启明星辰网络安全建议方案doc

启明星辰网络安全建议方案doc内容摘要：

设。 （ 5） 现场评估，涉及如下方面的内容：  物理环境  网络结构  管理状况  人员状况  网络系统和设备安全  安全产品和技术应用状况  应急响应能力  应用状况 XXX 网络安全建议方案 北京启明星辰信息技术有限公司 电话： (010)62149966 12 Beijing Venus Info. Tech. Co. Ltd. 传真： (010)62146778 地址：北京市海淀区中关村南大街 12 号 188 6. 制订策略 根据 XXX 网络系统的实际安全需求，结合网络安全体系模型，建议采用如下网络安全防护措施（防火墙、入侵检测、漏洞扫描、防病毒、 VPN）。 . 访问控制 建议在网络的各个入口处部署川大能士防火墙，对进入 XXX 网 络系统的网络用户进行访问控制，主要实现如下防护功能： (1) 对网络用户进行身份验证，保证网络用户的合法性； (2) 能够屏蔽流行的攻击手段； (3) 对远程访问的用户提供通信线路的加密连接； (4) 能提供完整的日志和审记功能。 . 入侵检测 建议在 XXX 的网络入口处及核心网段部署启明星辰的天阗入侵检测系统，实时检测进出的数据和访问连接。 (1) 能监控内部网络的通信，对于非法通信能够报警并定位。 (2) 对进出内部网络的数据进行过滤检查。 (3) 对未知的一些攻击手段进行报警。 . 漏洞扫描 建议在 XXX 内部署启明星辰天镜漏洞扫描系统，定期对内部的系统进行漏洞检查， 发现漏洞及时弥补。 . 网络防病毒 建议采用启明星辰的网络防病毒产品对 XXX 的系统进行实时的病毒查杀。 XXX 网络安全建议方案 北京启明星辰信息技术有限公司 电话： (010)62149966 13 Beijing Venus Info. Tech. Co. Ltd. 传真： (010)62146778 地址：北京市海淀区中关村南大街 12 号 188 建议采用三层防病毒部署体系： (1) Mail 网关防病毒系统 阻断和防止 XXX 的病毒传输。 (2) 服务器防病毒系统 确保应用服务器不被病毒感染。 (3) 客户端防病毒系统 确保 XXX 员工办公 PC 不受病毒攻击。 . VPN 建议在 XXX 的网络入口处部署川大能士的 SVPN，使其能够实现： 1) 网络通信对用户“透明” 2) 具有“虚拟”和“专用”的安全特性 3) 充分利用已有公共网络基础设施的高效性 7. 防火墙系统 防火墙是指设置在不同网络或网络安全域之间的一 系列部件的组合。 它是不同网络或网络安全域之间信息的唯一出入口，能根据 网络 的安全政策控制（允许、拒绝、监测）出入网络的信息流，防火墙可以确定哪些内部服务允许外部访问，哪些外人被许可访问所允许的内部服务，哪些外部服务可由内部人员访问。 并且防火墙本身具有较强的抗攻击能力。 它是提供信息安全服务，实现网络和信息安全的基础设施。 主要特点如下：  保护脆弱的服务。 通过过滤不安全的服务， Firewall 可以极大地提高网络安全和减少子网中主机的风险。 例如， Firewall 可以禁止 NIS、 NFS 服务通过，Firewall 同时可以 拒绝源路由和 ICMP 重定向封包。  控制对系统的访问。 Firewall 可以提供对系统的访问控制。 如允许从外部访问某些主机，同时禁止访问另外的主机。 例如， Firewall 允许外部访问特定的 Mail Server 和 Web Server。 XXX 网络安全建议方案 北京启明星辰信息技术有限公司 电话： (010)62149966 14 Beijing Venus Info. Tech. Co. Ltd. 传真： (010)62146778 地址：北京市海淀区中关村南大街 12 号 188  集中的安全管理。 Firewall 对企业内部网实现集中的安全管理，在 Firewall定义的安全规则可以运用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。 如在 Firewall 可以定义不同的认证方法，而不需在每台机器上分别安装特定的认证软件。 外部用户也只需要经过防火墙的 — 次认证即可访问内部网。  增强保密性。 使用 Firewall 可以阻止攻击者获取攻击网络系统的有用信息，如 Finger 和 DNS。  记录和统计网络利用数据以及非法使用数据。 Firewall 可以记录和统计通过Firewall 的网络通讯，提供关于网络使用的统计数据，并且， Firewall 可以提供统计数据，来判断可能的攻击和探测。 策略执行。 Firewall 提供了制定和执行网络安全策略的手段。 未设置 Firewall 时，网络安全取决于每台主机的用户。 . 应用部署方案 XXX 防火墙系统应用部署图 建议在 XXX 总厂与设计 部之间部署川大能士防火墙。 即可对从总厂到设计部的双向网络数据通讯有一个安全防范，从而最大化的保障了业务网络的安全性。 XXX 网络安全建议方案 北京启明星辰信息技术有限公司 电话： (010)62149966 15 Beijing Venus Info. Tech. Co. Ltd. 传真： (010)62146778 地址：北京市海淀区中关村南大街 12 号 188 . 产品功能特点 ● 隔离内外网络的直接通信，对进出的网络的信息进行访问控制； ● 可根据 IP 源 /宿地址、 TCP/UDP 端口号和协议类型进行控制，严格控制外部用户随意进入内部被保护的网络中；禁止内部用户出访公网或互联网的非法、黄色等站点和资源；允许经过授权的内部用户与外部用户正常互通； ● 支持内部网络主机和服务器采用私有地址，对外界隐藏内部网络拓扑； ● IP 与 MAC 绑定功能，可防止内部用户随意更改自己的 IP 地址，以免造成内部 IP 地址的滥用和盗用； ● 支持 IP 与用户的邦定； ● 透明代理功能，在外部网络中的计算机访问对外提供网络服务内部子网时，隐藏提供网络服务的主机的 IP 地址； ● 流量统计与流量限制功能，通过防火墙进行网络流量统计，并根据策略对流量分析和限制，提供一定的服务质量（ QOS）保证； ● 网络实践分析； ● 用户鉴别及动态过滤策略功能，对移动用户、异地办公等远程用户进行一次性口令身份识别和认证，并对移动用户、异地办公等远程用户进行动态的网络访问鉴别控制； ● URL 阻断以及基于关键词的智能过滤 ● 可以实现应用层协议内容的过 滤，如 FTP、 HTTP、 SMTP； ● 应用层（ FTP、 HTTP 等）专用命令控制； ● 支持动态路由协议 OSPF、 RIP 等； ● 支持 DMZ 等多网络接口配置； ● 路由模式、透明桥模式和混合模式自我学习功能； ● 状态检测功能，又称动态包过滤，通过检查应用程序信息（如 FTP 的 GET、PUT 命令）来判断端口是否允许需要临时打开，当传输结束时，端口马上恢复为关闭状态； XXX 网络安全建议方案 北京启明星辰信息技术有限公司 电话： (010)62149966 16 Beijing Venus Info. Tech. Co. Ltd. 传真： (010)62146778 地址：北京市海淀区中关村南大街 12 号 188 ● 抗攻击和自我保护能力，能士防火墙采用了“能士黑匣子”技术，可以防范一系列外部黑客的攻击，如：抗特洛伊木马攻击、抗 IP 假冒攻击、抗 DOS 攻击等； ● 通过防火墙双机热备的 高可用性功能，可以为用户提供可靠的容错和热待机等功能； ● 支持 DHCP 应用环境； ● 支持视频会议应用环境； ● 完全的中国式自主设计，提供操作简单的图形化用户界面方便用户对防火墙设备进行配置，面向对象的可视化规则编辑以及监控与管理防火墙； ● 强大的安全审计与日志功能，防火墙系统强大的审计能力在完善的日常审计基础上，提供了对违规通信、安全事件的实时报警和处置能力； ● 防火墙为专用软硬件一体化安全设备，操作系统内核基于自主专用定制； ● 可采用智能 IC 卡进行防火墙设备的初始化和操作控制； ● 支持无人值守运行模式； ● 可伸缩体系结构 支持对安全域中多个防火墙的集中式网络化安全管理； 当发现违规事件时，管理员可以采取远程关闭外来连接或让防火墙重新启动等安全措施。 8. 入侵检测系统 在传统的网络安全概念里，似乎配置了防火墙就标志着网络的安全，其实不然，防火墙仅仅是部署在网络边界的安全设备，它的作用是防止外部的非法入侵，仅仅相当于计算机网络的第一道防线。 虽然通过防火墙可以隔离大部分的外部攻击，但是仍然会有小部分攻击通过正常的访问的漏洞渗透到内部网络；另外，据统计有 70％以上的攻击事件来自内部网络，也就是说内部人员作案，而这恰恰是防火墙的盲区。 入侵 检测系统 (IDS)可以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪、恢复、断开网络连接等。 XXX 网络安全建议方案 北京启明星辰信息技术有限公司 电话： (010)62149966 17 Beijing Venus Info. Tech. Co. Ltd. 传真： (010)62146778 地址：北京市海淀区中关村南大街 12 号 188 入侵检测系统是实时的网络违规自动识别和响应系统。 它运行于敏感数据需要保护的网络上，通过实时监听网络数据流，识别，记录入侵和破坏性代码流，寻找网络违规模式和未授权的网络访问尝试。 当发现网络违规模式和未授权的网络访问尝试时，入侵检测系统能够根据系统安全策略作出反应。 该系统可安装于防火墙前后，可以对攻击防火墙本身的数据流进行响应，同时可以对穿透防火墙进行攻击的数据流进行响应。 在被保 护的局域网中，入侵检测设备应安装于易受到攻击的服务器或防火墙附近。 这些保护措施主要是为了监控经过出口及对重点服务器进行访问的数据流。 入侵检测报警日志的功能是通过对所有对网络系统有可能造成危害的数据流进行报警及响应。 由于网络攻击大多来自于网络的出口位置，入侵检测在此处将承担实时监测大量出入整个网络的具有破坏性的数据流。 这些数据流引起的报警日志，是作为受到网络攻击的主要证据。 在 XXX 网络系统网络入侵检测系统配置中，我们建议采用 启明星辰公司的“天阗” 网络入侵 检测 系统 ，对 XXX 网络系统 网络进行实时监控与阻断响应， 它集成了在线网络入侵监测、入侵即时处理、离线入侵分析、入侵侦测查询、报告生成等多项功能的分布式计算机安全系统，不仅能即时监控网络资源运行状况，为网络管理员及时提供网络入侵预警和防范解决方案，还使得对于检查黑客入侵，变得有迹可寻，为用户采取进一步行动提供了强有力的技术支持，大大加强了对恶意黑客的威慑力量。 通过使用入侵检测系统，我们可以做到： 对 XXX 网络系统网络边界点的数据进行监测，防止黑客的入侵。 对 XXX 网络系统网络核心业务服务器的数据流量进行监测，防止入侵者的蓄意破坏和篡改。 监视 XXX 网 络系统网络内部用户和系统的运行状况，查找非法用户和合法用户的越权操作。 对用户的非正常活动进行统计分析，发现入侵行为的规律。 实时对检测到的入侵行为进行报警、阻断，能够与防火墙联动。 对关键正常事件及异常行为记录日志，进行审计跟踪管理。 XXX 网络安全建议方案 北京启明星辰信息技术有限公司 电话： (010)62149966 18 Beijing Venus Info. Tech. Co. Ltd. 传真： (010)62146778 地址：北京市海淀区中关村南大街 12 号 188 . 应用部署方案 XXX 入侵检测系统应用部署图 建议在 XXX 总厂的核心交换机和设计部的中心交换机上部署天阗 N100 入侵探测引擎；这样一来就能够实时监测网络上非法入侵行为及违规操作，然后在管网段配置一台 PC 安装天阗控制中心，即可实时显示报警事件，并对探测引擎进行 管理。