网络安全整体解决方案


www.yssec.com hotline:4008831336 网络安全整体解决方案 由于企业网络结构越来越复杂、应用越来越多,引发的网络安全和网络管理问题越来越 多,使得日益依赖网络来开展业务的企业不能高效地顺利地运作。构建一个安全的、稳定的、 健壮的网络成为企业正常高效运作的基础设施。 全面的网络安全解决方案,包括网络边界安全、远程安全访问、内网安全、服务器区域 安全。由于用户的网络建设可能处于不同阶段,网络安全关注点不同,在用户的网络建设、 运维过程中,相应的网络安全要素可以逐步地加入到网络中,从而构建一个完善的网络安全 环境。 www.yssec.com hotline:4008831336 1、 网络边界安全 - 基础安全设备防火墙 一.防火墙的基本功能 ⑴ 访问控制 防火墙将网络划分为可信度不同的 2 个或多个区域,常见的安全区域划分为内网(可 信)、外网(不可信),防火墙使用基于数据连接状态的检测技术,实现从区域到区域之间的 方向性的访问控制;防火墙控制访问的常用元素包括源地址、目的地址、源端口、服务目的 端口、时间等,通过这些元素的组合,实现用户的访问控制需要; ⑵ 网络保护 防火墙识别 TCP/IP 数据包包头,可以辨别数据包头的非正常数据包,拒绝非法数据的 安全威胁;防火墙通过统计基于 IP 地址的网络的连接状态的数量,从而确定异常的连接。 引发这种异常连接可能是 DOS、DDos 攻击、P2P 的网络滥用,防火墙使用连接限制、SYS cookie 代理等技术缓解和消除这种网络威胁; ⑶ 工作模式:路由、透明 防火墙可以工作在透明或路由模式下,防火墙工作在透明模式下时,可以不改变用户 的网络拓扑结构而透明地串联到用户既有的网络中; 防火墙工作在路由模式下时,可以代替路由器的功能。根据不同防火墙路由功能的区 别,防火墙可以实现静态路由、动态路由,支持策略路由、链路备份、链路负载均衡。在 2 个出口的情况下,防火墙路由功能可以处理以下的情况: z 策略路由:可以指定内网的机器从那条链路作为网络出口;2 条链路均可使用; z 链路备份:2 条链路只有一条在使用,另一条做热备份。当使用的链路出故障时,备份 的起作用; z 链路负载均衡:内网访问外网时,由防火墙根据链路的带宽等状况动态指定出口的链 路; 二、UTM 统一威胁管理设备 在防火墙的功能技术上,UTM 设备增加了应用层的一些防护功能,包括入侵检测、防 病毒、反垃圾邮件、Web 过滤功能;UTM 丰富了防火墙的安全防护功能,满足更多不同用 户的安全需求。由于处理应用层的数据需要强大的处理能力,UTM 产品非常适合在中小网 络中应用。 三、防火墙、UTM 应用功能总结 1、 网络层的安全防护 2、 访问控制 3、 VPN 功能 4、 路由功能 5、 一定程度的网络带宽管理 6、 UTM 统一威胁管理设备在防火墙的基础功能上,增加了一些应用层的安全处理能 力。 www.yssec.com hotline:4008831336 2、 服务器安全防护 防火墙+IDP 一.网络威胁现状 现在的网络安全威胁趋向于混合型网络威胁,即不仅来自网络层的威胁,更多的 来自应用层的威胁,网络蠕虫、木马、钓鱼网站、后门、僵尸网络是互相结合、相互转 换的。例如一个用户不慎访问了一个含有病毒的网站,用户的 PC 就可能被植入木马或 后门,而成为僵尸网络的成员,成为被入侵者控制的傀儡主机。 对于服务器区的服务器容易受到外来的主动的网络入侵、僵尸网络的 Dos、DDos 攻击;对于用户区的用户,由于 PC 主动发起对互联网服务器的访问,由于这些服务器 可能携带木马、病毒、等,用户的 PC 容易受到病毒、钓鱼网站的威胁。 二.应对网络威胁的解决方法 ⑴ 防火墙针对网络层威胁的处理 防火墙识别 TCP/IP 数据包包头,可以辨别数据包头的非正常数据包,拒绝非法数据 的安全威胁;防火墙通过统计基于每个 IP 地址的网络的连接状态的数量,从而确定异常的 连接。引发这用异常连接可能是 DOS、DDos 攻击、P2P 的网络滥用,防火墙使用连接限制、 Sys cookie 代理等技术缓解和消除这种网络威胁; ⑵ IDP 针对应用层威胁的处理 混合型网络威胁,主要来自应用协议,对于主要处理网络层安全的防火墙来说无 法处理应用层协议,不能识别应用层的安全威胁。入侵检测防护(IDP)设备,具有识 别应用协议的能力。IDP 内部具有应用层攻击特征码,使用特征码对于访问数据流中的 数据,识别数据流中的非法访问,从而采取对这种数据的访问采取禁止、记录等措施。 IDP 一个显著的特点是入侵特征码的实时更新; 三.防火墙与 IDP 的部署方式 ⑴ 防火墙的部署方式 防火墙作为网络边界接入设备,外部口连接互联网,内部口连接内网,中立区连接到服 务器区; ⑵ IDP 的部署方式 入侵检测防护设备的部署方式有:旁路监听、二层桥接、路由连接模式。旁路监听 部署时,设备主要作用是侦测网络状况,提供一种网络安全监控手段,但对网络威胁并 不做处理;在桥接和路由模式部署时,入侵检测防护设备具备威胁发现、威胁处理的能 力,在网络安全防护方面做到事实性; 四.防火墙和 IDP 方案总结 防火墙主要消除和缓解来自网络层的安全威胁,入侵检测系统消除应用层的安全 威胁,防火墙加 IDP 组成比较完善的区域安全防护安全方案。 www.yssec.com hotline:4008831336 3、 远程接入安全应用-VPN 一、 局域网到局域网的 IPsec VPN 应用 1、 IPsec VPN 虚拟私有网络 虚拟私有网络 VPN,通过公共的网络(如互联网)作为传输数据的线路,避免了租用 专线的费用,实现 2 个或多个分布在不用地区局域网的互联。VPN 使用数据加密技术来保 证数据在公共网络中传输的安全性。IPsec VPN 适合连接多个分散在各个地区的局域网。 2、 网络设备的部署 各个局域网需要有连接公共网络的线路,这些线路可是有固定 IP 的专线,也可以是动 态 IP 拨号线路,每个局域网在网络的出口处部署 IPsec VPN 防火墙。通过使用 IPsec VPN 技术实现 2 个网络的连接。 3、 数字证书和 IPsec IPsec VPN加密时使用的密钥可以是预共享密钥或证书。为了加强 IPsec 的安全性, 可以使用数字证书。用户可以向公共的安全机构为设备申请数字证书,也可以建立企业自己 的证书服务器为 VPN 设备发放证书。 二、 移动用户到局域网的 SSL VPN 应用 1、 移动用户使用 SSL VPN 和 IPsec VPN 的比较 SSL VPN使移动用户用一种简单安全的方式连接到企业网络,访问企业内部网络的 资源。IPsec VPN 可以作为移动用户接入企业内网的一种手段,但对于移动用户使用 IPsec VPN 有以下缺点:用户的电脑上需要安全特定的 IPsec VPN 客户端软件,这使的企业管理 成本高,在多用户的网络中管理困难。IPsec 网络对网络的环境要求高,由于移动用户使用 的网络是多种多样的,例如用户可能是在局域网中,而这个网络可能经过 NAT、端口屏蔽 等设备再连接公网,那么用户就不一定能建立 IPsec VPN 的连接; SSL VPN 不需要安装特定 SSL VPN 客户端软件,SSL VPN 的客户端软件是浏览器,而目前 所有系统的浏览器都支持 SSL 协议 。由于使用的是 WEB 访问方式,只要用户的网络可以 浏览网页,SSL VPN 就可以建立连接; 2、 SSL VPN 客户 PC 和硬件数字证书 SSL VPN基本构成是 SSL VPN 服务设备 、支持浏览器的用户 PC;为了加强 SSL VPN 连接的安全性,在 SSL VPN 服务端和客户端之间可以使用数字证书。数字证书由企业的证 书服务器颁发。服务器端导入文件形式的数值证书;客户端使用类似 U 盘的硬件作为数值 证书的载体。当客户 PC 需要连接企业网络时,需要将硬件数值证书插到电脑中,再使用浏 览器才能实现 SSL VPN 连接。数值证书的目的是确认连接设备之间的身份合法性,而非用 户的帐号和密码的合法性。数值证书是选用的,不是必须的部件。 www.yssec.com hotline:4008831336 3、 SSL VPN 用户帐号和认证服务器 用户的帐号密码可以建立在 SSL VPN 服务设备上,也即是本地认证。如果用户已有 了认证服务器,例如 windows AD,RADIUS 服务器,SSL VPN 服务器可以调用这些帐号, 从而不必另外建立一套新的帐号密码。 三、 VPN 方案总结: 1. VPN 虚拟私有局域网,利用公共的网络使用加密传输技术虚拟成专线,连接分布 不同地区的站点、用户。免除租用专线的费用; 2. IPsec VPN 适用局域网到局域网的连接; 3. SSL VPN 适合移动用户从远程通过公共网络连接企业内网服务器; 4. 使用数字证书加强连接的安全性; www.yssec.com hotline:4008831336 4、 内网安全-准入控制安全应用 一.为什么要考虑准入控制 企业内部网络中,由于内网移动、固定用户众多,外来用户也需要临时使用网络 资源。这种情况下,难以确认接入到内网网络的计算机是否健康。不健康的计算机接入 到内部网络中,容易出现蠕虫、病毒等安全威胁,从而造成整个网络的不稳定,甚至整 个网络瘫痪。 准入控制系统,在计算机进行访问网络资之前,先行检查计算机的安全状况,是否 符合安全接入规则,如果不符合规则,就禁止用户的接入请求。 二.准入控制架构 安全准入系统有准入控制服务器、接入动作执行者、准入接入代理 3 部分组成。 安全接入执行者可以是支持 802.1X 的 2 层设备,如交换机和无线 AP 等,或者是 3 层设 备路由器、防火墙。 当用户企图访问网络时,安装在用户计算机的安全代理软件,收集用户计算机的安 全信息,例如防病毒、系统补丁信息,由接入客户端将这些信息提交给控制服务器审核。 控制服务器根据安全策略,确定用户 PC 是否符合安全规则,再通知接入控制设备, 决定动作方式。如果控制设备是 2 层设备,决定该 PC 是否可以接入网络;如果是 3 层 设备,决定该计算机是否可以通过这个 3 层设备而去访问其他网段设备。 2 层设备和 3 层设备作为动作执行者的区别在于,2 层设备是网络端口级别的控制, 3 层设备是网级的控制。在 2 层实施控制比 3 层实施控制安全性更高。 三.准入控制总结 1、 全面的网络端口级别安全管理控制; 2、 有效控制网络内蠕动、病毒等爆发。 3、 部署时工作量较大; www.yssec.com hotline:4008831336 5、 内网安全-网络访问行为应用管理 一.互联网访问存在的问题 企业中员工的互联网应用会涉及到以下几个方面的考虑:网络安全问题,访问外网 的服务前,无法确认被访问服务器的安全性,例如该网站是否潜藏木马、该网站是否是 钓鱼网站等,一旦用户访问了这些网站,很可能将不安全因素引入内部网络;管理问题, 用户可能访问一些与工作无关的网站,降低了企业的效率;网络带宽滥用问题,内部用 户可能使用诸如 P2P 软件,大量上下载,占用了大量网络带宽,影响企业的正常业务网 络应用。 二.网络访问行为的解决方案 网络访问控制设备,将互联网的网站根据其安全性、内容类别分门别类。根据网 络访问策略,来确定用户可以访问的网站、网站类型,对于不安全的网站给予屏蔽。 网络访问控制设备,通过协议识别来确定用户的应用服务,除了一般的固定端口 应用协议外,还可以识别动态端口协议的应用,例如 P2P、流量媒体等。通过控制应用 协议,可以禁止、限制各种应用。从而调节各种协议的使用带宽。保障关键业务带宽的 需要。 上网行为管理设备,提供多种的统计报表,为网络管理提供了决策的依据。 三.访问行为安全应用总结: 1、 提供灵活多样的控制方式,全面掌握用户的互联网访问行为, 2、 确认被访问网站的安全性; 3、 有效识别个种协议,控制应用协议的占用带宽,优化网络应用。 www.yssec.com hotline:4008831336 6、 网络安全设备与应用总结 一种安全设备,其功能是多样的,例如防火墙,其主要功能是防御网络层的攻击, 其他功能包括 IPsec 功能、路由功能、上网行为管理等等;IDP 其主要功能是防御应用 层的攻击,还具有路由功能。不同设备之间,其功可能有相互交叉的地方。因此,在选 用方案和设备的时候,需要根据用户的主要应用结合安全设备的特点来考虑设备的选 择。 解决方案 主要安全和功能 应对解决用户关注的问题 防火墙 访问控制; 网络层防护、Dos/DDos 攻击等; 路由功能; VPN 功能; 基本带宽管理; Dos、DDos 攻击行为; 网络攻击、入侵行为的防御; 带宽不足,关键业务带宽; 双线路出口问题; 网络边 界安全 统一威胁 设备 防火墙的基本功能; 集成网络防病毒、入侵检测、防病毒、web 过滤; 基本的 P2P 控制; 当开启多种功能时,需要考虑性能问题; FTP/Mail/WEB 病毒; 基本的 P2P 应用占用带宽; 带宽不足,关键业务速度缓慢; QQ、MSN 等聊天软件影响正常工作; 双线路出口问题; 准入控制 方案 网络接口级别的控制方案; 全面防范病毒、蠕动等的安全威胁; 通过健康检测,确定接入网络的设备的安全性; 后门、蠕虫 接入内网设备的安全性 内网安 全 网络访问 行为控制 允许网络用户访问外网的安全网站;屏蔽不安全的 网站; 安全监控用户的网络访问行为; 防范内网用户对带宽的滥用。如 P2P 的应用; P2P 软件占用带宽; 不良网站内嵌的病毒; 上网行为追逆; 上网权限分配不合理; 带宽不足,关键业务速度缓慢; QQ、MSN 等聊天软件影响正常工作; 服务器 区域安 全 入侵检测 防护 防御网络层的入侵,例如 Dos/DDos、蠕虫等; 防御应用层的入侵,对应用协议进行分析,发现其 中的不安全因素; Dos、DDos 攻击行为; 网络攻击行为,针对入侵的防御 QQ、MSN 等聊天软件影响正常工作 IPsec VPN 使用公共的网络作为连接的线路; 适合局域网到局域网的连接; 在公共的网络传输的数据采用加密的方式来保障安 全; 专线连接费用高; 分布在不同地区的局域网的连接; 远程安 全接入 SSL VPN 用户端不需要安全 VPN 客户端软件; 适合远程移动用户和总部内网的安全连接; 实现远程用户使用浏览器与企业内网安全连接; 移动用户访问企业内网服务器;
还剩7页未读

继续阅读

下载pdf到电脑,查找使用更方便

pdf的实际排版效果,会与网站的显示效果略有不同!!

需要 15 金币 [ 分享pdf获得金币 ] 2 人已下载

下载pdf

pdf贡献者

haughtys

贡献于2011-11-01

下载需要 15 金币 [金币充值 ]
亲,您也可以通过 分享原创pdf 来获得金币奖励!
下载pdf