吉林钢铁网络安全方案吉林钢铁网络安全方案一、网络安全整体设计:网络的安全是保障网络系统稳定运行的前提。网络安全也是网络内部信息泄漏的主要原因之一。在吉林钢铁厂网络中,包括了生产、办公、财务等众多重要部门,并且提供专网访问与互联网访问。现有的安全设备只有防火墙,为确保各部门信息数据的安全性和保密性,现有的这些安全设备还远远不够,还需要增加相应的安全产品,保证网络在受到攻击时网络设备的稳定性,从而提高整个网络的稳定可靠性。基于以上要求提出本方案。吉林钢铁网络整体安全方案根据网络中不同服务功能模块、不同安全级别及管理需求进行划分。共分未4个区块。分别是:①互联网外联区块:负责连接互联网。是对外的出口。并且会放置公共服务器,比如EMAIL、服务器。此区块是安全的重点防护区。根据方案设计,未来的互联网双出口,分别接入到不同的ISP。ISP接入直接连接到防火墙上,防火墙提供SSLVPN功能和正常的安全保护。②骨干网区块:③网管、安全区块:④企业专线区块:⑤网络终端安全吉林钢铁网络安全方案1.1、外联区块:①Firewall+IPS+SSLVPN在安全体系中,设计采用双互联网接入方式。在外联区使用Firewall+IPS+SSLVPN、防毒墙、流量控制系统提供整体流量管控、防病毒和防攻击架构。来自外部网络的数据流量,首先经过带有入侵防御功能的防火墙。传统的防火墙只能根据配置的策略来对数据包是否能通过进行判断。具体是根据在数据包中的源IP地址、目的IP地址、协议类型、源端口、目的端口这5个。假设出现了一种新的恶意流量,这种新流量没有在防火墙上部署过,那么防火墙对其没有识别和检测的能力。因此,防火墙属于被动的安全方式。当事件吉林钢铁网络安全方案产生后,通过对防火墙进行设置来解决问题。注意,问题发生后才能发现问题解决问题,已经造成了实际的损失了。IPS(入侵保护系统)是一种主动安全产品。在IPS中存放了很多攻击签名库,签名就是某种类型攻击的特征码。当有新的攻击信息是,及时更新签名库。这样就可以识别最新的攻击信息并且对恶意流量做出动作。IPS的签名库是根据某种攻击行为的特征码和攻击行为做出响应。如果某种攻击行为使用动态端口,那么在防火墙上使用传统的封锁端口方法没有效果。IPS就可以根据数据包行为的相关性识别出攻击行为,并且做出反映。VPN叫做虚拟专用网络。通过在源端和VPN接入网关之间建立虚拟的点对点的隧道,并且对隧道中的数据流进行高强度加密实现了安全的远程接入。使用3DES\AES等加密方式对数据进行高响度加密,就算数据流在传输途中被截获也无法读取具体的数据内容。同时使用MD5\SHA-1等单向散列算法,在数据传输过程中,密钥对并不进行传输,在接收端,根据密钥算法对数据进散列运算对比其运算结果,来判断数据是否被修改过。如果数据被修改过,拒收数据。这样就算数据被修改过,也能识别出来。散列算法的特点是在发起端和接入网关端对数据都是进行正向算法,所以不可破解。是最安全的算法。SSLVPN是现在最流行的VPN接入方式,其特点是不需要安装任何客户端。只要能够使用浏览器,不管在什么位置都可以通过VPN访问公司内网。②DMZ策略:同时在防火墙DMZ区域放置公共服务器。对DMZ中的流量进行严格的权限设定。安全级别的设定规定内部接口安全级别最高,DMZ接口的安全级别中等,外部接口的安全级别最低。根据信任关系,级别低的接口信任级别高的接口,级别高的接口不信任级别低的接口。这样,内部到外部的数据都是允许的,外部到DMZ和内部的数据不被信任。其结果是:1、由内部或DMZ发起到外部的数据总是允许。2、外部发起的到内部的数据总是被阻止。3、外部发起到DMZ的某些数据被允许,因为在DMZ中放置的是对外的公共服务器。4、由内部或DMZ发起的到外部的数据流,其返吉林钢铁网络安全方案回包被允许从外部接口进入,外部不能发起到内部或DMZ的请求。4、由内部发起到DMZ的数据流其返回包可以进入内部,由DMZ发起到内部的信息被拦截。这样设计是因为外部可以访问DMZ。如果DMZ中的服务器被外来的黑客攻占,也只能破坏公共服务器本身系统,不能通过DMZ中的主机跳转到内部。绝对保证内网的安全。③防毒墙:众所周之,没有任何杀毒软件能完全阻止病毒的进入,并且现在有很多免杀工具可以欺骗杀毒软件或者杀掉杀毒软件的进程。如果遇到这样的病毒或者木马,计算机上的杀毒软件就没有用武之地了。硬件防毒网关的好处是直接在出口上对数据进行过滤,有安全威胁的数据在网络层面被直接丢弃,不会转发到内部。只有防毒网关不能识别的极少数病毒才能进入内部。这些病毒又会遇到杀毒软件的再次查杀。这样整个网络的防毒体系就更加强壮。从多个方面保证免受病毒的入侵。需要强调的是,计算机的杀毒软件和防毒网关应该选用不同的产品。因为不同的产品有不同的病毒特征库,而不同的特征库可以互补,强化了病毒防护的等级。④流控网关:现在互联网中P2P的流量占据了绝大部分的流量。P2P的特征是多个客户之间彼此进行资源共享,直接从对等的客户之间获取数据,并且现在众多的P2P软件都使用动态端口。所以不能用传统的拦截端口、IP地址的方法来封锁。要对P2P流量进行限制,就只能通过应用特征识别的方式来实现。现在国内外很多厂商都推出了专用的流量控制网关。根据P2P协议的特征码来识别并进行阻断或限速。并且此类产品还能够识别游戏、在线视频、股票等各种非工作流量,保证在工作时间只能通过与工作相关的流量。并根据业务的重要程度对数据流进行分类,保证关键业务和视频会议这样的对延迟敏感的数据得到足够的服务。吉林钢铁网络安全方案⑤专用的网络基础设施:因为外联区块是企业网和外部网络的接口,所以这个区域的安全策略一定要非常严格。所以此区块的设备不能直接接入到内部的骨干交换机。采用2台专用的外联交换机连接所有的外联设备。这2台交换机要支持比较多的安全策略。并且在相连接的骨干交换机的端口进行严格的安全策略限制。⑥外联区综述:结合上述的部署,在外联区采用了FW+IPS+SSLVPN+防毒墙+流控墙+专用的路由器防火墙的连接方式。不同的安全设备专注不同的安全领域。同时又遵从统一的安全策略设计。通过这样的设计,来自与外部的数据的安全性得到了保证。防止病毒也攻击流量“并从口入”。1.2、网络核心:在H3C9500主交换上,使用旁路模式连接IPS系统,采集全网流量信息,分析整个网络的网络攻击信息。吉林钢铁设计使用10G骨干,若IPS采用inline模式,就得选用支持10G的IPS产品,价格非常昂贵。根基整体方案设计,在专线、互联网处都使用了防火墙、防毒墙、流控墙等产品,在终端部署EAD对终端进行准入控制,并限制终端电脑上运行的软件,因此网内的流量相对比较安全。所以采用bypass方式吉林钢铁网络安全方案的IPS,只对网络中的流量进行分析检测,如果发现入侵信息,采取的措施是与其他安全设备联动,或者发送信息给网络管理人员,及时做出策略。并且使用H3CA1000安全管理器,对IPS提交的信息进行智能分类、分析,形成攻击报告,并提供安全隐患处理手段报告。IPS采集的信息量非常庞大,并且不能对各种信息进行分类。这就产生了一个问题:网络管理人员面对IPS发来的数万条的log信息很难一一查看,并且要在其中找出事件的相关信息也如同大海捞针。SecPathA1000安全分析产品可以对IPS发来的信息进行分析、归类、并且进行过滤。首先从数以万计的信息中排除误报等情况,筛选出来有价值的信息。接着基事件的攻击特点和影响程度分成不同的安全级别不同的攻击类型。然后记录该事件,并且找出事件的相关性。例如A登陆到B上攻击了C,这样的攻击路径也会被记载,提交到网络管理中心,并且还会提出排除问题的方法。1.3、服务器、网管区块服务器区块和网管中心区块使用10GE连接到主交换上。这两个区块是整个网络安全重要保护点,要绝对保证这部分网络服务的持续性和安全性。但是10G的防火墙价格及其昂贵,因此建议在H3CS9500主交换上使用防火墙模块来对内网流量进行全面的安全管理。重点在于保护服务器区块免受攻击,保护网络安全管理中心免受攻击。(此模块在H3C整体网络方案中没有提供,建议合同变更时添加此模块)。吉林钢铁网络安全方案1.4企业专线从吉林到明城、北京的专线,使用H3CUTM(统一威胁管理,包含杀毒、防火墙、入侵检测功能)来防止恶意流量通过企业内部专线在北京、吉林、明城之间传播。保证内网流量纯净。北京或明城都有安全体系,并且都属于内部网络,相对来讲属于信任区域。但是也要防止吉林或北京病毒爆发或者客户机中毒发动攻击等情况对吉林钢铁内网的威胁。UTM相当于把防火墙、IPS、防毒网关集成到一个设备上。与单独的防火墙、IPS、防毒墙相比,UTM只是性能较若。但是内网的流量不是很大,并且流量类型相对外网比不复杂。所以整体方案中选择了H3C的UTM产品。1.5终端安全⑴端点准入:内网安全问题近来日益成为网络安全的重点防护对象。有了防火墙、防毒墙、IPS等产品在出口把守,一般来自于外部的攻击流量不容易流入。而内网中中毒的计算机可能带来更多的威胁。因此终端准入系统发挥着越来越重要的作用。终端准入系统可以根基终端计算机的健康状态,来决定是否准许用户接入到网络中。可以检查的信息包括:用户是否安装了指定的杀毒软件、杀毒软件的版本是否更新到最新、操作系统是否已经打了最新的补丁、计算机是否安装了不被允许的软件。如果发现用户有违反健康状态的情况,那么交换机等网络设备会自动把用户放置到隔离区,并且帮助终端计算机更新各种补丁升级包。当终端计算机恢复健康状态,就可以重新接入到网络。这样,避免了一台终端出现问题之后波及到其他的地方。隔离区就相当于重病看护病房。出现健康问题的计算机只能在这里互相传染。并且这种隔离的行为都是自动的。目前我们选择的是H3CEAD终端准入系统。此系统具有软件黑白名单管理功能。通过这一功能,如果发现用户终端计算机上安装了禁止使用的软件,比如迅雷、BT、股票软件,用户的计算机会自动断网。如果用户的杀毒软件被恶意程序破坏,或者没有更新重要补丁,也会被自动断网。吉林钢铁网络安全方案⑵防毒软件:终端防毒体系对于企业的计算机网络稳定运行意义重大。在大型企业部署中,应该使用网络版杀毒。设计思想要以防毒为主。防毒软件和防毒网关要使用不同病毒库的产品,这样可以有双重的保障。同时要能够和端点准入系统良好的联动,保证终端计算机处于健康的状态。⑶软件分发、补丁管理:SCCM,微软系统管理中心。可以支持定义策略的补丁管理。并且具有软件分发能力。所有安装SCCM客户端的终端机都,如果需要批量安装、卸载某软件,都可以通过SCCM来实施。这样可以保证整个公司终端机使用的软件统一。并且具有资产管理功能,可以收集终端计算机的软件、硬件列表,实现计算机资产管理功能,并能跟踪终端计算机的软硬件变更。同时可以形成终端计算机软件使用率分析报告,据此我们可以分析用户最常用的软件是什么。二、网络安全现状介:2.1、目前运行情况吉林钢铁目前已经初具规模,然而安全建设一直没有做过投入。随着用户数量的增多,对网络安全和网络管理提出了更高的要求。目前网络设备极度匮乏已经造成了很多问题,包括病毒爆发,木马横行。因此急需网络安全设备,来保证吉林钢铁网络的良好运行。2.2、设备现状和需求网络整体设计方案中已经包含了H3C的IDS(入侵检测系统)、UTM(统一威胁管理)、H3CIMC(认证管理系统纯软件)、FWSSLVPN、H3CEAD(端点接入检测)部分。根据整体安全架构,仍然缺少终端防毒系统、硬件防毒网关、流量控制系统、补丁管理系统、用户认证网关。这些部分目前需求迫切。其中H3CSSLVPN防火墙虽然在网络整体设计方案中,但是此产品目前已经投入使用,需要购买。吉林钢铁网络安全方案序号种类功能H3C方案是否包含是否建议采购1外网防火墙全网保护YY2SSLVPN提供SSLVPN接入YY3认证软件用户数据库YN4UTM企业专线防护YN5端点管控EAD终端接入网络控制YN6IDS/IPS主动入侵检测、保护YN