第一章网络安全方案设计根据第二章对蚌埠市怀洪新河管理局的安全需求分析,结合安全设计的策略,我们提出网络安全设计方案。同时,根据用户的实际情况结合成本投入等因素,我们将整个方案将首先解决时间紧迫且安全隐患最大的安全问题,即防火墙系统,其他安全产品如入侵监测系统、防病毒系统的部署将根据蚌埠市怀洪新河管理局里的实际情况再分步建设。4.1设计目标1、将蚌埠市怀洪新河管理局内部网与其它外部网络安全隔离,拒绝非法访问,恶意攻击,保护网络边界的安全。2、抵挡木马攻击、蠕虫攻击、后门攻击、利用漏洞攻击和拒绝服务攻击。3、强化对网络的控制,确保关键业务的网络带宽。4、确保内部数据库服务器的数据安全,并方便内、外数据库数据传输管理。5、避免因网络管理导致的安全风险。4.2解决方案描述部署方案示意图如下图所示:附:蚌埠市怀洪新河管理局网络信息安全拓扑图4.3方案选型建议在蚌埠市怀洪新河管理局内部网与外部网之间部署高性能的防火墙——1台联想网御PowerV203防火墙。对内、外网访问进行必要的控制,避免不必要的登陆访问破坏内部资源。4.3.1选用联想网御PowerV203防火墙原因4.3.1.1基本功能为保证网络系统安全可靠的运行,保障系统资源受控合法的使用,防火墙应具有或实现以下功能:1.包过滤、应用代理和NAT功能:在局域网与外网接点处加入防火墙,实现存取访问控制。因此选用的防火墙产品必须具有包过滤、应用代理和地址转换等功能。2.高性能:对各局域网进行网段划分,设置服务器网段、管理网段等不同网段通过交换机划分虚拟子网(VLAN)。服务器网段放置重要的资源服务器、数据库服务器等,对该网段需设置防火墙特别保护。由于该网段处于局域网内,所有内部、外部用户均需通过防火墙对服务器进行访问,因此选用的防火墙产品必须是高性能的,即高带宽、高并发会话数目、高安全功能、高审计功能及高可靠性等。3.高可靠性:系统中的一部分应用是实时的,系统要稳定可靠的工作,因此要求防火墙具备双机热备份功能,同时具有负载均衡功能,保证系统稳定可靠。4.日志审计:对重要关键资源的使用情况应进行有效的监控,因此要求防火墙系统有较强的日志处理能力和日志分析能力,能够实现日志的分级管理。5.身份认证及IP+MAC绑定:防火墙必须能对使用敏感业务的用户进行身份认证;对重要指定用户采用MAC地址绑定等手段,保证其身份不被盗用。因此,要求防火墙具有较强的身份认证和MAC地址绑定功能。6.网络管理身份认证:联想防火墙具有USB-KEY认证系统,在用户名及密码被盗用但没有USB-KEY的情况下也能保证网络的安全。7.集中管理与远程管理:电信系统计算机网络分布面广,防火墙布控的数量多,因此,防火墙系统应具有良好的远程集中管理功能,同时远程集中管理过程必须是安全的。8.抗攻击:防火墙本身必须具有强大的抗攻击性。9.及时告警:受攻击后,防火墙系统应能及时通知有关人员,因此要求防火墙系统有良好的告警能力,要求支持Email,SNMP等响应方式。10.时间控制:防火墙应具备具有良好的基于时间段控制的能力。11.与IDS互动:防火墙还应具备一定的IDS功能和与其它IDS互动的能力。12.多协议支持:防火墙应支持多种协议,如:OSPF、RIP、RIPII路由协议,IPX、NETBIOS、VLAN、H.323、VOD、SSH等协议。4.3.1.2联想网御防火墙的技术特色1.基于状态检测的动态包过滤技术联想网御PowerV203防火墙的动态包过滤技术是基于状态检测机制的包过滤技术,它不仅具有状态包过滤的安全性和高效性,它还可以很好的处理如ftp、H.323等动态协商的协议,它根据协议动态协商的结果,结合定义好的策略,动态生成规则,从而保证网络的高度安全和数据完整,同时具有很好的网络处理性能。典型的如ftp协议,ftp协议使用一个控制连接,多个数据连接,数据连接使用的端口是协商决定的,数据传输完后连接关闭,并且数据连接存在两种工作模式:主动模式和被动模式。这两种模式的主要区别是它们发起连接的方向截然相反,主动模式是从服务器端向客户端发起;被动模式是客户端向服务器端发起连接。动态包过滤可以自动识别出数据连接的工作模式以及协商的服务端口,自动开放端口,数据连接完成后自动关闭端口。2.主动式防火墙技术传统的包过滤防火墙和应用网关防火墙都是被动的在相应的层上等待到达该层的数据包,然后决定是允许还是禁止,并不能根据用户策略主动地控制数据包的流动,而主动式防火墙技术,可以根据安全策略主动地控制数据包在不同协议层之间传递,为用户提供透明、安全、高效的防火墙。联想网御PowerV203防火墙采用主动式防火墙技术,在链路层截获数据包,然后送给主动式状态包过滤器,在这里根据用户的安全策略决定该如何处理该数据包。如果策略是转发,防火墙直接将该数据包从链路层转发,并不上传网络层,提高了效率;如果策略是NAT、路由转发和应用代理,则将状态信息保存在数据包中,然后直接送到网络层。在网络层并不再进行安全策略检查,而是根据保存的状态信息,决定数据包是NAT、路由转发还是需要送往应用层处理。我们可以清楚的看到主动式防火墙在链路层就已经知道了数据包的流向,并在链路层开始分流,和传统的防火墙必须到达网络层才能决定相比,减少了许多不必要的处理,提高了网络的处理性能,并且将包过滤和应用代理有机的结合起来,可以为用户提供一个全透明、安全、高防火墙。3.支持VLAN联想网御PowerV203防火墙完全支持工业标准的802.1Q封装协议和Cisco专有的Trunk封装协议ISL,能对这两种协议的包进行动态包过滤处理。另外,在使用802.1Q协议时,网御防火墙还可以在IP层对VLAN间的数据包进行NAT,也可以使用代理实现VLAN间的数据包转发,具有更高的安全性。4.应用层协议分析与过滤技术联想网御PowerV203防火墙可以根据用户需要在链路层进行应用层协议分析和过滤,提供和应用代理同等的保护能力,如URL过滤,用户不需要使用HTTP代理就可以实现对URL的访问控制和防范针对Web服务器的攻击。5.全透明网关技术联想网御PowerV203防火墙采用基于链路层的全透明交换工作模式,当防火墙接收到一个以太帧的时候,防火墙并不是将该帧去除帧头后交由IP层处理,而是直接在链路层检查该帧内含的IP报文的头信息以及连接信息进行分析过滤,不合法的帧被丢弃,合法帧将根据该帧的MAC信息和防火墙内核维护的端口状态信息被转发,由于在链路层的转发完全于IP层(如头地址、路由表)无关,所以网御防火墙是一种无IP的透明网关技术。这样一方面大大降低了防火墙自身受到攻击的可能性,另一方面也使系统安装变得十分简单,不再需要改变原有的网络拓扑结构和各主机与设备的网络设置,即不需要重新划分网段和调整网络结构,减少了网络管理员的工作量。联想网御PowerV203防火墙还提供透明的代理服务,管理员可以设置允许通过代理访问的IP范围,则来自于于该范围的客户端访问请求都会自动重定向到防火墙的高层协议实体、在应用层与防火墙的应用代理建立连接、防火墙的应用代理在进行必要的用户认证、会话检查后再进而与访问目的建立连接,从而完成一次访问。由于客户端的请求是在防火墙的处理下主动完成的重定向,所以客户端的用户感觉不到代理的存在,这样不必改变客户端配置,就能在授权范围内与外网通信,网御2000防火墙可透明地级连原代理,支持常用的HTTP、FTP(可限制GET、PUT命令)、Telnet、SMTP等协议,同时提供针对用户自定义的透明代理功能。6.工作模式自适应技术联想网御PowerV203防火墙采用了基于链路层的全透明交换工作模式,并不是说网御防火墙只能工作于链路层,网御防火墙采用了全新的自适应技术,可以让防火墙在必要时无切换地工作于IP层、或混合工作于链路层与IP层之间。如果防火墙的不同网口所接的局域网都位于同一网段时,由于IP层的路由表里无法表征这种转发路由,传统的工作于IP层的防火墙是无法完成这种方式的包转发的,网御防火墙在这时就直接在链路层经过规则检查之后、根据帧头的MAC地址完成帧的转发;而如果防火墙的不同网口分别接在不同网段时,来自于这些网段的报文在转发时就会自动上传到IP层、并在IP层匹配路由表、最后转发出去。该技术的使用可以使防火墙工作于任何复杂的工作环境,并极大地方便了管理员地配置与使用。7.入侵检测与实时响应技术联想网御PowerV203防火墙的入侵检测模块包括包解码、规则解析及检测引擎、日志记录及报警等子模块。防火墙在被保护网络的边界对所有进出被保护网络的通信进行检查,对每一个防火墙接收的包,将由包入侵检测的包解码子模块负责抓包和解码工作,包解码子模块对捕获到的每一个数据包在不同的网络层次进行协议解析,在数据链路层,系统可针对以太网、令牌环及PPP协议等进行解码;在网络层,系统可针对IP、IPX、ARP及ICMP等协议进行解码;在传输层,系统可针对TCP和UDP协议进行解码,在应用层,系统可针对HTTP、TELNET、RPC等多种常见的应用协议进行解码分析。解码工作完成后,由检测引擎读入解码后的数据包并与预先设置好的检测规则进行模式匹配。如果匹配成功,防火墙日志会记入写报警信息外,同时往预先设置的报警邮箱发送报警邮件,并亮起防火墙的入侵报警灯,提醒系统管理员有入侵事件发生。联想网御PowerV203防火墙支持入侵检测库升级,为查出最新的攻击手段提供保障。同时,用户可以定制入侵检测策略,可以自定义检测规则,建立自己的入侵检测规则库。由于防火墙预置了大量检测规则,有些规则可能不适用于某些网络环境。该系统提供调整规则的功能,管理员可将不适用的检测规则禁用,以减少误报警的数量。当然,管理员也可将禁用的规则恢复,从而提高了入侵检测功能的自适应性。为了最大限度地保护内部可信任网络,防火墙采用了自动响应技术。防火墙可以对本机入侵检测系统或其它入侵检测系统发出的告警信息进行处理,实时阻断危险的源地址、源端口,或者是正处于危险中的目的地址及端口。自动响应技术可以全方位地保证被防火墙保护的网络的安全,实现了对安全功能的逻辑补偿。8.安全管理联想网御PowerV203防火墙可选用多种安全管理模式:本地串口web管理——通过本地串口进入web方式的配置界面进行配置管理,提供了管理的安全、方便与灵活性;远程安全管理——采用基于密码技术的PKI-CA证书认证和基于双因子硬件一次性口令认证技术的管理员身份认证,使得只有认证通过的管理员才能通过远程访问配置管理界面、操作相关文件,所有防火墙配置文件及与安全有关的数据都经加密处理存放;集中式安全管理——集中管理员通过集中管理中心可以对全局网络中的防火墙进行统一的配置与管理,该集中管理中心支持SNMT、SSL协议,具有设备(防火墙)自动发现功能、设备运行状态监控功能,同时利用SNMP的trap机制实现安全事件报警,并采用基于密码技术的PKI-CA证书认证和基于双因子硬件一次性口令认证的实现集中管理员的身份认证,这种分级分层的管理模式可提高防火墙整体管理的方便性与安全性。9.日志审计联想网御PowerV203防火墙提供防火墙日志管理和日志服务器(支持Linux和windows平台)两种记录日志的功能,具有实时监控、审计、报警和自动备份功能,同时日志服务器管理员与防火墙管理员实行分权管理;联想网御PowerV203防火墙可为管理员提供丰富完整的日志信息和强大完善的安全审计,允许管理员设定审计查询规则,以可理解的格式输出查询结果,生成HTML格式的日志文件,具有日志存储溢出报警和补救功能。10VPN功能联想网御PowerV203防火墙集成的VPN功能使得您可以在Internet上构建基于IPSec技术的一系列加密认证技术以及密钥交换方案,使得在公共网络上组建的VPN具有同本地私有网络一样的安全性、可靠性和可管理性等特点,同时大大降低了建设本地私有网络的费用。4.3.1.3联想信息安全业务具体优势体现在对用户需求的深刻理解:联想在系统集成领域多年的经验,使我们对行业的应用与网络环