《防火墙+IPS解决方案》由会员分享,可在线阅读,更多相关《防火墙+IPS解决方案(17页珍藏版)》请在金锄头文库上搜索。
1、XX客户网络出口安全建议书HBCITolP解决方案专家2007-4-7XX客户网络现状及建议1. XX客户网络出口现状XX客户网络拓扑如下图所示:核心交换机恶意终端对外提供服务路由器也AXX客户网络平台已经搭建完毕,内部终端通过Internet出口连接外部网络,实时获取外部信 息,企业业务通过网络出口进行,因此保证网络出口的安全至关重要,而现在网络环境的复杂性、 多变性以及信息系统的脆弱性、开放性和易受攻击性,决定了网络安全威胁的客观存在。目前安 全设施的空缺导致网络缺乏足够的安全防护。2. XX客户网络出口安全建议建立公网出口完善的网络安全层次:图INTERNET出口完善的安全层次根据国际标
2、准化组织ISO的OSI模型,网络通讯过程被分为7各层次,如果希望完善网络出 口的安全层次,必须要对OSI网络通信模型的每一层进行覆盖,目前部署的防火墙其软硬件设计 为工作在OSI模型的2-4层,为了完善网络出口安全层次,还需要部署入侵防御系统覆盖OSI网 络通信模型的4-7层。防火墙防火墙的作用是防止外部网络上的非授权用户访问内部网络,多数防火墙都可以有选择地保 护一个或多个周边网络(也称为非军管区,DMZ)。防火墙对访问外部网络的限制最低,对访问 周边网络非军管区的限制次之,对访问内部网络的限制最高,可提供三个不同层次的安全组网模 式。只有有效充分的利用防火墙和安全政策才能保证受保护网络(信
3、任网络)和非保护网络(不 可信任网络)之间所有流量的安全有效控制,这样防火墙在抵御外部网络对内部网络的攻击窃取 的同时,还可控制内部网络用户是否可以合法的访问外部Internet,以及怎样借助防火墙提供的特 性实施安全政策等。防火墙保护网络的方法如下图所示,这种方法允许实施带外连接并安全接入互联网。# V V 9 -受保护服务器受保护客户机对外连接正常内连接无法直WWW服务器 MAIL服务器内部网络 可信任区* +I边网络DMZ区部网络 不可信任区连接路由器入侵检测服务器 漏洞扫描服务器网络中的防火墙应用在这种体系结构中,防火墙将形成受保护网络和不受保护网络之间的边界。受保护网络和不 受保护网
4、络之间的所有流量都通过防火墙实现安全性。防火墙允许用户在受保护网络内确定服务 器的位置,例如用于WWW接入、SNMP、电子邮件(SMTP)的服务器,然后控制外部的哪些 用户可以访问这些服务器,这些对服务器系统的访问可以由防火墙进行控制和监视。防火墙一方面用于阻止来自Internet的对受保护网络的未授权或未验证的访问,另一方面允 许内部网络用户对Internet在授权范围内的访问,如WWW服务、E-mail服务。现代的许多防火 墙还具有其他的一些特性,包括身份鉴别、信息安全处理等。IP层的包过滤通常使用到IP报文的源、目的地址、协议域及相应的源、目的端口、标志域 等属性进行组合形成不同的包过滤
5、规则,对IP报文进行过滤,从而决定某类报文能否被转发(通 过防火墙)或被丢弃。同样,在Novell IPX和Apple AppleTalk协议中,也可相应地设置各自的 包过滤规则。H3C系列防火墙提供了基于接口的包过滤,即可以在一个接口的进出两个方向上对 报文进行过滤。同时还提供了基于时间段的包过滤,可以规定过滤规则发生作用的时间范围,比 如可设置每周一的8:00至20:00允许FTP报文进入以完成必要的服务,而其余时间则禁止FTP 连接。在时间段的设置上,可以采用绝对时间段和周期时间段以及连续时间段和离散时间段配合 使用,在应用上具有极大的灵活性。并且这样的时间段可以方便地提供给其他的功能模
6、块使用, 如地址转换、IPSec等。地址转换,用来实现私有网络地址与公有网络地址之间的转换。地址转换的优点在于屏蔽了 内部网络的实际地址;外部网络基本上不可能穿过地址代理来直接访问内部网络。H3C系列防火墙实现的地址转换能够将网内用户发出的报文的源地址全部映射成一个接口 的地址,与按需拨号相结合,使局域网内用户通过一台路由器即可轻松上网oH3C系列防火墙支 持带访问控制列表的地址转换。通过配置,用户可以指定能够通过地址转换的主机,以有效地控 制内部网络对外部网络的访问。结合地址池,还可以支持多对多的地址转换,更有效地利用用户 的合法IP地址资源。H3C系列防火墙提供基于报文内容的访问控制,即智
7、能防火墙,能够对应用层的一部分攻击 加以检测和防范,包括对于SMTP命令的检测、SYN flooding、Packet Injection的检测。智能防火墙不但对报文的网络层的信息进行检测,还对应用层的协议信息(如FTP)进行检 测。当报文通过路由器时,智能防火墙将报文与指定的访问规则进行比较,如果规则允许,报文 将接受检查,否则报文直接被丢弃。如果该报文是用于打开一个新的控制或数据连接,智能防火 墙将动态的修改或创建规则,同时更新状态表以保存不能由访问列表规则保存的重要的状态信息, 从而允许与新创建的连接相关的报文。对于回来的报文只有是属于一个已经存在的有效的连接, 才会被允许通过防火墙。在
8、处理回来的报文时,状态表也需要更新。当一个连接被关闭或超时后, 该连接对应的状态表将被删除。动态生成的规则不会被存储到FLASH或NVRAM中,确保未经 授权的报文不能随便透过防火墙。智能防火墙还提供了增强的跟踪审计功能。可以对所有的连接进行记录,包括:记录连接的 时间、源地址、目的地址、使用的端口和传输的字节数。入侵防御系统(IPS)虽然,网络中已部署了防火墙,但是,在很多企业网络的运行维护中,其IT部门仍然发现网 络的带宽利用率居高不下、而应用系统的响应速度越来越慢,只好提升带宽并升级服务器,可过 不了多久问题再次出现。而实际上,业务增长速度并没有这样快,业务流量占用带宽不会达到这 样的数
9、量,这是目前各大公司网络都可能存在的问题。并不是当初网络设计不周,而是自2003 年以来,蠕虫、入侵技术日益滋长并演变到应用层面(L7)的结果,而这些有害代码总是伪装成 客户正常业务进行传播,目前部署的防火墙其软硬件设计当初仅按照其工作在L2-L4时的情况考 虑,不具有对数据流进行综合、深度监测的能力,自然就无法有效识别伪装成正常业务的非法流 量,结果蠕虫、攻击、间谍软件等非法流量轻而易举地通过防火墙开放的端口进出网络,如下图 所示:这就是为何用户在部署了防火墙后,仍然遭受入侵以及蠕虫、病毒、拒绝服务攻击的困扰。 事实上,员工的PC都既需要访问Internet又必须访问公司的业务系统,所以存在
10、被病毒感染和黑 客控制的可能,蠕虫可以穿透防火墙并迅速传播,导致主机瘫痪,吞噬宝贵网络带宽,对公司业 务系统的危害极大。因此需要专门针对网络4-7层进行分析并实时防御的入侵防御系统,填补防火墙安全层次的 不足,完善网络传输过程中的安全层次,阻挡黑客攻击、蠕虫病毒的传播、保护内部主机的漏洞 不受到影响,提高企业生产效率。H3C公司的IPS系列主动入侵防御系统(IPS)是业界的领先产品和解决方案,具有如下特 占.八、 高性能IPS采用业界独有威胁抑制引擎(TSE),其集成了网络处理器(NP)、专用集成电路(ASIC)、 现场可编程逻辑阵列(FPGA )的强大功能和处理能力,是能够实现所有入侵防御功
11、能的线速处 理引擎。其处理能力高达5G并能够保证处理延迟小于125微妙,完全满足IP话音,关键交易等 时延敏感应用的要求。即使有上万条过滤器同时工作,系统的性能也不会降低。 高可靠性由于IPS部署在数据传输的路径中,所以其必须具有极高的可靠性,否则成为业务的阻断点 (自我拒绝服务攻击)。IPS提供真正的HA功能,两台以上设备完全同步并可以同时工作(Active -Active)模式或热备模式(Active - Standby )。即使发生最坏的情况,系统自动恢复时,IPS仍 可以工作在交换模式,不会成为业务的阻断点。 全面的防御功能IPS支持应用保护、网络架构保护和性能保护,彻底防护各种网络攻
12、击行为:病毒、间谍软 件/木马、蠕虫、DOS和DDOS、以及各种入侵行为。IPS运用三个独立且互补的入侵防御机制, 即弱点过滤器、流量异常过滤器和攻击特征过滤器,这些过滤器功能强大,如弱点过滤器能重组 第七层信息以完整检测应用层流量,还可以指定检测条件为应用程序流程(侦测缓冲区溢出攻击 对应用程序的异常调用)和通信协议规程QETF RFC异常攻击侦测)。此外,这些过滤器全部由 ASIC和FPGA实现,从而保证了系统的高吞吐量和低时延。 专业的安全团队服务提供数字疫苗(Digital Vaccine)更新服务,H3C安全专家举世公认,全球超过25万安全管 理员订阅了由Tipping Point安
13、全专家主编的SANrisk的安全漏洞分析报告,同时这些研究成果 已用于数字疫苗的开发和生成。数字疫苗被持续地自动发布到每台IPS上并完成更新。针对漏洞 的数字疫苗起到了虚拟软件补丁的作用,极大地方便了客户对安全漏洞的攻击的防护,而且为用 户在真正的服务器上打补丁并测试其对已有补丁和应用的影响争取了时间并为服务器下线维护提 供了灵活性,保证客户业务的不间断运营。 物超所值除完备的入侵防御功能外,IPS还支持对P2P、IM (如MSN)、VOIP(SIP, H.323, MGCP) 应用的流量管理功能,可以按照客户的要求完全阻断或限制P2P、IM的带宽;解析VOIP协议, 保证媒体流的所需的带宽,
14、同时保证IP电话系统的高安全性。总之,为用户提供了丰富的增值应 用保护功能。 高扩展性安全管理系统安全管理系统(SMS)能够管理和控制多达1000台IPS. SMS监视、控制、诊断每个IPS, 支持丰富的日志、分析报告功能。能够产生趋势分析报告、支持事件交叉分析、生成实时流量统 计表、过滤的攻击种类、网络主机和服务以及IPS网络位置和健康状态。 获得权威认证金奖NSS是公正的业界权威网络和安全评测机构,在2004年一月发布的IPS评测报告中,H3C 的IPS从众多参加测试的厂商(CISCO, ISS, Juniper/Netscreen, McAfee, TopLayer)中脱颖而出,荣获 N
15、SS 颁发的唯一金奖。请参考 http:/www.H3C.com/resources_nss.html 和 http:/www.nss.co.uk/ipso3. 网络安全部署模式以及设备选型综上所述根据河北省检察院办公网现有网络情况,建议未来网络安全部署模式如下:恶意吳端1. 根据XX客户网络出口带宽? MV50M,我们建议选择H3C SECPATH F100-S和H3C IPS 50 产品组合完善XX客户的网络出口安全层次:SECPATH F100-S硬件及 性能要 求体系架构:专用硬件平台;非X86架构端口数:4个10/100M以太网端口VPN要求VPN技术:支持 L2TP VPN,GRE VPN,IPSec VPN, DVPN 等多种 VPN协议网络层 防范功 能状态报文过滤:支持FTP、HTTP、SMTP、RTSP、H323协议簇的状态报文过 滤,支持时间段安全朿略设置。攻击防范包括多种DoS/DDoS攻击防范、ARP欺骗攻击的防范、提供 ARP主动反向查询、TCP报文标志位不合法攻击防范、超大 ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或 不可达报文控制功能、Tracert报文控制功能、带路由记录选项 IP报文控制功能;静态和动态黑名单功能;MAC和IP绑定功 能;支持智能防范蠕虫病毒技术。应用层防范功应用层过滤:支持HTTP URL和内容过滤,必须支
