泉州电信网络安全整体解决方案

泉州电信网络安全整体解决方案内容摘要：

rver 上加装，可以虚拟一个局域网络，当中可以虚拟出 NT server， Solaris， CISCO 路 由器，当黑客无论来自内部或外部使用扫描器探测网络时，就会发现这些设备，就会攻击这些系统，而这些设备是虚拟的，因而不会被攻破，黑客的行为就会被记录在案，作为法律的依据。 是一个很好的追查黑客来源的工具，同时分散黑客攻击目标，给黑客攻击网络系统添加难度。 泉州电信公司网络安全解决方案 10 第三章 防火墙的部署解决方案 一、重点保护泉州电信关键网段和关键主机 鉴于泉州电信系统的内部网络易于受到外部用户的非法入侵和攻击，内部的关键服务器97server 与资费主机系统以及资费主机易于遭受内部用户和未安装外部防火墙时的外部用户的 非法入侵和攻击 (注：以下公司即为泉州电信公司 )，因此建议采用美国 NAI 公司Gauntlet 防火墙 屏蔽关键网段和关键主机，不允许外部用户直接访问公司的内部网络和内部用户直接访问关键服务器 97server 与资费主机系统与资费主机，保证访问的合法性与网络服务的安全性。 Gauntlet 防火墙的主要功能和优点有：  基于应用层网关，没有内外网络的直接连接，具备比包过滤防火墙更高的安全性。  采用自适应代理技术，可提供包过滤防火墙的高速度。  采用集中式策略管理，在整个事件管理系统中的事件可相互通风。  支持多处理器技术。  提供对协议的过滤，如可以禁止 FTP 连接的 Put 命令、 cd 命令、 rm 命令等。  信息隐藏，应用网关为外部连接提供代理。  简化灵活的过滤规则，路由器只需通过到达应用网关的包并拒绝其余的包通过。  支持一个地点管理多台防火墙，各防火墙可相互配合，具有主动防御的能力。  多个防火墙之间可形成 GVPN，为将来开发的 Intra 建立可信赖的连接。  节省费用，第三方的认证设备 (软件或硬件 )只需安装在应用网关上。  支持各种主流数据库，如 Oracel,Sybase,SQL 等。  内容安全性可保护系统数据免受 Inter 病毒 、恶意 Java和 ActiveX 代码的威胁。  健壮的认证和日志。 防火墙能够记录所有的网络连接和连接企图，日志能够显示出源地址、目的地址、时间和所用的协议，而且防火墙能够预先设定一个紧急情况的触发条件，条件发生时，防火墙会发出一个警报给安全维护人员或网络管理系统。 可以看出， Gauntlet 防火墙的安全特性远比其他类型的防火墙高，能有效地防止外来的入侵，控制进出网络的信息流向和信息包，提供使用和流量的日志和审计，隐藏内部 IP 地址及网络结构的细节，提供 VPN 功能等，但是也有防火墙自身的局限性：不能提供完全的网络安 全性，如不能停止所有外部入侵，不能终止有经验的黑客， 因此，系统还应该具备防病毒和防黑客的功能。 二、未安装防火墙之前的泉州电信公司的网络情况。 在未安装防火墙之前，公司的内部网络和关键主机 97server 与资费主机系统与资费主机系统直接暴露在黑客和病毒的攻击之下，具有相当的危险性。 不能阻断外部互联网用户的泉州电信公司网络安全解决方案 11 恶意访问和攻击，同时暴露泉州电信公司内部的网络结构，不能阻断内部网络用户中有黑客倾向的员工对内部网络内的关键服务器 97server 与资费主机系统与资费主机系统的恶意访问或越权访问以及对该关键服务器的攻 击；公司只有有限的公网 IP 地址，不能使公司员工同时上网，不能隐藏内部网络结构，不能拒绝非授权的访问，如果有单独的对外公布的机器，同样不能得到有效的保护，不能对外仅公布 HTTP、 SMTP、 POP DNS 等服务，同时不能对FTP 等其它额外的服务做出禁止，不能对 HTTP 服务本身做出进一步限制。 在公司内部网络和关键主机 97server 与资费主机系统或对外公布访问的机器在受到攻击时不能提供受攻击时的报警或比较详细的日志。 不能限制外部用户对内部的非法访问。 同时我们根据对泉州电信的拓扑图分析所知，同样在未安装防火墙之前 对专用网的用户 (DDN 用户、 E1 用户、省局WAN 用户、市话网用户、 ATM 用户 )不能作到防患，不能禁止专用网另一端用户的非授权访问和攻击。 我们下面看一下泉州电信安装防火墙之前的拓扑图。 （大致原理图） 泉州电信公司网络安全解决方案 12 三、防火墙的安装平台要求 如果是 For NT,可以采用高性能 Intel X86 服务器，每台 Guantlet 防火墙的硬件平台的基本配置如下： PIII500 以上 CPU,128Mb或 256Mb 内存， 2 到 3 块网卡，最好每块网卡不同类型 ，便于区分不同的网段， 2G 左右硬盘（如流量大的话，需加大硬盘）， VGA 显卡 (800*600)分辨率 (4M以上 )。 如果是 Gauntlet For Solaris ,可以采用 Sun Sparc10 以上工作站 ,SPARC 或 UltraSPARC 系统， 128Mb 或 256Mb 以上内存， 2GB 硬盘（如流量大的话，需加大硬盘）。 如果采用 NAI 公司的硬件防火墙 EPpliancer 的话，可以采用 EPpliance320，其配置如下： Sun Netra1， SPARC360M CPU， 320M 内存， 9G scsi 硬盘， 6 接口网卡。 因泉州电信整个网络架构在高速网络上，普通防火墙不能提供接口，我们建议在高速网络处使用 NAI 公司针对千兆网络而设计的千兆级防火墙 PGP 1000 eppliance ： – 4 440 MHz Sun Sparc processors – 4 GB RAM – 1 VPN Cryptographic accelerator – 2 Gigabit Ether Adapters – 1 4 port 10/100 Ether Adapter – 1 built in Ether port – 3 N+1 Redundant Power Supplies 四、 GauntLet 防火墙的部署 根据泉州电信公司网络扑图的结构图可知，用户可以在 5000 50002 交换机与通过ADSL 与外部相连的地方部署 NAI Gauntlet 防火墙；可以在 AS5300与 50002 交换机相连的地方部署 NAI Gauntlet 防火墙；可以在 5000 50002 交换机与 CISCO7507 CISCO75072之间部署 PGP EPpliance 1000 硬件防火墙；可以在 5000 交换机与 CISCO 2511 之间部署 NAI Gauntlet 防火墙；可以在 97 主机群和资费主机群关键服务器之前部署 NAI Gauntlet 防火墙。 可以达到对泉州电信网络内部的各个子网的安全防护和对九七主机群和资费主机群等关键服务器的安全防护。 可以动态隐藏上网用户的 IP 地址，隐藏泉州电信内部网络结构，共享有限的公网地址，做到所有内部员工均可以利用互连网来增进交流，拓展知识和业务的开展，对从内部网到 Inter 开通允许的 HTTP、 POP SMTP、 FTP、 TELNET、 DNS、 OICQ、 IRC、 REALPLAY等 有用或与业务相关的服务，否则不让通过多余的服务。 同时不对 Inter 外部网开通对内部网访问权限。 如果泉州电信有需要对外部互连网提供服务的机器的话，将提供对外服务的机器安装在防火墙的停火区，仅允许外部互连网网对停火区的机器做 HTTP、 SMTP、 POP DNS等必须的服务 ,禁止其它多余的服务，当然内部员工对停火区也具有这些功能；对违反泉州电信公司网络安全解决方案 13 泉州电信公司网络安全解决方案 14 访问策略的请求和对内部网络和停火区网络的攻击，在防火墙上设置 Email 报警和日志记载；对专用网接入处和内部网相连的 防火墙配置为允许对专用网另一端的访问，同时开通所必须的通讯端口号，比如和银行相连的地方可能是电话代收费项目，开通双方所需的通讯端口号，禁止其它无关的服务；去省局的 WAN 以及去市话网同样开通双方所必须的通讯端口，禁止其它一切与业务无关的通讯端口号 （ Gauntlet防火墙的工作方式为除非被允许，否则被禁止），特别需要注意的是仅开通专用网另一端对电信的中心网络所必须的服务，无关的服务一律禁止； 同时对从专用网来的用户访问内部网时如有必要，须经过授权认证。 同样去数据局的 Guantlet 防火墙配置为双方所必须的服务或通 讯端口号，禁止与业务无关的服务。 在 97 主机群和资费主机群前的 Gauntlet 配置为开通内部网用户对该服务器所必须的服务，关闭与业务无关的服务，如有必要，内部网络用户或经授权的外部用户访问该服务器时需要经过认证。 在和省局相连的纵向网 WAN 即 CISCO 7507 之后部署 NAI Gauntlet 防火墙，防止来自省局员工或其它地市分局的电信职工通过九七纵向网络入侵和攻击 97 主机群。 当然如果认为省局是信任网络也可以不安装 NAI Gauntlet 防火墙。 泉州电信公司网络安全解决方案 15 第四章 个人电脑安全与数据加密部署方案 一、方案描述 在商 业秘密领域，每个重要机构都将拥有自己的计算机网络，他们不希望自己在网络上传输的数据被一些黑客进行非法的篡改，由于信道的开放性，一个成功地对信道进行窃听的入侵者将能再不被觉察的情况下，对电子邮件的信息进行监听，并可能获得极为重要的信息。 同时，在 Inter 技术发展迅速的今天，黑客技术随之迅速发展，甚至有道高一尺，魔高一丈的味道，个人电脑只要连上 Inter，就不可避免地遇到遭黑客及不法分子袭击的风险。 为了保护个人电脑的安全，必须为个人用户安装个人防火墙，另外，为了确保公开信道上的数据安全，必须在通道上 采用加密数据方式的方式，当发送方线路终端发送数据时，通过一定的加密算法和密钥协商方案，将需要发送的数据进行加密，然后在公开的信道上进行传输。 接受方接受数据是通过一定的解密算法，对已加密的数据进行解密，进而获得明文。 为了简便、快速、有效的保护泉州电信公司用户的个人电脑安全，桌面电子邮件及文件的加密，我们采用 NAI 的 PGP Desktop 软件。 PGP Desktop 套件包含有邮件加密、文件加密、磁盘加密、 VPN 客户端、个人防火墙、入侵监测等功能。 这些功能可以有效的保护个人电脑不受不法分子的侵袭，保护个人数据的 安全。 PGP 仅用鼠标就可完成全部的加密、解密、签名与身份验证全过程；支持任何形式的文件，包括文本、电子表格、图形及音视频文件；支持流行的软件包，如 Claris Emailer MS Exchange MS outlook, Netscape Communicater 和 QUALCOMM Eodora 等，并与之集成。 支持 Win95/NT/2020， Macintosh 平台。 它通过对电子信函、联机事务以有数据文件进行加密，使得只有指定的收件人才能对共内容进行解密，从而使用户的数据信息得到保护。 PGP 还添加了其 它安全性，它结合了检查原作者以及文档完整性的强大数字签名能力。 PGP 几乎支持现有的所有常用的电子邮件和任何文档文件。 因此，有了用于信息完整性，数据防护，支持禁止否认以及关心安全性的用户基于强鉴定的 PGP的保护，用户可以放心的在 Inter 上冲浪、学习，并在网络上安全的传输数据。 PGP 桌面及邮件加密采用了公钥体制，即用户利用公钥加密，用私钥解密，公钥公开，用户保留私钥。 为了更好的管理用户公钥及检索公钥，必须建立公钥管理服务器，我们采用 NAI 的 PGP Keyserver 来做公钥管理。 在泉州电信公司个人用户 网络中建立一台 PGP Keyserver 来管理所有 PGP Desktop 用户的公钥。 二、 PGP Desktop 功能简介： 大部分计算机数据由于受到桌面上或来自 LAN、 WAN 和 Inter 的内部袭击而被窃取。 PGPdisk 通过提供可用的最高级磁盘保护安全措施，保护您的文件免受不法之徒的入侵，从而排除保密数据被公开的危险。 PGPdisk 利用其强大的加密能力阻止入侵者突击探您的文件。 PGPdisk 易于安装和操作，是保护数据安全、可靠和避免被他人窃取的明智选择。 泉州电信公司网络安全解决方案 16 高级结构 基于卷 的结构 PGPdisk 使用第二代磁盘安全结构，在卷级而不是单个文件一级操作。 基于卷的结构和基于文件的系统不同，它在加密和解密数据时具有更强的安全性、更高的性能和更好的可用性。 强大的安全特性 算法加密 PGPdisk 将用于磁盘数据加密的 CAST 算法和密码短语安全所用的 SHA 相结合，提供可用的功能最强大的算法。 超级安全卷 (黑箱 技术 )PGPdisk 基于卷的结构创建一个虚拟黑箱，隐藏文件全部信息的存在，包括姓名、主题信息和所有权标识。 操作系统驻留安全 只有 PGPdisk 能够只在操作系统级而不是文件级解密，使您能够仅对需要解密的文件逐渐解密，这样就使非立即使用的文件避免遭到破坏。 自动休眠和拆卸 当您的计算机处于休眠方式或在事先指定的一段时间内空闲时，PGPdisk 自动卸下磁盘。 虚拟内存保护措施 PGPdisk 总是从内存中清。