网络信息系统的安全设计方案

《网络信息系统的安全设计方案》由会员分享，可在线阅读，更多相关《网络信息系统的安全设计方案（16页珍藏版）》请在金锄头文库上搜索。

1、网络信息系统的安全设计方案、常用的网络信息系统安全技术面对网络信息安全的诸多问题，我们采取了多种的防措施。1、防火墙目前出现的新技术类型主要有以下几种状态监视技术、安全操作 系统、自适应代理技术、实时侵入检测系统等。混合使用数据包过滤 技术、代理服务技术和其他一些新技术是未来防火墙的趋势。工柞站I诃Eb.服势器E册切I服务器2、认证In ter net目前，常用的身份识别技术主要是基于RAD IUS的鉴别、授权和管理(AAA) 系统。RAD IUS ( remote authentica2tion dial in user service )是网络远程接入设备的客户和包含用户认证与配置信息的

2、服务器之间信息交换的标准客户或服务器模式。它包含有关用户的专 门简档，如,用户名、接入口令、接入权限等。这是保持远程接入网络 的集中认证、授权、记费和审查的得到接受的标准。华为、思科等厂 商都有使用RAD IUS技术的产品。肉部服务器SSL VPNf邮杵脛务器3、虚拟专用网随着商务的发展，办公形式的改变，分支机构之间的通信有很大 需求，如果使用公用的互联网络来进行通信，而不是架设专用线路，这 样，就可以显著降低使用成本。VPN( vir tual priva te net work)即虚 拟专用网是解决这一问题的方法。VPN建立一条通过公众网络的逻辑 上的专用连接，使得用户在异地访问部网络时，

3、能够和在本地访问一 样的资源，同时，不用担心泄密的问题。采用IPSec协议的产品是市场 的主流和标准，有相当多的厂商都推出了相应产品。OTTle&BranchH aadq u牛Fnsde- ServerExtFEarServer4、入侵检测和集中网管入侵检测(int rusion det ec tion)是对入侵行为的发觉，是一种 增强系统安全的有效方法，能检测出系统中违背系统安全性规则或者 威胁到系统安全的活动。目前，入侵检测系统的产品很多，仅国的就有 东软、海信、联想等十几种；集中网管主要体现在对网管的集中上， 网管集中的实现方式主要包括存放网管系统的物理平面集中和通过 综合集中网管实现对

4、不同厂商网管系统的集中管控。大唐、朗讯、华 勤等厂商各自有不同的集中网管产品上市。卩呂管理控制台、网络信息系统的安全设计方案Ml迪网(I讣：卜i1 Hk JC.刚- 77尺d 齐inJ吃立艳机e:miI O! XIM|i：I1MI-!If 那*戶棉Jfc日铀庞门“机应兄蚊決.兀颅5=-千孚巴比官1占南誌即.d 口3 I L h s Mc I i5r |VJ WCJ-*-T-lisa 宝代 hl心跳强千岁也死釣F壬峨阳TT氐2T卜股跻扯世.*. tfa Hr *rn.m 虾金中:-wh 冏：.Sf. 尿坯千*社.|也陆主剌&昭 2.1.1 外网出口外网出口采用防火墙。支持双机热备功能，核心交换机

5、通过 两根电缆连到防火墙上，防火墙通过两台 2 层交换机分别接入电 信线路和网通线路。当出口设备开启双机热备后，即使其中一台 防火墙出问题，另外一台防火墙也能正常保证外网的使用，不会 出现网络中断的情况。2.1.2 核心设备作为网络的核心，要有很高的稳定性，瘫痪一分钟都会带来 严重的后果，针对这个因素，我们将两台全千兆核心交换机采用 双机热备的方式，上联到防火墙，并下联到办公网络。Catalyst 3960系列交换机具有240G背板带宽；线速三层交换 包转发率达到96Mpps;，是标准三层无阻塞交换机为所有的端口提 供多层交换能力和线速的路由转发能力。同时具有高性能、低成 本等主要特点。而其强

6、大的处理能力是构建可靠、稳定、高速的 IP 网络平台的重要保障。同时具有高性能、低成本等主要特点。 Catalyst 3960支持特有的ARP入侵检测功能，防止包括MAC欺骗、 IP欺骗、MAC/IP欺骗在的非法地址仿冒，以及大流量地址仿冒带 来的 DoS/DDoS 攻击等。2.1.3 接入设备接入交换机作为楼层网络的小型网关设备上连至上级交换 机，需要考虑交换机能提供的网络安全性以及设备的处理能力。我们所采用的接入交换机可以支持划分vlan、端口保护、Qos功能、广播/组播风暴控制等功能。同时应具备扩展性。达到可根据需要灵活地配置网络。交换机能与所有的以太网快速以太网设备相连接，保护用户已有

7、的网络投资。可在工作组之间或企业部提供高带宽、高性能连接，同时还能增强服务器群的容量，让用户能更快速存取整个网络资源。可以缓解因为网络带宽不足及用户迅速增长所造成的网络传输瓶颈，并且投资少， 管理简单。2.2 访问控制我们认为采用 VLAN+ACL 组网方式，可实现不同部门、不同应 用系统之间进行隔离，实现对跨系统、跨部门的访问控制。其本 身已经能够提供的安全机制，可保证访问控制的安全。采用 VLAN+ACL实现组网，按照各楼层或各部门，实现VLAN的划分。所有的部门系统全部二层隔离，同一个汇聚层设备下的单位需要进行互通，则在核心交换机上终结VLAN,进行三层互通，如果是不同的汇聚层设备下的单

8、位需要互通，则需要经过汇聚交换 机上送到核心交换机上，通过配置的 acl 和路由进行三层转发， 实现受控互通。2.3 双机热备实现方案对于集团网的组网方式，我们规划了 VRRP双机热备方案：让我们来看看双机热备的工作VKRPHaicki I卩孔亡缶HA脑也忖:二 iI.i dft.J.i 阴： 19工J石叙工J1 92.1 68,1. *1 t*2rltS,2.1三层臺换机 二尿堂挾矶地圳:刚:关汀IE乩kVKKR童轶+几S32VRRP 图 1如上图所示，正常情况下，左边核心交换机优先级髙于右边 核心交换机，所以左侧核心交换机处于mas ter状态，响应所有对 虚拟IP （即图中的192.16

9、8.1.1、192.168.2.1）的请求，右侧核 心交换机处于backup状态，不会响应任何关于虚拟IP的请求， 但是右侧交换机实时关注着从VRRP心跳线发来的状态包。很明显，现在所有汇聚交换机都会将数据包发送至左侧交 机。左侧交换机作为线路正常时的主交换机。右侧交换机只关注VRRP 心跳线发来的状态包。此时，办公网交换机到左侧核心交换机的线路若发生故障，或左侧核心交换机的发生故障。如下图:吐Ri.tdlJlt r 1*P2.TMS.2.1附-fc:I叩创包VRRP 图 2如果是汇聚交换机到核心交换机的线路产生故障，此时左侧 核心交换机将会发现所连接端口发生故障，左侧交换机将会通过 VRRP

10、心跳线通知右侧交换机，告之关于192.168.2.1的状态变化, 此时，右侧核心交换机将会作为主核心交换机，并相应并处理来 自二层汇聚交换机的所有数据包。如果是左侧核心交换机产生故障，右侧交换机收不到心跳线 传来的数据，那么它会认为左侧交换机已经无常工作，自己切换 成为Mas ter状态，处理来自所有汇聚交换机的数据包。从左侧核心设备发现线路故障到右侧核心设备变为主交换 机，或者右侧核心设备发现左侧设备产生故障无法工作而自己变 为主交换机，期间耗时不到2秒钟，对正在使用网络的用户而言, 完全感觉不到发生了什么故障。这样就能保证整个网络骨干层 7*24小时的无故障运行了。如果线路恢复正常或左侧核

11、心交换机的故障排查解决完毕 能够正常工作，左侧交换机同样可以发现其线路所连接的端口恢复正常，而通知右侧核心设备，同时自己变为主交换机，左侧核心交换机在故障处理完毕后能正常工作同样会通知右侧核心交换 机，自己变为主交换机。2.4 ARP防护ARP （欺骗类）病毒可谓是现在最普遍的网络危害，一具用户感染病毒就可能危害到整个网络。欺骗类病毒目前可以分为3种类型：1、中毒机器不停发送“我是网关”的ARP信息，试图来欺骗其他PC，让他们将自己看作网关，如图中的F0/1 口下的PC A可Loopback1.1.1.1PC APC B被欺骗者192.168.43.25400E00F2796D0IP ： 19

12、2.168.43.100MAC ： 00-E0-0F-26-22-30网关： 192.168.43.254以通过这种类型的ARP病毒让PC B认为网关是PC A。IP ： 192.168.43.99MAC ： 00-0F-B0-7F-38-82无网关 欺骗源2、中毒机器不停的变换自己的IP,来扰乱网关设备的ARP表象，试图让网关看到的所有的IP都是自己，这样其他用户的IP就不能被网关设备认出了，如上图中，PC A可以不停的变换自己的IP,这样网关就会被欺骗认为192.168.43.100也是PC A，PCB当然就不能被网关识别了。3、中毒机器将自己的MAC地址修改成交换机的下一跳网络设备的MA

13、C地址，试图让交换机的MAC表发生紊乱，让交换机从错 误的端口发送出数据包，如上图中，PC A会将自己的MAC地址修 改成网关的MAC地址00-E0-0F-27-96-D0，这样交换机在F0/1和 F0/24上都学习到这个地址，MAC表就乱了这种类型并不能算上ARP病毒，但是同属于欺骗类病毒。目前大部分厂家都是通过绑定IP、MAC、端口的方式来保证安全，但是这样的方式实现起来麻烦（要一条一条的把绑定信息写 进去），如果增加了新设备或者某台设备更换了端口或者网卡，如 果不及时通知网络管理员进行修改，就没有办法上网，费时费力 针对这种情况，我们设计了 一套较完善的ARP防护方式。在端口下过滤ARP

14、报文，防止冒充网关。既然我们知道交换机的F0/24 口上接的是网关，那么F0/1到F0/23 口都不可能发送 出“我是网关”的ARP信息，所以我们可以在这些端口下过滤此 类报文。交换机命令（需要两层半交换机，S2026/S2126以上设备）：interface FastEthernet0/lswit chpor t por t-secur ity block arp 192.168.43.254阻止该端口下发送192.168.43.254的ARP报文在所有的非上联端口上都配置此类命令，交换机可阻止其下 端口发送“我是网关”类的ARP欺骗报文在接口下配置F订ter功能，防ARP扫描攻击。如果中毒

15、机器不停变换自己的IP,那么他在短时间发送的ARP信息是非常多的， 我们可以通过设置ARP计数器的方式来进行管理，在一个时间单 位，如果某个设备发送的ARP数量超过了我们设置的阀值，那么 我们将过滤这台设备的MAC 一段时间，这个时间段这台设备发送 任何信息我们的交换机都不进行转发。交换机命令（需要两层半交换机，既S2026/S2126以上设备）:interface FastEthernetO/1filter arp/在接口下启用arp过滤功能！filter period 5以5秒钟为一个统计周期filter block-time 60 将攻击主机隔离60秒 filter threshold 100 一个统计周期超过100个arp报文， 就进行隔离filter enable在全局下启用过滤功能一旦交换机F0/1端口下有PC在5秒发送的A