網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計(jì)方案

1、網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計(jì)方案一、 常用的 網(wǎng)絡(luò)信息系統(tǒng) 安全技術(shù)面對網(wǎng)絡(luò)信息安全的諸多問題，我們采取了多種的防范措施。1、防火墻目前出現(xiàn)的新技術(shù)類型主要有以下幾種狀態(tài)監(jiān)視技術(shù)、 安全操作系統(tǒng)、自適應(yīng)代理技術(shù)、實(shí)時(shí)侵入檢測系統(tǒng)等?；旌鲜褂脭?shù)據(jù)包過濾技術(shù)、代理服務(wù)技術(shù)和其他一些新技術(shù)是未來防火墻的趨勢。2、認(rèn)證目前 , 常用的身份識別技術(shù)主要是基于RAD IUS的鑒別、授權(quán)和管理 (AAA) 系統(tǒng)。 RADIUS ( remoteauthentica2tiondialin userservice)是網(wǎng)絡(luò)遠(yuǎn)程接入設(shè)備的客戶和包含用戶認(rèn)證與配置信息的服務(wù)器之間信息交換的標(biāo)準(zhǔn)客戶或服務(wù)器模式。它包含有關(guān)用

2、戶的專門簡檔 , 如, 用戶名、接入口令、接入權(quán)限等。這是保持遠(yuǎn)程接入網(wǎng)絡(luò)的集中認(rèn)證、授權(quán)、記費(fèi)和審查的得到接受的標(biāo)準(zhǔn)。華為、思科等廠商都有使用 RAD IUS技術(shù)的產(chǎn)品。3、虛擬專用網(wǎng)隨著商務(wù)的發(fā)展 , 辦公形式的改變 ,分支機(jī)構(gòu)之間的通信有很大需求 , 如果使用公用的互聯(lián)網(wǎng)絡(luò)來進(jìn)行通信, 而不是架設(shè)專用線路 , 這樣, 就可以顯著降低使用成本。VPN( virtual private network)即虛擬專用網(wǎng)是解決這一問題的方法。 VPN建立一條通過公眾網(wǎng)絡(luò)的邏輯上的專用連接 , 使得用戶在異地訪問內(nèi)部網(wǎng)絡(luò)時(shí) , 能夠和在本地訪問一樣的資源 , 同時(shí) , 不用擔(dān)心泄密的問題。 采用 I

3、PSec 協(xié)議的產(chǎn)品是市場的主流和標(biāo)準(zhǔn) , 有相當(dāng)多的廠商都推出了相應(yīng)產(chǎn)品。4、入侵檢測和集中網(wǎng)管入侵檢測 ( intrusion detection)是對入侵行為的發(fā)覺, 是一種增強(qiáng)系統(tǒng)安全的有效方法, 能檢測出系統(tǒng)中違背系統(tǒng)安全性規(guī)則或者威脅到系統(tǒng)安全的活動。 目前 , 入侵檢測系統(tǒng)的產(chǎn)品很多, 僅國內(nèi)的就有東軟、海信、聯(lián)想等十幾種 ; 集中網(wǎng)管主要體現(xiàn)在對網(wǎng)管的集中上,網(wǎng)管集中的實(shí)現(xiàn)方式主要包括存放網(wǎng)管系統(tǒng)的物理平面集中和通過綜合集中網(wǎng)管實(shí)現(xiàn)對不同廠商網(wǎng)管系統(tǒng)的集中管控。大唐、朗訊、華勤等廠商各自有不同的集中網(wǎng)管產(chǎn)品上市。二、 網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計(jì)方案2.1.1外網(wǎng)出口外網(wǎng)出口采用防火

4、墻。支持雙機(jī)熱備功能，核心交換機(jī)通過兩根電纜連到防火墻上，防火墻通過兩臺2 層交換機(jī)分別接入電信線路和網(wǎng)通線路。當(dāng)出口設(shè)備開啟雙機(jī)熱備后，即使其中一臺防火墻出問題，另外一臺防火墻也能正常保證外網(wǎng)的使用，不會出現(xiàn)網(wǎng)絡(luò)中斷的情況。2.1.2核心設(shè)備作為網(wǎng)絡(luò)的核心，要有很高的穩(wěn)定性，癱瘓一分鐘都會帶來嚴(yán)重的后果，針對這個因素，我們將兩臺全千兆核心交換機(jī)采用雙機(jī)熱備 的方式，上聯(lián)到防火墻，并下聯(lián)到辦公網(wǎng)絡(luò)。Catalyst 3960 系列交換機(jī)具有 240G背板帶寬 ; 線速三層交換包轉(zhuǎn)發(fā)率達(dá)到 96Mpps; ，是標(biāo)準(zhǔn)三層無阻塞交換機(jī)為所有的端口提供多層交換能力和線速的路由轉(zhuǎn)發(fā)能力。同時(shí)具有高性能、

5、低成本等主要特點(diǎn)。而其強(qiáng)大的處理能力是構(gòu)建可靠、穩(wěn)定、高速的IP 網(wǎng)絡(luò)平臺的重要保障。同時(shí)具有高性能、低成本等主要特點(diǎn)。Catalyst3960 支持特有的 ARP入侵檢測功能，防止包括 MAC欺騙、IP 欺騙、 MAC/IP欺騙在內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來的 DoS/DDoS攻擊等。2.1.3接入設(shè)備接入交換機(jī)作為樓層網(wǎng)絡(luò)的小型網(wǎng)關(guān)設(shè)備上連至上級交換機(jī)，需要考慮交換機(jī)能提供的網(wǎng)絡(luò)安全性 以及設(shè)備的 處理能力 。我們所采用的接入交換機(jī)可以支持劃分vlan 、端口保護(hù)、 Qos 功能、廣播 / 組播風(fēng)暴控制等功能。同時(shí)應(yīng)具備擴(kuò)展性。達(dá)到可根據(jù)需要靈活地配置網(wǎng)絡(luò)。 交換機(jī)能與所有的以

6、太網(wǎng)、快速以太網(wǎng)設(shè)備相連接，保護(hù)用戶已有的網(wǎng)絡(luò)投資?？稍诠ぷ鹘M之間或企業(yè)內(nèi)部提供高帶寬、高性能連接，同時(shí)還能增強(qiáng)服務(wù)器群的容量，讓用戶能更快速存取整個網(wǎng)絡(luò)資源?？梢跃徑庖?yàn)榫W(wǎng)絡(luò)帶寬不足及用戶迅速增長所造成的網(wǎng)絡(luò)傳輸瓶頸， 并且投資少，管理簡單。2.2 訪問控制我們認(rèn)為采用 VLAN+ACL組網(wǎng)方式，可實(shí)現(xiàn)不同部門、 不同應(yīng)用系統(tǒng)之間進(jìn)行隔離，實(shí)現(xiàn)對跨系統(tǒng)、跨部門的訪問控制。其本身已經(jīng)能夠提供的安全機(jī)制，可保證訪問控制的安全。采用VLAN+ACL實(shí)現(xiàn)組網(wǎng)，按照各樓層或各部門，實(shí)現(xiàn) VLAN的劃分。所有的部門系統(tǒng)全部二層隔離，同一個匯聚層設(shè)備下的單位需要進(jìn)行互通，則在核心交換機(jī)上終結(jié)VLAN，進(jìn)行

7、三層互通，如果是不同的匯聚層設(shè)備下的單位需要互通，則需要經(jīng)過匯聚交換機(jī)上送到核心交換機(jī)上，通過配置的acl和路由進(jìn)行三層轉(zhuǎn)發(fā)，實(shí)現(xiàn)受控互通。2.3 雙機(jī)熱備實(shí)現(xiàn)方案對于集團(tuán)內(nèi)網(wǎng)的組網(wǎng)方式，我們規(guī)劃了VRRP雙機(jī)熱備方案：讓我們來看看雙機(jī)熱備的工作VRRP圖 1如上圖所示，正常情況下，左邊核心交換機(jī)優(yōu)先級高于右邊核心交換機(jī)，所以左側(cè)核心交換機(jī)處于master 狀態(tài)，響應(yīng)所有對虛擬 IP（即圖中的 192.168.1.1 、192.168.2.1 ）的請求，右側(cè)核心交換機(jī)處于 backup 狀態(tài)，不會響應(yīng)任何關(guān)于虛擬 IP 的請求，但是右側(cè)交換機(jī)實(shí)時(shí)關(guān)注著從 VRRP心跳線發(fā)來的狀態(tài)包。很明顯，現(xiàn)

8、在所有匯聚交換機(jī)都會將數(shù)據(jù)包發(fā)送至左側(cè)交機(jī)。左側(cè)交換機(jī)作為線路正常時(shí)的主交換機(jī)。右側(cè)交換機(jī)只關(guān)注VRRP心跳線發(fā)來的狀態(tài)包。此時(shí)，辦公網(wǎng)交換機(jī)到左側(cè)核心交換機(jī)的線路若發(fā)生故障，或左側(cè)核心交換機(jī)的發(fā)生故障。如下圖：VRRP圖 2如果是匯聚交換機(jī)到核心交換機(jī)的線路產(chǎn)生故障，此時(shí)左側(cè)核心交換機(jī)將會發(fā)現(xiàn)所連接端口發(fā)生故障，左側(cè)交換機(jī)將會通過VRRP心跳線通知右側(cè)交換機(jī)， 告之關(guān)于 192.168.2.1的狀態(tài)變化，此時(shí)，右側(cè)核心交換機(jī)將會作為主核心交換機(jī)，并相應(yīng)并處理來自二層匯聚交換機(jī)的所有數(shù)據(jù)包。如果是左側(cè)核心交換機(jī)產(chǎn)生故障，右側(cè)交換機(jī)收不到心跳線傳來的數(shù)據(jù)，那么它會認(rèn)為左側(cè)交換機(jī)已經(jīng)無法正常工作，

9、自己切換成為 Master 狀態(tài)，處理來自所有匯聚交換機(jī)的數(shù)據(jù)包。從左側(cè)核心設(shè)備發(fā)現(xiàn)線路故障到右側(cè)核心設(shè)備變?yōu)橹鹘粨Q機(jī)，或者右側(cè)核心設(shè)備發(fā)現(xiàn)左側(cè)設(shè)備產(chǎn)生故障無法工作而自己變?yōu)橹鹘粨Q機(jī)，期間耗時(shí)不到 2 秒鐘，對正在使用網(wǎng)絡(luò)的用戶而言，完全感覺不到發(fā)生了什么故障。這樣就能保證整個網(wǎng)絡(luò)骨干層7*24 小時(shí)的無故障運(yùn)行了。如果線路恢復(fù)正?；蜃髠?cè)核心交換機(jī)的故障排查解決完畢能夠正常工作，左側(cè)交換機(jī)同樣可以發(fā)現(xiàn)其線路所連接的端口恢復(fù)正常，而通知右側(cè)核心設(shè)備，同時(shí)自己變?yōu)橹鹘粨Q機(jī)，左側(cè)核心交換機(jī)在故障處理完畢后能正常工作同樣會通知右側(cè)核心交換機(jī)，自己變?yōu)橹鹘粨Q機(jī)。2.4 ARP 防護(hù)ARP（欺騙類）病毒可

10、謂是現(xiàn)在最普遍的網(wǎng)絡(luò)危害，一具用戶感染病毒就可能危害到整個網(wǎng)絡(luò)。欺騙類病毒目前可以分為3 種類型：1、中毒機(jī)器不停發(fā)送“我是網(wǎng)關(guān)”的ARP信息，試圖來欺騙其他PC，讓他們將自己看作網(wǎng)關(guān)，如圖中的F0/1口下的PC A可以通過這種類型的ARP病毒讓PC B認(rèn)為網(wǎng)關(guān)是PC A。Loopback：1.1.1.1192.168.43.25400-E0-0F-27-96-D0網(wǎng)關(guān)F0/24F0/1F0/10待測設(shè)備PC APC BMACIP ：192.168.43.9900-0F-B0-7F-38-82IPMAC：192.168.43.10000-E0-0F-26-22-30無網(wǎng)關(guān)網(wǎng)關(guān)：192.168.

11、43.254欺騙源被欺騙者2、中毒機(jī)器不停的變換自己的IP ，來擾亂網(wǎng)關(guān)設(shè)備的ARP表象，試圖讓網(wǎng)關(guān)看到的所有的IP 都是自己，這樣其他用戶的IP就不能被網(wǎng)關(guān)設(shè)備認(rèn)出了，如上圖中，PC A 可以不停的變換自己的 IP ，這樣網(wǎng)關(guān)就會被欺騙認(rèn)為192.168.43.100也是 PC A，PCB 當(dāng)然就不能被網(wǎng)關(guān)識別了。3、中毒機(jī)器將自己的MAC地址修改成交換機(jī)的下一跳網(wǎng)絡(luò)設(shè)備的 MAC地址，試圖讓交換機(jī)的MAC表發(fā)生紊亂，讓交換機(jī)從錯誤的端口發(fā)送出數(shù)據(jù)包，如上圖中，PC A會將自己的 MAC地址修改成網(wǎng)關(guān)的 MAC地址 00-E0-0F-27-96-D0 ，這樣交換機(jī)在F0/1 和F0/24 上

12、都學(xué)習(xí)到這個地址， MAC表就亂了 -這種類型并不能算上 ARP病毒，但是同屬于欺騙類病毒。目前大部分廠家都是通過綁定 IP 、MAC、端口的方式來保證安全，但是這樣的方式實(shí)現(xiàn)起來麻煩（要一條一條的把綁定信息寫進(jìn)去），如果增加了新設(shè)備或者某臺設(shè)備更換了端口或者網(wǎng)卡，如果不及時(shí)通知網(wǎng)絡(luò)管理員進(jìn)行修改，就沒有辦法上網(wǎng)，費(fèi)時(shí)費(fèi)力。針對這種情況，我們設(shè)計(jì)了一套較完善的 ARP防護(hù)方式。在端口下過濾 ARP報(bào)文，防止冒充網(wǎng)關(guān) 。既然我們知道交換機(jī)的 F0/24 口上接的是網(wǎng)關(guān)，那么 F0/1 到 F0/23 口都不可能發(fā)送出“我是網(wǎng)關(guān)”的 ARP信息，所以我們可以在這些端口下過濾此類報(bào)文。交換機(jī)命令（需

13、要兩層半交換機(jī)，S2026/S2126 以上設(shè)備）：interface FastEthernet0/1switchport port-security block arp 192.168.43.254/阻止該端口下發(fā)送192.168.43.254的 ARP報(bào)文在所有的非上聯(lián)端口上都配置此類命令，交換機(jī)可阻止其下端口發(fā)送“我是網(wǎng)關(guān)”類的ARP欺騙報(bào)文在接口下配置Filter功能，防 ARP掃描攻擊。 如果中毒機(jī)器不停變換自己的IP ，那么他在短時(shí)間內(nèi)發(fā)送的ARP信息是非常多的，我們可以通過設(shè)置 ARP計(jì)數(shù)器 的方式來進(jìn)行管理，在一個時(shí)間單位內(nèi)，如果某個設(shè)備發(fā)送的 ARP數(shù)量超過了我們設(shè)置的閥值，

14、那么我們將過濾這臺設(shè)備的 MAC一段時(shí)間，這個時(shí)間段內(nèi)這臺設(shè)備發(fā)送任何信息我們的交換機(jī)都不進(jìn)行轉(zhuǎn)發(fā)。交換機(jī)命令（需要兩層半交換機(jī)，既 S2026/S2126 以上設(shè)備）：interface FastEthernet0/1filter arp/ 在接口下啟用arp過濾功能！filter period 5/ 以5 秒鐘為一個統(tǒng)計(jì)周期filter block-time 60/ 將攻擊主機(jī)隔離60 秒filter threshold 100/ 一個統(tǒng)計(jì)周期超過100 個arp報(bào)文，就進(jìn)行隔離filter enable/ 在全局下啟用過濾功能一旦交換機(jī)F0/1端口下有PC在5秒內(nèi)發(fā)送的ARP報(bào)文超過10

15、0 個，交換機(jī)將在60 秒內(nèi)禁止此 PC的 MAC通過。免費(fèi)發(fā)放 ARPRESPONSE報(bào)文，糾正主機(jī)錯誤的網(wǎng)關(guān)。對于網(wǎng)關(guān)類的設(shè)備一般是不主動發(fā)送ARP報(bào)文的，通常它都是被動響應(yīng)下面的 ARP請求，因此我們也可以讓網(wǎng)關(guān)主動發(fā)送ARP RESPONSE報(bào)文，主動矯正下面PC的錯誤。交換機(jī)命令（需要三層交換機(jī)或者路由器）arpfree-response/ 啟用免費(fèi)發(fā)放 arpresponse 報(bào)文的功能arp free-response interval 30/ 發(fā)放 arp response報(bào)文的間隔interface VLAN1ip address 192.168.43.254 255.255

16、.255.0no ip directed-broadcast!interface Loopback0ip address 1.1.1.1 255.255.255.0no ip directed-broadcast這樣每 30 秒網(wǎng)關(guān)可以主動矯正下面PC的錯誤。將網(wǎng)關(guān)的 MAC地址、端口、以及 VLAN進(jìn)行綁定，防止 MAC欺騙。交換機(jī)命令（兩層設(shè)備即可）mac address-tablestatic00e0.0f96.27d0vlan 1 interfacef0/24/ 保證網(wǎng)關(guān)的 VLAN 1的 MAC地址只能出現(xiàn)在 F0/24 上將交換機(jī)下聯(lián)口全部開啟端口保護(hù)，保證用戶只能和上聯(lián)口互通，和

17、其他用戶之間無法互通。交換機(jī)命令（兩層設(shè)備即可）interface FastEthernet0/1switchport protect根據(jù)上面提到的4 種防護(hù) ARP欺騙的機(jī)制原理，我們可以進(jìn)行組合，設(shè)置多種全網(wǎng)阻斷ARP欺騙的拓?fù)洌菏紫韧ㄟ^ vlan 劃分隔離廣播域，讓arp 只會在同 1 個 vlan內(nèi)傳播，此外我們可以在接入層采用兩層設(shè)備 S2126 交換機(jī)，開啟端口保護(hù)，匯聚層采用三層交換機(jī) S3760，開啟 Filter防護(hù)機(jī)制。此類方法可以保證：1、用戶之間發(fā)送“我是網(wǎng)關(guān)”的ARP欺騙（類型 1 欺騙）信息由于接入交換機(jī)的端口保護(hù)機(jī)制，無法傳播到其他用戶的端口上。2、用戶發(fā)送類型2

18、 欺騙的信息由于匯聚交換機(jī)的Filter防護(hù)，在匯聚層上就被阻擋掉，無法欺騙網(wǎng)關(guān)設(shè)備此類方法的缺點(diǎn)就是同個交換機(jī)且在同個vlan 下的用戶之間無法互相訪問。因此我們可以只對不需要產(chǎn)生直接互相通信的兩臺用戶之間開啟端口保護(hù)，其他不開，或者是采用結(jié)合軟件的辦法，電腦上安裝arp 防火墻，這樣就可以不開啟端口保護(hù)了。結(jié)合軟件 arp 防火墻和三層交換機(jī)的filter功能，也是一種非常實(shí)用有效防止 arp 攻擊的方法。2.5 安全制度任何的措施都不可能解決所有的網(wǎng)絡(luò)安全問題，也就是“網(wǎng)絡(luò)沒有絕對的安全，沒有絕對的網(wǎng)絡(luò)安全”。我們在采取安全控制措施后，在加強(qiáng)了安全性、可靠性的同時(shí)，還需要通過制度和行政手

19、段來進(jìn)行干預(yù)，比如發(fā)文強(qiáng)制統(tǒng)一安裝網(wǎng)絡(luò)防病毒軟件，因?yàn)槿绻谝粋€網(wǎng)絡(luò)里如果有機(jī)器沒裝防病毒產(chǎn)品或者裝的是單機(jī)版產(chǎn)品，勢必會給整個單位網(wǎng)絡(luò)帶來不小影響，在出了問題的時(shí)候沒有一個統(tǒng)一的解決方案，反而會讓他們成為“漏網(wǎng)之魚” 。沒有那個單機(jī)版用戶能保證自己每天都及時(shí)做病毒碼升級，而且現(xiàn)在裝的單機(jī)版無非就是瑞星， 金山，360 之類的產(chǎn)品， 這些產(chǎn)品相對于卡巴斯基這類統(tǒng)一部署的防病毒產(chǎn)品來說還是有一定差距的，像最近的好多單位網(wǎng)絡(luò)癱瘓都是因?yàn)榫W(wǎng)絡(luò)里有些機(jī)器裝了這類軟件導(dǎo)致的，而裝有統(tǒng)一部署的防病毒的基本上沒有問題。還有一種情況普遍，就是網(wǎng)絡(luò)存儲設(shè)備的使用，經(jīng)常會有用戶會因?yàn)?U 盤攜帶病毒而使機(jī)器出現(xiàn)問題，如果有一個好的管理制度來做些約束，定期做些關(guān)于網(wǎng)絡(luò)安全方面的培訓(xùn)，使每個人都知道網(wǎng)絡(luò)安全問題的重要性也很必要。三、網(wǎng)絡(luò)信息系統(tǒng)的安全預(yù)算方案產(chǎn)品名稱型號單價(jià)單位數(shù)量價(jià)格核心交換機(jī)H3C S9512-N1100002220000路由器銳捷網(wǎng)絡(luò) RSR-04E-BASE-AC-1GE4800002960000防火墻思科 PIX-535-FO-BUN680002136000服務(wù)器戴爾 PowerEdge R71021800365400匯聚層交換機(jī)H3C S5100-