網(wǎng)絡(luò)安全解決方案

1、3.1網(wǎng)絡(luò)安全解決方案安全建設(shè)目標(biāo)總體安全性：全面有效的保護(hù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全，保護(hù)計(jì)算機(jī)硬件、 軟件、數(shù)據(jù)、網(wǎng)絡(luò)不因偶然的或惡意破壞的原因遭到更改、泄漏和丟失， 確保數(shù)據(jù)的完整性，大幅度地提高系統(tǒng)的安全性和保密性。可控與可管理性：可自動(dòng)和手動(dòng)分析網(wǎng)絡(luò)安全狀況，適時(shí)檢測(cè)并及時(shí)發(fā)現(xiàn) 記錄潛在的安全威脅，制定安全策略，及時(shí)報(bào)警、阻斷不良攻擊行為， 具有很強(qiáng)的可控性和可管理性。系統(tǒng)可用性：保持網(wǎng)絡(luò)原有的性能特點(diǎn)，即對(duì)網(wǎng)絡(luò)的協(xié)議和傳輸具有很 好的透明性；盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展； 易于操作、維護(hù)，并便于自動(dòng)化管理，而不增加或少增加附加操作.可擴(kuò)展特性：滿足成都酒店的業(yè)務(wù)需求和

2、企業(yè)可持續(xù)發(fā)展的要求，具有很強(qiáng)的可擴(kuò)展性和柔韌性；安全保密系統(tǒng)具有較好的性能價(jià)格比，一次性 投資，可以長(zhǎng)期使用。合法性：安全與密碼產(chǎn)品具有合法性，并便于安全管理單位與密碼管理 單位的檢查與監(jiān)督.安全建設(shè)手段防火墻作為一種有效的保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)性措施，防火墻是一種隔離控制 技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)（如Internet）之間設(shè)置屏障，阻止對(duì)信息資源的非法訪問(wèn)，也可以使用防火墻阻止專利信息從企業(yè)的網(wǎng)絡(luò)上被非法輸 出。防火墻是一種被動(dòng)防衛(wèi)技術(shù)，它假設(shè)了網(wǎng)絡(luò)的邊界和服務(wù)，因此，防火墻最 適合于部署在相對(duì)獨(dú)立的企業(yè)內(nèi)部網(wǎng)絡(luò)與公網(wǎng) （主要為Internet）之間。作為對(duì)企業(yè)內(nèi)網(wǎng)的安全性保護(hù)

3、設(shè)備/節(jié)點(diǎn)，防火墻已經(jīng)得到廣泛的應(yīng)用。通常企 業(yè)為了維護(hù)內(nèi)部的信息系統(tǒng)安全，在企業(yè)內(nèi)網(wǎng)和Internet間安裝防火墻。企業(yè)信息系統(tǒng)對(duì)于來(lái)自Internet的訪問(wèn)，采取有選擇的接收方式。它可以允許或禁止一類 具體的IP地址訪問(wèn)，也可以接收或拒絕 TCP/IP上的某一類具體的應(yīng)用。防火墻是企業(yè)網(wǎng)安全問(wèn)題的流行方案，即把公共數(shù)據(jù)和服務(wù)置于防火墻外，使其對(duì)防火墻內(nèi)部資源的訪問(wèn)受到限制。作為一種網(wǎng)絡(luò)安全技術(shù)，防火墻具有簡(jiǎn) 單實(shí)用的特點(diǎn)，并且透明度高，可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下達(dá)到一 定的安全要求。加密與數(shù)字簽名數(shù)據(jù)加密技術(shù)從技術(shù)上的實(shí)現(xiàn)分為在軟件和硬件兩方面。按作用不同，數(shù)據(jù)加密技術(shù)主要分為數(shù)

4、據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)這 四種.在網(wǎng)絡(luò)應(yīng)用中一般米取兩種加密形式：對(duì)稱密鑰和非對(duì)稱/公開(kāi)密鑰，米用何 種加密算法則要結(jié)合具體應(yīng)用環(huán)境和系統(tǒng)，而不能簡(jiǎn)單地根據(jù)其加密強(qiáng)度來(lái)作出 判斷。因?yàn)槌思用芩惴ū旧碇?，密鑰合理分配、加密效率與現(xiàn)有系統(tǒng)的結(jié)合 性，以及投入產(chǎn)出分析都應(yīng)在實(shí)際環(huán)境中具體考慮。對(duì)于對(duì)稱密鑰加密.其常見(jiàn)加密標(biāo)準(zhǔn)為DES等,當(dāng)使用DES時(shí),用戶和接受方 采用64位密鑰對(duì)報(bào)文加密和解密，當(dāng)對(duì)安全性有特殊要求時(shí)，則要采取IDEA和三重DES等作為傳統(tǒng)企業(yè)網(wǎng)絡(luò)廣泛應(yīng)用的加密技術(shù)，秘密密鑰效率高，它采 用KDC來(lái)集中管理和分發(fā)密鑰并以此為基礎(chǔ)驗(yàn)證身份，但是并不適合

5、Internet環(huán)境。在Internet中使用更多的是公鑰系統(tǒng)。即公開(kāi)密鑰加密，它的加密密鑰和解 密密鑰是不同的。一般對(duì)于每個(gè)用戶生成一對(duì)密鑰后，將其中一個(gè)作為公鑰公開(kāi)， 另外一個(gè)則作為私鑰由屬主保存。常用的公鑰加密算法是 RSA算法，加密強(qiáng)度 很高。具體作法是將數(shù)字簽名和數(shù)據(jù)加密結(jié)合起來(lái)。發(fā)送方在發(fā)送數(shù)據(jù)時(shí)必須加 上數(shù)據(jù)簽名，做法是用自己的私鑰加密一段與發(fā)送數(shù)據(jù)相關(guān)的數(shù)據(jù)作為數(shù)字簽名,然后與發(fā)送數(shù)據(jù)一起用接收方密鑰加密。當(dāng)這些密文被接收方收到后，接收方用自己的私鑰將密文解密得到發(fā)送的數(shù)據(jù)和發(fā)送方的數(shù)字簽名，然后，用發(fā)布方公布的公鑰對(duì)數(shù)字簽名進(jìn)行解密，如果成功，則確定是由發(fā)送方發(fā)出的.數(shù)字簽名

6、每次還與被傳送的數(shù)據(jù)和時(shí)間等因素有關(guān).由于加密強(qiáng)度高，而且并不要求通信 雙方事先要建立某種信任關(guān)系或共享某種秘密，因此十分適合Internet網(wǎng)上使用。用戶認(rèn)證僅僅加密是不夠的，全面的保護(hù)還要求認(rèn)證和識(shí)別。它確保參與加密對(duì)話的 人確實(shí)是其本人。用戶認(rèn)證可以依靠許多機(jī)制來(lái)實(shí)現(xiàn)，從安全卡到身份鑒別.前一個(gè)安全保護(hù)能確保只有經(jīng)過(guò)授權(quán)的用戶才能通過(guò)可靠終端進(jìn)行公網(wǎng)/私網(wǎng)的交立式訪問(wèn)；后者則提供一種方法，用它生成某種形式的口令或數(shù)字簽名，被訪問(wèn)的一方（通常是準(zhǔn)入設(shè)備）據(jù)此來(lái)認(rèn)證來(lái)自訪問(wèn)者的請(qǐng)求。用戶管理的口令通常是前一種安全措施；硬件/軟件解決方案則不僅正逐步成為數(shù)字身份認(rèn)證的手段， 同時(shí)它也可以被可信

7、第三方用來(lái)完成用戶數(shù)字身份（ID）的相關(guān)確認(rèn).網(wǎng)絡(luò)防病毒隨著Internet開(kāi)拓性的發(fā)展，病毒可能為網(wǎng)絡(luò)帶來(lái)災(zāi)難性后果。 Internet帶 來(lái)了兩種不同的安全威脅。一種威脅是來(lái)自文件下載.這些被瀏覽的或是通過(guò)FTP 下載的文件中可能存在病毒。而共享軟件（public shareware和各種可執(zhí)行的文 件，如格式化的介紹性文件（formatted presentation）已經(jīng)成為病毒傳播的重要途 徑。并且,Internet上還出現(xiàn)了 Java和Active X形式的惡意小程序。另一種主要威脅來(lái)自于電子郵件。大多數(shù)的Internet郵件系統(tǒng)提供了在網(wǎng)絡(luò)間傳送附帶格式化文檔郵件的功能。 只要簡(jiǎn)

8、單地敲敲鍵盤，郵件就可以發(fā)給一個(gè) 或一組收信人。因此，受病毒感染的文檔或文件就可能通過(guò)網(wǎng)關(guān)和郵件服務(wù)器涌 入企業(yè)網(wǎng)絡(luò)。另一種網(wǎng)絡(luò)化趨勢(shì)也加重了病毒的威脅。這種趨勢(shì)是向群件應(yīng)用程序發(fā)展 的，如 Lotus Notes, Microsoft Exchange,Novell Groupwise 和 Netscape Colabra 由于群件的核心是在網(wǎng)絡(luò)內(nèi)共享文檔，那么這就為病毒的發(fā)展提供了豐富的基礎(chǔ)。而群件不僅僅是共享文檔的儲(chǔ)藏室，它還提供合作功能 ，能夠在相關(guān)工作組之間 同步傳輸文檔。這就大大提高了病毒傳播的機(jī)會(huì)。因此群件系統(tǒng)的安全保護(hù)顯得 格外重要。在企業(yè)中，重要的數(shù)據(jù)往往保存在位于整個(gè)網(wǎng)絡(luò)中

9、心結(jié)點(diǎn)的文件服務(wù)器上這也是病毒攻擊的首要目標(biāo)。為保護(hù)這些數(shù)據(jù)，網(wǎng)絡(luò)管理員必須在網(wǎng)絡(luò)的多個(gè)層 次上設(shè)置全面保護(hù)措施。有效的多層保護(hù)措施必須具備四個(gè)特性：?集成性:所有的保護(hù)措施必須在邏輯上是統(tǒng)一的和相互配合的 .?單點(diǎn)管理:作為一個(gè)集成的解決方案，最基本的一條是必須有一個(gè)安全管 理的聚焦點(diǎn)。?自動(dòng)化：系統(tǒng)需要有能自動(dòng)更新病毒特征碼數(shù)據(jù)庫(kù)和其它相關(guān)信息的功能。?多層分布:這個(gè)解決方案應(yīng)該是多層次的，適當(dāng)?shù)姆蓝静考谶m當(dāng)?shù)奈恢?分發(fā)出去，最大限度地發(fā)揮作用，而又不會(huì)影響網(wǎng)絡(luò)負(fù)擔(dān)。一般情況下， 防毒軟件至少應(yīng)該安裝在服務(wù)器工作站和郵件系統(tǒng)上 .解決方案計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)分層次的拓?fù)浣Y(jié)構(gòu)，因此網(wǎng)絡(luò)的安全防

10、護(hù)也需采用分層 次的拓?fù)浞雷o(hù)措施。即一個(gè)完整的網(wǎng)絡(luò)信息安全解決方案應(yīng)該覆蓋網(wǎng)絡(luò)的各個(gè)層 次，并且與安全管理相結(jié)合。以該思想為出發(fā)點(diǎn)，提出如下的“網(wǎng)絡(luò)信息安全解決方案網(wǎng)絡(luò)安全建設(shè)總體原則?滿足Intranet網(wǎng)的分級(jí)管理需求根據(jù)客戶網(wǎng)絡(luò)規(guī)模大、用戶眾多的特點(diǎn)，對(duì)Intranet信息安全實(shí)施分級(jí)管理的解決方案，將對(duì)它的控制點(diǎn)分為三級(jí)實(shí)施安全管理。第一級(jí)：數(shù)據(jù)中心級(jí)網(wǎng)絡(luò)，主要實(shí)現(xiàn)內(nèi)外網(wǎng)隔離；內(nèi)外網(wǎng)用戶的訪問(wèn)控制； 內(nèi)部網(wǎng)的監(jiān)控；內(nèi)部網(wǎng)傳輸數(shù)據(jù)的備份與稽查。第二級(jí)：部門級(jí)，主要實(shí)現(xiàn)不同用戶分配的虛擬網(wǎng)絡(luò)間的訪問(wèn)控制；同用戶虛擬網(wǎng)絡(luò)不同地點(diǎn)問(wèn)的訪問(wèn)控制；以及用戶虛擬網(wǎng)絡(luò)內(nèi)部的安全審計(jì)。第三級(jí)：終端/個(gè)人

11、用戶級(jí)，實(shí)現(xiàn)用戶內(nèi)部主機(jī)的訪問(wèn)控制；數(shù)據(jù)庫(kù)及終端信 息資源的安全保護(hù)。?需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則對(duì)任何網(wǎng)絡(luò)，絕對(duì)安全難以達(dá)到，也不一定是必要的。對(duì)一個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)際 額研究（包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等），并對(duì)網(wǎng)絡(luò)面臨的威脅 及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析， 然后制定規(guī)范和措施，確定本 系統(tǒng)的安全策略。?綜合性、整體性原則應(yīng)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要 包括:行政法律手段、各種管理制度（人員審查、工作流程、維護(hù)保障制度等）以及 專業(yè)措施（識(shí)別技術(shù)、存取控制、密碼、低輻射、容錯(cuò)、防病毒、采用高安全產(chǎn) 品等）。一個(gè)較好的安全措施往往是多種方

12、法適當(dāng)綜合的應(yīng)用結(jié)果。一個(gè)計(jì)算機(jī) 網(wǎng)絡(luò)，包括個(gè)人、設(shè)備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用， 也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計(jì) 算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安 全體系結(jié)構(gòu)。?可用性原則安全措施需要人為去完成，如果措施過(guò)于復(fù)雜，對(duì)人的要求過(guò)高，本身就降 低了安全性，如密鑰管理就有類似的問(wèn)題.其次，措施的采用不能影響系統(tǒng)的正 常運(yùn)行，如不采用或少采用極大地降低運(yùn)行速度的密碼算法。?分步實(shí)施原則：分級(jí)管理分步實(shí)施由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)脆弱性也會(huì)不斷增加.一勞永逸地

13、解決網(wǎng)絡(luò)安全問(wèn)題是不現(xiàn)實(shí)的。同時(shí)由于 實(shí)施信息安全措施需相當(dāng)?shù)馁M(fèi)用支出。因此分步實(shí)施，即可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求，亦可節(jié)省費(fèi)用開(kāi)支。安全防護(hù)手段與安全區(qū)域規(guī)劃由于網(wǎng)絡(luò)安全的目的是保障用戶的重要信息的安全，因此限制直接接觸十分重要。如果用戶的網(wǎng)絡(luò)連入Internet,那么最好盡可能地把與Internet連接的機(jī)器 與網(wǎng)絡(luò)的其余部分隔離開(kāi)來(lái)。實(shí)現(xiàn)這個(gè)目標(biāo)的最安全的方法是將Internet服務(wù)器與網(wǎng)絡(luò)劃分不同的領(lǐng)域，建立不同的安全策略。如此一來(lái)，如果有人闖入隔離開(kāi) 的機(jī)器，那么網(wǎng)絡(luò)的其余部分不會(huì)受到牽連.安全區(qū)域的規(guī)劃核心點(diǎn)是訪問(wèn)控制，訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主 要策略，它的主要任務(wù)

14、是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問(wèn).它也是維護(hù)網(wǎng)絡(luò) 系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。各種安全策略必須相互配合才能真正起到 保護(hù)作用，但訪問(wèn)控制可以說(shuō)是保證網(wǎng)絡(luò)安全最重要的核心策略之一.網(wǎng)絡(luò)的權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和 用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問(wèn)哪些目錄、子目錄、 文件和其他資源.可以指定用戶對(duì)這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。用 戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限可以用一個(gè)訪問(wèn)控制表來(lái)描述 .防火墻是最主流也是最重要的安全產(chǎn)品，是邊界安全解決方案的核心 .它可 以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行區(qū)域分割，提供基于 IP地址和TCP/IP服務(wù)端口等的訪問(wèn)控 制

15、;對(duì)常見(jiàn)的網(wǎng)絡(luò)攻擊，如拒絕服務(wù)攻擊、端口掃描、IP欺騙、IP盜用等進(jìn)行有 效防護(hù)；并提供NAT地址轉(zhuǎn)換、流量限制、用戶認(rèn)證、IP與MAC綁定、智能 蠕蟲(chóng)防護(hù)等安全增強(qiáng)措施。? ARP攻擊防護(hù)ARP欺騙：在同一個(gè)IP子網(wǎng)內(nèi)，數(shù)據(jù)包根據(jù)目標(biāo)機(jī)器的 MAC地址進(jìn)行尋 址，而目標(biāo)機(jī)器的MAC地址是通過(guò)ARP協(xié)議由目標(biāo)機(jī)器的IP地址獲得的。每 臺(tái)主機(jī)（包括網(wǎng)關(guān)）都有一個(gè)ARP緩存表，在正常情況下這個(gè)緩存表能夠有效維 護(hù)IP地址對(duì)MAC地址的一對(duì)一對(duì)應(yīng)關(guān)系。但是在ARP緩存表的實(shí)現(xiàn)機(jī)制和ARP 請(qǐng)求應(yīng)答的機(jī)制中存在一些不完善的地方，容易造成ARP欺騙的情況發(fā)生. 對(duì)于ARP欺騙攻擊來(lái)說(shuō)，單獨(dú)針對(duì)任何一臺(tái)設(shè)

16、備做防護(hù)配置都是微薄的，解決 ARP欺騙需要對(duì)整體網(wǎng)絡(luò)的進(jìn)行有效的規(guī)劃，在每一臺(tái)網(wǎng)絡(luò)設(shè)備，每一臺(tái)終端 設(shè)備上做有效地防護(hù)措施：把網(wǎng)絡(luò)劃分多個(gè)網(wǎng)段，ARP詢問(wèn)不會(huì)超出你的 VLAN ,超出VLAN的IP 和MAC地址表由網(wǎng)關(guān)來(lái)控制.這樣危急的范圍會(huì)變小，易于故障處理在每一臺(tái)網(wǎng)絡(luò)設(shè)備/終端設(shè)備上做IP和MAC靜態(tài)綁定，在網(wǎng)內(nèi)把主機(jī)和網(wǎng) 關(guān)都做IP和MAC綁定.欺騙是通過(guò)ARP的動(dòng)態(tài)實(shí)時(shí)的規(guī)則欺騙內(nèi)網(wǎng)機(jī)器， 所以 我們把ARP全部設(shè)置為靜態(tài)可以解決對(duì)內(nèi)網(wǎng) PC的欺騙，同時(shí)在網(wǎng)關(guān)也要進(jìn)行 IP和MAC的靜態(tài)綁定，這樣雙向綁定才比較保險(xiǎn).通過(guò)對(duì)防火墻進(jìn)行設(shè)置也是防御 ARP攻擊的好方法，通過(guò)防火墻的 A

17、RP 嚴(yán)格限制可以使網(wǎng)關(guān)、服務(wù)器等重要的設(shè)備地址不被冒用，能夠有效地解決針對(duì)網(wǎng)關(guān)地址欺騙等的問(wèn)題.在接入層/匯聚層的交換機(jī)等設(shè)備上啟動(dòng) ARP防護(hù)也是行之有效的辦法，包 括使用DHCP認(rèn)證、ARP-Guard等安全功能，能夠限制ARP包在網(wǎng)絡(luò)間傳輸，有 效過(guò)濾虛假ARP信息，保持網(wǎng)絡(luò)的真實(shí)性。? 靜態(tài)/動(dòng)態(tài)VPN接入基于VPN隧道的加密數(shù)據(jù)傳輸能夠提供安全可靠的網(wǎng)絡(luò)互聯(lián)，在無(wú)法保證電路安全、信道安全、網(wǎng)絡(luò)安全、應(yīng)用安全的情況下，或者也不相信其他安全措施的情況下，一種行之有效的辦法就是加密，而加密就是必須考慮加密算法和密 碼的問(wèn)題?？紤]到我國(guó)對(duì)密碼管理的體制情況 ，密碼是一個(gè)單獨(dú)的領(lǐng)域。對(duì)防火

18、墻而言，是否防火墻支持對(duì)其他密碼體制的支持，支持提供 API來(lái)調(diào)用第三方 的加密算法和密碼，非常重要.對(duì)于VPN業(yè)務(wù)，企業(yè)比較關(guān)心的一個(gè)問(wèn)題能是傳輸?shù)陌踩浴Ｔ谶@個(gè)問(wèn)題 上，BMC的企業(yè)級(jí)防火墻能夠提供全面的安全性保證。企業(yè)級(jí)防火墻可以應(yīng)用 戶的要求，在VPN用戶撥入時(shí)對(duì)他的身份進(jìn)行驗(yàn)證，然后才建立隧道，將用戶 交由VPN服務(wù)器進(jìn)行再次驗(yàn)證。其次,企業(yè)級(jí)防火墻對(duì)用戶數(shù)據(jù)包進(jìn)行完整轉(zhuǎn)發(fā)， 并不讀取數(shù)據(jù)包的內(nèi)容。因此，用戶可以對(duì)它的數(shù)據(jù)進(jìn)行加密， 而不會(huì)影響防火 墻本身的工作，而且此時(shí)即使是防火墻本身也無(wú)法讀取用戶數(shù)據(jù).最后，企業(yè)級(jí)防 火墻支持自身到VPN服務(wù)器間隧道的數(shù)據(jù)加密。這樣，即使撥入用戶不對(duì)其數(shù) 據(jù)加密，Internet上的其他用戶也無(wú)法讀取 VPN用戶的私有數(shù)據(jù).方案描述：通過(guò)在650AE交換機(jī)上安裝防火墻模塊實(shí)現(xiàn)防火墻的集成.根據(jù)“橫向隔 離、縱向加密”的理念，對(duì)酒店網(wǎng)絡(luò)實(shí)行安全區(qū)域劃分，包括實(shí)驗(yàn)室、培訓(xùn)教室、 辦公室等接入層網(wǎng)絡(luò)定義為同級(jí)別、 同安全等級(jí)的單獨(dú)區(qū)域、即為橫向，要求做 到網(wǎng)間隔離，