網絡安全系統規劃方案網絡安全系統規劃方案 杭州華三通信技術有限公司杭州華三通信技術有限公司 20072007 年年 4 4 月月 精選范本 供參考 目目 錄錄 一 一 安全系統整體規劃安全系統整體規劃 3 1 1 方案設計原則 3 1 2 安全體系模型 4 1 3 方案設計思路 5 二 二 網絡及安全現狀分析網絡及安全現狀分析 7 2 1 網絡結構分析 7 2 2 安全層次的分析模型 8 2 3 安全需求分析 9 2 3 1 網絡層 9 2 3 2 系統層 10 2 3 3 管理層 10 2 3 4 用戶層 11 2 4 安全需求總結 11 三 三 網絡安全整體解決方案 網絡安全整體解決方案 13 3 1 網絡安全總體方案 13 3 1 1 基礎設施安全部署 15 3 1 2 防火墻系統防護方案 20 3 1 3 建立內部入侵防御機制 23 3 1 4 建立入侵防御機制 25 3 1 5 建立端點準入控制系統 27 3 1 6 完善的病毒防范機制 28 3 1 7 防DOS設備安全防護方案 30 3 1 8 網絡漏洞掃描機制 30 3 1 9 建立科學的安全管理機制 33 四 四 安全方案總結安全方案總結 36 精選范本 供參考 一 一 安全系統整體規劃安全系統整體規劃 1 1 方案設計原則方案設計原則 在規劃 信息系統安全時 我們將遵循以下原則 以這些原則為基礎 提供完善 的體系化的整體網絡安全解決方案 體系化設計原則體系化設計原則 通過分析信息網絡的網絡層次關系 安全需求要素以及動態的實施過程 提出科學的安全體 系和安全模型 并根據安全體系和安全模型分析網絡中可能存在的各種安全風險 針對這些風險 以動態實施過程為基礎 提出整體網絡安全解決方案 從而最大限度地解決可能存在的安全問題 全局性 均衡性原則全局性 均衡性原則 安全解決方案的設計從全局出發 綜合考慮信息資產的價值 所面臨的安全風險 平衡兩者 之間的關系 根據信息資產價值的大小和面臨風險的大小 采取不同強度的安全措施 提供具有 最優的性能價格比的安全解決方案 可行性 可靠性原則可行性 可靠性原則 在采用全面的網絡安全措施之后 應該不會對 的網絡上的應用系統有大的影響 實現在保證網絡和應用系統正常運轉的前提下 有效的提高網絡及應用的安全強度 保證整個信 息資產的安全 可動態演進的原則可動態演進的原則 方案應該針對 制定統一技術和管理方案 采取相同的技術路線 實現統一安全 策略的制定 并能實現整個網絡從基本防御的網絡 向深度防御的網絡以及智能防御的網絡演進 形成一個閉環的動態演進網絡安全系統 精選范本 供參考 1 2 安全體系安全體系模型模型 安全方案必須架構在科學的安全體系和安全模型之上 因為安全模型是安全方案設計和分析 的基礎 只有在先進的網絡安全理論模型的基礎上 才能夠有效地實現我們在上面分析的網絡安 全系統規劃的基本原則 從而保證整個網絡安全解決方案的先進性 為了系統 科學地分析網絡安全方案涉及的各種安全問題 在大量理論分析和調查研究的基 礎上 H3C 公司提出了 i3SAFE 網絡安全模型 以此模型為基礎 可以進行整個網絡安全體系的 有效的分析與合理規劃 下面我們對此網絡安全模型進行具體的闡述和說明 i3SAFE 安全理論模型示意圖 i3SAFE 安全理論模型是一個三維立體結構 基于此三維結構安全理論模型 形成一個智能 的 intelligence 集成的 integrated 定制的 individuality 的網絡安全解決方案 真正達到 SAFE 的目的 下面是每個層次的詳細分析描述 第一維為應用層次維 這個維度實現對整個信息體系進行描述 通過這個維度 以層次化對整個信息體系 進行劃分 層次的劃分依據信息體系的建設結構 把整個信息體系劃分為網絡層 提供 信息流通的平臺 用戶層 信息應用的終端 業務層 信息應用的提供層 通過這種抽 象的層次的劃分 可以以不同的層次對象為目標 分析這些層次對不同的安全服務要素 精選范本 供參考 的需求情況 進行層次化的 有針對性的系統安全需求分析 第二維為網絡空間維 這個維度從實際的信息系統結構的組成的角度 對信息系統進行模塊化的劃分 基 本的模塊可以劃分為桌面 服務器 外網 內網等幾個模塊 這些模塊的劃分可以根據 需要進行組合或者細化 進行模塊劃分的主要目的是為前面相對抽象的安全需求分析提 供具體可實施的對象 保證整個安全措施有效可實施性 第三維為業務流程維 這個維度主要描述一個完善的網絡安全體系建設的流程 這個流程主要的參考 P2DR 模型 以我們前面進行的需求分析為基礎 制定統一的安全策略 同時通過預防 Harden 保護 Protect 檢測 Detect 響應 Respond 以及改進 Improve 形成 一個閉環的網絡安全措施流程 縱深維為安全管理維 貫穿于上述三個維度 以及各個維度內部各個層次的是安全管理 我們認為 全面 的安全管理是信息網絡安全的一個基本保證 只有通過切實的安全管理 才能夠保證各 種安全技術能夠真正起到其應有的作用 常言說 三分技術 七分管理 安全管理 是保證網絡安全的基礎 安全技術只是配合安全管理的有效的輔助措施 1 3 方案設計思路方案設計思路 通過上述三維安全理論模型 我們可以比較清晰的分析出在一個信息網絡系統中 不同系統 層次有各自的特點 對安全服務要素的不同的需求的強度 依據這些安全服務要素需求的重點不 同 基于這些層次對應的實際結構模塊 有針對性地采用一些安全技術和安全產品來實現這些安 全服務要素 這些措施形成本層次的安全防護面 不同的層次相互組合銜接 形成一個立體的網 絡安全防御體系 在下面的 信息系統安全方案設計中 我們將首先通過信息網絡的層次劃分 把 其安全系統劃分成若干個安全層次 并針對每一個安全層次 分析其業務安全需求 提出安全解 決方案 最后形成一個全面的安全解決方案 同時在方案的設計過程中 遵循我們安全理論模型 中的業務流程體系 對所采取的安全措施進行實施階段的劃分 形成一個動態的 可調整的具有 強大實施能力的整體安全解決方案 精選范本 供參考 另外 我們認為 網絡安全是一個動態的全面的有機整體 傳統的網絡安全產品單獨羅列在 網絡之上的單點防御部署方法 事實已經證明不能夠及時有效的解決網絡的威脅 網絡安全已經 進入人民戰爭階段 必須有效整合網絡中的每一個節點設備資源 通過加固 聯動 嵌入等多種 技術手段使安全因素 DNA 滲透到網絡的每一個設備中 為用戶提供一個可實現可管理的安全網 絡 借助多年的網絡產品研發經驗 H3C 已經能夠為用戶提供多種安全網絡構成產品技術 如 具有安全特征的網絡基礎設備 能夠與核心路由器 交換機聯動的安全設備 安全設備間聯動 核心交換機 路由器上的嵌入式安全模塊 智能集中策略管理中心等等 用戶可以根據網絡業務 需求選擇應用 精選范本 供參考 二 二 網絡及安全現狀分析網絡及安全現狀分析 2 1 網絡結構分析網絡結構分析 網絡為典型的二級結構 其中核心區是一臺 7505R 服務器群和 Internet 對外訪問鏈路都接 在此核心設備上 向下分為二級交換結構 用來連接內部各個網段 精選范本 供參考 2 2 2 2 安全層次的安全層次的分析模型分析模型 以前面介紹的三維安全理論模型為基礎 參照我們進行的信息網絡系統的層次劃分 我們 認為整個網絡安全系統可以劃分為以下幾個層次 分別為 1 網絡層 核心的安全需求為保證網絡數據傳輸的可靠性和安全性 防范因為物理介質 信號輻射等造成的安全風險 保證整體網絡結構的安全 保證網絡設備配置的安全 同 時提供網絡層有效的訪問控制能力 提供對網絡攻擊的實時檢測能力等 2 系統層 核心的安全需求為能夠提供機密的 可用的網絡應用服務 包括業務數據存儲 和傳輸的安全 業務訪問的身份認證及資源訪問權限分配 業務訪問的有效的記錄和審 計 以及特殊應用模式的安全風險 比如垃圾 Mail Web 攻擊等 3 管理層 嚴格規范的管理制度是保證一個復雜網絡安全運行的必要條件 通過提供安全 的 簡便的和功能豐富的統一管理平臺 創建全網統一的管理策略 及時對網絡進行監 控 分析 統計和安全機制的下發 既便于信息的及時反饋和交換 又便于全網統一的 安全管理策略的形成 4 應用層 核心的安全需求為保證用戶節點的安全需求 保證用戶操作系統平臺的安全 防范網絡防病毒的攻擊 提高用戶節點的攻擊防范和檢測能力 同時加強對用戶的網絡 應用行為管理 包括網絡接入能力以及資源訪問控制能力等 漏洞檢測漏洞檢測 入侵掃描入侵掃描 WindowsNTWindowsNT 安全設置安全設置 數據庫數據庫 安全機制安全機制 應用系統應用系統 安全機制安全機制 UNIXUNIX 安全設置安全設置 可靠性安全措施可靠性安全措施 路由認證與過濾路由認證與過濾 交換機交換機VLANVLAN技術技術 AAAAAA訪問認證訪問認證 網網絡絡層層安安全全網網絡絡層層安安全全 管管理理層層安安全全管管理理層層安安全全應應用用層層安安全全應應用用層層安安全全 系系統統層層安安全全系系統統層層安安全全 安安全全體體系系總總體體結結構構安安全全體體系系總總體體結結構構 安全管理安全管理 制度制度 計算機計算機 病毒防范病毒防范 甘甘肅肅網網通通甘甘肅肅網網通通 城城域域數數據據網網城城域域數數據據網網 VPNVPN接入技術接入技術 安全應用安全應用 平臺平臺 硬件防火墻硬件防火墻 網絡 精選范本 供參考 下面我們將通過分析在前面描述的德州環抱局的網絡及應用現狀 全面分析歸納出在不同層 次的安全需求 2 3 2 3 安全需求分析安全需求分析 2 3 1 2 3 1 網絡層網絡層 網絡層的核心的安全需求為保證網絡數據傳輸的可靠性和安全性 存在的安全風險主要包括 以下幾個方面 1 線路的物理安全以及信號輻射的風險 局域網線路采用綜合布線系統 基本不存在太大的物理安全問題 廣域通信線路的 如果是租用 ISP 供應商線路的方式 不會存在太大的安全風險 ISP 供應商已經采 取了足夠的物理保護措施以及線路冗余措施 如果是獨立進行的線路鋪設 需要采 取物理保護 有效標示等防范措施 通信線路的信號輻射風險可以采用比較有效的方式為 屏蔽式線纜 線路電磁屏蔽 或者光通信等方式 相對來說信號輻射造成的安全風險不是太大 在一般安全需求 強度的應用環境下 不需要采取太多的防范措施 2 網絡結構以及網絡數據流通模式的風險 現有主要的網絡結構為星形 樹形 環形以及網狀 隨著網絡節點間的連接密度的 增加 整個網絡提供的線路冗余能力也會增加 提供的網絡數據的流動模式會更靈 活 整個網絡可靠性和可用性也會大大的增加 的網絡結構 能夠滿足數據流動模式的需求 是一種性價比最高的連 接方式 為了保證網絡系統的可靠性 將來可以采取的有效可行的措施是加強線路 備份措施的實施 3 網絡設備安全有效配置的風險 網絡設備是網絡數據傳輸的核心 是整個網絡的基礎設施 各種網絡設備本身的安 全與可靠性以及這些設備上應用策略的安全都需要進行合理的配置才能夠保證 4 網絡攻擊行為的檢測和防范的風險 精選范本 供參考 基于網絡協議的缺陷 尤其是 TCP IP 協議的開放特性 帶來了非常大的安全風險 常見的 IP 地址竊取 IP 地址假冒 網絡端口掃描以及危害非常大的拒絕服務攻擊 DOS DDOS 等 必須能夠提供對這些攻擊行為有效的檢測和防范能力的措施 5 網絡數據傳輸的機密性和完整性的風險 網絡數據在傳輸的過程中 很可能被通過各種方式竊取 因此保證數據在傳輸的過 程中機密性 保證數據傳遞的信息不被第三方獲得 完整性 保證數據在傳遞過 程中不被人修改 是非常重要的 尤其是在傳遞的信息的價值不斷提高情況下 2 3 2 系統層系統層 1 服務器及數據存儲系統的可用性風險 業務系統的可靠性和可用性是網絡安全的一個很重要的特性 必須保證業務系統硬 件平臺 主要是大量的服務器 以及數據硬件平臺 主要是存儲系統 的可靠性 2 操作系統和網絡服務平臺的安全風險 通過對各種流行的網絡攻擊行為的分析 可以發現絕大多數的攻擊是利用各種操作 系統和一些網絡服務平臺存在的一些已公開的安全漏洞發起 因此 杜絕各種操作 系統和網絡服務平臺的已公開的安全漏洞 可以在很大程度上防范系統攻擊的發生 3 用戶對業務訪問的有效的記錄和審計 業務系統必須能夠對用戶的各種訪問行為進行詳細的記錄 以便進行事后查證 2 3 3 管理層管理層 1 用戶身份認證及資源訪問權限的控制 由于網絡中的各個應用系統上有很多信息是提供給不同權限用戶查閱的 不同級別 不同部門 不同人員能夠訪問的資源都不一樣 因此需要嚴格區分用戶的身份 設 置合理的訪問權限 保證信息可以在被有效控制下共享 2 來自不同安全域的訪問控制的風險 精選范本 供參考 網絡結構越來越復雜 接入網絡的用戶也越來越多 必須能夠在不同的網絡區域之 間采取一定的控制措施 有效控制不同的網絡區域之間的網絡通信 以此來控制網 絡元素間的互訪能力 避免網絡濫用 同時實現安全風險的有效的隔離 把安全風 險隔離在相對比較獨立以及比較小的網絡區域 3 用戶網絡訪問行為有效控制的風險 首先需要對用戶接入網絡的能力進行控制 同時需要更細粒度的訪問控制 尤其是 對 Internet 資源的訪問控制 比如應該能夠控制內部用戶訪問 Internet 的什么網站 在此基礎之上 必須能夠進行縝密的行為審計管理 2 3 4 用戶層用戶層 4 用戶操作系統平臺安全漏洞的風險 大部分的網絡攻擊行為以及網絡病毒的傳播都是由于操作系統平臺本身存在的安全 漏洞 微軟不斷發布系統補丁即是明證 因此必須有效避免系統漏洞造成的安全風 險 同時對操作系統的安全機制進行合理的配置 5 用戶主機遭受網絡病毒攻擊的風險 網絡給病毒的傳播提供了很好的路徑 網絡病毒傳播速度之快 危害之大是令人吃 驚的 特別是最近開始流行的一些蠕蟲病毒 更是防不勝防 環境下必須建設全面 的網絡防病毒系統 層層設防 逐層把關 堵住病毒傳播的各種可能途徑 6 針對用戶主機網絡攻擊的安全風險 目前 Internet 上有各種完善的網絡攻擊工具 在局域網的環境下 這種攻擊會更加 有效 針對的目標會更加明確 據統計 有 97 的攻擊是來自內部的攻擊 而且 內部攻擊成功的概率要遠遠高于來自于 Internet 的攻擊 造成的后果也嚴重的多 2 4 安全需求總結安全需求總結 通過以上分析 網絡系統最迫切需要解決的問題包括 1在網絡邊界部署防火墻系統 它可以對整個網絡進行網絡區域分割 提供基于 IP 地址 精選范本 供參考 和 TCP IP 服務端口等的訪問控制 對常見的網絡攻擊方式 如拒絕服務攻擊 ping of death land syn flooding ping flooding tear drop 端口掃描 port scanning IP 欺騙 ip spoofing IP 盜用等進行有效防護 并提供 NAT 地址轉換 流量限制 用 戶認證 IP 與 MAC 綁定等安全增強措施 2部署 IPS 入侵防御系統 及時發現并過濾來自內部和外部網絡的非法入侵和掃描 并 對所有的網絡行為進行詳細的審計 對惡意的網絡活動進行追查 對應用流量和服務 器群進行保護 3部署全網統一的防病毒系統 保護系統免受病毒威脅 4提供終端用戶行為管理工具 強制規范終端用戶行為 終端用戶安全策略集中下發 實時審計 5網絡中部署的各種安全產品不再孤立 提供多種安全產品 網絡設備聯動防御 防火墻 IPS 交換機 防病毒 身份認證 策略管理 終端用戶行為規范工具之間能夠集中聯 動 主動動態防御 6提供靈活智能的安全策略 設備集中管理中心平臺 制定符合 實際需求的 安全管理規定 精選范本 供參考 三 三 網絡安全整體解決方案 網絡安全整體解決方案 3 1 網絡安全總體方案 網絡安全總體方案 在 總體安全規劃設計中 我們將按照安全風險防護與安全投資之間的平衡原則 主要包括層次化的綜合防護原則和不同層次重點防護原則 提出以下的安全風險和防護措施 從而建立起全防御體系的信息安全框架 由此 在本期總體安全規劃建設中 應主要針對 的薄弱環節 構建完善的網絡 邊界防范措施 網絡內部入侵防御機制 完善的防病毒機制 增強的網絡抗攻擊能力以及網絡系 統漏洞安全評估分析機制等 詳細描述如下 首先 是對網絡邊界安全風險的防護首先 是對網絡邊界安全風險的防護 對于一個網絡安全域 局域網網絡內部相對來說認為是安全的 來說 其最大的安全風險則 是來自網絡邊界的威脅 其中包括非授權訪問 惡意探測和攻擊 非法掃描等 而對于 網絡來說 互聯網及相對核心網的網絡均為外網 它們的網絡邊界處存 在著內部或外部人員的非授權訪問 有意無意的掃描 探測 甚至惡意的攻擊等安全威脅 而防 火墻系統則是網絡邊界處最基本的安全防護措施 而互聯網出口更是重中之重 因此 很有必要 在互聯網出口出部署防火墻系統 建議配置兩臺高性能千兆防火墻組成雙機熱備系統 以保證網 絡高可用性 其次 是建立網絡內部入侵防御機制其次 是建立網絡內部入侵防御機制 在互聯網出口 內網出口等邊界處利用防火墻技術 經過仔細的配置 通常能夠在內外網之 間提供安全的網絡保護 降低了網絡安全風險 但是 僅僅使用防火墻 網絡安全還遠遠不夠 還需要通過對網絡入侵行為進行主動防護來加強網絡的安全性 因此 系統安全 體系必須建立一個智能化的實時攻擊識別和響應系統 管理和降低網絡安全風險 保證網絡安全 防護能力能夠不斷增強 目前網絡入侵安全問題主要采用網絡入侵監測系統和入侵防御系統等成熟產品和技術來解決 因此 需要在外網交換機 內網交換機和服務器前端等流量主通路上配置相關的千兆或百兆 IPS 精選范本 供參考 系統 負責辨別并且阻斷各種基于應用的網絡攻擊和危險應用 同時實現基于應用的網絡管理 達到網絡安全 健壯和流暢運行的最終目的 第三 建立端點準入控制系統第三 建立端點準入控制系統 網絡安全問題的解決 三分靠技術 七分靠管理 嚴格管理是 網絡用戶免受網 絡安全問題威脅的重要措施 事實上 用戶終端都缺乏有效的制度和手段管理網絡安全 網絡用 戶不及時升級系統補丁 升級病毒庫的現象普遍存在 隨意接入網絡 私設代理服務器 私自訪 問保密資源等行為在企業網中也比比皆是 管理的欠缺不僅會直接影響用戶網絡的正常運行 還 可能使機關蒙受巨大的損失 為了解決現有網絡安全管理中存在的不足 應對網絡安全威脅 網絡需要從用戶終端準入控 制入手 整合網絡接入控制與終端安全產品 通過安全客戶端 安全策略服務器 網絡設備以及 防病毒軟件產品 軟件補丁管理產品的聯動 對接入網絡的用戶終端強制實施企業安全策略 嚴 格控制終端用戶的網絡使用行為 可以加強用戶終端的主動防御能力 大幅度提高網絡安全 第四 是構建完善的病毒防范機制第四 是構建完善的病毒防范機制 對于建立完善的防病毒系統來說 同樣也是當務之急的 必須配備網絡版的防病毒系統進行 文件病毒的防護 另外 對于網絡病毒來說 如果能夠做到在網絡出口處就將其封殺 截留的話 不僅能夠降低病毒進入網絡內部所造成的安全損失風險 更重要的是防止了病毒進入內部所帶來 的帶寬阻塞或損耗 有效地保護了網絡帶寬的利用率 因此 這種前提下 可以在互聯網出口處 配置硬件病毒網關或者基于應用的入侵防御系統的方式進行解決 特別是 對于消耗網絡帶寬 造成網絡通信中斷的蠕蟲病毒是一個十分有效的措施 第五 是加強網絡的抗攻擊能力第五 是加強網絡的抗攻擊能力 拒絕服務攻擊是一種對網絡危害巨大的惡意攻擊 其中 具有代表性的攻擊手段包括 SYN flood ICMP flood UDP flood 等其原理是使用大量的偽造的連接請求報文攻擊網絡服務所在的 端口 比如 80 WEB 造成服務器的資源耗盡 系統停止響應甚至崩潰 而連接耗盡攻擊 這種攻擊則使用真實的 IP 地址 發起針對網絡服務的大量的真實連接來搶占帶寬 也可以造成 WEB Server 的資源耗盡 導致服務中止 隨著 信息化工作的深入開展 其網絡中存在著大量的網絡設備 安全設備 服 務器設備等 如何保護它們和整個網絡不受 DDOS 的攻擊則是網絡整體防范中的重點 而對付 大規模的 DDOS 攻擊的最好的方式除了及時對網絡設備 服務器設備進行漏洞掃描 升級補丁 精選范本 供參考 進行主機系統加固外 還有一種方式就是在互聯網出口或者核心服務器前端配置防 DOS 攻擊設 備 來保護內部網絡的安全 第六 建立網絡系統漏洞的評估分析機制第六 建立網絡系統漏洞的評估分析機制 最后 網絡安全的建設是一個動態的 可持續的過程 當網絡中增加了新的網絡設備 主機 系統或應用系統 能夠及時發現并迅速解決相關的安全風險和威脅 實施專門地安全服務評估掃 描工具是很有必要的 通過專業的網絡漏洞掃描系統對整個網絡中的網絡設備 信息資產 應用系統 操作系統 人員以及相關的管理制度進行評估分析 找出相關弱點 并及時提交相關解決方法 使得網絡的 安全性得到動態的 可持續的發展 保證了整個網絡的安全性 本期總體安全規劃建設完成后的效果本期總體安全規劃建設完成后的效果 通過在本期總體安全規中包括的幾個重要方面的安全防護建設 包括構建完善的網絡邊界防 范措施 網絡內部入侵防御機制 移動用戶遠程安全訪問機制 完善的防病毒機制 增強的網絡 抗攻擊能力以及網絡系統漏洞安全評估分析機制等 最終可以使 網絡初步具備較高 的抗黑客入侵能力 全面的防毒 查殺毒能力以及對整網漏洞的評估分析能力 從而建立起全防 御體系的信息安全框架 基本達到 GB 17859 中規定的二級安全防護保障能力 3 1 1 基礎設施安全部署基礎設施安全部署 3 1 1 1 分級設置用戶口令分級設置用戶口令 H3C 系列路由器 交換機的登錄口令分為 4 級 參觀級 監控級 配置級 管理級 不同 的級別所能做的操作都不相同 參觀級 網絡診斷工具命令 ping tracert 從本設備出發訪問外部設備的 命令 包括 Telnet 客戶端 SSH 客戶端 RLOGIN 等 該級別命令不允許進行配置 文件保存的操作 監控級 用于系統維護 業務故障診斷等 包括 display debugging 命令 該 級別命令不允許進行配置文件保存的操作 配置級 業務配置命令 包括路由 各個網絡層次的命令 這些用于向用戶提 供直接網絡服務 精選范本 供參考 管理級 關系到系統基本運行 系統支撐模塊的命令 這些命令對業務提供支 撐作用 包括文件系統 FTP TFTP Xmodem 下載 配置文件切換命令 電源控制 命令 背板控制命令 用戶管理命令 級別設置命令 系統內部參數設置命令 非協議 規定 非 RFC 規定 等 建議分級設置登錄口令 以便于對于不同的維護人員提供不同的口令 3 1 1 2 對任何方式的用戶登錄都進行認證對任何方式的用戶登錄都進行認證 建議對于各種登錄設備的方式 通過 TELNET CONSOLE 口 AUX 口 都進行認證 在默認的情況下 CONSOLE 口不進行認證 在使用時建議對于 CONSOLE 口登錄配置上認 證 對于安全級別一般的設備 建議認證方式采用本地認證 認證的時候要求對用戶名和密碼都 進行認證 配置密碼的時候要采用密文方式 用戶名和密碼要求足夠的強壯 對于安全級別比較高的設備 建議采用 AAA 方式到 RADIUS 或 TACACS 服務器去認證 H3C 系列路由器 交換機支持 RADIUS 和 TACACS 認證協議 3 1 1 3 對網絡上已知的病毒所使用的端口進行過濾對網絡上已知的病毒所使用的端口進行過濾 現在網絡上的很多病毒 沖擊波 振蕩波 發作時 對網絡上的主機進行掃描搜索 該攻擊 雖然不是針對設備本身 但是在攻擊過程中會涉及到發 ARP 探詢主機位置等操作 某些時候對 于網絡設備的資源消耗十分大 同時會占用大量的帶寬 對于這些常見的病毒 通過分析它們的 工作方式 可知道他們所使用的端口號 為了避免這些病毒對于設備運行的影響 建議在設備上配置 ACL 對已知的病毒所使用的 TCP UDP 端口號進行過濾 一方面保證了設備資源不被病毒消耗 另一方面阻止了病毒的傳 播 保護了網絡中的主機設備 3 1 1 4 采用網絡地址轉換技術保護內部網絡采用網絡地址轉換技術保護內部網絡 地址轉換 用來實現私有網絡地址與公有網絡地址之間的轉換 地址轉換的優點在于屏蔽了 內部網絡的實際地址 外部網絡基本上不可能穿過地址代理來直接訪問內部網絡 精選范本 供參考 通過配置 用戶可以指定能夠通過地址轉換的主機 以有效地控制內部網絡對外部網絡的訪 問 結合地址池 還可以支持多對多的地址轉換 更有效地利用用戶的合法 IP 地址資源 H3C 系列路由器可以提供靈活的內部服務器的支持 對外提供 WEB FTP SMTP 等必要的服務 而這些服務器放置在內部網絡中 既保證了安全 又可方便地進行服務器的維護 3 1 1 5 關閉危險的服務關閉危險的服務 如果在 H3C 系列路由器上不使用以下服務的時候 建議將這些服務關閉 防止那些通過這 些服務的攻擊對設備的影響 禁止 HDP Huawei Discovery Protocol 禁止其他的 TCP UDP Small 服務 路由器提供一些基于 TCP 和 UDP 協議的小服務如 echo chargen 和 discard 這些小服務很少被使用 而且容易被攻擊者利用來越過包過 濾機制 禁止 Finger NTP 服務 Finger 服務可能被攻擊者利用查找用戶和口令攻擊 NTP 不是 十分危險的 但是如果沒有一個很好的認證 則會影響路由器正確時間 導致日志和其 他任務出錯 建議禁止 HTTP 服務 路由器操作系統支持 Http 協議進行遠端配置和監視 而針對 Http 的認證就相當于在網絡上發送明文且對于 Http 沒有有效的基于挑戰或一次性的口 令保護 這使得用 Http 進行管理相當危險 禁止 BOOTp 服務 禁止 IP Source Routing 明確的禁止 IP Directed Broadcast 禁止 IP Classless 禁止 ICMP 協議的 IP Unreachables Redirects Mask Replies 如果沒必要則禁止 WINS 和 DNS 服務 禁止從網絡啟動和自動從網絡下載初始配置文件 禁止 FTP 服務 網絡上存在大量的 FTP 服務 使用不同的用戶名和密碼進行嘗試登錄 設備 一旦成功登錄 就可以對設備的文件系統操作 十分危險 精選范本 供參考 3 1 1 6 使用使用 SNMP 協議時候的安全建議協議時候的安全建議 在不使用網管的時候 建議關閉 SNMP 協議 出于 SNMPv1 v2 協議自身不安全性的考慮 建議盡量使用 SNMPv3 除非網管不支持 SNMPv3 只能用 SNMPv1 v2 在配置 SNMPv3 時 最好既鑒別又加密 以更有效地加強安全 鑒別協議可通過 MD5 或 SHA 加密協議可通過 DES 在 SNMP 服務中 提供了 ACL 過濾機制 該機制適用于 SNMPv1 v2 v3 三個版本 建議通 過訪問控制列表來限制 SNMP 的客戶端 SNMP 服務還提供了視圖控制 可用于 SNMPv1 v2 v3 建議使用視圖來限制用戶的訪問權 限 在配置 SNMPv1 v2 的 community 名字時 建議避免使用 public private 這樣公用的名字 并且在配置 community 時 將 RO 和 RW 的 community 分開 不要配置成相同的名字 如果不 需要 RW 的權限 則建議不要配置 RW 的 community 3 1 1 7 保持系統日志的打開保持系統日志的打開 H3C 系列路由器 交換機的系統日志會記錄設備的運行信息 維護人員做了哪些操作 執 行了哪些命令 系統日志建議一直打開 以便于網絡異常的時候 查找相關的記錄 并能提供以 下幾種系統信息的記錄功能 access list 的 log 功能 在配置 access list 時加入 log 關鍵字 可以在交換機處理相應的 報文時 記錄報文的關鍵信息 關鍵事件的日志記錄 對于如接口的 UP DOWN 以及用戶登錄成功 失敗等信息可以 作記錄 Debug 信息 用來對網絡運行出現的問題進行分析 3 1 1 8 注意檢查設備的系統時間是否準確注意檢查設備的系統時間是否準確 為了保證日志時間的準確性 建議定期 每月一次 檢查設備的系統時間是否準確 和實際 時間誤差不超過 1 分鐘 精選范本 供參考 3 1 1 9 運行路由協議的時候 增加對路由協議的加密認證運行路由協議的時候 增加對路由協議的加密認證 現網上已經發現有對 BGP 的攻擊 導致 BGP 鏈路異常斷鏈 建議對于現在網絡上使用的 ISIS BGP 路由協議 對報文進行加密認證 由于采用明文驗證的時候 會在網絡上傳播驗證密碼 并不安全 所以建議使用 MD5 算法 對于密鑰的設置要求足夠的強壯 在增加了對于路由協議報文的加密認證會略微增加設備的 CPU 利用率 由于對于路由協議 報文的處理在主控板 而對于數據的轉發是由接口板直接處理 所以路由協議增加了對報文的加 密驗證 不會影響設備的轉發 3 1 1 10 設備上開啟設備上開啟 URPF 功能功能 URPF 通過獲取報文的源地址和入接口 以源地址為目的地址 在轉發表中查找源地址對應 的接口是否與入接口匹配 如果不匹配 認為源地址是偽裝的 丟棄該報文 通過這種方式 URPF 就能有效地防范網絡中通過修改源地址而進行的惡意攻擊行為的發生 通過 URPF 可以 防止基于源地址欺騙的網絡攻擊行為 H3C 系列核心路由器的各種板卡均支持 URPF 功能 并支持 strict loose 和 ACL 三種模式 3 1 1 11 ICMP 協議的安全配置協議的安全配置 ICMP 協議很多具有一些安全隱患 因此在骨干網絡上 如果沒有特別需要建議禁止一些 ICMP 協議報文 ECHO Redirect Mask request 同時禁止 TraceRoute 命令的探測 對于流出 的 ICMP 流 可以允許 ECHO Parameter Problem Packet too big 還有 TraceRoute 命令的使用 這些的措施通過 ACL 功能都可以實現 H3C 系列核心路由器的 ACL 命令中包含 icmp type 安全 選項 3 1 1 12 DDOS 攻擊的防范攻擊的防范 DDoS 分布式拒絕服務 它的英文全稱為 Distributed Denial of Service 它是一種基于 DoS 的特殊形式的拒絕服務攻擊 是一種分布 協作的大規模攻擊方式 主要瞄準比較大的站點 比 精選范本 供參考 如商業公司 搜索引擎和政府部門的站點 典型攻擊包括 Smurf TCP SYN LAND C 等攻擊類 型 對于這些攻擊需要在發現問題后接入層面實施 先探測到 DDOS 攻擊源和攻擊使用的端口 這個功能可以通過端口鏡像 將數據流鏡像到專門的設備上進行分析 以獲取攻擊源和攻擊使 用的端口 然后對攻擊源的通信進行限制 這類防范手段也可以通過 ACL 來實現 H3C 系列核心路由器全面支持 ACL 包過濾功能 可以雙向配置 32K 條 ACL 同時 由于 ACL 完全由硬件實現 啟動 ACL 后對于設備轉發性能不會造成影響 3 1 1 13 端口驗證技術端口驗證技術 基于端口的驗證 是由 IEEE 進行標準化的驗證方法 標準號是 802 1x IEEE 802 1x 定義 了基于端口的網絡接入控制協議 port based net access control 用于交換式的以太網環境 要求 與客戶和與其直接相連的設備都實現 802 1x 當應用于共享式以太網環境時 應對用戶名 密碼 等關鍵信息進行加密傳輸 在運營過程中 設備也可以隨時要求客戶重新進行驗證 該協議適用 于接入設備與接入端口間點到點的連接方式 其中端口可以是物理端口 也可以是邏輯端口 主 要功能是限制未授權設備 如用戶計算機 通過以太網交換機的公共端口訪問局域網 3 1 1 14 防地址假冒技術防地址假冒技術 為了加強接入用戶的控制和限制 H3C 系列以太網交換機支持 4 種地址安全技術 支持設置端口的學習狀態 關閉端口的地址學習功能后 該端口上只能通過認識的 MAC 地址 一般是用戶手工配置的靜態 MAC 地址 來自其它陌生 MAC 地址的報 文均被丟棄 支持設置端口最多學習到的 MAC 地址個數 開啟端口的地址學習功能后 可以配置允 許學習的 MAC 地址個數范圍在 1 65535 之間 當端口已經學習到允許的 MAC 地址 個數后 將停止學習新 MAC 地址 直到部分 MAC 地址老化后 才開始學習新 MAC 地址 支持端口和 MAC 地址綁定 通過在端口上配置靜態 MAC 地址 并禁止該端口進行地 址學習 就限定了在該端口上允許通過的 MAC 地址 來自其它 MAC 地址的報文均被 丟棄 支持廣播報文轉發開關 可在端口上配置 禁止目的地址為廣播地址的報文從 精選范本 供參考 該端口轉發 以防止 Smurf 攻擊 3 1 2 防火墻系統防護方案防火墻系統防護方案 網絡邊界安全一般是采用防火墻等成熟產品和技術實現網絡的訪問控制 采用安全檢測手段 防范非法用戶的主動入侵 在防火墻上通過設置安全策略增加對服務器的保護 同時必要時還可以啟用防火墻的 NAT 功能隱藏網絡拓撲結構 使用日志來對非法訪問進行監控 使用防火墻與交換機 入侵防御聯動 功能形成動態 自適應的安全防護平臺 下面將從幾個方面介紹防火墻在 網絡的設 計方案 3 1 2 1 防火墻對服務器群的保護防火墻對服務器群的保護 由于各種應用服務器等公開服務器屬于對外提供公開服務的主機系統 因此對于這些公開服 務器的保護也是十分必要的 具體可以利用防火墻劃分 DMZ 區 將公開服務器連接在千兆防火 墻的 DMZ 區上 對于防火墻系統而言 其接口分別可以自行定義為 DMZ 安全服務器網絡 區 內網區 外網區共三個區域 DMZ 安全服務器網絡 區是為適應越來越多的用戶向 Internet 上提供服 務時對服務器保護的需要 防火墻采用特別的策略對用戶的公開服務器實施保護 它利用獨立網 絡接口連接公開服務器網絡 公開服務器網絡既是內部網的一部份 又與內部網物理隔離 既實 現了對公開服務器自身的安全保護 同時也避免了公開服務器對內部網的安全威脅 3 1 2 2 防火墻對核心內部業務網的保護防火墻對核心內部業務網的保護 對于核心內部業務網部分 在實施策略時 也可以配置防火墻工作與透明模式下 并設置只 允許核心內部網能夠訪問外界有限分配資源 而不允許外界網絡訪問核心內部網信息資源或只允 許訪問有限資源 也可以在防火墻上配置 NAT 或 MAP 策略 能夠更好地隱藏內部網絡地址結 構等信息 從而更好地保護核心內部網的系統安全 精選范本 供參考 3 1 2 3 防火墻對網絡邊界的保護防火墻對網絡邊界的保護 對于 網絡各個網絡邊界而言 每個單獨地網絡系統都是一個獨立的網絡安全區 域 因此在網絡邊界處配置一臺高性能防火墻系統 制定安全的訪問策略 不僅可以有效地保護 內部網絡中的系統和數據安全 還可以防止各網絡之間有意無意地探測和攻擊行為 防火墻部署網絡邊界 以網關的形式出現 部署在網絡邊界的防火墻 同時承擔著內網 外 網 DMZ 區域的安全責任 針對不同的安全區域 其受信程度不一樣 安全策略也不一樣 防火墻放置在內網和外網之間 實現了內網和外網的安全隔離 防火墻上劃分DMZ區 隔離服務器群 保護服務器免受來自公網和內網的攻擊 在防火墻上配置安全訪問策略 設置訪問權限 保護內部網絡的安全 當客戶網絡有多個出口 并要求分別按業務 人員實現分類訪問時 在防火墻上啟用策 略路由功能 保證實現不同業務 人員定向不同ISP的需求 防火墻具有對業務的良好支持 作為NAT ALG或者ASPF過濾 都能夠滿足正常業務的 運行 防火墻易于管理 讓管理員舒心 內網內網 內網用戶 內網用戶 內網用戶 防火墻防火墻 服務器群 DMZ 區 接入網 1 接入網 2 精選范本 供參考 3 1 2 4 數據中心的安全防護數據中心的安全防護 在防火墻上除了通過設置安全策略來增加對服務器或內部網的保護以外 同時還可以啟用防 火墻日志服務器記錄功能來記錄所有的訪問情況 對非法訪問進行監控 還可以使用防火墻與將 要實施的入侵防御系統之間的實時聯動功能 形成動態 完整的 安全的防護體系 數據中心是安全的重點 性能 可靠性以及和 IPS 入侵防御的聯動都必須有良好的表現 防 火墻具有優異的性能 可靠性方面表現不凡 結合入侵防御系統 可以實現高層次業務的數據安 全 本組網方案中 同時我們充分考慮到管理的方便性 如果需要在遠程通過 internet 接入的方 法對內部網絡進行管理 可以結合 VPN 業務 既保證了安全 也實現了管理的方便 2臺熱備的防火墻將數據中心內部服務器和數據中心外部的Intranet隔離起來 有效的保護了 數據中心內部服務器 防火墻可以根據VLAN劃分虛擬安全區 從而可以方便地把不同業務服務器劃分到不同安全 區里 實現了數據中心內部的不同業務區的隔離和訪問控制 管理員通過IPSec VPN保證管理流量的私密性和完整性 專門部署一個VPN網關 管理員終 端設備上安裝安全客戶端 結合證書認證和USB key 保證管理員的身份不被冒充 從而實 現方便的管理 防火墻和IPS入侵防御系統聯合使用 檢測從二層到七層的全部協議數據包 保證任何形式 和類型的攻擊都不會被漏掉 有效地保護了網絡應用 精選范本 供參考 管理網段管理網段 運營系統運營系統 物流系統物流系統 信息系統信息系統 網管服務器網管服務器安全策略服務器安全策略服務器 日志服務器日志服務器 VPN 用戶業務流量用戶業務流量 管理員管理流量管理員管理流量 普通用戶普通用戶 防火墻提供虛擬安全分區 防火墻提供虛擬安全分區 保護業務安全保護業務安全 防火墻防火墻 2 通過將防火墻部署在數據中心 不但保護了數據中心服務器的安全 同時方便管理 保證了 管理員的快速響應成為可能 從多個方面實現了網絡的安全 3 1 3 建立內部入侵防御機制建立內部入侵防御機制 雖然 網絡中已部署了防火墻 但是 在網絡的運行維護中 IT 部門仍然發現網絡的帶寬 利用率居高不下 而應用系統的響應速度越來越慢 只好提升帶寬并升級服務器嘍 可過不了多 久問題再次出現 而實際上 業務增長速度并沒有這樣快 業務流量占用帶寬不會達到這樣的數 量 這是目前各大公司網絡都可能存在的問題 并不是當初網絡設計不周 而是自 2003 年以來 蠕蟲 點到點 入侵技術日益滋長并演變到應用層面 L7 的結果 而這些有害代碼總是偽裝 成客戶正常業務進行傳播 目前部署的防火墻其軟硬件設計當初僅按照其工作在 L2 L4 時的情 況考慮 不具有對數據流進行綜合 深度監測的能力 自然就無法有效識別偽裝成正常業務的非 法流量 結果蠕蟲 攻擊 間諜軟件 點到點應用等非法流量輕而易舉地通過防火墻開放的端口 進出網絡 如下圖所示 管理員客戶端管理員客戶端 精選范本 供參考 圖 蠕蟲 P2P 等非法流量穿透防火墻 這就是為何用戶在部署了防火墻后 仍然遭受入侵以及蠕蟲 病毒 拒絕服務攻擊的困擾 事實上 員工的 PC 都既需要訪問 Internet 又必須訪問公司的業務系統 所以存在被病毒感染和 黑客控制的可能 蠕蟲可以穿透防火墻并迅速傳播 導致主機癱瘓 吞噬寶貴網絡帶寬 P2P 等 應用 利用 80 端口進行協商 然后利用開放的 UDP 進行大量文件共享 導致機密泄漏和網絡 擁塞 對系統的危害極大 為了能夠讓防火墻具備深入的監測能力 許多廠商都基于現有的平臺增加了 L4 L7 分析能 力 但問題是僅僅將上千個基于簡單模式匹配過濾器同時打開來完成對數據包的 L4 L7 深入檢 測時 防火墻的在數據流量較大時會迅速崩潰 或雖可以勉強工作 卻引入很大的處理延時 造 成業務系統性能的嚴重下降 所以基于現有防火墻體系結構增加深入包檢測功能的方案存在嚴重 的性能問題 3 1 3 1 入侵防御系統對重要服務器和內部網的部署保護入侵防御系統對重要服務器和內部網的部署保護 入侵防御技術是主動保護自己免受攻擊的一種網絡安全技術 作為防火墻的合理補充 入侵 防御技術能夠幫助系統對付網絡攻擊 擴展了系統管理員的安全管理能力 包括安全審計 監視 攻擊識別和響應 提高了信息安全基礎結構的完整性 它從計算機網絡系統中的若干關鍵點收 集信息 并分析這些信息 HTTP 80 MS RPC FTP 21 SMTP 25 BackOrifice 31337 精選范本 供參考 因此 對于重要的服務器系統和內部核心網絡 他們都連接在核心交換上 因此 在實施 入侵防御策略時 可以在入侵防御系統上對其設置完善的入侵防御規則 如 DoS 代碼攻擊 病毒 后門黑客攻擊或入侵的方法以及各種攻擊手段 如掃描 嗅探 后門 惡意代碼 拒絕 服務 分布式拒絕服務 欺騙等各種攻擊規則 并使入侵防御系統監聽口工作在混雜模式 能 實時在線的抓取網絡上的數據包 實時的監控網絡連接 對非法的數據包能產生報警和日志記 錄 必要時可以加以阻斷 3 1 4 建立入侵防御機制建立入侵防御機制 防火墻和入侵檢測系統 IDS 已經被普遍接受 但還不足以保護網絡不受攻擊 防火墻不能 充分地分析應用層協議數據中的攻擊信號 入侵檢測系統也不會采取行動阻擋檢測到的攻擊 傳 統的解決方案就是為一臺一臺的服務器和工作站打軟件補丁 這是一個很費時間和效率很低的過 程 對于一些組織來說 打軟件補丁的挑戰來自對每個補丁的測試 以了解它如何影響關鍵系統 的性能 其他組織發現的最大挑戰是如何在不同用戶環境的條件下將補丁分發到每個單獨的終端 用戶 并說服他們安裝這些補丁 總的來說 打補丁過程需要花費時間 此時 主機不受保護 且易于暴露弱點 因此 用戶需要一個全新的安全解決方案 入侵防御系統 IPS 填補了這一空白 并且變革了管理員構建網絡防御的方式 IPS 在網 絡線內進行操作 阻擋惡意流量 而不僅僅是被動地檢測 系統分析活動連接并在傳輸過程中截 斷攻擊 所有惡意攻擊流量不會達到目的地 該設備通常沒有 MAC 地址或 IP 地址 因此它 可以被認為是 線路的一部分 合法的流量以網速和以微秒級的延時無障礙通過系統 IPS 自動在缺省配置中設置成百上千個過濾用于阻擋各類攻擊 這些過濾器時刻識別所有情 況下存在于所有網絡環境中的已知的惡意流量 管理員只需要打開系統 通過管理接口配置用戶 名和密碼 并插入數據纜線 這時 系統開始運行并阻擋攻擊 保護易受攻擊的系統不受危害 沒有必要在 UnityOne 提供服務之前進行配置 關聯 集成或調諧任何參數的工作 IPS 的最 主要的價值是可以提供 虛擬補丁 的功能 使主機沒有應用補丁程序時或網絡運行存在風險協 議時 它能保護易受攻擊的系統不受攻擊 利用一個或一組 IPS 過濾器 可有效地阻擋所有企 圖探索特殊弱點的嘗試 這意味著不同的攻擊者可以來去自如 開發的攻擊代碼可以完全不同 攻擊者可以使用他們多種形態的 shellcode 發生器或