《外网安全解决方案》由会员分享,可在线阅读,更多相关《外网安全解决方案(12页珍藏版)》请在金锄头文库上搜索。
1、外网安全解决方案目录外网安全解决方案XXXXX有限公司-7-4一. 前言错误!未定义书签。二. 网络现状错误!未定义书签。三. 需求分析 错误!未定义书签。3.1威月办分析 错误!未定义书签。3.2夕卜部威胁错误!未定义书签。3.2.1 .内部威胁错误!未定义书签。3.3风险分析 错误!未定义书签。3.3.2攻击快速传播引发的安全风险与IDS的不足错误!未定义书签。3.3.3日志存储存在风险 错误!未定义书签。3.3.4需求分析错误!未定义书签。四. 命军决方案错误!未定义书签。4.1入侵保护系统和外置数据中心部署 错误味定义书签。4.1.1部署图错误!未定义书签。4.1.2音8署说明 错误!
2、未定义书签。4.2功育E与效益 错误!未定义书签。xxxx所外网安全解决方案J. 前言随着网络与信息技术的发展,特别是互联网的广泛普及和应 用,网络正逐步改变着人类的生活和工作方式。网络与信息技术对 社会的各行各业产生了巨大深远的影响,信息安全的重要性也在不 断提升。近年来,军工企业所面临的安全问题越来越复杂,安全威胁正 在飞速增长,如蠕虫、病毒、木马、 DDoS攻击、垃圾邮件,木马 引起的计算机资料被篡改、窃取等,极大地困扰着用户,给企业的 信息网络造成严重的破坏。能否及时发现并成功阻止网络黑客的入 侵、和内部有意无意破坏保证计算机和网络系统的安全和正常运行 便成为所有企业所面临的一个重要问
3、题。陕西中微航信电子科技有限公司是一家专业从事信息安全产品 销售及整体解决方案的高新技术企业。公司专注于信息安全领域, 以保护国家机密、商业机密,防止重要信息泄漏为己任,为各类用 户构筑安全可信的信息堡垒。我们根据705外网实际环境制定相应的解决方案。网络现状出口带宽为电信10M光纤接入,经过交换机分成两路分支,一路为接待区,一路为办公区。办公区客户经过二层交换机、安氏防火墙(已无法配置)、深信服上网优化网关SG3200组成的百兆局域网。客户端为办公上网终端、管理网络设备终端和临时网吧终 端组成。办公区拓扑如下二. 需求分析3.1威胁分析由于网络连接互联网,网络的使用者既有来白互联网的用户、
4、合作伙伴、网民,也有来白企业内部的员工,因此企业网络面临来 白两个方面的安全威胁:3.2外部威胁黑客扫描和攻击Internet网络的恶意入侵者可能因为商业的目的或者是随机的目 的对企业网络发起恶意扫描和渗透式入侵,经过渗透或绕过防火 墙,进入企业网络,获取、篡改甚至破坏敏感的数据。病毒或蠕虫侵袭Internet网络上大量肆虐的网络蠕虫病毒具备渗透防火墙的传播 能力,她们能够穿透防火墙进入企业网络;一旦遭受了病毒和蠕虫 的侵袭,不但会造成网络和系统处理性能的下降,同时也会对核心 敏感的数据造成严重的威胁,甚至造成泄密事件。3.2.1 .内部威胁无意识的外部风险引入企业网络中,由于安全技能和安全意
5、识存在差异,员工可能无 意识的经过互联网络将Internet上危险的、恶意的木马程序和恶意文档仅供参考代码下载到内部网络执行,甚至将Internet上的蠕虫、网络病毒传播进入内部网络,这将对企业网络的安全带来严重威胁;内部故意破坏企业需要考虑内部的不满员工恶意破坏信息网络、系统和泄漏 敏感数据的可能;3.3风险分析依据企业网络现状和相关业务情况,我们主要从以下几个方面 关注可能面临的安全风险:3.3.1防火墙的局限绝大多数人在谈到网络安全时,首先会想到“防火墙”,企业 一般采用防火墙作为安全保障体系的第一道防线,防御黑客攻击。 可是,随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多 样,单
6、纯的防火墙已经无法满足企业的安全需要,部署了防火墙的 安全保障体系仍需要进一步完善。传统防火墙的不足主要体现在以下几个方面:防火墙作为访问控制设备,无法检测或拦截嵌入到普通流量 中的恶意攻击代码,比如针对 WEB服务的Code Red蠕虫等。有些主动或被动的攻击行为是来白防火墙内部的,防火墙无 法发现内部网络中的攻击行为。如果有哪台电脑中了木马或者被控制,内网所有电脑都会被 感染,没人敢保证她们内网的那些电脑完全没有涉密信息,不出问题则以,一出问题前面所有的努力都前功尽弃了防火墙无法防御内部病毒、攻击示意图如下:3.3.2攻击快速传播引发的安全风险与IDS的不足当前利用漏洞传播的蠕虫、病毒、间
7、谍软件、DDoS攻击、垃圾邮件等混合威胁越来越多,传播速度加快,留给人们响应的时间 越来越短,使用户来不及对入侵做出响应,比如蠕虫爆发造成企业 网络瘫痪。入侵检测系统IDS虽然能检测出攻击行为,但无法有效 阻断攻击。另外,网络防病毒系统属于被动防护,对于新的未知蠕 虫病毒,防病毒软件无法检测出。因此如何保证企业网络在安装最 新安全补丁之前,网络不会被蠕虫、病毒、黑客等攻击造成网络瘫 痪,这是当前企业关注的问题。3.3.3日志存储存在风险根据保密标准123条和132条严格规定要有完善的日志审计系 统而且不允许随意删除审计日志,同时审计日志是违规取证的重要 手段。当前外网审计设备为深信服 SG32
8、00上网优化网关,内置数据 中心硬盘为250G,虽然该设备日志审计功能相当完善,可是当内 部数据中心硬盘存满后网关会白动删除最早的日志记录,造成了日 志文件不全的问题,假如发生设备硬件软件故障、病毒入侵、人 为、天灾等因素造成日志文件丢失势必会对企业造成很大的损失。3.3.4需求分析根据对企业网络系统的风险分析,我们发现企业的信息安全需 求主要在以下方面:防御来白外部的威胁,阻止蠕虫、网络病毒、间谍软件和黑 客攻击对企业网络造成的安全损失,提高企业网络的整体抗攻击能 力;防御来白内部的威胁,阻止蠕虫、网络病毒爆发对企业内部 服务器和网络的破坏,保障企业业务系统的正常运行,减少敏感信 息被非法窃
9、取的可能。监控企业网络的安全运行,全面把握安全状态,以便于及时 的发现安全攻击,防止安全事件的发生。审计日志等重要数据应当建立容灾系统,即使设备因意外情 况损坏、日志被有意无意删除等情况发生也能第一时间恢复数据。文档仅供参考因此在企业网络中部署新一代安全产品入侵保护系统(IPS),能够有效防御各种攻击,控制网络资源滥用,保证网络系统的安全稳定运行。另外建议增加一台外置数据中心服务器作为审计日志容灾系统,能够白动或者手动定期同步各种网络设备、审计 设备的审计日志,全面解决因病毒、人为、设备故障、天灾等引起 的审计日志丢失。四.解决方案入侵保护系统IPS (Intrusion Prevention
10、 System )提供一种主动的、实时的防护,其设计旨在对常规网络流量中的恶意数据包进行检测,阻止入侵活动,预先对攻击性的流量进行白动拦截,使它们无法造成损失,而不是简单地在传送恶意流量的同时或之后发出警报。IPS是经过直接串联到网络链路中而实现这一功能的,即IPS接收到外部数据流量时,如果检测到攻击企图,就会白动地将攻击包 丢掉或采取措施将攻击源阻断,而不把攻击流量放进内部网络。外置数据中心系统能够第一时间同步深信服SG3200的内部审计日志,也能够手动存储其它审计设备、网络设备的日志信息。同时又能够作为一台日志容灾服务器。4.1入侵保护系统和外置数据中心部署4.1.1 部署图4.1.2部署
11、说明根据安全风险分析、安全目标和设计原则,我们在充分利用现 有资源、尽量在少投入、少改动的基础上,建议使用以下集防护、 检测和响应于一体的安全解决方案。具体部署方式如下:在企业互联网出入口处在线部署 1台网络入侵保护系统分别 连接ISP路由器、DMZ区和内网的核心交换机相连,能够入侵保 护,又能够发挥集成防火墙的功能,最大化利用资源,也能够将接 待区接入NIPS实现全网防护,节约投资;IPS选择路由工作模式,部署在网络边界,类似于一个静态的 路由器,又相当于一台防火墙,能够实现NAT,策略路由等功能;IPS进行入侵行为检测、分析和实时响应,白动阻断黑客攻 击,切实有效的保护企业网络的安全;在安
12、全管理区域部署一台外置数据中心服务器作为审计日志容 灾系统,能够白动或者手动定期同步各种网络设备、审计设备 的审计日志,全面解决因病毒、人为、设备故障、天灾等引起 的审计日志丢失。4.2功能与效益布署网络入侵保护系统会给企业网络带来以下安全功能的提高:文档仅供参考只需部署一个IPS,同时拥有IDS+IPS+FW的全部功能,降低 企业整体的安全费用而且完全满足保密资格标准。实时发现和阻断来白Internet的蠕虫、病毒、间谍软件和黑客 等攻击和入侵,窃取敏感信息,防止黑客带来的安全损失;实时发现和阻断企业内部人员经过Internet对其它网络实施攻击、破坏、病毒传染、内部泄密。实时发现和阻断企业内部蠕虫、网络病毒的大规模爆发;能够实现防火墙的访问控制、地址转换及策略路由等功能,增强了网络安全性,减少企业投资;能够对内部网络流量和网络资源的监控,方便及时的发现网 络异常。智能、白动化的安全防御,最大限度降低网络管理人员的工 作量。防止企业网络终端被外部控制风险,防止内部有意无意的泄 密风险。一台外置数据中心解决整个外网审计日志容灾问题。
