《XX电信IDC网络安全解决方案》由会员分享,可在线阅读,更多相关《XX电信IDC网络安全解决方案(11页珍藏版)》请在金锄头文库上搜索。
1、XX 电信 IDC 安全解决方案1WatchGuard Firebox X8000XX 电信 IDC 网络安全解决方案建 议 书成都市鼎科信息技术发展有限公司2006-7-23XX 电信 IDC 安全解决方案2一引 言本建议书编写的目的是说明 XX 电信 IDC 网络安全改造项目的技术可靠性,说明并分析所建议的方案。可用于编制可行性研究报告及方案设计书的参考材料。考虑到该企业网络中心目前的主要需求为防火墙及网络安全的实施,本建议书重点阐述安全技术及相应的产品在项目中的应用,其它技术细节不再细述。XX 电信 IDC 机房拥有大型、丰富的管理运营网络,主要从事服务器托管服务。目前需要规划和实现网络
2、中心与下面各接入点之间的安全访问、认证等功能。通过对 XX 电信IDC 的网络要求和今后发展需要的了解,我们将为其构建一个先进、高效、快速、稳定的安全运营平台。 二WatchGuard 安全防护和优化网络1. 在网络出口部署高性能的 X Peak 8000 防火墙;根据网络出口的流量以及今后网络扩展的需要,我们在网络出口布署了 1 台 X Peak 8000防火墙,主要用来阻止来自外部的黑客攻击及日常的网络安全限制;X Peak 8000 防火墙采用高性能的芯片技术,具有 1000Mbps 以上的网络吞吐量,所以可以快速处理网络封包的请求。另外,X Peak 8000 防火墙上面可以阻止很多种
3、黑客攻击的类型,比如 ICMP Flood/SYN Flood/UDP Flood/IP Option/Source Route/DDOS 等。如果出口没有布署防火墙,很多来自内部和外部的攻击根本无法控制,造成网络的严重拥塞。部署了 X Peak 8000 防火墙后,我们可以把所有流入和流出的流量全部封掉。只针对某些需要应用的端口开放。对流入的访问进行更加严格的限制,这样可以封掉大部分病毒向外感染的端口。另外,内部可能有很多虚拟的 IP 地址可能会向外发布大量的无用请求,这些 IP 可能是黑客伪造生成的地址,也可能是某些电脑已经严重感染病毒,需要进行杀毒处理。我们可以在防火墙上面把这些非法的
4、IP 地址封掉,结合 Sniffer 分析会得到较好的效果。2. 使用应用代理技术;代理技术是防火墙在网络中保护关键脆弱点的一种非常有效的方式。其他方式还有“包过滤”和“状态包过滤” ,但两者对数据进行检查的深度都无法与代理媲美。代理是最高级的通信控制方法,能通过防火墙执行真正的入侵防御。代理位于客户机与服务器之间,检查双方的所有通信,验证它是否符合事先规定好的规则。在此期间,代XX 电信 IDC 安全解决方案3理不仅要检查客户机和服务器之间传输的所有数据包的包头,还要检查那些数据包的实际载荷。另外,还可以修改或移除违反安全策略的东西。注意,包过滤只检查包头,而代理对数据包的内容进行筛选,阻挡
5、恶意代码(比如可执行文件、Java applet、ActiveX等等) 。许多人最后才非常惊讶地知道,原来只有代理才能在数据包传输中途真正检查内容(包括实际数据) 。代理还会检查内容是否符合协议标准。例如,某些形式的黑客攻击会发送一些特殊的元字符,目的是欺骗受害机器;还有一些攻击会使用数量巨大的数据来冲击目标机器。代理则能识别非法字符或者过载的字段,并有效地阻挡它们。代理在处理通信时,所花的时间会比包过滤稍长一些,这是因为它们要为每个数据包做更多的工作。但是, “稍长”只是相对的;通常,在同一个系统上,WatchGuard 的应用层代理会以包过滤一半的速度来扫描数据包。但速度就会很慢吗?答案是
6、否定的。事实上,它的速度仍然要比大多数公司的 Internet 连接速度快许多倍。通常,Internet 连接速度才是一个网络真正的瓶颈。代理虽然在实验室评测中会稍慢一些,但在实际的工作环境中,你的用户绝对无法感觉到网络速度的下降。 单纯比较防火墙的数据吞吐量并没有实际的意义。假如一种防火墙声称要比另一种防火墙快,一定要问清楚那种防火墙对通过它的数据进行了哪些处理。包过滤肯定会比代理快,但却无法提供充分的安全性。Firebox Vclass 产品将速度和安全性都发挥到了极致。由于使用的是应用层代理,所以它们在检测和阻挡攻击方面(比如入侵防御) ,具有十分高的效率。WatchGuard 的应用层
7、代理具有大量配置特性和设置,可通过一个获奖的图形用户界面 (GUI)来轻松地控制。通过应用层代理与其他防火墙管理工具的组合,网管可非常精细地控制网络安全。Vclass 目前两种最主流的应用代理是:SMTP 代理和 HTTP 代理。 SMTP 代理 SMTP 应用代理程序监控传入和传出的电子邮件,使你的网络远离危险。它的部分功能包括: 指定邮件收件人的最大数量。这是垃圾邮件的第一道防线。通常,垃圾邮件会抄送数百乃至数千个收件人。 指定邮件的最大长度。这样能防止邮件服务器超载,并有效阻挡邮件炸弹攻击,帮助你合理地使用带宽和服务器资源。 根据公认的 Internet 标准,只允许在电子邮件地址中出现
8、特定的字符。如前所述,某些形式的攻击会通过地址中的非法字符来进行。你可设置代理,只允许那些正确的字符通过。 筛选内容,拒绝可执行内容类型。发送病毒、蠕虫和木马的最常见的方法就是发送看似无害的电子邮件附件。SMTP 代理能根据类型和名称来识别和消除这些攻击,使其永远进不了你的网络。 伪装域名和邮件 ID。你对外发送的电子邮件和收到的电子邮件一样,也包含了邮件标题。标题中的数据会暴露你的网络的许多秘密,它暴露的秘密之多,有时甚至超过你的想象。SMTP 代理可隐藏或更改这些信息,使黑客无法根据邮件头来摸透你的网络。XX 电信 IDC 安全解决方案4HTTP 代理HTTP 代理在用户访问 Web 时监
9、视传入和传出的通信。它选择性筛选内容,保护你的Web 客户端以及需要依赖 Web 访问的其他应用程序,防御基于 Internet 和 HTML 的攻击。它的部分功能包括: 移除客户机连接信息。代理可主动剥离敏感的标头信息,包括操作系统版本、浏览器名称以及版本,甚至剥离有关上一次访问的网页的信息。使用 HTTP 代理,你可选择不暴露这些可能被别有用心的人利用的信息。 强制严格遵循 Web 通信标准。许多黑客故意发送被篡改的数据包,肆意修改一个网页的元素,或者企图使用你的 Web 浏览器设计者预料不到的方式来进入你的网络。HTTP 代理不允许所有这些有悖于标准的通信传入和传出。Web 通信必须遵循
10、正式的Web 标准,否则就禁止连接。 筛选 MIME 内容类型。MIME 类型帮助 Web 浏览器解释内容,使图像能真正显示为一幅图像,.wav 文件能真正播放出声音,文本能真正显示为文本,等等。许多 Web 攻击会篡改数据包,使其报告虚假的 MIME 类型,或者根本不指定一个类型。HTTP 代理能识别这种可疑的行动,并中止此类通信。 筛选 Java 和 ActiveX 控件。程序员用 Java 和 ActiveX 来创建小程序(脚本程序) ,以便在一个 Web 浏览器内部执行(例如,假定员工访问一个色情网页,那个网页中的ActiveX 脚本会将那个页自动设置成员工浏览器的新主页) 。代理能阻
11、挡此类应用程序,将大量攻击拒之门外。 移除 Cookie。HTTP 代理能从 HTTP 请求中剥离所有 Cookie,保护网络的隐私。 移除未知的标头。HTTP 代理能剥离不符合标准的 HTTP 标头。这意味着不必根据签名来识别一种特定的攻击,代理会直接阻止所有不符合规则的通信。这有助于防御未知的攻击技术。 内容筛选。美国法律规定,所有员工都享有在一个“无敌意环境”中工作的权利。好的商业经验法则告诉我们,某些 Web 内容是不应该在一个公司的网络中出现的。HTTP 代理强制贯彻公司制定的安全策略,明确规定哪些内容是可以接受的,避免公司承担在工作环境中以不恰当的方式使用 Internet 的法律
12、责任。HTTP 代理还能避免员工因为上网成瘾而造成效率下降(目前只有 Firebox System 的各种型号支持内容筛选功能) 。我们可以在 X Peak 8000 防火墙上通过对 HTTP 代理的设定,可以挡掉来自内部和外部很多非法的 HTTP 请求,通过在 HTTP 代理里面更深层的设定,可以达到用户很多精细的要求。3. 核心交换机上过滤非法端口和地址;我们在防火墙上面已经做了很多的过滤设置,这样可以过滤很多来自内网的攻击,网络的性能将会得到明显的改善,接下来,我们可以在核心交换机上面过滤来自内部的非法端口,这些端口主要是病毒和 DDOS 攻击引起的。比如 135/137/1394/14
13、64 等,可以使用 Sniffer 抓包分析结果。4. WatchGuard 独有的 LiveSecurity 服务让您得到最快、最专业的安全服务;WatchGuard 公司独有的 LiveSecurity 安全服务可以及时、准确地传递最新的病毒和黑客XX 电信 IDC 安全解决方案5攻击信息,它可以教会你如何在 WatchGuard 防火墙上面调整设定,以阻挡这些非法攻击。该安全服务是由一个专家小组维护并发送的,它可以让网络管理员及时了解网络安全的变化及更新。微软去年报告了 52 个安全漏洞,LiveSecurity 专家小组几乎在当天或隔天就报告了每个安全漏洞。三该方案的优点1、 强劲的网
14、络安全特性和良好的兼容性a、 网络中心的防火墙可以设置为状态包过滤和应用代理模式,而且 Watchguard 的 X Peak防火墙可以支持路由、NAT 和透明三种模式,NAT 模式可以有效的隐藏受保护网络的内部真实 IP 地址,确保网络真实信息不被利用。b、 X Peak 防火墙支持静态 NAT 端口 Mapping 功能,即你可以把一个真实的端口通过NAT 映射到一个虚拟的端口,而且 X Peak 还能做到邮件服务器和 DNS 服务器的伪装,这样黑客就不容易发现真实端口信息,保护网络安全。c、 X Peak 防火墙支持广域网多链路的负载均衡,它可以连接多个 ISP,并对其做备份。d、X P
15、eak 可以对网络流量做 QoS,它使用队列的方法对每个数据包定义优先级,还可以对网络端口进行 Shaping。d、X Peak 同时集成 VPN 功能,它的 IPSEC-VPN 同其它牌子的 VPN 产品有着良好的兼容性,因为 X Peak 的产品很早就通过了 ICSA 实验室的 IPSEC-VPN 认证。所以只要对方的产品也通过了 ICSA 实验室的认证,则我们可以很轻松地与对方建立 VPN 隧道。而且 X Peak 支持 DES/3DES/SHA-1/ESP/AES 等加密认证模式。e、X Peak 的产品关于 VPN 的配置非常容易,而且支持静态对动态或动态对动态的 VPN配置,即无论
16、在中心点使用固定或动态 IP 地址,都可以和下面的分支机构建立 VPN隧道,同时 X Peak 也可以支持远程客户的 VPN,出差的员工可以通过 MUVPN 软件方便地和中心点建立 VPN,所有 VPN 功能在 X Peak 上面已经集成。f、X Peak 支持动态路由协议 RIP/RIPII/OSPF/BGP4,因此可以很方便和其它网络设备做路由,提高网络灵活性。g、X Peak 支持 GAV 网关病毒,可以对 HTTP 和 SMTP 协议做病毒过滤,X Peak 上面有详细的病毒库,所有的病毒信息可以实时更新。h、X Peak 支持基于签名的 IPS 检查技术,它有几百种攻击签名特征,并且实时更新最新的攻击特征,所以可以阻拦最新的网络攻击。2、良好的集中管理性XX 电信 IDC 安全解决方案6Watchguar 的 VPN Manager 软件可以专门针对大型复杂网络的 VPN 部署进行灵活地控制。它使用专利性的 DVCP 技术来简化 VPN 隧道的创建,它能认别一个 Fire
