企业网络系统安全设计方案Word文件下载.docx
- 文档编号:17949848
- 上传时间:2022-12-12
- 格式:DOCX
- 页数:20
- 大小:548.20KB
企业网络系统安全设计方案Word文件下载.docx
《企业网络系统安全设计方案Word文件下载.docx》由会员分享,可在线阅读,更多相关《企业网络系统安全设计方案Word文件下载.docx(20页珍藏版)》请在冰豆网上搜索。
《建筑物电子信息系统防雷技术规范》GB50343-2004
《工业与民用电力装置的接地设计规范》GBJ65-83
《工业企业通信接地设计规范》GBJ79-85
《通信管道工程施工及验收规范》GB50374-2006
一.3设计原则
以安全、实用、冗余、先进、适应发展为总建设原则。
1、实用性原则:
以现行需求为基础,充分考虑发展的需要来确定规模。
2、冗余性原则:
特别注重网络硬件系统自身在突发事件时的可用性,以冗余备份的设计方式加以保障。
在核心位置提供设备级冗余,在主干设备与汇聚设备之间提供可靠的线路及模块冗余,当其中一个部件因故障停止工作时,另一部件自动接替其工作,并且不引起其他节点的路由表重新计算,从而提高网络的稳定性和可靠性。
3、安全性原则:
安全性是信息化建设的基础保障。
出于安全及保密因素,现在信息化建设工程对安全性有很高的要求。
设计的过程中必须依据国家各种有关安全法规政策,对硬件支撑平台的访问控制、在线监视、信息加密等方面进行完善考虑,在网络建构上根据功能划分相应的区域,使用如防火墙、入侵检测、信息过滤等手段,防止非法用户、非法信息及病毒的入侵和泄密事件的发生。
同时还要在企业内部建立健全各种相关安全管理制度,确保全网的安全。
4、先进性原则:
系统采用国际上先进的前沿网络技术,满足今后一段时期的需要。
5、可靠性原则:
要保证系统运行可靠,极高的平均无故障时间和极短的设备修复时间。
网络的运行必须保证相当高的可靠性,以满足工作及信息的安全与稳定。
防止局部故障引起整个网络系统的瘫痪,避免网络出现单点故障。
6、易维护原则:
系统要易于管理、易于维护。
网络需要很高的可管理性,特别是在数据、视频等多业务的网络系统里,要使用可管理的网络设备,可以识别关键资源,根据流量状况以及网络性能配置阈值并为不同的应用提供不同的带宽,使所有的服务能够顺利完成。
随着系统的投入运行和系统资源的不断增加,网络系统应具有很好的易维护性,使管理人员易于维护,减少不必要的额外劳动,提高工作效率。
7、易扩展原则:
设计过程中应当保证在用户业务量和业务类型的变化增长的情况下,硬件支撑平台能够方便的升级并扩展,网络可以自如地扩充容量,支持更多的用户及应用。
网络平台设计时必须按照各种国际通用标准进行,以保证各种设备、网络的兼容通用,将来网络在实现扩容、升级时不会受到某些厂家专有标准的限制。
网络结构与网络技术的选择,要具有相当的前瞻性,以确保随着网络技术的不断发展,网络能够平滑地过渡到更先进的技术和设备,充分保障用户现有的投资和利益。
第二部分整体需求分析
二.1需求分析
根据前期和客户沟通汇总的需求,本次项目规划涉及网络包括:
园区有线网络、园区无线网络、数据中心网络、管理控制网络、外联网络、互联网络等网络。
按照模块化、层次化、区域化、可扩展的规划原则,厦门G6总体网络可进行以下模块化划分:
园区网核心交换区域:
VSS系统架构,高可靠性和提升网络性能;
部署冗余无线控制器,实现无线快速切换
园区网络接入区域:
万兆光纤主干,通过VSS实现链路的捆绑,提高链路利用率,包括有线和无线接入方式.
数据中心核心交换区域:
VPC+系统架构,高性能高扩展性
数据中心主机接入区域:
公司办公业务系统的各种服务器
外联区域:
双机SSLVPN终结设备,提供外联及接入的高可靠架构
员工上网区域:
链路负载均衡、防火墙设备整合应用。
管理控制区域:
管理控制区域,主要都由各种服务器系统组成,是整个网络运维管理的核心区域,网络管理系统、网络安全审计及授权系统、无线覆盖的管理系统、移动终端的认证管理系统等网络运维的管理系统均部署于该区域
二.2拓扑规划
二.3设计思想
园区有线采用两种方案:
方案一:
针对M3区采用两层架构,核心采用Cat6807交换机,接入层采用Cat6800ia交换机,实现即时接入。
该接入交换机可提供48端口接入且最大24端口802.3at30W供电能力。
通过VSS+IA技术实现园区简化架构、提高转发效率的要求。
方案二:
针对M4厂区由于受限于光纤等资源情况,需在M4楼部署汇聚设备;
即采用传统三层架构方式
园区无线采用CT5520作为无线控制器,接入层AP采用支持802.11ac的1700/2700系列。
无线AP2702E可实现高密度无线接入。
方案中采用FlaxConnect集中认证、本地转发模式。
管理控制层使用CiscoISE作为整网管理控制平台,CiscoISE支持有线无线准入控制一体化。
将无线访客网络通过Cat6807的VRF特性进行流量隔离,并指定网关至深信服AC。
深信服AC上对此网段进行Portal认证,实现对无线访客的Portal认证。
第三部分网络安全设计
三.1网络安全部署思路
三.1.1网络安全整体架构
目前大多数的安全解决方案从本质上来看是孤立的,没有形成一个完整的安全体系的概念,虽然已经存在很多的安全防护技术,如防火墙、入侵检测系统、防病毒、主机加固等,但是各个厂家鉴于各自的技术优势,往往厚此薄彼。
必须从全局体系架构层次进行总体的安全规划和部署。
本次信息建设虽然仅包括数据中心、园区有线部分和园区无线部分的建设,但也必须从全局和架构的高度进行统一的设计。
建议采用目前国际最新的“信息保障技术框架(IATF)”安全体系结构,其明确提出需要考虑3个主要的因素:
人、操作和技术。
本技术方案着重讨论技术因素,人和操作则需要在非技术领域(比如安全规章制度)方面进行解决。
技术因素方面IATF提出了一个通用的框架,将信息系统的信息保障技术层面分为了四个技术框架域:
•网络和基础设施:
网络和基础设施的防护
•边界保护:
解决边界保护问题
•局域计算环境:
主机的计算环境的保护
•支撑性基础设施:
安全的信息环境所需要的支撑平台
并提出纵深防御的IA原则,即人、技术、操作相结合的多样性、多层叠的保护原则。
我们在本次网络建设改造中需要考虑的安全问题就是上图中的“网络和基础设施保护”、“边界保护”两个方面,而“计算机环境(主机)”、“支撑平台”则是在系统主机建设和业务应用建设中需要重点考虑的安全问题。
三.1.2网络平台建设所必须考虑的安全问题
高速发达的网络平台衍生现代的网络病毒、蠕虫、DDoS攻击和黑客入侵等等攻击手段,如果我们的防护手段依然停留在对计算环境和信息资产的保护,将处于被动。
需要从网络底层平台的建设开始,将安全防护的特性内置于其中。
因此在SODC架构中,安全是一个智能网络应当对上层业务提供的基本服务之一。
网络从平台安全角度的安全设计分为以下三个层次:
设备级的安全:
需要保证设备本身的安全,因为设备本身也越来越可能成为攻击的最终目标;
网络级的安全:
网络作为信息传输的平台,有第一时间保护信息资源的能力和机会,包括进行用户接入认证、授权和审计以防止非法的接入,进行传输加密以防止信息的泄漏和窥测,进行安全划分和隔离以防止为授权的访问等等;
系统级的主动安全:
智能的防御网络必须能够实现所谓“先知先觉”,在潜在威胁演变为安全攻击之前加以措施,包括通过准入控制来使“健康”的机器才能接入网络,通过事前探测即时分流来防止大规模DDoS攻击,进行全局的安全管理等。
应在上述三个方面逐步实施。
三.2网络设备级安全
网络设备自身安全包括设备本身对病毒和蠕虫的防御以及网络协议本身的防范措施。
有以下是本项目所涉及的网络设备和协议环境面临的威胁和相应的解决方案:
三.2.1防蠕虫病毒的等Dos攻击
数据中心虽然没有直接连接Internet,但内部专网中很多计算机并无法保证在整个使用周期内不会接触互联网和各种移动存储介质,仍然会较多的面临大量网络蠕虫病毒的威胁,比如RedCode,SQLSlammer等等,由于它们经常变换特征,防火墙也不能完全对其进行过滤,它们一般发作的机理如下:
•利用MicrodsoftOS或应用的缓冲区溢出的漏洞获得此主机的控制权
•获得此主机的控制权后,安装病毒软件,病毒软件随机生成大量的IP地址,并向这些IP地址发送大量的IP包。
•有此安全漏洞的MSOS会受到感染,也随机生成大量IP地址,并向这些IP地址发送大量的IP包。
•导致阻塞网络带宽,CPU利用率升高等
•直接对网络设备发出错包,让网络设备CPU占用率升高直至引发协议错误甚至宕机
因此需要在设备一级保证受到攻击时本身的健壮性。
此次的核心交换机Nexus9000、智能服务机箱Catalyst6800均支持硬件化的控制平面流量管制功能,可以自主限制必须由CPU亲自进行处理的信息流速,要求能将包速管制阈值设定在CPU可健康工作的范围内,从根本上解决病毒包对CPU资源占用的问题,同时不影响由数据平面正常的数据交换。
特别是Nexus9000的控制平面保护机制是在板卡一级分布式处理的,具备在大型IDC中对大规模DDoS的防护能力。
另外所有此类的蠕虫和病毒都会利用伪造源IP地址进行泛滥,局域网核心交换机和广域网骨干路由器都应当支持对转发的包进行源地址检查,只有源地址合法的IP包才会被转发,这种技术称为UnicastReverseForwarding(uRPF,单播反转路径转发)。
该技术如果通过CPU实现,则在千兆以上的网络中将不具备实用性,而本次网络中在万兆一级的三层端口支持通过硬件完成的uRPF功能。
三.2.2防VLAN的脆弱性配置
在数据中心的不同安全域进行防火墙访问控制隔离时,存在多个VLAN,虽然广泛采用端口捆绑、vPC等技术使正常工作中拓扑简化甚至完全避免环路,但由于网络VLAN多且关系复杂,无法在工程上完全杜绝诸如网络故障切换、误操作造成的临时环路,因此有必要运行生成树协议作为二层网络中增加稳定性的措施。
但是,当前有许多软件都具有STP功能,恶意用户在它的PC上安装STP软件与一个Switch相连,引起STP重新计算,它有可能成为STPRoot,因此所有流量都会流向恶意软件主机,恶意用户可做包分析。
局域网交换机应具有Rootguard(根桥监控)功能,可以有效防止其它Switch成为STPRoot。
本项目我们在所有允许二层生成树协议的设备上,特别是接入层中都将启动RootGuard特性,另外Nexus3000/2000还支持BPDUfilters,BridgeAssurance等生成树特性以保证生成树的安全和稳定。
还有一些恶意用户编制特定的STP软件向各个Vlan加入,会引起大量的STP的重新计算,引起网络抖动,CPU占用升高。
本期所有接入层交换机的所有端口都将设置BPDUGuard功能,一旦从某端口接收到恶意用户发来的STPBPDU,则禁止此端口。
(三)防止ARP表的攻击的有效手段
本项目大量使用了三层交换机,在发送数据前其工作方式同路由器一样先查找ARP,找到目的端的MAC地址,再把信息发往目的。
很多病毒可以向三层交换机发一个冒充的ARP,将目的端的IP地址和恶意用户主机的MAC对应,因此发往目的端的包就会发往恶意用户,以此实现包窃听。
在Host上配置静态ARP是一种防止方式,但是有管理负担加重,维护困难,并当通信双方经常更换时,几乎不能及时更新。
本期所使用的所有三层交换机都支持动态ARPInspection功能,可动态识别DHCP,记忆MAC地址和IP地址的正确对应关系,有效防止ARP的欺骗。
实际配置中,主要配置对Server和网络设备实施的ARP欺骗,也可静态人为设定,由于数量不多,管理也较简单。
三.2.3防止DHCP相关攻击
本项目中的楼层网段会采用DHCPServer服务器提供用户端地址,但是却面临着几种与DHCP服务相关的攻击方式,它们是:
lDHCPServer冒用:
当某一个恶意用户再同一网段内也放一个DHCP服务器时,PC很容易得到这个DHCPserver的分配的IP地址而导致不能上网。
l恶意客户端发起大量DHCP请求的DDos攻击:
恶意客户端发起大量DHCP请求的DDos攻击,则会使DHCPServer性能耗尽、CPU利用率升高。
l恶意客户端伪造大量的MAC地址恶意耗尽IP地址池
应采用如下技术应对以上常见攻击:
•防DHCPServer冒用:
此次新采购的用户端接入交换机应当支持DHCPSnoopingVACL,只允许指定DHCPServer的服务通过,其它的DHCPServer的服务不能通过Switch。
•防止恶意客户端发起大量DHCP请求的DDos攻击:
此次新采购的用户端接入交换机应当支持对DHCP请求作流量限速,防止恶意客户端发起大量DHCP请求的DDos攻击,防止DHCPServer的CPU利用率升高。
•恶意客户端伪造大量的MAC地址恶意耗尽IP地址池:
此次新采购的用户端接入交换机应当支持DHCPoption82字段插入,可以截断客户端DHCP的请求,插入交换机的标识、接口的标识等发送给DHCPServer;
另外DHCP服务软件应支持针对此标识来的请求进行限量的IP地址分配,或者其它附加的安全分配策略和条件。
三.3网络级安全
网络级安全是网络基础设施在提供连通性服务的基础上所增值的安全服务,在网络平台上直接实现这些安全功能比采用独立的物理主机实现具有更为强的灵活性、更好的性能和更方便的管理。
在本次数据中心的设计范围内主要是访问控制和隔离。
从全网看,集团网络、各地机构广域网、互联网、内部楼层、内部数据中心等都是具备明显不同安全要求的网络,按边界保护部署规则,都需要有防火墙进行隔离。
本文档仅讨论数据中心部分内部的防火墙安全控制设计。
三.3.1防火墙规划
园区安全域的划分需要建立在对园区应用业务的分析基础之上,本项目主要有两个区域设计(分别是办公人员互联网区和外链区);
设计具体原则如下:
▪同一业务一定要在一个安全域内
▪有必要进行安全审计和访问控制的区域必须使用安全域划分
▪需要进行虚拟机迁移的虚拟主机要在一个安全域中
▪划分不宜过细,安全等级一致的业务可以在安全域上进行归并,建议一期不超过5个安全域
在每个区域的防火墙角色功能不尽相同,如本项目办公区域互联网区主要是承担内外网安全隔离问题,那么在外联区域除了内外防护问题外还承担着办公人员出差拨入的服务器功能即SSLVPN;
根据办公人员出差比例本期项目初步规划使用思科下一代防火墙ASA5525提供最多750条SSLVPN隧道。
三.3.2防火墙部署设计
各个安全域的流量既需要互访、又必须经过严格的访问控制和隔离,而且还要保证设备可靠性;
故本项目每个区的一对防火墙可以利用思科cluster技术将多台逻辑上形成一台。
整体上也提高了防火墙性能。
同样我们此系列防火墙支持虚拟化技术,这里的虚拟防火墙功能是指物理的防火墙可以被虚拟的划分为多个独立的防火墙。
每个虚拟防火墙有完全独立的配置界面、策略执行、策略显示等等,所有操作就象在一个单独的防火墙那样。
而且虚拟防火墙还应当具有独立的可由管理员分配的资源,比如连接数、内存数、策略数、带宽等等,防止一个虚拟防火墙由于病毒或其它意外而过多占用资源。
仅仅用VLAN一类的技术划分防火墙是无法起到策略独立性和资源独立性的目的的,不属于这里所指的虚拟防火墙。
虚拟防火墙还应当配合虚拟三层交换机来使用。
每一个安全域可能内部存在多个IP子网,它们之间需要有三层交换机进行路由。
但不同安全域之间这样的路由不应当被混同在一个路由表中,而应当每个安全域有自己的路由表,可以配置自己的静态和动态路由协议,就好像有自己独立使用的一个路由器一样。
不同安全域相互之间仅通过虚拟防火墙互相连接。
最终应当达到虚拟化数据交换中心的使用效果。
即交换机的任何物理端口或VLAN端口都能够充当防火墙端口,同时每个安全域有自己独立虚拟路由器,自己独立的路由表和独立的动态路由协议。
每个安全域对应有一个自己专用的虚拟防火墙,每个虚拟防火墙拥有独立的管理员权限定义安全策略和使用资源。
不同安全域的管理员只负责本区域虚拟防火墙的策略控制管理,而不用关心其它虚拟防火墙的配置工作,避免了单一区域安全策略配置错误而对其它区域可能造成的影响,从根本上简化大型数据中心管理维护的难度。
三.3.3防火墙策略设计
不同安全域之间的访问控制策略由于虚拟化设计而只需考虑各个安全域内出方向策略和入方向策略即可。
建议初始策略依据如下原则设定,然后根据业务需求不断调整:
▪出方向上不进行策略限制,全部打开
▪入方向上按“最小授权原则”打开必要的服务
▪允许发自内部地址的双方向的ICMP,但对ICMP进行应用检查(Inspect)
▪允许发自内部地址的TraceRoute,便于网络诊断
▪关闭双方向的TCPSeqRandomization,在数据中心内的防火墙可以去除该功能以提高转发效率
▪减少或者不进行NAT,保证数据中心内的地址透明性,便于ACE提供服务
▪关闭nat-control(此为默认),关闭xlate记录,以保证并发连接数
▪对每个虚拟防火墙的资源进行最大限定:
总连接数,策略数,吞吐量
▪基于每个虚拟防火墙设定最大未完成连接数(EmbryonicConnection),将来升级到定义每客户端的最大未完成连接数
三.3.4防火墙性能和扩展性设计
本期项目建议采用的防火墙模块是具有3Gbps吞吐量、75万并发连接数、每秒3万新建连接数能力的高端防火墙系统。
在园区大数据量交互中,最占据防火墙处理开销的不是黑客攻击、越权访问等这些被拒绝的流,而是存储、备份、文件传输、虚拟机映像加载、内存同步等等大带宽消耗的正常应用的可信任流,它们的特点是在持续稳定的TCP连接或UDP会话中以最大的可传送能力(BestEffort)进行数据传送,往往可以侵占巨大的带宽,传统的防火墙对这类流量都会逐包进行检查处理,将导致防火墙内部处理的拥塞。
思科的新一代防火墙模块可以实现“借用”交换机的资源提高防火墙模块自身的吞吐性能。
实际上防火墙可以对一个流的前几个包进行处理,当得到这个流是可以通过的信任流的结论后,将这个流的特征提取出来送给交换机,交换机就用这个特征对流的后续包进行识别和处理,相当于这个流的后续部分交给交换机来完成了,这样交换机的资源和防火墙的资源实现真正的融合,大大提高的安全访问控制的处理速度,以前单个防火墙模块可以实现实测的5Gbps的吞吐量,而在使用资源整合技术之后,这个数值实测已经达到32Gbps,而且可以软件升级到300Gbps以上的防火墙模块。
这正是面向服务的数据中心对资源整合化的典型技术实现,也为客户带来的资源融合的益处。
我们在全球多个大型数据中心的实际使用环境中通过调查发现,除去这些“可信任流”,其余流量使用防火墙本身的5Gbps处理能力都是绰绰有余的,因此在本项目中一期工程中即使不采用双活的智能服务机箱,也足以保证防火墙环节的无瓶颈。
未来还可以通过2个防火墙模块的双活,甚至使用虚拟ACE实现4个防火墙模块的双向负载均衡。
三.4网络的智能主动防御
传统的不停的打补丁和进行特征码升级的被动防御手段已经无法适应安全防御的要求,必须由网络主动的智能的感知网络中的行为和事件,在发生严重后果之前及时通知安全网络管理人员,甚至直接联动相关的安全设备,进行提早措施,才能有效减缓危害。
要实现这种智能的主动防御系统,需要网络中进行如下部署:
•对桌面用户的接入进行感知和相应措施
•对桌面用户的行为进行分析和感知
•对全网安全事件、流量和拓扑进行智能的分析、关联和感知
•对各种信息进行综合分析然后进行准确的报告
•在报告的同时进行网络的联动以提早抑制威胁
以上整个过程需要多个产品进行部署才能实现。
以下对这些产品的部署进行简述。
三.4.1网络准入控制
网络准入控制技术——NetworkAccessControl(NAC),就是一种由网络智能对终端进行感知,而判断其威胁性,从而减少由终端发起的攻击的一种技术。
NAC类似于前面提到的身份识别安全接入控制技术,只不过它对主机、网络设备等接入的判别标准不仅仅是基于用户身份的,而是基于该设备的“网络健康状态”。
NAC允许各机构实施主机补救策略,将不符合安全策略要求及可疑的系统放置到隔离环境中(比如一个特定的专用于软件升级的VLAN),限制或禁止其访问生产网络,等威胁消除后,再回到生产网络。
通过将端点安全状态信息与网络准入控制的执行标准结合在一起,NAC使各机构能够大幅度提高其计算基础设施的安全性。
在实施的准入控制,需要能够实现以下要求:
•一体化的准入控制:
不仅仅是有线端的准入控制,而且要实现包括无线、VPN接入在内的准入控制,而且应当是统一的一个系统下的准入控制,这就需要以太网交换机、无线AP设备、无线控制器、VPN集中器都可以支持统一的准入控制;
•支持多种准入控制形式:
包括能够支持基于Infrastructure的准入控制,比如对于有线局域网、无线局域网可基于实现IEEE802.1x和动态VLAN的准入控制,对于路由器、防火墙、VPN集中器等等可实施基于过滤机制的准入控制,也可以支持基于网络专用设备的准入控制,比如对于网络交换机、路由器是由不同厂商品牌设备构成的异构网络也可以实施基于专用在线设备的准入控制;
•与身份标识相结合:
准入控制机制应当与身份标识是一体化的,不同身份标识的用户可以有相应的准入控制策略,即对身份的识别和对健康的检查可以进行联系;
•独立对客户机健康状态进行评估:
能够结合其它病毒厂商软件进行安全状态检查,更可以独立对客户端行为进行检查,包括操作系统补丁、病毒软件版本等,还应当包括检查注册表可疑记录、非法修改等等,能够通过对客户机状态进行深度判断,而基本上脱离复杂的第三方厂商病毒软件的部署而独立对健康状态进行准确评估。
•提供自动修复:
准入控制系统应包括提供在线的自动修复能力,包括各种策略的软件分发和链接推送等。
•
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 网络 系统安全 设计方案