某网络安全整体解决方案

某网络安全整体解决方案第一部分网络安全概述第一章网络安全体系的基本认识自信息系统开始运行以来就存在信息系统安全问题，通过网络远程访问而构成的安全威胁成为日益受到严重关注的问题根据美国的调查,美国每年因为网络安全造成的经济损失超过万亿美元FBI

1.5一安全威胁由于企业网络内运行的主要是多种网络协议,而这些网络协议并非专为安全通讯而设计所以，企业网络可能存在的安全威胁来自以下方面操作系统的安全性目前流行的许多操作系统均存在网络安全漏洞,如1UNIX防火墙的安全性防火墙产品自身是否安全，是否设置错误，需要2服务器，服务器及桌面NT WindowsPCO经过检验来自内部网用户的安全威胁3缺乏有效的手段监视、评估网络系统的安全性4采用的协议族软件，本身缺乏安全性5TCP/IP、使用的益处1Firewall保护脆弱的服务通过过滤不安全的服务，可以极大地提高网络安全和减少子网中主机Firewall的风险例如，可以禁止、服务通过同时可以拒绝源路由Firewall NISNFS,Firewall和重定向封包ICMP控制对系统的访问可以提供对系统的访问控制如允许从外部访问某些主机，同时禁止Firewall访问另外的主机例如，允许外部访问特定的和Firewall MailServer WebServer0集中的安全管理对企业内部网实现集中的安全管理，在定义的安全规则可Firewall Firewall以运用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略如在可以定义不同的认证方法，而不需在每台机器上分别安装特定的Firewall认证软件外部用户也只需要经过一次认证即可访问内部网增强的保密性使用可以阻止攻击者获取攻击网络系统的有用信息如Firewall Finger和DNSO记录和统计网络利用数据以及非法使用数据可以记录和统计通过的网络通讯，提供关于网络使用的统Firewall Firewall计数据，并且，可以提供统计数据，来判断可能的攻击和探测Firewall策略执行提供了制定和执行网络安全策略的手段未设置时,Firewall Firewall网络安全取决于每台主机的用户、设置的要素2Firewall网络策略影响系统设计、安装和使用的网络策略可分为两级，高级的Firewall网络策略定义允许和禁止的服务以及如何使用服务，低级的网络策略描述如何限制和过滤在高级策略中定义的服务FirewaII服务访问策略服务访问策略集中在访问服务以及外部网络访问（如Internet拨入策略、连接等）SLIP/PPP服务访问策略必须是可行的和合理的可行的策略必须在阻止己知的网络风险和提供用户服务之间获得平衡典型的服务访问策略是允许通过增强认证的用户在必要的情况下从访问某些内部主机和服务；允许内部用户访Internet问指定的主机和服务Internet设计策略Firewall设计策略基于特定的,定义完成服务访问策略的规则通常Firewall firewall有两种基本的设计策略允许任何服务除非被明确禁止；禁止任何服务除非被明确允许通常采用第二种类型的设计策略、的基本分类3Firewall包过滤包过滤IP源地址；V IP目的地址；V IP源端口;V TCP/UDP目的端口V TCP/UDP包过滤路由器存在许多弱点:包过滤规则难于设置并缺乏已有的测试工具验证规则的正确性手工V测试除外一些包过滤路由器不提供任何日志能力，直到闯入发生后,危险的封包才可能检测出来实际运行中，经常会发生规则例外，即要求允许通常情况下禁止的访问通过V但是，规则例外使包过滤规则过于复杂而难以管理例如，定义规则-禁止所有到达的端口连接如果某些系统Inbound23telnet需要直接连接，此时必须为内部网的每个系统分别定义一条规则Telnet某些包过滤路由器不支持源端口过滤，可能使过滤规则集更加复V TCP/UDP杂，并在过滤模式中打开了安全漏洞如连接源端口是随机产生的SMTP,此时如果允许双向的连接，在不支持源端口过滤的路由器上1023SMTP必须定义一条规则允许所有端口的双向连接此时用户通过重新映射1023端口，可以绕过过滤路由器对许多服务进行包过滤非常困难由于V RPCRemouteProcedure Call的口是在主机启动后随机地分配的，要禁止服务,通常需要RPC ListenRPC禁止所有的绝大多数使用,如此可能需要允许的连接UDP RPCUDP DNS就会被禁止应用网关为了解决包过滤路由器的弱点，要求使用软件应用来过滤和Firewall）传送服务连接（如和这样的应用称为代理服务，运行代理服Telnet Ftpo务的主机被称为应用网关应用网关和包过滤器混合使用能提供比单独使用应用网关和包过滤器更高的安全性和更大的灵活性应用网关的优点是:比包过滤路由器更高的安全件V提供对协议的过滤，如可以禁止连接的命令V FTPPut信息隐藏，应用网关为外部连接提供代理V健壮的认证和日志V节省费用，第三方的认证设备（软件或硬件）只需安装在应用网关上V简化和灵活的过滤规则，路由器只需简单地通过到达应用网关的包并拒绝其V余的包通过应用网关的缺点在于新的服务需要安装新的代理服务器V有时需要对客户软件进行修改V可能会降低网络性能V应用网关可能被攻击V线路级网关线路级网关提供内部网和外部网连接的中继，但不提供额外的处理和过滤能力防火墙Stateful该类防火墙综合了包过滤防火墙及应用网关的特性能够提供比应用网关更多的连接特性，但是安全性比较应用网关差、建设的原则4Firewall分析安全和服务需求以下问题有助于分析安全和服务需求:计划使用哪些服务如从何处使用V Internethttp,ftp,gopher,服务本地网，拨号,远程办公室Internet增加的需要，如加密或拔号接入支持V提供以上服务和访问的风险V提供网络安全控制的同时，对系统应用服务牺牲的代价V策略的灵活性相关的网络安全策略总的来说，应该保持一定的灵活性，主要有以下Internet原因自身发展非常快，机构可能需要不断使用提供的新服务V Internet Internet开展业务新的协议和服务大量涌现带来新的安全问题，安全策略必须能反应和处理这些问题机构面临的风险并非是静态的，机构职能转变、网络设置改变都有可V能改变风险远程用户认证策略远程用户不能通过放置于后的未经认证的访问系V FirewallModem统连接必须通过认证V PPP/SLIP Firewall对远程用户进行认证方法培训V拨入/拨出策略拨入/拨出能力必须在设计时进行考虑和集成V Firewall外部拨入用户必须通过的认证V Firewall策略Information Server公共信息服务器的安全必须集成到中V Firewall必须对公共信息服务器进行严格的安全控制，否则将成为系统安全的缺口V为定义折中的安全策略允许提供公共服务V Information server）对公共信息服务和商业信息（如讲行安全策略区分V email系统的基本特征Firewall必须支持.”禁止任何服务除非被明确允许的设计策略V Firewall必须支持实际的安全政策而非改变安全策略适应V FirewallFirewall必须是灵活的，以适应新的服务和机构智能改变带来的安全策略的V Firewall改变必须支持增强的认证机制V Firewall应该使用过滤技术以允许或拒绝对特定主机的访问V Firewall过滤描述语言应该灵活，界面友好，并支持源和目的,协议类型，V IP IPIP源和目的口,以及到达和离开界面TCP/UDP应该为、提供代理服务，以提供增强和集中的认证V FirewallFTP TELNET管理机制如果提供其它的服务（如等）也必须通过代理服务器NNTP,http应该支持集中的处理,减少内部网和远程系统的直接连接V FirewallSMTP应该支持对公共的访问，支持对公共V FirewallInformation server的保护，并且将同内部网隔离Information serverInformationserver•可支持对拨号接入的集中管理和过滤V Firewall应支持对交通、可疑活动的日志记录V Firewall如果需要通用的操作系统，必须保证使用的操作系统安装了所有己V Firewall知的安全漏洞Patch的设计应该是可理解和管理的V Firewall依赖的操作系统应及时地升级以弥补安全漏洞V Firewall、选择防火墙的要点5安全性即是否通过了严格的入侵测试1抗攻击能力对典型攻击的防御能力2性能是否能够提供足够的网络吞吐能力自我完备能力自身的安全性，34Fail-close未能对来自的电子邮件夹带的病毒及浏览可能存在的6Internet Web控件进行有效控制Java/ActiveX应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考7虑较少，并且，如果系统设置错误，很容易造成损失二网络安全的需求、企业网络的基本安全需求1满足基本的安全要求，是该网络成功运行的必要条件，在此基础上提供强有力的安全保障，是建设企业网络系统安全的重要原则企业网络内部部署了众多的网络设备、服务器，保护这些设备的正常运行，维护主要业务系统的安全，是企业网络的基本安全需求对于各科各样的网络攻击，如何在提供灵活且高效的网络通讯及信息服务的同时，抵御和发现网络攻击，并且提供跟踪攻击的手段，是本项目需要解决的问题、业务系统的安全需求2与普通网络应用不同的是，业务系统是企业应用的核心对于业务系统应该具有最高的网络安全措施企业网络应保障访问控制，确保业务系统不被非法访问I数据安全，保证数据库软硬件系统的整体安全性和可靠性I入侵检测，对于试图破坏业务系统的恶意行为能够及时发现、记录和跟踪，I提供非法攻击的犯罪证据来自网络内部其他系统的破坏，或误操作造成的安全隐患I、服务网络的安全需求3Internet服务网络分为两个部分提供网络用户对的访问提供InternetInternet对网内服务的访问Internet网络内客户对的访问，有可能带来某些类型的网络安全如通过电Internet子邮件、引入病毒、危险的或应用等因此,需要在网络FTP JavaActiveX内对上述情况提供集成的网络病毒检测、消除等操作网络安全需求是保护网络不受破坏，确保网络服务的可用性，作为信息网络之间的互联的边界安全应作为主要安全需求2需要保证信息网络之间安全互联，能够实现网络安全隔离；2对于专有应用的安全服务；2必要的信息交互的可信任性；2能够提供对于主流网络应用（如、、和WWW Mail.Ftp OicqNetMeeting等）良好支持，并能够实现安全应用；2同时信息网络公共资源能够对开放用户提供安全访问；2能够防范包括利用应用通过以及形式;u HttpJava Applet.ActiveX JavaScript利用应用，通过文件传输形式；u Ftp利用应用，通过对邮件分析及利用附件所造成的信息泄漏和有害信息u SMTP对于信息网络的侵害；2对网络安全事件的审计；2对于网络安全状态的量化评估；2对网络安全状态的实时监控；其次，对于信息网络内部同样存在安全需求，包括2信息网络中的各单位网络之间建立连接控制手段；2能够满足信息网络内的授权用户对相关专用网络资源访问；2同时对于远程访问用户增强安全管理；2加强对于整个信息网络资源和人员的安全管理与培tj Ho（=）网络安全与网络性能和功能的关系通常，系统安全与性能和功能是一对矛盾的关系如果某个系统不向外界提供任何服务（断开），外界是不可能构成安全威胁的但是，企业接入国际互连网络，提供网上商店和电子商务等服务，等于将一个内部封闭的网络建成了一个开放的网络环境，各种安全包括系统级的安全问题也随之产生构建网络安全系统，一方面由于要进行认证、加密、监听，分析、记录等工作，由此影响网络效率，并且降低客户应用的灵活性；另一方面也增加了管理费用但是，来自网络的安全威胁是实际存在的，特别是在网络上运行关键业务时，网络安全是首先要解决的问题选择适当的技术和产品，制订灵活的网络安全策略，在保证网络安全的情况下，提供灵活的网络服务通道采用适当的安全体系设计和管理计划，能够有效降低网络安全对网络性能的影响并降低管理费用全方位的安全体系与其它安全体系（如保安系统）类似，企业应用系统的安全休系应包含访问控制通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前检直安全漏洞:通过对安全漏洞的周期检查，即使攻击可到达攻击目标,也可使绝大多数攻击无效攻击监控通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）加密通讯主动的加密通讯，可使攻击者不能了解、修改敏感信息认证良好的认证体系可防止攻击者假冒合法用户备份和恢复良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务多层防御，攻击者在突破第一道防线后，延缓或阻断其到达攻击目标隐藏内部信息，使攻击者不能了解系统内的基本情况设立安全监控中心，为信息系统提供安全体系管理、监控，渠护及紧急情况服务

（四）网络安全的管理因素网络安全可以采用多种技术来增强和执行但是，很多安全威胁来源于管理上的松懈及对安全威胁的认识安全威胁主要利用以下途径系统实现存在的漏洞I系统安全体系的缺陷I使用人员的安全意识薄弱I管理制度的薄弱I良好的网络管理有助于增强系统的安全性及时发现系统安全的漏洞I审查系统安全体系I加强对使用人员的安全知识教育I建立完善的系统管理制度I如前所述，能否制定一个统一的安全策略，在全网范围内实现统一的安全管理，对于信息网来说就至关重要了安全管理主要包括两个方面:内部安全管理主要是建立内部安全管理制度，如机房管理制度、设备管理制I度、安全系统管理制度、病毒防范制度、操作安全管理制度、安全事件应急制度等，并采取切实有效的措施保证制度的执行内部安全管理主要采取行政手段和技术手段相结合的方法网络安全管理在网络层设置路由器、防火墙、安全检测系统后，必I须保证路由器和防火墙的设置正确，其配置不允许被随便修改ACL网络层的安全管理可以通过防火墙、安全检测、网络病毒防治以及网管等一些网络层的管理工具来实现第二章网络安全技术概述基于以上的分析，企业网络系统涉及到各方面的网络安全问题，我们认为整个企业的安全体系必须集成多种安全技术实现如虚拟网技术、防火墙技术，入侵监控技术、安全漏洞扫描技术、病毒防护技术、加密技术、认证和数字签名技术等下面就以上技术加以详细阐述（虚拟网技术虚拟网技术主要基于近年发展的局域网交换技术和以太ATM网交换交换技术将传统的基于广播的局域网技术发展为面向连接的技术因此,X网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器由以上运行机制带来的网络安全的好处是显而易见的信息只到达应该到达的地点因此、防止了大部分基于网络监听的入侵手段通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点但是，虚拟网技术也带来了新的安全问题:执行虚拟网交换的设备越来越复杂，从而成为被攻击的对象基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置基于的不能防止欺骗攻击MAC VLANMAC以太网从本质上基于广播机制，但应用了交换器和技术后，实际上转变VLAN为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入（改变）问题但是，采用基于的划分将面临假冒地址的攻击因此，MAC VLANMAC的划分最好基于交换机端口但这要求整个网络桌面使用交换端口或每VLAN个交换端口所在的网段机器均属于相同的网络层通讯可以跨越路由器，VLAN0因此攻击可以从远方发起协议族各厂家实现的不完善，因此，在网络层发IP现的安全漏洞相对更多，如IP sweep,teardrop,sync-flood,IP spoofing攻击等二.防火墙技术防火墙是近年发展起来的重要安全技术，其主要作用是在网络入口点检查网络通讯，根据客户设定的安全规则，在保护内部网络安全的前提下,提供内外网络通讯。