安全加固项目方案

XX单位XX网安全加固方案XX单位XX网安全建设项目安全加固方案XX有限公司二零一五年一月XX单位XX网安全加固方案文档控制XX单位安全加固方案技术方案提交方XX有限公司提交日期2015-1-1版本信息日期版本撰写者审核者描述2015/1/11.1XX单位XX网安全加固方案目录1.1网络现状.................................................................................................51.2安全建设需求.........................................................................................61.3安全建设建议.........................................................................................71.3.1总体安全建设拓扑图..................................................................71.3.2云计算平台..................................................................................71.3.3网络准入控制和终端管理..........................................................81.3.4建立全网域控............................................................................121.3.5TMG（ThreatMangementGateway，统一的威胁管理网关）..............................................................................................................131.3.5.1高级的防火墙保护.........................................................141.3.5.2虚拟专用网(VPN)........................................................161.3.6流量监控....................................................................................171.3.7网络防病毒................................................................................181.3.8终端虚拟化................................................................................191.3.9机顶盒区域................................................................................201.3.10Exchange升级到2007............................................................201.3.10.1升级前提条件...............................................................211.3.10.2准备AD........................................................................211.3.10.3准备域和准备所有域...................................................221.3.10.4安装Exchange2007软件要求....................................221.3.10.5安装Exchange2007Windows组件要求....................22XX单位XX网安全加固方案1.3.10.6完成部署.......................................................................231.3.10.7删除Exchange2000/2003............................................241.3.11域控搬迁..................................................................................24XX单位XX网安全加固方案1.1网络现状XX单位目前有两套业务，一套为全国的业务网，一套为OA网，两套网运行在同一套网络硬件平台上。根据业务不同有三个网络出口，分别为广电出口接入到电信机房的业务服务器，上视出口与电视台合作业务，Internet出口实现外网访问。现有内部人员为500人，今后会扩充至1000人。网络硬件平台方面采用Cisco45系列交换机作为网络核心，开启路由功能实现所有终端用户的路由访问，同时在核心上配置了ACL访问控制列表，对用户访问范围进行了控制。接入层交换机采用h3c二层交换机，并配置了VLAN信息，根据部门和人员物理位置划分，实现不同用户间的隔离。无线采用了h3c的瘦AP解决方案，通过h3cAC配置无线AP的设置实现无线系统的统一管理，无线终端接入采用PSK加密方式，防止非授权用户的接入。安全方面，在互联网出口部署了一台硬件防护墙，实现互联网出口的访问控制和端口控制。内部用户安全仅仅依靠VLAN相互之间划分，通过核心上的ACL列表实现访问控制。Cisco3750Cisco450010兆电信光纤电视台（上视）光纤光纤广电电信（服务器托管）H3C二层交换机H3CAPH3CAPH3CACXX单位XX网安全加固方案1.2安全建设需求1、实现用户的统一管理，能够为每个用户指定权限，控制其访问范围和内容。2、能够指定统一用户组策略，实现按照用户类别进行管理，能够为用户颁发有限的证书。3、能够实现全网的IP的统一管理和分配，实现全网IP自动分配，同时MAC地址和IP实现一一对应。4、能够区分内部合法用户和外来访客用户，能够区分内部合规用户（满足内部接入规定）和内部非合规用户，并且网络能够自动将不同用户划分到不同的VLAN，实现不同的访问权限。5、能够实现用户终端的管理，实现安全策略管理、防止文件非法外传控制、补丁分发管理、软件分发管理、远程协助与维护等功能。6、实现边界安全综合管理，边界访问控制，边界病毒控制，网络代理，应用层防火墙和VPN等功能。7、实现网络出口流量的有效管理，保证管理外网核心业务的带宽，控制非核心数据流量带宽。8、内部实现整体网络防病毒体系，实现统一病毒升级和补丁分发。9、对于部分核心业务终端，实现终端的虚拟化，实现核心业务数据统一管理和存储，终端不保留任何数据。XX单位XX网安全加固方案1.3安全建设建议1.3.1总体安全建设拓扑图1.3.2云计算平台本次根据实际需要的服务器数量：域控2台，证书服务器2台，准入控制5台，DHCP服务器3台共计12台服务器。需要配置六台刀片服务器和一个刀片机箱，为了充分发挥服务器的系统资源和实现高可用选用虚拟化实现。配置windowsHyper-V将刀片服务器虚拟为12台服务器，将域控服务器、证书服务器、准入控制服务器端、Radius服务器两两分别配置为虚拟集群，每台虚拟服务器分配1颗CPU和8GB内存一块硬盘。通过虚拟化集群服务器平台能够实现7*24*356的运行保障。通过虚拟化集群将域控制服务器和证书服务器分别部署在不同物理机上的虚拟集群中，实现物理硬件和系统服务的双重冗余保护。虚拟机服务器后挂载磁盘阵列，为集群提供统一的数据储存平台，同时还能够实现虚拟机之间的快速切换。Cisco3750Cisco450010兆电信电视台（上视）光纤光纤广电电信（服务器托管）H3C二层交换机H3CAPH3CAPH3CAC流量监控Hyper-V云计算平台ThreatMangementGatewayIPSecVPN原有防火墙DHCPDHCPDHCPDHCP磁盘阵列SCSI域控2域控1UniAccess（主）服务器UniAccess（备）服务器DHCPXX单位XX网安全加固方案1.3.3网络准入控制和终端管理本次部署两台网络准入控制和桌面安全管理服务器端，同时部署两台Radius服务网络准入控制认证代理服务器，通过Radius服务器与域控服务器的证书进行比对，配置一台网络准入控制访客VLAN管理器，实现对来访用户进行管理的功能。首先，通过网络准入控制技术，确保接入网络的电脑终端符合如下要求：1)必须安装Agent，如果是未安装Agent的电脑终端接入网络，其打开WEB浏览器访问任何Website时，将被重定向到管理员指定的一个页面，提醒其安装Agent。不安装Agent的电脑将无法访问内部网络（特殊电脑和访客电脑可以例外）。2)必须符合网络接入安全管理规定，例如：拥有合法的访问帐号、安装了指定的防病毒软件、安装了指定的操作系统补丁等。如果不符合管理规定，将拒绝其接入，或者通过网络对该电脑进行自动隔离，并且指引其进行安全修复。然后，对安装了Agent的电脑终端，进行进一步的管理控制，包括：1)安全设置检查、加固，非法操作的管理、限制2)防止文件非法外传(U盘/软盘/共享/E-mail/QQ/MSN等)3)电脑终端的集中式管理，例如，资产管理、软件分发、远程控制、补丁管理、分组策略分发、集中审计。再次，要防止电脑终端私自、非法卸载Agent或者停止Agent的运行,确保管理策略的执行。1)Agent自带反卸载、反非法中止、非法删除功能；2)如果电脑终端私自卸载Agent（如重新安装操作系统）或者中止Agent的运行，UniAccessTM后台系统可以及时发现这种行为。企业可以依据有关安全管理规范对其进行警告或者处罚，防范这种行为的再次发生。XX单位XX网安全加固方案网络准入控制技术在网络准入控制解决方案中，管理员可以将网络资源划分为不同的区域以便不同的终端访问不同区域的网络资源：访客区、修复区和正常工作区。划分方式可以是VLAN或者基于IP的访问控制列表。一般来说，访客区的网络资源是可以被任何用户的终端访问的，如Internet资源。一般外来用户的终端设备被限制只能访问访客区的网络资源。修复区网络资源是用来修复安全漏洞的，如补丁服务器、防病毒服务器、软件安装包服务器等，不符合组织安全策略要求的终端被限制在修复区中，强制它们进行安全修复。当终端设备被接入网络时，会被要求进行身份认证和安全策略检查。如果是来自外部的PC机试图接入网络，UniAccessTM将采取如下措施：1)拒绝外部终端设备接入网络，或者2)将外部终端设备设置到访客区中。如果是来自内部合法终端设备接入网络，UniAccessTM将采取如下控制措施：1)检查用户输入的用户名和口令是否合法；检查客户端是否满足安全策略要求。＋准入控制认证服务器访客区工作区修复区身份＋安全状态+硬件IDXX单位XX网安全加固方案2)只有合法身份的用户以及满足组织安全规范的终端设备才能接入到网络中，否则系统会将此终端设备自动切换到修复区中，终端设备在此修复区中访问修复安全漏洞必须的网络资源；3)合法身份的用户以及满足组织安全规范的终端设备接入到网络时，系统会根据用户身份自动将终端设备切换到属于该用户的工