網絡安全方案分析

1、典型網絡安全方案設計,本項目主要從當前網絡安全的狀況做出安全需求分析，并結合網絡安全的評價標準以及網絡安全防御體系的一般結構來制定相關網絡（如校園網、企業(yè)網、政府網等）的安全方案規(guī)劃。最后，對后續(xù)的網絡安全實驗進行設計并建立一個虛擬的實驗環(huán)境。,校園網絡安全方案設計,校園網安全現狀目前，校園網在學校的辦公系統(tǒng)中起著重要作用，合理的使用不僅能促進各院校的現代化教學改革、提高教學質量、改善教學環(huán)境，還將會極大的提高教育行業(yè)整體的工作效率和

2、教育質量，而前提就是校園網必須是穩(wěn)定的、安全的和可靠的。因此，校園網安全方案的設計尤為重要。。,,校園網安全需求分析校園網總體上分為校園內網和校園外網。校園內網主要包括教學局域網、圖書館局域網、辦公自動化局域網等。校園外網主要指學校提供對外服務的服務器群、與CERNET的接入以及遠程移動辦公用戶的接入等。但具體還要根據不同校園網的實際情況來做簡要分析。一般情況下，校園網安全主要可以從以下5個方面進行分析：（1）物理安全。是指保護校園

3、網內計算機設備、網絡設備及通信線路，使其免遭自然災害及其它環(huán)境事故（如電磁污染）的破壞。（2）網絡安全。是指校園網安全建設的基礎，完善的網絡安全防御措施可以解決大多數的校園網安全問題，包括基礎網絡安全、邊界防護、遠程接入和全局安全。（3）主機安全。校園網內，主機的安全問題最為常見，也是其他安全問題源頭，主機安全涉及到統(tǒng)一身份認證，主機安全防護體系。通過校園網統(tǒng)一身份認證和校園網主機安全防護體系來全面實現校園網的主機安全目標。（4）

4、應用安全。校園網的應用安全是最為復雜的部分，涵蓋的內容涉及到了業(yè)務應用的各個層面。（5）數據安全。數據是當前高校信息化建設中最寶貴的資源，其重要性已經得到越來越高的重視。校園網的安全建設中，數據安全是一個不可忽視的方面。數據的遺失或損壞對于學校而言，其后果不可想象。,,校園網安全功能設計1. 設計原則為了建設全方面的、完整的校園網絡安全體系結構，綜合考慮可實施性、可管理性、可擴展性、綜合完備性和系統(tǒng)均衡性等方面，網絡安全防御體系在

5、整體設計過程中應遵循以下5項原則：（1）保密性：防止信息泄露給非授權用戶的特性。達到保密性可選擇VLAN的劃分，并能在VLAN之間進行第三層交換時進行有效的安全控制，以保證系統(tǒng)的安全性；（2）完整性：防止信息在存儲或傳輸過程中被修改、破壞和丟失的特性。達到完整性采用VPN技術，用它的專用通道進行通信保證了信息的完整性；（3）可用性：就是易于操作、維護，并便于自動化管理。達到可用性可以利用圖形化的管理界面和簡潔的操作方式，合理地網絡

6、規(guī)劃策略，提供強大的網絡管理功能，使日常的維護和操作變得直觀，便捷和高效；（4）可控性：就是對信息的傳播及內容具有控制能力。達到可控性對于網絡管理來說，要求采用智能化網絡管理軟件，并支持虛擬網絡功能，對網絡用戶具有分類控制功能，從而來實現對網絡的自動監(jiān)測和控制；（5）擴展性：就是便于系統(tǒng)及系統(tǒng)功能的擴展。達到擴展性對選擇的網絡設備最好是模塊化的，便于網絡的擴大和更改，其中核心交換機應具有多種模塊類型，以滿足各種網絡類型的接入，所選擇

7、的設備都應具有良好的軟件再升級能力。,,,,,。,,,,,,3. 功能模塊及設備需求分析1）主要功能模塊（1）交換機安全模塊主要實現的功能：IP與MAC的綁定、VLAN的劃分、端口的安全和訪問控制列表（ACL）；（2）防火墻模塊：包過濾、地址轉換（NAT）；（3）VPN模塊：建立專用通道IPSEC VPN 和SSL VPN；（4）DMZ區(qū)域模塊：IDS與防火墻的聯動。,,2）設備需求方案主要設備如表11-3所示。

8、（1）三層交換機的主要功能包括：高背板帶寬為所有的端口提供非阻塞性能、靈活完備的安全控制策略、強大的多應用支持能力和完善的QoS策略等。（2）防火墻的主要功能包括：擴展的狀態(tài)檢測功能、防范入侵及其它（如URL過濾、HTTP透明代理、SMTP代理、分離DNS、NAT功能和審計/報告等）附加功能。（3）入侵檢測系統(tǒng)主要功能包括：能夠阻止來自外部或內部的蠕蟲、病毒和攻擊帶來的安全威脅，確保企業(yè)信息資產的安全，能夠檢測各種IM即時通

9、訊軟件、P2P下載等網絡資源濫用行為，保證重要業(yè)務的正常運轉，能夠高效、全面的事件統(tǒng)計分析；能迅速定位網絡故障，提高網絡穩(wěn)定運行時間。（4）VPN的主要功能包括：嚴格的身份認證、權限管理、細粒度控制、傳輸加密和終端安全檢查等機制保障移動用戶SSL安全接入可實現用戶身份和PC硬件信息的對應；通過人機捆綁可以為遠程用戶分配內部IP地址；真正實現遠程局域網可以為遠程移動用戶分配內部服務器地址；真正實現移動辦公通過證書管理器為用戶生成證書、私

10、鑰，可通過郵件通知用戶自己到證書管理器上下載軟件安裝包和配置文件，用戶只需在本地安裝就可實現快速部署。,,校園網安全模塊詳細設計1. 交換模塊安全設計與實施為了更加安全，減小廣播風暴，VLAN技術在網絡中得到大量應用，但同時網絡訪問站點也不斷增加，而路由器的接口數目有限，二層交換機又不具備路由功能?；谶@種情況，三層交換機便應運而生，三層交換機彌補了路由器和二層交換機在某些方面的不足，它可以通過VLAN劃分、配置ACL、IP地址與M

11、AC地址的綁定以及arp-check防護等功能來提升網絡中數據的安全性，如圖11-2所示。,,（1）VLAN劃分方案VLAN劃分的方案圖如圖11-3所示，說明如下：（1）高校的學生通過網絡交換的信息量日益增大，特別是一個班的同學，但住在一個寢室的同學不一定就是一個班的，所以將一個班的同學劃為同一個VLAN便于信息的傳遞。一個班同學的寢室劃為同一個VLAN，再將一棟宿舍樓劃為一個大VLAN；（2）每個老師的計算機里可能有一些重要的科

12、研資料，從安全性考慮，不能將所有老師的寢室劃為同一個網，即將每個老師的寢室劃為一個VLAN，并且學生宿舍和教師宿舍不能互相訪問；（3）將教學樓的所有教室劃為一個VLAN；（4）為了方便同學和老師做一些教學實驗，實驗室會進行一些專項課題研究，將一個實驗室劃分在同一個VLAN的做法安全性更高。因此，可以將實驗樓劃為一個大VLAN，再將每個實驗室劃為一個小VLAN；（5）為了方便每個部門管理，可以根據每個的不同性質，將辦公樓劃為一個大V

13、LAN，再將每個部門劃為一個小VLAN；（6）劃分方法采用基于端口的劃分。高校學生的流動性大（如新生的入學，畢業(yè)生離校等）會導致的學生的人數和班級的變動?；诙丝诘膭澐?，相對來說容易設置和監(jiān)控，只需要將端口配置的VLAN重新分配。,,,,2）訪問控制列表ACL（Access Control List）是一項在路由器和三層交換機上實現的包過濾技術，通過讀取第三和第四層的包頭部信息（如源地址、目的地址、源端口、目的端口等），并根據預先定

14、義好的規(guī)則來對數據包進行過濾，從而達到訪問控制的目的。本方案中，主要在S3760三層交換機上配置ACL規(guī)則，可以限制各個VLAN之間的訪問，如，阻止教學樓1臺IP地址為172.17.1.5的源主機通過fa 0/1，放行其他的通訊流量通過端口，并阻止172.17.1.5主機執(zhí)行Telnet命令。S3760#configure terminalEnter configuration commands, one per line. En

15、d with CNTL/Z.S3760(config)#access-list 1 deny 172.17.1.5 255.255.255.0 S3760(config)#access-list 1 permit any S3760(config)#interface fa 0/1 S3760(config-if)#ip access-group 1 in S3760(config)#access-list 100 deny

16、tcp 172.17.1.5 255.255.255.0 any eq 23 S3760(config)#access-list 100 permit ip any any S3760(config)#interface fa 0/1 S3760(config-if)#ip access-group 100 in,,3）IP與MAC地址綁定目前在使用靜態(tài)IP地址的局域網管理中經常碰到IP地址被盜用或者用戶自行修改地址導致IP地址

17、管理混亂，而且ARP病毒和利用ARP協(xié)議進行欺騙的網絡問題也日漸嚴重，在防范過程中除了通過VLAN的劃分來抑制問題的擴散之外，還需要將IP地址與MAC地址進行綁定來配合達到更有效的防范。在其核心交換機RG-S3760用address-bind命令手動進行一些特殊IP與MAC地址的綁定使其對應的主機不能隨便地更改IP地址或者MAC地址，另外在網絡中設一臺DHCP服務器，所有主機都通過DHCP自動獲得IP地址，在這個過程中，RG-S376

18、0開啟DHCP snooping功能以及ARP-check防護功能，交換機會自動偵聽DHCP分配地址的過程，將其中有用的IP+MAC地址信息記錄下來，自動綁定到相應的端口上，減少大量的手工配置。例如在S3760上的fa0/1端口上開啟DHCP snooping功能、ARP-check防護功能、端口安全功能以及動態(tài)地綁定命令如下。S3760#configure terminalEnter configuration commands

19、, one per line. End with CNTL/Z.S3760(config)#ip dhcp snoopingS3760(config)#interface fa0/1S3760(config-if)#switchport port-security arp-checkS3760(config-if)#switchport port-securityS3760(config-if)#ip dhcp snoopin

20、g address-bindS3760(config-if)#exitS3760(config)#exit,,2. VPN模塊安全設計與實施校園網VPN可以通過公眾IP網絡建立私有數據傳輸通道，將遠程或分校的分支辦公室、合作伙伴、移動辦公人員等連接起來，減輕校園網的遠程訪問費用負擔，節(jié)省電話費用開支，不過對于端到端的安全數據通訊，還需要根據實際情況采取不同的架構。IPSec VPN和SSL VPN是目前校園網VPN方案采用最為廣泛

21、的安全技術，但它們之間有很大的區(qū)別，從VPN技術架構來看，IPSec VPN是比較理想的校園網接入方案，由于它工作在網絡層，可以對終端站點間所有傳輸數據進行保護，可以實現Internet多專用網安全連接，而不管是哪類網絡應用。IPSec VPN還要求在遠程接入客戶端適當安裝和配置IPSec客戶端軟件和接入設備，這大大提高了網絡的安全級別。本方案采用IPSec VPN。由于IPSec VPN在IP層提供訪問控制、無連接的完整性、數據來源

22、驗證、防重放保護、加密以及數據流分類加密等服務。通過對IPSec VPN的配置和VPN冗余配置，來實現遠程用戶的接入，提高網絡的負載均衡并有效的提高了網絡安全性。VPN模塊的詳細拓撲結構如圖11-4所示。,,建立安全的IP 通信隧道，是建立虛擬專用網的關鍵。本方案中采用銳捷VPN 進行配置。在VPN配置界面中，選擇網關的目錄樹上的IPSec VPN，如圖11-5所示。接著開始對VPN進行具體配置：,,1）遠程用戶接入配置遠程用戶接入方

23、式多種多樣，比如通過無線接入、ADSL拔號接入和專線接入等等，當需要配置遠程移動用戶接入，那么在上圖中雙擊遠程用戶管理，打開遠程用戶管理界面進行配置，如圖11-6所示。（1）配置允許客戶端訪問的子網。在遠程用戶管理界面下打開“允許訪問子網”進行配置，如如圖11-7所示，可以通過添加按鈕來添加用戶接入后可以訪問的內網的子網數目。,,（2）配置內部DNS服務器。在遠程用戶管理界面下打開“內部DNS服務器”進行配置，如圖11

24、-8所示，可以通過添加按鈕來添加內部DNS服務器即校園內網DNS服務器的IP地址，這樣當隧道建立起來之后， RG-SRA 軟件自動將客戶端主機的DNS 設置為內部DNS。,,（3）配置內部WINS服務器。內部WINS服務器和內部DNS服務器配置相似，使用校園內網WINS服務器的IP地址配置后客戶機可以用機器名來訪問在服務器上注冊了的機器，沒有時也可以不進行配置。（4）配置虛IP地址池。內部地址池允許網絡管理員輸入一個或者幾個IP 地址

25、范圍，這些地址將用于對遠程用戶分配虛擬IP 地址，打開虛地址池的配置窗口選擇添加下列子網地址或連續(xù)地址，進行內部地址池的添加，如圖11-9所示。（5）配置用戶特征碼表。如果需要對用戶的登錄機器進行限制，可以對用戶機器特征進行綁定，用戶機器的特征（每個客戶端軟件都可以顯示本機的特征碼）可以由管理員手工導入，也可以由客戶端首次上線的時候自動報告。,,（6）用戶認證配置。RG-SRA選擇網關本地認證，要為RG-SRA用戶設置認證用戶名和口令

26、。在窗口左側菜單區(qū)中用鼠標點擊“用戶認證”－“本地用戶數據庫”，此時在窗口右側操作區(qū)顯示本地用戶列表，點擊工具欄的“添加用戶”按鈕，進行添加用戶操作，如圖11-10所示。,,2）網關之間的隧道網關到網關的應用模式主要包括以太網、ADSL撥號等網絡環(huán)境，在這種環(huán)境下VPN設備需要設置路由信息才能連接上網。內部子網的主機把默認網關設置為VPN設備的內口，下面是兩個網關之間的隧道配置。（1）網關A的配置。添加設備后在“對方設備名稱”文本框

27、中，為網關 B設置一個唯一名稱，如vpnb。在“本地設備接口”列表框中選擇與網關B的連接的端口，如eth0。在本地設備身份中選擇“作為客戶端”單選按鈕，并在“對方設備地址”中填寫網關B的IP地址。在認證方式中，選擇“預共享密鑰”單選按鈕，然后在“密鑰”文本框中輸入共享密鑰，如“123456”，雙方必須相同，如圖11-11所示。添加遂道后在“隧道名稱”為該隧道設置一個唯一名稱，如Ta-b?！皩Ψ皆O備名稱”選剛才為B設置的設備名：“vpnb

28、”，“本地子網”如192.168.1.0/255.255.255.0，“對方子網”如172.18.48.0/255.255.255.0，如圖11-12所示，“通信策略”根據需要配置，算法必須與B相同，配置如圖11-13所示。,,,,2）網關B的配置。與網關A的配置相似，只需要把上述配置中的對方相應改成網關A的信息，如添加設備時設備名稱叫vpna，密鑰相同。在添加遂道時，本地子網和對方子網互換，其余保持不變。3）VPN冗余配置VPN冗

29、余的目的是為了提高系統(tǒng)的可靠性，本方案通過RG-WALL V160S中的VRRP來實現VPN之間的冗余，詳細拓撲結構設計如圖11-14所示。,,（1）VPN的備份配置。在安全網關界面目錄樹上，點擊“VRRP設置”即可進入VRRP設置界面，如圖11-15所示。首先在“網絡接口”中把安全網關A的eth1接口IP配置為：192.168.1.50，然后選擇“VRRP設置 | 添加虛擬路由器”，把 網絡接口選擇為eth1；組號配置為

30、：1；虛擬IP配置為：192.168.1.77；主機優(yōu)先級填為：200；默認使用搶占模式、認證方式和密碼可以根據實際情況選擇和填寫；通告時間間隔默認選擇為：1秒；監(jiān)控選項選eth0；優(yōu)先級衰減量量設為150；如圖11-16所示。接著再在“網絡接口”中把安全網關B的eth1接口IP置為：192.168.1.51，然后選擇“VRRP設置 | 添加虛擬路由器”，把網絡接口選擇eth1；組號配置為：1；虛擬IP配置為：192.168.1.77

31、；主機優(yōu)先級填為：100；默認使用搶占模式、認證方式和密碼和安全網關A配置相同；通告時間間隔和安全網關A配置相同都為：1秒；監(jiān)控選項選eth0；優(yōu)先級衰減量量設為45；如圖11-17所示。,,,,,,,,,,,,,4）負載均衡的配置用相同的方法在網關A上添加第二組虛擬路由，網絡接口選擇eth1；組號配置為：2；虛擬IP配置為：192.168.1.88；主機優(yōu)先級填為：100；默認使用搶占模式；默認啟用虛擬MAC地址；認證方式和密碼可以

32、根據實際情況選擇和填寫；通告時間間隔默認選擇為：1秒。網關B上添加第二組虛擬路由，網絡接口選擇eth1；組號配置為：2；虛擬IP配置為：192.168.1.88；主機優(yōu)先級填為：200；默認使用搶占模式；默認啟用虛擬MAC地址；認證方式和密碼安全網關A中組號2配置相同；通告時間間隔默認選擇為：1秒。,,3. 防火墻模塊安全設計與實施本方案采用RG-WALL 160M進行防火墻的策略配置。首先，對防火墻進行管理與初始化配置，然后再按照本

33、方案的要求進行防火墻的基本配置，如防火墻接口IP地址配置、路由配置以及安全規(guī)則等設置。本校園網安全方案中，學校出口有2條100M鏈路，分別是教育網和電信網，客戶內網是教育網公網地址，要求訪問教育網的資源走教育網，訪問其他的資源走電信網，并且DMZ 服務器分別映射到教育網和網通IP 地址。具體的配置過程如下：,,（1）防火墻 IP 地址配置，如圖10-18所示。（2）路由配置：配置去往教育網的路由，下一跳為教育網，再配置默

34、認路由，下一跳為電信網，如圖10-19，圖10-20所示。并配置防火墻內網接口啟用源路由功能，如圖10-21所示。,圖10-18 IP地址配置,,圖10-21 配置啟用源路由功能 圖10-22 安全規(guī)則（3）安全規(guī)則的配置：安全規(guī)則配置是防火墻配置的重點，具體配置如圖10-22所示，其中：內網服務器映射成教育網IP地址，允許任意源地址訪問，同時，設置源路由讓此服務器的數據流從教育網出去；

35、內網服務器映射成電信網IP地址，允許任意源地址訪問，同時，設置源路由讓此服務器的數據流從電信線路出去；內網訪問教育網資源的數據流，做包過濾規(guī)則允許通過；內網訪問其他資源的數據流，做 NAT 規(guī)則轉換成網通的地址通過。,,4. IDS入侵檢測系統(tǒng)設計與實施入侵檢測系統(tǒng)可以檢測校園網的入侵行為并將這些信息通知給管理員或相關安全設備（如防火墻）來進行防御。RG-IDS依賴于一個或多個傳感器來監(jiān)測網絡數據流。這些傳感器代表著RG-IDS

36、的眼睛。因此，傳感器在某些重要位置的部署對于RG-IDS能否發(fā)揮作用至關重要。本方案的IDS模塊的拓撲結構如圖10-23所示。,傳感器利用策略來控制其所監(jiān)測的內容，并對監(jiān)測到的事件做出響應。設置步驟如下：（1）單擊主界面上的“策略”按鈕，切換到策略編輯器界面，如圖10-24所示，單擊工具欄上的“編輯鎖定”按鈕，如圖10-25所示。,,圖10-24 策略設置,圖10-25編輯鎖定,再單擊工具欄上的“派生策略”按鈕在彈出的窗口中輸入新

37、策略的名稱，如圖10-26所示，單擊“確定”按鈕。,,（2）策略編輯：單擊自定義策略，單擊“編輯鎖定”以確保其他人不能同時更改策略，然后根據需求來設置策略，如下圖10-27所示。,（3）策略應用。選擇需要下發(fā)的策略，單擊“應用策略”按鈕，如下圖10-28所示,,,,,11.1.5 項目總結本方案根據網絡安全系統(tǒng)設計的總體規(guī)劃,從網絡安全、主機安全、應用安全、數據安全四個方面安全和管理措施設計出一整套解決方案，目的是要建立一個完整的、

38、立體的、多層次的網絡安全防御體系。方案中，我們主要采用了星網銳捷公司的安全產品來對校園網進行安全設計，如RG-S3760E-24、RG-WALL160M、RG-IDS500S、RG-WALL V160S，這些產品在功能上完全能夠滿足本方案的需求，并實現了安全、VPN安全、防火墻安全、IDS與防火墻聯動的安全設置等內容，同時，還對方案進行了測試驗證，并得到了較好的實驗效果。本方案在設計上還具有局限性，今后的改進目標主要有以下幾個方面：

39、（1）設計更復雜的測試環(huán)境，來檢查方案中存在的缺陷；（2）改進本方案的拓撲結構，使之能夠適應更大規(guī)模的網絡需求；（3）采用更先進的技術，將其融入到本方案中，從而達到更好的安全防御效果。,任務11.2 企業(yè)網絡安全方案設計,11.2.1 企業(yè)網絡安全需求分析1.企業(yè)網絡業(yè)務安全需求（1）控制網絡不同部門之間的互相訪問；（2）對不斷變更的用戶進行有效的管理；（3）防止網絡廣播風暴影響系統(tǒng)關鍵業(yè)務的正常運轉，甚至導致系統(tǒng)的崩潰；（

40、4）加強遠程撥號用戶的安全認證管理；（5）實現企業(yè)局域網與其他各網絡之間的安全、高速數據訪問交換；（6）建立局域網的立體殺毒系統(tǒng)；（7）建立WWW服務器，實現企業(yè)在Internet和Intranet上的信息發(fā)布，使公司內外的人員能夠及時了解公司的最新信息；（8）建立郵件服務器，實現企業(yè)工作人員與上級機構、分支機構之間的電子信息的傳遞；（9）構建起企業(yè)運行基于網絡設計的Client/Server(客戶機/服務器)或Browser

41、/Server(瀏覽器/服務器)結構的辦公自動化系統(tǒng)、各種信息管理系統(tǒng)的網絡硬件平臺和系統(tǒng)運行平臺。,,2.存在的安全威脅1）外部威脅企業(yè)網絡的外部安全威脅主要來源于以下幾個方面：（1）病毒侵襲；（2）黑客入侵；（3）垃圾郵件；（4）無線網絡、移動手機帶來的安全威脅。2）內部威脅企業(yè)網絡的內部安全威脅主要來源于以下幾個方面：（1）用戶的操作失誤帶來的安全問題；（2）某些用戶故意的破壞，如被解雇或工作變動的職員因對公司

42、的不滿而對企業(yè)網絡進行破壞或盜取公司的機密信息；（3）用戶的無知引起的安全問題。3）網絡設備的安全隱患網絡設備是網絡系統(tǒng)的主要組成部分，是網絡運行的核心。網絡運行狀況根本上是由網絡設備的運行性能和運行狀態(tài)決定的，因此，網絡設備穩(wěn)定可靠的運行對整個網絡系統(tǒng)的正常工作起著關鍵性作用。特別是對于可以通過遠程連接TELNET、網管、WEB等方式進行配置管理的網絡設備（如路由器、防火墻等）容易受到入侵的攻擊，主要的安全隱患表現在以下幾個方面

43、：（1）人為因素；（2）網絡設備運行的操作系統(tǒng)存在漏洞；（3）網絡設備提供不必要的服務；（4）網絡設備沒有安全存放，易受臨近攻擊。,,3.企業(yè)網絡安全建設的原則1）系統(tǒng)性原則企業(yè)網絡系統(tǒng)整個安全系統(tǒng)的建設要有系統(tǒng)性和適應性，不因網絡和應用技術的發(fā)展、信息系統(tǒng)攻防技術的深化和演變、系統(tǒng)升級和配置的變化，而導致在系統(tǒng)的整個生命期內的安全保護能力和抗御風險的能力降低。2）技術先進性原則企業(yè)網絡系統(tǒng)整個安全系統(tǒng)的設計采用先進的安

44、全體系進行結構性設計，選用先進、成熟的安全技術和設備，實施中采用先進可靠的工藝和技術，提高系統(tǒng)運行的可靠性和穩(wěn)定性。3）管理可控性原則系統(tǒng)的所有安全設備（管理、維護和配置）都應自主可控；系統(tǒng)安全設備的采購必須有嚴格的手續(xù)；安全設備必須有相應機構的認證或許可標記；安全設備供應商應具備相應資質并可信。4）適度安全性原則系統(tǒng)安全方案應充分考慮保護對象的價值與保護成本之間的平衡性，在允許的風險范圍內盡量減少安全服務的規(guī)模和復雜性，使之具

45、有可操作性，避免超出用戶所能理解的范圍，變得很難執(zhí)行或無法執(zhí)行。5）技術與管理相結合原則企業(yè)網絡系統(tǒng)安全建設是一個復雜的系統(tǒng)工程，它包括產品、過程和人的因素，因此它的安全解決方案，必須在考慮技術解決方案的同時充分考慮管理、法律、法規(guī)方面的制約和調控作用。單靠技術或單靠管理都不可能真正解決安全問題，因此必須堅持技術和管理相結合的原則。6）測評認證原則企業(yè)網絡系統(tǒng)作為重要的政務系統(tǒng)，其系統(tǒng)的安全方案和工程設計必須通過國家有關部門的評

46、審，采用的安全產品和保密設備需經過國家主管理部門的認可。7）系統(tǒng)可伸縮性原則企業(yè)網絡系統(tǒng)將隨著網絡和應用技術的發(fā)展而發(fā)生變化，同時信息安全技術也在發(fā)展，因此安全系統(tǒng)的建設必須考慮系統(tǒng)可升級性和可伸縮性。重要和關鍵的安全設備不因網絡變化或更換而廢棄。,11.2.2 企業(yè)網總體設計1.企業(yè)網總體設計拓撲圖,,圖11-29 企業(yè)網絡拓撲圖,企業(yè)網絡總體拓撲結構如圖11-29所示，其部門的IP地址規(guī)劃如表11-4所示。設備IP地址規(guī)劃如表

47、11-5所示。,,表11-4 部門IP地址規(guī)劃表,表11-5 設備IP地址規(guī)劃分配表,,2.功能模塊設計分析本方案主要實現以下幾個功能模塊：（1）防火墻功能模塊，主要實現防火墻的部署、防火墻策略設置、與IDS聯動等；（2）虛擬專用網功能模塊，主要實現雙機熱備、與防火墻雙重防護關鍵服務器群、與IDS聯動、PKI用戶認證設置、IPSec VPN和VPN虛擬子網設置等；（3）入侵檢測功能模塊，實現與防火墻的聯動；（4）三層交換機安

48、全功能模塊，主要實現VLAN、IP與MAC綁定、與IDS聯動等；（5）病毒防護功能模塊等。,11.2.3 防火墻系統(tǒng)設計1.防火墻的部署在防火墻的部署方式上，類似于區(qū)域分割的三角方式，是指將網絡分為內部網絡（軍事化區(qū)域）、外部網絡和DMZ區(qū)域。例如，將Web服務器、郵件服務器、DNS服務器、前臺查詢計算機等放置在DMZ區(qū)域，而內部的文件服務器、數據庫服務器等關鍵應用都放置在內部網絡中，從而使它們受到良好的保護，如圖11-30所示。

49、,,圖11-30 防火墻部署,企業(yè)網絡擁有自己的FTP、Web和Mail等服務器，并對Internet及內部用戶提供相應的服務。其中，將向外提供服務的主機旋轉在DMZ區(qū)，以保證內部的安全。在接入Internet時，本方案選擇使用防火墻來接入，并實現NAT、PAT和ACL等配置方案。,,2. 防火墻應用規(guī)則與配置1）配置IP/MAC綁定與主機保護設置IP/MAC地址綁定，就可以執(zhí)行IP/MAC地址對的探測。如果防火墻某網口配置了“I

50、P/MAC地址綁定啟用功能”、“IP/MAC地址綁定的默認策略（允許或禁止）”，當該網口接收數據包時，將根據數據包中的源IP地址與源MAC地址，檢查管理員設置好的IP/MAC地址綁定表。如果地址綁定表中查找成功并匹配，則允許數據包通過，不匹配則禁止數據包通過。如果查找失敗，則按缺省策略（允許或禁止）執(zhí)行。 使用命令添加IP/MAC地址綁定：語法： ipmac add [ if { | none} ] [ unique { o

51、n | off } ] 參數說明： ip 指定IP地址， mac 指定MAC地址， if 指定相應的網絡接口，可選參數，默認為不指定網絡接口 unique 指定是否進行MAC地址的唯一性檢查，可選參數，默認為不檢查。 例如， firewall>ipmac add 172.18.56.254 00:05:66:00:88:B8 if none unique off,,2）配置防火墻URL過濾WEB服務是Internet上使

52、用最多的服務之一。Internet上信息魚龍混雜，存在部分不良信息，因此必須對其訪問進行必要的控制。RG-WALL防火墻可以通過對某些URL進行過濾實現對訪問不良信息的控制。通過使用黑名單和白名單來控制用戶不能訪問哪些URL，可以訪問哪些URL。3）NAT配置NAT技術能夠解決IP地址不夠的問題，同時，也能夠隱藏網絡內部信息，從而保護內部網絡的安全。RG-WALL防火墻支持源地址一對一的轉換，也支持源地址轉換為地址池中的某一

53、個地址。 用戶可通過安全規(guī)則設定需要轉換的源地址（支持網絡地址范圍）、源端口。此處的NAT指正向NAT，正向NAT也是動態(tài)NAT，通過系統(tǒng)提供的NAT地址池，支持多對多，多對一，一對多，一對一的轉換關系。4）配置安全規(guī)則安全規(guī)則的配置可以說是防火墻最重要的配置了，因為沒有安全規(guī)則，防火墻是不能轉發(fā)數據流的。默認情況下，防火墻的行為是，除非明文允許，否則全部禁止。防火墻支持的安全規(guī)則有包過濾、NAT、IP 映射、端口映射和代理等。

54、5）配置防火墻主機保護增加主機保護確保關鍵服務器的安全穩(wěn)定，用于保護服務器訪問時不會因為攻擊而過載。,11.2.4 虛擬專用網設計1. VPN系統(tǒng)部署VPN系統(tǒng)部署的詳細拓撲結構如圖11-31所示。,,圖11-31 VPN部署,,1）總部網絡VPN系統(tǒng)部署RG-WALL V160S作為認證網關，對內網的關鍵服務器進行認證控制，非授權用戶不能訪問。USB KEY 保障密鑰的安全性，進一步降低安全使用風險。兩臺數據中心的R

55、G-WALLV160S通過HA實現雙機熱，雙網鏈路冗余和狀態(tài)熱備快速故障恢復。2）分支機構VPN系統(tǒng)部署企業(yè)分支機構一般指分布在全國各地規(guī)模中等的分公司，公司內部建有中等規(guī)模的局域網，同時通過當地ISP提供的寬帶接入方式接入Internet并安裝一臺VPN設備，作為客戶端接入總部。3）移動辦公網點VPN系統(tǒng)部署采用L2TP+IPSEC隧道協(xié)議，接入總部，用戶即使在乘坐車船甚至飛機的途中，可隨時隨地實現移動辦公，猶如在辦公

56、室一樣方便流暢地交流信息。4）合作伙伴VPN部署商業(yè)合作伙伴可能要實時共享某些信息，網絡類似分支機構接入，通過防火墻策略設置訪問權限 。,,2. VPN雙機熱備份本方案采用遠程安全接入和邊界安全防護的組合解決方案。針對本企業(yè)對系統(tǒng)和數據的高可用性和高安全性的需求，采用了兩臺RG-WALLV160S通過HA實現雙機熱備，雙網鏈路冗余。該方案為用戶提供了強大的容錯功能，避免了單點故障，快速自動恢復正常通信。網絡本身通過VPN網關

57、實現數據在廣域網鏈路中的安全傳輸，防止被竊聽或被篡改。設計中兩臺RG-WALLV160S之間通過HA來實現雙機熱備，主機和備機通過一條串口線連接，正常工作時，主機處于工作狀態(tài)，備機網口處于down狀態(tài)，主機和備機的配置完全相同，并通過串口線同步動態(tài)信息，更加增強了網絡的可靠性，當主機出現問題或者鏈路不通時，備機將在3~6秒鐘之內進入工作狀態(tài)，接管主機的工作，整個切換過程平滑透明，網絡用戶只會感覺到有短暫的加大，不會對整個網絡造成大的影響

58、。,,3. VPN與防火墻雙重防護關鍵服務器群在服務器群網絡外部署的兩臺VPN外又添加了兩臺虛擬防火墻，從而提高關鍵位置的安全性及敏感數據的安全性。以此防止惡意用戶在網絡中進行非法網絡攻擊及網絡訪問。并能同時保證公司帶寬投入得到有效地利用。就算黑客能突破虛擬防火墻，里面還有一層VPN認證防護，提高了安全級別。4. VPN與IDS聯動網絡安全不可能完全依靠單一產品來實現，網絡安全是個整體，必須配相應的安全產品。作為必要的補充，入侵

59、檢測系統(tǒng)（IDS）可與安全VPN系統(tǒng)形成互補。入侵檢測系統(tǒng)是根據已有的、最新的和可預見的攻擊手段的信息代碼對進出網絡的所有操作行為進行實時監(jiān)控、記錄，并按制定的策略實行響應（阻斷、報警、發(fā)送E-mail）。從而防止針對網絡的攻擊與犯罪行為。入侵檢測儀在使用上是獨立網絡使用的，網絡數據全部通過VPN設備，而入侵檢測設備在網絡上進行疹聽，監(jiān)控網絡狀況，一旦發(fā)現攻擊行為將通過報警、通知VPN設備中斷網絡（即IDS與VPN聯動功能）等方式進行控

60、制（即安全設備自適應機制），最后將攻擊行為進行日志記錄以供以后審查。,,5.PKI配置與用戶認證配置由于銳捷VPN 設備采用標準X.509 證書進行設備身份標識，所以系統(tǒng)提供標準PKI（公鑰基礎設施）配置。銳捷 VPN 設備可以對遠程用戶進行身份驗證。目前可以支持一次性口令認證、數字證書認證、第三方Radius 認證和SecureID 認證。6.報文過濾設置報文過濾策略來指定某些傳輸層協(xié)議能否通過VPN。另外可以通過配置與ID

61、S的聯動規(guī)則，當IDS 檢測到攻擊后，將立即通知報文過濾模塊，過濾模塊一方面顯示對應的IDS 過濾規(guī)則，同時也會對攻擊報文進行過濾，從而阻止其對內部網絡的攻擊。7.VPN 虛子網配置如果用戶網絡中不同 VPN 設備保護的內部子網地址相同，出現了沖突，那么常規(guī)VPN設備就會要求用戶進行地址調整，但是銳捷VPN 可以允許用戶通過虛子網來解決這個問題。所謂虛子網就是把沖突一方的網絡地址映射成另外一個不沖突的子網地址，網絡地址部分發(fā)生

62、變化，但是主機地址部分不變，這樣用戶仍然可以知道變換后對方的主機地址。8.日志審計配置日志記錄提供對系統(tǒng)活動的詳細審計，銳捷 VPN 提供了詳細的日志審計信息，這些信息用于評估、審查系統(tǒng)的運行環(huán)境和各種操作,能夠幫助管理員來尋找系統(tǒng)中存在的問題，對系統(tǒng)維護十分有用。管理器中對日志進行分級管理，使日志信息更詳盡、更規(guī)范、層次更清楚。,11.2.5 入侵檢測系統(tǒng)設計本方案實現入侵檢測系統(tǒng)與防火墻的聯動，從而使防火墻可以根據網絡運行

63、的狀況來動態(tài)設置防火墻規(guī)則，其部署的方拓撲結構如圖11-32所示。,,圖11-32 防火墻與IDS的聯動部署,,11.2.6 三層交換機系統(tǒng)設計三層核心交換機是整個企業(yè)網絡的中樞節(jié)點，因此它的合理設置和安全規(guī)劃將影響到整個網絡的運行。本方案將從以下幾個方面進行設計：（1）合理的VLAN劃分規(guī)劃；（2）IP與MAC地址的綁定設計；（3）防攻擊的系統(tǒng)保護配置；（4）動態(tài)的ARP檢測配置，防止ARP欺騙攻擊等。,,11.2

64、.7 病毒防御系統(tǒng)設計企業(yè)網絡的病毒防御體系要針對企業(yè)網絡的現狀，對網絡中可能存在的病毒入侵點進行詳細分析，然后對其進行層層防護，對癥下藥才能真正保護企業(yè)網絡的安全。一般情況下，病毒的入侵點主要有：（1）從客戶端入侵：任何一個客戶端計算機都可能會通過可移動介質、Internet下載、接收Email以及訪問受感染的服務器等途徑被病毒侵害，如果此客戶端再去訪問企業(yè)網絡或其中的資源，則很有可能會把這些病毒傳播出去，而且目前大部分病毒都

65、可以自動進行復制傳播，增加了其對企業(yè)網絡的危害性；（2）從文件或應用服務器入侵：如果這些服務器被病毒侵害，則訪問這些服務器的客戶機將非常容易感染病毒；（3）從網關入侵：網關是一個企業(yè)網絡的門戶，任何防火墻都無法阻止Internet上病毒的入侵。本方案的企業(yè)網絡防病毒產品的部署如圖11-33所示。,,圖11-33 企業(yè)網絡防病毒產品部署,,11.2.10 項目總結本方案主要是以IDS為中心的聯動來實現全網動態(tài)安全部署，并融

66、合配置IDS、防火墻、VPN和三層交換機等設備，采用多手段多方位的立體防御體系，特別是對核心和保密部門加強其隧道實現技術，并通過測試，成功驗證方案的可行性。但本方案在安全細節(jié)上設計的還不夠，需要在實際的運行過程中不斷改進完善，使之成為一個安全、可靠、先進的企業(yè)網絡安全方案。,任務11.3 政府網絡安全方案設計,任務11.3.1 了解政府網絡安全現狀某地稅分局外網建設的目的是能夠通過構建一個統(tǒng)一、高效、可靠、安全的信息化平臺，有效促

67、進稅務網絡互聯互通和稅務信息資源共享，形成統(tǒng)一的某地稅網絡和資源共享平臺。同時，能夠為市、區(qū)各級相關部門在進行職能辦公、社會管理、公共服務等業(yè)務應用提供支持，將網絡服務延伸到鄉(xiāng)（鎮(zhèn)、街道）、村（社區(qū)），使網絡服務惠及全民。地稅分局外網連接著市及其所管轄的某區(qū)各相關稅務局網絡，是某區(qū)稅務局面向公眾服務的重要信息網絡樞紐，也是各部門實現縱向和橫向互聯互通、整合Internet出口和共享資源的統(tǒng)一網絡平臺。某地稅分局辦公樓高為五層，核

68、心機房在一樓弱電間，網絡接入節(jié)點約60個，網絡結構采用單核心結構。外網為公共信息服務平臺和一般的辦公網絡，通過ISP運營商接入Internet，內網則通過專線連接與市局相連接。,,任務11.3.2 政府網安全需求分析1．政府網絡安全隱患政府對網絡的安全需求是全方位的，整體的，相應的網絡安全體系也是分層次的，在不同層次反映了不同的安全問題。根據網絡應用現狀和網絡結構，本方案基于物理安全、網絡安全、系統(tǒng)安全、應用安全和管理安全五個安全