网络完全解决方案-fortinet防火墙vpn安全模板

网络完全解决方案-fortinet防火墙vpn安全模板内容摘要：

某公司网络安全项目解决方案 电话： (010)82512622 传真： (010)82512630 北京市海淀区中关村南大街 2 号数码大厦 B 座 903 室（ 100086） 第 5 页 共 72 页 项目建设目标 项目建设原则 某公司网络安全项目解决方案 电话： (010)82512622 传真： (010)82512630 北京市海淀区中关村南大街 2 号数码大厦 B 座 903 室（ 100086） 第 6 页 共 72 页 项目建设说明 网络拓扑结构如下： 某公司网络安全项目解决方案 电话： (010)82512622 传真： (010)82512630 北京市海淀区中关村南大街 2 号数码大厦 B 座 903 室（ 100086） 第 7 页 共 72 页 第二章 某公司网络 安全风险分析 从 某公司网络 的实际情况 来看，我们认为应该从以下几个方面进行全面的分析：  网络层  系统层  应用层  防病毒  策略和管理层 下面将分别进行详细的阐述。 网络层的安全分析 网络设备主要包括 某公司网络 各节点上的路由器、交换机等设备，如： 路由器、交换机。 网络层不仅为 某公司网络 提供连接通路和网络数据交换的连接，而且是网络入侵者进攻信息系统的渠道和通路。 由于大型网络系统内运行的 TCP/IP 协议并非专为安全通讯而设计，所以网络系统存在大量安 全隐患和威胁。 整个网络就会受到来自网络外部和内部的双重威胁。 尤其在广域网中存在着大量的黑客攻击，他们常常针对 web 服务器和邮件服务器作为突破口，进行网络攻击和渗透。 常见得一些手法如下： IP 欺骗、重放或重演、拒绝服务攻击（ SYN FLOOD， PING FLOOD 等）、分布式拒绝服务攻击、篡改、堆栈溢出等。 黑客可以容易的在 某公司网络 出口 进出，对系统进行攻击或非法访问。 而在 某公司网络 内部，基本上还没有严格的防范措施，其中的安全隐患不言而喻。 如果加上安全管理上的不够完善等因素，或者在已有的服务器与单机中存在着后 门程序（木马程序）话，攻击者就可以很容易地取得网络管理员权限，从而进一步控制计算机系统，网络中大量的数据就会被窃取和破坏。 网络中只要一个地方出现了安全问题，那么整个网络都是不安全的。 因此，在 某公司网络 出口 处应配置应用级防火墙来加强访问控制，并部署入侵监控系统，杜绝可能存在的安全隐患，来保证网络安全可靠的正常运行。 系统层的安全分析 在任何的网络结构中都运行着不同的操作系统，如： Windows NT/2020/2020 Server、 HPUNIX、 Solaris、 IBM AIX、 SCOUnix、 Linux 等等，这些系统都或多或少地存在着各种各样的漏洞。 据 IDC 统计 1000 个以上的商用操作系统存在安全漏洞，如果这些操作系统没有进行系统的加固和正确的安全配置，而只是按照原来系统的默认安装，这样的主机系统是 某公司网络安全项目解决方案 电话： (010)82512622 传真： (010)82512630 北京市海淀区中关村南大街 2 号数码大厦 B 座 903 室（ 100086） 第 8 页 共 72 页 极其不安全的。 一名黑客可以 通过 Unicode、缓存溢出、造成死机等方式进行破坏，甚至取得 主机管理员的权限。 此外，在网络中，一些黑客利用系统管理员的疏忽用缺省用户的权限和密码口令就可以轻松地进入系统修改权限，从而控制主机。 某公司网络 中存在一定量的服务器，如：视频会议类或相关的服务器、 MCU、网络管理 服务器等等，而这些服务器都担负着重要的服务功能，如果这些服务器（尤其是有大量的数据处理的服务器），一旦瘫痪或者因被人植入后门造成远程控制窃取数据，后果不堪设想。 为了保证业务数据的正常流通和安全，需对这些重要的服务器进行全方位的防护。 应用层的安全分析 某公司网络 与 Inter 相连，进行着包括 WEB、 FTP、 Email、 DNS 等各种 Inter 应用。 应用系统的安全性主要考虑应用系统能与系统层和网络层的安全服务无缝连接。 在应用层的安全问题，黑客往往抓住一些应用服务的缺陷和弱点来对其进行攻击的， 比如针对错误的 Web 目录结构、 CGI 脚本缺陷、 Web 服务器应用程序缺陷、为索引的 Web 页、有缺陷的浏览器甚至是利用 Oracle、 SAP、 Peoplesoft 缺省帐户。 应用层的安全威胁还包括对各种不良网络内容的访问，比如内网用户访问非法（如发布反动言论、宣扬法轮功等）或不良（色情、迷信）网站等。 有的 Inter 站点上还包含有害的 Java Applet 或 ActiveX 小程序，如果不慎访问将有可能带入病毒和木马程序，甚至有的网页可以通过一段简单的代码直接破坏访问者计算机的数据和系统，对网络安全和效率都 将造成极大破坏。 病毒 风险分析 计算机病毒一直是计算机安全的主要威胁。 而随着网络的不断发展，网络速度越来越快，网络应用也越来越丰富多彩，使得病毒传播的风险也越来越大，造成的破坏也越来越强。 据ICSA（国际计算机安全协会）的统计，目前已经有超过 90%的病毒是通过网络进行传播的。 某公司网络 是非常庞大的广域网，如果某个用户感染病毒后，将 Inter 上的病毒带入网内。 而近几年泛滥成灾的网络蠕虫病毒（如红色代码、尼姆达、冲击波、振荡波等）跟传统的通过光盘、软盘等介质进行传播的基于文件的病毒有很大的不同，它 们本身是一个病毒与黑客工具的结合体，当网络当中一台计算机感染蠕虫病毒后，它会自动的以极快的速度（每秒几百个线程）扫描网络当中其他计算机 的安全漏洞，并主动的将病毒传播到那些存在安全漏洞的计算机上，只要相关的安全漏洞没有通过安装补丁的方式加以弥补，蠕虫病毒就会这样以几何级数的增长速度在网络当中传播，即使计算机上安装了带有实时监控功能的防病毒软件（包括单机版和网络版）对此也无能为力。 蠕虫病毒的传播还会大量占用网络带宽，造成网络拥堵，形成拒绝服务式攻击（ DoS）。 计算机病毒同样会在某公司网络内网之间进行传播，造成 总部与各区域网络之间的堵塞，影响业务的正常进行。 因此，对于新型的网络蠕虫病毒，必须在网关处进行过滤，防止病毒进入内网。 网关防病毒已经成为未来防病毒体系中的重中之重，需要引起 大唐多媒体 的特别重视。 某公司网络安全项目解决方案 电话： (010)82512622 传真： (010)82512630 北京市海淀区中关村南大街 2 号数码大厦 B 座 903 室（ 100086） 第 9 页 共 72 页 图一 ICSA 统计数据： 90%以上是通过 Inter 传播的 图二 ICSA 统计数据： Inter 防病毒网关需求正逐年增加 某公司网络安全项目解决方案 电话： (010)82512622 传真： (010)82512630 北京市海淀区中关村南大街 2 号数码大厦 B 座 903 室（ 100086） 第 10 页 共 72 页 安全 策略 与安全 管理的安全分析 在网络安全中安全策略和管理扮演着极其重要的角色，如果没有制定非常有效的安全策略，没有进行严格的安全管理制度，来控制整个网络的运行，那么这 个网络就很可能处在一种混乱的状态。 因为没有非常好的安全策略，安全产品就无法发挥其应有的作用。 如果没有有效的安全管理，就不会做到高效的安全控制和紧急事件的响应 (更加详细和周密的安全策略要结合安全服务进行 )。 管理是网络安全中最最重要的部分。 责权不明、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。 这样就会导致：当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。 同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的 可控性与可审查性。 因此，必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。 建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是制定健全的网络安全及信息安全管理制度，并加以严格管理相结合。 某公司网络安全项目解决方案 电话： (010)82512622 传真： (010)82512630 北京市海淀区中关村南大街 2 号数码大厦 B 座 903 室（ 100086） 第 11 页 共 72 页 第三章 FortiNet 安全 解决方案 上面分析了 某公司网络 的网络状况与安全风险， Forti 做为著名的新兴安全厂家，以及多年的技术积累，提供了全面、独特、先进的解决方案。 状态检测 包过滤与状态检测 要介绍状态检测，得首先介绍包过滤技术。 包过滤通常安 装在路由器上，并且大多数商用路由器都提供了包过滤的功能。 包过滤是一种保安机制，它控制哪些数据包可以进出网络而哪些数据包应被网络拒绝。 网络中的应用虽然很多，但其最终的传输单位都是以数据包的形式出现，这种做法主要是因为网络要为多个系统提供共享服务。 例如，文件传输时，必须将文件分割为小的数据包，每个数据包单独传输。 每个数据包中除了包含所要传输的内容，还包括源地址、目标地址。 数据包是通过互联网络中的路由器，从源网络到达目的网络的。 路由器接收到的数据包就知道了该包要去往何处，然后路由器查询自身的路由表，若有去往目的 的路由，则将该包发送到下一个路由器或直接发往下一个网段；否则，将该包丢掉。 包过滤技术可以允许或禁止某些包在网络上传递，它依据以下的判断：  将包的目的地址作为判断  将包的源地址作为判断  将包的传送协议（端口号）作为判断。 一般，在进行包过滤判断时一般不关心包的具体内容。 包过滤只能让我们进行类似以下情况的操作，如：  不让任何工作站从外部网用 Tel 登录。  允许任何工作站使用 SMTP 往内部网发电子邮件。 但包过滤不能允许我们进行如下的操作，如：  允许用户使用 FTP，同时还限制用户只可读取文件不可写入文件。  允许某个用户使 Tel 登录而不允许其他用户进行这种操作。 包过滤的优点 某公司网络安全项目解决方案 电话： (010)82512622 传真： (010)82512630 北京市海淀区中关村南大街 2 号数码大厦 B 座 903 室（ 100086） 第 12 页 共 72 页  因为包过滤防火墙工作在 IP 和 TCP 层，所以处理包的速度 快；  提供透明的服务，用户不用改变客户端程序；  适应多种网络环境；  具有透明接入的功能，很多时候不需要更改网络的拓扑结构；  功能强大，能够对各种应用协议进行过滤；  针对协议能够做得更加底层。 包过滤的缺点 因为只涉及到 TCP/IP 层，很难实 现针对具体协议内容的过滤， 它提供安全级别相对低； 为 了克服包过滤模式明显的安全性不足的的问题 , 一些包过滤防火墙厂商推出了状 态包过滤的概念。 在包过滤技术的基础上，通过基于上下文的动态包过滤模块检查，增强了。