外网安全解决方案2003.doc

以创新为动力 以服务为根本 外网安全解决方案 XXXXX有限公司 2011-7-4 目录 一. 前言 3 二. 网络现状 3 三. 需求分析 4 3.1 威胁分析 4 3.2 外部威胁 4 3.2.1 .内部威胁 5 3.3 风险分析 5 3.3.2 攻击快速传播引发的安全风险与IDS的不足 6 3.3.3 日志存储存在风险 6 3.3.4 需求分析 7 四. 解决方案 7 4.1 入侵保护系统和外置数据中心部署 9 4.1.1 部署图 9 4.1.2 部署说明 9 4.2 功能与效益 10 xxxx所外网安全解决方案 一. 前言 随着网络与信息技术的发展，尤其是互联网的广泛普及和应用，网络正逐步改变着人类的生活和工作方式。网络与信息技术对社会的各行各业产生了巨大深远的影响，信息安全的重要性也在不断提升。 近年来，军工企业所面临的安全问题越来越复杂，安全威胁正在飞速增长，如蠕虫、病毒、木马、DDoS攻击、垃圾邮件，木马引起的计算机资料被篡改、窃取等，极大地困扰着用户，给企业的信息网络造成严重的破坏。能否及时发现并成功阻止网络黑客的入侵、和内部有意无意破坏保证计算机和网络系统的安全和正常运行便成为所有企业所面临的一个重要问题。 陕西中微航信电子科技有限公司是一家专业从事信息安全产品销售及整体解决方案的高新技术企业。公司专注于信息安全领域，以保护国家机密、商业机密，防止重要信息泄漏为己任，为各类用户构筑安全可信的信息堡垒。我们根据705外网实际环境制定相应的解决方案。 二. 网络现状 出口带宽为电信10M光纤接入，通过交换机分成两路分支，一路为接待区，一路为办公区。办公区客户通过二层交换机、安氏防火墙（已无法配置）、深信服上网优化网关SG3200组成的百兆局域网。客户端为办公上网终端、管理网络设备终端和临时网吧终端组成。 办公区拓扑如下： 三. 需求分析 3.1 威胁分析 由于网络连接互联网，网络的使用者既有来自互联网的用户、合作伙伴、网民，也有来自企业内部的员工，因此企业网络面临来自两个方面的安全威胁： 3.2 外部威胁 n 黑客扫描和攻击 Internet网络的恶意入侵者可能因为商业的目的或者是随机的目的对企业网络发起恶意扫描和渗透式入侵，通过渗透或绕过防火墙，进入企业网络，获取、篡改甚至破坏敏感的数据。 n 病毒或蠕虫侵袭 Internet网络上大量肆虐的网络蠕虫病毒具备渗透防火墙的传播能力，他们可以穿透防火墙进入企业网络；一旦遭受了病毒和蠕虫的侵袭，不仅会造成网络和系统处理性能的下降，同时也会对核心敏感的数据造成严重的威胁，甚至造成泄密事件。 3.2.1 .内部威胁 n 无意识的外部风险引入 企业网络中，由于安全技能和安全意识存在差异，员工可能无意识的通过互联网络将Internet上危险的、恶意的木马程序和恶意代码下载到内部网络执行，甚至将Internet上的蠕虫、网络病毒传播进入内部网络，这将对企业网络的安全带来严重威胁； n 内部故意破坏 企业需要考虑内部的不满员工恶意破坏信息网络、系统和泄漏敏感数据的可能； 3.3 风险分析 依据企业网络现状和相关业务情况，我们主要从以下几个方面关注可能面临的安全风险： 3.3.1 防火墙的局限 绝大多数人在谈到网络安全时，首先会想到“防火墙”，企业一般采用防火墙作为安全保障体系的第一道防线，防御黑客攻击。但是，随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙已经无法满足企业的安全需要，部署了防火墙的安全保障体系仍需要进一步完善。 传统防火墙的不足主要体现在以下几个方面： n 防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针对WEB服务的Code Red蠕虫等。 n 有些主动或被动的攻击行为是来自防火墙内部的，防火墙无法发现内部网络中的攻击行为。 n 如果有哪台电脑中了木马或者被控制，内网所有电脑都会被感染，没人敢保证他们内网的那些电脑完全没有涉密信息，不出问题则以，一出问题前面所有的努力都前功尽弃了 防火墙无法防御内部病毒、攻击示意图如下： 3.3.2 攻击快速传播引发的安全风险与IDS的不足 目前利用漏洞传播的蠕虫、病毒、间谍软件、DDoS攻击、垃圾邮件等混合威胁越来越多，传播速度加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应，比如蠕虫爆发造成企业网络瘫痪。入侵检测系统IDS虽然能检测出攻击行为，但无法有效阻断攻击。另外，网络防病毒系统属于被动防护，对于新的未知蠕虫病毒，防病毒软件无法检测出。因此如何保证企业网络在安装最新安全补丁之前，网络不会被蠕虫、病毒、黑客等攻击造成网络瘫痪，这是目前企业关注的问题。 3.3.3 日志存储存在风险 根据保密标准123条和132条严格规定要有完善的日志审计系统并且不允许随意删除审计日志，同时审计日志是违规取证的重要手段。 目前外网审计设备为深信服SG3200上网优化网关，内置数据中心硬盘为250G，虽然该设备日志审计功能相当完善，但是当内部数据中心硬盘存满后网关会自动删除最早的日志记录，造成了日志文件不全的问题，假如发生设备硬件软件故障、病毒入侵、人为、天灾等因素造成日志文件丢失势必会对企业造成很大的损失。 3.3.4 需求分析 根据对企业网络系统的风险分析，我们发现企业的信息安全需求主要在以下方面： u 防御来自外部的威胁，阻止蠕虫、网络病毒、间谍软件和黑客攻击对企业网络造成的安全损失，提高企业网络的整体抗攻击能力； u 防御来自内部的威胁，阻止蠕虫、网络病毒爆发对企业内部服务器和网络的破坏，保障企业业务系统的正常运行，减少敏感信息被非法窃取的可能。 u 监控企业网络的安全运行，全面把握安全状态，以便于及时的发现安全攻击，防止安全事件的发生。 u 审计日志等重要数据应当建立容灾系统，即使设备因意外情况损坏、日志被有意无意删除等情况发生也能第一时间恢复数据。 因此在企业网络中部署新一代安全产品——入侵保护系统（IPS），能够有效防御各种攻击，控制网络资源滥用，保证网络系统的安全稳定运行。另外建议增加一台外置数据中心服务器作为审计日志容灾系统，可以自动或者手动定期同步各种网络设备、审计设备的审计日志，全面解决因病毒、人为、设备故障、天灾等引起的审计日志丢失。 四. 解决方案 入侵保护系统IPS （Intrusion Prevention System）提供一种主动的、实时的防护，其设计旨在对常规网络流量中的恶意数据包进行检测，阻止入侵活动，预先对攻击性的流量进行自动拦截，使它们无法造成损失，而不是简单地在传送恶意流量的同时或之后发出警报。IPS 是通过直接串联到网络链路中而实现这一功能的，即IPS接收到外部数据流量时，如果检测到攻击企图，就会自动地将攻击包丢掉或采取措施将攻击源阻断，而不把攻击流量放进内部网络。 外置数据中心系统可以第一时间同步深信服SG3200的内部审计日志，也可以手动存储其他审计设备、网络设备的日志信息。同时又可以作为一台日志容灾服务器。 4.1 入侵保护系统和外置数据中心部署 4.1.1 　部署图 4.1.2 　部署说明 根据安全风险分析、安全目标和设计原则，我们在充分利用现有资源、尽量在少投入、少改动的基础上，建议使用以下集防护、检测和响应于一体的安全解决方案。 具体部署方式如下： u 在企业互联网出入口处在线部署1台网络入侵保护系统分别连接ISP路由器、DMZ区和内网的核心交换机相连，可以入侵保护，又可以发挥集成防火墙的功能，最大化利用资源，也可以将接待区接入NIPS实现全网防护，节约投资； u IPS选择路由工作模式，部署在网络边界，类似于一个静态的路由器，又相当于一台防火墙，可以实现NAT，策略路由等功能； u IPS进行入侵行为检测、分析和实时响应，自动阻断黑客攻击，切实有效的保护企业网络的安全； u 在安全管理区域部署一台外置数据中心服务器作为审计日志容灾系统，可以自动或者手动定期同步各种网络设备、审计设备的审计日志，全面解决因病毒、人为、设备故障、天灾等引起的审计日志丢失。 4.2 功能与效益 布署网络入侵保护系统会给企业网络带来以下安全功能的提高： u 只需部署一个IPS，同时拥有IDS+IPS+FW的全部功能，降低企业整体的安全费用并且完全满足保密资格标准。 u 实时发现和阻断来自Internet的蠕虫、病毒、间谍软件和黑客等攻击和入侵，窃取敏感信息，防止黑客带来的安全损失； u 实时发现和阻断企业内部人员通过Internet对其他网络实施攻击、破坏、病毒传染、内部泄密。 u 实时发现和阻断企业内部蠕虫、网络病毒的大规模爆发； u 可以实现防火墙的访问控制、地址转换及策略路由等功能，增强了网络安全性，减少企业投资； u 可以对内部网络流量和网络资源的监控，方便及时的发现网络异常。 u 智能、自动化的安全防御，最大限度降低网络管理人员的工作量。 u 防止企业网络终端被外部控制风险，防止内部有意无意的泄密风险。 u 一台外置数据中心解决整个外网审计日志容灾问题。 10