文档介绍：吉林钢铁网络安全方案
一、网络安全整体设计:
网络的安全是保障网络系统稳定运行的前提。网络安全也是网络内部信息泄漏的主要原因之一。在吉林钢铁厂网络中,包括了生产、办公、财务等众多重要部门,并且提供专网访问与互联网访问。现有的安全设备只有防火墙,为确保各部门信息数据的安全性和保密性,现有的这些安全设备还远远不够,还需要增加相应的安全产品,保证网络在受到攻击时网络设备的稳定性,从而提高整个网络的稳定可靠性。基于以上要求提出本方案。
吉林钢铁网络整体安全方案根据网络中不同服务功能模块、不同安全级别及管理需求进行划分。共分未4个区块。分别是:
互联网外联区块:负责连接互联网。是对外的出口。并且会放置公共服务器,比如EMAIL、重点防护区。根据方案设计,未来的互联网双出口,分别接入到不同的ISP。
ISP接入直接连接到防火墙上,防火墙提供SSLVPN功能和正常的安全保护。
骨干网区块:
网管、安全区块:
企业专线区块:
网络终端安全
、外联区块:
① Firewall+IPS+SSLVPN
在安全体系中,设计采用双互联网接入方式。在外联区使用Firewall+IPS+SSLVPN、防毒墙、流量控制系统提供整体流量管控、防病毒和防攻击架构。
来自外部网络的数据流量,首先经过带有入侵防御功能的防火墙。传统的防火墙只能根据配置的策略来对数据包是否能通过进行判断。具体是根据在数据包中的源IP地址、目的IP地址、协议类型、源端口、目的端口这5个。
假设出现了一种新的恶意流量,这种新流量没有在防火墙上部署过,那么防火墙对其没有识别和检测的能力。因此,防火墙属于被动的安全方式。当事件产生后,通过对防火墙进行设置来解决问题。注意,问题发生后才能发现问题解决问题,已经造成了实际的损失了。
IPS(入侵保护系统)是一种主动安全产品。在IPS中存放了很多攻击签名库,签名就是某种类型攻击的特征码。当有新的攻击信息是,及时更新签名库。这样就可以识别最新的攻击信息并且对恶意流量做出动作。
IPS的签名库是根据某种攻击行为的特征码和攻击行为做出响应。如果某种攻击行为使用动态端口,那么在防火墙上使用传统的封锁端口方法没有效果。IPS就可以根据数据包行为的相关性识别出攻击行为,并且做出反映。
VPN叫做虚拟专用网络。通过在源端和VPN接入网关之间建立虚拟的点对点的隧道,并且对隧道中的数据流进行高强度加密实现了安全的远程接入。使用3DES\AES等加密方式对数据进行高响度加密,就算数据流在传输途中被截获也无法读取具体的数据内容。同时使用MD5\SHA-1等单向散列算法,在数据传输过程中,密钥对并不进行传输,在接收端,根据密钥算法对数据进散列运算对比其运算结果,来判断数据是否被修改过。如果数据被修改过,拒收数据。这样就算数据被修改过,也能识别出来。散列算法的特点是在发起端和接入网关端对数据都是进行正向算法,所以不可破解。是最安全的算法。
SSLVPN是现在最流行的VPN接入方式,其特点是不需要安装任何客户端。只要能够使用浏览器,不管在什么位置都可以通过VPN访问公司内网。
② DMZ策略:
同时在防火墙DMZ区域放置公共服务器。对DMZ中的流量进行严格的权限设定。安全级别的设定规定内部接口安全级别最高,DMZ接口的安全级别中等,外部接口的安全级别最低。根据信任关系,级别低的接口信任级别高的接口,级别高的接口不信任级别低的接口。
这样,内部到外部的数据都是允许的,外部到DMZ和内部的数据不被信任。其结果是:1、由内部或DMZ发起到外部的数据总是允许。2、外部发起的到内部的数据总是被阻止。3、外部发起到DMZ的某些数据被允许,因为在DMZ中放置的是对外的公共服务器。4、由内部或DMZ发起的到外部的数据流,其返回包被允许从外部接口进入,外部不能发起到内部或DMZ的请求。4、由内部发起到DMZ的数据流其返回包可以进入内部,由DMZ发起到内部的信息被拦截。
这样设计是因为外部可以访问DMZ。如果DMZ中的服务器被外来的黑客攻占,也只能破坏公共服务器本身系统,不能通过DMZ中的主机跳转到内部。绝对保证内网的安全。
③防毒墙:
众所周之,没有任何杀毒软件能完全阻止病毒的进入,并且现在有很多免杀工具可以欺骗杀毒软件或者杀掉杀毒软件的进程。如果遇到这样的病毒或者木马,计算机上的杀毒软件就没有用武之地了。
硬件防毒网关的好处是直接在出口上对数据进行过滤,有安全威胁的数据在网络层面被直接丢弃,不会转发到内部。只有防毒网关不能识别的极少数病毒才能进入内部。这些病毒又会遇到杀毒软件的再次查杀。这样整个网络的防毒体系就更加强壮。从多个方面保证免受病毒的入侵。
需要强调的是,计算机的杀毒软件和防毒网关应该选用不同的产品。因为不同的产品有不同的病