网络安全整体解决方案
密。必须采用多层次的访问控制与权限控制手段,实现对数据的安全保护,同时采用加密技术,保证网上传输的信息的机密性与完整性。
2.4 网络入侵风险分析
随着互联网技术的发展,基于网络的黑客入侵技术也在飞快的发展,这些攻击具有方式多种多样,破坏性较大,入侵工具简单易用等特点,这些都使用户网络系统面临巨大的安全风险,严重影响业务的进行。
2.5 其它安全问题
安全问题不是单一手段就可解决的,有时是受约于其他因素,如对重要网络设备的访问,以及当新的业务或其他原因开启了新的服务、修改了系统安全的配置,是否能及时恢复和重新配置系统的安全策略。有时只是靠安全产品本身是不能解决动态的安全问题的,这时可以运用网络安全维护策略和安全服务,来弥补动态变化的安全,把安全风险控制在可控的范围内。
网络安全整体解决方案
第三章 系统安全需求
3.1 访问控制系统
在用户内部网络同外部网络之间应设置防火墙设备。通过防火墙对进出网络的数据进行病毒过滤和封堵;对进出网络的访问行为进行控制和阻断;对进出的网络攻击行为进行扫描和防护,并对网络攻击的监测到的行为进行告警;对进出网络的流量进行带宽优化,做到有限的带宽高效的运作;封堵某些禁止的访问服务;并记录通过防火墙的信息内容和活动。
3.2 网络安全评估
一些用户网络系统内部主机操作系统比较多,而目前漏洞攻击手法大部分是基于操作系统已有的安全漏洞进行攻击,如果能将系统默认的不安全的配置进行增强,就可以解决大部分的安全问题。通过对网络现状全面的评估,可以得到对网络安全现状的全面了解;检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞,将可能的安全风险降低到最低限度。
3.3 入侵检测系统
通过使用防火墙设备可以防范大部分的黑客攻击,但是有些攻击手法是通过防火墙上开启的正常服务来实现的。而且防火墙不能防范内部用户的恶意行为和误操作。通过使用入侵检测系统,可以监视当前内部网络用户系统的运行状态,查找出非法的内部网络用户和合法的内部网络用户的越权操作;检测重要服务器系统配置的正确性和安全漏洞,并提示管理员修补漏洞;对用户非法活动的统计分析,发现攻击行为的规律;检查系统程序和数据的一致性和正确性;并且能够实时对检测到的攻击行为进行响应后的防范处理。
3.4 主机访问控制系统
目前的商用主机操作系统的安全级别大部分是C2级,如WindowsNT,UNIX
网络安全整体解决方案
系统等。要想使操作系统达到一个较高级别如B1级,可以通过安装主机访问控制系统来实现提升系统安全性的目的。达到B1的操作系统可以非常有效的保护系统资源不被非法滥用。
3.5 数据加密传输系统
数据传输加密技术:目的是对传输中的数据流加密,以防止通信线路上的窃听、泄露、篡改和破坏。实现数据传输功能的产品有VPN系统。
VPN系统工作在网络协议栈中的IP层,采用IPSec协议提供IP层的安全服务。由于所有使用TCP/IP协议的网络在传输数据时,都必须通过IP层,所以提供了IP层的安全服务,就可以保证端到端传递的所有数据的安全性。
虚拟私有网络允许内部网络之间使用保留IP地址进行通信。为了使采用保留IP地址的IP包能够穿越公共网络到达对端的内部网络,需要对使用保留地址的IP包进行隧道封装,加封新的IP包头。封装后的IP包在公共网络中传输,如果对其不做任何处理,在传递过程中有可能被\第三者\非法察看、伪造或篡改。为了保证数据在传递过程中的机密性、完整性和真实性,有必要对封装后的IP包进行加密和认证处理。通过对原有IP包加密,还可以隐藏实际进行通信的两个主机的真实IP地址,减少了它们受到攻击的可能性。
一些用户网络系统要同许多数据点传输大量的保密性要求高的数据,因此使用数据加密传输系统是非常必要的。同时针对重要服务器的数据安全可通过配置SSL来实现。
3.6 身份认证系统
在对用户重要服务器的访问中,对用户的身份认证是非常重要的。认证中心基于公钥基础设施(PKI)技术,向所有访问重要服务器的内部网络用户提供身份认证,保证信息传输过程中的保密性和完整性,提供数字签名功能保证访问行为的不可抵赖性。
借助认证中心发放的数字证书实现访问控制、文件加密保存,保证不同的人员在网上应用中具有不同的权限,控制其所浏览的信息。
网络安全整体解决方案
第四章 防火墙系统安全方案
4.1 防火墙选型建议
根据前面章节的安全风险分析,可知一些用户的网络是一个多应用连接的高安全级要求的网络,网络安全需求也是不断变化的。所以,基于应用服务的安全威胁已成为用户网络系统当前及未来的主要安全问题。而防火墙系统作为整个安全系统防护的第一到门槛,它的作用是举足轻重的。
在选择防火墙时,除了要考虑防火墙能支持的基本功能以外,还要考虑能否更好的支持应用层的安全防护以及高可靠性、高性能。
我们知道,软硬件防火墙采用的是工业PC平台+Linux+Firewall Sostware结构,国内大部分防火墙均采用此结构,这种结构的最大缺点是会出现性能瓶颈,特别是千兆级防火墙。而硬件防火墙ASIC芯片+专有操作系统+F/W,它的优势是在高性能和高可靠性方面。
由于现在业界防火墙产品众多,我们根据当前用户网络系统安全需求,建议选择的防火墙除了基本功能外,还应该重点考虑以下几个方面:
1.硬件防火墙:具备硬件防火墙ASIC芯片+专有操作系统+F/W结构,能够提供高性能和高可靠性的硬件需求。
2.具有IDS(入侵检测)和IPS(入侵防御)功能:能使用IDS对外部网络与内部网络之间的攻击行为进行扫描,并可以通过IPS对扫描到的攻击行为进行应对的防范措施。
3.网关防病毒功能:具备强大的网关病毒扫描的能力,对所有流经防火墙的数据进行病毒过滤,一旦发现病毒坚决予以封堵和隔绝。保证内部网络信息化系统不被病毒破坏。
4.访问控制和流量管理:对用户内部的重要服务器组进行访问控制,保障其服务器中数据的高度安全。对外部流量的管理可以做到收放自如,保证其有限的外部带宽中,高效的数据运作。
5.集中管理:具备所有防火墙集中管理和监控功能。做到只需要一个网管人员就可以全局性观察网络目前的运行状况,对网络可能出现的问题即使的进行解
网络安全整体解决方案
决,以达到集中化安全管理的需求。
4.2 安全网关防火墙介绍
最新的安全网关概念,融合了应用级安全和包状态检测防火墙的优点,集成了防火墙、入侵检测、VPN、流量控制、内容安全、网关病毒过滤等安全技术于一体的硬件安全网关产品。并且解决了数据加密和内容处理时的性能瓶颈,并能实现最高级别的IP安全(Ipsec),先进的系统级的设计允许产品提供多种功能,并且这些功能都具有无与伦比的性能。
该防火墙以全新的体系设计,集成的高性能ASIC技术,提供了完备的安全网关解决方案。分布处理的设计结构和ASIC处理技术使得该产品具有高可靠和高安全的特点,可自动更新其病毒库和最新的攻击漏洞特征库,适应了多变的网络安全需求。
ES网关防火墙是新一代全方位的安全网关产品。它具有最高性能的体系结构设计,独特的ASIC芯片技术的协处理器,以及专门研制的BIOS 和OS。ES网关防火墙对网络安全问题提供了最完善最高性能的解决方案,如网关病毒检测、入侵检测、网页和邮件的内容过审计、传统的防火墙以及虚拟专用网络(VPN)/IPSEC数据加密等。系统提供完善的安全日志,有效地监控网络的安全运行状态,进行安全日志审计。能够为企业、单位和商业用户提供高水准的网络安全服务和产品价值。
ES网关防火墙是应用级安全硬件产品的代表,利用高性能的ASIC芯片技术提供了业界最高级别的安全防卫体系,具备百兆、千兆级甚至更高的性能。
具备非常强的抗攻击力,保护网络免于各种恶意攻击,包括抵抗各种当前最常见的网络攻击方式,如分布式的拒绝服务(DDOS) 攻击(SYN FLOOD,ICMP FLOOD,UDP FLOOD 等)、IP 碎片攻击(PING OF DEATH,TEAR DROP, LAND)、IP 地址欺骗攻击、端口扫描攻击、WINNUKE 攻击等。
利用ES网关防火墙ASIC高性能的处理结构,大量的网络攻击被拒绝在网关外,安全网关防火墙高容量的数据会话支持和快速的查询技术使得其性能不会因处理额外的攻击包而下降。把IP地址和接口关联起来,这样当黑客用单位内