根据该公司的网络拓扑结构和其存在的安全风险,该公司的网络架设需求如下: ? 防止来自Internet的攻击和内部网络间的攻击;
? 实现Internet上通信的保密和完整性,并实现方便的地址管理; ? 数据库服务器存储了研究所的所有数据需要特殊保护;
? 主机操作系统主要是Linux和Windows,要采取相应的安全措施; ? 解决移动办公条件下文件安全问题。
3. 网络安全技术方案
网络安全:通过入侵检测、防火墙、VPN、网闸等,保证网络通信的安全。
公司网络拓扑结构如下所示
公司网络拓扑结构
该公司网络系统与其他网络系统一样,存在着遭受各种网络攻击的危险。为实现公司的网络安全,因根据各种安全产品和安全技术的特点,结合该公司特有的网络拓扑结构来架设具有自己特色的企业系统。
5
3.1 网络安全
1) 部署防火墙
技术原理
防火墙原是建筑物大厦设计来防止火灾从大厦的一部分传播到另一部分的设施。从 理论上讲Internet防火墙服务也属于类似目的,它是在内部、外部网络之间建立的一个具有安全控制机制的安全控制点,实现内部网服务的安全审计和控制。它防止Internet上的危险(病毒、资源盗用等)传播到你的网络内部。而事实上Internet防火墙不象一座现代化大厦中的防火墙,更象北京故宫的护城河。它服务于多个目的: ? 限制人们从一个特别的控制点进入; ? 防止侵入者接近你的其它设施; ? 限定人们从一个特别的点离开;
? 有效的阻止破坏者对你的计算机系统进行破坏。
防火墙主要部署在内部网和外部网之间,以有效限制外网对内网的访问。此外,根 据企业的具体情况,也可以在公司内部不同部门、不同子网之间以及个人主机上部署防火墙。防火墙产品有软件防火墙和硬件防火墙,根据其针对的安全需求和生产厂商的不 同,其功能等各方面也有较大的差异,公司应根据本企业的具体安全需求和经济效益等方面的综合考虑选取防火墙产品。公司网络部署的多个防火墙也根据其部署位置不同而选择不同的产品。
产品选取
根据该公司的实际网络拓扑结构和该公司网络的安全需求,特选定了以下几种防火墙产品Cisco PIX 525防火墙(硬件防火墙)、ASA5520-K8防火墙、CipherTrust Ironmail垃圾邮件防火墙、瑞星个人软件防火墙。实现该公式网络设计方案中的几种防火墙产品简介如下: Cisco PIX 525防火墙(硬件防火墙)
6
Cisco Secure PIX 525防火墙是世界领先的Cisco Secure PIX防火墙系列的组成部分,能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。它所提供的完全防火墙保护以及IP安全(IPsec)虚拟专网(VPN)能力使特别适合于保护企业总部的边界。
强壮的安全特性
Cisco Secure PIX防火墙能够提供空前的安全保护能力,它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法(ASA)。静态安全性虽然比较简单,但与包过滤相比,功能却更加强劲;另外,与应用层代理防火墙相比,其性能更高,扩展性更强。ASA可以跟踪源和目的地址、传输控制协议(TCP)序列号、端口号和每个数据包的附加TCP标志。只有存在已确定连接关系的正确的连接时,访问才被允许通过Cisco Secure PIX防火墙。这样做,内部和外部的授权用户就可以透明地访问企业资源,而同时保护了内部网络不会受到非授权访问的侵袭。
与IPsec互操作的安全VPN
PIX 525实现了在Internet或所有IP网络上的安全保密通信。它集成了VPN的主要功能 - 隧道、数据加密、安全性和防火墙,能够提供一种安全、可扩展的平台来更好、更经济高效地使用公共数据服务来实现远程访问、远程办公和外部网连接。525可以同时连接高达4个VPN层,为用户提供完整的IPsec标准实施方法,其中IPsec保证了保密性、完整性和认证能力。对于安全数据加密,Cisco的IPsec实现方法全部支持56位数据加密标准(DES)和168位三重DES算法以及AES算法。
极端的可靠性
PIX防火墙提供了空前的可靠性,其平均无故障时间(MTBF)超过60000小时。即使是达到了这样高的水平,那些Internet、Intranet或Extranet连接是企业生命线的企业还是认识到了防火墙冗余是一项关键因素。防火墙的每一分钟停止运行都意味着收入、机会或关键信息的损失。Cisco已经创建了配合PIX 525-UR使用的故障切换捆绑程序,能够简单、便宜地满足上述要求。该程序包为企业提供了特别设计在故障切换模式下运行的第二个防火墙。
主要特性和优点
7
? Cisco端到端解决方案的组成部分 - 允许各公司将经济高效、无缝的网络基础设施扩展到分支机构。
? 最低的拥有成本 - 安装、配置简单,网络中断时间更少。另外,允许透明地支持Internet多媒体应用,不再需要实际调整和重新配置每一台客户工作站或PC机。
? 非UNIX的安全、实时和嵌入式系统 - 消除了通用操作系统所带来的风险,提供了突出的性能。
? 基于标准的虚拟专网 - 使管理员可以降低通过Internet或其它公共IP网络将移动用户和远程站点与企业网络相连的成本。
? ? ?
自适应安全算法 - 为所有的TCP/IP对话提供静态安全性,以保护敏感的保密资源。 静态故障切换/热备用 - 提供高可用性,使网络可靠性最大。
网络地址转换(NAT)-- 节省宝贵的IP地址;扩展网络地址空间;隐藏IP地址,使之不被外部得到。
? 截断通过代理 - 提供业界最高的认证性能;通过重新使用现有认证数据库降低拥有成本。
? 多种网络接口卡 - 为Web和所有其它的公共访问服务器、与不同合作伙伴的多种外部网链路、得到保护的记录和URL过滤服务器提供强大的安全性。
? 支持多达38万个同时连接 - 部署很少的防火墙就能极大地提高代理服务器的性能。
? 防止拒绝服务攻击 - 保护防火墙及其后面的服务器和客户机不受破坏性的黑客攻击。
? ?
支持各种应用 - 全面降低防火墙对网络用户的影响。
Java Applet过滤 - 使防火墙可以在每个客户机或每个IP地址上终止具有潜在危险的Java应用。
? 支持多媒体应用 - 降低了支持这些协议所需要的管理时间和成本。无需特殊的客户机配置。
? ? ?
设置简单 - 只需6条命令就能实现一般的安全策略。 紧凑设计 - 可以更加容易地部署在桌面或更小的办公设置中。
URL过滤 - 当与Websense企业软件配合使用时,可以提供控制哪些Web站点的用户可以出于计费的目的来访问和维护审计跟踪数据的能力。对PIX防火墙性能的影响最小。
8
? 邮件保护 - 不再需要外部邮件在外围网络中转发,也防止了外部邮件转发过程中的拒绝服务攻击。
ASA5520-K8防火墙
ASA5520-K8建立于值得信赖的Cisco PIX安全设备和Cisco VPN 3000系列集中器技术,ASA5500系列是第一个兼具市场领先的防火墙技术保护,同时提供SSL和IPsec VPN服务的解决方案。将Trend Micro 在互联网边缘的威胁防御和内容控制优势与切实可行的思科解决方案结合在一起,提供全面的防病毒、防间谍软件、文件阻挡、防垃圾邮件、防诱骗、URL阻挡和过滤以及内容过滤服务。
它提供主动型全功能入侵防御服务,有效阻止各种威胁,包括蠕虫、应用层攻击、操作系统级攻击、rootkit攻击、间谍软件、对等文件共享和即时消息传送。通过Cisco Adaptive Security Device Manager(ASDM)提供直观的单设备管理和监控服务,通过 Cisco Security Management Suite 提供企业级多设备集中管理服务。
CipherTrust Ironmail垃圾邮件防火墙
通过将焦点集中于电子邮件的威胁防御、检测、保护和遵守,IronMail 可以保护您的企业免受很多电子邮件安全威胁,其中包括垃圾邮件、病毒、网页仿冒攻击、拒绝服务 (DOS) 攻击、未授权的访问和策略违背。
瑞星个人软件防火墙
瑞星防火墙可以网络攻击拦截,入侵检测规则库每日随时更新,拦截来自互联网的黑客、病毒攻击、包括木马攻击、后门攻击、远程溢出攻击、浏览器攻击、僵尸网络攻击等。 网络攻击拦截(个人防火墙):
入侵检测规则库每日随时更新,拦截来自互联网的黑客、病毒攻击,包括木马攻击、后门攻击、远程溢出攻击、浏览器攻击、僵尸网络攻击等。 恶意网址拦截(个人防火墙):
9