《项目背景分析》由会员分享,可在线阅读,更多相关《项目背景分析(9页珍藏版)》请在金锄头文库上搜索。
1、一、项目背景分析xx公司已经应用计算机作为生产管理的工具。随着计算机技术和网络技术 的不断发展和迅速在普及,xx公司的计算机应用和局域网络规模也在不断壮大。 目前xx公司已经建立了三十个分公司(办事处),各分支机构内部也全部采用计 算机作为业务工具,并建立了自己的局域网络,部分公司已经接入Interent。随着xx公司业务发展的需求,各分公司有着越来越多的业务信息需要同总 公司交互。但现阶段xx公司的计算机网络系统仍然局限于各分公司自己建设一 个局域网,这些小的局域网只能满足分公司内部的网上办公系统,不能实现整个 公司的网上办公需求。分公司与总公司的信息交流仍然使用传统的电话、传真、 人力等方
2、式,或者在没有进行任何安全措施保护的情况下使用互联网。对整个公 司来说,分公司仍然是信息孤岛。xx公司的信息网络建设已经滞后于业务发展 的步伐。新的ERP系统的使用也迫切地需要将各分公司与总公司的局域网连接在 一起形成一个大的内部intranet广域网络。公司的信息部门时刻跟踪最新技术的发展,发现VPN技术的应用已经完善, 公司的计算机网络已经可以采用最新的VPN技术实现各分公司与总部网络之间 的安全广域网连接。目前,各种病毒、网络攻击等安全事件频繁发生,已经成为企业安全的一个 重要威胁;技术的突破,已经使各种病毒具有了黑客工具的性质,一旦企业被病 毒感染,会自动打开相应的端口或服务,使企业门
3、户大开,而病毒通过互联网可 以轻易的突破没有经过严密防护的企业内部网络,给企业带来各种威胁:开放服 务、发出大量垃圾邮件或带病毒邮件等等。黑客和带黑客性质的病毒,不仅会破 坏xx公司的运行环境,破坏机器上的数据,更有可能盗取机密的数据和信息! 潜在的风险很难估计。而在xx公司各地网络建设之初,因为没有专门针对安全方面进行专门设计, 所以其现状是不能够满足本企业目前的安全需求的。比如没有采用必要的网络边 界防御手段来抵抗来自外部的各种威胁,同时也没有采用必要的防病毒手段来抵 抗当今变化各异的病毒。防火墙系统,负责整个企业的边界防护,进行企业内部、外部沟通的安全桥 梁,增加了防火墙系统,会将企业的
4、安全防护级别提高一个层次,同时,还可以 建立公司总部与分公司网路之间的VPN通道,更加合理、有效的利用公司现有资 源,而不会造成信息泄露,因此,引进新的防火墙系统也是xx公司建立企业广 域网安全系统的当务之急。经过和xx公司的相关技术人员的接触和交流,在此基础上我公司给出本VPN 广域网络及安全系统建设的实现方案,侧重于企业的VPN系统,并考虑到信息的 足够安全性。二、VPN/防火墙需求分析1、VPN技术介绍虚拟专用网(VPN )是一个通过公用网络(通常是因特网)建立的一 个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。 虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程
5、用户、公司分 支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数 据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入, 以实现安全连接;可用于实现企业内部网之间安全通信的虚拟专用线路。虚拟专用网主要采用了两种技术:隧道技术与安全技术。隧道技术当前 主要有三种协议支持:PPTP, L2TP和IPsec。安全技术主要有MPPE、IPsec 等加密算法。隧道技术主要是完成IP数据包的二次封装,以实现企业私有地 址在公网上的传输。为了保证传输的安全,需要一定的安全加密手段保证数 据的私密性和完整性,在隧道和加密的技术上,IPsec已成为IP安全的一个 应用广泛、开放的VP
6、N安全协议IPsec适应向Ipv6迁移,它提供所有在网 络层上的数据保护,进行透明的安全通信IPsec用密码技术提供以下安全 服务:接入控制,无连接完整性,数据源认证,防重放,加密,防传输流分 析IPsec协议可以设置成在两种模式下运行:一种是隧道(tunnel)模式, 一种是传输(transport)模式。在隧道模式下,IPsec把IPv4数据包封装在 安全的IP帧中。传输模式是为了保护端到端的安全性,即在这种模式下不会 隐藏路由信息。隧道模式是最安全的。IPsec定义了一套用于保护私有性和完整性的标准协议。IPsec支持一 系列加密算法如DES、3DES。它检查传输的数据包的完整性,以确保
7、数据没 有被修改,具有数据源认证功能IPsec可确保运行在TCP/IP协议上的VPN 之间的互操作性。2、VPN技术的优势1)信息的安全性。虚拟专用网络采用安全隧道技术向用户提供无缝的 和安全的端到端连接服务,确保信息资源的安全。2)方便的扩充性。用户可以利用虚拟专用网络技术方便地重构企业专 用网络(Private Network),实现异地业务人员的远程接入,加强与 客户、合作伙伴之间的联系,以进一步适应虚拟企业的新型企业组 织形式。3)方便的管理。VPN将大量的网络管理工作放到互联网络服务提供者 (ISP)一端来统一实现,从而减轻了企业内部网络管理的负担。同时 VPN也提供信息传输、路由等
8、方面的智能特性及其与其他网络设备相 独立的特性,也便于用户进行网络管理。4)显着的成本效益。利用现有互联网络发达的网络构架组建企业内部 专用网络,从而节省了大量的投资成本及后续的运营维护成本。3、安全需求分析来自外网和内网的安全攻击均对xx公司整个网络构成安全威胁。从公 司目前的网络现状来分析,主要的安全威胁来自以下几个方面:1)总部关键服务器的安全威胁2)支机构与总部交换数据时数据在传输过程中的安全威胁3)自外部(Internet)的安全威胁4)病毒的威胁 所有的安全漏洞都可能被利用成为安全攻击,进而对整个网络带来损害。对于内联网/外联网的接口处实施流量管理,数据包过滤和监控,将会 是保障网
9、络安全的重要环节;同时建立与各分支机构之间的跨地域的VPN安 全专有网络,满足信息交换的安全需求。三、VPN/防火墙系统设计1、网络结构分析随着xx公司的不断发展壮大,企业的计算机应用和网络规模也越来越 普及,总部与各个分支机构之间的沟通的需求也越来越大,因此通过信息化 的手段来进行数据的交换和备份,给企业带来极大的工作便利性,促进了企 业的生产发展。同时,本着安全的原则,将公司的信息资源最大作用的发挥其作用也是 本次网络建设的一个重要内容,因此,对xx公司网络先进行网络边界的划 分,控制好外部网络对本企业的访问已经成为当务之急;而且由于xx公司 的分支机构分布在各地,所以信息数据的交换将会通
10、过不信任的公网,因此 在总部和各分支机构之间建立基于IPSEC的VPN的访问机制也将成为本系统 系统的一个不可或缺的因素。作为一种边界访问控制手段,防火墙设计的基础就是有效的边界划分, 以此区分不同安全控制级别的访问区域。根据分析,我们认为xx公司网络 存在如下几种不同的边界:1)内联网(VPN网络)就是xx公司整个网络架构,包含总部、30个分支机构(以后可能扩充)。2)外联网指与xx公司网络相连的国际互联网(INTERNET)。在每个网络区域内部根据服务器用途、访问对象、安全需求的不同,可 进一步区分为不同的内部子网,从而增加了访问控制规划的边界参考点。2、VPN/防火墙系统设计原则在xx公
11、司VPN/防火墙系统的设计过程中,我们始终遵循以下原则:1)系统工程原则在系统设计和实施过程中,严格遵循系统工程的观点和方法进行工 作。自始至终考虑到系统的整体性、层次性、相关性、目的性、时间性 和环境的适应性。2)用户第一的原则系统设计的逻辑模型必须符合用户的要求,完成系统提出的目标和 功能。以需求为核心一一无论是产品选型、部署还是体系搭建,都必须 围绕安全需求进行,保证安全投资的合理性和目标的准确实现。3)先进性和实用性原则采用先进的设计思想和设计方法,尽量采用国内、外先进技术,使 本系统在国内具有一定的先进水平。采用先进技术,必须符合实际情况, 坚持一切从实际出发,一切为用户着想的原则,
12、系统的建立以用户的需 要作为设计的出发点和归宿,求得先进性和实用性相统一,获取最佳效 益。4)可靠性原则系统设计应确保系统运行的正确性和数据传输的正确性,防止和恢 复由内在因素和危机环境造成的错误和灾难性故障,确保系统获取可靠 性。5)可操作性原则可操作性是指系统应尽量便于用户的理解、学习、掌握和使用,人 机界面友好,方便操作和维护。四、VPN/防火墙产品选型本方案中的产品选型主要基于以下的原则:1)能够实现安全目标,控制安全风险xx公司的防火墙系统应该能够对通常的网络风险能够有较好的防范手 段和措施,可以满足现有网络的安全需求,具有良好的可扩展性。2)提供完整的VPN功能根据认真审慎地对比和
13、分析,我们认为,Fortigate-300防火墙和 Vigor2200Eplus VPN路由器从产品功能、系统安全性、可扩展性、性价比等多 方面优于同类产品,满足了上述选型原则和系统设计要求。Fortigate-300防火 墙可用做总部的VPN和外联网接入设备,控制VPN和外联网数据流。Vigor2200Eplus用作分公司的VPN接入设备。概括如下:1、Fortigate产品功能、特点能够很好的满足xx公司的安全需求,实现其安全 目标。1)Fortigate全功能防火墙采用状态监测技术,以保护系统免受内部及外来 的攻击。无论物理及虚拟接口均可提供阻断服务式攻击(DoS)及具有攻击 防御功能。
14、以下功能为现今的网络提供更高的灵活性和安全性。2)全集成化的解决方案,具备安全优化的硬件、操作系统和防火墙,比拼 凑式以软件为基础的方案提供更高阶的安全性和性能。3)全面的阻断服务及攻击防御功能,包括SYN攻击、ICMP泛滥、端口扫描 等多种攻击防护能力;此外,配合硬件加速的会话启动功能,即使在高 负荷的网络环境下亦可提供安全保护。4)病毒和蠕虫防御:能够100%检测、消除感染现有网络的病毒和蠕虫,实 时的扫描输入和输出邮件及其附件(SMTP,POP3, IMAP),在不损失Web 性能情况下扫描所有Web内容和插件(HTTP)的病毒特征码;VPN反病毒: 消除VPN隧道的病毒和蠕虫,阻止远程
15、用户及合作伙伴的病毒传播。5)Web内容过滤处理所有的网页内容,阻挡不适当的内容和恶意的脚本。Web内容过滤:根据URL、关键词模式匹配阻止Web站点及页面。免屏蔽列表:允许管理员设置专门的URL或关键字不被阻断。脚本过滤:阻止网页的插件,例如ActiveX、Java Applets和Cookies。6)入侵检测系统实时的基于网络的入侵检测。攻击数据库:用户可配置的超过1300种攻击特征库确保可靠的管理。攻击检测:检测已知的DOS、DDOS攻击,以及绝大多数操作系统和应用协议 的漏洞。7)邮件报警:当监测到攻击时,防火墙会同时向3个邮件地址自动发出警 报。8)日志和报告:将日志记录远程传送到S
16、yslog主机。多种日志:流量、事件和攻击日志。搜索功能:可以根据关键字,来源,目的,日期和时间搜索日志记录。2、Vigor2200Eplus路由器的功能特点能很好的满足各分公司的VPN需求1)快速的广域网口,采用10/100M以太网络,适合在高速的应用环境, 支持ADSL共享上网、宽带光纤接入等多种上网方式。2)提供DHCP Server功能,内置4 口 10/100M交换口。3)VPN功能,在加密的通道内穿越公共的因特网进行安全的远程连接, 节省专线费用,充分利用已有的网络资源。支持IPSec/PPTP/L2TP, 并提供DES/3DES/MPPE加密方式。4)内置强大的防火墙能力,提供诸如NAT端口阻断