依托瑞星”云安全”计划,每日及时更新恶意网址库,阻断网页木马、钓鱼网站等对电脑的侵害。
出站攻击防御(个人防火墙):
阻止电脑被黑客操纵,变为攻击互联网的”肉鸡”,保护带宽和系统资源不被恶意占用,避免成为”僵尸网络”成员。
根据网络的安全需求和具体防火墙产品的安全性能,该公司的防火墙部署如下图所示:
防火墙部署图
部署方案
在公司总部中心网络和外部网络之间部署Cisco PIX 525防火墙(硬件防火墙),中心交
换机与DB Server、WEB Server、一室、二室、三室之间以及外部网与北京办之间部署ASA5520-K8防火墙,公司总部中心交换机与Email Server之间部署CipherTrust Ironmail垃圾邮件防火墙,能一定程度上有效实现电子邮件安全。此外,为保护个人主机的安全,在个人主机上部署瑞星个人软件防火墙。
2) 部署入侵检测系统
技术原理
10
侵检测系统(Intrusion-detection system,下称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类。根据信息来源可分为基于主机IDS和基于网络的IDS,根据检测方法又可分为异常入侵检测和滥用入侵检测。不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,\所关注流量\指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在:
? 尽可能靠近攻击源 ? 尽可能靠近受保护资源 这些位置通常是:
? 服务器区域的交换机上
? Internet接入路由器之后的第一台交换机上 ? 重点保护网段的局域网交换机上
由于入侵检测系统的市场在近几年中飞速发展,许多公司投入到这一领域上来。Venustech(启明星辰)、Internet Security System(ISS)、思科、赛门铁克等公司都推出了自己的产品。
产品选取
根据该公司的实际情况,特选取天融信新一代入侵防御系统TopIDP来部署入侵检测系统。天融信新一代入侵防御系统TopIDP简介如下:
天融信新一代入侵防御系统TopIDP
TopIDP采用天融信自主研发的TOS操作系统和多核处理器的硬件平台,保证了TopIDP产品更高性能地对网络入侵进行防护。TopIDP能够阻断各种非法攻击行为,比如利用薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的DoS攻击等。入侵防御策略库
11
随时防护目前业内最流行的入侵攻击行为。与现在市场上的入侵防御系统相比,TopIDP系列入侵防御系统具有更高的性能、更细的安全控制粒度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持,代表了最新的网络安全设备和解决方案发展方向,堪称网络入侵检测和防御系统的典范。
TopIDP产品除入侵防御功能外,还具有智能协议识别、P2P流量控制、网络病毒防御、上网行为管理、恶意网站过滤和内网监控等功能,是集多种功能为一体的综合性内容安全设备,为用户提供了完整的立体式网络安全防护。
部署方案
本公司的入侵检测系统部署如下所示
入侵检测系统部署图
为保证该公司网络系统的安全,根据入侵检测系统部署位置和该公司的网络拓扑结构,将入侵检测系统部署在Internet与公司总部相连的位置,置于防火墙后,作为公司网络的第二道防线。这样,入侵检测系统TopIDP能监听所有进入内网的数据包,以达到安全审计的目的,从而能从审计记录中找出已产生的攻击。
12
3) 部署网闸
技术原理
网闸又称安全隔离与信息交换系统,是新一代高安全度的企业级信息安全防护设备。网闸的基本原理是:切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查,包括网络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的身份认证机制获取所需数据。网闸是在两个不同安全域之间,通过协议转换的手段,以信息摆渡的方式实现数据交换,且只有被系统明确要求传输的信息才可以通过。其信息流一般为通用应用服务。注:网闸的“闸”字取自于船闸的意思,在信息摆渡的过程中内外网(上下游)从未发生物理连接,所以网闸产品必须要有至少两套主机和一个物理隔离部件才可完成物理隔离任务。网闸是在保证系统安全的前提下最大限度的实现信息交换。
需要部署网闸的有以下几种场合: ? 涉密网与非涉密网之间。
? 局域网与互联网之间。有些局域网络,特别是政府办公网络,涉及敏感信息,有时
需要与互联网在物理上断开,用物理隔离网闸是一个常用的办法。 ? 办公网与业务网之间
由于办公网络与业务网络的信息敏感程度不同,例如,银行的办公网络和银行业务网络就是很典型的信息敏感程度不同的两类网络。为了提高工作效率,办公网络有时需要与业务网络交换信息。为解决业务网络的安全,比较好的办法就是在办公网与业务网之间使用物理隔离网闸,实现两类网络的物理隔离。 ? 电子政务的内网与专网之间
在电子政务系统建设中,要求政府内网与外网之间用逻辑隔离,在政府专网与内网之间用物理隔离。现常用的方法是用隔离网闸来实现。
13
? 业务网与互联网之间
电子商务网络一边连接着业务网络服务器,一边通过互联网连接着广大民众。为了保障业务网络服务器的安全,在业务网络与互联网之间应实现物理隔离。
根据网闸的几种常见部署场合,结合该公司的网络拓扑结构和公司系统的安全需
求,本公司需要部署网闸产品,这样才能更好的公司系统的安全性。
产品选取
华御安全隔离与信息交换系统(网闸)SU-GAP3000-H2
华御SU-GAP系列安全隔离与信息交换系统(以下简称网闸)是北京安盟信息技术有限公司自主研发的新一代网络安全产品,该产品采用先进的模块化设计理念,采用2+1系统架构(内网安全主机、外网安全主机、专用物理隔离芯片)并使用专有隔离芯片和高效的流处理芯片,通过独创的专用安全通道在实现网络隔离的同时进行高效率的安全数据交换。安全通道交换数据是将网络数据经过高强度的策略分析及内容检查后提取关键元素生成内部可识别的数据,实现内外网交换,做到物理隔离的同时也实现了协议隔离,从真正意义上杜绝安全风险的网间传递及泄密事件的发生。华御系列网闸目前已经成功的应用于公安、工商、国土、海关等政府部门及航天、石化、冶金、制造、交通等行业,并得到用户的一致好评。
特点
? 高安全性:同时实现物理隔离、协议隔离;
? 高效率:采用高效的处理芯片及算法使性能大幅度提升;
? 高可靠性:专业的硬件设计结合双机热备功能使设备可靠性成倍提高;
? 高便利性:可选择的透明、非透明及路由三种接入方式与人性化的管理界面使的管理系统非常方便;
部署方案
14