1、3.1網絡安全解決方案安全建設目標總體安全性：全面有效的保護企業網絡系統的安全，保護計算機硬件、 軟件、數據、網絡不因偶然的或惡意破壞的原因遭到更改、泄漏和丟失， 確保數據的完整性，大幅度地提高系統的安全性和保密性。可控與可管理性：可自動和手動分析網絡安全狀況，適時檢測并及時發現 記錄潛在的安全威脅，制定安全策略，及時報警、阻斷不良攻擊行為， 具有很強的可控性和可管理性。系統可用性：保持網絡原有的性能特點，即對網絡的協議和傳輸具有很 好的透明性；盡量不影響原網絡拓撲結構，便于系統及系統功能的擴展； 易于操作、維護，并便于自動化管理，而不增加或少增加附加操作.可擴展特性：滿足成都酒店的業務需求和

2、企業可持續發展的要求，具有很強的可擴展性和柔韌性；安全保密系統具有較好的性能價格比，一次性 投資，可以長期使用。合法性：安全與密碼產品具有合法性，并便于安全管理單位與密碼管理 單位的檢查與監督.安全建設手段防火墻作為一種有效的保護計算機網絡安全技術性措施，防火墻是一種隔離控制 技術，在某個機構的網絡和不安全的網絡（如Internet）之間設置屏障，阻止對信息資源的非法訪問，也可以使用防火墻阻止專利信息從企業的網絡上被非法輸 出。防火墻是一種被動防衛技術，它假設了網絡的邊界和服務，因此，防火墻最 適合于部署在相對獨立的企業內部網絡與公網 （主要為Internet）之間。作為對企業內網的安全性保護

3、設備/節點，防火墻已經得到廣泛的應用。通常企 業為了維護內部的信息系統安全，在企業內網和Internet間安裝防火墻。企業信息系統對于來自Internet的訪問，采取有選擇的接收方式。它可以允許或禁止一類 具體的IP地址訪問，也可以接收或拒絕 TCP/IP上的某一類具體的應用。防火墻是企業網安全問題的流行方案，即把公共數據和服務置于防火墻外，使其對防火墻內部資源的訪問受到限制。作為一種網絡安全技術，防火墻具有簡 單實用的特點，并且透明度高，可以在不修改原有網絡應用系統的情況下達到一 定的安全要求。加密與數字簽名數據加密技術從技術上的實現分為在軟件和硬件兩方面。按作用不同，數據加密技術主要分為數

4、據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術這 四種.在網絡應用中一般米取兩種加密形式：對稱密鑰和非對稱/公開密鑰，米用何 種加密算法則要結合具體應用環境和系統，而不能簡單地根據其加密強度來作出 判斷。因為除了加密算法本身之外，密鑰合理分配、加密效率與現有系統的結合 性，以及投入產出分析都應在實際環境中具體考慮。對于對稱密鑰加密.其常見加密標準為DES等,當使用DES時,用戶和接受方 采用64位密鑰對報文加密和解密，當對安全性有特殊要求時，則要采取IDEA和三重DES等作為傳統企業網絡廣泛應用的加密技術，秘密密鑰效率高，它采 用KDC來集中管理和分發密鑰并以此為基礎驗證身份，但是并不適合

5、Internet環境。在Internet中使用更多的是公鑰系統。即公開密鑰加密，它的加密密鑰和解 密密鑰是不同的。一般對于每個用戶生成一對密鑰后，將其中一個作為公鑰公開， 另外一個則作為私鑰由屬主保存。常用的公鑰加密算法是 RSA算法，加密強度 很高。具體作法是將數字簽名和數據加密結合起來。發送方在發送數據時必須加 上數據簽名，做法是用自己的私鑰加密一段與發送數據相關的數據作為數字簽名,然后與發送數據一起用接收方密鑰加密。當這些密文被接收方收到后，接收方用自己的私鑰將密文解密得到發送的數據和發送方的數字簽名，然后，用發布方公布的公鑰對數字簽名進行解密，如果成功，則確定是由發送方發出的.數字簽名

6、每次還與被傳送的數據和時間等因素有關.由于加密強度高，而且并不要求通信 雙方事先要建立某種信任關系或共享某種秘密，因此十分適合Internet網上使用。用戶認證僅僅加密是不夠的，全面的保護還要求認證和識別。它確保參與加密對話的 人確實是其本人。用戶認證可以依靠許多機制來實現，從安全卡到身份鑒別.前一個安全保護能確保只有經過授權的用戶才能通過可靠終端進行公網/私網的交立式訪問；后者則提供一種方法，用它生成某種形式的口令或數字簽名，被訪問的一方（通常是準入設備）據此來認證來自訪問者的請求。用戶管理的口令通常是前一種安全措施；硬件/軟件解決方案則不僅正逐步成為數字身份認證的手段， 同時它也可以被可信

7、第三方用來完成用戶數字身份（ID）的相關確認.網絡防病毒隨著Internet開拓性的發展，病毒可能為網絡帶來災難性后果。 Internet帶 來了兩種不同的安全威脅。一種威脅是來自文件下載.這些被瀏覽的或是通過FTP 下載的文件中可能存在病毒。而共享軟件（public shareware和各種可執行的文 件，如格式化的介紹性文件（formatted presentation）已經成為病毒傳播的重要途 徑。并且,Internet上還出現了 Java和Active X形式的惡意小程序。另一種主要威脅來自于電子郵件。大多數的Internet郵件系統提供了在網絡間傳送附帶格式化文檔郵件的功能。 只要簡

8、單地敲敲鍵盤，郵件就可以發給一個 或一組收信人。因此，受病毒感染的文檔或文件就可能通過網關和郵件服務器涌 入企業網絡。另一種網絡化趨勢也加重了病毒的威脅。這種趨勢是向群件應用程序發展 的，如 Lotus Notes, Microsoft Exchange,Novell Groupwise 和 Netscape Colabra 由于群件的核心是在網絡內共享文檔，那么這就為病毒的發展提供了豐富的基礎。而群件不僅僅是共享文檔的儲藏室，它還提供合作功能 ，能夠在相關工作組之間 同步傳輸文檔。這就大大提高了病毒傳播的機會。因此群件系統的安全保護顯得 格外重要。在企業中，重要的數據往往保存在位于整個網絡中

9、心結點的文件服務器上這也是病毒攻擊的首要目標。為保護這些數據，網絡管理員必須在網絡的多個層 次上設置全面保護措施。有效的多層保護措施必須具備四個特性：?集成性:所有的保護措施必須在邏輯上是統一的和相互配合的 .?單點管理:作為一個集成的解決方案，最基本的一條是必須有一個安全管 理的聚焦點。?自動化：系統需要有能自動更新病毒特征碼數據庫和其它相關信息的功能。?多層分布:這個解決方案應該是多層次的，適當的防毒部件在適當的位置 分發出去，最大限度地發揮作用，而又不會影響網絡負擔。一般情況下， 防毒軟件至少應該安裝在服務器工作站和郵件系統上 .解決方案計算機網絡是一個分層次的拓撲結構，因此網絡的安全防

10、護也需采用分層 次的拓撲防護措施。即一個完整的網絡信息安全解決方案應該覆蓋網絡的各個層 次，并且與安全管理相結合。以該思想為出發點，提出如下的“網絡信息安全解決方案網絡安全建設總體原則?滿足Intranet網的分級管理需求根據客戶網絡規模大、用戶眾多的特點，對Intranet信息安全實施分級管理的解決方案，將對它的控制點分為三級實施安全管理。第一級：數據中心級網絡，主要實現內外網隔離；內外網用戶的訪問控制； 內部網的監控；內部網傳輸數據的備份與稽查。第二級：部門級，主要實現不同用戶分配的虛擬網絡間的訪問控制；同用戶虛擬網絡不同地點問的訪問控制；以及用戶虛擬網絡內部的安全審計。第三級：終端/個人

11、用戶級，實現用戶內部主機的訪問控制；數據庫及終端信 息資源的安全保護。?需求、風險、代價平衡的原則對任何網絡，絕對安全難以達到，也不一定是必要的。對一個網絡進行實際 額研究（包括任務、性能、結構、可靠性、可維護性等），并對網絡面臨的威脅 及可能承擔的風險進行定性與定量相結合的分析， 然后制定規范和措施，確定本 系統的安全策略。?綜合性、整體性原則應用系統工程的觀點、方法，分析網絡的安全及具體措施。安全措施主要 包括:行政法律手段、各種管理制度（人員審查、工作流程、維護保障制度等）以及 專業措施（識別技術、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產 品等）。一個較好的安全措施往往是多種方

12、法適當綜合的應用結果。一個計算機 網絡，包括個人、設備、軟件、數據等。這些環節在網絡中的地位和影響作用， 也只有從系統綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計 算機網絡安全應遵循整體安全性原則，根據規定的安全策略制定出合理的網絡安 全體系結構。?可用性原則安全措施需要人為去完成，如果措施過于復雜，對人的要求過高，本身就降 低了安全性，如密鑰管理就有類似的問題.其次，措施的采用不能影響系統的正 常運行，如不采用或少采用極大地降低運行速度的密碼算法。?分步實施原則：分級管理分步實施由于網絡系統及其應用擴展范圍廣闊，隨著網絡規模的擴大及應用的增加，網絡脆弱性也會不斷增加.一勞永逸地

13、解決網絡安全問題是不現實的。同時由于 實施信息安全措施需相當的費用支出。因此分步實施，即可滿足網絡系統及信息安全的基本需求，亦可節省費用開支。安全防護手段與安全區域規劃由于網絡安全的目的是保障用戶的重要信息的安全，因此限制直接接觸十分重要。如果用戶的網絡連入Internet,那么最好盡可能地把與Internet連接的機器 與網絡的其余部分隔離開來。實現這個目標的最安全的方法是將Internet服務器與網絡劃分不同的領域，建立不同的安全策略。如此一來，如果有人闖入隔離開 的機器，那么網絡的其余部分不會受到牽連.安全區域的規劃核心點是訪問控制，訪問控制是網絡安全防范和保護的主 要策略，它的主要任務

14、是保證網絡資源不被非法使用和非常訪問.它也是維護網絡 系統安全、保護網絡資源的重要手段。各種安全策略必須相互配合才能真正起到 保護作用，但訪問控制可以說是保證網絡安全最重要的核心策略之一.網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和 用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、 文件和其他資源.可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。用 戶對網絡資源的訪問權限可以用一個訪問控制表來描述 .防火墻是最主流也是最重要的安全產品，是邊界安全解決方案的核心 .它可 以對整個網絡進行區域分割，提供基于 IP地址和TCP/IP服務端口等的訪問控 制

15、;對常見的網絡攻擊，如拒絕服務攻擊、端口掃描、IP欺騙、IP盜用等進行有 效防護；并提供NAT地址轉換、流量限制、用戶認證、IP與MAC綁定、智能 蠕蟲防護等安全增強措施。? ARP攻擊防護ARP欺騙：在同一個IP子網內，數據包根據目標機器的 MAC地址進行尋 址，而目標機器的MAC地址是通過ARP協議由目標機器的IP地址獲得的。每 臺主機（包括網關）都有一個ARP緩存表，在正常情況下這個緩存表能夠有效維 護IP地址對MAC地址的一對一對應關系。但是在ARP緩存表的實現機制和ARP 請求應答的機制中存在一些不完善的地方，容易造成ARP欺騙的情況發生. 對于ARP欺騙攻擊來說，單獨針對任何一臺設

16、備做防護配置都是微薄的，解決 ARP欺騙需要對整體網絡的進行有效的規劃，在每一臺網絡設備，每一臺終端 設備上做有效地防護措施：把網絡劃分多個網段，ARP詢問不會超出你的 VLAN ,超出VLAN的IP 和MAC地址表由網關來控制.這樣危急的范圍會變小，易于故障處理在每一臺網絡設備/終端設備上做IP和MAC靜態綁定，在網內把主機和網 關都做IP和MAC綁定.欺騙是通過ARP的動態實時的規則欺騙內網機器， 所以 我們把ARP全部設置為靜態可以解決對內網 PC的欺騙，同時在網關也要進行 IP和MAC的靜態綁定，這樣雙向綁定才比較保險.通過對防火墻進行設置也是防御 ARP攻擊的好方法，通過防火墻的 A

17、RP 嚴格限制可以使網關、服務器等重要的設備地址不被冒用，能夠有效地解決針對網關地址欺騙等的問題.在接入層/匯聚層的交換機等設備上啟動 ARP防護也是行之有效的辦法，包 括使用DHCP認證、ARP-Guard等安全功能，能夠限制ARP包在網絡間傳輸，有 效過濾虛假ARP信息，保持網絡的真實性。? 靜態/動態VPN接入基于VPN隧道的加密數據傳輸能夠提供安全可靠的網絡互聯，在無法保證電路安全、信道安全、網絡安全、應用安全的情況下，或者也不相信其他安全措施的情況下，一種行之有效的辦法就是加密，而加密就是必須考慮加密算法和密 碼的問題。考慮到我國對密碼管理的體制情況 ，密碼是一個單獨的領域。對防火

18、墻而言，是否防火墻支持對其他密碼體制的支持，支持提供 API來調用第三方 的加密算法和密碼，非常重要.對于VPN業務，企業比較關心的一個問題能是傳輸的安全性。在這個問題 上，BMC的企業級防火墻能夠提供全面的安全性保證。企業級防火墻可以應用 戶的要求，在VPN用戶撥入時對他的身份進行驗證，然后才建立隧道，將用戶 交由VPN服務器進行再次驗證。其次,企業級防火墻對用戶數據包進行完整轉發， 并不讀取數據包的內容。因此，用戶可以對它的數據進行加密， 而不會影響防火 墻本身的工作，而且此時即使是防火墻本身也無法讀取用戶數據.最后，企業級防 火墻支持自身到VPN服務器間隧道的數據加密。這樣，即使撥入用戶不對其數 據加密，Internet上的其他用戶也無法讀取 VPN用戶的私有數據.方案描述：通過在650AE交換機上安裝防火墻模塊實現防火墻的集成.根據“橫向隔 離、縱向加密”的理念，對酒店網絡實行安全區域劃分，包括實驗室、培訓教室、 辦公室等接入層網絡定義為同級別、 同安全等級的單獨區域、即為橫向，要求做 到網間隔離，