| 电信 教育 政务 机械 汽车 船舶 交通 石化 烟草 服装 电力 金融 外贸 冶金 电子 |
bigstone我们将根据某集团的网络和应用情况,针对内部网络的安全需求,提出一个针对内部网络的全面、科学、可行、可靠的安全解决方案,并且就网络安全系统的建设原则,提出体系化建设原则的方针。 在考虑一个网络的安全规划时,不仅需要针对现行的网络结构、网络应用提出相应的安全方案,而且这个方案还需要考虑到网络的扩展性,应用的扩展性。所以整体安全解决方案必须有长远打算,具有相应的适应能力。某集团随着业务的发展,为了更进一步适应信息化的市场潮流,通过internet发布信息、在因特网上提供多种服务,开展网上交易等网络应用势必成为必然。所以在考虑安全建设的时候,必须把这些也一并纳入设计方案里面。 以下将从安全需求入手逐步分析,提出一个可靠的安全建设方案。 一、安全需求和设计 1. 网络层安全需求分析 网络平台的安全需求主要是防范不同网段之间的攻击和非法访问。由于攻击的对象主要是各种计算机,所以要科学的划分计算机的类别来细化安全设计。 在某集团当中,网络中应当存在三类计算机: a. 内部员工使用工作站、终端。 b. 对外提供服务的应用服务器(www, mail、电子商务服务器等) c. 储存机密信息(客户资料、销售数据等)的数据库服务器 这三类计算机的作用不同,重要程度不同,安全需求也不同: 1) 重点保护某集团中的各种应用服务器和数据库服务器,特别是要保证数据库服务器的绝对安全,不能允许任何用户直接访问。对应用服务器,则要保证用户的访问是受到控制的,要能够限制能够访问该应用服务器的用户范围,控制用户只能够通过指定的方式进行访问。 2) 某集团的数据库服务器的安全性要远远大于对外提供多种服务的www服务器、mail服务器等应用服务器。所以这两种类型的服务器需分离开,不能放在同一个地方(理论拓扑上)。外网用户不能直接访问数据库。 3) 虽然数据库服务器与因特网没有直接联系,但是内部网络有可能会有对上面的各种服务器和应用系统的直接的网络攻击(有意或无意),所以内部办公网络也需要和数据库服务器、对外服务器(www, mail)等隔离开。 4) 不能允许外网用户访问某集团的内部办公网络。 上述安全需求,需要通过划分出安全的网络拓扑结构,并通过VLAN划分、安全路由器配置和防火墙网关的配置来控制不同网段之间的访问控制。 2. 安全网络拓扑结构 划分安全网络拓扑的目的是在保证网络应用的可用性的基础上,对网络中的各种服务器提供最大的安全保证。 我们建议采用一种包含非军事化区(DMZ)的四网段网络结构。 目前网络应用中最通用的一种应用模式是三层结构:用户界面层-应用服务器层-数据库层,其典型应用是B/W/D模式(Browser/Web Server/Database)。应用系统的所有重要数据都存放在数据库层中,用户界面层和应用服务器层只存放一些临时数据。用户通过用户界面层访问应用服务器层,再通过应用服务器访问后面的数据库。在任何时候,都不允许用户直接访问数据库层中的数据库服务器。B/W/D这种典型应用中,客户端使用的是普通的浏览器,WEB服务器可以使用各种主流服务器,后台数据库也可以是任何一种关系型数据库。由于B/W/D模式能够比C/S(Client/Server)模式更有效地进行安全控制,建议某集团的应用开发采用这种模式。 根据这种应用模式,使用非军事化区结构的网络拓扑是一种很自然的提高安全性的措施。如图一所示,我们可以采用防火墙来划分这种安全网络拓扑。在防火墙上安装四块网卡,分别连接四个不同网段:外网(非安全区)、非军事化区(DMZ)、内网(安全区)、Admin区域(安全区域)。 安全设置如下: 1. 内网用户可以被授权访问其他三个区域,其中对数据库的授权访问最为严格,对Internet的授权最宽松。 内网可以放置一些仅供内部使用的exchange服务器、防火墙管理工作站等。这些服务器可以考虑不能访问外网。 2. 外网用户只能够访问到DMZ,不能访问内网和Admin区域。 3. Admin区域放置各种数据库服务器,存放重要的数据,不允许从外网直接访问;而且这些数据库服务器不允许访问外网。 4. DMZ放置各种应用服务器,在B/W/D(浏览器/WEB服务器/数据库服务器)应用模式中,对应的是各种WEB服务器。 5. 位于外网的用户通过用户界面层软件,访问应用服务器;应用服务器再通过特定应用服务访问位于Admin区域的数据库服务器。 在这种配置下,内部网络的自身安全保证较差,攻击有可能在不同的部门之间发生。为此,我们建议通过交换机和路由器的安全配置(包括安全路由设置、网段划分、VLAN设计等)进行保护。 Admin区域,数据库服务器 DMZ区域 ,应用服务器
图一 二、产品选型 在完整的安全解决方案中,存在着一个核心,这就是防火墙。它作为不信任网络(Internet)和信任网络(内部局域网)之间的安全隔离设备,控制内部网络与外部网络间交换的所有数据,识别这些数据特征以确定是否允许这些数据通过防火墙。通过配置安全的访问控制规则,为信任网络提供安全保障,防止来自不信任网络的攻击,使内外网之间的访问得到有效的限制和管理。 防火墙技术从早期的包过滤防火墙、应用代理防火墙,发展到目前的状态检测防火墙。而其核心的动态包过滤技术是由全球最大的防火墙及VPN厂家Check Point公司提出的。清华得实作为Check Point的中国总代理的同时,和Check Point一直保持着技术上的密切合作开发,在防火墙的核心技术上具有非常强大的优势。 清华得实科技股份有限公司成立与1997年1月,是清华同方股份有限公司控股的专业从事信息网络安全技术和产品研发、安全产品销售、安全风险评估和测试、安全解决方案设计和实施、安全技术咨询的高新技术企业,拥有强大的技术和人才优势,自主研制、开发了防火墙、访问控制、入侵检测等全系列多种信息网络安全产品。这些产品通过了国家有关主管部门的测评认证,获得了销售许可,目前大量应用于金融、证券、税务、电力、公安、政府、教育、大型企业等领域。 根据对某集团的当前的需求分析,并综合考虑到以后的可扩展性,我们选择使用清华得实科技股份有限公司的紫荆盾防火墙NetST2104系列来设计此防火墙方案。 (一)产品特点 使用专用设计的硬件平台,符合工业标准,稳定性极强。 专用shell管理,不接触系统内部 终端串口管理,支持用户认证。并采取专用管理网络端口防止监听 NetST?防火墙采用一体化的硬件设计,可以发挥硬件最高效能,提高系统自身安全性。独立运行,不依赖于网络环境及操作系统。 2、效率的状态检测引擎 NetST?防火墙引擎采用国际流行的状态检测包过滤技术,可在线监测当前内外网络的连接状态,根据连接状态动态处理连接情况,对异常的连接状态进行阻断和记录,及时报警。 攻击能力 NetST?防火墙采用专用安全操作系统,安全级别高; 防IP地址欺骗:NetST?防火墙的防电子欺骗功能保证数据包的IP地址与网关通信接口相符,防止通过修改IP地址的方法进行非授权访问; 攻击检测功能:NetST?防火墙系统可以检测到对网络或内部主机的所有TCP/UDP扫描以及多种拒绝服务攻击,如SynFlooding攻击等; 对外部扫描以及攻击的响应能力:NetST?防火墙可以对来自外部网络的扫描和多种攻击进行实时响应。 抗DOS/DDOS攻击:拒绝服务攻击是一种常见的攻击方式,NetST?防火墙系统不但可以识别此类型攻击,而且可以对抗DOS攻击,使受保护主机免于瘫痪。 端口扫描:通过端口扫描,攻击者可知道被攻击的服务器运行的哪些服务,从而对服务器进行攻击或利用某些服务的缺陷攻击服务器。NETST防火墙利用网络地址转换(NAT)功能、状态检测进行防御。 NetST 2103防火墙在赛迪(CCID)进行的抗攻击能力测试中抗攻击能力表现最好。获得了赛迪公司的"工程师推荐奖"。 多种工作模式 NetSt防火墙支持网桥模式,路由模式,以及混合模式,这样可以方便用户使用。使用网桥模式防火墙本身没有IP地址,在IP层对内网用户来说透明,对某集团现存局域网的拓扑结构以及相关设置无需作出变动。 双向网络地址转换 NetST?防火墙系统支持动态、静态、双向的网络地址转换(NAT)。它可以把内部网IP地址转换成因特网IP地址,使得外部网络无法知道内部主机的IP地址,从而伪装内部地址、保护内部主机,进一步增强系统的安全性。另外,网络地址翻译方式允许内部用户使用非静态的IP地址(符合RFC1918),从而解决了ISP所提供IP地址有限问题。 用户身份访问控制 NetST?防火墙支持按用户身份进行访问控制。用户需要首先进行登录,由防火墙/外置的身份验证服务器验证用户的身份和网络访问的权限,防火墙根据用户登录的情况动态调整规则允许以用户工作站访问网络;用户在结束网络使用后需要注销用户。 完善的访问控制 为保证系统的安全性和提高防护能力,增强控制的灵活性,NetST?防火墙采用了多级过滤措施:以基于操作系统内核的会话检测技术为核心,在IP层提供基于状态检测的分组过滤,可以根据网络地址、网络协议以及TCP、UDP 端口进行过滤;在应用层通过重写通讯会话的部分或者全部提供对高层应用协议命令、网络地址段、网络地址与网络服务端口等的过滤;同时提供认证服务器进行用户级鉴别和过滤控制。NetST?防火墙的多级过滤形成了立体的全面的访问控制机制。 支持对上网时间段的控制:支持不同时段的不同安全策略。 支持带宽管理,具有粒度细致、方便灵活的带宽管理功能,可以防止用户滥用带宽。目前可以限制一组用户可以使用的最大带宽。管理员指定进行带宽管理的任意两个通讯对象,设立他们之间通讯的最大带宽。 支持与入侵检测系统NetDT的联动,实施监控网络中的异常连接、异常的端口扫描等,并对异常活动实时报警,自动执行阻断等操作。 管理员可以根据系统提供的完善选项,设定出完善的访问控制策略。 支持各种标准服务及用户自定义服务 可以支持的协议标准是评价一个防火墙系统的重要指标之一。NetST?防火墙基于TCP/IP协议,支持Internet上的各种服务(如Web browser、E-mail、FTP、Telnet等)、支持基于TCP协议的所有标准应用程序、支持基于UDP的各种应用程序。而且,还支持像数据库访问这样的商务应用程序和像Real Audio, VDOLive和Internet Phone这样的多媒体应用程序。用户不必担心使用防火墙后,出现某些服务失效的副作用。 强大的内容过滤功能 系统支持对可能的危险代码或容易挤占网络带宽数据的过滤,如HTML中的Java,ActiveX脚本、音频视频信息、电子邮件中的危险附件等;控制FTP上载/下载的文件类型等;阻止ActiveX、Java、javascript等侵入。支持现有的95种通信协议和730种应用服务,包括WWW、FTP、POP3、数据库服务、多媒体服务、Microsoft网络服务等等。用户不必担心使用了防火墙后出现某些服务失效的副作用。通过与WebCM访问控制产品结合,清华得实NetST 2103成为超级内容过滤防火墙,目前可以实现对160万个URL资源的分类控制。 便捷的安装配置 提供快速的安装配置功能。系统通过命令规范,使安全管理员在几分钟内完成防火墙系统设置,简化了安装过程,缩短了因系统安装带来的网络停顿时间。 多级登录权限设置 NetST?防火墙系统支持多级登录权限,管理人员可以灵活设置权限,例如为管理人员设置特殊用户权限。特权用户登录到防火墙系统时可以拥有不同的功能选项。通过对访问权限的检查,可实现服务端口访问控制、协议访问控制以及基于IP包的服务类型和安全选项的访问控制。 便捷的安装配置
NetST2104 图二 图三 (一). 产品规格、参数 1. 标准配置防火墙硬件设备指标 机箱外型:标准1U工业机箱,可安装于19"机架 CPU:Pentium III 733MHz CPU 内部随机存储器:128MB Image存储器:32MB DOM/DOC 网络接口:3/4个10/100Base-TX以太网接口 终端控制接口:RS-232接口 LED指示灯:11个(系统指示灯2个,网络指示灯9个) 工作温度:10~30摄氏度 2. 支持协议标准 HTTP协议:RFC2616,RFC1945 FTP协议:RFC959, RFC2640, RFC2228 SMTP协议:RFC821 MIME协议:RFC2045-2049 POP3协议:RFC1939,RFC1957,RFC2449 3. 防火墙引擎技术指标 支持协议:TCP/IP族内的各种协议,如IP、TCP、UDP、IMCP、IGMP等。 NAT(网络地址转换)方法:支持静态NAT(多对多,多对一,一对一)、动态NAT(IP伪装)等。 系统安全防范:拒绝服务攻击(ping of death, land, syn flooding, ping flooding, tear drop等)、端口扫描、IP欺骗、流量限制、用户认证、IP与MAC绑定。 4. 执行标准 GB/T 18019-1999 包过滤防火墙安全技术要求。 GB/T 18020-1999 应用级防火墙安全技术要求 5. 认证注册号 公安部销售许可证号:XKC33129 等 一、服务和承诺 完善的技术支持和售后服务是系统得以建设成功并长期稳定运转的重要保障。我们的目标是"和我们的客户建立长期的合作关系",而技术支持和售后服务则是我们和客户关系的重要体现。 我公司为用户提供系统安全项目建设的事前、事中、事后技术支持,以工程的阶段划分标准,将其分为以下几个阶段。 工程实施前 这一阶段包括售前咨询、提供系统安全方案等; 工程实施阶段 这一阶段包括系统软硬件的订货、运货、交货等,相关软件、安全设备的安装、调试、试运行以及培训,验收等工作; 1.系统调试 我方将派遣有经验的工程技术人员到现场实施; 在软件安装和系统调测期间,由用户派出技术人员参加安装和调试工作,我们将就工作中的具体问题对其进行技术方面的指导; 2.工程验收 工程实施完成当天,乙方应向甲方提供实施报告,包括网络设备配置情况及合理建议;在乙方配合下,由甲方进行测试; 3.工程验收后的系统维护阶段 在系统试运行期结束并通过最终验收后,即进入系统的保修和维护期;从这个阶段开始,系统进入使用阶段,这一阶段将成为系统整个支持和维护的工作中心和重点; 工程实施后 提供给用户详细的系统安装调试的工程资料,包括:提供相关图表、完整的软硬件安装、操作、使用、测试、控制和维护手册、技术咨询、技术资料、设备技术说明书、使用说明书、维护说明书等; 其他详细见售后服务部分; 2. 售后服务 售后免费服务期 售后免费服务期时间为一年,在此期间将提供远程或现场的售后服务 售后服务人员 售后服务人员应首选原工程调试人员,如遇特殊情况,由工程部安排具有同等技术水平的工程师完成 售后服务项目 1.免费电话技术支持,技术支持电话为:021-54655599,54656699; 2.免费电子邮件技术支持:jiangyzh@th-dascom.com.cn;wangk@th-dascom.com.cn 3.免费远程调试支持; 4.现场系统故障维护支持;(售后服务期内免费,售后服务期之外,收费标准为2000元/每工程师/每天,差旅费用另计) 5.产品升级服务 售后免费服务期内免费提供产品软件升级、维护、支持服务,免费服务期外,版本升级费用根据具体情况由甲乙双方协商确定,升级的服务费用为双方商定成交价格的10%。 技术咨询:热线电话(021-54655599),传真 (021-54656699-18) 电话跟踪 定期走访 现场支持维护 3. 产品保修 1. 硬件保修期从设备交付验收通过之日起始计,软件保证期从系统验收签字通过之日起始计; 2.硬件设备保修期三年,我公司提供1年免费保修期,保修期间产品非自然损坏我公司将免费为用户提供维修、更换、技术支持服务; 3.所有的软件产品在验收以后,提供终生维护服务。我们将提供1年的免费保证期,免费保证期间的维护、产品升级、技术支持服务不收取任何额外的费用; 4.硬件设备在免费保修期后,我公司为用户提供只收取硬件成本的产品更换和升级服务; 5.软件产品在免费保证期后,我公司为用户优惠提供产品升级、技术支持服务; 4. 技术培训 培训内容 安全产品和安全技术培训 培训教员 派出具有丰富的课程教学经验的培训教员 培训质量 提供高水平的培训,具体安排培训课程表 培训资料 提供培训所用文字资料和讲义等相关用品 培训时间 现场随时或按合同规定安排培训时间 培训方式 1.由我公司工程师在安装、调试、配置的同时,为甲方的工程师进行现场的安装、调试及配置培训; 2.我公司建有网络安全实验室,可以为用户提供收费的安全技术培训; 培训地点 1. 工程施工现场和用户所在地; 2. 我公司网络信息安全实验室; 5. 承诺 1.公司严格兑现以上关于技术支持、售后服务、产品保修、技术培训等各项的承诺 2.设备开通后,如发生软件升级及设备升级、扩展等有关情况,我们也将及时提供必要的技术资料(主要是光盘的形式)。 3.我方将及时通报系统软件升级情况,若需要对系统软件升级,1年内将为用户免升级,提供升级版本和相应的支持服务。系统软件升级后,我方将对软件的重新安装、调试给予必要的技术支持。 4.免费保修期内我公司负责免费更换软、硬件。对由于硬件自然损环,我们将提供现场服务,免费维修更换损坏的硬件,若不能及时维修、更换损坏的硬件,将免费提供周转备件直至维修或更换好损坏的硬件。 5.在保修期内,提供7*24不间断热线服务,出现设备故障的4小时内给予问题的解答,维护方式首先为电话维护(如果有条件也可以通过互联网进行),如果不能解决问题,将在12或24或48小时内到达现场解决。
相关案例
|
解决方案速查(共有 14231 个方案) 基础软件
安全保密
管理软件
办公软件
软件开发
系统网络
图形多媒体
辅助设计
行业专用
教育教学
电子政务
其他软件
接入
通信
网络
存储
IT服务
推荐解决方案
领军企业实施案例
+更多领军企业案例
电子杂志订阅
赞助商链接
| |||||||||||
