公司网络安全分析及其解决方案.doc

1、公司网络安全分析及其解决方案332020年4月19日文档仅供参考某公司网络安全项目解决方案目录第一章 某公司网络概述31.1 概述31.2 项目建设目标31.3 项目建设原则41.4 项目建设说明4第二章 企业所面临的网络安全挑战与风险分析52.1 网络层的安全分析62.2 系统层的安全分析62.3 应用层的安全分析72.4 安全策略与安全管理的安全分析7第三章 企业所面临的网络应用优化挑战83.1企业风控83.2冗余/备份83.3应用支持83.4流量/IM控制83.6配置/管理简单93.7稳定性和兼容性93.8报告功能9第四章 HILLSTONE安全解决方案9第五章 HILLSTONE功能介

2、绍104.1 状态检测104.1.1 包过滤与状态检测104.1.2 独特的防火墙状态监测124.1.3 HillStone的状态会话表124.1.3 会话失效时间134.2 NAT与PAT134.2.1 动态NAT134.2.2 PAT144.2.3 静态NAT154.2.4 静态PAT154.2.5 防火墙策略与NAT、PAT154.3流量控制154.5 应用层网关164.5.1 TCP重组和代理164.5.2 VOIP安全164.5.3 关键字过滤164.5.4 提供CoS/QoS(服务级别/服务质量)服务164.7 标准、灵活的VPN174.7.1 VPN技术介绍174.7.2 Hil

3、lStone的PPTP L2TP194.7.3 IPSEC VPN的网关对网关模式194.7.4 IPSEC VPN的移动客户端对网关模式194.7.5 部署方便的透明模式的VPN网关204.8 双机备份HA214.8 日志与集中管理214.8.1 多种日志方式214.8.2 Syslog标准的日志分析软件FortiReporter214.8.2 硬件的日志分析系统FortiLog224.8.3 方便的管理体系23第五章 HILLSTONE优势235.1创新的新一代网络安全架构235.2强健的专用实时64位并行操作系统245.3高可靠性和稳定性(HIGH RELIABILITY AND STA

4、BILITY)255.4最低的总体拥有成本(LOWEST TCO)255.5 HILLSTONE SA系列安全产品解决方案特点265.6竞争优势26第六章 安全产品技术性能指标28HILLSTONE NETWORK SECURITY APPLIANCE28第七章 技术支持与售后服务34第一章 某公司网络概述1.1 概述1.2 项目建设说明网络拓扑结构如下:第二章 企业所面临的网络安全挑战与风险分析从某公司网络的实际情况来看,我们认为应该从以下几个方面进行全面的分析:l 网络层l 系统层l 应用层l ARPl 策略和管理层下面将分别进行详细的阐述。2.1 网络层的安全分析网络设备主要包括某公司网

5、络各节点上的路由器、交换机等设备,如: 路由器、交换机。网络层不但为某公司网络提供连接通路和网络数据交换的连接,而且是网络入侵者进攻信息系统的渠道和通路。由于大型网络系统内运行的TCP/IP协议并非专为安全通讯而设计,因此网络系统存在大量安全隐患和威胁。整个网络就会受到来自网络外部和内部的双重威胁。特别在广域网中存在着大量的黑客攻击,她们常常针对web服务器和邮件服务器作为突破口,进行网络攻击和渗透。常见得一些手法如下:IP欺骗、重放或重演、拒绝服务攻击(SYN FLOOD,PING FLOOD等)、分布式拒绝服务攻击、篡改、堆栈溢出等。黑客能够容易的在某公司网络出口进出,对系统进行攻击或非法

6、访问。而在某公司网络内部,基本上还没有严格的防范措施,其中的安全隐患不言而喻。如果加上安全管理上的不够完善等因素,或者在已有的服务器与单机中存在着后门程序(木马程序)话,攻击者就能够很容易地取得网络管理员权限,从而进一步控制计算机系统,网络中大量的数据就会被窃取和破坏。网络中只要一个地方出现了安全问题,那么整个网络都是不安全的。因此,在某公司网络出口处应配置应用级防火墙来加强访问控制,并部署入侵监控系统,杜绝可能存在的安全隐患,来保证网络安全可靠的正常运行。2.2 系统层的安全分析在任何的网络结构中都运行着不同的操作系统,如:Windows NT/ / Server、 HP-UNIX、Sola

7、ris、IBM AIX、SCO-Unix、Linux等等,这些系统都或多或少地存在着各种各样的漏洞。据IDC统计1000个以上的商用操作系统存在安全漏洞,如果这些操作系统没有进行系统的加固和正确的安全配置,而只是按照原来系统的默认安装,这样的主机系统是极其不安全的。一名黑客能够经过Unicode、缓存溢出、造成死机等方式进行破坏,甚至取得主机管理员的权限。另外,在网络中,一些黑客利用系统管理员的疏忽用缺省用户的权限和密码口令就能够轻松地进入系统修改权限,从而控制主机。某公司网络中存在一定量的服务器,如:视频会议类或相关的服务器、MCU、网络管理服务器等等,而这些服务器都担负着重要的服务功能,如

8、果这些服务器(特别是有大量的数据处理的服务器),一旦瘫痪或者因被人植入后门造成远程控制窃取数据,后果不堪设想。为了保证业务数据的正常流通和安全,需对这些重要的服务器进行全方位的防护。2.3 应用层的安全分析某公司网络与Internet相连,进行着包括WEB、FTP、E-mail、DNS等各种Internet应用。应用系统的安全性主要考虑应用系统能与系统层和网络层的安全服务无缝连接。在应用层的安全问题,黑客往往抓住一些应用服务的缺陷和弱点来对其进行攻击的,比如针对错误的Web目录结构、CGI脚本缺陷、Web服务器应用程序缺陷、为索引的Web页、有缺陷的浏览器甚至是利用Oracle、 SAP、 P

9、eoplesoft 缺省帐户。应用层的安全威胁还包括对各种不良网络内容的访问,比如内网用户访问非法(如发布反动言论、宣扬法轮功等)或不良(色情、迷信)网站等。有的Internet站点上还包含有害的Java Applet或ActiveX小程序,如果不慎访问将有可能带入病毒和木马程序,甚至有的网页能够经过一段简单的代码直接破坏访问者计算机的数据和系统,对网络安全和效率都将造成极大破坏。2.4 安全策略与安全管理的安全分析在网络安全中安全策略和管理扮演着极其重要的角色,如果没有制定非常有效的安全策略,没有进行严格的安全管理制度,来控制整个网络的运行,那么这个网络就很可能处在一种混乱的状态。因为没有非

10、常好的安全策略,安全产品就无法发挥其应有的作用。如果没有有效的安全管理,就不会做到高效的安全控制和紧急事件的响应(更加详细和周密的安全策略要结合安全服务进行)。管理是网络安全中最最重要的部分。责权不明、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。这样就会导致:当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。因此,必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。建立全新网络安全机制,必须深刻理解网络并能提供直接

11、的解决方案,因此,最可行的做法是制定健全的网络安全及信息安全管理制度,并加以严格管理相结合。第三章 企业所面临的网络应用优化挑战针对企业网络应用方面的优化需求我们大致分为以下几类。 3.1企业风控风险是永远存在的。在某公司的信息系统中同样如此,风险无处不在。我们只能经过不断的努力将风险降的更低,而不可能降为零。同时,更好的控制风险需要更高的资金投入来支撑。我们必须在资金投入和风险的承受能力上找到一个平衡点。而每个公司都有不同的平衡点。在某公司中,IT部门是其它部门的服务部门,而IT资产却是企业所有其它资产的有力保证。3.2冗余/备份谈到冗余/备份,大家都不陌生,最为降低风险、提高系统可用性的一

12、个最直接的办法就是建立冗余的系统,各系统之间能够实时地切换,相互备份。某公司作为一家xxx的公司,为了能够给客户提供更可靠的服务,同样需要进行包括Internet链路、网络设备、服务器系统等各方面的冗余配置。n Internet链路冗余对于某公司的Internet网络服务,当前申请了一条10M的网通线路,出于对网络可靠性的考虑应该再申请一条到电信的线路。而同时使用这两条线路就需要具有链路冗余功能的设备来完成。HillStone能够提供Internet链路冗余的解决方案。n 网络设备冗余考虑到网络设备当机的可能性,为提高整个网络核心层相关设备的可靠性,这些设备也都需要进行冗余配置。这其中包括A-

13、A和A-P两种方式,能够提供不同级别的冗余功能。HillStone能够支持HA的功能,包括A-A和A-P。n 服务器系统冗余对于应用的载体服务器同样需要进行冗余配置,使得服务器群能够对客户提供不间断的服务。完成这个功能需要一台专业的服务器流量负载分担设备,将所有进入地流量均衡的分担到每台服务器上去。HillStone能够实现服务器负载分担功能。3.3应用支持某公司内部企业应用众多,包括Internet上网、邮件、数据库、ERP、VoIP和分支机构联网等等。同时也有一些企业自己开发的应用,这些应用可能跟标准的tcp应用不同,如Session持续时间和Timeout时间等,而这些自己开发的应用绝大

14、多数都是企业的关键应用,因此对这些应用的管理和支持是网络安全设备的一个挑战。HillStone支持自定义的Session持续时间和Timeout时间,并能够及时地对客户的特殊需求进行分析研发。3.4流量/IM控制企业网路资源是有限的,同时扩充这些资源会导致成本的急剧增加。因此如何最有效的利用这些资源,如何管理这些资源成为了企业控制成本、提高效率的有效手段。AM 10:28,企业数据库的一份关键数据、ERP数据或一个高级管理人员的Web访问正在网络链路里传输,这时突然有一个BT下载流量激发,将正常传输的数据库流量、ERP流量和Web访问流量挤压,造成这些流量严重超时,甚至导致不可达、重发,严重影

15、响正常工作。这时如果有一个设备能够控制BT流量,阻断或者控制使用带宽则这个问题就能得到妥善解决。IM的控制也是这样,对很多聊天工具如QQ、MSN的控制也是一个企业提高工作效率的好办法。HillStone能够对很多P2P的流量进行管控,也能对很多IM聊天软件进行管理。3.6配置/管理简单一款设备的可用性从它的配置简单性上就能有很好的表现。HillStone的配置非常简单,很容易上手。而且设备具有版本管理功能,能够对配置信息就行版本控制,具有很好的风险控制能力。同时,HillStone支持NAT/路由模式、透明模式和混合模式,能够很好的和企业当前的网络环境进行融合,对于企业网络改造具有很大的操作空

16、间。HillStone具有专业的管理平台针对企业内部部署的所有HillStone设备进行统一管理,其中包括配置和日志等信息。3.7稳定性和兼容性设备的稳定性对于企业网络来说至关重要。HillStone设备具有很高的无故障运行时间,能够为某公司的整体网络稳定性提供支持。HillStone产品和主要的网络设备供应商都具有良好的合作关系,相互产品之间都能够很好的互动、兼容,其中包括cisco、juniper、华为3Com、Nokia、Fortinet等。3.8报告功能HillStone能够为用户提供非常详尽的日志,而且能够定制各种图形报告。针对网络流量、网络攻击等的流量能够很好的表现一个企业网络的安

17、全环境,能够为某公司IT管理层提供必要的信息和判断依据。第四章 HillStone安全解决方案第五章 HillStone功能介绍第五章 HillStone优势5.1创新的新一代网络安全架构(Innovative Next Generation Advance Security Appliance Architecture) 随着网络威胁不断的发展,越来越多的混合式的网络攻击和威胁层出不穷。单纯的网络层安全防护系统无法满足用户的需求。传统防火墙以网络层防护为主,软硬件的设计围绕着网络层的安全防护展开,产品经过了第一代纯软件防火墙系统、基于PC架构的第二代硬件防火墙系统和第三代的基于ASIC和NP

18、(网络处理器)纯硬件防火墙系统。第三代基于ASIC和NP架构的防火墙能够实现高性能的网络安全防护,对于应用层的安全防护无能为力,应用层完全依靠通用CPU进行处理,包括当前流行的UTM产品,一旦打开应用层安全防护功能,如P2P/IM安全控制、IPS、Web过滤、防病毒以及防垃圾邮件等内容过滤功能,性能会急剧下降,无法满足用户实际的网络安全需求。基于以上原因,Hillstone全线产品采用了创新的新一代网络安全架构,硬件平台采用64位高性能的多核处理器Multi-Core CPU(多达16核),内部传输采用高达24Gbps高速交换总线,同时高端产品采用多核处理器和新一代高性能专用ASIC处理器,其

19、网络安全的处理能力达到了一个新的起点:比如,安全产品中重要参数之一的每秒新建会话数是当前业界最高性能的基于ASIC和NP架构安全产品的5到10倍!64位专用高性能多核处理器的多核并行处理能力为应用层内容安全功能提供了强大的保障,同时又避免了纯ASIC和NP安全系统对会话可管理能力和流量控制能力弱的弊病。由于新一代64位多核处理器Multi-Core CPU集成了IPSec VPN、SSL VPN、TCP、QoS、压缩/解压缩以及其它安全功能的芯片级硬件加速功能,使得Hillstone产品具有强大高效的VPN和应用层安全处理能力。采用创新的新一代网络安全架构的Hillstone产品提供了更高、更

20、可靠、更稳定和更安全的综合处理能力,开创了新一代网络安全的新纪元。多达16核的专用64位MIPS处理器具有强大的应用层安全处理能力,众所周知,应用层安全的效率很大程度上依赖于CPU的处理能力,即使基于ASICNP架构的安全系统一旦要处理应用层的数据也必须依赖于CPU,而当前安全产品在CPU资源上有很大瓶颈,因此有些厂商已经放弃ASICNP架构而采用纯CPU的架构。纯CPU的架构在应用安全方面有了提高,但又丧失了ASIC架构所具有的网络层数据处理的高效性。Hillstone采用多核处理器和专用新一代ASIC处理器架构,使得该硬件架构充分考虑到了应用安全和网络安全的平衡,在某些性能指标上有了质的飞

21、越,如作为安全网络产品重要指标之一的每秒新建连接数最高达到了20万秒,同时结合内部高速交换总线和多核64位专用处理器,Hillstone SA系列产品具有了强大的应用安全处理能力和可扩展能力,为集成更多的应用安全提供了强大的资源保障。5.2强健的专用实时64位并行操作系统(Robust Specific Real time Operating System)Hillstone全线产品采用专用多线程实时64位并行操作系统,多线程的并行处理能力和模块化的结构易于集成和扩展安全功能,专用的安全加固的64位操作系统针对新一代多核处理器安全架构进行了全面的优化和安全加固,极大地提高了系统的处理效率、系统

22、稳定性和安全性。模块化和多线程的处理机制,为Hillstone新一代的网络安全系统提供了极大的可扩展能力,包括支持更多核处理器和集成更多安全功能。 众所周知,操作系统是整个安全设备的核心和基础,安全产品的操作系统必须具有很强的抗攻击能力,而基于软件的安全系统采用的是通用的操作系统,通用操作系统会暴露大量的操作系统漏洞,安全系统再强大,操作系统的漏洞会直接导致这个系统的崩溃。当前,专用定制的操作系统被广泛采用。Hillstone SA系列产品均采用定制的专用操作系统HSOS。HSOS具有64位实时并行处理能力,其核心针对Hillstone SA硬件产品进行了全面优化,使得系统具有更高的处理效率和

23、稳定性。模块化的系统结构易于继承更多的安全功能,系统具有极强的伸缩性和可扩展性。任何独立的安全模块出现问题都不会影响整个系统的运行。5.3高可靠性和稳定性(High Reliability and Stability)积累多年被证实的专业硬件安全产品研发和市场经验,Hillstone新一代网络安全产品在软硬件的可靠性和稳定性上都有了进一步提高。全面优化的软硬件系统带来高可靠性和稳定性,这为网络流量和网络攻击日益膨胀的企业IT环境提供了强大的保障。Hillstone产品最大程度上确保企业关键业务的不间断运行,提高用户的竞争力。5.4最低的总体拥有成本(Lowest TCO)Hillstone全线

24、产品提供了非常友好的使用和管理界面,部署简单、易于维护和管理。灵活的特性能够满足不同用户不同应用环境的需求。独特创新的新一代网络安全架构提供给用户最大化的可扩展能力,最大化地保护用户投资。5.5 Hillstone SA系列安全产品解决方案特点l 创新的新一代网络安全架构l 高性能的综合安全系统l 高可靠性和扩展性l 高性价比l 丰富的安全特性l 最低的TCOl 友好和易于使用的管理界面l 细粒度的安全参数调整l 杰出的内容安全综合处理能力l 灵活的部署特性,易于部署和维护l 全面的产品线,满足不同用户的需求l 专业的技术支持和销售团队P2P/IM应用的安全控制和细粒化管理5.6竞争优势Hil

25、lstone主要研发和销售团队来自业界知名的网络安全公司,包括:NetScreen、CISCO、Juniper、Fortinet和H3C等。多年成功的安全产品研发销售经验的积累,厚积薄发,引领网络安全走向新的起点。高性能创新的新一代安全产品加上专业的技术支持保障,为企业营造一个安全的网络应用环境保驾护航。第六章 安全产品技术性能指标HillStone Network Security ApplianceHillstone SA-5050/5040/5020/ Hillstone SA-5050/5040/5020/ 系列产品采用创新的64位多核处理器、新一代ASIC处理器*和高速交换总线技术,

26、为大中型企业用户提供高性能的网络安全解决方案。专用网络安全处理平台技术,拥有多达16核的64位高性能多核处理器,提供包括TCP会话保持与报文重组、VPN、QoS流量管理等功能的芯片级硬件加速,以及独立的硬件DFA引擎。辅以高达24Gbps高速交换总线,以及新一代64位实时并行操作系统HSOS,为企业提供高性能、高可靠性的新一代硬件应用安全产品。创新的系统结构Hillstone Security Appliance系列产品采用了多核处理器和新一代ASIC处理器*技术,内部总线采用高达24Gbps交换总线,使得Hillstone SA系列产品在应用层安全处理的性能上有了质的飞跃,为企业应用安全提供

27、专业的高性能硬件平台。高可靠性和稳定性积累多年被证实的专业硬件安全产品研发和市场经验,Hillstone新一代网络安全产品无论在软件和硬件的可靠性和稳定性上都有了进一步提高。 全面优化的软硬件系统的高可靠性和稳定性为网络流量和网络攻击日益膨胀的企业IT环境提供了强大的保障。Hillstone产品最大程度上确保企业关键业务的不间断运行。强健的专用实时操作系统Hillstone Security Appliance系列产品采用了专用64位实时并行操作系统,并行的处理能力和模块化的结构易于集成和扩展安全功能。专用的安全加固的64位操作系统针对新一代多核处理器安全机构进行了全面的优化和安全加固,极大地

28、提高了系统的处理效率、系统稳定性和安全性。模块化和并行多任务的处理机制,为Hillstone新一代的网络安全系统提供了极大的可扩展能力,包括支持更多核处理器和集成更多安全功能。最低的总体拥有成本Hillstone Security Appliance系列产品提供了非常友好的使用和管理界面,部署简单、易于维护和管理。灵活的特性能够满足不同用户不同应用环境的需求。独特创新的新一代网络安全架构提供给用户最大化的可扩展能力,最大化地保护用户投资。Hillstone SA系列安全产品解决方案特点:l 创新的新一代网络安全架构l 高性能的综合安全系统l 高可靠性和扩展性l 丰富的安全特性l 最低的TCOl

29、 友好和易于使用的管理界面l 细粒度的安全参数调整l 杰出的内容安全综合处理能力l 灵活的部署特性,易于部署和维护l P2P/IM应用的安全控制和管理Hillstone SA-5050/5040/5020/ 安全特性操作模式 SA-5050/5040/5020/ 透明模式是 路由/NAT模式 是 L2/L3混合模式是 NAT(地址翻译)是 PAT(端口地址翻译) 是 MIP/VIP/DIP是 FirewallSA-5050/5040/5020/ 网络层攻击防护是 DoS和DDoS防护是 Syn flood攻击防护是 畸形报文防护是 IP 报文分片攻击防护是 IP 异常选项检测是 TCP 异常检

30、测是 IP地址欺骗防护是 IP地址扫描攻击是 端口扫描防护是 静态和动态黑名单是 会话限制(基于源/目的)是 攻击防护数量30基于安全区安全性是 基于Profile的安全防护是 基于接口的ACL是 NetworkingSA-5050/5040/5020/ 802.1Q VLAN Trunk是 802.3ad link aggregation是 PPPoE Client是 DHCP Relay, Server和Client是 DNS proxy是 DDNS是NTP是 静态路由是 RIP v1/v2是 OSPF是 策略路由(基于源、目的、服务)是 ECMP是ALG(应用层安全网关)SA-5050/

31、5040/5020/ TCP Proxy是H.323是SIP是FTP是TFTP是RSH是RTSP是SQL Net是MS-RPC是SUN-RPC是应用层安全控制SA-5050/5040/5020/ Web关键字过滤否URL屏蔽列表否Email过滤否Java阻断是ActiveX阻断是内置AV防护否内置IPS防护否用户认证SA-5050/5040/5020/ 本地用户认证是RADIUS是LDAP是流量监控和审计日志SA-5050/5040/5020/ 基于会话的流量统计是基于地址的流量统计 是基于安全域的连接速率统计是基于安全域和应用协议的流量统计是NAT转换事件日志是攻击事件日志是流量告警事件日志

32、是实时会话统计信息(Top10/50/100)是P2P/IMSA-5050/5040/5020/ P2P 和IM流量分类是P2P 和 IM 服务阻断是P2P 流量控制是带宽限制是会话数限制是用户行为管理是Bit Torrent是eMule是eDonkey是Thunder(迅雷)是QQ是Yahoo! Messenger是MSN Messenger是Windows Messenger是VPNSA-5050/5040/5020/ Site-to-site IPSec VPN是Remote VPN 是DES, 3DES 和 AES是支持SCB2是MD-5 和 SHA-1 认证是手工密钥, IKE, P

33、KI (X.509)是IPSec NAT穿越 是基于策略的VPN是基于路由的VPN是集中星形VPN 拓扑是L2TP是PKI支持SA-5050/5040/5020/ PKI认证请求(PKCS 7和PKCS 10)是认证机构支持 Verisign 是Entrust 是iPlanet(Netscape) 是DOD PKI 是Baltimore 是RSA Keon 是Microsoft 是QoS(流量管理)SA-5050/5040/5020/ 流量策略是保障带宽是最大带宽限制是优先级 是DiffServ 标记是基于物理接口的速率限制是标记流量是虚拟化SA-5050/5040/5020/ 最大虚拟系统数

34、默认0,可定制至500*最大虚拟路由器数默认2,可定制至512*最大安全区数默认16,可定制至1024支持的VLAN数4000系统管理SA-5050/5040/5020/ WebUI (HTTP 和 HTTPS)是命令行界面CLI(控制台)是命令行界面SSH v2是命令行界面Telnet是全中文人机界面及帮助系统是Syslog(多个服务器)是SNMP (v1/v2c)是Email是高可用性(HA)SA-5050/5040/5020/ 主动/被动是主动/主动是Full mesh 是防火墙/VPN会话同步是设备故障切换是链路故障切换是路由选择变化的会话故障恢复是配置同步是第七章 技术支持与售后服务