3.3. 网络层安全解决方案
3.3.1. 全面网络基础设施可靠性保证措施
营口高级中学网络拓扑图Internet互联网出口区校园电视台服务器监控服务器数据中心区网络管理区安全管理区核心区行政实验楼教三教三财务教育城域网女宿舍食堂男宿舍图书馆教一教二体育馆万兆光纤千兆光纤千兆电 首先,可取采取的措施为多种冗余备份能力,包括网络线路的多层次冗余、网络设备的多节点冗余、网络设备自身组件的冗余,通过这些冗余能力,实现整个网络全面的可靠性保证。网络线路冗余主要包括如采用网状或者尽量网状或环状连接来代替星形、树形的连接结构,在营口高级中学的网络建设建议方案中,我们设计了足够的线路冗余能力。网络设备多节点冗余主要是指在网络中同一个设备节点部署双机设备,通过双机进行实现相互备份和负载均衡,在营口高级中学的网络建设建议方案中,我们在关键的节点都进行了双机配置。网络设备可以采取的冗余配置措施主要包括冗余电源配置、冗余模块配置、冗余引擎配置等,基于网络设备丰富的冗余特性,可以有效的实现这些冗余配置模式。
其次,采取高安全性的网络设备,网络与安全的融合是未来网络发展的必然趋势,随着网络
设备特性的不断更新,网络设备自身具备的安全能力也在不断加强。网络设备包括路由器、交换
机,都统一采用自主研发的网络管理软件平台。
除了上述丰富的基本安全特性,网络设备具备非常丰富的动态安全特性,主要包括动态VLAN的下发和动态ACL的下发,网络设备不仅支持标准的802.1Q VLAN,而且提供端口隔离功能,只
21
允许用户端口与上行端口转发报文,从而阻断下挂各个用户私有网络之间的互相访问,从链路层保障用户转发数据的安全;通过启用802.1x和Web认证后下发动态VLAN及ACL,实现用户的动态隔离,保证用户数据的隐私,杜绝内部攻击,与其他安全防护设备进行联动,构建全局的、立体的、动态安全防护体系。
最后,采取具备丰富的安全管理特性的网管系统,在网络系统中,整个网络的安全首先要确保网络设备的安全:非授权用户不能访问任一台服务器、路由器、交换机或防火墙等网络设备,采用网络管理系统是一种有效的解决方法,通过网络管理管理系统提供的配置管理、性能管理、失效管理和安全管理功能,可以实现网络设备安全有效的配置,为整个网络系统提供安全运行的基石。
网关系统的基本功能描述如下:配置管理:主要包括设备监控、远程控制、远程维护、自动搜索等;性能管理:主要包括性能数据可视化、阈值设置和报警、性能分析和预测、性能策略支持等;失效管理:主要包括故障定位、故障报警、故障恢复等;安全管理:访问认证和授权、网络隔离、远程访问控制、应用访问控制等。
3.3.2. 组合丰富的VLAN功能进行业务隔离
大部分网络设备都可以提供对VLAN功能的完善的支持,通过VLAN的划分,可以区分不同的业务,灵活的根据端口、MAC等进行VLAN的划分,实现对各种业务的有效的隔离。
同时,通过各种特性VLAN的部署,可以更加灵活的实现网络流量和业务的隔离,比如,通过PVLAN技术,可以实现同一个VLAN内部服务器之间相互访问的隔离;通过动态VLAN的部署,可以实现用户在任何位置接入网络都能被隔离到自己所属的VLAN中。
3.3.3. 配置防火墙和IPS进行网络区域的隔离
防火墙是网络层的核心防护措施,它可以对整个网络进行网络区域分割,提供基于IP地址和TCP/IP服务端口等的访问控制;对常见的网络攻击方式,如拒绝服务攻击(ping of death, land, syn flooding, ping flooding, tear drop, …)、端口扫描(port scanning)、IP欺骗(ip spoofing)、IP盗用等进行有效防护;并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。在营口高级中学网络建设时,可以在以下位置部署防火墙和IPS产品:
两台核心交换机分别部署防火墙与IPS
需要通过虚拟防火墙进行有效的隔离,网络安全隔离一直是Internet技术发展的重要研究课题。以太网技术如何和安全隔离技术融合,提供给营口高级中学用户一个安全、可靠的网络
22
环境是以太网交换机在组网应用中一个常见的问题。为了能够确保用户的安全需求,并提供一体化的解决思路,在,可以根据用户对于安全防护的考虑,将Secure VLAN技术融入到VLA技术中,可以实现对内网,外网,数据中心区域等多个区域的保护,可以用于内网的VLAN跨区域保护。
另外数据中心集中了大量的服务器,小型机和数据库系统,他们是整个网络的大脑,为网络提供各种应用,对于数据中心服务器安全的保障方面IPS提供的虚拟补丁功能可以提供用户对各类操作系统的免安装补丁服务,高性能的入侵防御系统能作为虚拟软件补丁,保护网络中尚未安装补丁、具有漏洞的计算机免于遭受侵害。在恶意程序对预定目标进行攻击时,虚拟补丁程序就会立即“现身”— 确定并阻挡发送来的恶意通讯。这种虚拟补丁程序之所以如此有效,是因为它采用了高精确的漏洞过滤器技术。这种专门设计的过滤器可应对最大范围的攻击和应对最大弹性的规避。 Cernet网络接入防火墙部署
我们建议在纵网核心交换机与Cernet网路由器之间配置防火墙,防火墙直接接在核心交换机上,核心交换与Cernet网路由器之间连接,保证系统的可靠性,较少单点故障。
此防火墙的配置策略我们建议如下:
? 配置防火墙防DOS/DDOS功能,对Land、Smurf、Fraggle、Ping of Death、Tear Drop、
SYN Flood、ICMP Flood、UDP Flood等拒绝服务攻击进行防范,可以实现对各种拒绝服务攻击的有效防范,保证网络带宽;
? 配置防火墙全面攻击防范能力,包括ARP欺骗攻击的防范,提供ARP主动反向查询、
TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等,全面防范各种网络层的攻击行为;
? 根据需要,配置IP/MAC绑定功能,对能够识别MAC地址的主机进行链路层控制;
由上往下的访问控制规则:
? 建议在防火墙上设定严格的访问控制规则,对实现网络访问下级网络的严格控制,只
有规则允许的IP地址或者用户能够访问下级网络中的指定的资源,以避免网络可能会对下级网络的攻击、非授权访问以及病毒的传播; 由下往上的访问控制规则:
? 建议在防火墙上设定严格的访问控制规则,对实现下级网络访问局域网的严格控制,
23
只有规则允许的IP地址或者用户能够访问局域网的指定的资源,以避免下级网络中复杂的用户可能会对网络的攻击、非授权访问以及病毒的传播;
? 其他可选策略:
? 可以启动防火墙身份认证功能,通过内置数据库或者标准Radius属性认证,实现对
用户身份认证后进行资源访问的授权;
? 根据需要,在虚拟防火墙上设置流量控制规则,实现对网络流量的有效管理,有效的
避免网络带宽的浪费和滥用,保护网络带宽;
? 根据应用和管理的需要,设置有效工作时间段规则,实现基于时间的访问控制,可以
组合时间特性,实现更加灵活的访问控制能力;
? 在防火墙上进行设置告警策略,利用灵活多样的告警响应手段(E-mail、日志、SNMP
陷阱等),实现攻击行为的告警,有效监控网络应用;
? 启动防火墙日志功能,利用防火墙的日志记录能力,详细完整的记录日志和统计报表
等资料,实现对网络访问行为的有效的记录和统计分析;
Internet边界防火墙部署:
? 配置防火墙防DOS/DDOS功能,对Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood等拒绝服务攻击进行防范;
? 配置防火墙全面安全防范能力,包括ARP欺骗攻击的防范,提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等;
? 防火墙设置为默认拒绝工作方式,保证所有的数据包,如果没有明确的规则允许通过,全部拒绝以保证安全;
由外往内的访问控制规则:
? 在防火墙上设置允许VPN协议数据包穿越防火墙,满足移动用户通过IPSec VPN和分支机构VPN网关访问内网的需求;
? 通过防火墙的访问控制策略,拒绝任何来自Internet对内网的访问数据,保证任何Internet数据都不能主动进入内部网,屏蔽所有来自Internet的攻击行为;
由内往外的访问控制规则:
? 通过防火墙的访问控制策略,对内部用户访问Internet进行基于IP地址的控制,初步实现控制内部用户能否访问Internet,能够访问什么样的Inertnet资源;
24
? 通过配置防火墙提供的IP/MAC地址绑定功能,以及身份认证功能,提供对内部用户访问Internet的更严格有效的控制能力,加强内部用户访问Internet控制能力;
? 通过配置防火墙提供的SMTP邮件过滤功能和HTTP内容过滤,实现对用户访问Internet的细粒度的访问控制能力,实现基本的用户访问Internet的行为管理;
防火墙是以网络层为核心的防护措施,它可以对整个网络进行网络区域分割,提供基于IP地址和TCP/IP服务端口等的访问控制;对常见的网络攻击方式,如拒绝服务攻击(ping of death, land, syn flooding, ping flooding, tear drop, ?)、端口扫描(port scanning)、IP欺骗(ip spoofing)、IP盗用等进行有效防护;并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。
IPS是一种主动式入侵防御系统,能够及时阻止各种针对系统漏洞的攻击,屏蔽蠕虫、病毒和间谍软件,防御DOS及DDOS攻击,阻断或限制P2P应用,从而帮助IT部门完成应用系统、网络基础设施和系统性能保护的关键任务。IPS必须采用创新的硬件设计理念并结合先进的软件特性,才能保证即使在打开成千上万个攻击过滤器时,仍然能够支持线速的吞吐能力并保证微秒级的延时,不会成为网络处理的瓶颈。IPS必须为客户定制常见攻击过滤器而且支持即插即用模式,用户可以迅速将IPS部署在网络中,大大降低了IT人员的工作量也为用户争取了防御攻击的宝贵时间。针对零时差攻击,IPS必须提供数字疫苗服务,能够在攻击发生之前,将新的疫苗快速部署在IPS中,这些新的攻击过滤器实际起到了虚拟软件补丁的作用,用户不必为服务器打补丁就可以完成攻击防御,从而实现了系统正常运行时间的最大化。
IPS是综合性深层安全威胁防范系统,防火墙定位为网络层隔离控制系统,因此在网络边界部署FW和IPS,实现更完善的安全防御手段,FW与IPS采用串联网络结构,FW隔离大量的非法数据流,然后通过IPS系统对细节报文以及隐藏在合法数据流内的非法报文进行筛选、隔离、过滤等操作。
3.3.4. 内网机密信息安全访问解决方案
内网是一个完全独立的网络,因此数据在网络平台的传输过程相对比较安全,但是对于一些重要信息,尤其是一些机密信息,需要严格保证这些数据在传输过程中的安全。因此,虽然这些数据传输在一个相对独立的内网,但是仍然存在被侦听破解的可能,需要有合理有效的方式解决这个问题,我们建议采用基于VPN的解决方案,是一种非常安全而且灵活的解决方案。
移动业务VPN接入解决方案
25