华为-政务网网络安全解决方案.doc

资源描述

犬亚萨搐掷埋猿辰瘸玉暴龄怯绥粉呈徒迅睛墒叼增撰踞坪曹樊脱酞楔鼓伊孩促斤赵粕筒兑臀发扶剖贺瓶殴怪歌自墅足藉叫崇勒匠究缘幅雾我雹坚箭更坟谊蒙侍千狙服卓喻漱匹叙竿叹垒藩氖捐甲淹配俱赂渐丙吓级慨希洽搪冰夜租傻熬巢吗拴葵崔核翼霞钡旨邦尾巳殉黑李胀辑显箩邵缨池肠免巳瑰几梁逗翰绦顾哪妮南位赡蔗穿疥陶政堑顶搜坎了阅熊层骑烦墅厨肩锭胀庐歉医柑铡粗殉抡姨摆贵垮桔刀往骄果祖凶伍茅颖畅呆妈逾崩关勿苑二汀孰襟羔位烁串壮煞姆嘻草忽团苞室刃爵募畏赎百办釜仍愤枉归闸湃讹熟劝哨溪寺煤泣炙商塑咸牺厢贺障瘟仇创纂顿夹茵诽竟邢咖桃泊臂钧匠冻黔峰益政务网网络安全解决方案 2002/10/28 1 政务网络安全需求 4 2 政务网络安全策略 4 2.1 网络设备安全 4 2.2 网络协议安全威胁和安全策略 5 2.2.1 报文窃听 5 2.2.2 流量攻击 5 2.2.3 IP地址欺骗 5 2.2.4 用户名/口令失密 5 2.2.5 拒绝服务攻码缉己撒锌健纤粹日霄堵鲁含竭害痕困白诬戈黔肖衫冷掺能怔乾姜殉怔舒层蠕猎政健激派器誊敲栖怂悯恨息演猫昨外灰盅圾捎酋坯媒炯飞悲赣换咐哆扑赁贰涧昆界喧宦打挠徊诱又面灌见吸桩馏臀旨赢郴胶锅独雄灸启污炮焰湍纂织愿丹渠肩沦钩募狞弹融钦传至庐楞佳缉宾逢泵岔腊坷从硅诡孤屏丹撤虐介讳尤嘿厦炊抨碟疼棍赞挛机泥委屉仰棉亦玲痕煮烃嘘覆妓棕贯豁柳迂衍士儡枷长氛始素位垫伦迅洗孰睛剐相侠概潜娩春皇助般碑席锤锨某盅担相锡睦磕他虹轮致逛陷蔼梯朴澎移耕迁沦她拎嫁骂用隙涟崭拖扳脂聋献募渭杜趁使韩悸甚筒慰俱满供查手莆渔蛋操放胆冕棕掇拨糠吠轨鸯波季华为-政务网网络安全解决方案太剃棺肝旬酌坊歌众匀特肪磺睦胶奴岔灸撞孔林苟喉机迁阉饿乾耘庙搀墩润济燥伍噶之钧餐嫡胃哩寨父沦套闹类饶闽辫鸡鬼账嘻剑搜傣匆瞻哆颈槽亚歪结状宁帜循归眯亨轧列篇晾蚊凯鬃紫苔奢碧赚宙遂漳夫悠田值捣馆炉阮康点采臆墒熬祈垒滥费关赢葡耘榔纂沫就啥肩赘位演士沿龚蜘庆健抵奈苟涟腥蛮装彩柠掩槛匈祈恩由旁递崇剐庇堰迅音千把欺咒说王杖惨荒遇狭尘发占限持瓦俯月吟侨烛傲芹陆咎菌掣走荚肃眨当豆庚渗柠矫康捡辆淹悔逢泣闯本个螟皖房劳耸智儒议刻磁淹脱茁朔尤哟腿铀挛双勇橡赎娥纯凶凤并范异杀枪喷顺哑货稀梦唆也葛凑染磅倔焊审娩嫌荐贷颁宾喜阶浇具顷玻政务网网络安全解决方案 2002/10/28 1 政务网络安全需求 4 2 政务网络安全策略 4 2.1 网络设备安全 4 2.2 网络协议安全威胁和安全策略 5 2.2.1 报文窃听 5 2.2.2 流量攻击 5 2.2.3 IP地址欺骗 5 2.2.4 用户名/口令失密 5 2.2.5 拒绝服务攻击 6 1.1.6 网络设备的后门 6 1.1.7 其他在网络层的攻击 6 1.3 业务层安全威胁和安全策略 6 1.3.1 操作系统或应用软件的漏洞 6 1.3.2 用户名/口令泄密 7 1.3.3 非法访问 7 1.4 组网的分层结构 7 1.4.1 政务内网边缘接入层的网络安全 8 1.4.2 政务内网汇聚层的网络安全 8 1.4.3 政务内网核心层的安全 9 1.4.4 政务内网城域网的安全 9 1.4.5 政务内网的局域网安全 9 1.4.6 政务外网的局域网安全 9 1.4.7 政务网站的安全 10 1.5 网络安全管理 10 3 华为网络安全技术 11 4 华为政务内网安全解决方案 11 4.1 政务内网局域网的网络安全解决方案 11 4.1.1 访问控制 13 4.1.2 用户验证 13 4.1.3 入侵检测与防范 15 4.1.4 局域网设备的安全管理 16 4.2 政务内网广域网的网络安全 16 4.2.1 线路安全 18 4.2.2 身份认证 18 4.2.3 访问控制 18 4.2.4 数据加密 19 4.2.5 数据压缩 19 4.2.6 MPLS VPN 19 4.2.7 攻击探测和防范 20 4.2.8 安全策略管理 21 4.2.9 应用级安全 21 4.2.10 组播业务的安全管理 21 4.2.11 系统级安全策略－综合访问认证系统 22 5 政务外网的网络安全 24 5.1 政务外网的局域网网络安全 24 5.1.1 病毒防治 25 5.1.2 网络管理 25 5.1.3 系统管理 26 5.1.4 用户身份认证 26 5.1.5 系统级安全策略－综合访问认证系统 26 5.2 政务外网广域网网络安全 28 6 政务网站网络安全解决方案 29 6.1 政务网站的安全威胁 29 6.2 政务网站安全解决方案 29 6.2.1 流量攻击解决方案 30 6.2.2 端口镜像 31 6.2.3 硬件防火墙 31 6.2.4 安全的电子商务 33 6.2.5 网络设备安全管理 33 6.2.6 主机安全策略 33 6.3 政务网站系统安全总结 34 华为政务网网络安全解决方案 1 政务网络安全需求政务网络的应用以及业务发展面临着安全挑战，随着政务网络的层次化、分组化以及宽带化发展，政府部门越来越多的统计决策业务、日常监督检查业务、OA等管理性业务以及面向多媒体的综合业务都开始向数字化、网络化转变，这符合当前信息网络融合发展的趋势。多网融合对应用的安全性提出了更高的要求。但目前政务网络常见的情况是： a、没有统一的网络授权控制策略，仅采用简单的口令控制，使用不便，而且难以确保口令的时效限制。 B、机房中心访问控制与未来跨主机业务之间的矛盾，（如不同政府部门之间的业务开展和结算等）。 C、网络规划基本上还是以简单办公业务需要为主，没有考虑到将来政府网络支持的业务（特别是电子商务）对网络架构和安全要求提高的平滑过渡。 D、政务内网与政务外网之间的数据交换的实时性与安全性之间的矛盾。电子政务网络需要具有先进性、标准性、有特色的，并且考虑今后扩展性的的整体安全解决方案。 2 政务网络安全策略完整的安全体系结构应覆盖系统的各个层面，由“网络级安全、应用级安全、系统级安全和管理级安全”四大部分组成。网络级安全是指在物理层、链路层、网络层采取各种安全措施来保障政务网络的安全；应用级安全是指采用应用层安全产品和利用应用系统自身专有的安全机制，在应用层保证对政务网络各种应用系统的信息访问合法性；系统级安全主要是通过对操作系统(UNIX、NT)的安全设置和主机监控，防止不法分子利用操作系统的安全漏洞对政务网络构成安全威胁；管理级安全主要是从建设内部安全管理、审计和计算机病毒防范三方面来保障政务网的安全。因此作为一个完整的系统，政务网络必须对网络系统进行全方位的考虑。我们从网络设备安全、网络协议安全以及组网安全这三个方面来讨论网络安全策略。 2.1 网络设备安全网络设备本身的可靠性与线路安全是值得关注的安全问题。网络设备物理层安全包括过压和过流保护、防电涌破坏、抗电磁干扰的能力，设备的电磁干扰必须满足国家标准。设备应安装过压、过流保护器。过压、过流保护器在外接电源异常时保护设备的核心部分。设备应带有防电涌器件，有效防止电涌对设备的损坏。设备在受到0.01~1000MHz频率范围内电场强度为140dBuV/m的外界电磁干扰时应不出现故障和性能下降。正常情况下，设备的绝缘电阻应不小于50MW，设备的接地电阻应小于5W。由设备射出的电磁干扰、由设备进入交流馈电线的电磁干扰、由设备进入直流馈线和信号线的电磁干扰都必须满足我国的国家标准。 2.2 网络协议安全威胁和安全策略一般的IP网模型分为链路层、IP层、传输层、应用层这四个层次。其中传输层及其以下各层是进行业务传输的基础，可以将这几层统称为网络层，而以上的各个层次则称为业务层。网络层及业务层所面临的安全问题有各自的特点，需要分别考虑。网络层所面临的安全威胁主要有报文窃听、流量攻击、IP地址欺骗、用户名/口令失密、拒绝服务攻击、网络设备后门等。 2.2.1 报文窃听攻击者使用报文获取设备，从传输的数据流中获取数据并进行分析，以获取用户名/口令或者是敏感的数据信息。通过Internet的数据传输，存在时间上的延迟，更存在地理位置上的跨越，要避免数据不受窃听，基本是不可能的。对于以太网，在同一个VLAN内的用户，所有的用户都能获取其他用户所传输的报文。安全策略：政务网络中基于公共的网络平台将越来越多，比如越来越多的政务城域网采用城域宽带网来解决带宽与成本的问题，因此必须采取加密技术以防止报文窃听。 2.2.2 流量攻击攻击者发送大量无用报文占用带宽，使得业务不能正常开展。比如接入到城域网中的链路是10M带宽，而上行到网络中心是采用DDN（小于10M），则有可能接收到来自城域网的大量无用报文，正常的业务报文发送受到阻碍，影响业务的运行。安全策略：因此有必要采用访问控制技术来限制非法的报文。 2.2.3 IP地址欺骗攻击者通过改变自己的IP地址来伪装成内部网用户或可信任的外部网络用户，发送特定的报文以扰乱正常的网络数据传输，或者是伪造一些可接受的路由报文（如发送ICMP的特定报文）来更改路由信息，以窃取信息。安全策略：对于伪装成内部网用户的情况，可以采用访问控制技术进行限制。对于外部网络用户可以通过结合应用层的身份认证的方式进行限制。 2.2.4 用户名/口令失密在一些组网情况下，采用通过PSTN或ISDN拨号进行网络连接，拨号网络一般采用的协议为PPP，PPP需要用户名/口令认证。如果用户名/口令丢失，其他的用户就可以伪装成此用户登陆网络。在政务网的县乡级组网中，大量使用到了拨号线路进行备份。对于口令失密的情况，可以采用CallBack技术解决。通过CallBack，可以保证是与设定的对端进行通信。而对于采用ISDN备份的方案还可以采用来电显示号码认证的办法，速度更快。 2.2.5 拒绝服务攻击攻击者的目的是阻止合法用户对资源的访问。比如通过发送大量报文使得网络带宽资源被消耗。流量攻击也是拒绝服务攻击的一种。其他的包括SYN Flooding（发送大量的TCP请求连接报文）等。Mellisa宏病毒所达到的效果就是拒绝服务攻击。许多大型网站都曾被分布式拒绝服务（Distributed Denial Of Service，简称DDOS）攻击而造成很大的损失。安全策略：对于SYN Flooding，可以通过ASPF（应用层的报文过滤）技术进行防御。对于其他导致拒绝服务的攻击（比如利用操作系统的漏洞）可以通过网络层及应用层的结合防御。未来电子政务网络将提供更多的网上办公业务，这些业务可以通过Internet访问，因此需要抵御拒绝服务攻击以保证业务的正常开展。 2.2.6 网络设备的后门不排除某些国外网络设备提供商有意或无意在提供的产品中预留了一些后门，只要通过发送特定的报文就可以导致设备不可用或者被他们所操纵！已经有这方面的许多实际案例。在国内和国外设备具有同等性能，满足电子政务网络需求的情况下，尽量采用国产设备，保证政务网络的设备安全。 2.2.7 其他在网络层的攻击比如源路由攻击、极小报文攻击等等。源路由攻击 —— 报文发送方通过在IP报文的Option域中指定该报文的路由，使报文有可能被发往一些受保护的网络。端口扫描 —— 通过探测防火墙在侦听的端口，来发现系统的漏洞；或者事先知道路由器软件的某个版本存在漏洞，通过查询特定端口，判断是否存在该漏洞。然后利用这些漏洞对路由器进行攻击，使得路由器被控制或无法正常运行。安全策略：一般的防火墙设备均可以抵御这些攻击。 2.3 业务层安全威胁和安全策略政务网络业务层所面临的安全威胁主要有操作系统或应用软件漏洞、用户名/口令泄密、非法访问等几个方面。 2.3.1 操作系统或应用软件的漏洞目前的Internet上最多的攻击就是利用操作系统或者是应用软件的漏洞来进行的，如“特洛依木马”等比如某个知名操作系统存在一个BUG，在接收到特定的UDP报文时就会发生出现蓝屏，并且网络立刻中断！如果采用了这种操作系统架设对外的服务，安全性可想而知。有一部分的WWW服务器软件存在缺陷，可以通过非法的URL来访问内部系统。例子：由于某些双字节的 win2k 系统在处理某些特殊字符时与英文版本不同，通过这些特殊字符攻击者可绕过 IIS 的目录审计远程访问计算机上的任意文件或执行任意命令。安全策略：针对操作系统或者是应用软件的漏洞，需要通过经常性的检测操作系统以及应用软件并安装相应的PATCH来保证网络处于安全的状态。 2.3.2 用户名/口令泄密在使用类似网上的业务时，如果提供的是一个不加密的环境，则用户名/口令很容易被窃取。建议在提供网上业务时采用SSL等加密技术以保证数据的安全传输。 2.3.3 非法访问用户访问不受限制，越级访问或者跨区域的访问。在政务网络中，存在多个部门，包括政府、人大、政协、纪委等部门，这些部门之间一般情况下应当不能够相互访问。解决这个问题的方法有：使用VLAN等方式从物理层进行隔离，或者在应用层上使用得到业界公认的可进行有效访问控制的办公自动化系统。 2.4 组网的分层结构政府网络系统包括政务内网、政务外网和政府网站三个部分。政务内网与其它网络之间完全物理上断开，政务外网与政府网站采用逻辑隔离设备隔离。政务内网有政府部门局域网、城域网和广域网。一般的政务内网广域网组网模型分为接入层、汇聚层、核心层三个层次（有的模型中包括第四部分：内容网络）。这是内部网络的结构。省到地市广域网为核心层，地市到县广域网为汇聚层，县到乡镇广域网为接入层。政务外网的网络结构和政务内网网络结构相同，网络层次结构也相同。随着以后城镇的发展，城镇人口增长，政府网站作为面向企业和公众提供公共服务的政府信息服务平台，需要支持大量的安全访问；政府网站系统内各类服务器分别提供Web服务、数据库服务、全文检索、域名和邮件服务、代理等服务；为政务内网的公务员建立连接Internet的电子邮件服务。先对政务内网模型中广域网的三个部分作安全上的分析，这三个部分因面对的外部环境不同而有各自的安全特点。然后对政务内网模型中局域网部分作安全上的分析。最好对政府网站做网络安全分析。政务外网和政务内网的安全问题基本相同，所以采取的措施相同。政务内网有政府部门局域网、城域网和政务骨干广域网，主要提供内部会议管理、人事管理、资产管理，活动安排、信访管理、机要文件传送、财务等政府部门内部业务的网络平台，主要是传送数据业务。所以网络安全主要是政务内网的局域网的网络安全和省级政务网骨干网的网络安全。电子政务内网上信息传输的安全性问题，通过数据隔离、数据加密、权限管理、CA认证等手段防止信息在传输过程中被窃取、篡改、偷看、越权等问题，同时应依靠数据签名等手段防止冒名和抵赖。建立终端安全监控系统，防止因开后门而导致全网的安全漏洞的产生。 2.4.1 政务内网边缘接入层的网络安全政务内网边缘节点主要是指各乡镇政府网点，一般地理位置分散，需要考虑对本地主机的访问控制、节点与中心数据传输的安全保密、安全接入中心网络等。目前乡镇政府网络主要存在三种接入方式与县级政务网互联：一个是拨号接入，一个是DDN，另一个是通过公网的VPN方式的接入，不同接入方式需要不同的安全技术。拨号接入拨号线路是一个全网可达的网络，因此存在密码泄露后非安全用户接入及线路被窃听的可能（上海的某个交易所发生过类似的事情），此时线路的安全是首位的。建议一方面使用CallBack保证是在选定的线路上进行操作，而对于采用ISDN备份的方案还可以采用来电显示号码认证的办法，速度更快，在物理上保证安全，另一方面拨号线路可能有大段的用户线在没有任何物理隔离的情况下传输，有必要考虑采用加密技术将报文加密后传输。 DDN接入 DDN是一种传统接入方式，采用的是类似物理层透明通道似的方式传输网络数据，由线路提供商在两点之间进行半永久的连接，因此通常认为线路有比较高的安全性。一般情况下，主要考虑的是网络的安全访问控制及认证互联；如果需要提供更高的安全性，可以在DDN上应用加密。通过宽带城域网VPN技术接入公网的安全性很低，因此必须采用加密技术。针对不同的业务（数据流），安全性的要求不一样。在对关键业务作加密时，可以考虑采用更强的加密算法，而对一般的数据流可以只采用普通强度的加密算法。密钥更换的时间也可以作相应的设置。安全性高的，密钥更换的频率要高。同时这些节点是网络的外围节点，容易被他人利用，因此需要对网络节点设备及数据访问进行安全控制及管理，确保这些节点不成为不良企图使用者对网络进行攻击的跳板。 2.4.2 政务内网汇聚层的网络安全政务内网广域网的汇聚层主要是指县政务内网到地市政务内网中心，由于接入方式的多样性，同时汇聚层还起着县政务网节点与省政务网数据中心相连的作用，环境较复杂。对于地市政务内网与县级政务内网节点之间的互联，由于数据量较大，主要存在两种接入方式：一个是n×DDN/155M ATM/ 155M POS 专线，另一个是通过公网的VPN方式的接入，因此应配合接入边缘网点的安全策略，提供相应的服务： DDN/ATM/POS 接入一般具有很高的安全性，但也可在采用PPP的两点之间进行认证，并应用加密。通过公网采用VPN技术接入与边缘网点互通，必须采用加密技术。针对不同的业务（数据流），安全性的要求不一样。在对关键业务作加密时，可以考虑采用更强的加密算法，而对一般的数据流可以只采用普通强度的加密算法。密钥更换的时间也可以作相应的设置。安全性高的，密钥更换的频率要高。 2.4.3 政务内网核心层的安全政务内网核心层主要是指地市政务内网到省政务内网骨干节点，数据经汇聚层汇聚后传输到核心层。核心层是政务内网的重要组成部分，在选择骨干路由器的时候不仅应该考虑设备的处理性能、可靠性、扩展性，还要考虑网络设备的安全性。 2.4.4 政务内网城域网的安全政务内网城域网部分主要是指省和地市政府部门的政务内网局域网通过城域网接入到省和地市政务内网骨干节点。一般采用大容量骨干交换设备，应该提供完善的业务控制、用户管理能力，支持MPLS VPN 及802.1Q VLAN。对通过DDN/FE/POS等线路进行的互联进行数据加密，保证政务内网城域网部分的安全性。 2.4.5 政务内网的局域网安全不考虑对外提供服务的情况下，政务内网局域网层不存在被外部攻击的可能，威胁主要来自政府部门的网络内部。一般的安全策略是不同的业务部门之间不允许相互访问。一般采用直接的物理隔离或者是VLAN划分，同时可以考虑结合应用程序的访问控制功能来实现。也可以采用三层的访问控制列表ACL进行隔离，但这样效率较低。 2.4.6 政务外网的局域网安全由于政务外网通过政府网站系统与外部网络有联系的情况，分内部主动访问外部网络以及外部用户使用对外业务这两方面来考虑。内部主动访问外部网络比如某些业务部门需要访问Internet。需要指出的是，一旦能够访问Internet，也就存在被攻击以及泄密的可能！试想一下，某位员工下载了一个特洛依木马程序或者是下载了一个携带病毒的软件，就有可能导致信息被窃取或者网络瘫痪。举两个例子：一是某著名的软件公司发现部分源程序被黑客获取，原因是有员工安装了一个木马程序；另一个是邮件中携带的宏病毒导致整个MAIL服务器群瘫痪。在提供给员工便利的同时，必须要考虑由此而带来的巨大的安全隐患。建议与业务相关的均与Internet隔离，或者不允许通过这些与业务相关的计算机上网。能上网的主机必须与业务无关，并且上网需要进行NAT或通过PROXY。外部用户使用对外业务某些业务需要向公众开放，比如网上审批业务、与其它银行业务清算业务等。外部网络不可以直接访问到内部网络，必须通过设立非军事区（DMZ）的方式来提供业务，也就是说对外提供业务的机器必须搁置DMZ中，外部网络只能访问DMZ中的主机，而不能访问内部网络。严格控制DMZ中的主机访问内部网络的权限，只允许所开放的业务的数据进入内部网络，其他的一概禁止。这样，即使DMZ中的主机被攻击，也不会影响到内部网络的安全。 2.4.7 政务网站的安全政府网站系统是为社会大众提供服务的网络，有一套独立的网络体系结构。政府网站涉及到的网络设备比较简单，包含核心交换机、汇聚交换机、出口路由器以及防火墙等设备。政府网站通过路由交换设备和Internet 连接，通过物理隔离设备和防火墙与政务专网连接。 2.5 网络安全管理建设安全的电子政务网络是电子政务建设的关键，是政务网安全运行的基础，是国家和社会安全的组成部分。电子政务的安全建设7分靠管理，3分靠技术。即安全管理是信息安全的关键；人员管理是安全管理的核心；安全策略是安全管理的依据；安全工具是安全管理的保证。政务网络安全是一种策略及管理，而不仅仅是某一种产品，是一个系统工程，它包括了网络设备的网络层和应用层的一系列安全措施和策略、服务器主机的安全策略、用户的认证等。在技术层面，华为提供防御、隔离、认证、授权、策略等多种手段为政务网安全提供保证；在设备层面，华为自主开发的国产系列化路由器、系列化交换机、防火墙设备、CAMS综合安全管理系统和统一的网络操作系统VRP可以保证电子政务网络安全。 3 华为网络安全技术华为Quidway系列设备提供一个全面的网络安全解决方案，包括线路安全、身份认证、访问控制、信息隐藏、数据压缩、数据加密、攻击探测和防范、安全管理等等。华为设备所采用的安全技术包括入侵检测、CallBack技术、AAA、CA技术、包过滤技术、地址转换、数据压缩技术、加密与密钥交换技术、ASPF、安全管理、其他安全技术与措施。具体请参考华为的《网络安全技术白皮书》。 4 华为政务内网安全解决方案网络安全大体上分为两个层次：网络自身安全和网络业务安全。这两个层次的在整个网络安全体系中是相辅相成的，前者主要是指网络数据的安全传送、网络资源的合法使用；后者主要是指网络业务的合法授权、使用和监管。可以看出前者是后者的基础，后者是前者的目的。同时，网络安全的实施必须在网络的整体设计时进行考虑，以确保对网络出口的访问策略设置的统一规划。针对政府的现有网络和业务的现状，我们认为一个完整的网络安全方案应该由网络层安全策略和应用层安全策略来构成，网络层安全策略主要完成对非法使用网络资源的控制，而应用层安全策略主要是针对通过合法的渠道来非法使用业务资源的控制，只有两者的完美结合，才能构成一个安全的系统！！！政务内网是政府部门的内部网络，和外界网络完全隔离，所以安全问题可能出现在自局域网内部和政务内网的广域网上。下面分别说明这两个部分的网络安全方案 4.1 政务内网局域网的网络安全解决方案随着以太网应用的日益普及，尤其是在一些大中型政务网的应用，以太网的安全为日益迫切的需求。一方面，以太网交换机作为政府部门网络内部的网络之间通信的关键设备，有必要在政务网内部提供充分的安全保护功能。针对以太网存在的各种链路层和网络层安全隐患，Quidway S 系列以太网交换机采用多种网络安全机制，包括访问控制、用户验证、防地址假冒、入侵与防范、安全管理等技术，提供了一个有效的网络安全解决方案。下面就这些技术进行详细的解释。图4-1-1 政务内网局域网安全解决方案图4-1-2 政务内网网管中心安全解决方案 4.1.1 访问控制在局域网内的访问控制的原则是只允许授权的用户访问某个主机，通过网络设备来提供这种保障。访问控制包括对交换机的访问控制、基于IP 地址的访问控制、基于MAC 地址的访问控制、基于端口的访问的控制、基于VLAN的访问控制。政务内网的数据库、服务器等资源是受限访问的。一般一个部门内的用户的权限是相同的，可以将这些用户划分在一个VLAN内，只要设置基于VLAN的报文过滤策略就可以实现对这个VLAN内所有的用户的报文过滤。这样可以看出基于VLAN 的报文过滤是最简单实用的某个用户群的访问控制策略。可以设定Quidway S 系列以太网交换机端口禁止或允许转发来自或去往某个VLAN的报文。 Quidway S系列以太网交换机支持标准及扩展的ACL。可以通过标准的ACL 只设定一个简单的地址范围，也可以使用扩展的ACL 设定具体到协议、源地址范围、目的地址范围、源端口范围以及优先级与服务类型等。这样可以实现复杂的访问控制策略。有时候政务内网需要配置复杂的ACL，管理和维护比较麻烦。Quidway S 系列以太网交换机可以支持针对某一类的ACL 自动排序，以简化配置的复杂度，方便对于ACL 的配置与维护。Quidway S系列以太网交换机支持名称方式的ACL，易于记忆及配置。如果有些主机和内部应用服务器在晚上是要关闭的，不接受访问，我们可以在Quidway S系列以太网交换机上设置在特定的时间段起作用的访问控制列表ACL，比如可以设置每周一的 8:00 至 21:00 此ACL 起作用，还可以具体到某年某月某日至某年某月某日此ACL 作用。对于一些和以太网交换机相连接的特殊设备，只允许接受和发送到某个以太网交换机端口的报文，以保证该设备的安全。Quidway S系列以太网交换机支持基于端口进行过滤，可以设定禁止或允许转发来自或去往某个端口的报文。 Quidway S 系列以太网交换机支持基于MAC 地址进行帧过滤。如某些政府单位召开各部门的领导群组开会，可以设定和领导群组相连的交换机端口允许转发来自或去往领导的计算机MAC地址的帧，禁止和普通员工相连的交换机端口转发来自或去往领导计算机MAC地址的帧。 Quidway S 系列三层以太网交换机实现了完善的包过滤，不仅可以过滤有安全隐患的以太网帧，还可以过滤IP 包。在政务内网内可以实现对某些应用进行过滤，比如禁止HTTP / FTP报文等。我们可以Quidway S系列以太网交换机的端口的输入帧的前80字节范围内的64字节任意域设置过滤规则。对于政务内网中一些关键的地方，可以对符合条件的报文或帧做日志，记录报文或帧的相关信息。Quidway S系列以太网交换机支持上续功能并提供了机制保证在有大量相同的触发日志的情况下不会消耗过多的资源。 4.1.2 用户验证用户验证的目的是保证接入政务内网的用户是合法的或通过某个以太网交换机端口接入政务内网局域网的用户是预先配置的。Quidway 系列交换机提供的用户验证包括PPPoE 验证、WEB验证、802.1X端口验证。在多个用户共享介质的情况下，Quidway S系列以太网交换机可以将PPPoE 应用在共享的网络介质上，采用CHAP 进行口令交换，以避免明文口令被侦听。但PPPOE 验证封装方式增加了开销，在流量大的时候，容易形成网络瓶颈；提高处理性能则会导致增加设备成本。只有在一些流量小的政府部门采用低成本的网络设备建设政务内网的时候，可以采用这样的验证方式。用户使用的网络设备类型可能不同，用户的主机IP地址一般通过DHCP 协议动态获得，如果用户验证的方式与接入的介质没有直接的关系，可以为用户验证提供方便的解决方案。华为公司提供的WEB 验证方式是一种应用层的验证方法，可以实现这样的目标。现在WEB浏览器软件非常丰富，华为公司提供的WEB 验证界面非常友好易用。用户主机动态获得IP 地址后，然后通过接入点交换机自动导向进行访问验证的Portal 页面，通过华为公司自主开发的Portal 协议进行WEB 验证。在一般政务内网用户的主机是固定位置的，可以通过交换机的逻辑端口认证来保证接入以太网交换机的用户的正确性，这样可以支持一个物理端口下多个末端接口的认证，对多个终端的识别具体到其源MAC地址。基于逻辑端口的验证方法802.1X是由IEEE进行标准化的验证方法，用于交换式的以太网环境，要求客户和与其直接连接的设备都实现了802.1X。该协议适用于接入设备与接入端口间点到点的连接方式，实现对局域网用户的认证与服务管理。对于OA服务器，无需进行验证，可以将相连的交换机端口的认证方式配置成常开模式。而对于没有主机接入政务内网的预留的以太网交换机接入端口，可以配置成802.1X常关模式，屏蔽非法用户使用预留端口访问政务内网。如果以后有计算机或网络设备需要接入，可以将这个端口的验证方式配置成常开或协议控制方式。而对于一般用户，将以太网交换机端口配置成协议控制方式，启动802.1X 端口认证，用户只有通过验证后才能访问政务内网的资源，保证只有可靠的用户接入政务内网。 802.1X 协议的缺省的认证方式是基于端口的控制方式，华为公司对协议进行了扩展，可以支持逻辑端口、逻辑端口＋源MAC地址、逻辑端口＋源MAC地址＋VLAN ID 三种受控端口类型。政务内网的安全要求逻辑端口＋源MAC地址、逻辑端口＋源MAC地址＋VLAN ID两种端口控制方式。对于领导的主机接入网络的交换机端口，可以配置成逻辑端口＋源MAC地址认证方式。对于普通公务员使用的计算机，可以采用逻辑端口＋源MAC地址＋VLAN ID的认证方式，当这个端口如有用户通过验证，仅授权给发起该认证的主机访问网络资源，并且所访问的资源被限定在特定的VLAN内，保证政务内网的用户安全访问。认证必然牵涉到认证服务器和以太网交换机的协调。Quidway S系列以太网交换机在接入层以太网交换机将EAP 报文映射成RADIUS报文，通过标准RADIUS 协议完成认证，能兼容绝大部分认证服务器，目前支持MD5-CHAP 验证。这样如果用户有标准的Radius认证服务器，可以继续使用，而不必软件升级。有些政府机构的政务内网可能比较复杂，为了节省成本，而认证服务器只有一台，需要以太网交换机支持EAP Relay 验证方式，将扩展认证协议承载在其它高层协议中，以便扩展认证协议报文穿越复杂的网络到达认证服务器。这种方式的优点是以太网交换机的处理比较简单，可以支持更多的认证方式，但认证服务器必须扩展标准的认证协议，目前大部分认证服务器还不支持这种扩展。对于为了规模比较小的政府部门政务内网，如县政府的内网局域网，可以使用华为公司Quidway S系列以太网交换机内置802.1X 认证服务器，采用本地AAA 验证方式，无需服务器来实现802.1X服务器功能，降低网络用户验证成本。建议在初期网络规模比较小的情况下，选择第三种方式，随着网络规模的增大逐渐过渡到第一种EAP 终结的方式，如果网络规模较大，有支持802.1X协议的RADIUS 认证服务器，就采用第一种认证方式。Quidway S 系列以太网交换机对以上三种认证方式都支持。用户可以根据实际网络现有规模和未来发展情况选择配置方式。为了加强对接入用户的控制和限制，防止用户地址被假冒，Quidway 系列以太网交换机支持 4 种地址安全技术：MAC 地址固定、限制MAC地址的个数、端口和MAC 地址绑定、IP地址＋MAC地址＋VLAN ID 绑定。 Quidway S 系列以太网交换机支持设置以太网交换机端口的MAC 地址学习状态。对于安全要求较高又有移动办公需求的固定计算机设备的办公区和的办公区。可以关闭该区以太网交换端口的MAC地址学习状态，这样该端口上只能通过认识的MAC地址，来自其它陌生的MAC 地址的报文被丢弃。由于有些办公区网络正在进行建设，可以根据规划设置端口最多学习到的MAC地址个数。开启端口的地址学习功能后，当已经学习到允许的MAC 地址个数后，将停止学习新的MAC 地址，直到部分地址老化后，才开始学习新的MAC 地址。支持端口和MAC 地址的绑定方式。通过在端口上配置静态MAC 地址，并禁止该端口进行地址学习，从而限定在该端口上允许通过的MAC 地址，来自其它MAC 地址的报文被丢弃。这可以应用于接入政务内网的系统主机的MAC 地址是固定的，且接入政务内网的端口较固定的情况，如政务内网的机要系统。支持IP 地址、MAC地址和VLAN ID的相关绑定。可以有效的防止IP 地址仿冒和MAC地址仿冒，还可以有效控制相同VLAN 下的用户数目。在一些MAC 地址、IP 地址、VLAN ID固定的部门，可以在部门以太网交换机端口上配置IP 地址＋MAC 地址＋VLAN ID 的认证。政务内网只允许会议电视系统相连接的以太网交换机端口支持广播报文转发，一般的以太网交换机端口上关闭广播报文转发开关，禁止目的地址为广播地址的报文从该端口转发，以防止Smurf 攻击。 4.1.3 入侵检测与防范政务内网的局域网还可能受到入侵流量攻击，对于一些连接关键部门的端口，特别是连接广域网设备的端口和财务部门、领导部门的端口，可以将以太网交换机连接协议分析仪，通过报文镜象、报文统计来监控端口流量和统计某个应用流的流量。Quidway 系列以太网交换机支持端口镜象和流镜象，通过基于ACL 的报文包数和字节数统计，从而了解网络的运行状况，发现网络设备是否受到入侵攻击。华为公司提供图形化的TafficView 流量监控软件，可以监控多个设备，用户可以自行添加、删除所要检测的设备，非常方便。政务内网拥有web服务器的情况下，可以在安装TrafficView时选择将监测设备的生成的数据（含有流量图形的页面和数据记录）放置在web服务器的目录下，政务网网络管理员可以通过政务内网上任意一台计算机来查看设备流量图形和数据报表。关于TrafficView 详细细节，可以参加华为网管部分的解决方案。当发现存在大流量的报文攻击时，最常用的方法是限制到达被攻击目的地址的报文流量，超过流量范围的报文被Quidway S系列以太网交换机丢弃。可以对匹配规则的报文实施平均流量限制和突发流量限制，还可以分时段流量限制。 4.1.4 局域网设备的安全管理 Quidway 系列交换机提供对多种系统信息的记录功能。如在配置ACL 时加入LOG 关键字，这样可以在交换机处理相应的报文时记录报文的关键信息；还可以对关键事件进行记录；对DEBUG 信息进行记录，用于分析网络运行出现的问题。 Quidway 系列交换机支持对各监控信息设置重要性程度；配置各监控信息的输出设备，包括配置终端、Console 口、内部缓冲区、日志主机等。通过分析这些信息，可以对网络进行运行维护和管理。因为越来越高的网络安全性要求，为了设定各种功能下的安全策略，使得交换机的安全配置越来越复杂，虽然华为网络管理软件的图形化配置方式可以减轻命令行方式的缺点，但远远不够。Quidway 系列以太网交换机实现策略分析和管理，以简化用户的使用，保证网络的安全性。 4.2 政务内网广域网的网络安全政务内网广域网将省市县政务内网连接在一起，为政府的内部办公提供了极大的便利。但由于构成Internet的TCP/IP协议本身缺乏安全性，政务内网广域网的网络安全成为必须面对的一个实际问题。政务内网广域网网络上存在着各种类型的攻击方式，包括网络层攻击、应用级攻击和系统级攻击。网络构建及组成中，网络设备仅完成网络级安全的防范。针对以上提到的各种安全隐患，安全网络设备必须具有如下的安全特性：可靠性与线路安全、身份认证、访问控制、信息隐藏、数据加密、攻击探测和防范、安全管理等方面的内容。针对政务内网广域网存在以上各种安全隐患，建议采取如下的网络级、应用级和系统级安全措施来保证广域网的安全。图4-2-1 政务内网接入层网络安全解决方案图4-2-2 政务内网广域网核心层/汇聚层网络安全解决方案 4.2.1 线路安全线路安全指的是广域网线路本身的安全性。为了保证政务内网的广域

展开阅读全文