《项目背景分析》由会员分享,可在线阅读,更多相关《项目背景分析(15页珍藏版)》请在金锄头文库上搜索。
1、项目背景分析文件排版存档编号:UYTR-OUPT28-KBNTL98-UYNN208一、项目背景分析xx 公司已经应用计算机作为生产管理的工具。随着计算机技术和网络技术的 不断发展和迅速在普及,XX公司的计算机应用和局域网络规模也在不断壮大。目 前 xx 公司已经建立了三十个分公司(办事处),各分支机构内部也全部采用计算 机作为业务工具,并建立了自己的局域网络,部分公司已经接入 Interent。随着XX公司业务发展的需求,各分公司有着越来越多的业务信息需要同总公 司交互。但现阶段 XX 公司的计算机网络系统仍然局限于各分公司自己建设一个局 域网,这些小的局域网只能满足分公司内部的网上办公系统
2、,不能实现整个公司 的网上办公需求。分公司与总公司的信息交流仍然使用传统的电话、传真、人力 等方式,或者在没有进行任何安全措施保护的情况下使用互联网。对整个公司来 说,分公司仍然是信息孤岛。XX公司的信息网络建设已经滞后于业务发展的步 伐。新的 ERP 系统的使用也迫切地需要将各分公司与总公司的局域网连接在一起 形成一个大的内部intranet广域网络。公司的信息部门时刻跟踪最新技术的发展,发现VPN技术的应用已经完善, 公司的计算机网络已经可以采用最新的VPN技术实现各分公司与总部网络之间的 安全广域网连接。目前,各种病毒、网络攻击等安全事件频繁发生,已经成为企业安全的一个 重要威胁;技术的
3、突破,已经使各种病毒具有了黑客工具的性质,一旦企业被病 毒感染,会自动打开相应的端口或服务,使企业门户大开,而病毒通过互联网可 以轻易的突破没有经过严密防护的企业内部网络,给企业带来各种威胁:开放服 务、发出大量垃圾邮件或带病毒邮件等等。黑客和带黑客性质的病毒,不仅会破 坏 XX 公司的运行环境,破坏机器上的数据,更有可能盗取机密的数据和信息!潜 在的风险很难估计。而在 xx 公司各地网络建设之初,因为没有专门针对安全方面进行专门设计, 所以其现状是不能够满足本企业目前的安全需求的。比如没有采用必要的网络边 界防御手段来抵抗来自外部的各种威胁,同时也没有采用必要的防病毒手段来抵 抗当今变化各异
4、的病毒。防火墙系统,负责整个企业的边界防护,进行企业内部、外部沟通的安全桥 梁,增加了防火墙系统,会将企业的安全防护级别提高一个层次,同时,还可以 建立公司总部与分公司网路之间的 VPN 通道,更加合理、有效的利用公司现有资 源,而不会造成信息泄露,因此,引进新的防火墙系统也是 xx 公司建立企业广域 网安全系统的当务之急。经过和 xx 公司的相关技术人员的接触和交流,在此基础上我公司给出本 VPN 广域网络及安全系统建设的实现方案,侧重于企业的 VPN 系统,并考虑到信息的 足够安全性。二、VPN/防火墙需求分析1、VPN 技术介绍虚拟专用网(VPN)是一个通过公用网络(通常是因特网)建立的
5、一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟 专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机 构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安 全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安 全连接;可用于实现企业内部网之间安全通信的虚拟专用线路。虚拟专用网主要采用了两种技术:隧道技术与安全技术。隧道技术当前主要有三种协议支持:PPTP,L2TP和IPsec。安全技术主要有MPPE、IPsec等加 密算法。隧道技术主要是完成IP数据包的二次封装,以实现企业私有地址在 公网上的传输。为了保证传输的安全,需要
6、一定的安全加密手段保证数据的私密性和完整性,在隧道和加密的技术上,IPsec已成为IP安全的一个应用广 泛、开放的VPN安全协议。IPsec适应向Ipv6迁移,它提供所有在网络层上的 数据保护,进行透明的安全通信。IPsec用密码技术提供以下安全服务:接入 控制,无连接完整性,数据源认证,防重放,加密,防传输流分析。IPsec协 议可以设置成在两种模式下运行:一种是隧道(tunnel)模式,一种是传输 (transport)模式。在隧道模式下,IPsec把IPv4数据包封装在安全的IP帧 中。传输模式是为了保护端到端的安全性,即在这种模式下不会隐藏路由信 息。隧道模式是最安全的。IPsec定义
7、了一套用于保护私有性和完整性的标准协议。IPsec支持一系 列加密算法如DES、3DES。它检查传输的数据包的完整性,以确保数据没有被 修改,具有数据源认证功能。IPsec可确保运行在TCP/IP协议上的VPN之间的 互操作性。2、VPN技术的优势1) 信息的安全性。虚拟专用网络采用安全隧道技术向用户提供无缝的和安 全的端到端连接服务,确保信息资源的安全。2) 方便的扩充性。用户可以利用虚拟专用网络技术方便地重构企业专用网 络(Priva te Net work),实现异地业务人员的远程接入,加强与客户、 合作伙伴之间的联系,以进一步适应虚拟企业的新型企业组织形式。3) 方便的管理。VPN将大
8、量的网络管理工作放到互联网络服务提供者(ISP)一端来统一实现,从而减轻了企业内部网络管理的负担。同时VPN也提 供信息传输、路由等方面的智能特性及其与其他网络设备相独立的特性,也便于用户进行网络管理。4)显着的成本效益。利用现有互联网络发达的网络构架组建企业内部专用 网络,从而节省了大量的投资成本及后续的运营维护成本。3、安全需求分析来自外网和内网的安全攻击均对 xx 公司整个网络构成安全威胁。从公司 目前的网络现状来分析,主要的安全威胁来自以下几个方面:1)总部关键服务器的安全威胁2)支机构与总部交换数据时数据在传输过程中的安全威胁3)自外部(Internet)的安全威胁4)病毒的威胁所有
9、的安全漏洞都可能被利用成为安全攻击,进而对整个网络带来损害。对于内联网/外联网的接口处实施流量管理,数据包过滤和监控,将会是 保障网络安全的重要环节;同时建立与各分支机构之间的跨地域的 VPN 安全专 有网络,满足信息交换的安全需求。三、VPN/防火墙系统设计1、网络结构分析随着xx公司的不断发展壮大,企业的计算机应用和网络规模也越来越普及,总部与各个分支机构之间的沟通的需求也越来越大,因此通过信息化的手段来进行数据的交换和备份,给企业带来极大的工作便利性,促进了企业的生产发展。同时,本着安全的原则,将公司的信息资源最大作用的发挥其作用也是本 次网络建设的一个重要内容,因此,对 xx 公司网络
10、先进行网络边界的划分, 控制好外部网络对本企业的访问已经成为当务之急;而且由于 xx 公司的分支 机构分布在各地,所以信息数据的交换将会通过不信任的公网,因此在总部和 各分支机构之间建立基于 IPSEC 的 VPN 的访问机制也将成为本系统系统的一个 不可或缺的因素。作为一种边界访问控制手段,防火墙设计的基础就是有效的边界划分,以 此区分不同安全控制级别的访问区域。根据分析,我们认为 xx 公司网络存在 如下几种不同的边界:1)内联网(VPN网络)就是 xx 公司整个网络架构,包含总部、30个分支机构(以后可能扩充)。2)外联网指与xx公司网络相连的国际互联网(INTERNET)。在每个网络区
11、域内部根据服务器用途、访问对象、安全需求的不同,可进 一步区分为不同的内部子网,从而增加了访问控制规划的边界参考点。2. VPN/防火墙系统设计原则在xx公司VPN/防火墙系统的设计过程中,我们始终遵循以下原则:1)系统工程原则在系统设计和实施过程中,严格遵循系统工程的观点和方法进行工 作。自始至终考虑到系统的整体性、层次性、相关性、目的性、时间性和 环境的适应性。2)用户第一的原则系统设计的逻辑模型必须符合用户的要求,完成系统提出的目标和功 能。以需求为核心无论是产品选型、部署还是体系搭建,都必须围绕 安全需求进行,保证安全投资的合理性和目标的准确实现。3)先进性和实用性原则采用先进的设计思
12、想和设计方法,尽量采用国内、外先进技术,使本 系统在国内具有一定的先进水平。采用先进技术,必须符合实际情况,坚 持一切从实际出发,一切为用户着想的原则,系统的建立以用户的需要作 为设计的出发点和归宿,求得先进性和实用性相统一,获取最佳效益。4)可靠性原则系统设计应确保系统运行的正确性和数据传输的正确性,防止和恢复 由内在因素和危机环境造成的错误和灾难性故障,确保系统获取可靠性。5)可操作性原则可操作性是指系统应尽量便于用户的理解、学习、掌握和使用,人机界面友好,方便操作和维护。四、VPN/防火墙产品选型本方案中的产品选型主要基于以下的原则:1) 能够实现安全目标,控制安全风险xx公司的防火墙系
13、统应该能够对通常的网络风险能够有较好的防范手段和措施,可以满足现有网络的安全需求,具有良好的可扩展性。2) 提供完整的VPN功能根据认真审慎地对比和分析,我们认为,Fortigate-300防火墙和Vigor2200Eplus VPN路由器从产品功能、系统安全性、可扩展性、性价比等多方 面优于同类产品,满足了上述选型原则和系统设计要求。Fortigate-300防火墙可 用做总部的VPN和外联网接入设备,控制VPN和外联网数据流。Vigor2200Eplus 用作分公司的VPN接入设备。概括如下:1、Fortigate产品功能、特点能够很好的满足xx公司的安全需求,实现其安全目 标。1) Fo
14、rtigate全功能防火墙采用状态监测技术,以保护系统免受内部及外来的 攻击。无论物理及虚拟接口均可提供阻断服务式攻击(DoS)及具有攻击防御 功能。以下功能为现今的网络提供更高的灵活性和安全性。2) 全集成化的解决方案,具备安全优化的硬件、操作系统和防火墙,比拼凑式以软件为基础的方案提供更高阶的安全性和性能。3)全面的阻断服务及攻击防御功能,包括SYN攻击、ICMP泛滥、端口扫描等多种攻击防护能力;此外,配合硬件加速的会话启动功能,即使在高负荷 的网络环境下亦可提供安全保护。4)病毒和蠕虫防御:能够100%检测、消除感染现有网络的病毒和蠕虫,实时的扫描输入和输出邮件及其附件(SMTP, PO
15、P3,IMAP),在不损失Web 性能情况下扫描所有Web内容和插件(HTTP)的病毒特征码;VPN反病毒: 消除VPN隧道的病毒和蠕虫,阻止远程用户及合作伙伴的病毒传播。5)Web 内容过滤处理所有的网页内容,阻挡不适当的内容和恶意的脚本。Web内容过滤:根据URL、关键词模式匹配阻止Web站点及页面。免屏蔽列表:允许管理员设置专门的URL或关键字不被阻断。脚本过滤:阻止网页的插件,例如ActiveX、Java Applets和Cookies。6)入侵检测系统实时的基于网络的入侵检测。攻击数据库:用户可配置的超过1300种攻击特征库确保可靠的管理。攻击检测:检测已知的DOS、DD0S攻击,以及绝大多数操作系统和应用协议的 漏洞。7)邮件报警:当监测到攻击时,防火墙会同时向3个邮件地址自动发出警报。8)日志和报告:将日志记录远程传送到Syslog主机。多种日志:流量、事件和攻击日志。搜索功能:可以根据关键字,来源,目的,日期和时间搜索日志记录。2、Vigor2200Eplus路由器的功能特点能很好的满足各分公司的VPN需求1)快速的广域网口,采用10/100M以太网络,适合在高速的应用环境, 支持ADSL共享上网、宽带光纤接入等多种上网方式。2)提供DHCP Server功能,内置4 口 10/100M交换口。3)VPN功能,在加密的通道内穿越公共的因特网进行安全的远程连接
