《网闸典型应用方案》由会员分享,可在线阅读,更多相关《网闸典型应用方案(10页珍藏版)》请在金锄头文库上搜索。
1、网御 SIS-3000 安全隔离网闸典型案例网上营业厅”的安全解决方案1.、八前言目录 32. 需求分析 43 网络安全方案设计 61.、八前言Internet 作为覆盖面最广、集聚人员最多的虚拟空间,形成了一个巨大的 市场。中国互联网络信息中心(CNNIC在2002年7月的“中国互联网络发展状 况统计报告”中指出,目前我国上网用户总数已经达到 4580 万人,而且一直呈 现稳定、快速上升趋势。 面对如此众多的上网用户, 为商家提供了无限商机。 同 时,若通过 Internet 中进行传统业务,将大大节约运行成本。据统计,网上银 行一次资金交割的成本只有柜台交割的 13%。面对 Interne
2、t 如此巨大的市场, 以及大大降低运行成本的诱惑, 各行各业 迫切需要利用 Internet 这种新的运作方式,以适应面临的剧烈竞争。为了迎接 WTO勺挑战,实现“以客户为中心”的经营理念,各行各业最直接的应用就是建 立“网上营业厅”。但是作为基于 Internet 的业务, 如何防止黑客的攻击和病毒的破坏, 如何 保障自身的业务网运行的安全就迫在眉睫了。 对于一般的防火墙、 入侵检测、 病 毒扫描等等网络安全技术的安全性, 在人们心中还有很多疑虑, 因为很多网络安 全技术都是事后技术, 即只有在遭受到黑客攻击或发生了病毒感染之后才作出相 应的反应。 防火墙技术虽然是一种主动防护的网络安全技术
3、, 它的作用是在用户 的局域网和不可信的互联网之间提供一道保护屏障,但它自身却常常被黑客攻 破,成为直接威胁用户局域网的跳板。 造成这种现象的主要原因是传统的网络安 全设备只是基于逻辑的安全检测,不提供基于硬件隔离的安全手段。所谓“道高一尺,魔高一丈”,面对病毒的泛滥,黑客的横行,我们必须 采用更先进的办法来解决这些问题。 目前,出现了一种新的网络安全产品联 想安全隔离网闸, 该系统的主要功能是在两个独立的网络之间, 在物理层的隔离 状态下,以应用层的安全检测为保障,提供高安全的信息交流服务。2.需求分析2.1 XX的网络现状XX网上营业厅现行的拓扑图Et火墻工七点员图2.1 XX网络拓扑示意
4、图2.2 XX网上营业厅所面临的主要问题具体分析,XX网上营业厅所面临的主要问题:1)实时性差2)工作量大3)容易造成人为的失误4)运行费用高5)很难实现7 (天)X 24 (小时)的不间断服务6)业务扩展困难2.3 将内部业务网与外部网络直接连接的安全隐患若直接将两个网络连接起来,将出现以下安全隐患:1)来自网络外部非法用户的攻击和越权访问等。2)网络病毒的破坏。3)来自内部网络合法用户的无意泄密。2.4 XX 的网络安全需求分析1) 防止内网的主机遭受非法用户的非授权访问或恶意攻击。2) 加强对各种交流信息的 检测 ,其中包括:检测来自内部和外部的数据内 容。3) 加强对各种交流信息的病毒
5、 扫描和清除 ,其中包括:检测来自内部和外 部的数据内容 。4) 加强对各种交流信息的日志 审计 。2.5 XX 网上营业厅的安全目标XX 网上营业厅的业务量越来越多, 业务种类越来越多, 对业务的性能要求 越来越高,为了更好的、更有效的、更方便、更安全地提供网上营业厅服务,是 实现 XX 网上营业厅的目标。实施网络安全系统项目,整体规划网络安全系统, 作好以下几个方面的规划和实施:保密性安全性完整性可用性2.5.1 近期目标 目前迫在眉睫的工作是保护整个系统的网络完整性、系统的完整性及系统 可用性, 建立安全的网络逻辑结构, 为今后的实施保密性奠定基础。 网络完整性 主要是对网络系统的保护,
6、 通过设置安全隔离网闸等保证通讯安全, 保证系统资 源受控可用; 系统的完整性是信息系统的保护主要有防病毒、 风险评估、 入侵检 测。2.5.2 远期目标全面部署 XX 的全网的整体安全防御系统,巩固和完善网络安全及管理系 统,使 XX 网上营业厅更好的行使职能3网络安全方案设计3.1设计目标1、将XX内部网与其它外部网络安全隔离,拒绝非法访问,恶意攻击,保 护网络边界的安全。2、抵挡木马攻击、蠕虫攻击、后门攻击、利用漏洞攻击和拒绝服务攻击。3、强化对网络的控制,确保关键业务的网络带宽。3.2解决方案描述解决方案一心堆OJ夕卜网抑;撲决fl夕卜网主扒撲决尺户:勺岡主机模块冏闸开关橈快朕想安全砲
7、离网闸业务该方案使用安全隔离网闸的数据库同步方式, 实现业务数据库和业务数据库 副本之间的同步,使这两个数据库部分或全部内容实时地保持一致,从而实现业 务数据的共享。对已有的网上营业厅进行改造是一个非常好的方案。解决方案二两闸开圭模或联您安个隔离网阳外円主机樸毘该方案使用安全隔离网闸的文件交流方式,Web艮务器将接收到的请求转换成文件,通过安全隔离网闸传输到业务网, 业务网处理完该数据后,再将结果转 换成文件通过安全隔离网闸传输给 Web艮务器,从而实现网上营业厅的业务处理。 该方案比方案一成本低,但网上营业厅系统必须针对安全隔离网闸进行开发。对 于新建的网上营业厅也是一种很好的方案。基本功能
8、实现为保证网络系统安全可靠的运行,保障系统资源受控合法的使用,安全隔离 网闸应具有或实现以下功能:1. 物理层安全隔离:在业务网和In ternet之间必须实现严格的物理层安全 隔离。防止通过安全隔离网闸从In ternet直接与业务网相连。因此选用 的安全隔离网闸产品必须具有严格的物理层隔离功能。2. 关键字过滤:对通过安全隔离网闸的数据,必须经过内容检测,保证进 出内外网信息的合法性。因此选用的安全隔离网闸产品必须具有严格的 关键字过滤功能。3. 查杀病毒:为了防止病毒通过安全隔离网闸从In ternet 扩散到业务网 中,必须对经过安全隔离网闸的数据进行病毒的扫描和清除。因此选用 的安全
9、隔离网闸产品必须具有扫描和清除病毒的功能。4. 日志审计:对经过安全隔离网闸的数据需要有详细的日志记录,便于安 全审计和责任追究。因此选用的安全隔离网闸产品必须具有详细的日志 记录功能。5. 对信息流动方向的控制:由于业务需要,可能只需要实现数据的单向传输,即数据只从In ternet传输到业务网,或只业务网从传输到In ternet 因此选用的安全隔离网闸产品必须具有控制数据的单 /双向流动功能。6. 实时性:网上营业厅对数据交流的实时性要求非常强。7. 高性能:网上营业厅对数据交流的数据量要求特别大。3.3 联想网御安全隔离网闸的技术特色3.3.1联想网御安全隔离网闸的技术特点:1、物理层
10、安全隔离本系统遵循严格物理隔离的原则,在系统内设有安全开关。假设为了实现外 网与内网之间的信息交流,当网闸开关模块与外网主机模块连接时断开与内网的 通路;同理,当网闸开关模块与内网主机模块连接时断开与外网的通路,从而确保实现了网络间的物理隔离,提高了系统的安全性。2、关键字过滤本系统可以根据设置的关键字对收、 发或收发双向的文件内容进行过滤, 保 证进出内外网信息的合法性。3、查杀病毒本系统集成了专业杀毒公司的查杀毒引擎,能实现对交换的数据进行实时的 病毒监测和清除。4、日志审计本系统带有日志审计功能。对于通过联想安全隔离网闸进行的信息交流, 系 统会自动记录日志,管理员可随时查看日志,方便管
11、理。5、信息单向或者双向流动本系统所解决的信息交互问题是指外网信息通过网闸开关模块进入内网和内网信息通过网闸开关模块发送到外网, 因此信息是双向流动的。 同时也可以通 过设置屏蔽某个方向的信息流动,使之成为单向传输。6、高速的安全电子开关本系统所采用的安全电子开关支持网络间信息的高速传递, 安全隔离开关支 持100Mbps网络,网络间信息的传递速率达到 35Mbps满足了网络间信息高速 交换的要求。同时,数据延时非常小,最小数据延时为 50 毫秒,最大数据延时 为 0.7 秒。7、易用性本系统采用基于 Web 的管理方式,使用非常方便。3.3.2 联想安全隔离网闸的功能特性1 文件交流功能自定
12、义安全传输协议系统在底层采用自定义的安全传输协议, 自行完成对文件的分片、 传递工作, 在另一端负责对其进行重组、 检测。在保证安全性的同时, 这种措施也保证了在 传输大文件时,文件的完整性和延时最小的特点。定时、实时文件交换系统可以按照配置, 定时将某个目录下的文件自动的传输到另一网络的某台 主机上。也可以通过编程接口, 向网闸提交文件, 这个文件将被立刻发送, 没有 延时。支持单向、双向文件交换 可以进行传输方向的控制。文件可单向传输,也可双向传输。 支持数字签名 系统要求用户传输的文件都必须附带数字签名。网闸对数字签名进行校验, 校验可以起到身份认证、防否认的作用。支持内容过滤 系统支持
13、基于白名单、黑名单的内容过滤机制。支持病毒检查 系统捆绑商用防病毒软件,对传输的文件进行杀毒。2. 邮件同步支持标准的SMTPK务本身具有邮件服务器模块 无论用户有或者没有邮件服务器, 此邮件服务器均可部署。 保护用户已有投 安全、高可用性的邮件过滤策略 支持垃圾邮件过滤、数字签名校验、杀病毒、内容过滤。 可为每个用户配置不同的邮件交换策略 可单向交换、双向交换、禁止交换。内外网邮件镜像 系统可以将内网邮件服务器的部分或全部用户的邮箱在外网邮件代理上做 镜像,从而使内网用户在外网环境下使用外网邮件代理进行收发邮件成为现实。支持Web方式支持Web方式下的邮件收发、邮件回复、邮件转发等功能。系统
14、完善的接口, 使用户可以根据自己的需要自由定制自己的Web邮M牛系统。3数据库同步双向/ 单向数据同步 数据库同步可以是双向的, 即在系统运行期间, 内外网数据库中变化的内容 可同时更新到对方数据库中,也可以是单向的。同步内容可定制数据库同步的内容可以是整个数据库, 也可以是数据库中部分表。 用户可根 据需求,设置和修改需要更新的内容。多种同步方式系统提供全表更新、 增量更新和全表复制等多种同步方式, 用户可根据实际 情况加以选择,以适应不同应用在数据库结构上对数据库同步的不同要求。数据可定时更新 可根据客户需求定制数据库的更新周期,定时自动更新数据库。 支持多种数据库支持 Oracle 、 Sybase、 Infomix 、 DB2、 SQLServer 、 Access、 MySql 等多种 主流数据库。支持多种操作系统基于 Java 平台,可支持多种操作系统。3.4 选型建议根据以上分析,建议选用联想网御 SIS-3000安全隔离网闸。
