4.1. VPN系统设计
由于原有防火墙自带的VPN模块在大流量工作时性能难以保证业务应用需求,因此需要对原有的防火墙进行升级,建议配置专用的VPN网关系统以实现各项目部和出差移动用户的安全接入。
VPN设备放置位置:本方案中的VPN设备是利用天融信TopVPN 6000多合一网关、天融信防火墙和客户端构成。
VPN设备作用:利用互联网与其它VPN客户端软件建立独立私有隧道,从而保证地市及区县知识产权局既能方便的接入XX火电建设公司网络,又能保护数据在互联网上的传输过程中不被非法窃取、篡改而造成泄密损失。使XX火电建设公司在远程数据通信时,既可达到专线的保密性,也可以最大限度的节省开支。
在本方案中构造一个以天融信TopVPN 6000网关为核心,多种安全技术和产品互动,协同工作的网络安全体系。为客户提供了一种真正完整的,动态的网络安全解决方案。其中XX火电建设公司TopVPN 6000网关对内部服务器系统、远程数据通信进行加密保护,各个移动拨号用户采用VRC客户端进行远程数据通信加密保护;天融信Top VPN 6000网关可以实现内外网或内网与不信任域之间的隔离与访问控制,可以做到网络间的访问控制需求,过滤一些不安全服务,可以针对协议、端口号、时间、流量等条件实现安全的访问控制,同时天融信Top VPN 6000网关具有很强的记录日志的功能,可以对您所要求的策略来记录所有不安全的访问行为。VPN产品不仅可以作为一种简单的网络访问控制设备,而且对其它安全产品具有协同工作,集中管理功能。
4.2. 网络入侵防御系统设计
随着网络技术的广泛应用,网络为我们的工作和生活提供了便利,但同时网络环境中的各种安全问题,如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS攻击、垃圾邮件、网络资源滥用(P2P 下载、IM 即时通讯、网游)等极大地困扰着用户,尤其是混合威胁的风险,给信息网络造成严重的破坏。能否及时发现并成功阻止网络黑客的入侵、保证计算机和网络系统的安全和正常运行已经成为各个企业所面临的问题。
长沙天融信网络安全技术有限公司 第 11 页 共 42 页
面对这些问题,传统的安全产品已经无法独立应对。传统防火墙作为访问控制设备,无法检测或拦截嵌入到普通流量中的恶意攻击代码;无法发现内部网络中的攻击行为。入侵检测系统IDS 旁路部署在网络上,当它检测出黑客入侵攻击时,攻击可能已到达目标造成损失,无法有效阻断各种攻击;入侵检测系统IDS 侧重网络监控,注重安全审计,适合对网络安全状态的了解。
入侵防御系统使用的目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要,首先它能够对付来自内部网络的攻击,其次它能够缩短黑客入侵的时间。入侵防御系统以实时性、动态检测和主动防御为特点,有效弥补了防火墙等静态防御工具的不足。
目前网络入侵安全问题主要采用基于网络与基于主机的入侵防御系统等成熟产品和技术来解决。通过在综合服务网段中部署入侵防御系统可以实现:在网络环境下实现实时地分布协同地入侵检测,全面检测可能的入侵行为。及时识别各种黑客攻击行为,发现攻击时,阻断弱化攻击行为、并能详细记录,生成入侵检测报告,及时向管理员报警。按照管理者需要进行多个层次的扫描,按照特定的时间、广度和细度的需求配置多个扫描。
在XX火电建设公司网络中我们在核心服务器区入口设计部署一台天融信网络卫士TopIDP 3000入侵防御系统产品,同时对数据报文进行安全过滤,以实现对服务器区的访问控制、透明代理、数据包深度过滤、漏洞攻击防御、邮件病毒过滤、报文完整性分析等功能,并提供更高的性能、更细的安全控制粒度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持,为XX火电建设公司提供完整的立体式网络安全防护,为数据大集中保驾护航。
4.3. 内网管理和安全准入设计
XX火电建设公司内网主要用于特定的信息处理的网络,因此该网络规定必须满足内部管理要求的人员、设备才能入网,并且操作行为符合规范要求。
而实际上,内网安全管理存在以下问题:
长沙天融信网络安全技术有限公司 第 12 页 共 42 页
? 如何确保入网设备均为合法终端?当前情况下,各类智能终端、移动笔记本
携带方便,由于缺乏一套行之有效的管理系统,很难确保入网的设备均为合法终端。
? 内网做到真正隔离了?终端如果带出外网上了互联网再接入内外怎么办?如
果有私下自动拨号上网怎么办?
? 外来机器可以随意接入?假设外来的一台笔记本电脑带到局内网中,随便找
一个网络端口接入怎么办?虽然我局已经有一套IP与MAC绑定的系统,但是很容易伪造一台内网中的机器IP与MAC信息,轻松接入内网并且无法检查接入机器的安全健康状态。
? 怎么知道内部机器是安全的?如何保证内部PC机的操作系统没有漏洞,补丁
全部打齐呢?如何保证所有的机器杀毒软件版本及病毒库都更新到最新呢?如何来保证终端用户的账号密码是具有一定强度的呢?
? 内网机器如果存在安全隐患,怎么办?如何保证接入内网中的终端是处于健
康状态的呢?同时如果存在安全隐患的终端又有什么样的机制或者平台来为他们修复安全隐患做保障呢?甚至强制让内网机器修复其安全隐患! ? 如何将异常状态的终端快速隔离?如何快速有效的定位网络中病毒、黑客的
引入点,快速、安全的切断安全事件发生点和相关网络?
因此,部署网络安全准入控制系统是加强内网安全管理的必要措施。建议在XX火电建设公司内网部署网络安全准入控制系统以实现外部机器的安全接入。网络安全准入控制系统对所有入网设备进行身份认证,支持包括MAC地址、IP地址、基于用户名和密码的身份、接入设备端口、所在VLAN等信息,还支持U-KEY、支持智能卡、数字证书认证,LDAP、无缝结合域管理。网络安全准入系统提供了一整套基于全网的、覆盖全端点的安全管理平台,从设备入网、安全检查、隔离、修复等整个周期进行安全管理。通过内网管理和安全准入控制系统的统一策略部署,可以对XX火电建设公司全网以及各个项目部、出差移动用户接入的终端设备建立各种安全检查与评估任务,实时的了解目前网内设备的风险状况,并进行合规性检测,避免有安全隐患的机器接入劳动局网络。
长沙天融信网络安全技术有限公司 第 13 页 共 42 页
4.4. 网络防病毒设计
国家计算机病毒应急处理中心日前公布的《2008年中国计算机病毒疫情调查技术分析报告》显示,我国计算机病毒感染率在连续两年呈下降趋势后,今年又出现较大反弹,达到91.47%。 在受病毒感染的用户中,感染病毒3次以上的用户达53.64%,仍维持在较高水平。
调查显示,趋利性成为计算机病毒发展的新趋势。网上制作、贩卖病毒、木马的活动日益猖獗,利用病毒、木马技术进行网络盗窃、诈骗的网络犯罪活动呈快速上升趋势,制约了我国网络银行的普及应用,网上治安形势非常严峻。
“密码、账号被盗”现象猛增,成为病毒危害的新特点。2008年密码被盗占调查总数的14.24%。这是由于当前木马、病毒很多具有盗窃用户敏感信息的特点,并且犯罪分子将木马、病毒和相关技术作为从事网络犯罪活动的主要工具和手段。
近年来病毒功能越来越强大,不仅拥有蠕虫病毒传播速度和破坏能力,而且还具有木马的控制计算机和盗窃重要信息的功能。2006年“熊猫烧香”这一复合型病毒的出现改变了病毒制作者的想法。他们发现,利用蠕虫的传播能力和多种传播渠道,可以更快、更多的帮助木马传播,从而攫取更大的非法经济效益。“熊猫烧香”病毒在几个月的时间里感染了数以万计的机器,疯狂下载、运行各种木马程序,给被感染的用户带来重大损失。继“熊猫烧香”之后,复合型病毒成为了病毒制作者的新宠儿,这一类型的病毒大量出现,比如仇英、艾妮等病毒。
同时,网上贩卖病毒、木马和僵尸网络的活动不断增多,且公开化。利用病毒、木马技术传播垃圾邮件和进行网络攻击、破坏的事件呈上升趋势。
通过在XX火电建设公司网络系统部署江民网络版杀病毒软件,通过运用集中式管理,分布式查杀先进的技术理念,可以实现XX火电建设公司网络全面防范的安全需求,定时全网升级全网杀毒,全网系统漏洞检查,垃圾邮件识别,流氓软件清除,全网防木马,未知病毒克星,系统启动前杀毒,移动存储接入杀毒,系统修复,注册表自动修复,实时监控,全网布防,分级分组远程管理,集中权限,安全预警,一键处理,无忧网管。功能强大的控制中心与子控制中心配合可以有效的将各个劳动保障部门有机的结合进行全面的防病毒管理,可减轻网络管理员的管理强度,提升网络整体管理效率。
长沙天融信网络安全技术有限公司 第 14 页 共 42 页
4.5. 病毒过滤网关设计
建议在XX火电建设公司外网出口边界部署专门的天融信网络卫士TopFilter 7000病毒过滤网关系统,串接在防火墙后端,一方面可以适当减少需要过滤网关处理的数据量,另一方面也可以保护过滤网关系统自身不受外界的恶意攻击。实时检查进入内部网络的数据流,当网关检测到病毒时,它会自动根据相应的策略来处理病毒和染毒文件,保护内部网络中的服务器和工作站设备,同时对用户是完全透明的。部署后可防止来自外部网络的病毒和恶意代码进入XX火电建设公司网中,同时也防止病毒传播扩散占用纵向接入出口带宽。另外防病毒网关需要内置硬件BYPASS功能,当设备出现软件、硬件及电源故障时快速、自动切换到直通状态,保障网络可用性。
网关防毒系统部署后所达到的效果: ? 阻止99%以上的病毒传播
据ICSA病毒流行性调查结果,电子邮件和Internet互联网已成为病毒传播的绝对主要途径。99%的病毒都是通过SMTP、HTTP和FTP协议进入用户的计算机。
病毒过滤网关作为一个专门的硬件防病毒设备,安装在因特网网关处,实时检查进入网络的数据流,保护网络内部的服务器和工作站设备免受各类病毒,蠕虫,木马和垃圾邮件的干扰。病毒过滤网关可处理以下协议:SMTP、POP3、HTTP、FTP和IMAP,及时清除进出网关的邮件病毒、蠕虫攻击包,对进出网关的垃圾邮件、关键字进行过滤,对进出网关的Web访问、FTP访问行全面防毒扫描,彻底阻断因特网病毒的传播途径。
? 弥补网络版防病毒产品的不足
网络版防毒软件无法拦截攻击操作系统和应用软件安全漏洞的新型蠕虫(如SQLSlammer),而且需要投入较多的管理精力,往往会因为用户防病毒意识薄弱或对防毒产品配置不当而极大地影响防病毒能力。
病毒过滤网关作为一个专门的硬件防病毒设备,只要安装在网络的入口处,就可以保护内部局域网免受各类病毒,木马的和垃圾邮件的干扰。病毒过滤网关实时检查进入内部网络的数据流,当网关检测到病毒时,它会自动根据相应的策略来处理病毒和染毒文件,保护内部的服务器和工作站设备,同时对用户是完全
长沙天融信网络安全技术有限公司 第 15 页 共 42 页