出相關(guān)弱點(diǎn) 并及時(shí)提交相關(guān)解決方法 使得網(wǎng)絡(luò)的 安全性得到動(dòng)態(tài)的 可持續(xù)的發(fā)展 保證了整個(gè)網(wǎng)絡(luò)的安全性 本期總體安全規(guī)劃建設(shè)完成后的效果本期總體安全規(guī)劃建設(shè)完成后的效果 通過(guò)在本期總體安全規(guī)中包括的幾個(gè)重要方面的安全防護(hù)建設(shè) 包括構(gòu)建完善的網(wǎng)絡(luò)邊界防 范措施 網(wǎng)絡(luò)內(nèi)部入侵防御機(jī)制 移動(dòng)用戶遠(yuǎn)程安全訪問機(jī)制 完善的防病毒機(jī)制 增強(qiáng)的網(wǎng)絡(luò) 抗攻擊能力以及網(wǎng)絡(luò)系統(tǒng)漏洞安全評(píng)估分析機(jī)制等 最終可以使 網(wǎng)絡(luò)初步具備較高 的抗黑客入侵能力 全面的防毒 查殺毒能力以及對(duì)整網(wǎng)漏洞的評(píng)估分析能力 從而建立起全防 御體系的信息安全框架 基本達(dá)到 GB 17859 中規(guī)定的二級(jí)安全防護(hù)保障能力 3 1 1 基礎(chǔ)設(shè)施安全部署基礎(chǔ)設(shè)施安全部署 3 1 1 1 分級(jí)設(shè)置用戶口令分級(jí)設(shè)置用戶口令 H3C 系列路由器 交換機(jī)的登錄口令分為 4 級(jí) 參觀級(jí) 監(jiān)控級(jí) 配置級(jí) 管理級(jí) 不同 的級(jí)別所能做的操作都不相同 參觀級(jí) 網(wǎng)絡(luò)診斷工具命令 ping tracert 從本設(shè)備出發(fā)訪問外部設(shè)備的 命令 包括 Telnet 客戶端 SSH 客戶端 RLOGIN 等 該級(jí)別命令不允許進(jìn)行配置 文件保存的操作 監(jiān)控級(jí) 用于系統(tǒng)維護(hù) 業(yè)務(wù)故障診斷等 包括 display debugging 命令 該 級(jí)別命令不允許進(jìn)行配置文件保存的操作 配置級(jí) 業(yè)務(wù)配置命令 包括路由 各個(gè)網(wǎng)絡(luò)層次的命令 這些用于向用戶提 供直接網(wǎng)絡(luò)服務(wù) 精選范本 供參考 管理級(jí) 關(guān)系到系統(tǒng)基本運(yùn)行 系統(tǒng)支撐模塊的命令 這些命令對(duì)業(yè)務(wù)提供支 撐作用 包括文件系統(tǒng) FTP TFTP Xmodem 下載 配置文件切換命令 電源控制 命令 背板控制命令 用戶管理命令 級(jí)別設(shè)置命令 系統(tǒng)內(nèi)部參數(shù)設(shè)置命令 非協(xié)議 規(guī)定 非 RFC 規(guī)定 等 建議分級(jí)設(shè)置登錄口令 以便于對(duì)于不同的維護(hù)人員提供不同的口令 3 1 1 2 對(duì)任何方式的用戶登錄都進(jìn)行認(rèn)證對(duì)任何方式的用戶登錄都進(jìn)行認(rèn)證 建議對(duì)于各種登錄設(shè)備的方式 通過(guò) TELNET CONSOLE 口 AUX 口 都進(jìn)行認(rèn)證 在默認(rèn)的情況下 CONSOLE 口不進(jìn)行認(rèn)證 在使用時(shí)建議對(duì)于 CONSOLE 口登錄配置上認(rèn) 證 對(duì)于安全級(jí)別一般的設(shè)備 建議認(rèn)證方式采用本地認(rèn)證 認(rèn)證的時(shí)候要求對(duì)用戶名和密碼都 進(jìn)行認(rèn)證 配置密碼的時(shí)候要采用密文方式 用戶名和密碼要求足夠的強(qiáng)壯 對(duì)于安全級(jí)別比較高的設(shè)備 建議采用 AAA 方式到 RADIUS 或 TACACS 服務(wù)器去認(rèn)證 H3C 系列路由器 交換機(jī)支持 RADIUS 和 TACACS 認(rèn)證協(xié)議 3 1 1 3 對(duì)網(wǎng)絡(luò)上已知的病毒所使用的端口進(jìn)行過(guò)濾對(duì)網(wǎng)絡(luò)上已知的病毒所使用的端口進(jìn)行過(guò)濾 現(xiàn)在網(wǎng)絡(luò)上的很多病毒 沖擊波 振蕩波 發(fā)作時(shí) 對(duì)網(wǎng)絡(luò)上的主機(jī)進(jìn)行掃描搜索 該攻擊 雖然不是針對(duì)設(shè)備本身 但是在攻擊過(guò)程中會(huì)涉及到發(fā) ARP 探詢主機(jī)位置等操作 某些時(shí)候?qū)?于網(wǎng)絡(luò)設(shè)備的資源消耗十分大 同時(shí)會(huì)占用大量的帶寬 對(duì)于這些常見的病毒 通過(guò)分析它們的 工作方式 可知道他們所使用的端口號(hào) 為了避免這些病毒對(duì)于設(shè)備運(yùn)行的影響 建議在設(shè)備上配置 ACL 對(duì)已知的病毒所使用的 TCP UDP 端口號(hào)進(jìn)行過(guò)濾 一方面保證了設(shè)備資源不被病毒消耗 另一方面阻止了病毒的傳 播 保護(hù)了網(wǎng)絡(luò)中的主機(jī)設(shè)備 3 1 1 4 采用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)保護(hù)內(nèi)部網(wǎng)絡(luò)采用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)保護(hù)內(nèi)部網(wǎng)絡(luò) 地址轉(zhuǎn)換 用來(lái)實(shí)現(xiàn)私有網(wǎng)絡(luò)地址與公有網(wǎng)絡(luò)地址之間的轉(zhuǎn)換 地址轉(zhuǎn)換的優(yōu)點(diǎn)在于屏蔽了 內(nèi)部網(wǎng)絡(luò)的實(shí)際地址 外部網(wǎng)絡(luò)基本上不可能穿過(guò)地址代理來(lái)直接訪問內(nèi)部網(wǎng)絡(luò) 精選范本 供參考 通過(guò)配置 用戶可以指定能夠通過(guò)地址轉(zhuǎn)換的主機(jī) 以有效地控制內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò)的訪 問 結(jié)合地址池 還可以支持多對(duì)多的地址轉(zhuǎn)換 更有效地利用用戶的合法 IP 地址資源 H3C 系列路由器可以提供靈活的內(nèi)部服務(wù)器的支持 對(duì)外提供 WEB FTP SMTP 等必要的服務(wù) 而這些服務(wù)器放置在內(nèi)部網(wǎng)絡(luò)中 既保證了安全 又可方便地進(jìn)行服務(wù)器的維護(hù) 3 1 1 5 關(guān)閉危險(xiǎn)的服務(wù)關(guān)閉危險(xiǎn)的服務(wù) 如果在 H3C 系列路由器上不使用以下服務(wù)的時(shí)候 建議將這些服務(wù)關(guān)閉 防止那些通過(guò)這 些服務(wù)的攻擊對(duì)設(shè)備的影響 禁止 HDP Huawei Discovery Protocol 禁止其他的 TCP UDP Small 服務(wù) 路由器提供一些基于 TCP 和 UDP 協(xié)議的小服務(wù)如 echo chargen 和 discard 這些小服務(wù)很少被使用 而且容易被攻擊者利用來(lái)越過(guò)包過(guò) 濾機(jī)制 禁止 Finger NTP 服務(wù) Finger 服務(wù)可能被攻擊者利用查找用戶和口令攻擊 NTP 不是 十分危險(xiǎn)的 但是如果沒有一個(gè)很好的認(rèn)證 則會(huì)影響路由器正確時(shí)間 導(dǎo)致日志和其 他任務(wù)出錯(cuò) 建議禁止 HTTP 服務(wù) 路由器操作系統(tǒng)支持 Http 協(xié)議進(jìn)行遠(yuǎn)端配置和監(jiān)視 而針對(duì) Http 的認(rèn)證就相當(dāng)于在網(wǎng)絡(luò)上發(fā)送明文且對(duì)于 Http 沒有有效的基于挑戰(zhàn)或一次性的口 令保護(hù) 這使得用 Http 進(jìn)行管理相當(dāng)危險(xiǎn) 禁止 BOOTp 服務(wù) 禁止 IP Source Routing 明確的禁止 IP Directed Broadcast 禁止 IP Classless 禁止 ICMP 協(xié)議的 IP Unreachables Redirects Mask Replies 如果沒必要?jiǎng)t禁止 WINS 和 DNS 服務(wù) 禁止從網(wǎng)絡(luò)啟動(dòng)和自動(dòng)從網(wǎng)絡(luò)下載初始配置文件 禁止 FTP 服務(wù) 網(wǎng)絡(luò)上存在大量的 FTP 服務(wù) 使用不同的用戶名和密碼進(jìn)行嘗試登錄 設(shè)備 一旦成功登錄 就可以對(duì)設(shè)備的文件系統(tǒng)操作 十分危險(xiǎn) 精選范本 供參考 3 1 1 6 使用使用 SNMP 協(xié)議時(shí)候的安全建議協(xié)議時(shí)候的安全建議 在不使用網(wǎng)管的時(shí)候 建議關(guān)閉 SNMP 協(xié)議 出于 SNMPv1 v2 協(xié)議自身不安全性的考慮 建議盡量使用 SNMPv3 除非網(wǎng)管不支持 SNMPv3 只能用 SNMPv1 v2 在配置 SNMPv3 時(shí) 最好既鑒別又加密 以更有效地加強(qiáng)安全 鑒別協(xié)議可通過(guò) MD5 或 SHA 加密協(xié)議可通過(guò) DES 在 SNMP 服務(wù)中 提供了 ACL 過(guò)濾機(jī)制 該機(jī)制適用于 SNMPv1 v2 v3 三個(gè)版本 建議通 過(guò)訪問控制列表來(lái)限制 SNMP 的客戶端 SNMP 服務(wù)還提供了視圖控制 可用于 SNMPv1 v2 v3 建議使用視圖來(lái)限制用戶的訪問權(quán) 限 在配置 SNMPv1 v2 的 community 名字時(shí) 建議避免使用 public private 這樣公用的名字 并且在配置 community 時(shí) 將 RO 和 RW 的 community 分開 不要配置成相同的名字 如果不 需要 RW 的權(quán)限 則建議不要配置 RW 的 community 3 1 1 7 保持系統(tǒng)日志的打開保持系統(tǒng)日志的打開 H3C 系列路由器 交換機(jī)的系統(tǒng)日志會(huì)記錄設(shè)備的運(yùn)行信息 維護(hù)人員做了哪些操作 執(zhí) 行了哪些命令 系統(tǒng)日志建議一直打開 以便于網(wǎng)絡(luò)異常的時(shí)候 查找相關(guān)的記錄 并能提供以 下幾種系統(tǒng)信息的記錄功能 access list 的 log 功能 在配置 access list 時(shí)加入 log 關(guān)鍵字 可以在交換機(jī)處理相應(yīng)的 報(bào)文時(shí) 記錄報(bào)文的關(guān)鍵信息 關(guān)鍵事件的日志記錄 對(duì)于如接口的 UP DOWN 以及用戶登錄成功 失敗等信息可以 作記錄 Debug 信息 用來(lái)對(duì)網(wǎng)絡(luò)運(yùn)行出現(xiàn)的問題進(jìn)行分析 3 1 1 8 注意檢查設(shè)備的系統(tǒng)時(shí)間是否準(zhǔn)確注意檢查設(shè)備的系統(tǒng)時(shí)間是否準(zhǔn)確 為了保證日志時(shí)間的準(zhǔn)確性 建議定期 每月一次 檢查設(shè)備的系統(tǒng)時(shí)間是否準(zhǔn)確 和實(shí)際 時(shí)間誤差不超過(guò) 1 分鐘 精選范本 供參考 3 1 1 9 運(yùn)行路由協(xié)議的時(shí)候 增加對(duì)路由協(xié)議的加密認(rèn)證運(yùn)行路由協(xié)議的時(shí)候 增加對(duì)路由協(xié)議的加密認(rèn)證 現(xiàn)網(wǎng)上已經(jīng)發(fā)現(xiàn)有對(duì) BGP 的攻擊 導(dǎo)致 BGP 鏈路異常斷鏈 建議對(duì)于現(xiàn)在網(wǎng)絡(luò)上使用的 ISIS BGP 路由協(xié)議 對(duì)報(bào)文進(jìn)行加密認(rèn)證 由于采用明文驗(yàn)證的時(shí)候 會(huì)在網(wǎng)絡(luò)上傳播驗(yàn)證密碼 并不安全 所以建議使用 MD5 算法 對(duì)于密鑰的設(shè)置要求足夠的強(qiáng)壯 在增加了對(duì)于路由協(xié)議報(bào)文的加密認(rèn)證會(huì)略微增加設(shè)備的 CPU 利用率 由于對(duì)于路由協(xié)議 報(bào)文的處理在主控板 而對(duì)于數(shù)據(jù)的轉(zhuǎn)發(fā)是由接口板直接處理 所以路由協(xié)議增加了對(duì)報(bào)文的加 密驗(yàn)證 不會(huì)影響設(shè)備的轉(zhuǎn)發(fā) 3 1 1 10 設(shè)備上開啟設(shè)備上開啟 URPF 功能功能 URPF 通過(guò)獲取報(bào)文的源地址和入接口 以源地址為目的地址 在轉(zhuǎn)發(fā)表中查找源地址對(duì)應(yīng) 的接口是否與入接口匹配 如果不匹配 認(rèn)為源地址是偽裝的 丟棄該報(bào)文 通過(guò)這種方式 URPF 就能有效地防范網(wǎng)絡(luò)中通過(guò)修改源地址而進(jìn)行的惡意攻擊行為的發(fā)生 通過(guò) URPF 可以 防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為 H3C 系列核心路由器的各種板卡均支持 URPF 功能 并支持 strict loose 和 ACL 三種模式 3 1 1 11 ICMP 協(xié)議的安全配置協(xié)議的安全配置 ICMP 協(xié)議很多具有一些安全隱患 因此在骨干網(wǎng)絡(luò)上 如果沒有特別需要建議禁止一些 ICMP 協(xié)議報(bào)文 ECHO Redirect Mask request 同時(shí)禁止 TraceRoute 命令的探測(cè) 對(duì)于流出 的 ICMP 流 可以允許 ECHO Parameter Problem Packet too big 還有 TraceRoute 命令的使用 這些的措施通過(guò) ACL 功能都可以實(shí)現(xiàn) H3C 系列核心路由器的 ACL 命令中包含 icmp type 安全 選項(xiàng) 3 1 1 12 DDOS 攻擊的防范攻擊的防范 DDoS 分布式拒絕服務(wù) 它的英文全稱為 Distributed Denial of Service 它是一種基于 DoS 的特殊形式的拒絕服務(wù)攻擊 是一種分布 協(xié)作的大規(guī)模攻擊方式 主要瞄準(zhǔn)比較大的站點(diǎn) 比 精選范本 供參考 如商業(yè)公司 搜索引擎和政府部門的站點(diǎn) 典型攻擊包括 Smurf TCP SYN LAND C 等攻擊類 型 對(duì)于這些攻擊需要在發(fā)現(xiàn)問題后接入層面實(shí)施 先探測(cè)到 DDOS 攻擊源和攻擊使用的端口 這個(gè)功能可以通過(guò)端口鏡像 將數(shù)據(jù)流鏡像到專門的設(shè)備上進(jìn)行分析 以獲取攻擊源和攻擊使 用的端口 然后對(duì)攻擊源的通信進(jìn)行限制 這類防范手段也可以通過(guò) ACL 來(lái)實(shí)現(xiàn) H3C 系列核心路由器全面支持 ACL 包過(guò)濾功能 可以雙向配置 32K 條 ACL 同時(shí) 由于 ACL 完全由硬件實(shí)現(xiàn) 啟動(dòng) ACL 后對(duì)于設(shè)備轉(zhuǎn)發(fā)性能不會(huì)造成影響 3 1 1 13 端口驗(yàn)證技術(shù)端口驗(yàn)證技術(shù) 基于端口的驗(yàn)證 是由 IEEE 進(jìn)行標(biāo)準(zhǔn)化的驗(yàn)證方法 標(biāo)準(zhǔn)號(hào)是 802 1x IEEE 802 1x 定義 了基于端口的網(wǎng)絡(luò)接入控制協(xié)議 port based net access control 用于交換式的以太網(wǎng)環(huán)境 要求 與客戶和與其直接相連的設(shè)備都實(shí)現(xiàn) 802 1x 當(dāng)應(yīng)用于共享式以太網(wǎng)環(huán)境時(shí) 應(yīng)對(duì)用戶名 密碼 等關(guān)鍵信息進(jìn)行加密傳輸 在運(yùn)營(yíng)過(guò)程中 設(shè)備也可以隨時(shí)要求客戶重新進(jìn)行驗(yàn)證 該協(xié)議適用 于接入設(shè)備與接入端口間點(diǎn)到點(diǎn)的連接方式 其中端口可以是物理端口 也可以是邏輯端口 主 要功能是限制未授權(quán)設(shè)備 如用戶計(jì)算機(jī) 通過(guò)以太網(wǎng)交換機(jī)的公共端口訪問局域網(wǎng) 3 1 1 14 防地址假冒技術(shù)防地址假冒技術(shù) 為了加強(qiáng)接入用戶的控制和限制 H3C 系列以太網(wǎng)交換機(jī)支持 4 種地址安全技術(shù) 支持設(shè)置端口的學(xué)習(xí)狀態(tài) 關(guān)閉端口的地址學(xué)習(xí)功能后 該端口上只能通過(guò)認(rèn)識(shí)的 MAC 地址 一般是用戶手工配置的靜態(tài) MAC 地址 來(lái)自其它陌生 MAC 地址的報(bào) 文均被丟棄 支持設(shè)置端口最多學(xué)習(xí)到的 MAC 地址個(gè)數(shù) 開啟端口的地址學(xué)習(xí)功能后 可以配置允 許學(xué)習(xí)的 MAC 地址個(gè)數(shù)范圍在 1 65535 之間 當(dāng)端口已經(jīng)學(xué)習(xí)到允許的 MAC 地址 個(gè)數(shù)后 將停止學(xué)習(xí)新 MAC 地址 直到部分 MAC 地址老化后 才開始學(xué)習(xí)新 MAC 地址 支持端口和 MAC 地址綁定 通過(guò)在端口上配置靜態(tài) MAC 地址 并禁止該端口進(jìn)行地 址學(xué)習(xí) 就限定了在該端口上允許通過(guò)的 MAC 地址 來(lái)自其它 MAC 地址的報(bào)文均被 丟棄 支持廣播報(bào)文轉(zhuǎn)發(fā)開關(guān) 可在端口上配置 禁止目的地址為廣播地址的報(bào)文從 精選范本 供參考 該端口轉(zhuǎn)發(fā) 以防止 Smurf 攻擊 3 1 2 防火墻系統(tǒng)防護(hù)方案防火墻系統(tǒng)防護(hù)方案 網(wǎng)絡(luò)邊界安全一般是采用防火墻等成熟產(chǎn)品和技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)的訪問控制 采用安全檢測(cè)手段 防范非法用戶的主動(dòng)入侵 在防火墻上通過(guò)設(shè)置安全策略增加對(duì)服務(wù)器的保護(hù) 同時(shí)必要時(shí)還可以啟用防火墻的 NAT 功能隱藏網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 使用日志來(lái)對(duì)非法訪問進(jìn)行監(jiān)控 使用防火墻與交換機(jī) 入侵防御聯(lián)動(dòng) 功能形成動(dòng)態(tài) 自適應(yīng)的安全防護(hù)平臺(tái) 下面將從幾個(gè)方面介紹防火墻在 網(wǎng)絡(luò)的設(shè) 計(jì)方案 3 1 2 1 防火墻對(duì)服務(wù)器群的保護(hù)防火墻對(duì)服務(wù)器群的保護(hù) 由于各種應(yīng)用服務(wù)器等公開服務(wù)器屬于對(duì)外提供公開服務(wù)的主機(jī)系統(tǒng) 因此對(duì)于這些公開服 務(wù)器的保護(hù)也是十分必要的 具體可以利用防火墻劃分 DMZ 區(qū) 將公開服務(wù)器連接在千兆防火 墻的 DMZ 區(qū)上 對(duì)于防火墻系統(tǒng)而言 其接口分別可以自行定義為 DMZ 安全服務(wù)器網(wǎng)絡(luò) 區(qū) 內(nèi)網(wǎng)區(qū) 外網(wǎng)區(qū)共三個(gè)區(qū)域 DMZ 安全服務(wù)器網(wǎng)絡(luò) 區(qū)是為適應(yīng)越來(lái)越多的用戶向 Internet 上提供服 務(wù)時(shí)對(duì)服務(wù)器保護(hù)的需要 防火墻采用特別的策略對(duì)用戶的公開服務(wù)器實(shí)施保護(hù) 它利用獨(dú)立網(wǎng) 絡(luò)接口連接公開服務(wù)器網(wǎng)絡(luò) 公開服務(wù)器網(wǎng)絡(luò)既是內(nèi)部網(wǎng)的一部份 又與內(nèi)部網(wǎng)物理隔離 既實(shí) 現(xiàn)了對(duì)公開服務(wù)器自身的安全保護(hù) 同時(shí)也避免了公開服務(wù)器對(duì)內(nèi)部網(wǎng)的安全威脅 3 1 2 2 防火墻對(duì)核心內(nèi)部業(yè)務(wù)網(wǎng)的保護(hù)防火墻對(duì)核心內(nèi)部業(yè)務(wù)網(wǎng)的保護(hù) 對(duì)于核心內(nèi)部業(yè)務(wù)網(wǎng)部分 在實(shí)施策略時(shí) 也可以配置防火墻工作與透明模式下 并設(shè)置只 允許核心內(nèi)部網(wǎng)能夠訪問外界有限分配資源 而不允許外界網(wǎng)絡(luò)訪問核心內(nèi)部網(wǎng)信息資源或只允 許訪問有限資源 也可以在防火墻上配置 NAT 或 MAP 策略 能夠更好地隱藏內(nèi)部網(wǎng)絡(luò)地址結(jié) 構(gòu)等信息 從而更好地保護(hù)核心內(nèi)部網(wǎng)的系統(tǒng)安全 精選范本 供參考 3 1 2 3 防火墻對(duì)網(wǎng)絡(luò)邊界的保護(hù)防火墻對(duì)網(wǎng)絡(luò)邊界的保護(hù) 對(duì)于 網(wǎng)絡(luò)各個(gè)網(wǎng)絡(luò)邊界而言 每個(gè)單獨(dú)地網(wǎng)絡(luò)系統(tǒng)都是一個(gè)獨(dú)立的網(wǎng)絡(luò)安全區(qū) 域 因此在網(wǎng)絡(luò)邊界處配置一臺(tái)高性能防火墻系統(tǒng) 制定安全的訪問策略 不僅可以有效地保護(hù) 內(nèi)部網(wǎng)絡(luò)中的系統(tǒng)和數(shù)據(jù)安全 還可以防止各網(wǎng)絡(luò)之間有意無(wú)意地探測(cè)和攻擊行為 防火墻部署網(wǎng)絡(luò)邊界 以網(wǎng)關(guān)的形式出現(xiàn) 部署在網(wǎng)絡(luò)邊界的防火墻 同時(shí)承擔(dān)著內(nèi)網(wǎng) 外 網(wǎng) DMZ 區(qū)域的安全責(zé)任 針對(duì)不同的安全區(qū)域 其受信程度不一樣 安全策略也不一樣 防火墻放置在內(nèi)網(wǎng)和外網(wǎng)之間 實(shí)現(xiàn)了內(nèi)網(wǎng)和外網(wǎng)的安全隔離 防火墻上劃分DMZ區(qū) 隔離服務(wù)器群 保護(hù)服務(wù)器免受來(lái)自公網(wǎng)和內(nèi)網(wǎng)的攻擊 在防火墻上配置安全訪問策略 設(shè)置訪問權(quán)限 保護(hù)內(nèi)部網(wǎng)絡(luò)的安全 當(dāng)客戶網(wǎng)絡(luò)有多個(gè)出口 并要求分別按業(yè)務(wù) 人員實(shí)現(xiàn)分類訪問時(shí) 在防火墻上啟用策 略路由功能 保證實(shí)現(xiàn)不同業(yè)務(wù) 人員定向不同ISP的需求 防火墻具有對(duì)業(yè)務(wù)的良好支持 作為NAT ALG或者ASPF過(guò)濾 都能夠滿足正常業(yè)務(wù)的 運(yùn)行 防火墻易于管理 讓管理員舒心 內(nèi)網(wǎng)內(nèi)網(wǎng) 內(nèi)網(wǎng)用戶 內(nèi)網(wǎng)用戶 內(nèi)網(wǎng)用戶 防火墻防火墻 服務(wù)器群 DMZ 區(qū) 接入網(wǎng) 1 接入網(wǎng) 2 精選范本 供參考 3 1 2 4 數(shù)據(jù)中心的安全防護(hù)數(shù)據(jù)中心的安全防護(hù) 在防火墻上除了通過(guò)設(shè)置安全策略來(lái)增加對(duì)服務(wù)器或內(nèi)部網(wǎng)的保護(hù)以外 同時(shí)還可以啟用防 火墻日志服務(wù)器記錄功能來(lái)記錄所有的訪問情況 對(duì)非法訪問進(jìn)行監(jiān)控 還可以使用防火墻與將 要實(shí)施的入侵防御系統(tǒng)之間的實(shí)時(shí)聯(lián)動(dòng)功能 形成動(dòng)態(tài) 完整的 安全的防護(hù)體系 數(shù)據(jù)中心是安全的重點(diǎn) 性能 可靠性以及和 IPS 入侵防御的聯(lián)動(dòng)都必須有良好的表現(xiàn) 防 火墻具有優(yōu)異的性能 可靠性方面表現(xiàn)不凡 結(jié)合入侵防御系統(tǒng) 可以實(shí)現(xiàn)高層次業(yè)務(wù)的數(shù)據(jù)安 全 本組網(wǎng)方案中 同時(shí)我們充分考慮到管理的方便性 如果需要在遠(yuǎn)程通過(guò) internet 接入的方 法對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行管理 可以結(jié)合 VPN 業(yè)務(wù) 既保證了安全 也實(shí)現(xiàn)了管理的方便 2臺(tái)熱備的防火墻將數(shù)據(jù)中心內(nèi)部服務(wù)器和數(shù)據(jù)中心外部的Intranet隔離起來(lái) 有效的保護(hù)了 數(shù)據(jù)中心內(nèi)部服務(wù)器 防火墻可以根據(jù)VLAN劃分虛擬安全區(qū) 從而可以方便地把不同業(yè)務(wù)服務(wù)器劃分到不同安全 區(qū)里 實(shí)現(xiàn)了數(shù)據(jù)中心內(nèi)部的不同業(yè)務(wù)區(qū)的隔離和訪問控制 管理員通過(guò)IPSec VPN保證管理流量的私密性和完整性 專門部署一個(gè)VPN網(wǎng)關(guān) 管理員終 端設(shè)備上安裝安全客戶端 結(jié)合證書認(rèn)證和USB key 保證管理員的身份不被冒充 從而實(shí) 現(xiàn)方便的管理 防火墻和IPS入侵防御系統(tǒng)聯(lián)合使用 檢測(cè)從二層到七層的全部協(xié)議數(shù)據(jù)包 保證任何形式 和類型的攻擊都不會(huì)被漏掉 有效地保護(hù)了網(wǎng)絡(luò)應(yīng)用 精選范本 供參考 管理網(wǎng)段管理網(wǎng)段 運(yùn)營(yíng)系統(tǒng)運(yùn)營(yíng)系統(tǒng) 物流系統(tǒng)物流系統(tǒng) 信息系統(tǒng)信息系統(tǒng) 網(wǎng)管服務(wù)器網(wǎng)管服務(wù)器安全策略服務(wù)器安全策略服務(wù)器 日志服務(wù)器日志服務(wù)器 VPN 用戶業(yè)務(wù)流量用戶業(yè)務(wù)流量 管理員管理流量管理員管理流量 普通用戶普通用戶 防火墻提供虛擬安全分區(qū) 防火墻提供虛擬安全分區(qū) 保護(hù)業(yè)務(wù)安全保護(hù)業(yè)務(wù)安全 防火墻防火墻 2 通過(guò)將防火墻部署在數(shù)據(jù)中心 不但保護(hù)了數(shù)據(jù)中心服務(wù)器的安全 同時(shí)方便管理 保證了 管理員的快速響應(yīng)成為可能 從多個(gè)方面實(shí)現(xiàn)了網(wǎng)絡(luò)的安全 3 1 3 建立內(nèi)部入侵防御機(jī)制建立內(nèi)部入侵防御機(jī)制 雖然 網(wǎng)絡(luò)中已部署了防火墻 但是 在網(wǎng)絡(luò)的運(yùn)行維護(hù)中 IT 部門仍然發(fā)現(xiàn)網(wǎng)絡(luò)的帶寬 利用率居高不下 而應(yīng)用系統(tǒng)的響應(yīng)速度越來(lái)越慢 只好提升帶寬并升級(jí)服務(wù)器嘍 可過(guò)不了多 久問題再次出現(xiàn) 而實(shí)際上 業(yè)務(wù)增長(zhǎng)速度并沒有這樣快 業(yè)務(wù)流量占用帶寬不會(huì)達(dá)到這樣的數(shù) 量 這是目前各大公司網(wǎng)絡(luò)都可能存在的問題 并不是當(dāng)初網(wǎng)絡(luò)設(shè)計(jì)不周 而是自 2003 年以來(lái) 蠕蟲 點(diǎn)到點(diǎn) 入侵技術(shù)日益滋長(zhǎng)并演變到應(yīng)用層面 L7 的結(jié)果 而這些有害代碼總是偽裝 成客戶正常業(yè)務(wù)進(jìn)行傳播 目前部署的防火墻其軟硬件設(shè)計(jì)當(dāng)初僅按照其工作在 L2 L4 時(shí)的情 況考慮 不具有對(duì)數(shù)據(jù)流進(jìn)行綜合 深度監(jiān)測(cè)的能力 自然就無(wú)法有效識(shí)別偽裝成正常業(yè)務(wù)的非 法流量 結(jié)果蠕蟲 攻擊 間諜軟件 點(diǎn)到點(diǎn)應(yīng)用等非法流量輕而易舉地通過(guò)防火墻開放的端口 進(jìn)出網(wǎng)絡(luò) 如下圖所示 管理員客戶端管理員客戶端 精選范本 供參考 圖 蠕蟲 P2P 等非法流量穿透防火墻 這就是為何用戶在部署了防火墻后 仍然遭受入侵以及蠕蟲 病毒 拒絕服務(wù)攻擊的困擾 事實(shí)上 員工的 PC 都既需要訪問 Internet 又必須訪問公司的業(yè)務(wù)系統(tǒng) 所以存在被病毒感染和 黑客控制的可能 蠕蟲可以穿透防火墻并迅速傳播 導(dǎo)致主機(jī)癱瘓 吞噬寶貴網(wǎng)絡(luò)帶寬 P2P 等 應(yīng)用 利用 80 端口進(jìn)行協(xié)商 然后利用開放的 UDP 進(jìn)行大量文件共享 導(dǎo)致機(jī)密泄漏和網(wǎng)絡(luò) 擁塞 對(duì)系統(tǒng)的危害極大 為了能夠讓防火墻具備深入的監(jiān)測(cè)能力 許多廠商都基于現(xiàn)有的平臺(tái)增加了 L4 L7 分析能 力 但問題是僅僅將上千個(gè)基于簡(jiǎn)單模式匹配過(guò)濾器同時(shí)打開來(lái)完成對(duì)數(shù)據(jù)包的 L4 L7 深入檢 測(cè)時(shí) 防火墻的在數(shù)據(jù)流量較大時(shí)會(huì)迅速崩潰 或雖可以勉強(qiáng)工作 卻引入很大的處理延時(shí) 造 成業(yè)務(wù)系統(tǒng)性能的嚴(yán)重下降 所以基于現(xiàn)有防火墻體系結(jié)構(gòu)增加深入包檢測(cè)功能的方案存在嚴(yán)重 的性能問題 3 1 3 1 入侵防御系統(tǒng)對(duì)重要服務(wù)器和內(nèi)部網(wǎng)的部署保護(hù)入侵防御系統(tǒng)對(duì)重要服務(wù)器和內(nèi)部網(wǎng)的部署保護(hù) 入侵防御技術(shù)是主動(dòng)保護(hù)自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù) 作為防火墻的合理補(bǔ)充 入侵 防御技術(shù)能夠幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊 擴(kuò)展了系統(tǒng)管理員的安全管理能力 包括安全審計(jì) 監(jiān)視 攻擊識(shí)別和響應(yīng) 提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性 它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收 集信息 并分析這些信息 HTTP 80 MS RPC FTP 21 SMTP 25 BackOrifice 31337 精選范本 供參考 因此 對(duì)于重要的服務(wù)器系統(tǒng)和內(nèi)部核心網(wǎng)絡(luò) 他們都連接在核心交換上 因此 在實(shí)施 入侵防御策略時(shí) 可以在入侵防御系統(tǒng)上對(duì)其設(shè)置完善的入侵防御規(guī)則 如 DoS 代碼攻擊 病毒 后門黑客攻擊或入侵的方法以及各種攻擊手段 如掃描 嗅探 后門 惡意代碼 拒絕 服務(wù) 分布式拒絕服務(wù) 欺騙等各種攻擊規(guī)則 并使入侵防御系統(tǒng)監(jiān)聽口工作在混雜模式 能 實(shí)時(shí)在線的抓取網(wǎng)絡(luò)上的數(shù)據(jù)包 實(shí)時(shí)的監(jiān)控網(wǎng)絡(luò)連接 對(duì)非法的數(shù)據(jù)包能產(chǎn)生報(bào)警和日志記 錄 必要時(shí)可以加以阻斷 3 1 4 建立入侵防御機(jī)制建立入侵防御機(jī)制 防火墻和入侵檢測(cè)系統(tǒng) IDS 已經(jīng)被普遍接受 但還不足以保護(hù)網(wǎng)絡(luò)不受攻擊 防火墻不能 充分地分析應(yīng)用層協(xié)議數(shù)據(jù)中的攻擊信號(hào) 入侵檢測(cè)系統(tǒng)也不會(huì)采取行動(dòng)阻擋檢測(cè)到的攻擊 傳 統(tǒng)的解決方案就是為一臺(tái)一臺(tái)的服務(wù)器和工作站打軟件補(bǔ)丁 這是一個(gè)很費(fèi)時(shí)間和效率很低的過(guò) 程 對(duì)于一些組織來(lái)說(shuō) 打軟件補(bǔ)丁的挑戰(zhàn)來(lái)自對(duì)每個(gè)補(bǔ)丁的測(cè)試 以了解它如何影響關(guān)鍵系統(tǒng) 的性能 其他組織發(fā)現(xiàn)的最大挑戰(zhàn)是如何在不同用戶環(huán)境的條件下將補(bǔ)丁分發(fā)到每個(gè)單獨(dú)的終端 用戶 并說(shuō)服他們安裝這些補(bǔ)丁 總的來(lái)說(shuō) 打補(bǔ)丁過(guò)程需要花費(fèi)時(shí)間 此時(shí) 主機(jī)不受保護(hù) 且易于暴露弱點(diǎn) 因此 用戶需要一個(gè)全新的安全解決方案 入侵防御系統(tǒng) IPS 填補(bǔ)了這一空白 并且變革了管理員構(gòu)建網(wǎng)絡(luò)防御的方式 IPS 在網(wǎng) 絡(luò)線內(nèi)進(jìn)行操作 阻擋惡意流量 而不僅僅是被動(dòng)地檢測(cè) 系統(tǒng)分析活動(dòng)連接并在傳輸過(guò)程中截 斷攻擊 所有惡意攻擊流量不會(huì)達(dá)到目的地 該設(shè)備通常沒有 MAC 地址或 IP 地址 因此它 可以被認(rèn)為是 線路的一部分 合法的流量以網(wǎng)速和以微秒級(jí)的延時(shí)無(wú)障礙通過(guò)系統(tǒng) IPS 自動(dòng)在缺省配置中設(shè)置成百上千個(gè)過(guò)濾用于阻擋各類攻擊 這些過(guò)濾器時(shí)刻識(shí)別所有情 況下存在于所有網(wǎng)絡(luò)環(huán)境中的已知的惡意流量 管理員只需要打開系統(tǒng) 通過(guò)管理接口配置用戶 名和密碼 并插入數(shù)據(jù)纜線 這時(shí) 系統(tǒng)開始運(yùn)行并阻擋攻擊 保護(hù)易受攻擊的系統(tǒng)不受危害 沒有必要在 UnityOne 提供服務(wù)之前進(jìn)行配置 關(guān)聯(lián) 集成或調(diào)諧任何參數(shù)的工作 IPS 的最 主要的價(jià)值是可以提供 虛擬補(bǔ)丁 的功能 使主機(jī)沒有應(yīng)用補(bǔ)丁程序時(shí)或網(wǎng)絡(luò)運(yùn)行存在風(fēng)險(xiǎn)協(xié) 議時(shí) 它能保護(hù)易受攻擊的系統(tǒng)不受攻擊 利用一個(gè)或一組 IPS 過(guò)濾器 可有效地阻擋所有企 圖探索特殊弱點(diǎn)的嘗試 這意味著不同的攻擊者可以來(lái)去自如 開發(fā)的攻擊代碼可以完全不同 攻擊者可以使用他們多種形態(tài)的 shellcode 發(fā)生器或