XXXXX公司 網絡安全建設建議方案(三)

2014-12-17 17:41:00
dxt001
原創
2841

接XXXXX公司 網絡安全建設建議方案(二)


?           針對 **** 公司網絡,根據實現功能,我們將其劃分為接入訪問區域,數據中心區域和互聯網區域四個部分,分別為:

                 

?   ?      接入訪問區域:包括 **** 公司網絡接入的各公司,該區域是 **** 公司網絡應用的主要組成部分;

?   ?      數據中心區域:即 **** 公司網絡的管理中心機房,該區域實現了對整體網絡的統一管理,具有相當重要的位置;

?   ?     互聯網區域:國際互聯網。


    防火墻被部署在各個區域之間,對不同的區域之間形成邏輯隔離,并且控制不同區域之間的訪問,參考安全策略,按照 IP 地址、協議、端口、 MAC 地址、時間、帶寬等多個因素,確保各個區域之間只有授權許可的訪問才能進行,從而達到邊界防護的目的。具體部署方案參考下圖:


****公司網絡防火墻部署示意圖

防火墻主要在以下三個方面進行部署:

部署在辦公網與互聯網的邊界處

在此防火墻工作在“路由模式”下,既內、外網口分別被分配兩個網段的 IP 地址,并且對接入訪問區域向互聯網的訪問做地址轉換,確保接入訪問區域能夠順利訪問互聯網資源;

此處部署的防火墻主要配置以下的安全規則:

1、  限制接入訪問區域內用戶對互聯網訪問的種類,規定只有 HTTP HTTPS FTP MAIL FTP QQ MSN 等訪問能夠經過防火墻轉發;

2 、 互聯網用戶只能通過 HTTP MAIL DNS FTP 的方式,訪問信息發布區域內的信息發布服務器;

3 、 其他任何訪問均被禁止;

4、  地址轉換規則:地址轉換分為兩個方面,一是接入訪問區域的用戶通過正向地址轉換,訪問到互聯網的資源;二是對信息發布區域的服務器,通過反向地址轉換,提供給互聯網用戶進行訪問;

5、  該防火墻需要與部署在網絡核心交換機上的入侵檢測系統進行聯動,當入侵檢測系統發現攻擊行為時,發送消息給該防火墻,防火墻則自動生成阻斷規則,將發起攻擊的來源阻斷在網絡之外。

6 、 抗攻擊策略:防火墻采取抗拒絕服務攻擊,掃描攻擊、木馬攻擊等策略,確保系統的持續可用能力;

部署在辦公網與數據中心的邊界處

在此防火墻工作在“透明模式”下,在該模式下,防火墻接入方便靈活,通過訪問控制策略,確保數據中心的邊界安全;

此處部署的防火墻主要配置以下的安全規則:

1、  限制接入訪問區域內用戶對數據中心訪問的種類,規定只能訪問數據中心的服務器資源;

2 、 數據中心的網管服務器可以單向地任意訪問其他任何區域;

3 、 其他任何訪問均被禁止;

4 、 部署在此的兩臺防火墻采取雙機熱備的方式,與原有的物理鏈路配合,具有較好的可靠性;

5 、 該防火墻需要與部署在網絡核心交換機上的入侵檢測系統進行聯動,當入侵檢測系統發現攻擊行為時,發送消息給該防火墻,防火墻則自動生成阻斷規則,將發起攻擊的來源阻斷在網絡之外。

詳細的防火墻訪問規則與應用是密切配合的,因此在具體實施的過程中,我們將根據 **** 公司網絡的具體應用,將進一步細化規則

6.1.2. 防火墻的作用

6.1.2.1. 防御網絡攻擊

各局域網中的用戶均有可能對其他局域網中的對外服務器進行各種各樣的攻擊,通過在防火墻上設置相應的規則,可以抵御或者阻止這些攻擊。例如:

l   用戶一經授權便能夠采用任何現有的或新出現的網絡技術與應用而在廣域網中最大限度的訪問所需要的信息和服務;

l   這些用戶和系統應該可以防范各種網絡攻擊,能夠查找到攻擊的來源和類型,能夠對這些攻擊進行反應,而且能夠對這些攻擊造成的破壞進行修復;

l   對網絡訪問接入點的保護應該對相關組件與網絡的性能造成盡可能少的影響;

l   對網絡訪問接入點的保護應該具有針對未來需求的可擴展性;

l   DOS/DDOS攻擊:拒絕服務攻擊( DOS)、分布式拒絕服務攻擊( DDOS)就是攻擊者過多的占用共享資源,導致服務器超載或系統資源耗盡,而使其他用戶無法享有服務或沒有資源可用。防火墻通過控制、檢測與報警機制,防止 DOS黑客攻擊。所以通過防火墻上進行規則設置,規定防火墻在單位時間內接到同一個地址的 TCP全連接、半連接的數量,如果超出這個數量便認為是 DOS/DDOS攻擊,防火墻在設定的時間內就不接受來自于這個地址的數據包,從而抵御了 DOS/DDOS攻擊;

l   防止入侵者的掃描:大多數黑客在入侵之前都是通過對攻擊對象進行端口掃描,收集被攻擊對象開放什么端口、什么服務、有何漏洞、哪些用戶的口令弱等信息,然后再展開相應的攻擊。通過防火墻上設置規則:如果發現外部有某臺計算機在單位時間內與內部某臺服務器或者主機建立多個連接,便認為是掃描行為,并截斷這個連接。從而防止入侵者的掃描行為,把入侵行為扼殺在最初階段;

l   防止源路由攻擊:源路由攻擊是指黑客抓到數據包后改變數據包中的路由選項,把數據包路由到它可以控制的一臺路由器上,進行路由欺騙或者得到該數據包的返回信息。通過在防火墻上配置規則,禁止 TCP/IP數據包中的源路由選項,防止源路由攻擊;

l   防止 IP碎片攻擊: IP碎片攻擊是指黑客把一個攻擊數據包分成多個數據據包,從而隱藏了該數據包的攻擊特征。通過在防火墻上設置規則防火墻在進行檢查之前必須將 IP分片重組為一個 IP報文,而且這個報文必須具有一個最小長度以包含必要的信息以供檢查,從而防止了 IP碎片攻擊;

l   防止 ICMP/IGMP攻擊:許多拒絕服務攻擊是通過發送大量的 ICMP數據包、 IGMP數據包實現的。通過在防火墻上設置規則,禁止 ICMP/IGMP數據包的通過防火墻,保證系統的安全;

l   阻止 ActiveXJavaJavascript等侵入:防火墻能夠從 HTTP頁面剝離 ActiveXJavaApplet等小程序及從 ScriptPHPASP等代碼檢測出危險的代碼,也能夠過濾用戶上載的 CGIASP等程序;

l   其他阻止的攻擊:通過在防火墻上的 URL過濾可以防止一些來自于系統漏洞的攻擊(例如:通過配置規則禁止訪問 ../winnt/system32/cmd.exe?/可以防止 WINDOW NT/2000 UNICODE漏洞以及其他 CGI漏洞攻擊: /Cgi-bin/phfcgi-bin/count.cig_vti_pvt/service.pwdcfdocs/expeval/ openfile.cfm等)、和一些病毒的攻擊(例如:禁止 default.ida可以防止紅色代碼的攻擊);

l   提供實時監控、審計和告警:通過防火墻提供對網絡的實時監控,當發現攻擊和危險代碼時,防火墻提供告警功能;

6.1.2.2. 訪問控制

訪問控制也是防火墻的主要作用,這里我們在 **** 公司網絡中引入防火墻系統,將 **** 公司網絡從邏輯上隔離為多個安全區域,在安全區域之間對訪問進行靈活的控制,從而確保只有授權許可的訪問才能穿越防火墻,具體內容如下:

l   提供基于狀態檢測技術的對象式訪問控制:訪問控制對象定義靈活,可以為 IP對象、域名對象、 NAT對象、代理對象、用戶對象、用戶組對象、時間對象等;

l   高效的透明代理實現細粒度應用級訪問控制:提供應用級透明代理,對常用高層應用( HTTPFTPSMTPPOP3NNTPTELNET)做了更詳細控制,如 HTTP命令( GETPOSTHEAD)及 URLFTP命令( GETPUT)及文件控制,從而對重點服務器的安全保護,如控制用戶訪問的路徑,控制用戶的“讀”、“寫”權限等。

l   支持郵件過濾和內容安全審計:實現 URL阻斷及 HTTPFTP SMTPPOP3NNTP協議下交互操作命令和指令的過濾,保護應用的安全。例如,管理員可以控制用戶是否可以訪問 WWW服務器上的某個頁面,是否過濾頁面中 java,vbscript,javascript組件,也可以查看內部網用戶發出的郵件,控制用戶訪問的新聞組等等。

6.1.2.3.WWW 防火墻的優勢

自主安全操作系統平臺

采用自主知識產權的安全操作系統 TOS Topsec Operating System ), TOS 擁有優秀的模塊化設計架構,有效保障了防火墻、 VPN 、防病毒、內容過濾、抗攻擊、流量整形等模塊的優異性能,其良好的擴展性為未來迅速擴展更多特性提供了無限可能。 TOS 具有具有高安全性、高可靠性、高實時性、高擴展性及多體系結構平臺適應性的特點。  

自主產權的安全芯片

安全核心芯片— TopASIC? ,是天融信在多年芯片開發的經驗積累下,在上一代芯片開發的基礎上完成的,從而確保該芯片在繼承了原有技術優勢的同時,技術的穩定性好。 TopASIC? 的成功開發和應用,使天融信躋身于少數擁有芯片級核心技術自主產權的國際安全廠商的行列。

 

高集成度高穩定性的芯片

WWW防火墻借鑒了業內芯片 SoC(System on Chip) 技術,芯片內置硬件防火墻單元、 7 層數據分析單元、 VPN 加密單元、硬件路由交換單元、快速報文緩存、 MAC 等眾多硬件芯片單元,使得防火墻全部業務功能都在安全芯片系統內完成。高度集成化確保產品具有低功耗、高性能、高穩定、長壽命的特點。

靈活的雙引擎構架

WWW防火墻核心構架采用高性能管理 CPU 與可編程 ASIC 技術相結合的方式,將系統的控制平面與數據平面分開,大大降低了控制平面與數據平面間的數據流量。 ASIC 硬件芯片負責數據業務的處理轉發;高性能管理 CPU 處理器提供系統的管理控制功能,它具有強大運算能力的優勢可以大大提高系統的自身抗攻擊能力,以及保證在高強度攻擊下的系統自身管理效率

 

真正的線速性能

內置的專用硬件加速芯片,保證系統從小包 64 字節到 1518 字節的數據處理,從簡單功能到復雜網絡應用組合,都可以達到 100% 的線速轉發。加之WWW公司自主 TAPF (TopASIC PacketFashpath) 報文轉發技術,報文轉發延遲比傳統防火墻降低了數十倍。具體表現為:

?   各種業務條件下的線速轉發。例如當啟動 NAT、各種防火墻策略后,系統性能不變。

?   系統大容量。 8Gbps總容量。所有端口全部線速轉發。

? 低延遲。借助報文快速處理 TAPT等技術,使得報文轉發延遲相對 X86或者 NP構架防火墻有數十倍的降低,最低可以小于 3us

 

高穩定性和高處理能力

專用芯片技術是當前高端網絡設備廣泛采用的技術。由于采用了硬件轉發模式、多總線技術、數據層面與控制層面分離等技術, 專用芯片架構防火墻 解決了帶寬容量和性能不足的問題,穩定性也得到了很好的保證。

通過對用戶需求的深入了解,對關鍵功能的處理流程進行大量的優化工作,使得關鍵處理部分以簡單而固定的方式實現,從而固化到硬件。通過把指令或計算邏輯固化到硬件中,可以獲得很高的處理速度,因而能夠很好地滿足網絡安全設備對處理能力、性能及穩定性的要求

 

虛擬防火墻

虛擬防火墻,是指在一臺物理防火墻上可以存在多套虛擬系統,每套虛擬系統在邏輯上都相互獨立,具有獨立的用戶與訪問控制系統。不同的企業或不同的部門可以共用 1 臺防火墻,但使用不同的虛擬系統。對于用戶來說,就像是使用獨立的防火墻。大大節省了成本。

 

強大的應用控制

WWW防火墻提供了強大的網絡應用控制功能。用戶可以輕松的針對一些典型網絡應用,如 BT MSN QQ 等。

6.2. 入侵檢測子系統設計

在基于 TCP/IP 的網絡中,普遍存在遭受攻擊的風險。除了惡意的攻擊外,非惡意目的發起的攻擊也是非常重要的一部分。 有效的入侵檢測系統可以同時檢測內部和外部威脅。入侵檢測系統的目的是檢測惡意和非預期的數據和行為(如變更數據、惡意執行、允許非預期資源訪問的請求和非預期使用服務)。一旦入侵被檢測到,會引發某種響應(如斷開攻擊者連接、通知操作員、自動停止或減輕攻擊、跟蹤攻擊來源或適當地反攻擊)。

6.2.1. 入侵檢測部署方案


探測器部署位置

如圖上圖所示,整個網絡的入侵檢測探測器部署在三個地方,分別是接入訪問區域邊界的交換機、數據中心區域核心交換機以及對外信息發布區域核心交換機,分別對所在區域內的訪問進行實時探測與響應,當發現存在異常行為時,將事件以消息的方式傳遞到數據中心的監控臺,提供給網絡管理人員對網絡內的活動進行監測。

管理中心部署方式

入侵檢測系統的部署采取“各單位獨立部署、單位內部集中管理、分層管理”的方式,即每個獨立的局級單位分別部署獨立的入侵檢測系統控制中心,用于管理本局內的所有探測器,每個單位自己進行入侵檢測。為了保證監測效率,原則上一個控制中心控制的下級探測器不宜超過 10 個,因此,當一個單位有更多探測器時,允許利用入侵檢測系統控制中心的多級管理功能,部署二級或多級的控制中心,以擴充引擎數量。

探測器部署方式

探測器采用監聽的方式發現非法事件,因此,探測器需要部署在網絡內部,將探測器的監聽端口接在被保護主機的同一個網段中,每個獨立網段只安裝一個探測器,整個網段都將在其監視之下。對交換式網絡,需要在交換機上配置監聽端口即可。

事件庫升級方式

事件庫的升級應當由控制中心統一進行,事件庫的派發可采用由開發商統一發放,進行全體系的升級。升級方式可以是通過網絡、光盤等方式。

系統管理方式

入侵檢測系統的管理、使用、升級等策略由 **** 公司統一做出要求,各單位遵照執行。

建議各單位設置安全管理員,在一個統一的安全管理委員會的組織下管理入侵檢測系統。系統的管理方式應遵循相關章節中關于安全管理組織結構及其運行方式的描述。

性能要求

要求探測器工作在雙網卡工作模式下,探測端口和通訊端口分開的,探測端口只進行抓取網絡數據包功能、只進不出,保證對原網絡不產生影響,尤其保證不能大量占用帶寬等網絡資源,原則是不能影響正常業務的進行。


6.2.2. 入侵檢測的作用

**** 公司網絡是一個基于 TCP/IP 協議的通用網絡,它的如下特點使得它面臨較大的攻擊風險:

(1)          多個局域子網聯入總公司網絡,使網絡更加復雜和難以保證安全;

(2)          防火墻一般不提供對內部的保護,不能防止通向站點的后門,無法防范數據驅動型的攻擊。

(3)          開放的 Internet 環境,使得黑客工具唾手可得,無論是外部入侵還是內部破壞幾乎不需要專業的計算機網絡知識,安全事件逐年上升。

利用防火墻技術,經過精心的配置,通常能夠在內外網之間提供安全的網絡保護,降低網絡安全風險。但是,存在著一些防火墻等其它安全設備所不能防范的安全威脅,這就需要入侵檢測系統提供實時的入侵檢測及采取相應的防護手段,如記錄證據用于跟蹤和恢復、斷開網絡連接等,來保護網絡的安全。

入侵檢測是防火墻等其它安全措施的補充,幫助系統對付網絡攻擊,擴展系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下能對網絡進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時檢測。

除了入侵檢測技術能夠保障系統安全之外,下面幾點也是使用入侵檢測的原因:

(1)          計算機安全管理的基本目標是規范單個用戶的行為以保護信息系統免受安全問題的困擾。入侵檢測系統可以發現已有的威脅,并對攻擊者進行懲罰,有助于上述目標的實現,并對那些試圖違反安全策略的人造成威懾。

(2)          入侵檢測可以檢測其它安全手段無法防止的問題。攻擊者使用越來越容易得到的攻擊技術,能夠對大量系統進行非授權的訪問,當系統具有已知漏洞的時候這種攻擊更容易發生。盡管開發商和管理員試圖將漏洞帶來的威脅降到最低程度,但是很多情況下這是不能避免的:

l   很多系統的操作系統不能得到及時的更新


l   有的系統雖然可以及時得到補丁程序,但是管理員沒有時間或者資源進行系統更新,這個問題很普遍,特別是在那些具有大量主機或多種類型的軟硬件的環境中。

l   正常工作可能需要開啟網絡服務,而這些協議是具有漏洞,容易被攻擊的。

l   用戶和管理員在配置和使用系統時可能犯錯誤。

l   在進行系統訪問控制機制設置時可能產生矛盾,而這將造成合法用戶逾越他們權限的錯誤操作。

l   商業軟件開發商總是希望將自己產品中的漏洞數量減到最少,而用戶也應盡可能迅速可靠的修補已經公布的漏洞,但是并不總是我們希望的那樣,事實上每天都有很多新的漏洞公布。當攻擊者利用已知的漏洞進入一個系統時,入侵檢測可以將其檢測出來,此外,它將入侵匯報給管理員,管理員可以進行相應的系統恢復。

(1)          當有人攻擊一個系統時,他們總是按照一定的步驟進行。首先是對系統或網絡的探測和分析,如果一個系統沒有配置入侵檢測,攻擊者可以自由的進行探測而不被發現,這樣很容易找到最佳攻入點。如果同樣的系統配置了入侵檢測,則會對攻擊者的行動帶來一定難度,它可以識別可疑探測行為,阻止攻擊者對目標系統的訪問,或者對安全人員報警以便采取響應措施阻止攻擊者的下一步行動。

(2)          入侵檢測證實并且詳細記錄內部和外部的威脅,在制定網絡安全方案時,通常需要證實網絡很可能或者正在受到攻擊。此外,攻擊的頻率和特征有助于選擇保護網絡免受相應攻擊的安全手段。

(3)          在入侵檢測運行了一段時間后,系統使用模式和檢測問題變得明顯,這會使系統的安全設計與管理的問題暴露出來,在還沒有造成損失的時候進行糾正。

(4)          即使當入侵檢測不能阻止攻擊時,它仍可以收集該攻擊的可信的詳細信息進行事件處理和恢復,此外,這些信息在某些情況下可以作為犯罪的佐證。


總之,入侵檢測的根本意義在于發現網絡中的異常。管理人員需要了解網絡中正在發生的各種活動,需要在攻擊到來之前發現攻擊行為,需要識別異常行為,需要有效的工具進行針對攻擊行為以及異常的實時和事后分析。“ 知情權是網絡安全的關鍵”,這使得入侵檢測成為其它許多安全手段,如審計系統、安全網管系統的基礎。

入侵檢測系統作為邊界保護的一項關鍵手段,可有效實現如下安全措施:

(1)          報告安全事故,降低外部訪問風險;

入侵檢測系統可有效發現來自外部訪問人員的違規行為,可探測網絡中不應出現的行為,包括內部人員的行為,如口令猜測等。入侵檢測系統作為收集網絡中異常信息的技術,是建立安全事故報告的基礎,它不僅能夠在安全事件發生時給出警告,還可以在安全事件發生后,為調查事故發生過程提供基本支持信息。

(2)          協助發現安全弱點,生成安全事件分析報告;

檢測到的安全事件信息同樣也反映了系統中存在的某些安全漏洞,許多場合下,正是由于這些弱點的存在,才導致出現攻擊。

(3)          建立邊界的安全保護體系;

入侵檢測的設置點之一就是關鍵網段的邊界、外部網關等位置,以便可以監測那些可抽取網絡事件特征的流量(如最有可能被用來攻擊的通道),檢測部分惡意軟件危害信息保密性、完整性的行為,同時,可檢測網絡病毒(如 Nimida )等惡意代碼。入侵檢測是保護電子郵件系統、辦公自動化系統的一種重要手段,可防止上述系統被惡意攻擊。同時,入侵檢測能夠檢測整個網絡的安全狀況,包括檢測來自外部和內部對無人值守的設備的攻擊。

入侵檢測反映出的安全事件可用于指導制訂設備的操作制度。

(4)          對遠程訪問進行保護;

入侵檢測可發現并記錄任何對遠程診斷端口的使用,可檢測對網絡路由的控制和攻擊。任何對開放的網絡服務的濫用、攻擊,入侵檢測系統都能夠記錄下來。

(5)          對敏感系統建立專用保護環境;

入侵檢測系統可實時檢測敏感系統的安全狀況,保護敏感系統不被非法攻擊,近乎實時地識別和阻止內部網絡用戶和外部攻擊者對計算機系統的非授權使用、誤用和濫用。同時,能夠發現并記錄利用隱通道發出的信息流,以及特洛伊木馬的破壞保密性的行為。

(6)          建立安全事件記錄系統;

入侵檢測系統可發現并存儲安全事件,以作為建立安全事件記錄體系、報告體系、分析體系、安全應對體系的基礎,并可作為審計的基礎。




XXXXX公司 網絡安全建設建議方案(四)



發表評論
評論通過審核后顯示。
文章分類
聯系我們
聯系人: 牟經理
電話: 028-85666248
傳真: 028-85666248-8008
Email: business@cd-dxt.com
QQ: 489323802
地址: 成都市二環路西一段80號金科雙楠天都2號樓
福彩3d相年富