電子政務網(wǎng)絡安全解決方案

以Internet為代表的世界性信息化浪潮日益深刻，信息網(wǎng)絡技術(shù)的應用正日益普及和安全日益成為影響網(wǎng)絡效能的重要問題，而Internet所具有的開放性、國際性和自由性在諜的入侵，已成為政府機構(gòu)、企事業(yè)單位信息化健康發(fā)展所要考網(wǎng)絡規(guī)劃倆；9地：心源家濟6s.虛擬專用網(wǎng)技術(shù)(VPN,VirtualPrivateNetwork)是指在公共網(wǎng)絡中建立專用網(wǎng)絡，數(shù)上本地的公眾信息網(wǎng)，那么各地的機構(gòu)就能夠互相傳遞信息。使VPN際的長途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡，是單獨的VPN網(wǎng)關(guān)的主要功能是IPSec數(shù)據(jù)包的加密/解密處理和身份認證，但它沒有很強的訪問控制功能，例如狀態(tài)包過濾、網(wǎng)絡內(nèi)容過濾、防DDoS攻擊等。在這種獨立的防火墻和VPN部署方式下，防火墻無法對VPN的數(shù)據(jù)流量實行任何訪問控制，由此帶來安全性、性能、管理上的一系列問題。所以，在防火墻安全網(wǎng)關(guān)上集成VPN集成VPN的防火墻安全網(wǎng)關(guān)的優(yōu)點是，它能夠保證加密的流量在解嚴格的訪問控制策略的檢查，保護VPN網(wǎng)關(guān)免受DDoS攻擊和入侵威脅；提供更好的處理性能，簡化網(wǎng)絡管理的任務，快速適合動態(tài)、變化VPN政府機關(guān)Intranet網(wǎng)絡建設的VPN連接方案，利用IPsec安全協(xié)議的VPN和加密水平，天津分北京總部天津分圖示：政府機關(guān)Intranet網(wǎng)VPN解決方案論是Windows還是其它任何商用UNIX操作系統(tǒng)以及其它廠商開發(fā)的應用系統(tǒng)，其開發(fā)廠商必然有其Back-Door(后門)。而且系統(tǒng)本身必定存有安全漏洞。這些"后門"或安全漏洞都(一)資源共享自從1983年世界上第一個計算機病毒出現(xiàn)以來，在20多年的時間里，計算機病毒已到常快捷，正因為如此，病毒與黑客程序(木馬病毒)結(jié)合以后的危害更為嚴重，病毒的發(fā)作(一)防火墻系統(tǒng)1、在各網(wǎng)絡出口處安裝曙光天羅防火墻。防火墻在這里首先起到網(wǎng)絡2、曙光天羅防火墻自帶的入侵檢測功能采用了基于模式匹配的入侵檢測系統(tǒng)，超越了3、利用曙光天羅防火墻自帶的VPN功能，實現(xiàn)多級VPN系統(tǒng)。防火墻VPN模塊支持兩種用戶模式：遠程訪問虛擬網(wǎng)(撥號VPN)和政府機關(guān)內(nèi)部虛擬網(wǎng)(網(wǎng)關(guān)對網(wǎng)關(guān)VPN)。如上圖所示，在省地市三級網(wǎng)絡出口處安裝曙光天羅防火墻，利用防火墻VPN間分層次的政府機關(guān)內(nèi)部虛擬網(wǎng)(網(wǎng)關(guān)對網(wǎng)關(guān)VPN);而對于一些規(guī)模比較小的區(qū)線或移動用戶，通過安裝VPN客戶端，實現(xiàn)遠程訪問虛擬網(wǎng)(撥號VPN),整個構(gòu)成一個安全的虛擬內(nèi)部(二)防火墻的VPN功能VPN是平衡Internet的適用性和價格優(yōu)勢的最有前途的新興通信手段之一。利用共享的IP網(wǎng)建立VPN連接，能夠使服務對象減少對昂貴租用線路和復雜遠程訪問方案的依賴性。也是至關(guān)重要的一點，它能夠使移動用戶和一些小型的分支政府機關(guān)新增的分支機構(gòu)或站點能夠非常迅速方便地加入政府機關(guān)已建的基于VPN的INTRANET,所以VPN的可擴展性大大優(yōu)于傳統(tǒng)構(gòu)建政府機關(guān)INTRANET的技術(shù)手段，如點對VPN不但能夠大幅度削減傳輸數(shù)據(jù)的開銷，同時能夠削減傳輸話音的開銷；VPN創(chuàng)造了多種伴隨著Web發(fā)展而出現(xiàn)的新的商業(yè)機會，包括：實行世界電子商務，能夠在當今世界激烈競爭的環(huán)境下，最先實現(xiàn)VPN的政府機關(guān)將在競爭獲的事實，很多政府機關(guān)也開始紛紛利用經(jīng)濟有效的VPN來傳送話音業(yè)務，并從中受益：◆減少用于相關(guān)的調(diào)制解調(diào)器和終端服務設備的資金及費用，簡化網(wǎng)絡；◆實現(xiàn)本地撥號接入的功能來取代遠距離接入，這樣能顯著降低遠距離通信的費用；◆遠端驗證撥入用戶服務基于標準，基于策略功能的安全服務；◆將工作重心從管理和保留運作撥號網(wǎng)絡的工作人員轉(zhuǎn)到公司的核心業(yè)務上來；◆強大的基于Web的VPN管理工具提供基于策略的VPN配置和監(jiān)控，能夠優(yōu)化網(wǎng)絡資◆極大的可擴展性，簡便地對加入網(wǎng)絡的新用戶實行調(diào)度。用戶不需改變網(wǎng)絡的原來架構(gòu)，只須安裝客戶端軟件并且設置此軟件的一些參數(shù)即可。同時也支持傳統(tǒng)的應用，能夠從小的政府機關(guān)擴展到最大的政府機關(guān)；◆更大的網(wǎng)絡靈活性，能夠管理和發(fā)布不同類型的數(shù)據(jù)進入同一Internet連接。VPN代表了當今網(wǎng)絡發(fā)展演化的最高形式，它綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡的性能優(yōu)點(安全和QoS)和共享數(shù)據(jù)網(wǎng)絡結(jié)構(gòu)的優(yōu)點(簡單和低成本),必將成為未來傳輸完全匯聚業(yè)務的主要用戶能夠通過硬件和軟件的方式來實現(xiàn)VPN功能，一般用戶都會使用硬件設備。在總部架設一個帶有VPN功能的防火墻，就能夠讓地方聯(lián)到總部的內(nèi)部局域網(wǎng)了。使用這種具有VPN功能的防火墻都具有較高的安全性和穩(wěn)定性，因一個最大的優(yōu)點是既能夠抵御外部的攻擊又能夠提升自身網(wǎng)絡的安全性。防火墻對服務器的保護網(wǎng)絡中應用的服務器，信息量大、處理水平強，往往是攻擊的主要對象。另外，服務器提供的各種服務本身有可能成為“黑客”攻擊的突破口，所以，在實施方案時要對服務器的安全實行一系列安全保護。假如服務器沒有加任何安全防護措施而直接放在公網(wǎng)上提供對外服務，就會面臨著“黑客”各種方式的攻擊，安全級別很低。所以當安裝防火墻后，所有訪問服務器的請求都要經(jīng)過防火墻安全規(guī)則的詳細檢測。只有訪問服務器的請求符合防火墻安全規(guī)則后，才能通過防火墻到達內(nèi)部服務器。防火墻本身抵御了絕絕大局部對服務器的攻擊，外界只能接觸到防火墻上的特定服務，從而防止了絕絕大局部外界攻擊。(四)防火墻對內(nèi)網(wǎng)的保護網(wǎng)絡內(nèi)部的環(huán)境比較復雜，而且各子網(wǎng)的分布地域廣闊，網(wǎng)絡用戶、設備接入的可控性比較差，所以，內(nèi)部網(wǎng)絡用戶的可靠性并不能得到完全的保證。特別是對于存放敏感數(shù)據(jù)的主機的攻擊往往發(fā)自內(nèi)部用戶，如何對內(nèi)部用戶實行訪問控制和安全防范就顯得特別重要。為了保障內(nèi)部網(wǎng)絡運行的可靠性和安全性，我們必須要對它實行詳盡的分析，盡可能防護到網(wǎng)絡的每一節(jié)點。對于一般的網(wǎng)絡應用，內(nèi)部用戶能夠直接接觸到網(wǎng)絡內(nèi)部幾乎所有的服務，網(wǎng)絡服務器對于內(nèi)部用戶缺乏基本的安全防范，特別是在內(nèi)部網(wǎng)絡上，絕大局部的主機沒有實行基本的安全防范處理，整個系統(tǒng)的安全性容易受到內(nèi)部用戶攻擊的威脅，安全等級不高。根據(jù)國際上流行的處理方法，我們把內(nèi)部用戶跨網(wǎng)段的訪問分為兩大類：其一，是內(nèi)部網(wǎng)絡用戶之間的訪問，即單機到單機訪問。這個層次上的應用主要有用戶共享文件的傳輸(NETBIOS)應用；其次，是內(nèi)部網(wǎng)絡用戶對內(nèi)部服務器的訪問，這個類應用主要發(fā)生在內(nèi)部用戶的業(yè)務處理時。一般內(nèi)部用戶對于網(wǎng)絡安全防范的意識不高，假如內(nèi)部人員發(fā)起攻擊，內(nèi)部網(wǎng)絡主機將無法避免地遭到損害，特別是針對于NETBIOS文件共享協(xié)議，已經(jīng)有很多的漏洞在網(wǎng)上公開報道，假如網(wǎng)絡主機保護不完善，就可能被內(nèi)部用戶利用“黑客”工具造成嚴重破壞。因為網(wǎng)絡環(huán)境的復雜化和網(wǎng)絡應用的多樣化日益明顯，對于內(nèi)部網(wǎng)絡除了必要的防攻擊設置外還必須防止內(nèi)部用戶的欺騙行為，比方IP地址欺騙、網(wǎng)絡連接的欺騙等。因為物理層上的原因，內(nèi)部用戶接觸網(wǎng)絡服務的機會、方法很多，假如沒有專門的安全防護，“黑客”就能夠比較容易地實施欺騙、偽造身份及暴力攻擊(CRACK),對于內(nèi)部網(wǎng)絡的用戶，防范攻2)內(nèi)部用戶網(wǎng)絡和網(wǎng)絡的隔離：把內(nèi)部比較重要的數(shù)據(jù)服務3)內(nèi)部網(wǎng)絡安全保護：結(jié)合物理層和鏈路層的特點，在安全控制，實施IP/MAC綁定。IDS詳述IDS(入侵檢測系統(tǒng))對于關(guān)心網(wǎng)絡安全防護的人們來說已不再是一個陌生的名詞，在15%的安全項目會涉及到IDS系統(tǒng)，而且這些項目一般都對安全等級的要求非常高，對數(shù)據(jù)IDS系統(tǒng)不相同，所以確定IDS的保護對象是合理使用IDS的關(guān)鍵。在優(yōu)先保護的網(wǎng)段中部署IDS系統(tǒng)，并配置適宜的檢測策略，如在防火墻之內(nèi)部署IDS所以需要在檢測范圍中排除這些主機的IP地址；通常IDS系統(tǒng)中都有一個過濾器(FILTER)模塊或像KIDS那樣所具有的“非阻斷列表”的功能選項，能夠允許用戶加入所有他們所信任的主機IP地址。假如相符即產(chǎn)生報警或響應。這種檢測方式雖然比異常統(tǒng)計檢測技術(shù)要更加精確，但會給IDS帶來較大的負載，所以需要對檢測策略作關(guān)自身網(wǎng)絡的業(yè)務應用情況，選擇最適合的檢測策略(可根據(jù)操置等),并對所選的策略實行修改，選擇具有參考價值的檢測規(guī)則，而去除一些無關(guān)緊要的選項，如對于全部是Windows的應用環(huán)境，則完全能夠把UNIX的規(guī)則去掉。有些IDS除了提供攻擊特征檢測規(guī)則的定制功能外，還提供了對端口掃描檢測規(guī)則的自定義，如在KIDS置都能將IDS的檢測水平優(yōu)化到最理想的狀態(tài)。IDS監(jiān)控是對網(wǎng)絡中的非法連接實行阻斷，如利用防火墻阻斷、列入黑名單阻斷或HTTP阻斷等。在利用IDS實行監(jiān)控時，不但需要查看它的報警提示，而且需要參考它所樣。如主機正遭到拒絕服務攻擊時(DoS或DDoS),網(wǎng)絡中的數(shù)據(jù)流量便可能會急速上升，這時能夠從包流量或字節(jié)流量等實時的狀態(tài)圖表中發(fā)現(xiàn)這樣的異IDS如以下圖，我們在各局路由器后安裝曙光TLFW千兆防火墻，以有三千用戶在同時上Internet網(wǎng)計算，千兆防火墻的并發(fā)連接超過600,000,完全能夠滿足整個網(wǎng)絡的需求，穩(wěn)4)利用防火墻使用IP與MAC地址綁定功能，增強終端用戶的訪問認證，同時在不影響哪兒風羅陽光墻明光人審新火隨循W塌光大羅弱大墻