3.2 整体部署拓扑图
灰色标注:已有红色标注:新增抗拒绝服务系统Internet抗DDOS安全管理平台防火墙外网防火墙运维审计系统堡垒机漏洞扫描系统漏洞扫描公众服务区IPS 入侵防御系统WAF网页防篡改软件安全管理区网络安全审计防病毒集中管理平台核心交换机数据库审计WEB应用防火墙WEB服务器群IPS 入侵防御系统数据库审计核心应用区核心数据库区办公区服务器群
- 8 -
3.3 安全技术防护
3.3.1 边界访问控制
3.3.1.1 防护需求
网络边界安全是网络安全保障的第一道防线,是信息网络系统上各业务网络必须优先建设的重点之一。在信息服务系统内部不同安全保护等级要求或不同信任域网络间互连时的边界接入安全,需设置与关键业务安全保护等级要求相对应的网络逻辑隔离,以重点保护关键业务系统的边界安全,作为信息服务系统中安全保护等级较高的网络,应适当与其他网络部分逻辑隔离。
根据合规性要求,《GB/T 22239-2008信息系统安全等级保护基本要求》 7.1.2.2访问控制(G3)
a) 应在网络边界部署访问控制设备,启用访问控制功能;
b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口
级;
c) 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、
POP3等协议命令级的控制;
d) 应在会话处于非活跃一定时间或会话结束后终止网络连接; e) 应限制网络最大流量数及网络连接数; f) 重要网段应采取技术手段防止地址欺骗;
g) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访
问,控制粒度为单个用户;
h) 应限制具有拨号访问权限的用户数量。 7.1.2.1结构安全
a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要 b)应保证网络各个部分的带宽满足业务高峰期需要
c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径
e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段
f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段
g)按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机.
3.3.1.2 解决方案
根据以上需求,设计在网络边界部署下一代防火墙来实现。通过配置地址转换策略实现内外网的访问,通过配置访问控制策略内外网隔离。详见“整体部署拓扑图”。
【技术实现】
本方案推荐选用绿盟科技下一代防火墙部署方案。
图 3.1 策略框架
绿盟下一代防火墙具备以下功能: ? 智能化识别应用
通过智能化应用、用户身份识别技术,绿盟下一代防火墙可以将网络中单纯的IP/端口号(IP/Ports),以及流量信息,转换为更容易理解、更加智能化的应用程序信息和用户身份信息,为后续的基于应用程序的策略控制和安全扫描,提供了识别基础。 ? 精细化控制应用
绿盟下一代防火墙可以根据风险级别、应用类型、是否消耗带宽等多种方式对应用及应用动作进行细致分类,并且通过应用级访问控制,应用流量管理以及应用安全扫描等不同的策略对应用分别进行细粒度的控制和过滤。 ? 一体化安全扫描
在完成智能化识别和精细化控制以后,下一代防火墙对于允许使用且可能存在高安全风险的网络应用,可以进行漏洞,病毒,URL和内容等不同层次深度扫描,如果发现该应用中存在安全风险或攻击行为可以做进一步的阻断并且记录成为详细的安全日志和风险报表。 ? 资产风险识别和云端安全管理
绿盟科技下一代防火墙可以主动、先发性的对用户内网脆弱资产进行风险评估,并提出加固方案,是用户的内网安全管理专家,同时又可以通过接入云端,简化运维,对安全威胁在线分析和把控,是用户的云端安全管理专家。
【选型优势】
? 多核CPU和ASIC构建高速硬件平台
绿盟防火墙专用硬件平台采用多核CPU和ASIC加速芯片构建。ASIC芯片具有3-4层快速转发和流分类的特性,使得绿盟防火墙具有高速的网络处理性能;多核CPU的强大浮点计算能力,以及绿盟独有的多流并行分布式处理技术,使得绿盟防火墙的应用层数据处理能力大幅提高,真正做到从4层防护到7层防护的提升。 ? 智能协议识别(NIPR)智能内容识别(NICR)技术
智能协议识别技术——Nsfocus Intelligent Protocol Recognition(NIPR)和智能内容识别技术——Nsfocus Intelligent Content Recognition(NICR)是绿盟自主研发的网络威胁识别技术,是绿盟科技在网络攻防技术方面多年研究成果的结晶,也是绿盟防火墙产品的核心技术。
网络应用层防护的最大难度在于对复杂多变的应用协议、黑客复杂的攻击行为以及应用内容进行解析识别,从而进行针对性的防护。NIPR和NICR识别技术,它利用七个安全库(应用协议特征库、协议行为特征库、URL分类库、Web信誉库、病毒库、攻击规则库、垃圾邮件库),通过动态分析网络报文中包含的协议特征、行为特征以及非法内容,识别出非法信息,然后递交给相应的处理引擎进行防护。
具备了NIPR和NICR的绿盟防火墙,不再受动态端口或攻击工具变化的影响。对于P2P等运行在任意端口的应用层协议,或者绑定在任意端口的木马、后门,还有黑客的灵活多变的攻击方式,绿盟防火墙都能在不需要管理员参与的情况下高速准确的判断出来,并根据网关策略予以阻断或限制。
? 超强的网络攻击检测/防护能力
绿盟防火墙集成了绿盟科技专业的入侵检测/防护模块,可实现基于IP地址/网段、规则(组、集)、时间、动作等对象的虚拟IPS。绿盟防火墙采用虚拟补丁技术,可防护远程扫描、暴力破解、缓存区溢出、蠕虫病毒、木马后门、SQL注入、跨站脚本等各种攻击。 ? 首创的内网资产风险管理
绿盟科技下一代防火墙,除了具备国际权威咨询机构Gartner所定义的下一代防火墙全部特性,不仅在新一代网络中保障用户的边界网络安全,防范“外敌”入侵,更首创性的提供内网资产风险识别功能,让用户对内网易受攻击资产进行风险提前评估和预警,双向安全,双向保障。即作为事中安全拦截设备,又作为事前风险防范设备,为用户在安全投资不变的情况下提供一举两得的加强安全效应。 ? 先进的云端安全管理模式
业界首创的云端安全管理模式,对传统防火墙及业界其它下一代防火墙产品,在运维服
务模式上迈出了崭新的一步。绿盟科技凭借多年对用户安全攻防服务经验的积累,分析沉淀国际及国内市场的用户需求趋势,深刻把脉真正下一代安全的未来走向,通过构造云端安全管理平台,让用户在便捷、高效安全管理上有了全新的体验,极大减免了用户的安全运维投入,从而有能力在应对不断增长变化的威胁攻击中百战不殆,游刃有余。 ? 全面支持IPv6
绿盟防火墙使用双协议栈(dual stack)架构,支持IPv6/IPv4双协议栈功能,能同时辨识IPv4和IPv6通讯流量。多种隧道模式的支持,确保IPv6过渡时代的网络通畅。IPv6环境下攻击检测技术和基于IPv6地址格式的安全控制策略,为IPv6环境提供了完善的安全防护。 ? 细致的应用层控制手段
图 3.2 应用控制
传统防火墙的访问控制或流量管理粒度粗放,只能基于IP/端口号对数据流量进行一刀切式的禁止或允许。NF基于卓越的应用和用户识别能力,对数据流量和访问来源进行精细化辨