构建安全网络系统Word文件下载.docx

构建安全网络系统Word文件下载.docx

《构建安全网络系统Word文件下载.docx》由会员分享，可在线阅读，更多相关《构建安全网络系统Word文件下载.docx（19页珍藏版）》请在冰豆网上搜索。

●网络安全技术方案

⏹网络安全：

通过入侵检测、防火墙、VPN、网闸等，保证网络通信的安全。

⏹系统安全：

通过各种技术保证操作系统级的安全。

⏹系统应用的安全：

通过各种技术保证数据库、电子邮件、Web等服务的安全。

⏹数据安全：

通过数据加密、身份认证、访问控制等措施，保证文件和数据库数据的安全。

3.课程设计的资料

1、设计背景：

X研究所是我国重要的军工研究所，拥有强大的军事装备研发实力，在研发过程中充分应用信息技术，显著提高了研发工作的效率。

该所除总部建设了覆盖全所的计算机网络外，北京办事处也建有计算机网络以处理日常事务。

总部和北京办事处间通过Internet连接。

少量员工到外地出差时也可能需要通过Internet访问研究所内部网络。

总部包括一室、二室、计算机中心等许多业务和职能部门。

研究所网络的拓扑结构如下图：

在研究所内网中，运行着为全所提供服务的数据库服务器、电子邮件服务器、Web服务器等。

2、安全需求

（1）防止来自Internet的攻击和内部网络间的攻击；

（2）实现Internet上通信的保密和完整性，并实现方便的地址管理；

（3）数据库服务器存储了研究所的所有数据需要特殊保护；

（4）主机操作系统主要是Linux和Windows，要采取相应的安全措施；

（5）解决移动办公条件下文件安全问题。

二.具体方案设计

1.项目背景

2.安全风险分析

该网络包括公司总部和北京办两个办公地点和外出员工的移动办公。

北京办和公司总部、公司总部与外出的移动办公人员之间要进行某些数据的传输，即网络通信。

公司总部有着自己的WEB服务器、E-mail服务器即企业数据库等，这些关键设备存储着公司大量的关键信息，其是否安全很大程度上影响甚至决定着该公司业务能否正常运营。

该公司可能存在着各种来自内部或外部的攻击，从而影响公司系统的安全。

通过对公司网络拓扑结构和公司提供的各种服务综合分析，该公司网络系统存在着以下安全风险：

1）内部人员攻击

内部人员攻击是指来自公司或企业内部人员有意或无意操作引起的对网络系统的攻击，包括数据窃取、越权访问等。

2）外部攻击

存在的外部攻击有IP欺骗、口令破解、非法访问、垃圾邮件、拒绝服务攻击、数据窃取、网络侦听、计算机病毒、木马、蠕虫攻击等破坏系统安全性、可用性、数据机密性、完整性等的各种来自公司外部的攻击方式。

根据对该公司的网络拓扑结构的分析出的该公司存在的来自内部或外部的安全风

险，结合各种安全技术的原理特点和具体安全产品的功能，对其归类总结出该公司的系统安全类别如下：

✧网络安全：

✧系统安全：

✧系统应用的安全：

✧数据安全：

根据该公司的网络拓扑结构和其存在的安全风险，该公司的网络架设需求如下：

✧防止来自Internet的攻击和内部网络间的攻击；

✧实现Internet上通信的保密和完整性，并实现方便的地址管理；

✧数据库服务器存储了研究所的所有数据需要特殊保护；

✧主机操作系统主要是Linux和Windows，要采取相应的安全措施；

✧解决移动办公条件下文件安全问题。

3.网络安全技术方案

网络安全：

公司网络拓扑结构如下所示

公司网络拓扑结构

该公司网络系统与其他网络系统一样，存在着遭受各种网络攻击的危险。

为实现公司的网络安全，因根据各种安全产品和安全技术的特点，结合该公司特有的网络拓扑结构来架设具有自己特色的企业系统。

3.1网络安全

1）部署防火墙

技术原理

防火墙原是建筑物大厦设计来防止火灾从大厦的一部分传播到另一部分的设施。

从

理论上讲Internet防火墙服务也属于类似目的，它是在内部、外部网络之间建立的一个具有安全控制机制的安全控制点，实现内部网服务的安全审计和控制。

它防止Internet上的危险（病毒、资源盗用等）传播到你的网络内部。

而事实上Internet防火墙不象一座现代化大厦中的防火墙，更象北京故宫的护城河。

它服务于多个目的：

✧限制人们从一个特别的控制点进入；

✧防止侵入者接近你的其它设施；

✧限定人们从一个特别的点离开；

✧有效的阻止破坏者对你的计算机系统进行破坏。

防火墙主要部署在内部网和外部网之间，以有效限制外网对内网的访问。

此外，根

据企业的具体情况，也可以在公司内部不同部门、不同子网之间以及个人主机上部署防火墙。

防火墙产品有软件防火墙和硬件防火墙，根据其针对的安全需求和生产厂商的不

同，其功能等各方面也有较大的差异，公司应根据本企业的具体安全需求和经济效益等方面的综合考虑选取防火墙产品。

公司网络部署的多个防火墙也根据其部署位置不同而选择不同的产品。

产品选取

根据该公司的实际网络拓扑结构和该公司网络的安全需求，特选定了以下几种防火墙产品CiscoPIX525防火墙（硬件防火墙）、ASA5520-K8防火墙、CipherTrustIronmail垃圾邮件防火墙、瑞星个人软件防火墙。

实现该公式网络设计方案中的几种防火墙产品简介如下：

CiscoPIX525防火墙（硬件防火墙）

CiscoSecurePIX525防火墙是世界领先的CiscoSecurePIX防火墙系列的组成部分，能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。

它所提供的完全防火墙保护以及IP安全（IPsec）虚拟专网（VPN）能力使特别适合于保护企业总部的边界。

强壮的安全特性

CiscoSecurePIX防火墙能够提供空前的安全保护能力，它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法（ASA）。

静态安全性虽然比较简单，但与包过滤相比，功能却更加强劲；

另外，与应用层代理防火墙相比，其性能更高，扩展性更强。

ASA可以跟踪源和目的地址、传输控制协议（TCP）序列号、端口号和每个数据包的附加TCP标志。

只有存在已确定连接关系的正确的连接时，访问才被允许通过CiscoSecurePIX防火墙。

这样做，内部和外部的授权用户就可以透明地访问企业资源，而同时保护了内部网络不会受到非授权访问的侵袭。

与IPsec互操作的安全VPN

PIX525实现了在Internet或所有IP网络上的安全保密通信。

它集成了VPN的主要功能-隧道、数据加密、安全性和防火墙，能够提供一种安全、可扩展的平台来更好、更经济高效地使用公共数据服务来实现远程访问、远程办公和外部网连接。

525可以同时连接高达4个VPN层，为用户提供完整的IPsec标准实施方法，其中IPsec保证了保密性、完整性和认证能力。

对于安全数据加密，Cisco的IPsec实现方法全部支持56位数据加密标准（DES）和168位三重DES算法以及AES算法。

极端的可靠性

PIX防火墙提供了空前的可靠性，其平均无故障时间（MTBF）超过60000小时。

即使是达到了这样高的水平，那些Internet、Intranet或Extranet连接是企业生命线的企业还是认识到了防火墙冗余是一项关键因素。

防火墙的每一分钟停止运行都意味着收入、机会或关键信息的损失。

Cisco已经创建了配合PIX525-UR使用的故障切换捆绑程序，能够简单、便宜地满足上述要求。

该程序包为企业提供了特别设计在故障切换模式下运行的第二个防火墙。

主要特性和优点

∙Cisco端到端解决方案的组成部分-允许各公司将经济高效、无缝的网络基础设施扩展到分支机构。

∙最低的拥有成本-安装、配置简单，网络中断时间更少。

另外，允许透明地支持Internet多媒体应用，不再需要实际调整和重新配置每一台客户工作站或PC机。

∙非UNIX的安全、实时和嵌入式系统-消除了通用操作系统所带来的风险，提供了突出的性能。

∙基于标准的虚拟专网-使管理员可以降低通过Internet或其它公共IP网络将移动用户和远程站点与企业网络相连的成本。

∙自适应安全算法-为所有的TCP/IP对话提供静态安全性，以保护敏感的保密资源。

∙静态故障切换/热备用-提供高可用性，使网络可靠性最大。

∙网络地址转换（NAT）--节省宝贵的IP地址；

扩展网络地址空间；

隐藏IP地址，使之不被外部得到。

∙截断通过代理-提供业界最高的认证性能；

通过重新使用现有认证数据库降低拥有成本。

∙多种网络接口卡-为Web和所有其它的公共访问服务器、与不同合作伙伴的多种外部网链路、得到保护的记录和URL过滤服务器提供强大的安全性。

∙支持多达38万个同时连接-部署很少的防火墙就能极大地提高代理服务器的性能。

∙防止拒绝服务攻击-保护防火墙及其后面的服务器和客户机不受破坏性的黑客攻击。

∙支持各种应用-全面降低防火墙对网络用户的影响。

∙JavaApplet过滤-使防火墙可以在每个客户机或每个IP地址上终止具有潜在危险的Java应用。

∙支持多媒体应用-降低了支持这些协议所需要的管理时间和成本。

无需特殊的客户机配置。

∙设置简单-只需6条命令就能实现一般的安全策略。

∙紧凑设计-可以更加容易地部署在桌面或更小的办公设置中。

∙URL过滤-当与Websense企业软件配合使用时，可以提供控制哪些Web站点的用户可以出于计费的目的来访问和维护审计跟踪数据的能力。

对PIX防火墙性能的影响最小。

∙邮件保护-不再需要外部邮件在外围网络中转发，也防止了外部邮件转发过程中的拒绝服务攻击。

ASA5520-K8防火墙

ASA5520-K8建立于值得信赖的CiscoPIX安全设备和CiscoVPN3000系列集中器技术，ASA5500系列是第一个兼具市场领先的防火墙技术保护，同时提供SSL和IPsecVPN服务的解决方案。

将TrendMicro在互联网边缘的威胁防御和内容控制优势与切实可行的思科解决方案结合在一起，提供全面的防病毒、防间谍软件、文件阻挡、防垃圾邮件、防诱骗、URL阻挡和过滤以及内容过滤服务。

它提供主动型全功能入侵防御服务，有效阻止各种威胁，包括蠕虫、应用层攻击、操作系统级攻击、rootkit攻击、间谍软件、对等文件共享和即时消息传送。

通过CiscoAdaptiveSecurityDeviceManager（ASDM）提供直观的单设备管理和监控服务，通过CiscoSecurityManagementSuite提供企业级多设备集中管理服务。

CipherTrustIronmail垃圾邮件防火墙

　　通过将焦点集中于电子邮件的威胁防御、检测、保护和遵守，IronMail可以保护您的企业免受很多电子邮件安全威胁，其中包括垃圾邮件、病毒、网页仿冒攻击、拒绝服务（DOS）攻击、未授权的访问和策略违背。

瑞星个人软件防火墙

瑞星防火墙可以网络攻击拦截，入侵检测规则库每日随时更新，拦截来自互联网的黑客、病毒攻击、包括木马攻击、后门攻击、远程溢出攻击、浏览器攻击、僵尸网络攻击等。

网络攻击拦截（个人防火墙）：

入侵检测规则库每日随时更新，拦截来自互联网的黑客、病毒攻击，包括木马攻击、后门攻击、远程溢出攻击、浏览器攻击、僵尸网络攻击等。

恶意网址拦截（个人防火墙）：

依托瑞星”云安全”计划，每日及时更新恶意网址库，阻断网页木马、钓鱼网站等对电脑的侵害。

出站攻击防御（个人防火墙）：

阻止电脑被黑客操纵，变为攻击互联网的”肉鸡”，保护带宽和系统资源不被恶意占用，避免成为”僵尸网络”成员。

根据网络的安全需求和具体防火墙产品的安全性能，该公司的防火墙部署如下图所示：

防火墙部署图

部署方案

在公司总部中心网络和外部网络之间部署CiscoPIX525防火墙（硬件防火墙），中心交换机与DBServer、WEBServer、一室、二室、三室之间以及外部网与北京办之间部署ASA5520-K8防火墙，公司总部中心交换机与EmailServer之间部署CipherTrustIronmail垃圾邮件防火墙，能一定程度上有效实现电子邮件安全。

此外，为保护个人主机的安全，在个人主机上部署瑞星个人软件防火墙。

2）部署入侵检测系统

侵检测系统（Intrusion-detectionsystem，下称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。

IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类。

根据信息来源可分为基于主机IDS和基于网络的IDS，根据检测方法又可分为异常入侵检测和滥用入侵检测。

不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。

因此，对IDS的部署，唯一的要求是：

IDS应当挂接在所有所关注流量都必须流经的链路上。

在这里，"

所关注流量"

指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。

在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。

因此，IDS在交换式网络中的位置一般选择在：

✧尽可能靠近攻击源　　

✧尽可能靠近受保护资源　　

这些位置通常是：

✧服务器区域的交换机上　

✧Internet接入路由器之后的第一台交换机上

✧重点保护网段的局域网交换机上　　

由于入侵检测系统的市场在近几年中飞速发展，许多公司投入到这一领域上来。

Venustech（启明星辰）、InternetSecuritySystem（ISS）、思科、赛门铁克等公司都推出了自己的产品。

根据该公司的实际情况，特选取天融信新一代入侵防御系统TopIDP来部署入侵检测系统。

天融信新一代入侵防御系统TopIDP简介如下：

天融信新一代入侵防御系统TopIDP

TopIDP采用天融信自主研发的TOS操作系统和多核处理器的硬件平台，保证了TopIDP产品更高性能地对网络入侵进行防护。

TopIDP能够阻断各种非法攻击行为，比如利用薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的DoS攻击等。

入侵防御策略库随时防护目前业内最流行的入侵攻击行为。

与现在市场上的入侵防御系统相比，TopIDP系列入侵防御系统具有更高的性能、更细的安全控制粒度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持，代表了最新的网络安全设备和解决方案发展方向，堪称网络入侵检测和防御系统的典范。

TopIDP产品除入侵防御功能外，还具有智能协议识别、P2P流量控制、网络病毒防御、上网行为管理、恶意网站过滤和内网监控等功能，是集多种功能为一体的综合性内容安全设备，为用户提供了完整的立体式网络安全防护。

本公司的入侵检测系统部署如下所示

入侵检测系统部署图

为保证该公司网络系统的安全，根据入侵检测系统部署位置和该公司的网络拓扑结构，将入侵检测系统部署在Internet与公司总部相连的位置，置于防火墙后，作为公司网络的第二道防线。

这样，入侵检测系统TopIDP能监听所有进入内网的数据包，以达到安全审计的目的，从而能从审计记录中找出已产生的攻击。

3）部署网闸

网闸又称安全隔离与信息交换系统，是新一代高安全度的企业级信息安全防护设备。

网闸的基本原理是：

切断网络之间的通用协议连接；

将数据包进行分解或重组为静态数据；

对静态数据进行安全审查，包括网络协议检查和代码扫描等；

确认后的安全数据流入内部单元；

内部用户通过严格的身份认证机制获取所需数据。

网闸是在两个不同安全域之间，通过协议转换的手段，以信息摆渡的方式实现数据交换，且只有被系统明确要求传输的信息才可以通过。

其信息流一般为通用应用服务。

注：

网闸的“闸”字取自于船闸的意思，在信息摆渡的过程中内外网（上下游）从未发生物理连接，所以网闸产品必须要有至少两套主机和一个物理隔离部件才可完成物理隔离任务。

网闸是在保证系统安全的前提下最大限度的实现信息交换。

需要部署网闸的有以下几种场合：

✧涉密网与非涉密网之间。

✧局域网与互联网之间。

有些局域网络，特别是政府办公网络，涉及敏感信息，有时需要与互联网在物理上断开，用物理隔离网闸是一个常用的办法。

✧办公网与业务网之间

由于办公网络与业务网络的信息敏感程度不同，例如，银行的办公网络和银行业务网络就是很典型的信息敏感程度不同的两类网络。

为了提高工作效率，办公网络有时需要与业务网络交换信息。

为解决业务网络的安全，比较好的办法就是在办公网与业务网之间使用物理隔离网闸，实现两类网络的物理隔离。

✧电子政务的内网与专网之间

在电子政务系统建设中，要求政府内网与外网之间用逻辑隔离，在政府专网与内网之间用物理隔离。

现常用的方法是用隔离网闸来实现。

✧业务网与互联网之间

电子商务网络一边连接着业务网络服务器，一边通过互联网连接着广大民众。

为了保障业务网络服务器的安全，在业务网络与互联网之间应实现物理隔离。

根据网闸的几种常见部署场合，结合该公司的网络拓扑结构和公司系统的安全需

求，本公司需要部署网闸产品，这样才能更好的公司系统的安全性。

华御安全隔离与信息交换系统（网闸）SU-GAP3000-H2

华御SU-GAP系列安全隔离与信息交换系统（以下简称网闸）是北京安盟信息技术有限公司自主研发的新一代网络安全产品，该产品采用先进的模块化设计理念，采用2+1系统架构（内网安全主机、外网安全主机、专用物理隔离芯片）并使用专有隔离芯片和高效的流处理芯片，通过独创的专用安全通道在实现网络隔离的同时进行高效率的安全数据交换。

安全通道交换数据是将网络数据经过高强度的策略分析及内容检查后提取关键元素生成内部可识别的数据，实现内外网交换，做到物理隔离的同时也实现了协议隔离，从真正意义上杜绝安全风险的网间传递及泄密事件的发生。

华御系列网闸目前已经成功的应用于公安、工商、国土、海关等政府部门及航天、石化、冶金、制造、交通等行业，并得到用户的一致好评。

特点

✧高安全性：

同时实现物理隔离、协议隔离；

✧高效率：

采用高效的处理芯片及算法使性能大幅度提升；

✧高可靠性：

专业的硬件设计结合双机热备功能使设备可靠性成倍提高；

✧高便利性：

可选择的透明、非透明及路由三种接入方式与人性化的管理界面使的管理系统非常方便；

网闸部署图

如上图所示，在公司总部网络与Internet之间即防火墙CiscoPIX525防火墙（硬件防火墙与入侵检测系统天融信新一代入侵防御系统TopIDP之间部署网闸产品华御安全隔离与信息交换系统（网闸）SU-GAP3000-H2，是在防火墙后的另一道安全防线，实现公司内部网络与外部网络的物理和协议上的安全隔离，使当防火墙被攻破或绕过时，也能保证系统的安全，提高公司系统的安全性。

4）VPN实现

VPN技术原理

VPN是对在公共通信基础设施上构建虚拟专用或私有网连接的技术总称，VPN的隔离特性提供某种程度的通信保密性和虚拟性。

VPN在本质上并不是完全独立的网络，与真实网络的差别在于VPN以隔离方式通过公用网，VPN外的节点不能与VPN内的节点通信。

根据实现的层次不同，VPN技术分为应用层VPN、会话层VPN、网络层VPN、链路层VPN。

CiscoPIX525防火墙（硬件防火墙）实现了在Internet或所有IP网络上的安全保密通信。

因此不用另外选购VPN技术产品，通过配置CiscoPIX525防火墙（硬件防火墙）来实现VPN功能。

配置CiscoPIX525防火墙（硬件防火墙）的VPN功能，用网络层的VPN技术实现网络层的VPN。

网络层VPN技术之一的IPSec也是IETF支持的标准之一，它是第三层即IP层的加密。

IPSec不是某种特殊的加密算法或认证算法，也没有在它的数据结构中指定某种特殊的加密算法或认证算法，它只是一个开放的结构，定义在IP数据包格式中，不同的加密算法都可以利用IPSec定义的体系结构在网络数据传输过程中实施。

IPSec协议可以设置成在两种模式下运行：

一种是隧道（tunnel）模式，一种是传输（transport）模式。

在隧道模式下，IPSec把IPv4数据包封装在安全的IP帧中。

传输模式是为了保护端到端的安全性，即在这种模式下不会隐藏路由信息。

隧道模式是最安全的，但会带来较大的系统开销。

配置防火墙的VPN功能后，公司总部和北