《企业网络安全NGFW+ICG方案》由会员分享,可在线阅读,更多相关《企业网络安全NGFW+ICG方案(12页珍藏版)》请在金锄头文库上搜索。
1、 1 / 12安全解决方案北京网康科技有限公司 2 / 12目录1 安全风险分析 .31.1 来自公网的安全风险分析 .31.2 来自内部人员及分部的安全威胁 .32 安全方案设计 .42.1 方案概述 .42.2 总体设计 .42.3 详细设计 .52.3.1 外部安全防护 .52.3.2 内部安全防护 .73 网康方案价值与产品优势 .103.1 易用性 .103.2 健壮性 .113.3 产品优势 .11 3 / 121 安全风险分析1.1 来自公网的安全风险分析由于内部网络中其办公系统及各人主机上都有涉密信息。假如内部网络的一台机器安全受损(被攻击或者被病毒感染) ,就会同时影响在同一
2、网络上的许多其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络。如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施,内部网络容易造到来自外网一些不怀好意的入侵者的攻击。如: 入侵者通过漏洞扫描、Sniffer 嗅探等工具来探测扫描网络及操作系统存在的安全漏洞,如网络 IP 地址、应用操作系统类型、开放哪些服务端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击; 入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息; 恶意攻击:入侵者通过发送大量 PING 包对内部网重要服
3、务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪; 发送大量包含恶意代码或病毒程序的邮件。1.2 来自内部人员及分部的安全威胁据调查在已有的网络安全攻击事件中约 70%是来自内部网络的侵犯。来自机构内部局域网的威胁包括: 误用和滥用关键、敏感数据和计算资源。无论是有不满情绪的员工的故意破坏,还是没有访问关键系统权限的员工因误操作而进入关键系统,由此而造成的数据泄露、偷窃、损坏或删除将给企业带来很大的负面影响。 因不当使用 Internet 接入而降低生产率。不当使用 Internet 资源不但会浪费工人的时间,还能增加计算机网络的负担,降低了人员与网络的工作效率。 如果工作人员发送、
4、接收和查看攻击性材料,可能会形成敌意的工作环境,从而增大内耗。 内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令; 4 / 12 内部不怀好意员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去; 内部人员利用公司网络访问黄色网站、反动网站和其他与工作无关的网站; 内部人员访问不良网站时,无意中执行了网页上的恶意代码或病毒程序; 内部人员使用移动存储设备,不小心涉带有关病毒,导致网络瘫痪; 内部人员使用 BT、P2P 下载,严重影响网络使用2 安全方案设计2.1 方案概述我们为贵单位网络构架了一个整套的安全体系结构,整个体系中最基本单元是每台在线主
5、机的安全,即安全体系中的每一个点;子网/局域网是体系中的块状组成部分,是安全体系中的各个面;整个安全体系由各个层次和面组成,形成安全体系的立体框架。我们知道实现网络安全不是一次可以完成的任务,需要不断根据网络环境和网络管理进行调整,我们设计的解决方案充分兼容今后的安全管理及优化的需求。基于以上的分析,我们建议以系统的内部安全优化修复,清除网络安全漏洞为主要手段,提高网络内每个点的安全系数,清除各点的安全隐患,以网络优化系统、防火墙和防毒软件等安全产品对网络施以自动监控和防御,在各个面形成有效的防御体系,最后通过加强人员培训,提高管理水平,制定先进的安全策略,消除全网的各种安全威胁,全面提高软件
6、、硬件和人员的安全水平,形成一个牢固的,立体的网络安全防御体系。2.2 总体设计依据我们的安全系统设计原则,并结合贵单位网络系统的实际情况和需求,采用一系列产品搭建安全防范体系,通过安全技术和管理手段,使安全产品充分发挥其安全保护的作用。首先,从安全区域上,我们将网络划分为:服务器区、办公区,并采用防火墙将上述各个区域进行隔离,以对各个区域之间的相互访问进行访问控制,构成第一道安全防护体系。对于接入 Internet 的区域,都将 Internet 的 LAN 接口接在防火墙的接口上,从而实 5 / 12现对来自 Internet 的入侵的防护。第二,为了对保护公司本部的重要服务器(如管理服务
7、器、邮件服务器、数据库服务器) ,特将这些重要的服务器放在同一网段,用防火墙进行访问控制,该网段称为非军事化区(DMZ 区) 。再使用 SSL VPN 设备将重要服务器进行发布,对外呈现只有 SSL VPN 一个服务,并根据具体要求配置 SSL VPN 安全访问策略,保护公司本部的重要服务器。第三,在网络出口防火墙与核心交换机间部署网康互联网控制网关(ICG)设备,对内网的所有网络行为进行审计和记录,及时有效地管理办公人员的上网行为,包括网页服务、即时聊天、论坛言论发布、邮件收发等;除此之外还可进行全网的流量分析,并阻断 P2P及与办公无关的应用,保证带宽的使用价值,提升网络的可用性,减少投资
8、。并可以分析网络带宽利用状况,方便排除网络故障。第四,通过网康防火墙的部署,全面地保护内部各区域网络不受到病毒的入侵和破坏。利用全方位的企业防毒产品,实施“层层设防,集中控管,以防为主、防治结合”的策略,使网络没有能成为病毒入侵的薄弱环节。拓扑图如下: 6 / 122.3 详细设计2.3.1 外部安全防护网康下一代防火墙 NGFW。通过深入洞察网络流量中的用户、应用和内容,并借助全新的高性能单路径异构并行处理引擎,NGFW 能够为用户提供有效的应用层一体化安全防护,帮助帮助用户安全地开展业务并简化用户的网络安全架构。入侵、病毒、木马防护网康下一代防火墙 NGFW 提供了对黑客入侵、上传或下载病
9、毒和木马的防护手段。通过在“策略配置”界面配置“安全策略” ,用户可以非常方便地实现基于用户、应用、服务和时间的一体化防护。针对企业的具体情况,建议采用开启对服务器域从外到内的 IPS 和 AV 防护,防范从外部发起的网络攻击、传病毒、传木马等行为;开启从内到外的 IPS、AV 防护和 URL 过滤,防范内部用户的攻击、染毒、僵尸主机或访问恶意网站等行为。策略配置完成后可以在设备首页实时看到当前网络的威胁和告警信息,同时也可以在监控中心的威胁日志、告警日志和网址过滤日志中看到更多的细节信息。DoS 防护网康下一代防火墙 NGFW 提供了对 DoS 攻击的防护功能,可以配置策略针对不同的 DoS
10、攻击类型进行聚合防护和分类防护。针对企业的具体情况,建议分别对从内到外和从外到内的 DoS 攻击防护进行配置。其中,服务器域的连接数阈值要相应提高。ARP 防护网康下一代防火墙 NGFW 支持通过绑定静态 ARP 的方式防止 ARP 攻击。建议企业根据实际网络拓扑情况在各核心设备上开启静态 ARP 功能,进行 IP 和 MAC 的绑定,防止 ARP 欺骗造成的无法联网或无法访问某些网站的现象产生。网络攻击防护网康下一代防火墙 NGFW 支持通过对常见网络攻击进行防护,如TearDrop、LAND、WinNuke、Smurf、Fraggle 和 Ping Of Death 等。建议企业开启网络攻
11、击防护功能,保障网络服务器的安全。主动发现服务器是否被植入木马 7 / 12网康下一代防火墙 NGFW 提供了深入的应用洞察能力,用户可以通过简单的配置方便地主动发现服务器是否有异常行为,从而发现服务器中隐藏的木马。主动发现网络中存在风险的服务器或僵尸主机建议采用以下方式主动发现网络中存在风险的服务器或僵尸主机。1. 定期查看“应用分析”模块,筛选应用名称为“木马” 、 “远程桌面” 、 “ssh”、“HTTP PROXY”等高风险应用,查看产生这些应用流量的 IP 地址,根据需要进行防护和整改。2. 定期查看“应用分析”模块,筛选网址类别为“木马病毒” 、 “钓鱼网站”等高风险网址,查看排名
12、前几名的 IP,主动对这些 IP 进行杀毒。3. 定期查看“监控中心”的应用对比统计功能,查看网络中同一时段的应用连接数和流量变化,当高风险应用连接数和流量较大时,可在“应用分析”和“流量日志”中找到相应时段的流量细节。主动检测网站是否被挂黑链或挂马建议采用以下方式主动网站是否被挂黑链或挂马。1. 在网站服务器或其他无人使用的服务器上设定计划任务,定时访问 xxx 政府机关官方网站首页。2. 定期查看“应用分析”模块,筛选源地址为服务器 IP,筛选普通 HTTP 应用,查看目的 IP 地址是否正常,若出现异常 IP 地址即为被挂黑链,若筛选的 IP 地址出现较大HTTP 下载流量即为被挂马。2
13、.3.2 内部安全防护网康互联网控制网关(ICG) ,为用户提供专业的用户管理、应用控制、网页过滤、内容审计、流量管理和行为分析等功能。可以帮助客户达成上网行为可视、减少安全风险,减少信息泄密、遵从法律法规、提升工作效率、优化带宽资源。1、内容审计外发信息审计通过互联网传递信息已经成为企业的关键应用,然而信息的机密性、健康性、政治性等问题也随之而来。本方案提供全方位的审计功能,可实现针对 IM、邮件、FTP、论坛发帖等应用的内容审计。 8 / 12审计功能在默认配置下关闭,需要管理员手动打开审计功能,方可实现全方位的审计。同时,可通过分级分权功能,收回设备管理员审计功能的权限,以彻底关闭审计功能,在这种情况,打开审计功能的权限仅超级管理员拥有。邮件收发审计和过滤网康 ICG 不但可以审计通过任意端口的 POP3 和 SMTP 协议收发邮件内容,同时还可以审计通过 WEB-MAIL 发送邮件的内容,实现对用户邮件收发内容的全面审计。2、行为管理网页过滤Web 是互联网上内容最丰富、访问量最大的应用,然而网页内容良莠不齐,充斥许多反动、暴力、色情以及其它不健康的信息;此外,大量网络应用,如 P2P,I
