《xx电力信息安全与系统管理规划》由会员分享,可在线阅读,更多相关《xx电力信息安全与系统管理规划(38页珍藏版)》请在金锄头文库上搜索。
1、XX电力信息安全与系统管理规划防火墙部分建议书目 录前 言1第一章省电力信息网防火墙需求分析31.1用户需求31.2防火墙实施的目的51.3防火墙选择的依据71.4防火墙安全策略设计的依据8第二章省电力信息网防火墙部署建议102.1省电力信息网络公有IP地址的使用102.2省电力信息网络防火墙整体部署102.3省电力信息网Internet出口112.3.1防火墙型号推荐112.3.2防火墙的使用122.4省公司广域网接入点142.4.1防火墙型号推荐142.4.2防火墙的使用152.5省四大供电局广域网接入点162.5.1防火墙型号推荐162.5.2防火墙的使用172.6省其他供电局广域网接入
2、点172.6.1防火墙型号推荐172.6.2防火墙的使用182.7省变电站广域网接入点182.7.1防火墙型号推荐182.7.2防火墙的使用18第三章Amaranten防火墙产品介绍193.1防火墙的组成193.1.1Amaranten防火墙(硬件)193.1.2防火墙内核193.1.3防火墙管理器193.1.4Amaranten防火墙日志服务器203.2防火墙的主要功能203.2.1全状态检测过滤203.2.2支持VLAN213.2.3基于策略的路由(PBR)213.2.4提供CoS/QoS(服务级别/服务质量)服务223.2.5支持双机热备233.2.6支持接口备份233.2.7多重DMZ
3、区保护243.2.8VPN功能243.2.9多种接入模式253.3防火墙的管理方式253.3.1分级管理253.3.2使用对象名称定义253.3.3组策略管理263.3.4预定义通讯服务263.3.5集中远程管理263.3.6专业级协议栈设置273.3.7支持SNMP协议273.3.8远程Console控制283.3.9安全的远程升级283.3.10独特的防火墙监测283.3.11丰富的日志审计283.4防火墙的型号29第四章 项目概算情况304.1首选部署方案设备清单304.2次选部署方案设备清单314.3备选部署方案设备清单324.4 每台设备所配免费附件33前 言Internet的发展给
4、政府机构、银行、证券、企事业单位带来了革命性的改革和变化。互联网技术的迅猛发展使企业通过利用Internet来提高办事效率和市场反应速度,以便更具竞争力。通过使用Internet技术,任何一个单位的数据资料的传输和存取都变得方便、快捷,但同时也面对Internet开放带来的数据安全的新挑战和新危险:即客户、销售商、移动用户、异地员工和内部人员的安全访问;以及保护国家机关、企事业的机密信息不受黑客和商业间谍的入侵。众所周知,作为全球使用范围最大的信息网,Internet自身协议的开放性极大地方便了各种计算机入网,拓宽了共享资源。然而,由于在早期网络协议设计上对安全问题的忽视,以及在使用和管理的无
5、政府状态,逐渐使Internet自身的安全受到严重威胁,与它有关的安全事故屡有发生。这就要求我们对与Internet互连所带来的安全性问题予以足够重视。如何能够既保证我们网络的正常应用的同时又保证网络的安全性,防火墙是我们必须要考虑到的设备。防火墙是一种高级访问控制设备,它是置于不同网络安全域之间的一系列部件的组合,是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。防火墙的工作原理是按照事先规定好的配置和规则,监测并过滤所有通向外部网和从外部网传来的信息,只允许授权的数据通过,防火墙还应该能够记录有关的联接来源、服务器提供的通信量以及
6、试图闯入者的任何企图,以方便管理员的监测和跟踪。2000年阿姆瑞特进入中国市场,作为网络安全产品厂商,很快就推出了适合中国市场需求的7款阿姆瑞特F系列防火墙。凭借先进的技术力量和在网络安全领域的丰富经验,灵活地为SOHO、大中企业和电信级用户提供不同需求的产品和服务,阿姆瑞特防火墙每三个月至六个月便更新一次版本,以确保不断领先的技术,使用户及时得到更安全的服务。目前,阿姆瑞特公司已经在北京、西安、南京、广州、成都等地先后建立办事处,并将销售渠道延伸到全国各个省市,建立起遍及全国的销售和服务平台。在金融、电信、教育、广电、电力、制造和政府等行业已经有广泛的应用,并得到了客户的一致好评。显示出了阿
7、姆瑞特防火墙产品的卓越品质和公司雄厚的技术实力。第一章省电力信息网防火墙需求分析1.1 用户需求XX电力信息网络目前的现状存在如下特点: 各地区供电局、部分县电力局已建立其企业局域网与内部管理信息系统,尚未建立之企业正在积极进行之中。 没有基于全省的安全的、可管理的信息网络,上下级、同级无法及时流通信息。 数据采集途径分散,重复低水平、低速率的电话远程联网。不仅浪费投资、通信资源,功能简单,更不利于管理和信息交换。 全省光纤网络正在积极建设之中。为了充分利用现有资源的优势,并对结构欠合理的已有设计进行改造,为以后企业的发展打下良好的发展基础,就需要建成各局本地的OA、MIS、用电营销支持系统、
8、全省视频会议系统、实现部分专业应用的互联,为了在通畅的同时保证安全,还必须要实现初步的网络访问控制功能和防病毒功能。分析以上现状和实现目标,可以总结出XX电力信息系统需求具有如下特点: 高安全性、高稳定性 大规模 综合业务 信息相对集中 集成化企业应用因此,该系统从应用类别的角度来看,应该满足数据、视频、语音同时进行通信的需要,从地域需求的角度来看,要满足近距离传输到远程传输的需要,同时从带宽需求的角度来看,还要满足高带宽、低误码、低延迟的要求,当然还应该重点考虑满足高可靠性、安全性的需求。同时要有为建成信息安全、统一的管理平台、业务性能管理、系统配置、系统监控和系统操作管理等系统并实现系统智
9、能诊断与顾问、事件关联和自动化处理等功能奠定良好的基础。对于其中包含的安全系统,应该同时从物理层、网络层、系统层(主机/OS)、数据、应用、用户、安全管理等各方面来综合考虑,才可满足一个安全的网络建设的需要。从整个系统的技术角度来看,应该符合安全、可靠、开放性、可扩展性、集成性、分布式管理的要求,以满足高数据吞吐量、高可靠性、高冗余性、较好的可扩展性、先进的流量管理与控制(QOS保证)、较好的安全性、保护现有投资、支持多媒体综合业务的整体需求。整个系统应该遵循先进、实用、可靠、安全、全面规划、分步实施、重在实用的建设原则,并严格遵守ISO9001质量体系标准,把XX电力信息广域网工程建成一个以
10、光纤为主、微波为辅覆盖全省各地区供电局及直调变电站,主干带宽达到1000兆,接入为10兆或100兆的信息网络,构成全省的综合业务传输、交换平台,实现数据、视频、语音三网合一,并建成全省统一的电子邮件系统,全省统一的网络管理系统,全省统一的安全、信息内容审计系统,全省统一的WEB系统。该网络将为XX省电力公司的生产、经营、管理和决策的信息化提供一个基础平台。到2005年,网络将覆盖到各县供电局和营业站所,接入速率达到百兆的大型安全网络。该项目的建设范围共包含了西安供电局、西安高压局、咸阳供电局、渭南供电局、汉中供电局、安康供电局、宝鸡供电局、延安供电局、商洛供电局、铜川供电局、榆林供电局共11个
11、供电局,还包括了马营、汉中、洋县、北郊、南郊、枣园、周至、桃曲、渭南、罗敷、庄头、沣河、张村、东郊、阎良、勉县变、金锁变、西高明变、桥陵变、柞水变、延安变、大杨变各直调变电站共22个。并同时包含对省电力公司局域网划分互联VLAN、为核心交换机提供上联接口、规范业务VLAN、规范服务器IP等内容。涉及的地域范围广、使用的设备种类繁多、型号复杂。因此,在该系统中使用的所有设备,特别是相关的安全设备,应该与省电力公司数据库服务器如:采用p670双机热备4*1.1G RISC CPU/8G内存/2*6G/光纤通道卡的主数据库服务器、采用IBM X345双机 2*2.8G XEON CPU/8G内存/4
12、*73G的中间件服务器以及其他相关网络设备具如:Quidway NE80、Quidway NE40-8、Quidway NE16E、Quidway NE05E、Quidway S8016具有良好的兼容性。为最终建成全省MIS与全省OA系统、客户服务支持系统、调度生产管理信息系统、全省视频会议、视频广播系统、全省电力地理信息系统(数字化电网)提供最有力的支持与保障,并有力地支持整个系统中涉及的远程教育、Internet服务与电子商务、全省电力邮件系统、IP Phone技术。1.2 防火墙实施的目的XX省电力信息广域网网络系统的建立为用户带来极大的方便性。但随着网络应用的扩大,网络安全风险也变得更
13、加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机,引起大范围的瘫痪和损失;另外,加上一些人缺乏安全控制机制和对网络安全政策及防护意识的认识不足,这些风险可谓日益加重。例如:入侵者通过对内部网重要服务器进行DOS(拒绝服务攻击)DDOS(分布式拒绝服务攻击),使得服务器拒绝服务甚至系统瘫痪。入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息。入侵者通过scanner等扫描程序来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键
14、文件等,并通过相应攻击程序对内网进行攻击。入侵者利用网络中某台服务器(主机)开放的端口,系统的漏洞等因素入侵这台服务器(主机),肆意的窃取、修改、删除这台计算机的资料、信息。同时入侵者还会把木马等程序拷到这台计算机上,为下一次入侵打开一扇便利之门。之后黑客还会把已入侵过的主机作为跳板,通过它入侵系统内部的其他主机和服务器。入侵者通过扫描发现公司网络中的某台计算机的管理员口令弱,利用专用的黑客字典进行暴力攻击,探出管理员的密码,然后利用正常的方法远程登陆到这台计算机上,在远程对此台计算机进行控制(包括窃取、修改、删除资料和上传木马程序、远程定时启动木马程序、制作跳板等)。入侵者通过扫描发现公司网
15、络中的某台服务器上的普通用户口令弱或者允许匿名登陆,它会通过暴力攻击破解普通用户的口令或者匿名登陆到服务器上,然后窃取用户和加密口令文件(例如:NT的此文件保存在Registry中的SAM文件中)。然后利用同样的加密方法(例如:NT系统用RSA MD4加密)在本地对此加密文件进行破解,从而获得管理员口令,在远程对此台计算机完全控制。入侵者还可以通过其他黑客软件进行普通用户到管理员的权限的提升。(例如:GetAdmin、PipeUpAdmin、Enum等),此外入侵者还可能通过其他方式入侵公司网络中的服务器、主机。总之,无论入侵者通过何种方式入侵了某台计算机它不但对该计算机的资源进行窃取、破坏外,他还可以通过该台计算机作为跳板入侵公司网络中的其他计算机。为了防止以上各种不安全事故的发生,就必须
