《网络安全解决方案设计详细版》由会员分享,可在线阅读,更多相关《网络安全解决方案设计详细版(13页珍藏版)》请在金锄头文库上搜索。
1、文件编号:GD/FS-3450(方案范本系列)网络安全解决方案设计详细版The Common Structure Of The Specific Plan For Daily Work Includes The Expected Objectives,Implementation Steps, Implementation Measures, Specific Requirements And Other Items.编辑:单位:日期:网络安全解决方案设计详细版提示语:本方案文件适合使用于日常进行工作的具体计划或对某一问题制定规划,常见结构包 含预期目标、实施步骤、实施措施、具体要求等项目。文
2、档所展示内容即为所得,可在下载完 成后直接进行编辑。网络信息系统的安全技术体系通常是在安全策略 指导下合理配置和部署:网络隔离与访问控制、入侵 检测与响应、漏洞扫描、防病毒、数据加密、身份认 证、安全监控与审计等技术设备,并且在各个设备或 系统之间,能够实现系统功能互补和协调动作。网络系统安全具备的功能及配置原则1. 网络隔离与访问控制。通过对特定网段、服务 进行物理和逻辑隔离,并建立访问控制机制,将绝大 多数攻击阻止在网络和服务的边界以外。2. 漏洞发现与堵塞。通过对网络和运行系统安全 漏洞的周期检查,发现可能被攻击所利用的漏洞,并 利用补丁或从管理上堵塞漏洞。3入侵检测与响应。通过对特定网
3、络(段)、服务建立的入侵检测与响应体系,实时检测出攻击倾向和 行为,并采取相应的行动(如断开网络连接和服务、 记录攻击过程、加强审计等)。4. 加密保护。主动的加密通信,可使攻击者不能了解、修改敏感信息(如方式)或数据加密通信方式;对 保密或敏感数据进行加密存储,可防止窃取或丢失。5. 备份和恢复。良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。6. 监控与审计。在办公网络和主要业务网络内配 置集中管理、分布式控制的监控与审计系统。一方面 以计算机终端为单元强化桌面计算的内外安全控制与 日志记录;另一方面通过集中管理方式对内部所有计 算机终端的安全态势予以掌控。边界安全解决
4、方案在利用公共网络与外部进行连接的内”夕卜网络 边界处使用防火墙,为内部”网络(段)与外部” 网络(段)划定安全边界。在网络内部进行各种连接的 地方使用带防火墙功能的设备,在进行内”夕卜网络 (段)的隔离的同时建立网络(段)之间的安全通道。1.防火墙应具备如下功能:使用NAT把DMZ区的服务器和内部端口影射 到Firewall的对外端口;允许Internet公网用户访问到DMZ区的应用 服务:http、ftp、smtp、dns 等;允许DMZ区内的工作站与应用服务器访问 Internet 公网;允许内部用户访问DMZ的应用服务:http、 ftp、smtp、dns、pop3、https;允许内
5、部网用户通过代理访问Internet公网;禁止Internet公网用户进入内部网络和非法访 问DMZ区应用服务器;禁止DMZ区的公开服务器访问内部网络;防止来自Internet的DOS 一类的攻击;能接受入侵检测的联动要求,可实现对实时入侵 的策略响应;对所保护的主机的常用应用通信协议(http、 ftp、telnet、smtp)能够替换服务器的Banner信 息,防止恶意用户信息刺探;提供日志报表的自动生成功能,便于事件的分 析;提供实时的网络状态监控功能,能够实时的查看 网络通信行为的连接状态(当前有那些连接、正在连 接的IP、正在关闭的连接等信息、),通信数据流量。提供连接查询和动态图表
6、显示。防火墙自身必须是有防黑客攻击的保护能力。2.带防火墙功能的设备是在防火墙基本功能(隔 离和访问控制)基础上,通过功能扩展,同时具有在 IP层构建端到端的具有加密选项功能的ESP隧道能 力,这类设备也有S的,主要用于通过外部网络(公 共通信基础网络)将两个或两个以上内部”局域网 安全地连接起来,一般要求S应具有一下功能:防火墙基本功能,主要包括:IP包过虑、应用 代理、提供DMZ端口和NAT功能等(有些功能描述 与上相同);具有对连接两端的实体鉴别认证能力;支持移动用户远程的安全接入;支持IPESP隧道内传输数据的完整性和机密性 保护;提供系统内密钥管理功能;S设备自身具有防黑客攻击以及网
7、上设备认证的入侵检测与响应方案在网络边界配置入侵检测设备,不仅是对防火墙 功能的必要补充,而且可与防火墙一起构建网络边界 的防御体系。通过入侵检测设备对网络行为和流量的 特征分析,可以检测出侵害内部”网络或对外泄漏 的网络行为和流量,与防火墙形成某种协调关系的互 动,从而在内部”网与外部网的边界处形成保护体 系。入侵检测系统的基本功能如下:通过检测弓I擎对各种应用协议,操作系统,网络 交换的数据进行分析,检测出网络入侵事件和可疑操 作行为。对自身的数据库进行自动维护,无需人工干预,并且不对网络的正常运行造成任何干扰。采取多种报警方式实时报警、音响报警,信息记录到数据库,提供电子邮件报警、Sys
8、Log报警、SNMPTrap 报警、Windows 日志报警、Windows 消息报警信息,并按照预设策略,根据提供的报警信 息切断攻击连接。与防火墙建立协调联动,运行自定义的多种响应方式,及时阻隔或消除异常行为。全面查看网络中发生的所有应用和连接,完整的显示当前网络连接状态。可对网络中的攻击事件,访问记录进行适时查询,并可根据查询结果输出图文报表,能让管理人员 方便的提取信息。入侵检测系统犹如摄像头、监视器,在可疑行为发生前有预警,在攻击行为发生时有报警,在攻击事件发生后能记录,做到事前、事中、事后有据可查。漏洞扫描方案除利用入侵检测设备检测对网络的入侵和异常流量外,还需要针对主机系统的漏洞
9、采取检查和发现措 施。目前常用的方法是配置漏洞扫描设备。主机漏洞 扫描可以主动发现主机系统中存在的系统缺陷和可能 的安全漏洞,并提醒系统管理员对该缺陷和漏洞进行 修补或堵塞。对于漏洞扫描的结果,一般可以按扫描提示信息 和建议,属外购标准产品问题的,应及时升级换代或 安装补丁程序;属委托开发的产品问题的,应与开发 商协议修改程序或安装补丁程序;属于系统配置出现 的问题,应建议系统管理员修改配置参数,或视情况 关闭或卸载引发安全漏洞的程序模块或功能模块。漏洞扫描功能是协助安全管理、掌握网络安全态 势的必要辅助,对使用这一工具的安全管理员或系统 管理员有较高的技术素质要求。考虑到漏洞扫描能检测出防火
10、墙策略配置中的问 题,能与入侵检测形成很好的互补关系:漏洞扫描与 评估系统使系统管理员在事前掌握主动地位,在攻击 事件发生前找出并关闭安全漏洞;而入侵检测系统则 对系统进行监测以期在系统被破坏之前阻止攻击得 逞。因此,漏洞扫描与入侵检测在安全保护方面不但 有共同的安全目标,而且关系密切。本方案建议采购 将入侵检测、管理控制中心与漏洞扫描一体化集成的 产品,不但可以简化管理,而且便于漏洞扫描、入侵 检测和防火墙之间的协调动作。网络防病毒方案网络防病毒产品较为成熟,且有几种主流产品。 本方案建议,网络防病毒系统应具备下列功能:网络&单机防护一提供个人或家庭用户病毒防 护;文件及存储服务器防护一提供
11、服务器病毒防护;由阱服务器防护一提供LotusNotes,MicrosoftExchange 等病毒防护;网关防护一在SMTP,HTTP,和 FTPservergateway阻挡计算机病毒;集中管理一为企业网络的防毒策略,提供了强 大的集中控管能力。关于安全设备之间的功能互补与协调运行各种网络安全设备(防火墙、入侵检测、漏洞扫 描、防病毒产品等),都有自己独特的安全探测与安 全保护能力,但又有基于自身主要功能的扩展能力和 与其它安全功能的对接能力或延续能力。因此,在安 全设备选型和配置时,尽可能考虑到相关安全设备的 功能互补与协调运行,对于提高网络平台的整体安全 性具有重要意义。防火墙是目前广
12、泛用于隔离网络(段)边界并实施 进/出信息流控制的大众型网络安全产品之一。作为 不同网络(段)之间的逻辑隔离设备,防火墙将内部可 信区域与外部危险区域有效隔离,将网络的安全策略 制定和信息流动集中管理控制,为网络边界提供保 护,是抵御入侵控制内外卜非法连接的。但防火墙具有局限性。这种局限性并不说明防火 墙功能有失缺,而且由于本身只应该承担这样的职 能。因为防火墙是配置在网络连接边界的通道处的, 这就决定了它的基本职能只应提供静态防御,其规则 都必须事先设置,对于实时的攻击或异常的行为不能 做出实时反应。这些控制规则只能是粗颗粒的,对一 些协议细节无法做到完全解析。而且,防火墙无法自 动调整策略设置以阻断正在进行的攻击,也无法防范 基于协议的攻击。为了弥补防火墙在实际应用中存在的局限,防火 墙厂商主动提出了协调互动思想即联动问题。防火墙 联动即将其它安全设备(组件)(例如IDS)探测或处理 的结果通过接口引入系统内调整防火墙的安全策略, 增强防火墙的访问控制能力和范围,提高整体安全水 平。可在这里输入个人/品牌名/地点Personal / Brand Name / Location Can Be Entered Here
