完整word版xxx网络改造方案.docx
- 文档编号:4741223
- 上传时间:2022-12-08
- 格式:DOCX
- 页数:13
- 大小:186.04KB
完整word版xxx网络改造方案.docx
《完整word版xxx网络改造方案.docx》由会员分享,可在线阅读,更多相关《完整word版xxx网络改造方案.docx(13页珍藏版)》请在冰豆网上搜索。
完整word版xxx网络改造方案
xxx卫浴网络安全改造
第一章用户现状及需求分析
1.1用户网络现状
用户目前在网络出口处有一台H3CF1000的防火墙。
没有部署入侵防御设备以及防病毒网关。
有多个的分支点,包括创意园,珠海厂区,美鑫富等,分支与总部之间有搭建vpn网络。
服务器区(DMZ)前面没部署安全设备,没做到七层应用的安全保护。
1.2网络安全需求
1、改造网络出口处防火墙。
用下一代防火墙,通过开通入侵防御,防病毒模块来抵挡外部的入侵行为以及病毒,间谍软件的渗入。
2、在服务器区前边部署下一代防火墙,通过开通入侵,防病毒模块来保护服务器的安全。
做好安全访问服务器的访问策略,以及保障核心应用的带宽。
3、通过防火墙的链路负责均衡,进一步保障链路的可用性。
具体描述如下:
主-主模式——多WAN口负载均衡模式;负载均衡算法可以选择轮询,按比例使用,或者主线路负载到一定程度时启用第二线路。
主-被模式——多WAN口的冗余备份模式,当主线路故障时,启用备用线路。
4、通过防火墙解决测试环境跟生产环境之间的安全问题。
生产部门维持现有的IP地址不变,测试部门可以通过DHCP的方式,获得其他的地址范围,从而避免和生产部门在同一子网。
防火墙可以作为DHCP服务器来发放IP地址的。
测试部门的电脑改为DHCP获取IP地址。
重启后就可以用新地址。
5、通过下一代防火墙的可视化功能。
实时了解企业的网络情况,了解应用的访问情况,当网络出现异常可以快速的定位到故障。
例如:
某个应用的流量出现较高波动,就可以快速定位到哪个ip,哪个用户,暂用了多少带宽,多少连接数。
6、安全改造规划。
下一步的安全改造要求分支机构的防火墙要升级为下一代防火墙,必须保障分支机构的内外也要足够安全,才能保障与总部直接的数据交换更安全。
由于企业内部没有部署专业的防病毒软件,此次的网络安全改造,开通防病毒,间谍软件的拦截变得尤为重要。
第二章:
DellSoncWALL安全解决方案介绍
2.1防火墙访问控制
SonicWALL防火墙内部集成了丰富的访问控制策略,可通过策略有效控制到什么人在什么时候通过何种方式访问何种网络资源。
具体说来,SonicWALL防火墙能够控制的“人”的对象包含,IP地址,用户名,MAC地址,这些都是一个访问的角色的唯一代表
在什么时候,即,可以指定此用户角色可以在什么时间段内可以依照此策略做出相应的网络访问动作。
通过何种方式,即,用户角色通过某种服务协议,如HTTP、FTP等方式来访问网络资源。
访问目的资源,即,防火墙策略控制用户角色可访问的目标对象,包含IP地址、网络域名。
通过这种控制策略,可以授权所有区域间的访问控制,包含外网到内部区域的某个特定服务器上的特定服务的访问以及内部区域间不同用户访问。
2.2流量管理
SonicWALL内置丰富的流量管理策略集,可以和防火墙访问控制规则一同部署实施,可以针对所有的用户角色,如IP、用户名以及访问的服务协议来分配其所能够合理使用的网络带宽,可以细化到该用户角色所能够获得的保证带宽,最大带宽,通过给予该用户角色一个流量优先级。
SonicWALL内置8种流量优先级,从0-7依次优先级降低,即,当网络带宽不足时,优先级别高的将优先获得保障带宽,余下的优先级别低的来分享剩余的网络带宽。
不同的流量优先级提供不同的带宽保障措施;或者当流量足够时,优先级别高的用户角色将在获得保障带宽的同时,也优先获得管理员事先设定的最大带宽,剩余的带宽将有其他用户角色依照流量优先级别依次获得。
2.3SonicWALLUTM功能以及应用层防火墙功能
众所周知,internet在带给大家便利的同时也带来了安全隐患,internet在设计之初就没有考虑到安全问题,网络越发达,网络间的交流越多,安全问题就越多,网络受所的威胁越大。
当前的最大威胁来自于网络病毒以及恶意程序,如果有效的防范一直是管理员头痛的问题,虽然有网络防病毒的部署,但是社会工程学以及认为因素的原因(比如用户错误的运行了某个恶意程序或者卸载/终止了客户端的杀毒引擎),病毒依旧会传入内网,管理员压力和责任依旧重大。
SonicWALL全系列防火墙均支持UTM功能,UTM是IDC的一项工业标准,是在网关设备上起用一体化威胁管理的标准,即网关防病毒、入侵防护、反间谍软件功能。
SonicWALL网关防病毒支持多达25000种新型病毒特征,支持多达50多种网络协议,并且采用了自有专利技术深度包检测技术(DPI),这种技术的部署使得防火墙不需要缓存文件,对于用户并发数以及传输的文件大小没有任何限制,可以大大提高防火墙的处理效率,减少网络延迟。
SonicWALL的入侵防护以及反间谍软件功能均采用此技术。
调查数据显示,网络病毒、间谍软件以及攻击,不仅仅全部来自互联网,更多的时候是来自内部,但是传统的防火墙很难防范来自内部的攻击,由于纳入了区域管理,内外网络以及内部部门网络间的交流的数据都要通过防火墙,因此,在策略化起用了UTM功能之后,SonicWALL防火墙可以有效防范各网络间的病毒、攻击行为以及间谍软件传播的发生。
合理的利用网络带宽、优先保障业务流量以及规范内部网络使用internent是提高生产力的有效手段,在有限的带宽下,如果屏蔽P2P之类的如BT、EDonkey等带宽杀手是一个值得考虑的问题;另一方面,过度的internet访问如QQ/MSN等将降低员工的工作效率,因此,合理的规范员工网络行为也是提高生产力的一个考虑,但是,而传统的状态包检测防火墙对于这种采用动态端口技术的应用软件很多的时候显得无能为力。
SonicWALLUTM技术采用动态签名方式来规范这些网络行为,不采用传统的端口限制等方法来实现管理,因此,比传统的管理手段实施起来更方便,更有效。
并且,这些动态签名是实时自动更新的,不需要管理员人工干预,减轻了管理员的工作压力。
采用DEA架构,SonicWALL的安全设备做到了每个小时自动更新病毒签名库和入侵签名库。
本方案中SonicWALL防火墙内部集成的网关防病毒,入侵检测和防御及反间谍软件服务,确保应用层的安全,防护针对Windows操作系统和数据库诸如Oracle和SQLServer的攻击,还可以阻断不必要的应用如QQ等等,提高员工的工作效率。
SonicWALLUTM支持2000余种网络攻击的防范,通过细化的攻击类型分类(按照攻击威胁的风险高、中、低级分类,每个类别细分为不同的子分类),管理员可以针对某种特定的攻击类型分类作出特点的防范策略。
启用SonicWALLUTM后,可以有效的阻隔可能发生的针对总部发起的网络扫描、端口探测、syn攻击、pingflood等等多种黑客攻击行为并对可能发生的针对总部的攻击行为做到及时的预警及防范;通过可以限制单IP的并发连接数,保障网络带宽的合理分配,另外,由于SonicWALL防火墙支持带宽管理,可以针对不同的网络应用分配指定的带宽,优先指定服务级别较高的网络服务享用更多更合理的带宽,强化主要网络应用的优先权,保障关键业务顺畅进行而不会因为带宽不足导致网络塞车。
同时,SonicWALL防火墙还可提供应用层防火墙技术,这是一项划时代的创新技术,SonicWALL的应用层防火墙即Applicationfirewall(简称APPFW)技术能够提供深度的应用层检测功能,可针对HTTP、FTP、POP/SMTP进行深度的包检测并做相应的管理措施。
这项革新技术的好处在于:
当一个有经验的管理员结合SonicWALL防火墙中集成的dashboard看板功能了解到全球最新的网络安全威胁动态后,可以实时自行提取这些威胁数据中的关键字段,并将这些关键字段补充入APPFW的策略集里做成阻塞动作,这样就可以及时防范即将来临的攻击,可以有效的防范零日攻击。
不仅如此,SonicWALLAPPFW还能够针对网络数据流进行过滤,通过将数据流中的关键字段提取出来作为APPFW的访问控制策略依据,可以实现众多丰富的功能,它能够支持:
可针对HTTP应用做如下类型的过滤:
httpcookie
mimecustomerheader
httphost
httpreferer
httprequestcustomerheader
httpresponsecustomerheader
httpURIcontent
可支持对HTTP上传下载以及上传下载的文件类型进行过滤
可实施水印技术防范通过internet网络的机密泄露
可以针对ftp的命令集做详细的控制
可作为UTM的补充,通过手动提取样本来配置应用防火墙策略来过滤数据包中应用层面的危险因素,如,过滤掉病毒特征码。
优点在于,如果自己的反病毒供应商未能及时提供升级,可以通过抓取数据包中特征码来实现针对最新病毒的过滤。
可针对P2P、IM应用提供特征码过滤,将UTM中可能漏掉的应用签名补充到应用防火墙策略中实施彻底的P2P、IM应用封堵,同时,还可以提供针对P2P应用的带宽限制功能,及限而不封!
可针对邮件进行内容级安全控制,包含泄密防范,邮件发送接受控制、附件控制、邮件内容控制
部署SonicWALLUTM后的效果图如下图:
2.4内容过滤
当前的internet,网络内容良莠不齐,有些涉及到反动、色情等和政府法律以及社会主义精神文明建设精神相悖的网络资源是需要受管制控制的,因此,防火墙上必须能够支持到针对此类internet内容的访问管制。
SonicWALL防火墙内建internet内容过滤机制,通过网络URL的过滤来管制用户针对此类网络信息的访问,支持社会主义精神文明建设。
SonicWALLNSA2400和NSA240内建支持黑白名单以及网页关键字方式的内容过滤机制,可以有效过滤公司内部策略受控的网页资源。
2.5VPN的支持
针对出差在外的用户,需要访问到公司内部的应用信息系统,传统的做法是在边界防火墙/路由器上开放相应的远程访问端口以便远程用户能够通过该网络端口访问到内部应用系统,但是由于该端口的开放,不能鉴别远程用户的真实身份,也无法只开发该应用端口给特定的用户,理论上,只要能够接触到internet的用户就能够访问到该端口,因此,服务器的安全威胁大大增加。
为解决这一问题,SonicWALL提出了VPN解决方案,即,远程用户通过SonicWALL的远程安全客户端软件GVC,和总部之间建立安全的网络数据链路,通过该链路来封装所有到采编服务器的数据,通过SonicWALLUTM应用层安全过滤机制来过滤应用层威胁,最大限度的“净化”到流入到采编服务器上的数据流量,保障该服务器的安全。
由于不需要在防火墙上开放开放额外的应用端口,同时SonicWALLGVC又支持客户端身份鉴别功能,因此,网络的的远程用户,只有授权的用户通过特定的软件才能够和公司内部的应用服务器建立安全连接,大大提高了服务器的安全级别。
SonicWALLNSA2400和NSA240内嵌IPSecVPN技术,可以支持远程的用户安全保密的连接到公司总部的相关服务器,即,对于在外地出差的人员,可以通过SonicWALL防火墙提供的优质VPN服务来获取internet远程连接的安全便利,VPN的部署,可以使得在外出差的用户能够安全的访问到授权的内部资源,就象在局域网中一样。
然而众所周知,VPN是一套加/解密的安全机制,而高安全级别的VPN保密措施将会带来网关处的效率瓶颈,纯软件方式的VPN连接将会给网关平台造成性能上的压力甚至是瓶颈。
SonicWALLNSA2400和NSA240提供独立的全硬件VPN加/解密芯片,完全可以跨过纯软件方式加/解密所带来的网关平台系统瓶颈,保障VPN传输时的网络效率。
2.6方案实施的效果:
通过上述方案的实施,在xxx卫浴网络安全方案实施后可以达到如下效果:
●可有效隔离来自外网针对公司的非授权访问
●有效授权内部用户可以访问的网络资源
●针对相关网络应用分配合理的带宽资源
●可以有效处理来传出、传入到公司局域网的病毒
●可以支持应用层安全过滤,防范零日攻击以及针对内网应用的数据包级的访问控制
●可实时侦测并防范来自internet针对公司局域网发起的攻击行为
●可以支持授权远程用户安全连接的公司内部
●实现多链路的负载均衡,提供链路的可靠性。
●划分测试环境和生产环境,保障生产环境的安全。
第三章方案分析
3.1:
全局性、均衡性、综合性
本方案从全局出发,综合考虑了各种安全风险,着重于公司的接入点的网络安全风险并采取了相应的安全措施,同时根据公司接入点的安全强度的不同配置了相应的安全策略,综合考虑了安全产品的可控管性。
3.2:
可行性、可靠性、安全性
本方案中涉及到的安全技术均是安全领域中成熟的、值得信赖的技术规范,其中所有安全技术均通过了ICSA的强制认证,其可行性、可靠性以及安全性均在安全领域中得到了大量的实践验证并被作为安全规范来执行,是经得起考验的。
其次,sonicwall是安全领域的一个优势的实力品牌,其安全产品的可靠性和安全性同样值得信任!
Sonicwall防火墙支持桥接模式、NAT、路由或者混合模式,可以很好的适应网络配置的更改,当实施本方案,即接入防火墙时,用户几乎感觉不到防火墙的存在,但是安全模式并没有因此而降低。
SonicWALL一体化全硬件防火墙结构将硬件单点失效的几率降到了更低的层次,大大提高了防火墙的整体可靠性,同时,SonicWALL的DualWAN技术的使用大大提高了网络的连通可靠性,使得网络可以不因为防火墙的局部失效导致网络可靠性降低。
3.3:
适应性、扩展性
本方案在设计之初就充分考虑了方案的适应性和可扩展性,整个方案是针对揭阳信息中心内部网络进行设计的,采用了相同的技术线路,能体现很好的适应性和扩展性,具体说明如下:
适应性:
⏹SonicWALL防火墙采用CaviumNP处理器采用4核64位MIPS处理器,MIPS处理器是RISC架构中的佼佼者;RISC架构兼顾了Cisc架构的应用层流量处理能力(如UTM流量的处理)以及ASIC的网络层高转发能力,有着较强的网络适应能力。
⏹SonicWALL防火墙的设计带宽是1000M,因此,当公司网络规模扩大时,防火墙仍有很强的网络适应能力
⏹方案中涉及的所有SonicWALLUTM防火墙内核引擎均可以通过fireware升级方式获得升级,可以很好的适应公司将来应用种类的增加。
⏹方案中涉及的所有SonicWALLUTM防火墙的反病毒库和入侵特征库均是实时升级的,能从容应对未来病毒及入侵手段的更新。
可扩展性:
⏹SonicWALL防火墙的设计带宽是1000M,当网络扩展时依旧有良好的扩展空间
⏹SonicWALLUTM防火墙是纯硬件芯片级防火墙,除了标准的UTM功能之外,还内建了许多的扩展功能,如邮件过滤功能、强制客户端网络防病毒功能、强制客户端个人防火墙功能、实时邮件黑名单功能,反间谍软件功能、internet内容过滤功能,这些都可以通过license方式来激活,当公司的应用需求扩展时,只需要增加相应的license就可以使用上述扩展功能,具有良好的应用功能扩展性。
第四章产品选型
产品推荐配置清单
名称
设备
型号
描述
备注
服务器区防火墙
防火墙主机
NSA5600
全状态吞吐量9G,防病毒/恶意软件吞吐量1.7Gbps,ips吞吐量3Gbps,每秒新建链接6万,最大连接75万。
2个万兆光纤,4个千兆光纤,12个千兆电口,一个管理口。
防火墙主机
NSA5600HA
高可用设备
建议预算允许的情况下选择。
软件license
UTM
防病毒,间谍软件,ips,应用控制,流量管理
服务
7*24
包含1年原厂技术支持,快速替换服务。
网络出口防火墙
防火墙主机
NSA6600
全状态吞吐量12Gbps防病毒/恶意软件吞吐量3Gbps,ips吞吐量4.5Gbps,最大链接75万,每秒新建链接9万。
4个万兆光纤,8个千兆光纤,8个千兆电口,一个管理口。
防火墙主机
NSA6600HA
高可用设备
建议预算允许的情况下选择。
软件license
UTM
防病毒,间谍软件,ips,应用控制,流量管理
服务
7*24
包含1年原厂技术支持,快速替换服务。
UTM功能介绍
•a.网关杀毒:
网关杀毒功能是用于对所有经过防火墙流量进行病毒过滤。
能够对公司上网的用户和服务器进行病毒防护。
病毒库是可以自动更新的。
•b.反间谍软件:
反间谍功能是对所有经过防火墙流量进行间谍软件的过滤。
能够对公司上网的用户和服务器进行间谍软件的过滤。
间谍软件签名库也是可以自动更新的。
•c.入侵防护:
入侵防护功能能够对对外公布的服务器进行有效的保护,比如说防止DoS,DDoS,flooding等攻击,也能够防护诸如SQL注入,数据库攻击,cc攻击等。
攻击签名库也是是自动更新的。
•d.应用管控:
此功能用于聊天工具的管控,下载工具的管控,炒股软件的管控,在线视频的管控等。
并且还能对包进行深度包检测,对任意包内容进行识别和匹配。
应用签名库是自动更新的。
•e.智能应用流量实时监控:
用于接口带宽,应用流量的实时监控和分析。
比如说能够看到HTTP流量,P2P流量,视频流量分别占了多少百分比,分别是哪些IP用的最多,分别用了多少流量等.
附录二SonicWALL防火墙的优点:
本方案中所采用的防火墙,是充分考虑到了xxx卫浴的网络各项综合因素所选用的产品,具体说来有如下优势:
1:
健壮的底层操作系统:
SonicWALL防火墙的底层操作系统来自商用操作系统Vxworks,不象其他的基于免费的如linux,freebsd等裁减而来的底层操作系统,这些系统由于免费和开源的原因,具有很好的开放性和扩展性,开放的好处是,大家都可以拿到源代码自行裁减修改而不需要付任何使用费用,所以开发成本很低,开发速度也快,但是同时,也正是由于这种源代码的泛滥,任何人都可以拿到这些代码来阅读分析,那么,一个资深的黑客将会容易的从源代码中找到某些在裁减修改过程中因为从业技术人员自身水平的原因而人为造成的漏洞,从而直接实施针对底层操作系统级别的攻击,而防火墙是需要运底层操作系统的支持的,那么一旦底层操作系统崩溃,我们没有道理不相信防火墙还会健壮运行!
皮之不存毛将焉附就是这个道理。
同时,即使这些问题被发现,由于底层系统是免费的,没有人会对此负责并提供专业级别的支持,只有厂商自己再次修修补补的进行修正,这样一来,隐患还是更多,毕竟开发防火墙的技术人员对于操作系统的开放不见得很熟悉,不能保障能够修复代码及的问题。
不同于这些免费的底层操作系统,SonicWALL防火墙采用封闭的商用操作系统Vxworks,好处在于:
⏹源代码不公开,接触的人少,遭受专业分析型攻击的几率很小
⏹有专业的操作系统厂商及时提供代码级的技术支持,防火墙厂商的技术力量可以将更多的精力放到防火墙OS的开发上来
⏹专业的底层操作系统针对专门的应用优化,事实证明Vxworks非常适合要求稳定以及实时性要求高的嵌入式环境。
下面是关于Vxworks的一写背景简介,足见其强壮性。
VxWorks操作系统是美国风河(WindRiver)公司于1983年设计开发的一种嵌入式实时操作系统(RTOS),是嵌入式开发环境的关键组成部分。
良好的持续发展能力、高性能的内核以及友好的用户开发环境,在嵌入式实时操作系统领域占据一席之地。
它以其良好的可靠性和卓越的实时性被广泛地应用在通信、军事、航空、航天等高精尖技术及实时性要求极高的领域中,如卫星通讯、军事演习、弹道制导、飞机导航等。
在美国的F-16、F/A-18战斗机、B-2隐形轰炸机和爱国者导弹上,甚至连1997年7月在火星表面登陆的火星探测器上也使用到了VxWorks。
2:
独特的硬件设计
从当前的防火墙的硬件架构来看,有如下几种硬件架构,基于X86平台的CISC架构,和基于专用处理器的ASIC架构。
CISC架构的好处是CISC处理器内嵌有丰富的应用层指令集,得益于这种架构,基于CISC技术的防火墙能够被快速的开发出来,相关的防火墙功能模块也比较容易做二次修补或者更新,基于这种架构的防火墙能够很好的处理应用层数据,如果针对应用层的攻击、数据payload段的安全检测,但是,其致命的弱点是针对网络层的小包处理能力不好,一般需要独立针对网络层小包来编写软件加速模块来提升防火墙的整体性能或者通过硬件来换速率/效率的办法来增加额外的CPU资源来处理网络层数据包。
但是,针对大流量环境中的小数据包的处理还是显得有些吃力。
ASIC架构的防火墙亦即我们常称的纯硬件防火墙,ASIC架构的好处是在于,ASIC是专有的处理器,内嵌的指令集只能够针对特定的网络层用途,如数据包转发、小包处理,显而易见,基于ASIC架构的防火墙能够在处理网络层流量时获得较高的处理效率,但是,基于这种架构的防火墙,由于需要将特定的指令集加入到芯片中,因此其开发周期会很长,同时,也不易于后期的指令程序的修补和功能更新,而且,由于其设计方面的原因,该种架构的CPU一般不会有很高的处理频率,这就意味着基于ASIC架构的防火墙在处理应用层数据流时不能够获得很好的处理效率。
一种折中的办法是CISC+ASIC的并行架构方式来同时处理应用层数据和网络层数据,这样也确实能够获得较好的整体处理效率,但是,就当前的网络发展趋势来看,高速和大流量的环境是今后发展的主要趋势,单靠一个CPU来处理一方面的流量的设计方法,将会在这种高速和大流量的环境中同样遇到瓶颈,因为一个CPU的处理能力有限,当负载满载时或者在处理应用层的小包时,防火墙上的CPU会很容易因为需要过长的处理周期而主动挂起,此时反应到用户层面的结构就是要么网络延时过大,要么直接导致防火墙彻底挂起,而这是用户不愿意看到的。
SonicWALL防火墙设计下来就是为企业级的大流量高速网络服务的,由于设计时充分考虑到上述诸多因素,我们采用了最新的基于Cavium的多核RISC架构技术。
RISC架构是一种精简指令集的CISC,但同时它又内嵌有丰富的网络层指令集,从这种设计上来看,基于RISC架构技术的防火墙能够兼容CISC的应用层处理效率和ASIC架构的网络层处理效率,事实上,诸多的实践也显示基于RISC架构的防火墙确实有着过人的综合处理效率。
当前市面上有相当多的交换机、路由器都是基于这种技术的,同时,高段的服务器如IBM的基于PowerPC系列以及SunSparc等系列的服务器都是RISC架构的经典之作。
SonicWALL防火墙采用16核的64位CaviumOCTEONRISC芯片,充分考虑到单个CPU容易挂起从而导致整个系统挂起的原因,将整个流量设计分配到16个内核中进行处理,当一个或者某几个CPU挂起时,数据流量会被自动重分配到其他的活跃CPU,这样不会导致整个CPU模块挂起,不会轻易出现上述的网络挂起现象。
下面是一组关于Cavium的介绍:
Cavium的多核技术与英特尔、AMD的多核技术有何区别?
英特尔、AMD是针对计算机应用的通用CPU,为通用性计算设计,主频、Cache、浮点运算等都增加了功耗,一般为了增加10%~15%的计算能力,就会增加15~20W的功耗。
Cavium是针对嵌入式应用,一方面要求功耗低,另一方面与其他元器件的整合性相比要高的多。
嵌入式应用市场根据功耗可分为三类,即2~3W、5~10W、20~30W。
计算机用CPU一般都大于30W,所
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 完整 word xxx 网络 改造 方案