第一篇:銀行外聯網絡安全解決方案全攻略(大全)
隨著網絡的快速發展,各金融企業之間的競爭也日益激烈,主要是通過提高金融機構的運作效率,為客戶提供方便快捷和豐富多彩的服務,增強金融企業的發展能力和影響力來實現的。為了適應這種發展趨勢,銀行在改進服務手段、增加服務功能、完善業務品種、提高服務效率等方面做了大量的工作,以提高銀行的競爭力,爭取更大的經濟效益。而實現這一目標必須通過實現金融電子化,利用高科技手段推動金融業的發展和進步,銀行外聯網絡的建設為進一步提高銀行業服務手段,促進銀企的發展提供了有力的保障,并且勢必為銀行業的發展帶來巨大的經濟效益。
然而隨著網絡應用不斷擴大,它的反面效應也隨著產生。通過網絡使得黑客或工業間諜以及惡意入侵者侵犯和操縱一些重要信息成為可能,因而引發出網絡安全性問題。正如我國著名計算機專家沈昌祥院士指出的:“信息安全保障能力是21世紀綜合國力、經濟競爭實力和生存能力的重要組成部份,是世紀之交世界各國在奮力攀登的制高點”。二十世紀未,美國一些著名網站、銀行、電子商務網站造受黑客攻擊;黑客入侵微軟竊取源代碼軟件等重要案件,都證明了網絡安全的嚴重性,因此,解決銀行外聯網絡安全問題刻不容緩。一 銀行外聯網絡安全現狀
1、銀行外聯種類
按業務分為:
銀行外聯業務種類繁多,主要有:證銀聯業務、社保IC卡、房改公積金管理系統、代收中聯通話費、代收移動話費、同城清算、人行稅銀庫企系統、人行銀行信貸登記系統、金融統計數據報送、國際收支數據報送、電子口岸、代收電費、代扣社保費、代收國稅、代收地稅、代收固話費、財局國庫集中系統、統發工資系統、代收財政罰款、物業維修基金、非稅系統、重要客戶系統等等。
按單位分:
隨著外聯業務的不斷擴大,外聯單位也不斷增加,主要有:各個證券公司、社保局、房改辦、聯通公司、移動公司、海關、電力公司、國稅局、地稅局、電信公司、供水公司、政府政務網、人行金融網、銀行的重客單位等等。
按線路分:
外聯線路主要以專線為主,部分外聯業務采用撥號方式,線路類型主要有:幀中繼、SDH、DDN、城域網、撥號等。
2、提供外聯線路的運營商
根據外聯單位的不同需求,有多家運營商提供線路服務,主要有:電信公司、盈通公司、網通公司、視通公司等
3、銀行外聯網絡的安全現狀及存在問題
外聯接入現狀示意圖:
外聯接入分為總行、一級分行、二級分行三個接入層次,據統計有80%的外聯單位是通過二級分行及以下層次接入的,面對如此眾多的外聯接入單位,我行還沒有一個統一規劃的完善的外聯網絡安全防御體系,特別是對于有些二級分行的外聯網絡只有基本的安全防護,只在外網的接入口使用防火墻進行安全控制,整體而言,外聯網絡缺少一個統一規劃的完善的安全防御體系,抗風險能力低。
下面,針對外聯網絡中主要的安全風險點進行簡單分析:
(1)外聯接入點多且層次低,缺乏統一的規劃和監管,存在接入風險
銀行外聯系統的接入五花八門,沒有一個統一的接入規劃和接入標準,總行、一級分行、二級分行、甚至經辦網點都有接入點,據統計80%的外聯接入都是通過二級分行及以下層次接入的,由于該層次的安全產品和安全技術資源都非常缺乏,因此對外聯接入的監管控制缺乏力度,存在著接入風險。
(2)缺少統一規范的安全架構和策略標準
在外聯網絡中,全行缺少統一規范的安全架構和訪問控制策略標準,對眾多的外聯業務沒有分層分級設定不同的安全策略,在網絡層沒有統一的安全訪問控制標準,比如:允許開放的端口、必須關閉的端口、需要控制訪問的端口、安全傳輸協議等等;在外聯業務應用程序的編寫方面沒有統一的安全標準;在防火墻策略制定上也沒有統一的安全標準,因此外聯網絡的整體可控性不強。
(3)缺乏數據傳送過程中的加密機制
目前與外聯單位互相傳送的數據大部分都是明碼傳送,沒有統一規范的加密傳送機制。
(4)缺少統一的安全審計和安全管理標準。
外聯網絡沒有一個統一的安全審計和安全管理標準,在安全檢查和安全審計上沒有一套行之有效的方法。
為解決當前外聯網絡所存在的安全隱患,我們必須構建一個完善的銀行外聯網絡安全架構,建立一套統一規劃的完善的外聯網絡安全防御體系。
下面我們將從銀行外聯網絡安全規劃著手,進行外聯平臺的網絡設計,并對外聯平臺的安全策略進行統一規劃,相應地提出外聯業務平臺安全審計的內容以及如何進行外聯網絡的安全管理,設計一套完善的銀行外聯網絡安全解決方案。二 銀行外聯網絡安全規劃
1、外聯網絡接入銀行內部網的安全指導原則
(1)外聯網(Extranet)接入內部網絡,必須遵從統一規范、集中接入、逐步過渡的原則。
(2)總行對于外聯網絡接入內部網絡建立統一的安全技術和安全管理規范,一級分行參照規范要求對接入網路進行嚴格的控制,同時應建立數據交換區域,避免直接對業務系統進行訪問。
(3)各一級分行按照集中接入的原則,建立統一的外聯網接入平臺,減少外聯網接入我行內部網絡的接入點,將第三方合作伙伴接入我行內部網的接入點控制在一級分行,并逐步對二級行(含)以下的接入點上收至一級分行。
(4)如果一個二級分行的外聯合作伙伴較多,從節約線路費用的角度考慮,可以考慮外聯接入點選擇在二級分行,然后利用IPSec-VPN將二級分行的業務外聯平臺通過隧道與一級分行外聯平臺連接。
(5)增加VPN的接入方式,與專線方式并存,接入點只設在一級分行及以上的層次,新增外聯業務可考慮采用VPN接入方式。
(6)出于安全考慮,必須慎重選擇是否允許第三方合作伙伴使用銀行內部網絡系統構建其自身業務網絡的運作。
(7)對于第三方合作伙伴通過互聯網接入內部網的需求,只能通過總行互聯網入口進行接入。
2、外聯業務平臺規劃的策略
與同業往來業務、重點客戶業務、中間代理業務互聯要求業務外聯平臺提供足夠的安全機制。多數外聯業務要求平臺穩定、可靠。為了滿足安全和可靠的系統需求,具體策略如下:
(1)采用防火墻和多種訪問控制、安全監控措施
(2)采用專線為主、撥號備份為備的雙鏈路和主、備路由器增強可靠性
(3)通過省行internet統一入口連接客戶的VPN接入請求,由省行或總行統一規劃VPN網絡,統一認證和加密機制
(4)采用IPSec技術保證數據傳輸過程的安全
(5)采用雙防火墻雙機熱備
(6)采用IDS、漏洞掃描工具
(7)設立DMZ區,所有對外提供公開服務的服務器一律設置在DMZ區,將外部傳入用戶請求連到Web服務器或其他公用服務器,然后Web服務器再通過內部防火墻鏈接到業務前置區
(8)設立業務前置區,外聯業務平臺以及外聯業務前置機可放置此區域,阻止內網和外網直接通信,以保證內網安全
(9)所有的數據交換都是通過外聯前置網進行的,在未采取安全措施的情況下,禁止內部網直接連接業務外聯平臺。
(10)為防止來自內網的攻擊和誤操作,設置內部網絡防火墻
(11)來自業務外聯平臺的特定主機經身份認證后才可訪問內部網指定主機。
(12)具體實施時主要考慮身份認證、訪問控制、數據完整性和審計等安全指標。
三 外聯業務平臺設計
1、外聯業務平臺的網絡架構
業務外聯平臺包括邊界區、邊界防火墻區、IDS區、DMZ區、內部路由器、業務前置區、內部防火墻。架構如下圖:
2、外聯業務平臺的安全部署
邊界區
邊界區包括三臺接入路由器,全部支持IPSec功能。一臺是專線接入的主路由器;一臺是撥號接入的備路由器,當主線路故障或客戶有撥號接入需求時客戶可通過此撥號路由器接入,撥號接入要有身份認證機制;還有一臺是VPN接入方式的路由器。將IPSec部署在邊界路由器上是保證端對端數據傳輸的完整性和機密性,保護TCP/IP通信免遭竊聽和篡改。對于INTERNET的VPN接入方式,可并入分行INTERNET統一出口進行VPN隧道的劃分,連接有VPN接入需求的外聯單位。
邊界防火墻區
邊界防火墻區設置兩臺防火墻互為熱備份。在防火墻的內側和外側分別有一臺連接防火墻的交換機,從安全的角度出發,連接兩臺防火墻采用單獨的交換機,避免采用VLAN造成的安全漏洞。兩臺防火墻之間的連接根據設備的不同而不同,以能夠可靠地為互相備份的防火墻提供配置同步和心跳檢測為準。
入侵檢測IDS
能夠實時準確地捕捉到入侵,發現入侵能夠及時作出響應并記錄日志。對所有流量進行數據分析,過濾掉含有攻擊指令和操作的數據包,保護網絡的安全,提供對內部攻擊、外部攻擊和誤操作的實時保護。
DMZ區
建立非軍事區(DMZ), 是為不信任系統提供服務的孤立網段,它阻止內網和外網直接通信,以保證內網安全,在非軍事區上設置并安裝基于網絡的實時安全監控系統,所有對外提供公開服務的服務器一律設置在DMZ,其中WWW、E-mail、FTP、DNS服務器置于非軍事區(DMZ)
內部路由器區
內部路由器區設置一臺用于連接業務外聯平臺和業務前置區的路由器。
業務前置區
設立獨立的網絡區域與業務外聯平臺的交換信息,并采取有效的安全措施保障該信息交換區不受非授權訪問。
內部防火墻
內部防火墻可以精確制定每個用戶的訪問權限,保證內部網絡用戶只能訪問必要的資源,內部防火墻可以記錄網段間的訪問信息,及時發現誤操作和來自內部網絡其他網段的攻擊行為。
病毒防范和漏洞掃描
在服務器、前置機上安裝網絡版防病毒軟件,及時在線升級防病毒軟件,打開防病毒實時監控程序,設定定期查殺病毒任務,及時抵御和防范病毒。定期對網絡設備進行漏洞掃描,及時打系統補丁。
路由
采用靜態路由,邊界的主、備路由器采用浮動靜態路由,當主鏈路不通時,通過備份鏈路建立連接。
網管
從安全的角度考慮,業務外聯平臺的網管采用帶外網管。網管服務器和被管理設備的通訊通過單獨的接口。用PVLAN使被管理設備只能通過網管專用的接口與網管服務器連接,而被管理設備之間不能互通。為了防備網管服務器被控制的可能性,規劃獨立的網管服務器為業務外聯平臺服務。網管平臺能夠對業務外聯平臺進行狀態管理、性能管理、配置管理、故障管理。帶外網管平臺采用單獨的交換機,以保證系統的安全。
QOS
在數據包經過內層防火墻進入管理區域后立即打上QOS標記,使外聯平臺的數據包按照規定的優先級別占用網絡資源。四 外聯業務平臺安全設計策略
外聯接入線路安全設計策略
外聯接入線路有3種方式:傳統的專線方式、正在快速發展的基于公網的VPN方式、撥號方式。
專線方式,銀行傳統的外聯接入方式大部分都是采用專線與外單位相聯,專線的選擇有:幀中繼、DDN、SDH、ATM等等。專線的優點是線路私有、技術成熟、穩定,傳輸的安全性比較有保障,但也存在設備投入大,對技術維護人員的技術要求較高,線路費用昂貴、接入不靈活等缺點。并且由于對線路的信任依賴,大多數專線中傳遞的信息沒有考慮任何數據安全,明碼傳送,存在很大的安全隱患。
VPN方式,現在國際社會比較流行的利用公共網絡來構建的私有專用網絡VPN(Virtual Private Network),用于構建VPN的公共網絡包括Internet、幀中繼、ATM等。在公共網絡上組建的VPN具有線路費用低廉,易于擴展,接入靈活,網絡通信安全,網絡設計簡單,特別是易于實現集中管理,減少接入點,接入點可以只設在一級分行以上的層次,方便統一管理和安全控制。
撥號方式,有些外聯單位只與銀行交換簡單的代收發文件,使用的間隔周期也比較長,為節約費用只按需撥號進行連接,撥號方式的特點是費用低廉但缺乏安全保障。
這3種方式各有優缺點,但從技術的成熟性和保護現有設備投資的方面考慮,專線方式和撥號方式還是我們的主流方式。但從長遠考慮,隨著VPN技術的成熟和合作伙伴應用互聯網的普及,VPN方式將會由于它顯著的優點而逐漸成為主流,因此,我們引入VPN接入方式,目前我們三種接入方式并存,今后將逐漸用VPN方式取代專線方式和撥號方式,這樣不僅能夠統一接入層次,減少接入點,降低線路費用,而且方便統一管理和安全控制。
對于接入專線的物理層和數據鏈路層安全是由運營商保障的,在邊界接入路由器上設置靜態路由、采用安全訪問控制實現網絡層的安全控制,為保證數據傳輸的機密性和完整性,建議在銀行外聯網絡中采用IPSec技術,在接入端統一安裝支持IPSec功能的接入路由器。
對于VPN方式的接入,VPN雖然構建在公用數據網上,但可以通過附加的安全隧道、用戶認證和訪問控制等技術實現與專用網絡相類似的安全性能,從而實現對重要信息的安全傳輸。與企業獨立構建專用網絡相比,VPN具有節省投資、易于擴展、簡化管理等特點。
對于撥號接入我們采用AAA認證的方式驗證撥入方的身份。
外聯業務平臺物理層安全設計策略
物理層安全是指設備安全和線路安全,保障物理安全除了要遵守國家相關的場地要求和設計規范外,還要做好相關設備的備份、關鍵線路的備份、相應數據的備份。
定期對網絡參數、應用數據、日志進行備份,定期對備份設備進行參數同步。
外聯業務平臺網絡層安全設計策略
外聯業務平臺安全設計的重點就是如何進行網絡層的安全防護,在網絡層我們采用了防火墻技術、入侵檢測技術、VPN技術、IPSec技術、訪問控制技術等多種安全技術進行網絡層的安全防護。
(1)部署邊界防火墻和內部防火墻
在總行、一級分行、二級分行各級外聯接入點的邊界都應安裝邊界防火墻,邊界防火墻的任務有:
通過對源地址過濾,拒絕外部非法IP地址,有效地避免外部網絡上與業務無關的主機的越權訪問,防火墻只保留有用的服務;
關閉其他不要的服務,可將系統受攻擊的可能性降低到最小限度,使黑客無機可乘;
制定訪問策略,使只有被授權的外部主機可以訪問內部網絡的有限的IP地址,保證外部網絡只能訪問內部網絡中必要的資源,與業務無關的操作將被拒絕;
由于外部網絡對DMZ區主機的所有訪問都要經過防火墻,防火墻可以全面監視外部網絡對內部網絡的訪問活動,并進行詳細地記錄,通過分析可以發現可疑的攻擊行為;
對于遠程登錄的用戶,如telnet等,防火墻利用加強的認證功能,可以有效地防止非法入侵;
集中管理網絡的安全策略,因此黑客無法通過更改某一臺主機的安全策略來達到控制其他資源,獲取訪問權限的目的;
進行地址轉換工作,使外部網絡不能看到內部網絡的結構,從而使黑客攻擊失去目標。
在內部網和業務前置區之間部署內部防火墻,內部防火墻的任務有:
精確制定每個用戶的訪問權限,保證內部網絡用戶只能訪問必要的資源
記錄網段間的訪問信息,及時發現誤操作和來自內部網絡其他網段的攻擊行為。
(2)部署入侵檢測系統
入侵檢測是防火墻技術的重要補充,在不影響網絡的情況下能對網絡進行檢測分析,從而對內部攻擊、外部攻擊和誤操作進行實時識別和響應,有效地監視、審計、評估網絡系統。入侵檢測和漏洞掃描技術結合起來是預防黑客攻擊的主要手段。
入侵檢測的主要功能有:
檢測并分析用戶和系統的活動
核查系統配置和漏洞
評估系統關鍵資源和數據文件的完整性
識別已知的攻擊行為
統計分析異常行為
操作系統日志管理,并識別違反安全策略的用戶活動
入侵檢測技術主要可以分為基于主機入侵檢測和基于網絡入侵檢測兩種。基于主機的系統通過軟件來分析來自各個地方的數據,這些數據可以是事件日志(LOG文件)、配置文件、PASSWORD文件等;基于網絡的系統通過網絡監聽的方式從網絡中獲取數據,并根據事先定義好的規則檢查它,從而判定通訊是否合法。
(3)應用VPN
對于VPN接入方式,在接入端采用專用VPN設備,VPN的實現技術是通過公用網在各個路由器之間建立VPN安全隧道來傳輸用戶的私有網絡數據,用于構建這種VPN連接的隧道技術有IPSEC等。結合服務商提供的QOS機制,可以有效而且可靠的使用網絡資源,保證了網絡質量。
VPN大致包括三種典型的應用環境,即Intranet VPN, Remote Access VPN和Extranet VPN。其中Intranet VPN主要是在內部專用網絡上提供虛擬子網和用戶管理認證功能;Remote Access VPN側重遠程用戶接入訪問過程中對信息資源的保護;而Extranet VPN則需要將不同的用戶子網擴展成虛擬的企業網絡。
我們所推薦使用的是Extranet VPN,并且建議今后逐漸用VPN的外聯接入方式取代專線接入方式,VPN技術將是今后外聯接入的發展方向,VPN技術取代專線將指日可待。
VPN技術的優點主要包括:
信息的安全性。虛擬專用網絡采用安全隧道(Secure Tunnel)技術向用戶提供無縫(Seamless)的和安全的端到端連接服務,確保信息資源的安全。
方便的擴充性。用戶可以利用虛擬專用網絡技術方便地重構企業專用網絡(Private Network),實現異地業務人員的遠程接入,加強與客戶、合作伙伴之間的聯系,以進一步適應虛擬企業的新型企業組織形式。
方便的管理。VPN將大量的網絡管理工作放到互聯網絡服務提供者(ISP)一端來統一實現,從而減輕了企業內部網絡管理的負擔。同時VPN也提供信息傳輸、路由等方面的智能特性及其與其他網絡設備相獨立的特性,也便于用戶進行網絡管理。
顯著的成本效益。利用現有互聯網絡發達的網絡構架組建外聯網絡,從而節省了大量的投資成本及后續的運營維護成本。
(4)應用IPSec
IPSec由IETF下屬的一個IPSec工作組起草設計的,在IP協議層上對數據包進行高強度的安全處理,提供數據源驗證、無連接數據完整性、數據機密性、抗重播和有限業務流機密性等安全服務。各種應用程序可以享用IP層提供的安全服務和密鑰管理,而不必設計和實現自己的安全機制,因此減少了密鑰協商的開銷,也降低了產生安全漏洞的可用性。IPSec彌補了由于TCP/IP協議體系自身帶來的安全漏洞,可以保護TCP/IP通信免遭竊聽和篡改,保證數據的完整性和機密性,有效抵御網絡攻擊,同時保持易用性。IPSec可連續或遞歸應用,在路由器、防火墻、主機和通信鏈路上配置,實現端到端安全、虛擬專用網絡(VPN)和安全隧道技術。IPSec的缺點是不能兼容NAT技術,當防火墻和路由器采用NAT技術對IP包進行地址轉換時,IPSec包不能通過。因此,需要使用IPSec功能時必須采用NAT-T技術實現IPSec穿越NAT。
(5)網絡層的訪問控制策略
禁止來自業務外聯平臺的的訪問直接進入內部網
限制能開通的服務或端口
設立與內部網隔離的指定的數據交換區,來自業務外聯平臺的的訪問只能到達指定的數據交換區
能對進入指定數據交換區的主體限制到主機
能經過代理實現指定客戶對內部網指定主機和業務的訪問
外聯業務平臺系統層安全設計策略
操作系統因為設計和版本的問題,存在許多的安全漏洞,同時因為在使用中安全設置不當,也會增加安全漏洞,帶來安全隱患,因此要定期漏洞掃描,及時升級、及時打補丁。外聯業務平臺應用層安全設計策略
根據銀行專用網絡的業務和服務,采用身份認證技術、防病毒技術以及對各種應用服務的安全性增強配置服務,保障網絡系統在應用層的安全。
(1)身份認證技術
公開密鑰基礎設施(PKI)是一種遵循標準的密鑰管理平臺,能夠為所有網絡應用透明地提供采用加密和數字簽名等密碼服務所必需的密鑰和證書管理。在總行和省行網絡中心建立CA中心,為應用系統的可靠運行提供支持。
進入指定數據交換區必須進行基于口令的身份認證。以撥號方式連接業務外聯平臺時,在撥號連接建立之前,必須通過基于靜態口令、動態口令或撥號回呼的身份認證。為了配合全行的集中認證工程,認證服務器必須采用全行統一規定的標準協議,能夠支持多級認證體系結構。
在集中認證系統投入使用之前,AAA服務器能夠獨立完成認證、授權和審計任務。在集中認證體系投入使用之后,AAA服務器能夠實現向上級認證服務器的認證請求轉發,實現集中認證。
(2)防病毒技術
病毒是系統中最常見、威脅最大的安全來源。我們必須有一個全方位的外聯網病毒防御體系,目前主要采用病毒防范系統解決病毒查找、清殺問題。五 外聯業務平臺安全審計
對進出業務外聯平臺的訪問必須進行審計,要求如下:
能夠生成進出業務外聯平臺的的訪問日志
日志內容包括訪問時間、主體和客體地址信息、訪問方式、訪問業務、訪問成敗情況、持續時間、同一訪問發起建立連接次數、本次訪問通信流量等
對所記錄的日志具有格式化的審計功能,能針對不同主體、客體、時間段、訪問成敗等情況進行統計并形式化輸出
網絡審計,防止非法內連和外連
數據庫審計,以更加細的粒度對數據庫的讀取行為進行跟蹤
應用系統審計,例如公文流轉經過幾個環節,必須要有清晰的記錄
主機審計,包括對終端系統安裝了哪些不安全軟件的審計,并設置終端系統的權限等等
介質審計,包括光介質、磁介質和紙介質的審計,防止機密信息通過移動U盤、非法打印或者照相等多個環節從信息系統中泄密。
對重要服務器的操作要有記錄;
對外網(互聯網)連接記錄要有針對性的審計;
對網絡內的流量、網絡設備工作狀態進行審計;
對重要的數據庫訪問記錄要進行有效的審計 六 外聯網絡安全管理
要保障外聯網絡安全運行,光靠技術控制還遠遠不夠,還要注意加強在安全管理方面的工作。就現階段而言,網絡安全最大的威脅不是來自外部,而是內部的安全制度、操作規范和安全監督機制。人是信息安全目標實現的主體,網絡安全需要全體人員共同努力,避免出現“木桶效應”。為此應著重解決好幾個方面的問題。
1、組織工作人員加強網絡安全學習,提高工作人員的維護網絡安全的警惕性和自覺性,提高保密觀念,提高安全意識,提高操作技能。
2、加強管理,建立一套行之有效的外聯網絡安全管理制度和操作人員守則,建立定期檢查制度和有效的監督體系。
3、大力推進外聯應用軟件的標準化,研究各種安全機制,創造一個具有安全設置的開發環境。
4、建立完善的管理制度
(1)建立外聯網絡聯網規定和聯網操作流程。
(2)建立責任分工制度,權限管理制度,明確崗位和職責,各司其職,各負其責。
(3)安全監督管理制度,是指專人對系統使用情況監控,防止非法操作,對發現的異常情況,要采取有效措施加以控制。
(4)采用必要的行政手段來落實各項安全責任,要在計算機系統中設置必要的審核機制,要建立嚴格的系統日志記錄管理機制。
(5)加強對各類人員的安全教育,使公眾了解提高外聯網絡安全的必要性,自覺遵守網絡安全管理制度。
(6)只有不斷完善和加強各種安全管理手段與安全技術防范,行政管理與技術方法相結合,才能有效保證網絡化系統的安全。
5、建立嚴格制度的文檔
(1)外聯網絡建設方案:網絡技術體制、網絡拓撲結構、設備配置、IP地址和域名分配方案等相關技術文檔;
(2)機房管理制度:包括對網絡機房實行分域控制,保護重點網絡設備和服務器的物理安全;
(3)各類人員職責分工:根據職責分離和多人負責的原則,劃分部門和人員職責。包括對領導、網絡管理員、安全保密員和網絡用戶職責進行分工;
(4)安全保密規定:制定頒布本部門計算機網絡安全保密管理規定;
(5)網絡安全方案:網絡安全項目規劃、分步實施方案、安全監控中心建設方案、安全等級劃分等整體安全策略;
(6)安全策略文檔:建立防火墻、入侵檢測、安全掃描和防病毒系統等安全設備的安全配置和升級策略以及策略修改登記;
(7)口令管理制度:嚴格網絡設備、安全設備、應用系統以及個人計算機的口令管理制度;
(8)系統操作規程:對不同應用系統明確操作規程,規范網絡行為;
(9)應急響應方案:建立外聯網絡數據備份策略和安全應急方案,確保外聯網絡的應急響應;
(10)用戶授權管理:以最小權限原則對外聯網絡用戶劃分數據庫等應用系統操作權限,并做記錄;
(11)安全防護記錄:記錄重大外聯網絡安全事件,對外聯網絡設備和安全系統進行日志分析,并提出修復意見;
(12)定期對系統運行、用戶操作等進行安全評估,提交外聯網絡安全報告。
(13)其它制度還有信息發布審批、設備安裝維護管理規定、人員培訓和應用系統等,以及全面建立計算機外聯網絡各類文檔,堵塞安全管理漏洞。結束語:
銀行外聯網絡安全建設不僅要有先進的安全技術,還要有嚴謹的管理制度,規范的操作流程才能保障銀行外聯網絡的安全和高效,才能徹底抵御來自外部和內部的攻擊。本方案在充分運用多種安全技術和安全策略的基礎上,還注重了安全審計和安全管理的建設,綜合提高外聯網絡的安全性,建設一個安全、可信、完善的銀行外聯網絡安全防御體系。
第二篇:電子政務網絡安全解決方案
電子政務網絡安全解決方案
電子政務網絡安全概述
以Internet為代表的全球性信息化浪潮日益深刻,信息網絡技術的應用正日益普及和廣泛,應用層次正在深入,應用領域從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展,典型的如行政部門業務系統、金融業務系統、政府機關商務系統等。伴隨網絡的普及,安全日益成為影響網絡效能的重要問題,而Internet所具有的開放性、國際性和自由性在增加應用自由度的同時,對安全提出了更高的要求。如何使信息網絡系統不受黑客和工業間諜的入侵,已成為政府機構、企事業單位信息化健康發展所要考慮的重要事情之一。
網絡規劃
各級網絡
利用現有線路及網絡進行完善擴充,建成互聯互通、標準統一、結構簡單、功能完善、安全可靠、高速實用、先進穩定的級別分明卻又統一的網絡。數據中心
建設集中的數據中心,對所有的信息資源、空間、信用等數據進行集中存放、集中管理。為省及各市部門、單位的關鍵應用及關鍵設施提供機房、安全管理與維護。網絡總體結構
政府機構從事的行業性質是跟國家緊密聯系的,所涉及信息可以說都帶有機密性,所以其信息安全問題,如敏感信息的泄露、黑客的侵擾、網絡資源的非法使用以及計算機病毒等。都將對政府機構信息安全構成威脅。為保證政府網絡系統的安全,有必要對其網絡進行專門安全設計。
所謂電子政務就是政府機構運用現代計算機技術和網絡技術,將其管理和服務的職能轉移到網絡上完成,同時實現政府組織結構和工作流程的重組優化,超越時間、空間和部門分隔的制約,向全社會提供高效、優質、規范、透明和全方位的管理與服務。
實現電子政務的意義在于突破了傳統的工業時代“一站式”的政府辦公模式,建立了適應網絡時代的“一網式”和“一表式”的新模式,開辟了推動社會信息化的新途徑,創造了政府實施產業政策的新手段。電子政務的出現有利于政府轉變職能,提高運作效率。
圖示:原有電子政務網絡情況
電子政務網絡的應用系統和網絡連接方式多樣,由于網絡本身及應用系統的復雜性,無論是有意的攻擊,還是無意的誤操作,都將會給系統帶來不可估量的損失。非法進入的攻擊者可能竊聽網絡上的信息、竊取用戶的口令、數據庫的信息;還可以篡改數據庫內容、偽造用戶身份、否認自己的簽名;更有甚者,攻擊者可以刪除數據庫內容、摧毀網絡節點等等。
因此在電子政務網絡的建設中,構建網絡安全系統以確保網絡信息的安全可靠是非常必要的。
物理安全風險分析
網絡物理安全是整個網絡系統安全的前提。物理安全的風險主要有: ◆地震、水災、火災等環境事故造成整個系統毀滅;
◆電源故障造成設備斷電以至操作系統引導失敗或數據庫信息丟失; ◆設備被盜、被毀造成數據丟失或信息泄漏; ◆電磁輻射可能造成數據信息被竊取或偷閱;
◆報警系統的設計不足可能造成原本可以防止但實際發生了的事故。鏈路傳輸風險分析
網絡安全不僅是入侵者到政府機關內部網上進行攻擊、竊取或其它破壞,他們完全有可能在傳輸線路上安裝竊聽裝置,竊取你在網上傳輸的重要數據,再通過一些技術讀出數據信息,造成泄密或者做一些篡改來破壞數據的完整性;以上種種不安全因素都對網絡構成嚴重的安全威脅。因此,對于政府這樣帶有重要信息傳輸的網絡,數據在鏈路上傳輸必須加密。并通過數字簽名及認證技術來保障數據在網上傳輸的真實性、機密性、可靠性及完整性。
遠程辦公安全接入 目前,政府網絡應用環境紛亂復雜,既有內部的應用如:內部OA系統、文件共享、Email等應用服務,又有眾多面向下屬單位、合作伙伴等對外的應用。如何地有效解決遠程用戶安全訪問網絡內部資源?
虛擬專用網技術(VPN,Virtual PrivateNetwork)是指在公共網絡中建立專用網絡,數據通過安全的“加密通道”在公共網絡中傳播。政府機關只需要租用本地的數據專線,連接上本地的公眾信息網,那么各地的機構就可以互相傳遞信息。使用VPN有節約成本、擴展性強、便于管理和實現全面控制等好處。在虛擬專用網中,任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路,而是利用某種公眾網的資源動態組成的,是通過私有的隧道技術在公共數據網絡上仿真一條點到點的專線技術。所謂虛擬,是指用戶不再需要擁有實際的長途數據線路,而是使用Internet公眾數據網絡的長途數據線路。所謂專用網絡,是指用戶可以為自己制定一個最符合自己需求的網絡。根據國家有關規定,政府網絡可以通過現有公有平臺搭建自己的內部網絡,但必須通過認證和加密技術,保證數據傳輸的安全性。
單獨的VPN網關的主要功能是IPSec數據包的加密/解密處理和身份認證,但它沒有很強的訪問控制功能,例如狀態包過濾、網絡內容過濾、防DDoS攻擊等。在這種獨立的防火墻和VPN部署方式下,防火墻無法對VPN的數據流量進行任何訪問控制,由此帶來安全性、性能、管理上的一系列問題。因此,在防火墻安全網關上集成VPN是當前安全產品的發展趨勢,能提供一個靈活、高效、完整的安全方案。
集成VPN的防火墻安全網關的優點是,它可以保證加密的流量在解密后,同樣需要經過嚴格的訪問控制策略的檢查,保護VPN網關免受DDoS攻擊和入侵威脅;提供更好的處理性能,簡化網絡管理的任務,快速適應動態、變化的網絡環境。因此,當前VPN技術已經成為安全網關產品的組成部分。
政府機關Intranet網絡建設的VPN連接方案,利用IPsec安全協議的VPN和加密能力,實現兩個或多個政府機關之間跨越因特網的政府機關內部網絡連接,實現了安全的政府機關內部的數據通信。通過防火墻內部策略控制體系,對VPN的數據可以進行有效的控制和管理,使政府機關的內部網絡通信具有良好的擴展性和管理性。
圖示:政府機關Intranet網VPN解決方案
如上圖示,原始的數據經過加密封裝在另外一個IP通道內,通道頭部地址就是防火墻外部端口的IP地址,以實現在公網鏈路上的傳輸。利用高強度的、動態變換的密鑰來保證數據的安全,168位的3DES算法更提供了業界最高級別的安全防御體系,使政府機關的內部數據可以無憂地在公網上傳輸,以達到政府機關內部網絡安全擴展的目的。
網絡結構的安全風險分析
(一)來自與公網互聯的安全威脅
如果政府內部網絡與Internet公網有互連。基于Internet公網的開放性、國際性與自由性,內部網絡將面臨更加嚴重的安全威脅。因為,每天黑客都在試圖闖入Internet節點,假如我們的網絡不保持警惕,可能連黑客怎么闖入的都不知道,甚至會成為黑客入侵其他網絡的跳板。政府行業內部網絡中其辦公系統及各人主機上都有涉密信息。
假如內部網絡的一臺機器安全受損(被攻擊或者被病毒感染),就會同時影響在同一網絡上的許多其他系統。透過網絡傳播,還會影響到與本系統網絡有連接的外單位網絡;影響所及,還可能涉及法律、金融等安全敏感領域。對于政府行業網絡系統,國家也有規定是不能與互聯網直接或間接與相連。
內部網絡與系統外部網互聯安全威脅
如果系統內部局域網絡與系統外部網絡間沒有采取一定的安全防護措施,內部網絡容易遭到來自外部網絡不懷好意的入侵者的攻擊。如:
入侵者通過Sniffer等程序來探測掃描網絡及操作系統存在的安全漏洞,如網絡IP地址、應用操作系統的類型、開放哪些TCP端口號、系統保存用戶名和口令等安全信息的關鍵文件等,并通過相應攻擊程序對內網進行攻擊。
入侵者通過網絡監聽等先進手段獲得內部網用戶的用戶名、口令等信息,進而假冒內部合法身份進行非法登錄,竊取內部網重要信息。
惡意攻擊:入侵者通過發送大量PING包對內部網重要服務器進行攻擊,使得服務器超負荷工作以至拒絕服務甚至系統癱瘓。
(三)內部局域網的安全威脅
據調查在已有的網絡安全攻擊事件中約70%是來自內部網絡的侵犯。比如內部人員故意泄漏內部網絡的網絡結構;安全管理員有意透露其用戶名及口令;內部員工編些具有破壞力的程序在內部網上傳播或者內部人員通過各種方式盜取他人涉密信息傳播出去。種種因素都對整體的網絡安全構成很大的威脅。
系統的安全風險分析
所謂系統安全通常是指網絡操作系統、應用系統的安全。目前的操作系統或應用系統無論是Windows還是其它任何商用UNIX操作系統以及其它廠商開發的應用系統,其開發廠商必然有其Back-Door(后門)。而且系統本身必定存在安全漏洞。這些“后門”或安全漏洞都將存在重大安全隱患。但是從實際應用上,系統的安全程度跟對其進行安全配置及系統的應用面有很大關系,操作系統如果沒有采用相應的安全配置,則其是漏洞百出,掌握一般攻擊技術的人都可能入侵得手。
如果進行安全配置,比如,填補安全漏洞,關閉一些不常用的服務,禁止開放一些不常用而又比較敏感的端口等,那么入侵者要成功進行內部網是不容易,這需要相當高的技術水平及相當長時間。因此應正確估價自己的網絡風險并根據自己的網絡風險大小做出相應的安全解決方案。
應用的安全風險分析
應用系統的安全涉及很多方面。應用系統是動態的、不斷變化的。應用的安全性也是動態的。這就需要我們對不同的應用,檢測安全漏洞,采取相應的安全措施,降低應用的安全風險。
(一)資源共享
政府網絡系統內部必有自動化辦公系統。而辦公網絡應用通常是共享網絡資源,比如文件、打印機共享等。由此就可能存在著:員工有意、無意把硬盤中重要信息目錄共享,長期暴露在網絡鄰居上,可能被外部人員輕易偷取或被內部其他員工竊取并傳播出去造成泄密,因為缺少必要的訪問控制策略。
電子郵件系統
電子郵件為網系統用戶提供電子郵件應用。內部網用戶可通過拔號或其它方式進行電子郵件發送和接收這就存在被黑客跟蹤或收到一些特洛伊木馬、病毒程序等,由于許多用戶安全意識比較淡薄,對一些來歷不明的郵件,沒有警惕性,給入侵者提供機會,給系統帶來不安全因素。
病毒侵害
自從1983年世界上第一個計算機病毒出現以來,在20多年的時間里,計算機病毒已到了無孔不入的地步,有些甚至給我們造成了巨大的破壞。
隨著網絡的普及和網速的提高,計算機之間的遠程控制越來越方便,傳輸文件也變得非常快捷,正因為如此,病毒與黑客程序(木馬病毒)結合以后的危害更為嚴重,病毒的發作往往伴隨著用戶機密資料的丟失。病毒的傳播可能會具有一定的方向性,按照制作者的要求侵蝕固定的內容。
由于網絡的普及,使得編寫病毒的知識越來越容易獲得。同時,各種功能強大而易學的編程工具讓用戶可以輕松編寫一個具有極強殺傷力的病毒程序。用戶通過網絡甚至可以獲得專門編寫病毒的工具軟件,只需要通過簡單的操作就可以生成破壞性的病毒。
網絡是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳播途徑潛入內部網。因此,病毒的危害的不可以輕視的。網絡中一旦有一臺主機受病毒感染,則病毒程序就完全可能在極短的時間內迅速擴散,傳播到網絡上的所有主機,可能造成信息泄漏、文件丟失、機器死機等不安全因素。
數據信息
數據安全對政府行業來說尤其重要,數據在廣域網線路上傳輸,很難保證在傳輸過程中不被非法竊取,篡改。現今很多先進技術,黑客或一些工業間諜會通過一些手段,設法在線路上做些手腳,獲得在網上傳輸的數據信息。也就造成的泄密。這對政府行業用戶來說,是決不允許的。
管理的安全風險分析
內部管理人員或員工把內部網絡結構、管理員用戶名及口令以及系統的一些重要信息傳播給外人帶來信息泄漏風險。
機房重地卻是任何都可以進進出出,來去自由。存有惡意的入侵者便有機會得到入侵的條件。
內部不滿的員工有的可能熟悉服務器、小程序、腳本和系統的弱點。利用網絡開些小玩笑,甚至破壞。如傳出至關重要的信息、錯誤地進入數據庫、刪除數據等等。這些都將給網絡造成極大的安全風險。
管理是網絡中安全得到保證的重要組成部分,是防止來自內部網絡入侵必須的部分。責權不明,管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。即除了從技術上下功夫外,還得依靠安全管理來實現。
防火墻系統設計方案
(一)防火墻系統
1、在各網絡出口處安裝曙光天羅防火墻。防火墻在這里首先起到網絡隔離、劃分不同安全域,進行訪問控制的功能。通過防火墻的多網口結構設計,控制授權合法用戶可以訪問到授權服務,而限制非授權的訪問。曙光天羅防火墻分為百兆和千兆兩個系列,可以根據各局內部網的規模大小選擇適合自己的產品。
2、曙光天羅防火墻自帶的入侵檢測功能采用了基于模式匹配的入侵檢測系統,超越了傳統防火墻中的基于統計異常的入侵檢測功能,實現了可擴展的攻擊檢測庫,真正實現了抵御目前已知的各種攻擊方法。防火墻的入侵檢測模塊,可以自動檢測網絡數據流中潛在的入侵、攻擊和濫用方式,通知管理員調整控制規則,為整個網絡提供動態的網絡保護。
3、利用曙光天羅防火墻自帶的VPN功能,實現多級VPN系統。防火墻VPN模塊支持兩種用戶模式:遠程訪問虛擬網(撥號VPN)和政府機關內部虛擬網(網關對網關VPN)。如上圖所示,在省地市三級網絡出口處安裝曙光天羅防火墻,利用防火墻的VPN模塊,實現他們之間分層次的政府機關內部虛擬網(網關對網關VPN);而對于一些規模比較小的區線或移動用戶,通過安裝VPN客戶端,實現遠程訪問虛擬網(撥號VPN),整個構成一個安全的虛擬內部局域網,保障電子政務網絡的數據安全傳輸。
(二)防火墻的VPN功能
VPN是平衡Internet的適用性和價格優勢的最有前途的新興通信手段之一。利用共享的IP網建立VPN連接,可以使服務對象減少對昂貴租用線路和復雜遠程訪問方案的依賴性。
也是至關重要的一點,它可以使移動用戶和一些小型的分支機構的網絡開銷減少達50%或更多;
政府機關新增的分支機構或站點可以非常迅速方便地加入政府機關已建的基于VPN的INTRANET,所以VPN的可擴展性大大優于傳統構建政府機關INTRANET的技術手段,如點對點專線或長途撥號;
VPN不僅可以大幅度削減傳輸數據的開銷,同時可以削減傳輸話音的開銷;
VPN創造了多種伴隨著Web發展而出現的新的商業機會,包括:進行全球電子商務,可以在減少銷售成本的同時增加銷售量;實現外連網,可以使用戶獲得關鍵的信息,更加貼近世界;可以訪問全球任何角落的電子通勤人員和移動用戶。
在當今全球激烈競爭的環境下,最先實現VPN的政府機關將在競爭獲得優勢已經是不爭的事實,許多政府機關也開始紛紛利用經濟有效的VPN來傳送話音業務,并從中受益:
◆ 減少用于相關的調制解調器和終端服務設備的資金及費用,簡化網絡; ◆ 實現本地撥號接入的功能來取代遠距離接入,這樣能顯著降低遠距離通信的費用; ◆ 遠端驗證撥入用戶服務基于標準,基于策略功能的安全服務;
◆ 將工作重心從管理和保留運作撥號網絡的工作人員轉到公司的核心業務上來; ◆ 強大的基于 Web的VPN管理工具提供基于策略的 VPN配置和監控,可以優化網絡資源;
◆ 極大的可擴展性,簡便地對加入網絡的新用戶進行調度。用戶不需改變網絡的原來架構,只須安裝客戶端軟件并且設置此軟件的一些參數即可。同時也支持傳統的應用,可以從小的政府機關擴展到最大的政府機關;
◆ 更大的網絡靈活性,可以管理和發布不同類型的數據進入同一Internet連接。VPN代表了當今網絡發展演化的最高形式,它綜合了傳統數據網絡的性能優點(安全和QoS)和共享數據網絡結構的優點(簡單和低成本),必將成為未來傳輸完全匯聚業務的主要工具。
用戶可以通過硬件和軟件的方式來實現VPN功能,一般用戶都會使用硬件設備。在總部架設一個帶有VPN功能的防火墻,就可以讓地方聯到總部的內部局域網了。使用這種具有VPN功能的防火墻都具有較高的安全性和穩定性,因一個最大的優點是既可以抵御外部的攻擊又可以提高自身網絡的安全性。
防火墻對服務器的保護
網絡中應用的服務器,信息量大、處理能力強,往往是攻擊的主要對象。另外,服務器提供的各種服務本身有可能成為“黑客”攻擊的突破口,因此,在實施方案時要對服務器的安全進行一系列安全保護。
如果服務器沒有加任何安全防護措施而直接放在公網上提供對外服務,就會面臨著“黑客”各種方式的攻擊,安全級別很低。因此當安裝防火墻后,所有訪問服務器的請求都要經過防火墻安全規則的詳細檢測。只有訪問服務器的請求符合防火墻安全規則后,才能通過防火墻到達內部服務器。防火墻本身抵御了絕大部分對服務器的攻擊,外界只能接觸到防火墻上的特定服務,從而防止了絕大部分外界攻擊。
(四)防火墻對內網的保護
網絡內部的環境比較復雜,而且各子網的分布地域廣闊,網絡用戶、設備接入的可控性比較差,因此,內部網絡用戶的可靠性并不能得到完全的保證。特別是對于存放敏感數據的主機的攻擊往往發自內部用戶,如何對內部用戶進行訪問控制和安全防范就顯得特別重要。為了保障內部網絡運行的可靠性和安全性,我們必須要對它進行詳盡的分析,盡可能防護到網絡的每一節點。
對于一般的網絡應用,內部用戶可以直接接觸到網絡內部幾乎所有的服務,網絡服務器對于內部用戶缺乏基本的安全防范,特別是在內部網絡上,大部分的主機沒有進行基本的安全防范處理,整個系統的安全性容易受到內部用戶攻擊的威脅,安全等級不高。根據國際上流行的處理方法,我們把內部用戶跨網段的訪問分為兩大類:其一,是內部網絡用戶之間的訪問,即單機到單機訪問。這一層次上的應用主要有用戶共享文件的傳輸(NETBIOS)應用;其次,是內部網絡用戶對內部服務器的訪問,這一類應用主要發生在內部用戶的業務處理時。一般內部用戶對于網絡安全防范的意識不高,如果內部人員發起攻擊,內部網絡主機將無法避免地遭到損害,特別是針對于NETBIOS文件共享協議,已經有很多的漏洞在網上公開報道,如果網絡主機保護不完善,就可能被內部用戶利用“黑客”工具造成嚴重破壞。
由于網絡環境的復雜化和網絡應用的多樣化日益明顯,對于內部網絡除了必要的防攻擊設置外還必須防止內部用戶的欺騙行為,比如IP地址欺騙、網絡連接的欺騙等。由于物理層上的原因,內部用戶接觸網絡服務的機會、方法很多,如果沒有專門的安全防護,“黑客”就可以比較容易地實施欺騙、偽造身份及暴力攻擊(CRACK),對于內部網絡的用戶,防范攻擊的難度較大。我們主要從以下幾個方面考慮:
1)內部網絡風險分析:由于內部攻擊發生的比較頻繁,因此我們首先要分析內部網絡的安全隱患,把可能發生的不安定因素找出來進行專門的安全處理;
2)內部用戶網絡和網絡的隔離:把內部比較重要的數據服務器放在專門的區域,加上獨立的控制體系,對于內部網的訪問同樣要進行相應的安全控制;
3)內部網絡安全保護:結合物理層和鏈路層的特點,在物理層和鏈路層的接口處實施安全控制,實施IP/MAC綁定。
IDS詳述
IDS(入侵檢測系統)對于關心網絡安全防護的人們來說已不再是一個陌生的名詞,在許多行業的計算機網絡安全防御工程中除了采用防病毒、防火墻或認證加密等系統外,有近15%的安全項目會涉及到IDS系統,而且這些項目一般都對安全等級的要求非常高,對數據信息的保密性也有特別的要求。
IDS系統
要想高效使用IDS首先要對它進行合理部署。通常IDS監控保護的基本單位是一個網段,單個網段的最小組成元素是各臺主機,政府機關對各主機、各網段的安全性要求程度一般都不相同,所以確定IDS的保護對象是合理使用IDS的關鍵。
在優先保護的網段中部署IDS系統,并配置合適的檢測策略,如在防火墻之內部署IDS則可把安全策略配置得緊一些,即使用最大化的檢測策略,而在防火墻之外部署則可采用較為寬松的策略,因為經過防火墻過濾后,內部網絡的安全狀況相對比較簡單,而外部的情況則較為復雜,誤報的可能性也較大。另外,在一定的情況下有些內部信任的主機也可能會觸發IDS的檢測引擎,從而形成報警,而對于用戶來說,這些報警事件是沒有什么參考價值的,所以需要在檢測范圍中排除這些主機的IP地址;通常IDS系統中都有一個過濾器(FILTER)模塊或像KIDS那樣所具有的“非阻斷列表”的功能選項,可以允許用戶加入所有他們所信任的主機IP地址。
目前大多數的IDS系統主要采用基于包特征的檢測技術來組建,它們的基本原理是對網絡上的所有數據包進行復制并檢測,然后與內部的攻擊特征數據庫(規則庫)進行匹配比較,如果相符即產生報警或響應。這種檢測方式雖然比異常統計檢測技術要更加精確,但會給IDS帶來較大的負載,所以需要對檢測策略作進一步的調整和優化。具體做法是根據政府機關自身網絡的業務應用情況,選擇最適合的檢測策略(可根據操作系統、應用服務或部署位置等),并對所選的策略進行修改,選擇具有參考價值的檢測規則,而去除一些無關緊要的選項,如對于全部是Windows的應用環境,則完全可以把UNIX的規則去掉。有些IDS除了提供攻擊特征檢測規則的定制功能外,還提供了對端口掃描檢測規則的自定義,如在KIDS中就可定義端口掃描的監控范圍、信任主機地址排除和掃描模式等參數,這些參數的合理配置都能將IDS的檢測能力優化到最理想的狀態。
IDS監控
IDS除了能對網絡上各種非法行為產生報警外還能對一些特定的事件進行實時的響應,因為只有采取及時的響應才能有效阻止重要的資源被破壞或被盜用。目前最常用的響應方式是對網絡中的非法連接進行阻斷,如利用防火墻阻斷、列入黑名單阻斷或HTTP阻斷等。在利用IDS進行監控時,不但需要查看它的報警提示,而且需要參考它所提供的實時狀態信息。因為在網絡中發生異常行為時,網絡中的許多狀態信息一般都與正常情況下的狀態不一樣。如主機正遭到拒絕服務攻擊時(DoS或DDoS),網絡中的數據流量便可能會急速上升,這時可以從包流量或字節流量等實時的狀態圖表中發現這樣的異常情況。所以參考IDS所顯示的狀態信息也是非常重要的。實時狀態信息還包括當前的活動TCP連接、TCP/UDP/IP/ICMP等協議的包或字節流量等。IDS的最重要價值之一是它能提供事后統計分析,所有安全事件或審計事件的信息都將被記錄在數據庫中,可以從各個角度來對這些事件進行分析歸類,以總結出被保護網絡的安全狀態的現狀和趨勢,及時發現網絡或主機中存在的問題或漏洞,并可歸納出相應的解決方案。
電子政務整體網絡安全解決方案
電子政務系統中存在大量敏感數據和應用,因此必須設計一個高安全性、高可靠性及高性能的防火墻安全保護系統,確保數據和應用萬無一失。
各局的局域網計算機工作站包括終端、廣域網路由器、服務器群都直接匯接到本局的主干交換機上。由于工作站分布較廣且全部連接,可以通過電子政務網絡進行相互訪問,服務器就有可能收到攻擊。因此,必須在各局之間相互進行隔離防護。
如下圖,我們在各局路由器后安裝曙光TLFW千兆防火墻,以有三千用戶在同時上Internet網計算,千兆防火墻的并發連接超過600,000,完全可以滿足整個網絡的需求,穩定性上也滿足要求。同時,將局內網與其他區域邏輯隔離開來,在數據中心內,根據不同的服務器對安全性的不同需求,將它們分等級劃分為不同的區域,并通過詳細的包過濾規則制定,將這些服務器徹底保護起來,保證它們之間不能跨級別訪問,這樣實現分級的安全性。
通過安裝防火墻,可以實現下列的安全目標:
1)利用防火墻將內部網絡、Internet外部網絡進行有效隔離,避免與外部網絡直接通信;
2)利用防火墻建立網絡各終端和服務器的安全保護措施,保證系統安全;
3)利用防火墻對來自非內部網的服務請求進行控制,使非法訪問在到達主機前被拒絕; 4)利用防火墻使用IP與MAC地址綁定功能,加強終端用戶的訪問認證,同時在不影響用戶正常訪問的基礎上將用戶的訪問權限控制在最低限度內;
5)利用防火墻全面監視對服務器的訪問,及時發現和阻止非法操作;
6)利用防火墻及服務器上的審計記錄,形成一個完善的審計體系,建立第二條防線; 7)根據需要設置流量控制規則,實現網絡流量控制,并設置基于時間段的訪問控制。下圖是電子政務網絡安全解決方案設計拓撲圖:
圖示:電子政務網絡安全總體拓撲
根據以上的分析,在整個政府網絡安全體系中,除了負責邊界安全的防火墻設備以外,還選擇了入侵檢測系統進行共同防范,達到整個系統的高安全性。
同時因為用戶有撥號VPN的需求,而曙光的天羅防火墻自身具備了VPN的功能,可以滿足遠程連接用戶的安全要求。
具備了高安全性、高可靠性、高性能、高適用性、易管理、高度集成、靈活擴展等產品特色。易于安裝和使用,網絡性能和透明性好,擁有自行設計的全中文化WWW管理界面,通過直觀、易用的界面來管理強大、復雜的系統功能。
可根據系統管理者設定的安全規則(Security Rules)把守網絡的大門,提供強大的訪問控制、網絡地址轉換(Network Address Translation)、帶寬控制、P2P協議過濾等功能。
根據電子政務的實際需要,充分利用了曙光天羅防火墻的各功能模塊,實現了各功能模塊(防火墻模塊、入侵檢測模塊、VPN模塊等)的協同工作,再加上NIDS網絡入侵檢測系統的重點防護,構建了一個整合的動態安全門戶,以比較經濟實惠的方式,實現了對電子政務網絡的整體安全防護。
第三篇:企業網絡安全解決方案畢業論文
婁底職業技術學院網絡專業畢業設計
宏錦網絡有限公司 企業網絡安全解決方案
摘 要
近幾年來,Internet技術日趨成熟,已經開始了從以提供和保證網絡聯通性為主要目標的第一代Internet技術向以提供網絡數據信息服務為特征的第二代Internet技術的過渡。這些都促使了計算機網絡互聯技術迅速的大規模使用。眾所周知,作為全球使用范圍最大的信息網,Internet自身協議的開放性極大地方便了各種計算機連網,拓寬了共享資源。但是,由于在早期網絡協議設計上對安全問題的忽視,以及在管理和使用上的無政府狀態,逐漸使Internet自身安全受到嚴重威脅,與它有關的安全事故屢有發生。網絡安全的威脅主要表現在:非授權訪問,冒充合法用戶,破壞數據完整性,干擾系統正常運行,利用網絡傳播病毒,線路竊聽等方面。因此本論文為企業(宏錦企業網絡)構架網絡安全體系,主要運用vlan劃分、防火墻技術、vpn、病毒防護等技術,來實現企業的網絡安全。
關鍵詞: 網絡,安全,VPN,防火墻,防病毒
I
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
Abstract In recent years, Internet technology has matured, has begun to provide and guarantee from the network connectivity as the main target of the first generation of Internet technology to provide network data services for the characteristics of the second generation of Internet technology transition.These all contributed to the rapid computer networking technology of large-scale use.As we all know, the world's largest information network use of, Internet openness of their agreement greatly facilitate a variety of computer networking to broaden the sharing of resources.However, in the early design of network protocols on security issues of neglect, as well as in management and use of the anarchy, the Internet increasingly serious threat to their security, and its related security incidents happened quite frequently.Network security threats mainly in: unauthorized access, posing as legitimate users, damage to data integrity, interfere with the normal operation of the system, using the Internet spread the virus, line tapping and so on.Therefore, this paper for the enterprise(Hong Jin corporate network)architecture network security system, mainly by the use of vlan, firewall, vpn, virus protection and other technologies to achieve corporate network security.Keywords: network, security, VPN, firewall, anti-virus
II
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
目 錄
緒 論....................................................................................................................................................................1 第一章 企業網絡安全概述...................................................................................................................................2 1.1 企業網絡的主要安全隱患.......................................................................................................................2
1.2 企業網絡的安全誤區...............................................................................................................................2 第二章 企業網絡安全現狀分析.........................................................................................................................4 2.1 公司背景.....................................................................................................................................................4 2.2 企業網絡安全需求.....................................................................................................................................4 2.3 需求分析.....................................................................................................................................................4 2.4 企業網絡結構.............................................................................................................................................5 第三章 企業網絡安全解決實施...........................................................................................................................6 3.1 宏錦網絡企業物理安全.............................................................................................................................6 3.2宏錦企業網絡VLAN劃分............................................................................................................................7 3.4 宏錦企業網絡防火墻配置.........................................................................................................................9 3.4 宏錦企業網絡VPN配置...........................................................................................................................12 3.5 宏錦企業網絡防病毒措施.......................................................................................................................13 第四章 宏錦企業的網絡管理.............................................................................................................................16 4.1宏錦企業網絡管理的問題........................................................................................................................16 4.2 宏錦企業網絡管理實施...........................................................................................................................16 總 結..................................................................................................................................................................18 致 謝..................................................................................................................................................................19 參考文獻...............................................................................................................................................................20
III
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
緒 論
隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終。
網絡安全問題伴隨著網絡的產生而產生,可以說,有網絡的地方就存在網絡安全隱患。像病毒入侵和黑客攻擊之類的網絡安全事件,目前主要是通過網絡進行的,而且幾乎每時每刻都在發生,遍及全球。除此之外,像惡意軟件入侵、攻擊,用戶的非法訪問和操作,用戶郵件的非法截取和更改等都是普遍存在的安全事實。網絡安全事件所帶來的危害,相信我們每個計算機用戶都或多或少地親身體驗過一些:輕則使電腦系統運行不正常,重則使整個計算機系統中的磁盤數據全部覆滅,甚至導致磁盤、計算機等硬件的損壞。
為了防范這些網絡安全事故的發生,每個計算機用戶,特別是企業網絡用戶,必須采取足夠的安全防范措施,甚至可以說要在利益均衡情況下不惜一切代價。但要注意,企業網絡安全策略的實施是一項系統工程,它涉及許多方面。因此既要充分考慮到那些平時經常提及的外部網絡威脅,又要對來自內部網絡和網絡管理本身所帶來的安全隱患有足夠的重視,不能孤立地看待任何一個安全隱患和安全措施。因為這些安全隱患爆發的途徑可以是多方面的,而許多安全措施都是相輔相成的。
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
第一章 企業網絡安全概述
1.1 企業網絡的主要安全隱患
現在網絡安全系統所要防范的不再僅是病毒感染,更多的是基于網絡的非法入侵、攻擊和訪問,同時企業網絡安全隱患的來源有內、外網之分,很多情況下內部網絡安全威脅要遠遠大于外部網絡,因為內部中實施入侵和攻擊更加容易,企業網絡安全威脅的主要來源主要包括。
1)病毒、木馬和惡意軟件的入侵。2)網絡黑客的攻擊。
3)重要文件或郵件的非法竊取、訪問與操作。4)關鍵部門的非法訪問和敏感信息外泄。5)外網的非法入侵。
6)備份數據和存儲媒體的損壞、丟失。
針對這些安全隱患,所采取的安全策略可以通過安裝專業的網絡版病毒防護系統,同時也要加強內部網絡的安全管理,配置好防火墻過濾策略和系統本身的各項安全措施,及時安裝系統安全補丁,有條件的還可以在內、外網之間安裝網絡掃描檢測、網絡嗅探器、IDS、IPS系統,甚至配置網絡安全隔離系統,對內、外網絡進行安全隔離;加強內部網絡的安全管理,嚴格實行“最小權限”原則,為各個用戶配置好恰當的用戶權限;同時對一些敏感數據進行加密保護,對數據還可以進行數字簽名措施;根據企業實際需要配置好相應的數據策略,并按策略認真執行。
1.2 企業網絡的安全誤區
(一)安裝防火墻就安全了
防火墻主要工作都是控制存取與過濾封包,所以對DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效,可以提供網絡周邊的安全防護。但如果攻擊行為不經過防火墻,或是將應用層的攻擊程序隱藏在正常的封包內,便力不從心了,許多防火墻只是工作在網絡層。
防火墻的原理是“防外不防內”,對內部網絡的訪問不進行任何阻撓,而事實上,企業網絡安全事件絕大部分還是源于企業內部。
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
(二)安裝了最新的殺毒軟件就不怕病毒了
安裝殺毒軟件的目的是為了預防病毒的入侵和查殺系統中已感染的計算機病毒,但這并不能保證就沒有病毒入侵了,因為殺毒軟件查殺某一病毒的能力總是滯后于該病毒的出現。
(三)在每臺計算機上安裝單機版殺毒軟件和網絡版殺毒軟件等效
網絡版殺毒軟件核心就是集中的網絡防毒系統管理。網絡版殺毒軟件可以在一臺服務器上通過安全中心控制整個網絡的客戶端殺毒軟件同步病毒查殺、監控整個網絡的病毒。同時對于整個網絡,管理非常方便,對于單機版是不可能做到的。
(四)只要不上網就不會中毒
雖然不少病毒是通過網頁傳播的,但像QQ聊天接發郵件同樣是病毒傳播的主要途徑,而且盜版光盤以及U盤等也會存在著病毒。所以只要計算機開著,就要防范病毒。
(五)文件設置只讀就可以避免感染病毒
設置只讀只是調用系統的幾個命令,而病毒或黑客程序也可以做到這一點,設置只讀并不能有效防毒,不過在局域網中為了共享安全,放置誤刪除,還是比較有用的。
(六)網絡安全主要來自外部
基于內部的網絡攻擊更加容易,不需要借助于其他的網絡連接方式,就可以直接在內部網絡中實施攻擊。所以,加強內部網絡安全管理,特別是用戶帳戶管理,如帳戶密碼、臨時帳戶、過期帳戶和權限等方面的管理非常必要了。
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
第二章 企業網絡安全現狀分析
2.1 公司背景
宏錦網絡有限公司是一家有100名員工的中小型網絡公司,主要以手機應用開發為主營項目的軟件企業。公司有一個局域網,約100臺計算機,服務器的操作系統是 Windows Server 2003,客戶機的操作系統是 Windows XP,在工作組的模式下一人一機辦公。公司對網絡的依賴性很強,主要業務都要涉及互聯網以及內部網絡。隨著公司的發展現有的網絡安全已經不能滿足公司的需要,因此構建健全的網絡安全體系是當前的重中之重。
2.2 企業網絡安全需求
宏錦網絡有限公司根據業務發展需求,建設一個小型的企業網,有Web、Mail等服務器和辦公區客戶機。企業分為財務部門和業務部門,需要他們之間相互隔離。同時由于考慮到Inteneter的安全性,以及網絡安全等一些因素,如DDoS、ARP等。因此本企業的網絡安全構架要求如下:
(1)根據公司現有的網絡設備組網規劃(2)保護網絡系統的可用性(3)保護網絡系統服務的連續性
(4)防范網絡資源的非法訪問及非授權訪問(5)防范入侵者的惡意攻擊與破壞
(6)保護企業信息通過網上傳輸過程中的機密性、完整性(7)防范病毒的侵害(8)實現網絡的安全管理。
2.3 需求分析
通過了解宏錦網絡公司的需求與現狀,為實現宏錦網絡公司的網絡安全建設實施網絡系統改造,提高企業網絡系統運行的穩定性,保證企業各種設計信息的安全性,避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對客戶端的計算機加以保護,記錄用戶對客戶端計算機中關鍵目錄和文件的操作,使企業有手段對用戶在客戶端計算機的使用
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
情況進行追蹤,防范外來計算機的侵入而造成破壞。通過網絡的改造,使管理者更加便于對網絡中的服務器、客戶端、登陸用戶的權限以及應用軟件的安裝進行全面的監控和管理。因此需要
(1)構建良好的環境確保企業物理設備的安全(2)劃分VLAN控制內網安全(3)安裝防火墻體系
(4)建立VPN(虛擬專用網絡)確保數據安全(5)安裝防病毒服務器(6)加強企業對網絡資源的管理
2.4 企業網絡結構
宏錦網絡公司網絡拓撲圖,如圖2-1所示:
圖2-1 企業網絡結構
由于宏錦網絡公司是直接從電信接入IP為58.192.65.62 255.255.255.0,直接經由防火墻分為DMZ區域和普通區域。防火墻上做NAT轉換,分別給客戶機端的地址為10.1.1.0 255.255.255.0。防火墻接客戶區端口地址為10.1.1.1 255.255.255.0。DMZ內主要有各類的服務器,地址分配為10.1.2.0 255.255.255.0。防火墻DMZ區的接口地址為10.1.2.1 255.255.255.0。內網主要由3層交換機作為核心交換機,下面有兩臺2層交換機做接入。
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
第三章 企業網絡安全解決實施
3.1 宏錦網絡企業物理安全
宏錦企業網絡中保護網絡設備的物理安全是其整個計算機網絡系統安全的前提,物理安全是指保護計算機網絡設備、設施以及其他媒體免遭地震、水災、火災等環境事故、人為操作失誤或各種計算機犯罪行為導致的破壞。
針對宏錦網絡企業的物理安全主要考慮的問題是環境、場地和設備的安全及物理訪問控制和應急處置計劃等。物理安全在整個計算機網絡信息系統安全中占有重要地位。它主要包括以下幾個方面: 1)保證機房環境安全
信息系統中的計算機硬件、網絡設施以及運行環境是信息系統運行的最基本的環境。要從一下三個方面考慮:a.自然災害、物理損壞和設備故障 b.電磁輻射、乘機而入、痕跡泄漏等 c.操作失誤、意外疏漏等 2)選用合適的傳輸介質
屏蔽式雙絞線的抗干擾能力更強,且要求必須配有支持屏蔽功能的連接器件和要求介質有良好的接地(最好多處接地),對于干擾嚴重的區域應使用屏蔽式雙絞線,并將其放在金屬管內以增強抗干擾能力。
光纖是超長距離和高容量傳輸系統最有效的途徑,從傳輸特性等分析,無論何種光纖都有傳輸頻帶寬、速率高、傳輸損耗低、傳輸距離遠、抗雷電和電磁的干擾性好保密性好,不易被竊聽或被截獲數據、傳輸的誤碼率很低,可靠性高,體積小和重量輕等特點。與雙絞線或同軸電纜不同的是光纖不輻射能量,能夠有效地阻止竊聽。3)保證供電安全可靠
計算機和網絡主干設備對交流電源的質量要求十分嚴格,對交流電的電壓和頻率,對電源波形的正弦性,對三相電源的對稱性,對供電的連續性、可靠性穩定性和抗干擾性等各項指標,都要求保持在允許偏差范圍內。機房的供配電系統設計既要滿足設備自身運轉的要求,又要滿足網絡應用的要求,必須做到保證網絡系統運行的可靠性,保證設備的設計壽命保證信息安全保證機房人員的工作環境。
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
3.2宏錦企業網絡VLAN劃分
VLAN技術能有效隔離局域網,防止網內的攻擊,所以宏錦網絡有限公司網絡中按部門進行了VLAN劃分,劃分為以下兩個VLAN:
財務部門 VLAN 10
交換機S1接入交換機(神州數碼DCS-3950)業務部門 VLAN 20
交換機S2接入交換機(神州數碼DCS-3950)核心交換機 VLAN間路由 核心交換機S3(神州數碼DCRS-5526)S1配置如下: switch> switch>ena switch#con switch(Config)#vlan 10 switch(Config-Vlan10)#sw int e 0/0/1-20 switch(Config-Vlan10)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan10 switch(dhcp-vlan10-config)#network-address 192.168.10.0 255.255.255.0 switch(dhcp-vlan10-config)#lease 3 switch(dhcp-vlan10-config)#default-router 192.168.1.1 switch(dhcp-vlan10-config)#dns-server 61.177.7.1 switch(dhcp-vlan10-config)#exit switch(config)ip dhcp excluded-address 192.168.10.1 S2配置如下: Switch> Switch>ena Switch#con
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
switch(Config)#vlan 20 switch(Config-Vlan20)#sw int e 0/0/1-20 switch(Config-Vlan20)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan20 switch(dhcp-vlan20-config)#network-address 192.168.20.0 255.255.255.0 switch(dhcp-vlan20-config)#lease 3 switch(dhcp-vlan20-config)#default-router 192.168.1.1 switch(dhcp-vlan20-config)#dns-server 61.177.7.1 switch(dhcp-vlan20-config)#exit switch(config)ip dhcp excluded-address 192.168.20.1 switch(config)ip dhcp excluded-address 192.168.20.150-192.168.20.240 S0配置如下: switch> switch>enable switch#config switch(Config)#hostname S0 S0(Config)#vlan 10 S0(Config-Vlan10)#vlan 20 S0(Config-Vlan20)#exit S0(Config)#int e 0/0/1-2 S0(Config-Port-Range)#sw m t S0(Config-Port-Range)#sw t a v a S0(Config-Port-Range)#exit S0(Config)#int vlan 10 S0(Config-If-Vlan10)#ip address 192.168.10.1 255.255.255.0 S0(Config-If-Vlan10)#no shutdown
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
S0(Config-If-Vlan10)#exit S0(Config)#int vlan 20 00:04:23: %LINK-5-CHANGED: Interface Vlan20, changed state to UP %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to UP S0(Config-If-Vlan20)#ip address 192.168.20.1 255.255.255.0 S0(Config-If-Vlan20)#no shutdown S0(Config-If-Vlan20)#exit S0(Config)#exit S0(Config-If-Vlan1)#ip address 192.168.1.1 255.255.255.0 S0(Config-If-Vlan1)#no shutdown S0(Config-If-Vlan1)#exit S0(Config)#exit S0#show ip route S0#con S0(Config)#ip route 58.192.65.0 255.255.255.0 10.1.1.1 3.4 宏錦企業網絡防火墻配置
宏錦企業網絡中使用的是神州數碼的DCFW-1800S UTM,里面包含了防火墻和VPN等功能。以下為配置過程:
在防火墻NAT策略下面,新增NAT。如圖3-1:
圖3-1 新增企業防火墻策略示意圖
源域:untrust; 源地址對象:any; 目的域:trust; 目的地址對象:any;
在全局安全策略設置里面如圖3-2和圖3-3所示:
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
圖3-2企業防火墻策略配置示意圖
圖 3-3 企業防火墻策略配置示意圖
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
圖3-4企業防火墻策略配置示意圖
可以設置全局下面訪問策略,以及域內和域間的訪問策略。這里我們設置,內部網絡為信任區域(trust),Inteneter為不信任區域(untrust),服務器區域為DMZ區域。動作包括permit允許,拒絕deny,以及其他的特定的服務。這里允許內部訪問外部和DMZ區域,而DMZ和Inteneter不允許訪問內部。但是處于中間位置的DMZ可以允許Inteneter的訪問。所以要添加好幾條NAT策略。
在網絡接口處如圖3-5所示:
圖3-5 網絡接口處配置示意圖
要配置3個以太網接口為up,安全區域分別為eth1:l2-trust,eth0:l2-untrust,eth2:l2-DMZ。其中接外網的eth0工作模式為路由模式,其余接DMZ和內部的都為NAT模式。如圖3-6所示:
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
圖3-6 以太網接口配置示意圖
同時為他們配好相應的網絡地址,eth0為58.192.65.62,eth1:10.1.1.1,eth2 10.1.2.1。
3.4 宏錦企業網絡VPN配置
宏錦企業網絡的VPN功能主要也是通過上面的防火墻實現的。如圖3-7,圖3-8所示:
圖3-7 PPTP協議示意圖
圖3-8 PPTP示意圖
這里我們使用PPTP協議來實現VPN,首先是新增PPTP地址池,范圍為192.168.20.150-192.168.20.240 如圖3-9所示:
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
圖3-9 PPTP協議實現VPN示意圖
在PPTP設置里面,選擇Chap加密認證,加密方式mppe-128。DNS分別為61.177.7.1,MTU為500。
3.5 宏錦企業網絡防病毒措施
針對宏錦企業網絡的現狀,在綜合考慮了公司對防病毒系統的性能要求、成本和安全性以后,我選用江民殺毒軟件KV網絡版來在內網中進行防病毒系統的建立。產品特點: KV網絡版是為各種簡單或復雜網絡環境設計的計算機病毒網絡防護系統,即適用于包含若干臺主機的單一網段網絡,也適用于包含各種WEB服務器、郵件服務器、應用服務器,以及分布在不同城市,包含數十萬臺主機的超大型網絡。KV網絡版具有以下顯著特點:
(1)先進的體系結構(2)超強的殺毒能力(3)完備的遠程控制(4)方便的分級、分組管理
宏錦企業網絡KV網絡版的主控制中心部署在DMZ服務器區,子控制中心部署在3層交換機的一臺服務器上。
網絡拓撲結構如圖3-10所示:
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
圖3-10 主控制中心部署圖
子控制中心與主控制中心關系: 控制中心負責整個KV網絡版的管理與控制,是整個KV網絡版的核心,在部署KV網絡時,必須首先安裝。除了對網絡中的計算機進行日常的管理與控制外,它還實時地記錄著KV網絡版防護體系內每臺計算機上的病毒監控、查殺病毒和升級等信息。在1個網段內僅允許安裝1臺控制中心。根據控制中心所處的網段的不同,可以將控制中心劃分為主控制中心和子控制中心,子控制中心除了要 完成控制中心的功能外,還要負責與它的上級——主控制中心進行通信。這里的“主”和“子”是一個 相對的概念:每個控制中心對于它的下級的網段來說都是主控制中心,對于它的上級的網段來說又是子控制中心,這種控制結構可以根據網絡的需要無限的延伸下去。
為宏錦企業網絡安裝好KV網絡版殺毒軟件后,為期配置軟件的安全策略。對宏錦企業客戶端計算機的KV軟件實現更為完善的遠程控制功能,利用KV軟件控制中心的“策略設置”功能組來實現。在此功能中可以針對單一客戶端、邏輯組、全網進行具有針對性的安全策略設置。在“策略設置”下拉菜單中,我們可以找到“掃描設置”、“反垃圾郵件”、“網址過濾”等與平時安全應用密切相關的各項應用配置選項,如圖3-11所示。
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
圖3-11 “策略設置”命令菜單
為宏錦企業網絡KV網絡版殺毒軟件配置“掃描設置”,掃描設置可對當前選擇的任意組或者任意節點的客戶端進行更加細化的掃描設置。宏錦企業可以自己設定適合于自己網絡環境的掃描方案,針對不同的策略對不同的客戶端進行分發不同的掃描命令。可以下發以下命令到節點計算機:掃描目標,定時掃描,分類掃描,不掃描文件夾,掃描報告,簡單而實用的設置頁大大的增加了網絡管理的易用性。其中掃描目標的設置界面如圖3-12所示。
圖3-12 掃描目標配置
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
第四章 宏錦企業的網絡管理
4.1宏錦企業網絡管理的問題
(1)計算機軟、硬件數量無法確實掌握,盤點困難;(2)單位的計算機數量越來越多,無法集中管理;
(3)無法有效防止員工私裝軟件,造成非法版權使用威脅;(4)硬件設備私下挪用、竊取,造成財產損失;(5)使用者計算機IP隨易變更,造成故障頻傳;(6)軟件單機安裝浪費人力,應用軟件版本不易控制;(7)重要資料遭非法拷貝,資料外泄,無法監督;(8)設備故障或資源不足,無法事先得到預警;
(9)應用軟件購買后,員工真正使用狀況如何,無從分析; 居高不下的信息化資源成本,不知如何改善。
4.2 宏錦企業網絡管理實施
針對宏錦企業網絡的需求,給企業安裝SmartIPVIew管理軟件實現宏錦企業網絡對公司內部的設備以及IP網絡資源管理。實施步驟安裝SmartIPVIew管理軟件,運行軟件添加宏錦企業的IP網段如圖4-1.火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
圖4-1 添加企業IP網段
單擊確認,添加宏錦企業內部IP網段便于企業管理企業內部用戶。對宏錦企業網絡內部設備的管理如下圖4-2所示。
圖4-2 添加網絡設備
如圖4-2添加宏錦企業的網絡設備,以實現企業對內部網絡設備的監控和方便管理能有效的提高辦公效率。
SmartIPVIew管理軟件獨創的IP地址資源管理技術,通過保護IP地址資源的安全使用,以及對IP地址資源的回收再利用,使有限的IP地址資源得到合理合法的使用,從而可以保證整個網絡資源的有效利用和安全。
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
總 結
隨著互聯網的飛速發展,網絡安全逐漸成為一個潛在的巨大問題。網絡安全性是一個涉及面很廣泛的問題,其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中,它主要關心的是確保無關人員不能讀取,更不能修改傳送給其他接收者的信息。此時,它關心的對象是那些無權使用,但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題,以及發送者是否曾發送過該條消息的問題。
本論文從企業角度描述了網絡安全的解決方案,目的在于為用戶提供信息的保密,認證和完整性保護機制,使網絡中的服務,數據以及系統免受侵擾和破壞。比如防火墻,認證,加密技術等都是當今常用的方法,本論文從這些方法入手深入研究各個方面的網絡安全問題的解決,可以使讀者有對網絡安全技術的更深刻的了解。
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
致 謝
在這幾個多月的畢業設計中,我真誠的感謝老師的指導,在老師的幫助下我才順利的完成畢業設計。
做畢業實際就需要把平時學到的東西在復習一遍,因為平時上課還有課后自己的學習,都主要在基于理論方面的,雖然也做很多實驗,但當把畢業設計當作一個實際的工程來做的時候就會發現很多的問題,這就需要老師的指導了,特別是老師讓我們在實訓機房里面,直接就各個硬件進行操作,這樣我們就不會空談就會做的更深層次。
所以很感謝老師的幫助,讓我更好的將理論和實踐相結合,最后完成了此次畢業設計,同時也為以后工作做了很好的準備。
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
參考文獻
[ 1 ] 王達.網管員必讀—網絡安全.北京:機械工業出版社,2009. [ 2 ] 黃傳河.網絡規劃設計師教程.北京:機械工業出版社,2009. [ 3 ] 張千里,陳光英.網絡安全新技術.北京:人民郵電出版社,2003 [ 4 ] 王衛紅,李曉明.計算機網絡與互聯網.北京:機械工業出版社,2009. [ 5 ] 易建勛.計算機網絡技術.北京:人民郵電出版社,2007.[ 6 ] 揚衛東.網絡系統集成與工程設計,2007.[ 7 ] 張千里,陳光英.網絡安全新技術.北京:人民郵電出版社,2003 [ 8 ] 徐超汗.計算機網絡安全實用技術,電子工業出版社,2005年3月 [ 9 ] 萬博公司技術部.網絡系統集成行業使用方案,海洋出版社,2006年 [10 ] 高永強,郭世澤.網絡安全技術與應用大典.北京:人民郵電出版社,2003
火龍果?整理 uml.org.cn
第四篇:XX校園網網絡安全解決方案
網絡安全課程設計
目錄
一、校園網概況
二、校園網安全需求分析
三、產品選型和網絡拓撲圖介紹
四、操作系統安全配置與測試
五、應用服務器(WWW)安全配置
六、防病毒體系設計
七、防火墻設計、配置與測試
一、校園網概況 該校園網始建于2000年8月,至今已經歷了四個主要發展階段,網絡覆蓋已遍及現有的教學辦公區和學生宿舍區。截止目前,校園網光纜鋪設約一萬二千米,信息點鋪設接近一萬,開設上網帳號8000多個,辦理學校免費郵箱2000左右。
校園網主干現為雙千兆環網結構。校園網接入均為千兆光纖到大樓,百兆交換到桌面,具有良好的網絡性能。
校園網現有三條寬帶出口并行接入Internet,500兆中國電信、100兆中國網通和100兆中國教育科研網,通過合理的路由策略,為校園網用戶提供了良好的出口帶寬。
校園網資源建設成效顯著,現有資源服務包括大學門戶網站、新聞網站、各學院和職能部門網站、安農科技網站、郵件服務、電子校務、畢博輔助教學平臺、在線電視、VOD點播、音樂欣賞、公用FTP、文檔下載、軟件下載、知識園地、站點導航、在線幫助、系統補丁、網絡安全、個人主頁、計費服務、VPN、DHCP、域名服務等。還有外語學習的平臺,圖書館豐富的電子圖書資源,教務處的學分制教學信息服務網、科技處的科研管理平臺等。眾多的資源服務構成了校園網的資源子網,為廣大師生提供了良好的資源服務。
二、校園網安全需求分析
將安全策略、硬件及軟件等方法結合起來,構成一個統一的防御系統,有效阻止非法用戶進入網絡,減少網絡的安全風險。
定期進行漏洞掃描,審計跟蹤,及時發現問題,解決問題。
通過入侵檢測等方式實現實時安全監控,提供快速響應故障的手段,同時具備很好的安全取證措施。
使網絡管理者能夠很快重新組織被破壞了的文件或應用。使系統重新恢復到破壞前的狀態,最大限度地減少損失。
在工作站、服務器上安裝相應的防病毒軟件,由中央控制臺統一控制和管理,實現全網統一防病毒。
通過對校園網網絡結構、應用及安全威脅分析,可以看出其安全問題主要集中在對服務器的安全保護、防黑客和病毒、重要網段的保護以及管理安全上。因此,我們必須采取相應的安全措施杜絕安全隱患,其中應該做到:
公開服務器的安全保護
防止黑客從外部攻擊
入侵檢測與監控
信息審計與記錄
病毒防護
數據安全保護
數據備份與恢復
網絡的安全管理
針對這個企業局域網絡系統的實際情況,在系統考慮如何解決上述安全問題的設計時應滿足如下要求:
1.大幅度地提高系統的安全性(重點是可用性和可控性);
2.保持網絡原有的能特點,即對網絡的協議和傳輸具有很好的透明性,能透明接入,無需更改網絡設置;
3.易于操作、維護,并便于自動化管理,而不增加或少增加附加操作;
4.盡量不影響原網絡拓撲結構,同時便于系統及系統功能的擴展;
5.安全保密系統具有較好的性能價格比,一次性投資,可以長期使用;
6.安全產品具有合法性,及經過國家有關管理部門的認可或認證; 7.分布實施。
三、產品選型和網絡拓撲圖介紹
該校園網現行核心區選用銳捷核心交換機RG-S5750S系列,24端口10/100/1000M自適應端口(支持PoE遠程供電),12個復用的SFP接口,2個擴展槽。支持4K個802.1Q VLAN 支持Super VLAN、支持Protocol VLAN、支持Private VLAN、支持Voice VLAN(*)、支持基于MAC地址的VLAN(*)、支持QinQ、支持STP、RSTP、MSTP。
防火墻采用深信服M5400VPN防火墻。2個LAN口,4個WAN口,2個串口。IPSec VPN隧道數:5200 條/并發SSL用戶數:800 /每秒新建用戶數:80 /每秒新建會話數:500/最大并發會話數目:600,000。接入層采用H3C S1048交換機,提供48個符合IEEE802.3u標準的10/100M自適應以太網接口,所有端口均支持全線速無阻塞交換以及端口自動翻轉功能,外形采用19英寸標準機架設計。符合IEEE802.3、IEEE802.3u和IEEE802.3x標準; 提供48個10/100M自適應以太網端口; 每個端口都支持Auto-MDI/MDIX功能; 每個端口都提供Speed和Link/Act指示燈,顯示端口的工作狀態。
校園網拓撲圖:
(四、五、)操作系統安全配置與測試,WWW配置與測試。
操作系統采用server 03,并在其上配置IIS、WWW、DHCP、DNS等。配置圖例如下:
然后建立網站文件夾目錄:
性能與目錄安全性配置:
可以通過IP地址和域名限制,創建虛擬文件目錄,更改端口號燈多種方法來提高WWW服務器的安全性。通過局域網網內不同主機對服務器的訪問來測試配置情況。
六、防病毒體系設計
防病毒體系總體規劃:
防病毒系統不僅是檢測和清除病毒,還應加強對病毒的防護工作,在網絡中不僅要部署被動防御體系(防病毒系統)還要采用主動防御機制(防火墻、安全策略、漏洞修復等),將病毒隔離在網絡大門之外。通過管理控制臺統一部署防病毒系統,保證不出現防病毒漏洞。因此,遠程安裝、集中管理、統一防病毒策略成為企業級防病毒產品的重要需求。
在跨區域的廣域網內,要保證整個廣域網安全無毒,首先要保證每一個局域網的安全無毒。也就是說,一個企業網的防病毒系統是建立在每個局域網的防病毒系統上的。應該根據每個局域網的防病毒要求,建立局域網防病毒控制系統,分別設置有針對性的防病毒策略。從總部到分支機構,由上到下,各個局域網的防病毒系統相結合,最終形成一個立體的、完整的病毒防護體系。
1.構建控管中心集中管理架構
保證網絡中的所有客戶端計算機、服務器可以從管理系統中及時得到更新,同時系統管理人員可以在任何時間、任何地點通過瀏覽器對整個防毒系統進行管理,使整個系統中任何一個節點都可以被系統管理人員隨時管理,保證整個防毒系統有效、及時地攔截病毒。2.構建全方位、多層次的防毒體系
結合企業實際網絡防毒需求,構建了多層次病毒防線,分別是網絡層防毒、郵件網關防毒、Web網關防毒、群件防毒、應用服務器防毒、客戶端防毒,保證斬斷病毒可以傳播、寄生的每一個節點,實現病毒的全面布控。3.構建高效的網關防毒子系統
網關防毒是最重要的一道防線,一方面消除外來郵件SMTP、POP3病毒的威脅,另一方面消除通過HTTP、FTP等應用的病毒風險,同時對郵件中的關鍵字、垃圾郵件進行阻擋,有效阻斷病毒最主要傳播途徑。
4.構建高效的網絡層防毒子系統
企業中網絡病毒的防范是最重要的防范工作,通過在網絡接口和重要安全區域部署網絡病毒系統,在網絡層全面消除外來病毒的威脅,使得網絡病毒不再肆意傳播,同時結合病毒所利用的傳播途徑,結合安全策略進行主動防御。
5.構建覆蓋病毒發作生命周期的控制體系 當一個惡性病毒入侵時,防毒系統不僅僅使用病毒代碼來防范病毒,而是具備完善的預警機制、清除機制、修復機制來實現病毒的高效處理,特別是對利用系統漏洞、端口攻擊為手段癱瘓整個網絡的新型病毒具有很好的防護手段。防毒系統在病毒代碼到來之前,可以通過網關可疑信息過濾、端口屏蔽、共享控制、重要文件/文件夾寫保護等多種手段來對病毒進行有效控制,使得新病毒未進來的進不來、進來后又沒有擴散的途徑。在清除與修復階段又可以對發現的病毒高效清除,快速恢復系統至正常狀態。6.病毒防護能力
防病毒能力要強、產品穩定、操作系統兼容性好、占用系統資源少、不影響應用程序的正常運行,減少誤報的幾率。7.系統服務
系統服務是整體防毒系統中極為重要的一環。防病毒體系建立起來之后,能否對病毒進行有效的防范,與病毒廠商能否提供及時、全面的服務有著極為重要的關系。這一方面要求軟件提供商要有全球化的防毒體系為基礎,另一方面也要求廠商能有精良的本地化技術人員作依托,不管是對系統使用中出現的問題,還是用戶發現的可疑文件,都能進行快速的分析和方案提供。如果有新病毒爆發及其它網絡安全事件,需要防病毒廠商具有較強的應急處理能力及售后服務保障,并且做出具體、詳細的應急處理機制計劃表和完善的售后服務保障體系。防病毒體系的管理功能:
防病毒系統能夠實現分級、分組管理,不同組及客戶端執行不同病毒查殺策略,全網定時/定級查殺病毒、全網遠程查殺策略設置、遠程報警、移動式管理、集中式授權管理、全面監控主流郵件服務器、全面監控郵件客戶端、統一的管理界面,直接監視和操縱服務器端/客戶端,根據實際需要,添加自定義任務(例如更新和掃描任務等),支持大型網絡統一管理的多級中心系統等多種復雜的管理功能。8.資源占用率 防病毒系統進行實時監控或多或少地要占用部分系統資源,這就不可避免地要帶來系統性能的降低。尤其是對郵件、網頁和FTP文件的監控掃描,由于工作量相當大,因此對系統資源的占用較大。因此,防病毒系統占用系統資源要較低,不影響系統的正常運行。8.系統兼容性
防病毒系統要具備良好的兼容性,將支持以下操作系統:Windows NT、Windows2000、Windows 9X/Me、Windows XP/Vista、Windows 2000/2003 /2008 Server、Unix、Linux等X86和X64架構的操作系統。
9.病毒庫組件升級
防病毒系統提供多種升級方式以及自動分發的功能,支持多種網絡連接方式,具有升級方便、更新及時等特點,管理員可以十分輕松地按照預先設定的升級方式實現全網內的統一升級,減少病毒庫增量升級對網絡資源的占用,并且采用均衡流量的策略,盡快將新版本部署到全部計算機上,時刻保證病毒庫都是最新的,且版本一致,杜絕因版本不一致而可能造成的安全漏洞和安全隱患。10.軟件商的企業實力
軟件商的實力一方面指它對現有產品的技術支持和服務能力,另一方面是指它的后續發展能力。因為企業級防毒軟件實際是用戶企業與防病毒廠商的長期合作,企業實力將會影響這種合作的持續性,從而影響到用戶企業在此方面的投入成本。
七、防火墻設計、配置
對于深信服M5400可以做以下方面的配置:
1、用戶與策略管理配置:
WEB、HTTP URL過濾:
郵件過濾:
網頁內容審計:
認證方式:
第五篇:大型企業網絡安全解決方案畢業論文
XXXXXXXXXXXXXXX 畢 業 論 文
企業網絡安全解決方案
姓 名:
學 號:
指導老師:
系 名:
專 業:
班 級:
XXXXXXXXXX計算機專業畢業設計
摘
要
隨著社會的飛速發展,網絡技術的也在飛速的發展之中,現如今網絡已經無所不在的影響著社會的政治、經濟、文化、軍事、意識形態和社會生活等各個方面。同時在全球范圍內,針對重要信息資源和網絡基礎設施的入侵行為和企圖入侵行為的數量仍然不斷增加,網絡攻擊與入侵行為對國家安全、經濟和社會生活造成了極大的威脅。計算機病毒的不斷的通過網絡產生和傳播,計算機網絡被不斷地非法入侵,重要情報、資料被竊取,甚至造成網絡系統的癱瘓等等,諸如此類的事件已經給政府以及企業造成了巨大的損失,甚至危害到國家的安全。網絡安全已經成為世界各國當今共同關注的焦點,網絡安全的重要性是不言而喻的。
本文是構思了一個虛擬的企業網絡的設計,重點研究了公司不同分部之間通過VPN技術來實現在廣域網中的加密連接。以及詳細的設計了總公司的網絡安全策略,保證了內部服務器等的信息安全,按照需求對企業網絡安全進行了系統的規劃,對計算機網絡安全進行了全面的分析。在滿足了各個子網連通的前提下,提出了包括AAA認證、SSH登陸、Easy VPN、訪問控制限制、NAT技術、入侵檢測部署、病毒防護、掃描系統管理措施和安全技術在內的整套方案。目的是建設一個完整的、安全的網絡體系,是網絡安全系統真正獲得較好的效果。關鍵詞: 網絡,安全,VPN,防火墻,防病毒
I
XXXXXXXXXX計算機專業畢業設計
Abstract
With the rapid development of society and also the rapid development of network technology, is now the network has been the ubiquitous influence of society in all aspects of political, economic, cultural, military, ideological and social life.Worldwide for the intrusion and the number of attempted intrusions of the important information resources and network infrastructure is still growing, network attacks and intrusions caused a grave threat to national security, economic and social life.Computer virus continues through the network and dissemination, computer networks are the illegal invasion, important information, data theft, and even cause paralysis of the network system, such events have caused huge losses to the government and enterprises, and even harm to national security.Network security has become the focus of attention today in the world, the importance of network security is self-evident.This article is the idea of a virtual enterprise network design, focusing on the encrypted connection between the different segments of the company through VPN technology to achieve WAN.And detailed design of the network security policy of the Corporation to ensure the internal server, such as information security, in accordance with the needs of enterprise network security planning of the system, conducted a comprehensive analysis of computer network security.Satisfy the premise that each subnet connectivity, including the AAA authentication, SSH login to the Easy VPN, access control restrictions, the NAT technology, intrusion detection deployment, virus protection, scanning system management measures and security technologies, including the package.The purpose is to build a complete, secure network architecture, network security systems really get better results.Keywords: network, security, VPN, firewall, anti-virus
II
XXXXXXXXXX計算機專業畢業設計
目錄
摘
要............................................................................................................................................................I 第一章 緒
論...............................................................................................................................................1 1.1 網絡的起源......................................................................................................................................1 1.2網絡安全的重要性...........................................................................................................................1 第二章 企業網絡安全概述...........................................................................................................................3 2.1 企業網絡的主要安全隱患............................................................................................................3 2.2 企業網絡的安全誤區....................................................................................................................3 第三章
企業網絡總體設計方案.................................................................................................................5 3.1 公司背景..........................................................................................................................................5 3.2 企業網絡安全需求..........................................................................................................................5 3.3 需求分析..........................................................................................................................................5 3.4 企業網絡結構..................................................................................................................................6 3.5 企業IP地址的劃分........................................................................................................................9 第四章 企業網絡安全技術介紹...................................................................................................................9 4.1 Easy VPN..........................................................................................................................................9 4.1.1 什么是VPN..........................................................................................................................9 4.1.2 VPN 的分類........................................................................................................................10 4.1.3 Easy VPN.............................................................................................................................10 4.2 SSH.................................................................................................................................................11 4.2.1 SSH介紹..............................................................................................................................11 4.2.2 SSH與Telnet的區別..........................................................................................................11 4.3 AAA服務器...................................................................................................................................12 4.3.1 AAA介紹............................................................................................................................12 4.3.2 認證(Authentication)...........................................................................................................12 4.3.3 授權(Authorization)............................................................................................................12 4.3.4 審計(Accounting)................................................................................................................13 4.4 IDS 入侵檢測系統.....................................................................................................................13 4.5 firewall 防火墻...........................................................................................................................13 4.5.1 什么是防火墻.....................................................................................................................13 4.5.2 防火墻類型.........................................................................................................................14 第五章 企業網絡設備實施方案.................................................................................................................14 5.1 企業物理安全規劃......................................................................................................................14 5.2 設備選型........................................................................................................................................15 5.3 設備配置........................................................................................................................................16 5.3.1 交換機.................................................................................................................................16 5.3.2 路由器與防火墻.................................................................................................................25 5.3.3 服務器.................................................................................................................................28 第六章 項目測試.........................................................................................................................................30 6.1 DHCP驗證.....................................................................................................................................32 6.2 網絡連通性....................................................................................................................................35 6.3 網絡安全性....................................................................................................................................37 6.3.1 SSH與console的權限.......................................................................................................37 6.3.2 網絡連通安全性.................................................................................................................40 6.4 分公司與總公司安全性................................................................................................................42 總
結...........................................................................................................................................................45 致
謝...........................................................................................................................................................46 參考文獻.......................................................................................................................................................47
III
XXXXXXXXXX計算機專業畢業設計
IV
XXXXXXXXXX計算機專業畢業設計
第一章 緒
論
1.1 網絡的起源
與很多人的想象相反,Internet并非某一完美計劃的結果,Internet的創始人也絕不會想到它能發展成目前的規模和影響。在Internet面世之初,沒有人能想到它會進入千家萬戶,也沒有人能想到它的商業用途。
1969年12月,Internet的前身--美國的ARPA網(為了能在爆發核戰爭時保障通信聯絡,美國國防部高級研究計劃署ARPA資助建立了世界上第一個分組交換試驗網ARPANET)投入運行,它標志著我們常稱的計算機網絡的興起。這個計算機互聯的網絡系統是一種分組交換網。分組交換技術使計算機網絡的概念、結構和網絡設計方面都發生了根本性的變化,它為后來的計算機網絡打下了基礎。
八十年代初,隨著PC個人微機應用的推廣,PC聯網的需求也隨之增大,各種基于PC互聯的微機局域網紛紛出臺。這個時期微機局域網系統的典型結構是在共享介質通信網平臺上的共享文件服務器結構,即為所有聯網PC設置一臺專用的可共享的網絡文件服務器。PC是一臺“麻雀雖小,五臟俱全”的小計算機,每個PC機用戶的主要任務仍在自己的PC機上運行,僅在需要訪問共享磁盤文件時才通過網絡訪問文件服務器,體現了計算機網絡中各計算機之間的協同工作。由于使用了較PSTN速率高得多的同軸電纜(費用少,傳輸距離100米)、光纖等高速傳輸介質,使PC網上訪問共享資源的速率和效率大大提高。這種基于文件服務器的微機網絡對網內計算機進行了分工:PC機面向用戶,微機服務器專用于提供共享文件資源。所以它實際上就是一種客戶機/服務器模式。
進入九十年代,計算機技術、通信技術以及建立在計算機和網絡技術基礎上的計算機網絡技術得到了迅猛的發展。特別是1993年美國宣布建立國家信息基礎設施NII后,全世界許多國家紛紛制定和建立本國的NII,從而極大地推動了計算機網絡技術的發展,使計算機網絡進入了一個嶄新的階段。目前,全球以美國為核心的高速計算機互聯網絡即Internet已經形成,Internet已經成為人類最重要的、最大的知識寶庫。而美國政府又分別于1996年和1997年開始研究發展更加快速可靠的互聯網2(Internet 2)和下一代互聯網(Next Generation Internet)。可以說,網絡互聯和高速計算機網絡正成為最新一代的計算機網絡的發展方向。
1.2網絡安全的重要性
隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。經營管理對
XXXXXXXXXX計算機專業畢業設計
計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終。
網絡安全問題伴隨著網絡的產生而產生,可以說,有網絡的地方就存在網絡安全隱患。像病毒入侵和黑客攻擊之類的網絡安全事件,目前主要是通過網絡進行的,而且幾乎每時每刻都在發生,遍及全球。除此之外,像惡意軟件入侵、攻擊,用戶的非法訪問和操作,用戶郵件的非法截取和更改等都是普遍存在的安全事實。網絡安全事件所帶來的危害,相信我們每個計算機用戶都或多或少地親身體驗過一些:輕則使電腦系統運行不正常,重則使整個計算機系統中的磁盤數據全部覆滅,甚至導致磁盤、計算機等硬件的損壞。
為了防范這些網絡安全事故的發生,每個計算機用戶,特別是企業網絡用戶,必須采取足夠的安全防范措施,甚至可以說要在利益均衡情況下不惜一切代價。但要注意,企業網絡安全策略的實施是一項系統工程,它涉及許多方面。因此既要充分考慮到那些平時經常提及的外部網絡威脅,又要對來自內部網絡和網絡管理本身所帶來的安全隱患有足夠的重視,不能孤立地看待任何一個安全隱患和安全措施。因為這些安全隱患爆發的途徑可以是多方面的,而許多安全措施都是相輔相成的。
XXXXXXXXXX計算機專業畢業設計
第二章 企業網絡安全概述
2.1 企業網絡的主要安全隱患
現在網絡安全系統所要防范的不再僅是病毒感染,更多的是基于網絡的非法入侵、攻擊和訪問,由于企業在各地可能有不同公司,但是公司之間信息通過廣域網相連,所以信息很容易被黑客等截下。現如今企業網絡安全威脅的主要來源主要包括。
1)病毒、木馬和惡意軟件的入侵。2)網絡黑客的攻擊。
3)重要文件或郵件的非法竊取、訪問與操作。4)關鍵部門的非法訪問和敏感信息外泄。5)外網的非法入侵。
6)備份數據和存儲媒體的損壞、丟失。
針對這些安全隱患,所采取的安全策略可以通過安裝專業的網絡版病毒防護系統,同時也要加強內部網絡的安全管理,配置好防火墻過濾策略和系統本身的各項安全措施,及時安裝系統安全補丁,本部與分部之間運行VPN等防護通信信息的安全性,加強內部網絡的安全管理,嚴格實行“最小權限”原則,為各個用戶配置好恰當的用戶權限;同時對一些敏感數據進行加密保護,如財政部等要設立訪問權限;根據企業實際需要配置好相應的數據策略,并按策略認真執行。
2.2 企業網絡的安全誤區
(一)安裝防火墻就安全了
防火墻主要工作都是控制存取與過濾封包,所以對DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效,可以提供網絡周邊的安全防護。但如果攻擊行為不經過防火墻,或是將應用層的攻擊程序隱藏在正常的封包內,便力不從心了,許多防火墻只是工作在網絡層。
防火墻的原理是“防外不防內”,對內部網絡的訪問不進行任何阻撓,而事實上,企業網絡安全事件絕大部分還是源于企業內部。
(二)安裝了最新的殺毒軟件就不怕病毒了
安裝殺毒軟件的目的是為了預防病毒的入侵和查殺系統中已感染的計算機病毒,但這并不能保證就沒有病毒入侵了,因為殺毒軟件查殺某一病毒的能力總是滯后于該病毒的出現。
(三)在每臺計算機上安裝單機版殺毒軟件和網絡版殺毒軟件等效
XXXXXXXXXX計算機專業畢業設計
網絡版殺毒軟件核心就是集中的網絡防毒系統管理。網絡版殺毒軟件可以在一臺服務器上通過安全中心控制整個網絡的客戶端殺毒軟件同步病毒查殺、監控整個網絡的病毒。同時對于整個網絡,管理非常方便,對于單機版是不可能做到的。
(四)只要不上網就不會中毒
雖然不少病毒是通過網頁傳播的,但像QQ聊天接發郵件同樣是病毒傳播的主要途徑,而且盜版光盤以及U盤等也會存在著病毒。所以只要計算機開著,就要防范病毒。
(五)文件設置只讀就可以避免感染病毒
設置只讀只是調用系統的幾個命令,而病毒或黑客程序也可以做到這一點,設置只讀并不能有效防毒,不過在局域網中為了共享安全,放置誤刪除,還是比較有用的。
(六)網絡安全主要來自外部
基于內部的網絡攻擊更加容易,不需要借助于其他的網絡連接方式,就可以直接在內部網絡中實施攻擊。所以,加強內部網絡安全管理,特別是用戶帳戶管理,如帳戶密碼、臨時帳戶、過期帳戶和權限等方面的管理非常必要了。
XXXXXXXXXX計算機專業畢業設計
第三章
企業網絡總體設計方案
3.1 公司背景
公司北京總部有一棟大樓,員工人數大約800人,在全國設有4個分公司(上海、廣州、重慶和西安)。總部與分公司利用當地的ISP連接。通過網絡安全方案設計,加固企業網絡,避免因為安全問題導致的業務停滯;同時保證總部與分公司之間高安全、低成本的要求。公司對網絡的依賴性很強,主要業務都要涉及互聯網以及內部網絡。面對對頻繁出現的黑客入侵和網絡故障,直接危害網絡的運行和業務的正常開展。因此構建健全的網絡安全體系是當前的重中之重。
3.2 企業網絡安全需求
公司根據網絡需求,建設一個企業網絡,北京總部存儲主要機密信息在服務器中,有AAA服務器、內部DNS服務器、FTP服務器、HTTP服務器。企業分經理辦公室、財政部、市場部、軟件部、系統集成部以及外來接待廳,需要各部門隔開,同時除了經理辦公室外其余不能訪問財政部,而接待廳不能訪問公司內部網絡,只能連通外網。同時由于考慮到Inteneter的安全性,以及網絡安全等一些因素,如VPN、NAT等。因此本企業的網絡安全構架要求如下:
(1)根據公司需求組建網絡(2)保證網絡的連通性(3)保護網絡信息的安全性
(4)防范網絡資源的非法訪問及非授權訪問(5)防范入侵者的惡意攻擊與破壞
(6)保護企業本部與分部之間通信信息的完整與安全性(7)防范病毒的侵害(8)實現網絡的安全管理。
3.3 需求分析
通過對公司的實際需求來規劃網絡設計,為公司的網絡安全建設實施網絡系統改造,提高企業網絡系統運行的穩定性,保證企業各種設計信息的安全性,避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對客戶端的計算機加以保護,記錄用戶對客戶端計算機中關鍵目錄和文件的操作,使企業有手段對用戶在客戶端計算機的使用情況進行追蹤,防范外來計算機的侵入而造成破壞。通過
XXXXXXXXXX計算機專業畢業設計
網絡的改造,使管理者更加便于對網絡中的服務器、客戶端、登陸用戶的權限以及應用軟件的安裝進行全面的監控和管理。因此需要
(1)構建良好的環境確保企業物理設備的安全(2)IP地址域的劃分與管理(3)劃分VLAN控制內網安全(4)安裝防火墻體系
(5)建立VPN(虛擬專用網絡)確保數據安全(6)安裝防病毒服務器(7)加強企業對網絡資源的管理(8)做好訪問控制權限配置(9)做好對網絡設備訪問的權限
3.4 企業網絡結構
北京總公司網絡拓撲圖,如圖2-1所示:
XXXXXXXXXX計算機專業畢業設計
服務器群IDS入侵檢測經理辦公室匯聚交換機核心交換機接入交換機財務部匯聚交換機匯聚交換機防火墻接入交換機接入交換機接入交換機軟件部市場部系統集成部接待部
圖2-1 北京總部網絡結構
分公司網絡拓撲,如圖2.2所示:
XXXXXXXXXX計算機專業畢業設計
上海分公司廣州分公司重慶分公司西安分公司Internet廣域網Web服務器
圖2-2 公司分部網絡結構
圖2.1與2.2通過防火墻相連,防火墻上做NAT轉換,Easy VPN等。核心交換機配置基于VLAN的DHCP,網絡設備僅僅只能由網絡管理員進行遠程控制,就算是Console控制也需要特定的密碼,外部分公司通過VPN連接能夠訪問北京總公司內部網絡,北京總公司內網中,接待廳網絡設備僅僅能訪問外部網絡,無法訪問公司內網。
XXXXXXXXXX計算機專業畢業設計
3.5 企業IP地址的劃分
由于是現實中,公網IP地址需要向ISP運行商申請,而本解決方案是虛擬題,故公網IP為虛擬的,由于現如今IPv4地址及其短缺,而IPv6技術還不是很成熟,所以公司內部使用私有地址網段,本著節省地址的原則,北京公司內部一共有800左右終端,所以由192.168.0.0/22網絡段劃分。由于本課題重點為總公司內部網絡安全,以及總公司與分公司之間連通性的網絡安全,所以分公司內部沒有詳細化,所以分公司地址一律192.168.1.1/24網段,ip地址分配為一下:
總公司總網段:192.168.0.0/22
名稱 VLAN ID IPv4地址段 網關地址
經理辦公室 10 192.168.3.192/26 192.168.3.193 財政部 20 192.168.3.128/26 192.168.3.129 軟件部 30 192.168.0.0/24 192.168.0.1 市場部 40 192.168.1.0/24 192.168.1.1 系統集成中心 50 192.168.2.0/24 192.168.2.1 參觀中心 60 192.168.3.0/25 192.168.3.1 網管中心 99 192.168.3.240/30 192.168.3.241 服務器集群 100 192.168.3.224/28 192.168.3.225 核心與路由器 無 192.168.3.244/30 路由器與防火墻 無 192.168.3.248/29 其他分公司 1 192.168.1.0/24 192.168.1.1
第四章 企業網絡安全技術介紹
4.1 Easy VPN 4.1.1 什么是VPN 虛擬專用網絡(Virtual Private Network,簡稱VPN)指的是在公用網絡上建立專用網絡的技術。其之所以稱為虛擬網,主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路,而是架構在公用網絡服務商所提供的網絡平臺,如Internet、ATM(異步傳
XXXXXXXXXX計算機專業畢業設計
輸模式〉、Frame Relay(幀中繼)等之上的邏輯網絡,用戶數據在邏輯鏈路中傳輸。它涵蓋了跨共享網絡或公共網絡的封裝、加密和身份驗證鏈接的專用網絡的擴展。VPN主要采用了隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。
4.1.2 VPN 的分類
根據不同的劃分標準,VPN可以按幾個標準進行分類劃分
1.按VPN的協議分類 VPN的隧道協議主要有三種,PPTP,L2TP和IPSec,其中PPTP和L2TP協議工作在OSI模型的第二層,又稱為二層隧道協議;IPSec是第三層隧道協議,也是最常見的協議。L2TP和IPSec配合使用是目前性能最好,應用最廣泛的一種。
2.按VPN的應用分類
1)Access VPN(遠程接入VPN):客戶端到網關,使用公網作為骨干網在設備之間傳輸VPN的數據流量。從PSTN、ISDN或PLMN接入。
2)Intranet VPN(內聯網VPN):網關到網關,通過公司的網絡架構連接來自同公司的資源。
3)Extranet VPN(外聯網VPN):與合作伙伴企業網構成Extranet,將一個公司與另一個公司的資源進行連接
3.按所用的設備類型進行分類
網絡設備提供商針對不同客戶的需求,開發出不同的VPN網絡設備,主要為交換機,路由器,和防火墻
1)路由器式VPN:路由器式VPN部署較容易,只要在路由器上添加VPN服務即可 只支持簡單的PPTP或IPSEC。
2)交換機式VPN:主要應用于連接用戶較少的VPN網絡
3)防火墻式VPN:防火墻式VPN是最常見的一種VPN的實現方式,許多廠商都提供這種配置類型
4.1.3 Easy VPN easy VPN又名EzVPN,是Cisco專用VPN技術。它分為EASY VPN SERVER和EASY VPN REMOTE兩種,EASY VPN SERVER 是REMOT--ACCESS VPN專業設備。配置復雜,支持POLICY PUSHING等特性,此技術基于IPsec協議為基礎,擴展的的cisco私有協議,支持遠程登錄,并且根據自己的AAA的服務器去認證其可靠性,如認證通過,會為訪問者分配自己內部IP地址,保證其訪問內部信息。在Easy VPN連接成功后,對于ISP運行商來說總公司與分公司數據的傳輸是透明的,就像拉了一根專線一樣,通過抓包等方式捕獲數據包會發現全為ESP數據,無法從數據包中獲得任何信息,由于其加密方式為HASH速算,根據其雪崩效應想通過加密包算出真是數據的可能性幾乎為0,所以數據的傳輸上的安全性被大大地保證了。
XXXXXXXXXX計算機專業畢業設計
4.2 SSH 4.2.1 SSH介紹
SSH 為 Secure Shell 的縮寫,由 IETF 的網絡工作小組(Network Working Group)所制定;SSH 為建立在應用層和傳輸層基礎上的安全協議。
SSH 主要有三部分組成:
1)傳輸層協議 [SSH-TRANS]
提供了服務器認證,保密性及完整性。此外它有時還提供壓縮功能。SSH-TRANS 通常運行在 TCP/IP連接上,也可能用于其它可靠數據流上。SSH-TRANS 提供了強力的加密技術、密碼主機認證及完整性保護。該協議中的認證基于主機,并且該協議不執行用戶認證。更高層的用戶認證協議可以設計為在此協議之上。
2)用戶認證協議 [SSH-USERAUTH]
用于向服務器提供客戶端用戶鑒別功能。它運行在傳輸層協議 SSH-TRANS 上面。當SSH-USERAUTH 開始后,它從低層協議那里接收會話標識符(從第一次密鑰交換中的交換哈希H)。會話標識符唯一標識此會話并且適用于標記以證明私鑰的所有權。SSH-USERAUTH 也需要知道低層協議是否提供保密性保護。
3)連接協議 [SSH-CONNECT]
4.2.2 SSH與Telnet的區別
傳統的網絡服務程序,如:ftp、pop和telnet在本質上都是不安全的,因為它們在網絡上用明文傳送口令和數據,別有用心的人非常容易就可以截獲這些口令和數據。而且,這些服務程序的安全驗證方式也是有其弱點的,就是很容易受到“中間人”(man-in-the-middle)這種方式的攻擊。所謂“中間人”的攻擊方式,就是“中間人”冒充真正的服務器接收你傳給服務器的數據,然后再冒充你把數據傳給真正的服務器。服務器和你之間的數據傳送被“中間人”一轉手做了手腳之后,就會出現很嚴重的問題。
SSH是替代Telnet和其他遠程控制臺管理應用程序的行業標準。SSH命令是加密的并以幾種方式進行保密。
在使用SSH的時候,一個數字證書將認證客戶端(你的工作站)和服務器(你的網絡設備)之間的連接,并加密受保護的口令。SSH1使用RSA加密密鑰,SSH2使用數字簽名算法(DSA)密鑰保護連接和認證。加密算法包括Blowfish,數據加密標準(DES),以及三重DES(3DES)。SSH保護并且有助于防止欺騙,“中間人”攻擊,以及數據包監聽。
通過使用SSH,你可以把所有傳輸的數據進行加密,這樣“中間人”這種攻擊方式就不可能實現了,而且也能夠防止DNS欺騙和IP欺騙。使用SSH,還有一個額外的好處就是傳輸的數據是經過壓縮的,所以可以加快傳輸的速度。SSH有很多功能,它既可以代替Telnet,又可以為FTP、PoP、甚至為PPP提供一個安全的“通道”。
XXXXXXXXXX計算機專業畢業設計
4.3 AAA服務器
4.3.1 AAA介紹
AAA是認證、授權和記賬(Authentication、Authorization、Accounting)三個英文單詞的簡稱。其主要目的是管理哪些用戶可以訪問網絡服務器,具有訪問權的用戶可以得到哪些服務,如何對正在使用網絡資源的用戶進行記賬。具體為:
1、認證(Authentication): 驗證用戶是否可以獲得訪問權限;
2、授權(Authorization): 授權用戶可以使用哪些服務;
3、審計(Accounting): 記錄用戶使用網絡資源的情況。
4.3.2 認證(Authentication)認證負責在用戶訪問網絡或網絡服務器以前,對用戶進行認證。
如需配置AAA認證,管理員可以創建一個命名的認證列表,然后把這個列表應用到各種接口上。這個方法列表可以定義所要執行的認證類型和他們的順序。管理員需要基于每個接口來應用這些方法。然而,當管理員沒有定義其他認證方法是,cisco路由器和交換機上的所有接口都關聯了一個默認的方法列表,名為Default。但管理員定義的方法列表會覆蓋默認方法列表。
除了本地認證、線路密碼的Enable認證以外,其他所有的認證方法都需要使用AAA。
4.3.3 授權(Authorization)授權為遠程訪問控制提供了方法。這里所說的遠程訪問控制包括一次性授權,或者基于每個用戶賬號列表或用戶組為每個服務進行授權。
交換機或路由器上的AAA授權是通過連接一個通用的集中式數據庫,并訪問其中的一系列屬性來工作的,這些說性描述了網絡用戶的授權服務,比如訪問網絡中的不同部分。交換機或路由器會向服務器詢問用戶真實的能力和限制,集中式服務器向其返回授權結果,告知用戶所能夠使用的服務。這個數據庫通常是位于中心位置的服務器,比如RADIUS或者TACACS+安全服務器。但管理員也可以使用本地數據庫。遠程安全服務器(比如RADIUS和TACACS+)通過把用戶與相應的AVP(屬性值對)相關聯,來收與用戶具體的權限。RADIUS和TACACS+把這些AVP配置應用給用戶或者用戶組。每個AVP由一個類型識別符和一個或多個分配給它的值組成。AVP在用戶配置文件(User Profile)和組配置文件(Group Profile)中指定的AVP,為相應的用戶和組定義了認證和授權特性。
XXXXXXXXXX計算機專業畢業設計
4.3.4 審計(Accounting)審計為收集和發送安全服務器信息提供了方法,這些信息可以用于計費(billing)、查賬(auditing)和報告(reporting)。這類信息包括用戶身份、網絡訪問開始和結束的時間、執行過的命令(比如PPP)、數據包的數量和字節數量。這些信息是交換機和路由器能夠檢測登錄的用戶,從而對于查賬和增強安全性有很大幫助。
在很多環境中,AAA都會使用多種協議來管理其安全功能,比如RADIUS、TACACS+或者802.1x。如果網絡中的交換機充當網絡接入服務器角色,那么AAA就是網絡訪問服務器與RADIUS、TACACS+或者802.1x安全服務器之間建立連接的方法。
AAA是動態配置的,它允許管理員基于每條線路(每個用戶)或者每個服務(比如IP、IPX或VPDN[虛擬私有撥號網絡])來配置認證和授權。管理員先要創建方法列表,然后把這些方法列表應用到指定的服務或接口上,以針對每條線路或每個用戶進行運作。
4.4 IDS 入侵檢測系統
由于Cisco packet Tracer 5.3無法模擬IDS設備,又由于IDS在實際企業網絡中作用很大,所以在拓撲圖中將其設計進去,在這里做一些基本介紹。
IDS是英文“Intrusion Detection Systems”的縮寫,中文意思是“入侵檢測系統”。專業上講就是依照一定的安全策略,通過軟、硬件,對網絡、系統的運行狀況進行監視,盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網絡系統資源的機密性、完整性和可用性。做一個形象的比喻:假如防火墻是一幢大樓的門鎖,那么IDS就是這幢大樓里的監視系統。一旦小偷爬窗進入大樓,或內部人員有越界行為,只有實時監視系統才能發現情況并發出警告。
入侵檢測可分為實時入侵檢測和事后入侵檢測兩種。
實時入侵檢測在網絡連接過程中進行,系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網絡模型對用戶當前的操作進行判斷,一旦發現入侵跡象立即斷開入侵者與主機的連接,并收集證據和實施數據恢復。這個檢測過程是不斷循環進行的。
事后入侵檢測則是由具有網絡安全專業知識的網絡管理人員來進行的,是管理員定期或不定期進行的,不具有實時性,因此防御入侵的能力不如實時入侵檢測系統。
4.5 firewall 防火墻
4.5.1 什么是防火墻
所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法,它是一種計算機硬件和軟件的結合,使Internet與Intranet之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入,防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成,防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件。該計算機流入流出的所有網絡通信和數據包均要經過此防火墻。
在網絡中,所謂“防火墻”,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際
XXXXXXXXXX計算機專業畢業設計
上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度,它能允許你“同意”的人和數據進入你的網絡,同時將你“不同意”的人和數據拒之門外,最大限度地阻止網絡中的黑客來訪問你的網絡。換句話說,如果不通過防火墻,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。
4.5.2 防火墻類型
主要有2中,網絡防火墻和應用防火墻。
1)網絡層防火墻
網絡層防火墻可視為一種 IP 封包過濾器,運作在底層的 TCP/IP 協議堆棧上。我們可以以枚舉的方式,只允許符合特定規則的封包通過,其余的一概禁止穿越防火墻(病毒除外,防火墻不能防止病毒侵入)。這些規則通常可以經由管理員定義或修改,不過某些防火墻設備可能只能套用內置的規則。
我們也能以另一種較寬松的角度來制定防火墻規則,只要封包不符合任何一項“否定規則”就予以放行。現在的操作系統及網絡設備大多已內置防火墻功能。
較新的防火墻能利用封包的多樣屬性來進行過濾,例如:來源 IP 地址、來源端口號、目的 IP 地址或端口號、服務類型(如 www.tmdps.cn hostname SWc!enable password cisco!ip dhcp excluded-address 192.168.0.1 DHCPip dhcp excluded-address 192.168.3.129 ip dhcp excluded-address 192.168.3.1 ip dhcp excluded-address 192.168.1.1 ip dhcp excluded-address 192.168.2.1 ip dhcp excluded-address 192.168.3.193!ip dhcp pool vlan30 network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 192.168.3.227 DNSip dhcp pool vlan40 network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 192.168.3.227 ip dhcp pool vlan50 network 192.168.2.0 255.255.255.0 default-router 192.168.2.1 dns-server 192.168.3.227 ip dhcp pool vlan10
設置交換機域名,與SSH驗證有關用戶登入特權模式密碼 在分配時排除該IP地址 這些地址為網段的網關地址 開啟一個DHCP地址池 分配的網絡段 默認網關IP地址 地址 21
XXXXXXXXXX計算機專業畢業設計
network 192.168.3.192 255.255.255.224 default-router 192.168.3.193 dns-server 192.168.3.227 ip dhcp pool vlan60 network 192.168.3.0 255.255.255.128 default-router 192.168.3.1 dns-server 192.168.3.227 ip dhcp pool vlan20 network 192.168.3.128 255.255.255.192 default-router 192.168.3.129 dns-server 192.168.3.227 ip routing 開啟路由功能,這條很重,不然無法啟動路由協議等!username beijiangong password 0 cisco 設置遠程登錄時用戶名與密碼!interface FastEthernet0/1 switchport access vlan 100 switchport mode access!interface FastEthernet0/2 switchport trunk encapsulation dot1q 配置trunk的封裝格式 switchport mode trunk!interface FastEthernet0/3 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet0/4 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet0/5 no switchport 啟動3層接口
XXXXXXXXXX計算機專業畢業設計
ip address 192.168.3.245 255.255.255.252 duplex auto 自動協商雙工 speed auto 自動協商速率!interface FastEthernet0/6 switchport access vlan 99!interface Vlan1 no ip address shutdown!interface Vlan10 ip address 192.168.3.193 255.255.255.224!interface Vlan20 ip address 192.168.3.129 255.255.255.192 ip access-group 20 out 在此接口的出方向啟動acl 20!interface Vlan30 ip address 192.168.0.1 255.255.255.0!interface Vlan40 ip address 192.168.1.1 255.255.255.0!interface Vlan50 ip address 192.168.2.1 255.255.255.0!interface Vlan60 ip address 192.168.3.1 255.255.255.128 ip access-group 101 out 在此接口的出方向啟動acl 101!interface Vlan99
XXXXXXXXXX計算機專業畢業設計
ip address 192.168.3.241 255.255.255.252!interface Vlan100 ip address 192.168.3.230 255.255.255.240!router ospf 10 啟動OSPF 進程號為10 router-id 1.1.1.1 為本設備配置ID標示符 log-adjacency-changes 開啟系統日志關于ospf變化 network 192.168.3.245 0.0.0.0 area 0 宣告網絡,與其區域 network 192.168.3.193 0.0.0.0 area 1 network 192.168.3.129 0.0.0.0 area 1 network 192.168.0.1 0.0.0.0 area 2 network 192.168.1.1 0.0.0.0 area 2 network 192.168.2.1 0.0.0.0 area 3 network 192.168.3.1 0.0.0.0 area 3 network 192.168.3.230 0.0.0.0 area 4 network 192.168.3.241 0.0.0.0 area 5!ip classless!access-list 10 permit host 192.168.3.242 acl 10 允許該主機地址 access-list 20 deny 192.168.0.0 0.0.0.255 acl 20 拒絕該網段 access-list 20 deny 192.168.1.0 0.0.0.255 access-list 20 deny 192.168.2.0 0.0.0.255 access-list 20 deny 192.168.3.0 0.0.0.255 access-list 101 deny ip 192.168.3.0 0.0.0.127 192.168.0.0 0.0.3.255(擴展acl 101 拒絕該網段的ip協議去訪問192.168.0.0/22網段)access-list 101 permit ip any any 允許所有ip協議的任何源目訪問!crypto key generate rsa 設置SSH的加密算法為rsa(隱藏命令,在show run中看不到!!
XXXXXXXXXX計算機專業畢業設計
line con 0 password cisco 設置console密碼
line vty 0 4 進入vty接口 默認登入人數為5 access-class 10 in 在該接口入方向啟動acl 10 password cisco 密碼為cisco login local 登入方式為本地認證 transport input ssh 更改登錄方式為SSH!end 5.3.2 路由器與防火墻
R1: hostname r1!enable password cisco!username beijiangong password 0 cisco!interface FastEthernet0/0 ip address 192.168.3.246 255.255.255.252 duplex auto speed auto!interface FastEthernet0/1 ip address 192.168.3.249 255.255.255.248 duplex auto speed auto!router ospf 10 router-id 2.2.2.2 log-adjacency-changes network 192.168.3.246 0.0.0.0 area 0
XXXXXXXXXX計算機專業畢業設計
network 192.168.3.249 0.0.0.0 area 6!ip classless!access-list 10 permit host 192.168.3.242!no cdp run!line con 0 password cisco line vty 0 4 access-class 10 in password cisco login local!!end Firewall: hostname ASA!enable password cisco!aaa new-model 開啟AAA功能!aaa authentication login eza group radius 啟動認證登錄組名為eza分類為radius!
aaa authorization network ezo group radius啟動授權組名為eza分類為radius!username beijiangong password 0 cisco!crypto isakmp policy 10 設置加密密鑰策略 encr 3des 啟動3重加密算法 hash md5 啟動MD5認證 authentication pre-share 認證方式為共享 group 2 優先級組別為2!crypto isakmp client configuration group myez 設置密鑰客戶端等級組 key 123 為等級組設置密碼
pool ez 為客戶分配內部IP地址池!
XXXXXXXXXX計算機專業畢業設計
crypto ipsec transform-set tim esp-3des esp-md5-hmac 傳輸隧道封裝類型!crypto dynamic-map ezmap 10 進入隧道封裝策略模式
set transform-set tim 調用上面設置的封裝組tim reverse-route 開啟vpn的反向路由!crypto map tom client authentication list eza 加密組tom的客戶認證調用上面的eza組
crypto map tom isakmp authorization list ezo 加密組tom的密鑰授權管理方式調用上面的eza組
crypto map tom client configuration address respond 加密組tom為客戶分配IP地址
crypto map tom 10 ipsec-isakmp dynamic ezmap 加密組tom調用隧道加密格式名稱為ezmap!interface FastEthernet0/0 ip address 192.168.3.250 255.255.255.248 ip nat inside duplex auto speed auto!interface FastEthernet0/1 no ip address duplex auto speed auto shutdown!interface Serial0/2/0 ip address 100.1.1.1 255.255.255.0 ip nat outside crypto map tom!interface Serial0/3/0 no ip address shutdown!interface Vlan1 no ip address shutdown!router ospf 10 router-id 3.3.3.3 log-adjacency-changes network 192.168.3.250 0.0.0.0 area 6 default-information originate 向其他ospf鄰居宣告默認路由!ip local pool ez 192.168.3.251 192.168.3.254 配置VPN登入進來后分配的IP地址池
ip nat inside source list 1 interface Serial0/2/0 overload 設置動態NAT將acl 1的地址轉化為s0/2/0并多路復用 ip classless ip route 0.0.0.0 0.0.0.0 Serial0/2/0 默認路由 都走s0/2/0
XXXXXXXXXX計算機專業畢業設計
!access-list 1 permit 192.168.0.0 0.0.3.255 access-list 10 permit host 192.168.3.242!no cdp run 關閉鄰居發現協議!radius-server host 192.168.3.225 auth-port 1645 key 123 指定AAA服務器地址與Easy VPN 端口號以及對應密鑰!line con 0 password cisco login line vty 0 4 access-class 10 in password cisco login local!End
5.3.3 服務器
AAA服務器配置:
XXXXXXXXXX計算機專業畢業設計
HTTP服務器:
DNS服務器:
XXXXXXXXXX計算機專業畢業設計
第六章 項目測試
Packet Tracer 模擬器實驗拓撲圖
所有設備的用戶名為:beijiangong 密碼:cisco
VPN 登錄配置: 組名:beijiangong Key:123 服務器IP:100.1.1.1 用戶名:123 密碼:123
XXXXXXXXXX計算機專業畢業設計
北京總公司 圖A
分公司以及ISP網絡 圖B
XXXXXXXXXX計算機專業畢業設計
6.1 DHCP驗證
北京總公司內網所有設備都是通過DHCP獲取的IP地址,但是不同VLAN所獲得的IP地址段是不同的,驗證其在不同VLAN下是否獲得正確的IP地址、網關、掩碼和DNS。
1)經理辦公室 VLAN 10 配置方法,首先在Packet Tracer下,點擊相應的PC,如圖6-1-1
圖6-1-1 點擊左上角第一欄,ip Configuration 進入IP地址配置畫面 如圖6-1-2
XXXXXXXXXX計算機專業畢業設計
IP地址配置畫面 圖6-1-2
點擊DHCP,獲取IP地址,等待1-2S后查看結果 如圖6-1-3
圖6-1-3 根據提示可以看出獲得了正確的IP地址。
2)財政部 VLAN 20 如圖6-1-4
圖6-1-4
XXXXXXXXXX計算機專業畢業設計
3)軟件部 VLAN 30 如圖6-1-5
圖6-1-5 4)市場部 VLAN 40 如圖 6-1-6
圖6-1-6 5)系統集成部 VLAN 50 如圖6-1-7
圖6-1-7
XXXXXXXXXX計算機專業畢業設計
6)參觀中心 VLAN 60 如圖 6-1-8
圖6-1-8
6.2 網絡連通性
建立好網絡后,最重要的一點就是網絡連通性,根據公司需求,內部計算機獲得自己IP地址,自己的DNS服務器與網關,那應該可以去訪問外網服務器,以達到訪問公網的目的。
1)隨便開啟一臺PC機,如經理辦公室PC 圖6-2-1
圖6-2-1 點擊Command prompt 進入其電腦的CMD命令格式
圖6-2-2
XXXXXXXXXX計算機專業畢業設計
圖6-2-2
輸入ping 命令,在虛擬網絡中,如圖A 運行商IP地址為100.1.1.2 所以先ping運行商網關。在命令行中輸入ping 100.1.1.2,可能第一個包會因為ARP的關系而丟失,但是后續會很穩定。如圖6-2-3
圖6-2-3
2)檢查網絡內部DNS的正確性
XXXXXXXXXX計算機專業畢業設計
打開PC機瀏覽器,如下圖所示6-2-4
圖6-2-4 如圖B所示,在公網中,有一個百度的服務器,域名為www.tmdps.cn 通過瀏覽器訪問百度看是否成功。如圖6-2-5
圖6-2-5 如圖所示,訪問成功,表示公司內部網絡連通性已經保證暢通。
6.3 網絡安全性
在保證了連通性的基礎上,驗證其安全性
6.3.1 SSH 與console的權限
在設備安裝完畢后,公司內部不可能派專門的保安去看護,所以網絡設備的安全就需要有所保證,不能讓人們輕易的進入其配置模式,輕易的去更改配置,所以要設置用戶名密碼。如圖6-3-1所示,一臺PC需要console核心交換機
XXXXXXXXXX計算機專業畢業設計
圖6-3-1 如圖6-2-7所示,需要點擊下圖所示單元進入console連接模式
圖6-3-2 選好會話數,速率等基本參數后點擊OK連接設備的控制臺 如圖6-3-3
圖6-3-3
發現需要輸入用戶名密碼,否側無法進入控制界面,輸入用戶名密碼后進入用戶模式,進入特權模式需要輸入特權密碼,輸入正確用戶名密碼后才能進入。如圖6-3-4
XXXXXXXXXX計算機專業畢業設計
圖6-3-4
當然console的限制很大,有監控設備,與機柜鎖,能夠最大限度的保證其安全性,所以console的安全性問題不是很大,而telnet 的控制起來就需要用策略來限制了。
如果想telnet設備需要知道其設備上的IP地址,而本公司DHCP中的網關地址基本都是在核心上,所以設備上的IP地址基本誰都知道,而核心設備僅僅需要網絡管理員去管理,所以加了acl去選擇telnet 的對象。而在加密方面我選擇了SSH而不是非加密的Telnet.如圖所示,僅有網絡管理員才能ssh設備,其他員工無法ssh設備。這是管理員ssh的效果,輸入正確的用戶名密碼后,進入其配置界面。如圖6-3-5
圖6-2-10 這是其他設備ssh的效果,無論嘗試幾個設備上的地址都被拒絕了,這樣就能保證設備控制的安全性。雖然能夠訪問其地址,但是無法取得其TCP端口號22的訪問權 如圖6-3-6
XXXXXXXXXX計算機專業畢業設計
圖6-3-6
6.3.2 網絡連通安全性
在一個公司內部,雖然大家共享上網資源,但是各部門之間的資料還是有一些機密的,特別是財政部,一個公司財政信息都是很機密的,所以不希望其他公司內部Pc能夠連通到此部門,所以也要通過acl去限制,去隔離一些區域。
財政部IP 192.168.3.130 軟件部IP 192.168.0.2 市場部IP 192.168.1.2
正常情況下,三個部門是可以正常ping通的,但是財政部的安全性,所以其他2個部門無法訪問財政部,但是可以互相訪問。
如圖6-3-7所示,軟件部無法訪問財政部,但是可以訪問市場部
XXXXXXXXXX計算機專業畢業設計
圖6-3-7 這樣就保證了財政部的獨立性,保證了其安全,由于公司內部需要有客人訪問,而客人往往需要上網,所以需要控制其上網行為,如果有惡意行為,盜取公司其他部門資料,那也會造成嚴重的損失,所以,要保證其在公司參觀中心上網,只能訪問外網,不能訪問公司內部其他主機。
如圖6-3-8所示,參觀中心的終端能夠訪問外網百度服務器,但是無法訪問內部市場部PC設備。
XXXXXXXXXX計算機專業畢業設計
圖6-3-8
6.4 分公司與總公司安全性
由于分公司之間通過ISP與總公司通信,所以數據通信需要安全性,在這里我選擇了EASY VPN,由于各分公司內部全部使用私網地址,所以無法與總公司內部通信,因為私網地址無法宣告到公網中,而通過easy vpn連接后,本部通過給客戶分配總公司自己的私網地址,使其能夠訪問公司內部,而通信過程中數據時加密的,無法竊取,保證了其安全性。
如圖6-4-1連接easy vpn首先要在客戶端PC打開VPN連接。
圖6-4-1 在這里設置好用戶組、用戶名、總公司的公網地址以及密碼后連接VPN 如圖6-4-2
XXXXXXXXXX計算機專業畢業設計
圖6-4-2 連接后需要等2-3秒,即連接成功,而且顯示被分配的IP地址 如圖6-4-3
圖6-4-3
進行Ping命令就可以訪問北京總部的內網地址終端了。如圖6-4-4
XXXXXXXXXX計算機專業畢業設計
圖6-4-4 這樣網絡的安全性就得到了很大的提升。
XXXXXXXXXX計算機專業畢業設計
總
結
隨著互聯網的飛速發展,網絡安全逐漸成為一個潛在的巨大問題。網絡安全性是一個涉及面很廣泛的問題,其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中,它主要關心的是確保無關人員不能讀取,更不能修改傳送給其他接收者的信息。此時,它關心的對象是那些無權使用,但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題,以及發送者是否曾發送過該條消息的問題。
本論文從企業角度描述了網絡安全的解決方案,目的在于為用戶提供信息的保密,認證和完整性保護機制,使網絡中的服務,數據以及系統免受侵擾和破壞。比如防火墻,認證,加密技術等都是當今常用的方法,本論文從這些方法入手深入研究各個方面的網絡安全問題的解決,可以使讀者有對網絡安全技術的更深刻的了解。
在本方案設計之初,我對網絡安全的理解還是很淺,包括到了現在我對它的還是只有一點點的認知,但是通過這次設計,讓我對網絡安全產生了很濃厚的興趣,很高興能夠選到這個課題,但這只是一次虛擬題,希望以后有機會在工作中能夠得到真實的項目去完成網絡安全的設計方案,但是,路還很長,需要學習的知識還很多,但是有興趣才是王道。
點擊咨詢 