点评:该电信数据中心为用户提供专业化和电信级的服务,网络流量大,稳定性和可靠性要求非常高。瑞星利用两台NetScreen-100防火墙的双机热备和分级管理、多重防护的网络病毒防护体系确保了这些需求的有效实现。
一、客户网络原状
目前某市各地县级电信局网络系统与某市电信局网络系统的数据交换,为多类型数据交换,且各地县数据局上行数据量较大,从该市往下传输的数据量少。在目前Internet普及的情况下,各地市之间与该市电信网络数据的交换很大。
在该市数据局内部网络系统中,基本上是通过电信主干直接上互连网,没有任何安全措施,且对内部员工的上网也没有任何限制。没有任何安全防范措施的通路,连在了充满威胁的互连网上。这不能不说是存在一个巨大的网络安全隐患,一旦其中任一点被攻破,就将有可能导致内部网络关键数据被破坏的严重后果,其造成的损失将是难以估量的。
另外,该市电信局大楼内部有50多服务器和450多个直接客户端,服务器分别为内联网www服务器,域名服务器,邮件服务器,公共www服务器,数据库服务器及若干台备份服务器、及接入服务等。由于计算机病毒的肆意泛滥,使该系统不可避免地感染了众多病毒,大大影响了电信的正常运行。网络在这种可能导致"外扰内乱"的情况下,提出一个切实可行的安全解决方案是迫在眉睫的。
二、瑞星解决方案
瑞星公司根据电信局的具体情况,做了比较切实可行的网络安全解决方案,是在该电信局各个相连网段的路由器和中心交换机中间,安装二台100M带宽的硬件防火墙NetScreen 100A,两台防火墙做双机热备,这样确保了网络永远畅通无阻,即使一台出故障,另外一台在10秒之内就可以切换过来。这样做即防范了外部黑客的入侵攻击又可以对内部员工上Internet做很好限制,让该局域网中所有上互连网的PC机均通过该防火墙安全统一地接入Internet。在防病毒方面,根据该电信的网络结构和防病毒要求,在充分考虑可行性的基础上,在整个电信网络防病毒管理架构方面,瑞星采用分级管理、多重防护的管理架构,安装了瑞星网络版(企业版)杀毒软件,瑞星网络版很好的控制住了网络病毒的传播,使整个网络中病毒无处藏身,彻底杀灭。
1、 NETSCREEN 100A防火墙在网络中的部署结构如图所示,我们在内部网络各网段与外网的接口处部署二台NETSCREEN 100A防火墙A和防火墙B,即在cisco 1924交换机的后方放置二台防火墙,这样所有内外网间的访问均无法绕过防火墙,防火墙A、B内网接口trust口连接192.168.10.0、10.10.232.0、等十一个网段,防火墙A、B的外网接口untrust口连接Cisco 2610路由器。为了提高整个网络安全性,我们在防火A、B之间做了双机热备,防火墙A的DMZ接口连接了防火墙B的DMZ接口,防火墙B通过DMZ口的边连线一直在检测防火墙A,一旦防火墙A崩溃掉,防火墙B在10秒之内马上自动切换过来,接替防火墙A的工作,不用任何人工干扰。这样可以根据内网的实际应用情况来设置对后台服务器及PC机的访问控制规则设置。
点评:该电信数据中心为用户提供专业化和电信级的服务,网络流量大,稳定性和可靠性要求非常高。瑞星利用两台NetScreen-100防火墙的双机热备和分级管理、多重防护的网络病毒防护体系确保了这些需求的有效实现。
一、客户网络原状
目前某市各地县级电信局网络系统与某市电信局网络系统的数据交换,为多类型数据交换,且各地县数据局上行数据量较大,从该市往下传输的数据量少。在目前Internet普及的情况下,各地市之间与该市电信网络数据的交换很大。
在该市数据局内部网络系统中,基本上是通过电信主干直接上互连网,没有任何安全措施,且对内部员工的上网也没有任何限制。没有任何安全防范措施的通路,连在了充满威胁的互连网上。这不能不说是存在一个巨大的网络安全隐患,一旦其中任一点被攻破,就将有可能导致内部网络关键数据被破坏的严重后果,其造成的损失将是难以估量的。
另外,该市电信局大楼内部有50多服务器和450多个直接客户端,服务器分别为内联网www服务器,域名服务器,邮件服务器,公共www服务器,数据库服务器及若干台备份服务器、及接入服务等。由于计算机病毒的肆意泛滥,使该系统不可避免地感染了众多病毒,大大影响了电信的正常运行。网络在这种可能导致"外扰内乱"的情况下,提出一个切实可行的安全解决方案是迫在眉睫的。
网络现状如下图所示:
二、瑞星解决方案
瑞星公司根据电信局的具体情况,做了比较切实可行的网络安全解决方案,是在该电信局各个相连网段的路由器和中心交换机中间,安装二台100M带宽的硬件防火墙NetScreen 100A,两台防火墙做双机热备,这样确保了网络永远畅通无阻,即使一台出故障,另外一台在10秒之内就可以切换过来。这样做即防范了外部黑客的入侵攻击又可以对内部员工上Internet做很好限制,让该局域网中所有上互连网的PC机均通过该防火墙安全统一地接入Internet。在防病毒方面,根据该电信的网络结构和防病毒要求,在充分考虑可行性的基础上,在整个电信网络防病毒管理架构方面,瑞星采用分级管理、多重防护的管理架构,安装了瑞星网络版(企业版)杀毒软件,瑞星网络版很好的控制住了网络病毒的传播,使整个网络中病毒无处藏身,彻底杀灭。
1、 NETSCREEN 100A防火墙在网络中的部署结构如图所示,我们在内部网络各网段与外网的接口处部署二台NETSCREEN 100A防火墙A和防火墙B,即在cisco 1924交换机的后方放置二台防火墙,这样所有内外网间的访问均无法绕过防火墙,防火墙A、B内网接口trust口连接192.168.10.0、10.10.232.0、等十一个网段,防火墙A、B的外网接口untrust口连接Cisco 2610路由器。为了提高整个网络安全性,我们在防火A、B之间做了双机热备,防火墙A的DMZ接口连接了防火墙B的DMZ接口,防火墙B通过DMZ口的边连线一直在检测防火墙A,一旦防火墙A崩溃掉,防火墙B在10秒之内马上自动切换过来,接替防火墙A的工作,不用任何人工干扰。这样可以根据内网的实际应用情况来设置对后台服务器及PC机的访问控制规则设置。
在防火墙设置上我们按照以下原则配置来提高网络安全性:
1) 根据电信整体安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容包括协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对企业内部网不必要的、非法的访问。总体上遵从"不被允许的服务就是被禁止"的原则。
2) 将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外的攻击。
3) 配置一条DMZ备份策略,使防火墙B始终检测防火墙A。
4) 在NETSCREEN 100A 上配置前台服务区的网络接口只允许提供服务的端口数据包通过。
5) 在NETSCREEN 100A 上根据业务上的不同要求,设置相应的IP节点可以访问后台服务区各服务器的某种服务。通过地址映射的设置,将内部对外提供服务的服务器IP隐藏起来,有效地防范保护内部服务器的安全。
6)为每个内网用户设置可使用流量最大值,避免滥用网络资源,为"允许访问公网的规则"设置生效时间,控制内网用户访问Internet时间。
7)在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址盗用。
8) 定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。
9) 允许通过配置网卡对防火墙设置,提高防火墙管理安全性。
2、瑞星网络版杀毒产品部署
在该电信局的网络防病毒方案中,我们最终要达到一个目的就是:要在整个局域网内杜绝病毒的感染、传播和发作,为了实现这一点,我们应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现"远程安装"、"智能升级"、"远程报警"、"集中管理"、"分布查杀"等多种功能
1) 在该电信计算机中心配置一台高效的NT服务器安装一个瑞星杀毒软件网络版的系统中心,负责管理二十多个子网450多个主机网点的计算机。
2) 在各分支机关、各处室、各营业窗口等10多个分支机构分别安装瑞星杀毒软件网络版的客户端。在每台计算机上均安装瑞星杀毒软件网络版的客户端或服务器端,并保证每台客户端和服务器端上的瑞星实时监控程序实时运行。
3) 安装完瑞星杀毒软件网络版后,在管理员控制台中对网络中所有客户端进行定时查杀毒的设置,保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。
4) 电信计算机中心负责整个电信网络的升级工作。由于在整个电信的局域网内,只有计
算机中心有Internet出口,同时为了安全和管理的方便起见,可以由电信计算机中心的系统中心定期地、自动地到瑞星网站上获取最新的升级文件(包括病毒定义码、扫描引擎、程序文件等),然后自动将最新的升级文件分发到其它450多个主机网点的客户端与服务器端,并自动对瑞星杀毒软件网络版进行更新。各机关、处室、营业窗口等10个分支机构的客户端自动地到计算机中心的系统中心处获取最新的升级文件,然后自动对瑞星杀毒软件网络版进行更新。采取这种升级方式,一方面可以确保该电信整个局域网内的瑞星杀毒软件的更新保持同步,使整个电信局域网都具有最强的防病毒能力。另一方面,由于整个网络的升级、更新都是有程序来自动、智能完成,就可以避免由于人为因素造成网络中因为没有及时升级为最新的病毒定义码和扫描引擎而失去最强的防病毒能力,同时,因为只有计算机中心才有Internet出口,也便于整个网络统一管理。
三、电信网络改造后的结构(如下图所示):
