资源描述
企业网网络安全系统
设计提议书
NetScreen
目录
1 概述 4
1.1 企业建立网络安全系统必需性 4
1.2 安全提议书设计标准 4
1.3 安全技术体系分析模型介绍 5
1.3.1 安全服务维 5
1.3.2 协议层次维 6
1.3.3 系统单元维 6
1.4 安全技术体系了解及实践 6
1.4.1 安全体系了解 6
1.4.2 构建安全系统基础目标 7
1.4.3 网络安全系统技术实施 7
2 应用需求分析 9
2.1 网络基础层安全需求分析 9
2.1.1 Internet连接安全保护 9
2.1.2 广域网连接安全保护 9
2.1.3 虚拟连接广域网安全保护 11
2.1.4 其它安全保护辅助方法 11
2.2 系统安全需求分析 12
2.3 应用安全管理需求分析 12
2.3.1 主机系统 12
2.3.2 网络设备安全管理 13
2.3.3 移动用户访问控制访问 13
2.3.4 VPN上认证 13
2.3.5 应用层安全保护 14
2.4 应用对安全系统要求分析 14
2.4.1 网络应用系统现实状况及发展说明 14
2.4.2 面向应用系统防火墙系统设计要求 15
3 安全系统实现目标 16
3.1 网络基础层安全系统建设目标 16
3.1.1 Internet及Extranet进出口控制 16
3.1.2 VPN应用 16
3.1.3 防火墙系统功效实现要求总结 17
3.2 应用辅助安全系统建设目标 17
4 网络安全系统实施提议 19
4.1 系统设计基础标准 19
4.2 安全系统实施步骤提议 19
4.3 防火墙系统实施提议 20
4.3.1 Internet进出口控制 20
4.3.2 广域网进出口控制 23
4.3.3 虚拟连接广域网出入口控制 26
4.4 VPN系统设计 26
4.4.1 广域网链路加密 27
4.4.2 虚拟连接组网提议 27
4.4.3 虚拟连接通信加密 29
4.5 防火墙系统集中管理 29
4.6 防火墙选型设计说明 30
4.6.1 评价防火墙产品基础要素 31
4.6.2 评价防火墙通常方法 31
4.6.3 多个流行防火墙产品比较 32
1 概述
建设功效强大和安全可靠网络化信息管理系统是企业实现现代化管理必需手段。怎样构建企业安全可靠网络系统是本提议书目标。
本提议书是本企业为企业提出“网络安全系统设计提议书”,提议书只针对网络基础设施安全系统向企业提交网络安全设计及实施提议,将不包含其它部分内容,如“数据安全系统”等。
1.1 企业建立网络安全系统必需性
毫无疑问,不需要任何形式“说教”,在信息和网络被广泛应用今天,任何一个网络管理或使用者全部很清楚,全部被使用计算机网络全部肯定存在被有意或无意攻击和破坏之风险。
企业网络一样存在安全方面风险问题。对于大多数网络黑客来说,成功地侵入一企业尤其是著名企业网络系统,含有证实和炫耀其“能耐”价值,尽管这种行为初衷可能并不含有恶意目标;窃取企业网络数据,甚至破坏其网络系统,愈加含有现实和长远商业价值。
所以,企业网络建立完善安全系统,其必需性不言而喻。
1.2 安全提议书设计标准
网络安全体系关键目标是实现对网络系统和应用操作过程有效控制和管理。任何安全系统必需建立在技术、组织和制度这三个基础之上。
在设计企业网络安全系统时,我们将遵照以下标准:
体系化设计标准
经过分析信息网络层次关系,提出科学安全体系和安全框架,并依据安全体系分析存在多种安全风险,从而最大程度地处理可能存在安全问题。
全局性、均衡性、综合性设计标准
安全提议书将从企业网络整体建设角度出发,提供一个含有相当高度、可扩展性强安全处理方案;从企业实际情况看,单纯依靠一个安全方法,并不能处理全部安全问题。本提议书将考虑到多种安全方法使用。
本安全提议书将均衡考虑多种安全方法效果,提供含有最优性能价格比安全处理方案。安全需要付出代价(资金、性能损失等),不过任何单纯为了安全而不考虑代价安全提议书全部是不切实际。提议书同时提供了可操作分步实施计划。
可行性、可靠性、安全性
作为一个工程项目,可行性是设计企业安全方案根本,它将直接影响到网络通信平台通畅;可靠性是安全系统和网络通信平台正常运行确保;而安全性是设计安全系统最终目标。
1.3 安全技术体系分析模型介绍
安全方案必需架构在科学安全体系和安全框架之上,因为安全框架是安全方案设计和分析基础。
为了系统、科学地分析网络安全系统包含多种安全问题,网络安全技术教授们提出了三维安全体系结构,并在其基础上抽象地总结了能够指导安全系统总体设计三维安全体系(见图1-1),它反应了信息系统安全需求和体系结构共性。具体说明以下:
图1-1安全框架示意图
1.3.1 安全服务维
安全服务维(第一维,X轴)定义了7种关键完全属性。具体以下:
身份认证,用于确定所申明身份有效性;
访问控制,预防非授权使用资源或以非授权方法使用资源;
数据保密,数据存放和传输时加密,预防数据窃取、窃听;
数据完整,预防数据篡改;
不可抵赖,取两种形式一个,用于预防发送者企图否认曾经发送过数据或其内容和用以预防接收者对所收到数据或内容抗否认;
审计管理,设置审计统计方法,分析审计统计;
可用性、可靠性,在系统降级或受到破坏时能使系统继续完成其功效,使得在不利条件下尽可能少地受到侵害者破坏。
1.3.2 协议层次维
协议层次维(Y轴)由ISO/OSI参考模型七层组成。和TCP/IP层次对应,能够把会话层、表示、应用层统一为“应用层”。
1.3.3 系统单元维
系统单元维(Z轴)描述了信息网络基础构件各个成份。
通信平台,信息网络通信平台;
网络平台,信息网络网络系统;
系统平台,信息网络操作系统平台;
应用平台,信息网络多种应用开发、运行平台;
物理环境,信息网络运行物理环境及人员管理。
1.4 安全技术体系了解及实践
贯穿于安全体系三个方面,各个层次是安全管理。经过技术手段和行政管理手段,安全管理将包含到各系统单元在各个协议层次提供多种安全服务。
1.4.1 安全体系了解
在图1-1安全体系分析模型中,完整地将网络安全系统全部内容进行了科学和系统归纳,详尽地描述了网络安全系统所使用技术、服务对象和包含范围(即网络层次)。对于上图了解,不妨简单说明以下:
安全服务维是网络安全系统所提供可实现全部技术手段;
网络协议维是网络安全系统应该将所采纳之安全技术手段实施范围;
系统单元维是网络安全系统应该提供安全保护对象。
作为一个现实网络安全系统,首先要考虑是安全提议书所包含有哪些系统单元,然后依据这些系统单元不一样,确定该单元所需要安全服务,再依据所需要安全服务,确定这些安全服务在哪些OSI层次实现。
1.4.2 构建安全系统基础目标
在上述三维结构安全体系中,安全服务维是向网络系统各个部分和每一个层次,提供安全确保多种技术手段和方法。即使并不是每一个应用网络全部需要安全服务维提出全部手段,不过对于一个包含多种应用和含有一定规模企业网络,这些安全方法应该全部基础含有,所以安全服务维所包含全部安全服务方法,是网络安全系统基础建设目标。
依据我们对企业网络系统应用现实状况认识,和未来将要实现多种应用目标了解,我们认为企业网络安全系统,最终需要全部实现图1-1中安全服务维所提出基础技术手段。
1.4.3 网络安全系统技术实施
构筑网络安全系统最终目标是对网络资源或说是保护对象,实施最有效安全保护。
从网络系统和应用平台对网络协议层次依靠关系不难看出,只有对网络协议结构层次全部层实施对应有效技术方法,才能实现对网络资源安全保护。
针对通常网络系统结构和应用要求,为了达成保护网络资源目标,必需在网络协议层实施对应安全方法,以下表1。
表1 ( * 表示需要实施)
物理层
数据链路层
网络层
传输层
会话层
表示层
应用层
认证
*
*
*
*
访问控制
*
*
*
*
数据保密
*
*
*
*
*
*
数据完整性
*
*
*
不可抵赖性
*
审计
*
*
*
*
可用性
*
*
*
*
在本提议书中,我们提议企业网络系统经过防火墙系统、VPN应用系统、认证系统和网络漏洞扫描及攻击检测系统实现表1中安全手段实施。
2 应用需求分析
企业网络结构将会包含企业内部网络Intranet和企业互联网络Extranet,同时网络连接Internet,满足互联网访问、WWW公布、外部移动用户应用等需求。本章将依据企业网络系统结构及应用,具体分析企业网络系统安全需求。
2.1 网络基础层安全需求分析
网络基础层(在此网络基础层是指网络通信链路、路由/交换设备、网络节点接口设备/网卡——包含了OSI物理层到传输层设备集合)作为现代计算机信息系统不可缺或基础设施部分,其安全性是每一个用户最为关心问题。从企业应用网络结构分析,企业网络层安全包含到Internet连接安全、广域网连接安全、应用系统内部资源网络连接安全保护几方面安全问题。
2.1.1 Internet连接安全保护
企业在网络应用中有三种情况需要进行Internet连接,即向外大众用户提供业务和宣传信息服务、企业内部用户和外界电子邮件往来、经过互联网在异地进行业务办公移动用户服务等。由此企业企业网必需向外“开门”,象全部连接互联网企业网一样,企业网不可避免地存在,遭受到来自外部恶意攻击和破坏、多种多样病毒传输可能性。所以,在Internet出入口连接点,必需采取方法进行保护 —— 部署防火墙系统,对集团总部Internet出入口实施有效控制,包含进出数据检验和资源访问控制。另外,仅仅设置1台防火墙,轻易出现单点故障,为了确保网络对外7X二十四小时不间断服务,还必需考虑网络安全设备冗余配置。
2.1.2 广域网连接安全保护
企业部分异地下属企业和部门将经过广域网方法和绵阳总部进行连接。所以企业网络系统从其结构而言是一个在物理上广域连接企业网络系统,我们认为企业广域连接网络系统必需考虑两方面安全方法:
(一)网络通信加密(VPN应用)
广域网络通信连接将经过第三方链路进行。尽管租用电信或其它传输服务提供商专用链路传输数据安全性会高于经过Internet传输,不过因为第三方提供专用链路所使用设备是公共,其安全性含有相对性,不仅在链路上传输数据存在被窃取可能,同时也存在因为链路供给商安全管理和保护方法不完善原因,造成被别有用心者有可能经过盗接而非法访问网络资源风险,在中国就曾有类似案件发生 —— 非法分子经过在公共设备上偷偷接入自己电脑,窃取了她人股票交易帐户资料,盗用她人帐户进行证券交易而非法赢利。
假如仅仅是窃取资料对于网络系统本身可能不会产生太严重破坏,不过假设盗接者是一个恶意攻击者,即使仅仅是一个一般网络高手,把在网络通信链路上截取数据进行篡改或置换,再经过网络链路将属性被异动数据对系统进行回放,其对网络系统可能造成破坏程度是用户无法估计。
现有设备和技术手段要实现以上非法目标不难,假如仅仅是经过盗接来窃取资料,只需要物理上存在接入可能(实际上现在中国全部链路服务供给商全部存在比较大漏洞),就很轻易实现;即使是经过链路盗接进行恶意攻击“高难度”动作,“网络高手”只需花很低代价购置用于网络测试专业设备和软件,就可在通信链路上经过数据回放对网络系统实施攻击。
所以,为了消除这类风险存在,我们认为企业网络安全系统必需能够对在广域网上传输全部数据进行加密(数据发出方)和解密(数据接收方)处理,即VPN应用。VPN采取3DES加密算法,首先能够使在广域网链路上传输数据变成外来者不可“读”,预防流失数据信息泄露;其次经过VPN加密和解密规则,能够对含有不良属性被异动数据进行过滤或使之属性失效,避免这些恶意数据对网络系统造成破坏。
(二)防火墙保护应用
从网络系统应用来说,企业广域连接网络系统实际上就是规模庞大企业内部网。在这种复杂网络环境中实现对各类网络资源有效保护和管理,仅仅利用现有网络来完成,显然是做不到。我们认为在企业广域连接网络系统内有必需引入防火墙应用,原因以下两方面。
其一,类似企业这种在物理上分布广泛网络系统,每一个在地理上属异地分支机构或部门,甚至同属于一个地方(如总部)不一样机构和部门,其网络应用和管理全部有相正确独立性,所以在网络安全管理实施和实施上就很轻易产生差异,从而出现网络安全漏洞。即使企业在网络实施和管理上能够强制性地要求企业内部网络到Internet接入为统一出入口,不过在网络使用过程中,可能总部和部分管理严格异地分支机构和部门,能够比较轻易地一直如一实施这一规章制度,却不能完全确保全部在网上用户因为部分别原因使用了另外路径进入Internet,如异地机构企业网络用户经过向当地ISP供给商购置帐户使用PSTN/ISDN/ADSL拨号上网,这就等于给企业网络为外部Internet使用者提供了一个甚至多个“后门”。这种“后门”对于别有用心网络黑客来说,是很有用,她们能够避开企业网络“门户”防火墙系统,经过网络“后门”直接攻击企业网络内部资源,这也是网络黑客最常见攻击手段之一;在国外就曾经有某个利益集团利用这一手法,获取了某国海关大量内部资料,利用所掌握内部资料,达成其变相走漏海关关税目标,而且这一手法在被发觉时候已经被有效地利用了相当长时间。所以在企业广域网内采取网络连接保护是必需方法。
其二,内部网络连接安全保护。企业企业网内部处理和存放了几乎全部企业数据和信息,这些信息依据不一样应用被不一样对象使用,有很多信息系统会依据应用目标进行分类独立使用(虚拟系统),而且其共享用户范围也是有限制,所以在网络上需要有比很好手段对内部用户进行信息资源访问控制;其次,来自于企业内部攻击不容忽略,其成功可能性要远远大于来自于Internet攻击,而且内部攻击目标关键是获取企业机密信息,这就更需要有方法对内部用户进行访问控制。
由此可见,在企业经过第三方专线连接企业广域网内,实施网络安全保护是很必需举措。能够有效地担负这一保护作用角色是性能和功效强大防火墙系统。所以,本提议书提议企业广域网系统配置内部防火墙系统。
2.1.3 虚拟连接广域网安全保护
对于企业众多异地分支机构(规模比较小)、商业合作伙伴、出差在外流动用户,将其远程电脑或小规模LAN纳入企业网系统接入模式,更多将会采取经过公共Internet虚拟连接方法。
正如前面所言,这种连接方法尽管实现代价和技术条件相对比较低,但其所能提供安全确保愈加不可信赖。所以毫无疑问,一样理由,这种连网方法广域网,其VPN和防火墙应用,比经过第三方专线链路愈加迫切需要。
2.1.4 其它安全保护辅助方法
企业网络环境比较复杂,设备众多,这使管理人员查找和修补网络中全部安全隐患有相当大难度。利用优异技术、工具进行网络系统本身脆弱性检验,先于入侵者发觉漏洞并立即填补,和建立实时入侵检测系统,是十分有效安全防护方法,将能极大提升、完善企业系统安全。在条件许可情况下,我们提议企业企业网增加网络漏洞扫描和入侵检测系统。
2.2 系统安全需求分析
多种操作系统是应用运行基础,应用系统安全性,在相当大程度之上受到操作系统安全性影响。现在运行大多数应用多种操作系统,全部是针对能够运行多个应用来开发,其开发要兼顾到多种应用多个方面,在程序开发过程中,会出现部分人为疏忽,和部分人为设置后门等。这些人为疏忽或后门就成了操作系统安全漏洞。还有,安装在操作系统上多种应用系统形成了一个复杂环境,这些应用程序本身设计缺点也会带来安全漏洞。另外,系统权限管理松懈也是造成安全漏洞关键原因。另外,任何东西特征全部是两方面,只要恶意破坏者掌握了系统特征,这些特征就能够被用来进行系统破坏。
基于以上原因,企业网络需要对总部应用服务器进行操作系统和数据库备份,操作系统包含Windows NT, Windows ,Solaris,Linux,数据库系统关键包含Oracle,MS SQL数据库。需要对这些系统进行系统安全漏洞扫描和实时入侵检测。
2.3 应用安全管理需求分析
应用层安全关键是对应用资源有效性进行控制,管理和控制什么用户对资源含有什么权限。资源包含信息资源和服务资源。需要提升身份认证安全性系统包含主机系统、网络设备、移动用户访问、VPN和应用层。
2.3.1 主机系统
包含企业总部和各下属企业中心主机、数据库系统,WEB服务器、MAIL服务器等等,这些主机系统是企业网络系统关键,存放着企业最关键信息资源,所以,确保这些主机系统登录安全是极其关键。
现在企业主机系统仍然沿用单一密码身份认证方法,这种简单身份认证存在以下安全隐患:
Ø 网络入侵者,很轻易猜测或破解账号、密码,利用她人帐户登录,进行非法操作。
Ø 人员流动、集成商自设等很多原因,使得每台主机系统上多出帐户增加。
2.3.2 网络设备安全管理
企业全企业,网络设备(路由器、交换机)数量以数十甚至数百计。企业全部业务系统全部是建立在网络设备基础之上,确保网络设备安全是确保系统正常运行首要条件;而保护网络设备安全,通常考虑最多是设备冗余,而网络设备配置保护却不被重视,其实,当某一个人登录了网络设备(路由器、防火墙、VPN设备等),将配置进行了更改,为以后非法登录建立通道,对整个系统来说,全部安全设施就形同虚设。所以对登录网络设备人员进行强身份认证是完全必需。
2.3.3 移动用户访问控制访问
移动用户进入企业内部网络能够经过当地拨号连接企业内部网络,也能够经过互联网ISP接入企业内部网。
对于企业来说,移动用户将基础上采取VPN方法对内部进行访问,外出职员能够经过Internet渠道方法进入企业内部网络,获取所需要信息资源或回送需要提交信息。而现在从终端上访问也是采取单一静态密码,从我们前面分析来看,显然是不安全。所以我们必需在移动用户访问上增加愈加强大手段对移动用户进行控制管理。
2.3.4 VPN上认证
在网络系统将配置VPN系统,远程移动用户能够经过拨号连接当地ISP,用VPN Client 建立安全通道访问企业信息资源。
而VPN技术能够很好处理系统传输安全问题,极大节省企业费用,而且使外部非法用户无法访问企业内部信息;不过,对于企业内部用户,因为VPN所提供用户认证机制仍然是单一密码方法,使我们无法确保现在访问信息资源帐户和拥有该帐户职员身份相符合,也就是说,还是存在内部用户盗用她人密码访问特定信息资源安全隐患(可能这些信息资源是她无权浏览或更改),所以,补充更强身份认证机制对VPN系统应用来说也是很必需。
2.3.5 应用层安全保护
这里应用层,关键指企业信息资源管理系统(ERP)。在职员进入ERP系统时需要输入用户名称和密码,一样原因,单一静态密码不安全性使得我们有必需在ERP系统上采取强认证机制,确保不一样权限、不一样等级用户安全正当使用ERP系统。
ERP系统上单一静态密码安全隐患关键有:
Ø 用户无法确保办公文件能正确接收,在接收之前没有被其它人浏览过。
Ø 单一密码轻易泄露,一旦密码泄露,其恶果可能会很严重。
Ø 高等级用户在远程授权以后,需要立即地更改密码。
以上讨论了企业网络系统各个不一样应用安全认证问题,不难看出,上述应用全部必需在原有单一静态认证基础上,增加愈加强大认证手段,所以我们提议在企业网络安全系统内引入动态认证机制,即动态SecurID。
加入RSA SecurID必需提供通用API,使用户能够将RSA SecurID认证内嵌到ERP系统或其它应用系统中,确保企业内部网络用户接收MAIL和文件安全,验证用户身份,并创建用户登录日志文件。
为了使系统认证操作和对非法访问拦截愈加有效,全部认证转发和认证结果处理全部由防火墙来操作完成,即对全部被认证系统认定为非正当访问服务请求,经过防火墙“掐断”其访问连接,而不是经过应用系统直接拒绝访问服务。这是防火墙系统设计时必需考虑可实现功效之一
2.4 应用对安全系统要求分析
任何一个完整网络安全系统,从其功效和物理层次来看,它将分别是网络基础设施和网络应用系统组成部分。防火墙作为网络基础设施一部分,和其它网络设备一样,其性能目标应该根据网络系统应用要求进行选型设计。假如防火墙选型设计不合适,即使网络其它设备选型设计满足要求,一样也会因为防火墙效率妨碍网络应用,严重话会造成整个网络应用建设失败,这已经是被事实证实。所以,本提议书有必需针对企业网络应用进行防火墙系统要求分析。
2.4.1 网络应用系统现实状况及发展说明
企业网络应用包含了集团企业几乎全部业务活动和管理方面应用,比如ERP、OA、财务、网络视频会议应用等等。
任何一个应用系统提供给用,全部是依靠于网络各个层次来实现应用信息处理和传送,应用系统最终是经过向全部网络用户提供使用来达成其应用目标。由此能够看出从网络用户电脑(用户端)到应用系统平台(服务器端)结构形式会对网络设备(尤其防火墙)提出对应要求;简单而言,不一样应用模式,对网络防火墙系统有不一样技术指标要求。
企业网络现在应用系统结构是C/S和B/S两种应用结构混合形式,关键业务应用系统现在是分布式C/S结构。现在正在进行已经有应用系统升级开发将使应用系统从C/S结构向B/S结构迁移;新增加应用系统开发,也是集中式B/S结构。在未来一两年内,企业应用系统将大部分实现集中式B/S结构模式。同时伴随企业规模扩大和业务领域拓展,现在已经在企业网络系统内应用网络视频会议系统(对网络传输性能要求很高应用系统)会伴随系统应用规模扩大,为网络系统带来越来越大数据传输压力。
以上两种关键原因,在很大程度上决定我们在防火墙选型设计时对产品取舍。
2.4.2 面向应用系统防火墙系统设计要求
依据企业网络应用系统现实状况和未来系统结构发展,我们认为着重考虑企业B/S结构应用特点,是防火墙系统技术指标设计关键依据。
众所周知,防火墙作为网络设备,对网络性能影响最为关键是两个参数指标,一个是防火墙TCP连接处理能力(并发会话处理数),另一个是防火墙对网络数据流量吞吐能力(带宽参数)。
B/S结构应用系统即使含有管理简单,用户端开发、使用和维护成本很低优点,不过在网络上B/S结构应用系统将会给网络带来巨大网络流动数据处理压力,而且是并发。具体来说,B/S结构应用系统在网络上使用,会给网络防火墙带来数倍甚至数十倍于C/S结构应用系统并发TCP会话数量,而且这些会话绝大部分是包长很短“垃圾”IP包。
由此可见,在设计企业防火墙系统时,足够大TCP会话处理能力,是我们选择防火墙(包含VPN)产品考虑关键原因。
经过对各类防火墙比较分析,我们认为现在面向B/S结构应用防火墙设备,硬件防火墙是最为明智选择。
3 安全系统实现目标
依据上一章需求分析,从网络安全技术手段而言,企业企业网安全系统必需实现从Internet和广域网进入内部资源网络数据被有效检验和过滤、全部对内部资源网络访问能够被有效控制、移动用户从Internet进入内部网络进行业务操作通信和经过广域网进入内部网用户通信必需加密、全部网络访问行为能够被统计和审计、非法访问被预警和阻拦(条件许可时实施)、应用系统平台及数据能够被有效备份以抗击灾难风险、用户身份真实性认证等几方面目标。
3.1 网络基础层安全系统建设目标
网络层安全系统经过防火墙系统(带VPN功效)实现访问控制、网络信息检验、通信加密、非法入侵检测和拦截,异常情况告警和审计几大功效目标。
3.1.1 Internet及Extranet进出口控制
在国际互联网(Internet)和企业广域网(Extranet)进出口,防火墙系统经过有效策略选择,能够阻断有害网络数据和被严禁数据源进入企业内部网络。
从互联网入口进入企业网用户,能够被防火墙有效地进行类别划分,即区分为经过互联网进入内部网企业移动用户或外部公共访问者,对于要求进入企业内部网访问者进行用户授权认证,拦截没有用户权限访问者试图进入内部网。
对于经过Internet入口和广域网入口进入总部企业内部网或分支机构内部网用户,设置在网络出入口防火墙系统不仅能够对访问者进行能否被许可进入权限认证,同时能够实现根据企业资源被访问权限划分访问路由控制。对于内部或外部本企业用户而言,防火墙系统能够实现,企业各类资源应用系统在逻辑上进行子网系统划分,即在技术上提供能够独立选择安全策略虚拟系统划分。
3.1.2 VPN应用
VPN应用是为网络通信提供有效信息加密手段。
在企业企业网VPN应用中,采取三倍DES加密技术,这是现在能够取得最优异和实用网络通信加密技术手段。
网络VPN应用范围包含移动用户用户机到企业网络Internet出入口防火墙、各分支机构广域网出入口防火墙到集团总部广域网出入口防火墙。
3.1.3 防火墙系统功效实现要求总结
网络层安全确保是企业网络系统安全最关键,所以在企业网络安全系统中,防火墙系统是整个系统最关键组成部分,它将担负完成大部分安全服务(安全技术手段)实现和实施任务。
传统网络安全系统因为受设备功效和性能限制,在网络层(从物理层到传输层)极难全部由单一防火墙或其它安全设备全部完成表1中提出功效要求,所以系统实施难度和费用(包含设备、人力投入和管理成本)会比较惊人。不过在今天已经出现了满足网络层全部应用、功效强大、性能优异防火墙产品,如NetScreen防火墙。
为了使企业网络安全系统结构简化、建设成本降低,本提议书在网络防火墙系统建设目标方面,提出了下表2功效目标要求。
表2 防火墙系统实现功效目标
物理层
数据链路层
网络层
传输层
会话层
表示层
应用层
认证
*
*
*
*
访问控制
*
*
*
数据保密
*
*
*
*
数据完整性
*
*
*
不可抵赖性
审计
*
*
*
可用性
*
*
*
*
3.2 应用辅助安全系统建设目标
应用系统安全性关键在用户和服务器间双向身份认证和信息和服务资源访问控制,含有审计和统计机制,确保预防拒绝和防抵赖防否认机制。
对于关键主机系统和应用系统、网络设备管理系统,在原有静态密码认证管理基础上,增加动态密码认证管理系统,经过动态密码方法实时不间断地验证全部访问这些系统用户真实身份。
4 网络安全系统实施提议
基于以上计划和分析,我们提议企业网络安全系统根据系统实现目标,分两个步骤(两期)分别实现以下各个安全子系统:
防火墙系统
VPN系统
动态认证系统
4.1 系统设计基础标准
实用、优异、可发展是安全系统设计基础标准。
本提议书设计安全系统首先是满足企业现有和可预见未来几年内应用要求;其次是考虑在投资增加极少前提下,选择现在能够提供最优异技术手段设备和系统方案;最终要考虑实现安全系统面对应用要有长远发展能力。
防火墙系统作为网络出入口内外连接控制和网络通信加密/解密设施,不仅需要有足够数据吞吐能力,如网络物理接口带宽,也需要优越网络连接数据处理能力,比如并发连接数量和网络连接会话处理能力等。以下防火墙系统设计将依据这些标准合理设计系统。
本提议书将关键对防火墙系统(包含VPN应用系统)提出设计提议。
4.2 安全系统实施步骤提议
任何一个网络应用系统在实施和建设阶段,在进行应用系统开发同时,首先是考虑网络基础设施建设。防火墙系统和VPN应用系统作为现代网络系统基础设施关键部分,毫无疑问也是我们建设网络安全系统首先需要构架系统。这也是我们提议企业网络安全系统第一阶段需要完成系统建设部分。
动态认证系统是对网络用户对具体应用系统或网络资源访问控制一个加强手段。正如前面所分析,在防火墙配合基础上能够愈加有效地发挥其作用;其次,动态认证系统是面向具体应用访问控制辅助手段,系统实施范围和规模依据应用系统要求而决定。所以我们提议动态认证系统放在防火墙系统实施完成后第二阶段来实施。
一样,漏洞扫描和入侵检测系统作为防火墙系统辅助系统,能够有效地提升防火墙系统发挥安全保护作用;漏洞扫描和入侵检测系统所发挥作用,最终要靠防火墙系统作用来表现,因为漏洞扫描和入侵检测系统“检验”和“侦测”得到非法访问和恶意攻击,需要防火墙系统对其实施控制和拦截。所以提议也将漏洞扫描和入侵检测系统放在防火墙系统建设完成后第二阶段实施。
4.3 防火墙系统实施提议
防火墙系统是在网络基础层以上(OSI/ISO网络结构模型2至7层)提供关键安全技术服务手段,如表2所表示。这些安全服务包含了访问认证、访问控制、信息流安全检验、数据源点判别等技术手段。
(注:在以下防火墙系统设计提议中,除尤其进行说明功效或技术手段不能满足设计要求以外,本提议书全部设计选择产品全部是全部满足表2和第三章提出系统目标之要求,在本方案文档中将不再进行全部功效具体技术实现说明。)
在网络边界设置进出口控制,能够防御外来攻击、监控往来通讯流量,是企业网络安全第一道关卡,其关键性不言而喻。网络防火墙系统从其设置物理位置来说,最合适位置就是网络物理边界出入口。所以能够说,网络安全系统最为关键组成部分实际上是利用上述多种技术手段,经过对网络出入口控制实现安全服务目标。
本提议书我们采取防火墙来对企业网络进出口进行控制,包含Internet进出口控制和广域网进出口控制。
4.3.1 Internet进出口控制
绵阳总部是整个企业中心最关键网络,经过广域网链路连接分布在各地分部,开展多种业务应用,并采取专线连接互联网获取有用信息。从安全和管理角度考虑,提议只在总部设置一个Internet出口,各地分部统一经过总部访问互联网。
(一)Internet接入结构
以下图经典企业应用所表示,总部在Internet出口设置防火墙系统。为避免单点故障,防火墙系统采取双机模式构建。每台防火墙均提供4个网络接口,分别连接Internet,中立区和内部网络两台中心交换机。来自Internet光纤专线将经过一台交换机和两台防火墙外网口连接。中立区也需增加一台交换机,用于连接两台防火墙中立区口、WWW服务器、邮件服务器等。
(二)防火墙系统选型设计
经过对多家防火墙厂商设备综合比较,本提议书推荐采取NetScreen企业防火墙产品。
NetScreen国际(以下简称NetScreen企业)成立于1997年10月,总部在美国加州硅谷。 NetScreen Technologies以业界领先防火墙/虚拟专用网络(VPN)处理提议书,加强互联网安全能力。NetScreen专门开发基于ASIC互联网安全系统及设备,为互联网数据中心、服务供给商及企业提供高性能防火墙、虚拟专用网及网络流量监控功效。这种全方面安全处理提议书为用户带来高性能、易于升级和管理优点,在业内累获大奖。
NetScreen 每一个硬件安全系统和设备,均含有防火墙、VPN和流量控制三种功效,其高性能表现备受赞扬。Infonetics Resear企业“VPN产品市场拥有率汇报”显示,NetScreen主导千兆比特级防火墙市场,也在VPN产品市场高踞领导地位。NetScreen突破性ASIC安全处理提议书,实现线速处理数据包处理,并充足利用其带宽,避免了传统类产品瓶颈问题。
我们设计企业Internet出口处采取两台组成双机模式NetScreen防火墙(以NetScreen204为例)。NetScreen–204防火墙吞吐量高达400Mbps,提供4个100M接口,128000链接数,200Mbps VPN处理能力,支持透明模式、双机备份、负载均衡、图形管理等,流量控制功效为网络管理员提供了全部监测和管理网络信息,诸如DMZ,服务器负载平衡和带宽优先级设置等优异功效,使NetScreen独树一帜。其具体特点以下:
· 提供了防火墙全部安全功效(如预防拒绝服务攻击,Java/ActiveX/Zip过滤,防IP地址欺骗……)并结合了包过滤、链途经滤和应用代理服务器等技术
· 网络地址转换(NAT):隐藏内部IP地址
· 动态访问过滤(Dynamic Filter) :自适应网络服务保护
· URL地址限定:限制站点访问,过滤不需要网站
· 用户认证(Authentication):只许可有授权访问
· 符合IPSec:可和其它厂家设备交互操作
· IKE密钥管理:确保密钥交换
· DES和三级DES:最高等级加密、解密
· 流量带宽控制及优先级设置:按您需求管理流量
· 负载平衡能力:管理服务器群( Server Farms)
· 虚拟IP:将内部服务器映射为可路由地址
· 实时日志及报警纪录:实时监控网络状态
· 透明,无IP地址设置:无须更改任何路由器及主机配置
· 自带Web服务器:方便地经过流行浏览器进行管理
· 图形界面:可关闭远程管理方法,只用当地、安全管理
· SNMP管理方法:经过网络管理软件管理
· 命令行界面:支持批处理方法及经过调制解调器备用渠道进行控制
两台NetScreen防火墙(500/1000,7月份后100/200也支持)采取双机热备方法工作,任何一台防火墙出现故障,其任务由另一台防火墙自动接管,避免单点故障造成企业无法上网情况发生,确保网络无间断运行。
企业Internet应用除了浏览互联网和WWW公布外,外出职员对企业访问也将经过Internet进行。为许可正当用户访问企业网络,同时确保经过Internet进行业务应用安全性,我们提议采取VPN通讯方法。利用NetScreen防火墙VPN功效,终端工作站安装NetScreen-Remote软件或利用WIN操作系统对VPN支持,能够实现企业远程办公安全需求。
NetScreen-Remote是一个在用户主机(桌面或笔记本电脑)上运行软件,简化了对网络、设备或公共或非信任网络中其它主机安全远程接入。经过采取IPSec协议和第二层通道协议[L2TP],并以证书作为额外选项,能够实现安全性。为了构建安全通信通道,必需把这一软件和IPSec网关结合使用(如NetScreen家族安全设备),或和运行IPSec兼容软件另一台主机结合使用(如NetScreen-Remote)。NetScreen-Remote支持Windows 95, 98, NT, 系统。
4.3.2 广域网进出口控制
企业含有多个地理上分散分部,各分部和总部之间租用电信专线互联,形成以总部为中心集团广域网。分散企业给网络安全管理造成了一定难度,而且企业内部攻击成功可能性远大于外部攻击,造成危害更严重,所以全方位网络保护是不仅防外,还应防内。
企业内部防范关键是确保总部和各企业安全,加强广域网进出口控制,我们提议在总部及各分部广域网出口处配置防火墙来加强内部网络保护,见下图。该防火墙系统起到防御内部攻击、阻止入侵行为深入扩大升级作用,避免某段网络范围内发生入侵破坏扩大至整个企业网络,把来自内部攻击造成破坏减低到最低程度,保护其它网络部分正常工作。
依据企业升级后网络拓扑结构,广域网链路和设备全部含有了较强冗余备份能力,总部路由器和中心交换机配置均采取了双机热备方法。考虑到总部广域网防火墙是在路由器和中心交换机之间,所以也必需做冗余配置,不然会成为广域网设备中单点故障点,使路由器和中心交换机所做备份方法失去意义。
企业广域网存在ERP、VoIP、视频会议等多种高带宽应用,尤其总部是整个企业网络数据中
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
