根據第二章對蚌埠市懷洪新河管理局的安全需求分析,結合安全設計的策略,我們提出網路安全設計方案。同時,根據使用者的實際情況結合成本投入等因素,我們將整個方案將首先解決時間緊迫且安全隱患最大的安全問題,即防火牆系統,其他安全產品如入侵監測系統、防病毒系統的部署將根據蚌埠市懷洪新河管理局裡的實際情況再分步建設。
1、 將蚌埠市懷洪新河管理局內部網與其它外部網路安全隔離,拒絕非法訪問,惡意攻擊,保護網路邊界的安全。
2、 抵擋木馬攻擊、蠕蟲攻擊、後門攻擊、利用漏洞攻擊和拒絕服務攻擊。
3、 強化對網路的控制,確保關鍵業務的網路頻寬。
4、 確保內部資料庫伺服器的資料安全,並方便內、外資料庫資料傳輸管理。
5、 避免因網路管理導致的安全風險。
部署方案示意圖如下圖所示:
在蚌埠市懷洪新河管理局內部網與外部網之間部署高效能的防火牆——1臺聯想網御power v203防火牆。對內、外網訪問進行必要的控制,避免不必要的登陸訪問破壞內部資源。
為保證網路系統安全可靠的執行,保障系統資源受控合法的使用,防火牆應具有或實現以下功能:
1. 包過濾、應用**和nat功能:在區域網與外網接點處加入防火牆,實現訪問訪問控制。因此選用的防火牆產品必須具有包過濾、應用**和位址轉換等功能。
2. 高效能:對各區域網進行網段劃分,設定伺服器網段、管理網段等不同網段通過交換機劃分虛擬子網(vlan)。伺服器網段放置重要的資源伺服器、資料庫伺服器等,對該網段需設定防火牆特別保護。
由於該網段處於區域網內,所有內部、外部使用者均需通過防火牆對伺服器進行訪問,因此選用的防火牆產品必須是高效能的,即高頻寬、高併發會話數目、高安全功能、高審計功能及高可靠性等。
3. 高可靠性:系統中的一部分應用是實時的,系統要穩定可靠的工作,因此要求防火牆具備雙機熱備份功能,同時具有負載均衡功能,保證系統穩定可靠。
4. 日誌審計:對重要關鍵資源的使用情況應進行有效的監控,因此要求防火牆系統有較強的日誌處理能力和日誌分析能力,能夠實現日誌的分級管理。
5. 身份認證及ip+mac繫結:防火牆必須能對使用敏感業務的使用者進行身份認證;對重要指定使用者採用mac位址繫結等手段,保證其身份不被盜用。因此,要求防火牆具有較強的身份認證和mac位址繫結功能。
6. 網路管理身份認證:聯想防火牆具有usb-key認證系統,在使用者名稱及密碼被盜用但沒有usb-key的情況下也能保證網路的安全。
7. 集中管理與遠端管理:電信系統計算機網路分布面廣,防火牆布控的數量多,因此,防火牆系統應具有良好的遠端集中管理功能,同時遠端集中管理過程必須是安全的。
8. 抗攻擊:防火牆本身必須具有強大的抗攻擊性。
9. 及時告警:受攻擊後,防火牆系統應能及時通知有關人員,因此要求防火牆系統有良好的告警能力,要求支援email,snmp等響應方式。
10. 時間控制:防火牆應具備具有良好的基於時間段控制的能力。
11. 與ids互動:防火牆還應具備一定的ids功能和與其它ids互動的能力。
12. 多協議支援:防火牆應支援多種協議,如:ospf、rip、ripii路由協議,ipx、netbios、vlan、h.323、vod、ssh等協議。
1.基於狀態檢測的動態包過濾技術
聯想網御power v203防火牆的動態包過濾技術是基於狀態檢測機制的包過濾技術,它不僅具有狀態包過濾的安全性和高效性,它還可以很好的處理如ftp、h.323等動態協商的協議,它根據協議動態協商的結果,結合定義好的策略,動態生成規則,從而保證網路的高度安全和資料完整,同時具有很好的網路處理效能。
典型的如ftp協議,ftp協議使用乙個控制連線,多個資料連線,資料連線使用的埠是協商決定的,資料傳輸完後連線關閉,並且資料連線存在兩種工作模式:主動模式和被動模式。這兩種模式的主要區別是它們發起連線的方向截然相反,主動模式是從伺服器端向客戶端發起;被動模式是客戶端向伺服器端發起連線。
動態包過濾可以自動識別出資料連線的工作模式以及協商的服務埠,自動開放埠,資料連線完成後自動關閉埠。
2.主動式防火牆技術
傳統的包過濾防火牆和應用閘道器防火牆都是被動的在相應的層上等待到達該層的資料報,然後決定是允許還是禁止,並不能根據使用者策略主動地控制資料報的流動,而主動式防火牆技術,可以根據安全策略主動地控制資料報在不同協議層之間傳遞,為使用者提供透明、安全、高效的防火牆。
聯想網御power v203防火牆採用主動式防火牆技術,在鏈路層截獲資料報,然後送給主動式狀態包過濾器,在這裡根據使用者的安全策略決定該如何處理該資料報。如果策略是**,防火牆直接將該資料報從鏈路層**,並不上傳網路層,提高了效率;如果策略是nat、路由**和應用**,則將狀態資訊儲存在資料報中,然後直接送到網路層。在網路層並不再進行安全策略檢查,而是根據儲存的狀態資訊,決定資料報是nat、路由**還是需要送往應用層處理。
我們可以清楚的看到主動式防火牆在鏈路層就已經知道了資料報的流向,並在鏈路層開始分流,和傳統的防火牆必須到達網路層才能決定相比,減少了許多不必要的處理,提高了網路的處理效能,並且將包過濾和應用**有機的結合起來,可以為使用者提供乙個全透明、安全、高防火牆。
3.支援vlan
聯想網御power v203防火牆完全支援工業標準的802.1q封裝協議和cisco專有的trunk封裝協議isl,能對這兩種協議的包進行動態包過濾處理。另外,在使用802.
1q協議時,網御防火牆還可以在ip層對vlan間的資料報進行nat,也可以使用**實現vlan間的資料報**,具有更高的安全性。
4.應用層協議分析與過濾技術
聯想網御power v203防火牆可以根據使用者需要在鏈路層進行應用層協議分析和過濾,提供和應用**同等的保護能力,如url過濾,使用者不需要使用http**就可以實現對url的訪問控制和防範針對web伺服器的攻擊。
5.全透明閘道器技術
聯想網御 power v203防火牆採用基於鏈路層的全透明交換工作模式,當防火牆接收到乙個以太幀的時候,防火牆並不是將該幀去除幀頭後交由ip層處理,而是直接在鏈路層檢查該幀內含的ip報文的頭資訊以及連線資訊進行分析過濾,不合法的幀被丟棄,合法幀將根據該幀的mac資訊和防火牆核心維護的埠狀態資訊被**,由於在鏈路層的**完全於ip層(如頭位址、路由表)無關,所以網御防火牆是一種無ip的透明閘道器技術。這樣一方面大大降低了防火牆自身受到攻擊的可能性,另一方面也使系統安裝變得十分簡單,不再需要改變原有的網路拓撲結構和各主機與裝置的網路設定,即不需要重新劃分網段和調整網路結構,減少了網路管理員的工作量。
聯想網御power v203防火牆還提供透明的**服務,管理員可以設定允許通過**訪問的ip範圍,則來自於於該範圍的客戶端訪問請求都會自動重定向到防火牆的高層協議實體、在應用層與防火牆的應用**建立連線、防火牆的應用**在進行必要的使用者認證、會話檢查後再進而與訪問目的建立連線,從而完成一次訪問。由於客戶端的請求是在防火牆的處理下主動完成的重定向,所以客戶端的使用者感覺不到**的存在,這樣不必改變客戶端配置,就能在授權範圍內與外網通訊,網御2000防火牆可透明地級連原**,支援常用的http、ftp(可限制get、put命令)、telnet、smtp等協議,同時提供針對使用者自定義的透明**功能。
6.工作模式自適應技術
聯想網御 power v203防火牆採用了基於鏈路層的全透明交換工作模式,並不是說網御防火牆只能工作於鏈路層,網御防火牆採用了全新的自適應技術,可以讓防火牆在必要時無切換地工作於ip層、或混合工作於鏈路層與ip層之間。
如果防火牆的不同網口所接的區域網都位於同一網段時,由於ip層的路由表裡無法表徵這種**路由,傳統的工作於ip層的防火牆是無法完成這種方式的包**的,網御防火牆在這時就直接在鏈路層經過規則檢查之後、根據幀頭的mac位址完成幀的**;而如果防火牆的不同網口分別接在不同網段時,來自於這些網段的報文在**時就會自動上傳到ip層、並在ip層匹配路由表、最後**出去。
該技術的使用可以使防火牆工作於任何複雜的工作環境,並極大地方便了管理員地配置與使用。
7.入侵檢測與實時響應技術
聯想網御power v203防火牆的入侵檢測模組包括包解碼、規則解析及檢測引擎、日誌記錄及報警等子模組。防火牆在被保護網路的邊界對所有進出被保護網路的通訊進行檢查,對每乙個防火牆接收的包,將由包入侵檢測的包解碼子模組負責抓包和解碼工作,包解碼子模組對捕獲到的每乙個資料報在不同的網路層次進行協議解析,在資料鏈路層,系統可針對乙太網、令牌環及ppp協議等進行解碼;在網路層,系統可針對ip、ipx、arp及icmp等協議進行解碼;在傳輸層,系統可針對tcp和udp協議進行解碼,在應用層,系統可針對http、telnet、rpc等多種常見的應用協議進行解碼分析。解碼工作完成後,由檢測引擎讀入解碼後的資料報並與預先設定好的檢測規則進行模式匹配。
如果匹配成功,防火牆日誌會記入寫報警資訊外,同時往預先設定的報警郵箱傳送報警郵件,並亮起防火牆的入侵報警燈,提醒系統管理員有入侵事件發生。
聯想網御power v203防火牆支援入侵檢測庫公升級,為查出最新的攻擊手段提供保障。同時,使用者可以定製入侵檢測策略,可以自定義檢測規則,建立自己的入侵檢測規則庫。由於防火牆預置了大量檢測規則,有些規則可能不適用於某些網路環境。
該系統提供調整規則的功能,管理員可將不適用的檢測規則禁用,以減少誤報警的數量。當然,管理員也可將禁用的規則恢復,從而提高了入侵檢測功能的自適應性。
為了最大限度地保護內部可信任網路,防火牆採用了自動響應技術。防火牆可以對本機入侵檢測系統或其它入侵檢測系統發出的告警資訊進行處理,實時阻斷危險的源位址、源埠,或者是正處於危險中的目的位址及埠。自動響應技術可以全方位地保證被防火牆保護的網路的安全,實現了對安全功能的邏輯補償。
8.安全管理
聯想網御power v203防火牆可選用多種安全管理模式:
本地串列埠web管理——通過本地串列埠進入web方式的配置介面進行配置管理,提供了管理的安全、方便與靈活性;
校園網路安全方案設計
班級 123網路技術2班 姓名 李仲富學號 2012324208 設計題目 校園網路安全方案設計 設計時間 6月20號至6月30號 一 校園網方案設計原則與需求 1.1設計原則 保證校園網的穩定執行和利用。1.2網路建設需求 高度的穩定性和高效能性,對網路統一管理和高效處理。二 校園網方案設計 2....
網路安全整體解決方案設計
目錄第1章需求分析 4 1.1實施背景 4 1.2 網路安全需求 4 1.2.1 防範非法使用者非法訪問 4 1.2.2 防範合法使用者非授權訪問 4 1.2.3 防範假冒合法使用者非法訪問 4 1.2 應用安全需求 4 第2章設計原則 5 2.1 先進性與成熟性 5 2.2實用性與經濟性 5 2....
小型企業網路安全方案設計
孫佳妮0533091001 目錄第1章設計的簡單概述 3 1.1 概況 3 1.2 需求分析 3 1.3 設計原則 3 3.1.1.實用性和經濟性 3 3.1.2.先進性和成熟性 3 3.1.3.可靠性和穩定性 4 3.1.4.安全性和保密性 4 3.1.5.可擴充套件性和易維護性 4 第2章方案的...