網路安全解決方案設計

網路安全中的入侵檢測系統是近年來出現的新型網路安全技術，也是重要的網路安全工具。下面是有網路安全解決方案設計，歡迎參閱。

一、客戶背景

集團內聯網主要以總部區域網為核心，採用廣域網方式與外地子公司聯網。集團廣域網採用MPLS-技術，用來為各個分公司提供骨幹網路平臺和接入，各個分公司可以在集團的骨幹資訊網路系統上建設各自的子系統，確保各類系統間的相互獨立。

二、安全威脅

某公司屬於大型上市公司，在北京，上海、廣州等地均有分公司。公司內部採用無紙化辦公，OA系統成熟。每個區域網連線著該所有部門，所有的資料都從區域網中傳遞。同時，各分公司採用技術連線公司總部。該單位為了方便，將相當一部分業務放在了對外開放的網站上，網站也成為了既是對外形象視窗又是內部辦公視窗。

由於網路設計部署上的缺陷，該單位區域網在建成後就不斷出現網路擁堵、網速特別慢的情況，同時有些個別機器上的防毒軟體頻頻出現病毒報警，網路經常癱瘓，每次時間都持續幾十分鐘，網管簡直成了救火隊員，忙著清除病毒，重灌系統。對外WEB網站同樣也遭到黑客攻擊，網頁遭到非法篡改，有些網頁甚至成了傳播不良資訊的平臺，不僅影響到網站的正常執行，而且還對政府形象也造成不良影響。(安全威脅根據拓撲圖分析)從網路安全威脅看，集團網路的威脅主要包括外部的攻擊和入侵、內部的攻擊或誤用、企業內的病毒傳播，以及安全管理漏洞等資訊保安現狀：經過分析發現該公司資訊保安基本上是空白，主要有以下問題：

公司沒有制定資訊保安政策，資訊管理不健全。 公司在建內網時與internet的連線沒有防火牆。 內部網路(同一城市的各分公司)之間沒有任何安全保障為了讓網路正常執行。

根據我國《資訊保安等級保護管理辦法》的資訊保安要求，近期公司決定對該網路加強安全防護，解決目前網路出現的安全問題。

三、安全需求

從安全性和實用性角度考慮，安全需求主要包括以下幾個方面：

1、安全管理諮詢

安全建設應該遵照7分管理3分技術的原則，通過本次安全專案，可以發現集團現有安全問題，並且協助建立起完善的安全管理和安全組織體系。

2、集團骨幹網路邊界安全

主要考慮骨幹網路中Internet出口處的安全，以及移動使用者、遠端撥號訪問使用者的安全。

3、集團骨幹網路伺服器安全

主要考慮骨幹網路中閘道器伺服器和集團內部的伺服器，包括OA、財務、人事、內部WEB等內部資訊系統伺服器區和安全管理伺服器區的安全。

4、集團內聯網統一的病毒防護

主要考慮集團內聯網中，包括總公司在內的所有公司的病毒防護。

5、統一的增強口令認證系統

由於系統管理員需要管理大量的主機和網路裝置，如何確保口令安全稱為一個重要的問題。

6、統一的安全管理平臺

通過在集團內聯網部署統一的安全管理平臺，實現集團總部對全網安全狀況的集中監測、安全策略的統一配置管理、統計分析各類安全事件、以及處理各種安全突發事件。

7、專業安全服務

過專業安全服務建立全面的安全策略、管理組織體系及相關管理制度，全面評估企業網路中的資訊資產及其面臨的安全風險情況，在必要的情況下，進行主機加固和網路加固。通過專業緊急響應服務保證企業在面臨緊急事件情況下的處理能力，降低安全風險。

四、方案設計

骨幹網邊界安全

集團骨幹網共有一個Internet出口，位置在總部，在Internet出口處部署LinkTrust Cyberwall-200F/006防火牆一臺。

在Internet出口處部署一臺LinkTrust Network Defender領信網路入侵檢測系統，通過交換機埠映象的方式，將進出Internet的流量映象到入侵檢測的監聽埠，LinkTrust

Network Defender可以實時監控網路中的異常流量，防止惡意入侵。

在各個分公司中新增一個DMZ區，保證各公司的資訊保安，內部網路(同一城市的各分公司)之間沒有任何安全保障骨幹網伺服器安全

集團骨幹網伺服器主要指網路中的閘道器伺服器和集團內部的應用伺服器包括OA、財務、人事、內部WEB等，以及專為此次專案配置的、用於安全產品管理的伺服器的安全。 主要考慮為在伺服器區配置千兆防火牆，實現伺服器區與辦公區的隔離，並將內部資訊系統伺服器區和安全管理伺服器區在防火牆上實現邏輯隔離。還考慮到在伺服器區配置主機入侵檢測系統，在網路中配置百兆網路入侵檢測系統，實現主機及網路層面的主動防護。

漏洞掃描

瞭解自身安全狀況，目前面臨的安全威脅，存在的安全隱患，以及定期的瞭解存在那些安全漏洞，新出現的安全問題等，都要求資訊系統自身和使用者作好安全評估。安全評估主要分成網路安全評估、主機安全評估和資料庫安全評估三個層面。

內聯網病毒防護

病毒防範是網路安全的一個基本的、重要部分。通過對病毒傳播、感染的各種方式和途徑進行分析，結合集團網路的特點，在網路安全的病毒防護方面應該採用“多級防範，集中管理，以防為主、防治結合”的動態防毒策略。

病毒防護體系主要由桌面網路防毒、伺服器防毒和郵件防毒三個方面。

增強的身份認證系統

由於需要管理大量的主機和網路裝置，如何確保口令安全也是一個非常重要的問題。 減小口令危險的最為有效的辦法是採用雙因素認證方式。雙因素認證機制不僅僅需要使用者提供一個類似於口令或者PIN的單一識別要素，而且需要第二個要素，也即使用者擁有的，通常是認證令牌，這種雙因素認證方式提供了比可重用的口令可靠得多的使用者認證級別。使用者除了知道他的PIN號碼外，還必須擁有一個認證令牌。而且口令一般是一次性的，這樣每次的口令是動態變化的，大大提高了安全性。

統一安全平臺的建立

通過建立統一的安全管理平臺(安全執行管理中心—SOC)，建立起集團的安全風險監控體系，利於從全域性的角度發現網路中存在的安全問題，並及時歸併相關人員處理。這裡的風險監控體系包括安全資訊庫、安全事件收集管理系統、安全工單系統等，同時開發有效的多種手段實時告警系統，定製高效的安全報表系統。

1.1安全系統建設目標

本技術方案旨在為某市政府網路提供全面的網路系統安全解決方案，包括安全管理制度策略的制定、安全策略的實施體系結構的設計、安全產品的選擇和部署實施，以及長期的合作和技術支援服務。系統建設目標是在不影響當前業務的前提下，實現對網路的全面安全管理。

1) 將安全策略、硬體及軟體等方法結合起來，構成一個統一的防禦系統，有效阻止非法使用者進入網路，減少網路的安全風險;

2) 通過部署不同型別的安全產品，實現對不同層次、不同類別網路安全問題的防護;

3) 使網路管理者能夠很快重新組織被破壞了的檔案或應用。使系統重新恢復到破壞前的狀態。最大限度地減少損失。

具體來說，本安全方案能夠實現全面網路訪問控制，並能夠對重要控制點進行細粒度的訪問控制;

其次，對於通過對網路的流量進行實時監控，對重要伺服器的執行狀況進行全面監控。

1.1.1 防火牆系統設計方案

防火牆對伺服器的安全保護

網路中應用的伺服器，資訊量大、處理能力強，往往是攻擊的主要物件。另外，伺服器提供的各種服務本身有可能成為"黑客"攻擊的突破口，因此，在實施方案時要對伺服器的安全進行一系列安全保護。

如果伺服器沒有加任何安全防護措施而直接放在公網上提供對外服務，就會面臨著"黑客"各種方式的攻擊，安全級別很低。因此當安裝防火牆後，所有訪問伺服器的請求都要經過防火牆安全規則的詳細檢測。只有訪問伺服器的請求符合防火牆安全規則後，才能通過防火牆到達內部伺服器。防火牆本身抵禦了絕大部分對伺服器的攻擊，外界只能接觸到防火牆上的特定服務，從而防止了絕大部分外界攻擊。

防火牆對內部非法使用者的防範

網路內部的環境比較複雜，而且各子網的分佈地域廣闊，網路使用者、裝置接入的可控性比較差，因此，內部網路使用者的可靠性並不能得到完全的保證。特別是對於存放敏感資料的主機的攻擊往往發自內部使用者，如何對內部使用者進行訪問控制和安全防範就顯得特別重要。為了保障內部網路執行的可靠性和安全性，我們必須要對它進行詳盡的分析，儘可能防護到網路的每一節點。

對於一般的網路應用，內部使用者可以直接接觸到網路內部幾乎所有的服務，網路伺服器對於內部使用者缺乏基本的安全防範，特別是在內部網路上，大部分的主機沒有進行基本的安

全防範處理，整個系統的安全性容易受到內部使用者攻擊的威脅，安全等級不高。根據國際上流行的處理方法，我們把內部使用者跨網段的訪問分為兩大類：其一，是內部網路使用者之間的訪問，即單機到單機訪問。這一層次上的應用主要有使用者共享檔案的傳輸(NETBIOS)應用;其次，是內部網路使用者對內部伺服器的訪問，這一類應用主要發生在內部使用者的業務處理時。一般內部使用者對於網路安全防範的意識不高，如果內部人員發起攻擊，內部網路主機將無法避免地遭到損害，特別是針對於NETBIOS檔案共享協議，已經有很多的漏洞在網上公開報道，如果網路主機保護不完善，就可能被內部使用者利用"黑客"工具造成嚴重破壞。

1.1.2入侵檢測系統

利用防火牆技術，經過仔細的配置，通常能夠在內外網之間提供安全的網路保護，降低了網路安全風險，但是入侵者可尋找防火牆背後可能敞開的後門，入侵者也可能就在防火牆內。

網路入侵檢測系統位於有敏感資料需要保護的網路上，通過實時偵聽網路資料流，尋找網路違規模式和未授權的網路訪問嘗試。當發現網路違規行為和未授權的網路訪問時，網路監控系統能夠根據系統安全策略做出反應，包括實時報警、事件登入，或執行使用者自定義的安全策略等。網路監控系統可以部署在網路中有安全風險的地方，如區域網出入口、重點保護主機、遠端接入伺服器、內部網重點工作站組等。在重點保護區域，可以單獨各部署一套網路監控系統(管理器+探測引擎)，也可以在每個需要保護的地方單獨部署一個探測引擎，在全網使用一個管理器，這種方式便於進行集中管理。

在內部應用網路中的重要網段，使用網路探測引擎，監視並記錄該網段上的所有操作，在一定程度上防止非法操作和惡意攻擊網路中的重要伺服器和主機。同時，網路監視器還可以形象地重現操作的過程，可幫助安全管理員發現網路安全的隱患。

需要說明的是，IDS是對防火牆的非常有必要的附加而不僅僅是簡單的補充。

按照現階段的網路及系統環境劃分不同的網路安全風險區域，xxx市政府本期網路安全系統專案的需求為：

區域 部署安全產品

內網 連線到Internet的出口處安裝兩臺互為雙機熱備的海信FW3010PF-4000型百兆防火牆;在主幹交換機上安裝海信千兆眼鏡蛇入侵檢測系統探測器;在主幹交換機上安裝NetHawk網路安全監控與審計系統;在內部工作站上安裝趨勢防毒牆網路版防病毒軟體;在各伺服器上安裝趨勢防毒牆伺服器版防病毒軟體。

DMZ區 在伺服器上安裝趨勢防毒牆伺服器版防病毒軟體;安裝一臺InterScan

VirusWall防病毒閘道器;安裝百兆眼鏡蛇入侵檢測系統探測器和NetHawk網路安全監控與審計系統。

安全監控與備份中心 安裝FW3010-5000千兆防火牆，安裝RJ-iTOP榕基網路安全漏洞掃描器;安裝眼鏡蛇入侵檢測系統控制檯和百兆探測器;安裝趨勢防毒牆伺服器版管理伺服器，趨勢防毒牆網路版管理伺服器，對各防病毒軟體進行集中管理。

網路資訊系統的安全技術體系通常是在安全策略指導下合理配置和部署：網路隔離與訪問控制、入侵檢測與響應、漏洞掃描、防病毒、資料加密、身份認證、安全監控與審計等技術裝置，並且在各個裝置或系統之間，能夠實現系統功能互補和協調動作。

網路系統安全具備的功能及配置原則

1.網路隔離與訪問控制。通過對特定網段、服務進行物理和邏輯隔離，並建立訪問控制機制，將絕大多數攻擊阻止在網路和服務的邊界以外。

2.漏洞發現與堵塞。通過對網路和執行系統安全漏洞的週期檢查，發現可能被攻擊所利用的漏洞，並利用補丁或從管理上堵塞漏洞。

3.入侵檢測與響應。通過對特定網路(段)、服務建立的入侵檢測與響應體系，實時檢測出攻擊傾向和行為，並採取相應的行動(如斷開網路連線和服務、記錄攻擊過程、加強審計等)。

4.加密保護。主動的加密通訊，可使攻擊者不能瞭解、修改敏感資訊(如方式)或資料加密通訊方式;對保密或敏感資料進行加密儲存，可防止竊取或丟失。

5.備份和恢復。良好的備份和恢復機制，可在攻擊造成損失時，儘快地恢復資料和系統服務。

6.監控與審計。在辦公網路和主要業務網路內配置集中管理、分散式控制的監控與審計系統。一方面以計算機終端為單元強化桌面計算的內外安全控制與日誌記錄;另一方面通過集中管理方式對內部所有計算機終端的安全態勢予以掌控。

邊界安全解決方案

在利用公共網路與外部進行連線的“內”外網路邊界處使用防火牆，為“內部”網路(段)與“外部”網路(段)劃定安全邊界。在網路內部進行各種連線的地方使用帶防火牆功能的裝置，在進行“內”外網路(段)的隔離的同時建立網路(段)之間的安全通道。

1.防火牆應具備如下功能：

使用NAT把DMZ區的伺服器和內部埠影射到Firewall的對外埠;

允許Internet公網使用者訪問到DMZ區的應用服務：http、ftp、smtp、dns等;

允許DMZ區內的工作站與應用伺服器訪問Internet公網;

允許內部使用者訪問DMZ的應用服務：http、ftp、smtp、dns、pop3、https;

允許內部網使用者通過代理訪問Internet公網;

禁止Internet公網使用者進入內部網路和非法訪問DMZ區應用伺服器;

禁止DMZ區的公開伺服器訪問內部網路;

防止來自Internet的DOS一類的攻擊;

能接受入侵檢測的聯動要求，可實現對實時入侵的策略響應;

對所保護的主機的常用應用通訊協議(http、ftp、telnet、smtp)能夠替換伺服器的Banner資訊，防止惡意使用者資訊刺探;

提供日誌報表的自動生成功能，便於事件的分析;

提供實時的網路狀態監控功能，能夠實時的檢視網路通訊行為的連線狀態(當前有那些連線、正在連線的IP、正在關閉的連線等資訊)，通訊資料流量。提供連線查詢和動態圖表顯示。

防火牆自身必須是有防黑客攻擊的保護能力。

2.帶防火牆功能的裝置是在防火牆基本功能(隔離和訪問控制)基礎上，通過功能擴充套件，同時具有在IP層構建端到端的具有加密選項功能的ESP隧道能力，這類裝置也有S的，主要用於通過外部網路(公共通訊基礎網路)將兩個或兩個以上“內部”區域網安全地連線起來，一般要求S應具有一下功能：

防火牆基本功能，主要包括：IP包過慮、應用代理、提供DMZ埠和NAT功能等(有些功能描述與上相同);

具有對連線兩端的實體鑑別認證能力;

支援移動使用者遠端的安全接入;

支援IPESP隧道內傳輸資料的完整性和機密性保護;

提供系統內金鑰管理功能;

S裝置自身具有防黑客攻擊以及網上裝置認證的能力。

入侵檢測與響應方案

在網路邊界配置入侵檢測裝置，不僅是對防火牆功能的必要補充，而且可與防火牆一起構建網路邊界的防禦體系。通過入侵檢測裝置對網路行為和流量的特徵分析，可以檢測出侵害“內部”網路或對外洩漏的網路行為和流量，與防火牆形成某種協調關係的互動，從而在“內部”網與外部網的邊界處形成保護體系。

入侵檢測系統的基本功能如下：

通過檢測引擎對各種應用協議，作業系統，網路交換的資料進行分析，檢測出網路入侵事件和可疑操作行為。

對自身的資料庫進行自動維護，無需人工干預，並且不對網路的正常執行造成任何干擾。

採取多種報警方式實時報警、音響報警，資訊記錄到資料庫，提供電子郵件報警、SysLog報警、SNMPTrap報警、Windows日誌報警、Windows訊息報警資訊，並按照預設策略，根據提供的報警資訊切斷攻擊連線。

與防火牆建立協調聯動，執行自定義的多種響應方式，及時阻隔或消除異常行為。

全面檢視網路中發生的所有應用和連線，完整的顯示當前網路連線狀態。

可對網路中的攻擊事件，訪問記錄進行適時查詢，並可根據查詢結果輸出圖文報表，能讓管理人員方便的提取資訊。

入侵檢測系統猶如攝像頭、監視器，在可疑行為發生前有預警，在攻擊行為發生時有報警，在攻擊事件發生後能記錄，做到事前、事中、事後有據可查。

漏洞掃描方案

除利用入侵檢測裝置檢測對網路的入侵和異常流量外，還需要針對主機系統的漏洞採取檢查和發現措施。目前常用的方法是配置漏洞掃描裝置。主機漏洞掃描可以主動發現主機系統中存在的系統缺陷和可能的安全漏洞，並提醒系統管理員對該缺陷和漏洞進行修補或堵塞。

對於漏洞掃描的結果，一般可以按掃描提示資訊和建議，屬外購標準產品問題的，應及時升級換代或安裝補丁程式;屬委託開發的產品問題的，應與開發商協議修改程式或安裝補丁程式;屬於系統配置出現的問題，應建議系統管理員修改配置引數，或視情況關閉或解除安裝引發安全漏洞的程式模組或功能模組。

漏洞掃描功能是協助安全管理、掌握網路安全態勢的必要輔助，對使用這一工具的安全管理員或系統管理員有較高的技術素質要求。

考慮到漏洞掃描能檢測出防火牆策略配置中的問題，能與入侵檢測形成很好的互補關係：漏洞掃描與評估系統使系統管理員在事前掌握主動地位，在攻擊事件發生前找出並關閉安全漏洞;而入侵檢測系統則對系統進行監測以期在系統被破壞之前阻止攻擊得逞。因此，漏洞掃描與入侵檢測在安全保護方面不但有共同的安全目標，而且關係密切。本方案建議採購將入侵檢測、管理控制中心與漏洞掃描一體化整合的產品，不但可以簡化管理，而且便於漏洞掃描、入侵檢測和防火牆之間的協調動作。

網路防病毒方案

網路防病毒產品較為成熟，且有幾種主流產品。本方案建議，網路防病毒系統應具備下列功能：

網路&單機防護—提供個人或家庭使用者病毒防護;

檔案及儲存伺服器防護—提供伺服器病毒防護;

郵件伺服器防護—提供LotusNotes,MicrosoftExchange等病毒防護;

閘道器防護—在SMTP,HTTP,和FTPservergateway阻擋計算機病毒;

集中管理—為企業網路的防毒策略，提供了強大的集中控管能力。

關於安全裝置之間的功能互補與協調執行

各種網路安全裝置(防火牆、入侵檢測、漏洞掃描、防病毒產品等)，都有自己獨特的安全探測與安全保護能力，但又有基於自身主要功能的擴充套件能力和與其它安全功能的對接能力或延續能力。因此，在安全裝置選型和配置時，儘可能考慮到相關安全裝置的功能互補與協調執行，對於提高網路平臺的整體安全性具有重要意義。

防火牆是目前廣泛用於隔離網路(段)邊界並實施進/出資訊流控制的大眾型網路安全產品之一。作為不同網路(段)之間的邏輯隔離裝置，防火牆將內部可信區域與外部危險區域有效隔離，將網路的安全策略制定和資訊流動集中管理控制，為網路邊界提供保護，是抵禦入侵控制內外非法連線的。

但防火牆具有侷限性。這種侷限性並不說明防火牆功能有失缺，而且由於本身只應該承擔這樣的職能。因為防火牆是配置在網路連線邊界的通道處的，這就決定了它的基本職能只應提供靜態防禦，其規則都必須事先設定，對於實時的攻擊或異常的行為不能做出實時反應。這些控制規則只能是粗顆粒的，對一些協議細節無法做到完全解析。而且，防火牆無法自動調整策略設定以阻斷正在進行的攻擊，也無法防範基於協議的攻擊。

為了彌補防火牆在實際應用中存在的侷限，防火牆廠商主動提出了協調互動思想即聯動問題。防火牆聯動即將其它安全裝置(元件)(例如IDS)探測或處理的結果通過介面引入系統內調整防火牆的安全策略，增強防火牆的訪問控制能力和範圍，提高整體安全水平。