xx单位网络安全升级方案.docx

1、N网神SEUWORLDXX公司网络安全方案XX公司网络安全方案SECWORLD网神网神信息技术（北京）股份有限公司2013年01月目录第一章前言31. 1背景31.2项目概述31 3信息女全体系设计原则4第二章XX公司信息网络的安全现状和需求分析62.1 XX公司网络安全现状62. 1.1边界网络安全威胁62. 1. 2来自网络的安全威胁62. 1. 3Web安全威胁72.2 XX公司安全升级需求82. 3 .1防火墙需求83. 3. 2入侵防御系统IPS需求84. 3. 3WAF 应用防火墙需求第三章XX公司网络安全项目解决方案93.1 XX公司防火墙解决方案93. 1. 1 XX公司防火墙

2、的部署95. 1.2 XX公司防火墙的作用95.2 入侵防御系统部署113. 2. 1入侵防御系统IPS的作用115.3 网页防篡改系统123. 3.1网页防篡改系统的作用12第四章方案产品选型14N网神SEUWORLDXX公司网络安全方案第一章前言1.1 背景随着近年来网络安全事件不断地发生，安全问题也已成为IT业的一个热点, 数据安全问题对于XX公司的日常管理工作也越来越重要。安全问题已经成为影 响XX公司信息管理平台稳定性的一个问题，所以提升单位自身信息化办公平台 的安全性，已经成为XX公司增强机构内部工作效率、提升机构信息化管理共同 平台稳定性的重要方面之一。随着信息技术的迅猛发展,X

3、X公司领导充分认识到网络安全建设的重要性， 为了更好的开展管理、监察工作，提升内部网络信息化平台的安全性及稳定性， 决定对现有信息系统进行网络安全进行升级。1. 2项目概述本次信息安全项目主要是XX公司内部网络结构调整，网络系统整体安全加 固、WEB网站数据防篡改、网络整体数据中针对事件的侵入、关联、冲击、方 向和适当的分析，同时做相应的处理。实施是在网络现有应用基础上的改造， 对网络整体的安全加固，所以在上新的系统时不能影响原有系统应用的整体性 能。建立边界安全防护体系；边界防护的设计是将组织的网络，根据其信息性质、使用主体、安全目标和 策略的不同来划分为不同的安全域，不同的安全域之间形成了

4、网络边界，通过边 界保护，严格规范地税专网系统内部的访问，防范不同网络区域之间的非法访问 和攻击，从而确保网络各个区域的有序访问。一般来说边界防护采用的主要技术 包括防火墙技。建设关键业务web网站防篡改安全体系；网页的自动发布、篡改检测、应用保护、警告和自动恢复，保证传输、鉴别、 完整性检查、地址访问、表单提交、审计等各个环节的安全，完全实时地杜绝篡 改后的网页被访问的可能性，也杜绝任何使用Web方式对后台数据库的篡改。建设整体网络入侵防御体系；将深度内容检测、安全防护、上网行为管理等技术结合在起，配合实时更 新的入侵攻击特征库，检测防护网络攻击行为，包括病毒、蠕虫、木马、间谍软 件、可疑代

5、码、探测与扫描等各种网络威胁；同时对P2P、聊天、在线游戏、虚 拟通道等内网访问实现细粒度管理控制。提供动态、主动、深度的安全防御。1.3信息安全体系设计原则XX公司信息安全保障系统涉及到此次网络安全系统改造的各个部分，网 络和信息安全方案的设计遵循以下原则： 整体安全XX公司信息安全保障系统的是一个重要的安全系统工程，对安全的需求 是任何一种单元技术都无法解决的。必须从一个完整的安全体系结构出发，综 合考虑信息网络的各种实体和各个环节，综合使用各层次的各种安全手段，为 信息网络和业务系统提供全方位安全服务。 有效管理没有有效的安全管理（如防火墙监控、审计日志的分析等等），各种安全机 制的有效

6、性很难保证。XX公司信息安全保障系统所提供的各种安全服务，涉 及到各个层次、多个实体和各种安全技术，只有有效的安全管理才能保证这些 安全控制机制真正有效地发挥作用； 合理折衷在XX公司信息安全保障系统的建设过程中，单纯考虑安全而不惜一切代 价是不合理的。安全与花费、系统性能、易用性、管理的复杂性都是矛盾的， 安全保障体系的设计应该在以上四个方面找到一个合理的折衷点，在可接受的 风险范围内，以最小的投资换取最大的安全性，同时不因性能开销和使用、管 理的复杂而影响整个系统高效运行的总体目标。 责权分明采用分层、分级管理的模式：一方面，XX公司信息系统可以分为三层： 信息网络、计算机系统和应用系统；

7、另一方面，网络和应用系统都有中心、下 属等的分级结构。网络管理中心负责网络的安全可靠运行，为应用信息系统提 供安全可靠的网络服务，同时负责计算机系统和应用系统的安全管理。 综合治理XX公司信息系统的安全建设是一个系统工程，信息网络的安全同样也绝 不仅仅是一个技术问题，各种安全技术应该与运行管理。机制、人员的思想教 育与技术培训、安全法律法规建设相结合，从社会系统工程的角度综合考虑。9第二章XX公司信息网络的安全现状和需求分析随着计算机技术和网络技术的发展，网络成为信息高速公路，人们利用网 络来获取和发布信息，处理和共享数据。但是网络协议本身的缺陷、计算机软 件的安全漏洞，对网络安全的忽视给计算

8、机网络系统带来极大的风险。实际上, 安全漏洞广泛存在于网络数据链路、网络设备、主机操作系统和应用系统中。网络安全是一个体系工程，如果把XX公司网络信息系统划一个边界的话， 可能发生的安全威胁会来自各个方向、各个层面。2.1 xx公司网络安全现状2.1.1 边界网络安全威胁与Internet相连，如果没有边界防护将是危险的。不通的网络区域之间如 果不采取安全防护措施，这样内部网络很容易遭到来自于Internet中可能的入 侵者的攻击，网络中可能存在其他网络的越权访问，如：入侵者通过Sniffer等嗅探程序来探测扫描网络及操作系统存在的安全漏 洞，如网络IP地址、应用操作系统的类型、开放哪些TCP

9、端口号、系统保存用 户名和口令等安全信息的关键文件等，并通过相应攻击程序对内网进行攻击。入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息， 进而假冒内部合法身份进行非法登录，窃取内部网重要信息。恶意攻击：入侵者通过发送大量PING包对内部网重要服务器进行攻击，使 得服务器超负荷工作以至拒绝服务甚至系统瘫痪在Internet上爆发网络蠕虫病毒的时候，如果内网的边界处没有访问控制 设备对蠕虫病毒在第一时间进行隔离，那么蠕虫的攻击将会对网络造成致命的 影响。2.1.2 来自网络的安全威胁通常通过防火墙进行网络安全防范。从理论上分，防火墙可以说是第一层 安全防范手段，通常安装在网络入口来

10、保护来自外部的攻击。其主要防范原理 为基于TCP/IP的IP地址和及端口进行过滤、限制。由于防火墙本身为穿透型 （所有数据流需要经过防火墙才能到达目的地），因此为了提高其过滤、转发效 率，通常不会对每个数据报文或者数据流进行过多的、细致地分析、检查。但 是恰恰很多符合防火墙的TCP/IP过滤安全策略的数据流或者报文中参杂着恶 意的攻击企图。虽然目前一些防火墙增强了对于应用层内容分析的功能，但是 考虑其因分析、处理应用层内容而导致的网络延迟的增加，因此从其实际应用 角度来说，存在一些公司限性。但是网络入侵防御系统由于其以主动模式部署 到现有网络中，因此可以在不影响网络结构及网络性能的情况下，执行

11、各种复 杂的应用层分析工作，针对各种网络攻击行为进行阻止和防护。2.1.3 Web安全威胁现代的信息系统，无论是建立对外的信息发布和数据交换平台，还是建立 内部的业务应用系统，都离不开Web应用。Web应用不仅给用户提供一个方便 和易用的交互手段，也给信息和服务提供者构建一个标准技术开发和应用平台。 网络的发展历史也可以说是攻击与防护不断交织发展的过程。目前，全球网络 用户已近20亿，用户利用互联网进行购物、银行转账支付和各种软件下载， 企业用户更是依赖于网络构建他们的核心业务，对此，Web安全性已经提高一 个空前的高度。然而，随着黑客们将注意力从以往对网络服务器的攻击逐步转移到了对 Web应

12、用的攻击上，他们针对Web网站和应用的攻击愈演愈烈，频频得手。根 据Gartner的最新调查，信息安全攻击有75%都是发生在Web应用而非网络层 面上。同时，数据也显示，三分之二的Web站点都相当脆弱，易受攻击。另外，据美国计算机安全协会（CSD /美国联邦调查公司（FBI）的研究表 明，在接受调查的公司中，2004年有52%的公司的信息系统遭受过外部攻击（包 括系统入侵、滥用Web应用系统、网页置换、盗取私人信息及拒绝服务等等）， 这些攻击给269家受访公司带来的经济损失超过1. 41亿美元，但事实上他们之 中有98%的公司都装有防火墙。早在2002年，IDC就曾在报告中认为，“网络防 火墙

13、对应用层的安全已起不到什么作用了，因为为了确保通信，网络防火墙内 的Web端口都必须处于开放状态。”目前，利用网上随处可见的攻击软件，攻击者不需要对网络协议深厚理解, 即可完成诸如更换Web网站主页、盗取管理员密码、破坏整个网站数据等等攻 击。而这些攻击过程中产生的网络层数据，和正常数据没有什么区别。2. 2 XX公司安全升级需求2.1.1 防火墙需求防火墙是指设置在不同网络（如可信任的组织内部网和不可信任的公共网） 或网络安全域之间的一系列部件组合。防火墙通常位于不同网络或网络安全域 之间信息的唯一连接处，根据组织的业务特点、行业背景、管理制度所制定的 安全策略，运用包过滤、代理网关、NAT

14、转换、IP+MAC地址绑定等技术，实现 对出入网络的信息流进行全面的控制（允许通过、拒绝通过、过程监测），控制 类别包括IP地址、TCP/UDP端口、协议、服务、连接状态等网络信息的各个方 面。防火墙本身必需具有很强的抗攻击能力，以确保其自身的安全性。2. 3.2入侵防御系统IPS需求IPS将深度内容检测、安全防护、上网行为管理等技术完美地结合在一 起。配合实时更新的入侵攻击特征库，可检测防护3000种以上的网络攻击行 为，包括病毒、蠕虫、木马、间谍软件、可疑代码、探测与扫描等各种网络威 胁，并具有丰富的上网行为管理，可对P2P、聊天、在线游戏、虚拟通道等内 网访问实现细粒度管理控制。从而很好

15、地提供了动态、主动、深度的安全防 御。3. 3. 3 WAF应用防火墙需求提供针对不同类型主机服务器的网页防篡改功能、Web防护功能以及事后 日志分析系统的功能，降低安全风险，为提高网站公信度提供安全保障。第三章 XX公司网络安全项目解决方案4. 1 XX公司防火墙解决方案3.1.1 XX公司防火墙的部署根据XX公司系统的安全现状和风险分析，我们在该网中建立防火墙系统。 有关建立防火墙系统的目标、功能、位置、在下文中进行详细说明。信息化的前提就是建立起完善的信息保障体系，防火墙在信息保障体系中 对网络行为进行有效访问控制，对保证网络访问行为的有序性起到了至关重要 的作用，防火墙体系的建立直接关

16、系到了系统能否正常运行，体系是否完善； 关系到了系统是否能够对非法访问进行有效的防范。在XX公司网络系统中我们建立防火墙系统的主要目标:逻辑隔离XX公司系 统内网与Internet；内网用户区与其他子网；外网用户区与其他子网；服务器 区与其他子网区域保护两台重要的WEB服务器。以上这些内部子网之间都需要 进行访问控制。3.1.2 XX公司防火墙的作用 防火墙对内网用户一经授权便能够采用任何现有的或新出现的网络技术 访问Internet获取所需要的信息和服务； 防火墙可以防范各种网络攻击，能够查找到攻击的来源和类型，能够对 这些攻击进行反应； 对网络访问接入点的保护应该对相关组件与网络的性能造成

17、尽可能少的 影响； 抗D0S/DD0S攻击：拒绝服务攻击(DOS)、分布式拒绝服务攻击(DDOS) 就是攻击者过多的占用共享资源，导致服务器超载或系统资源耗尽，而 使其他用户无法享有服务或没有资源可用。防火墙通过控制、检测与报 警机制，防止DOS黑客攻击。所以通过防火墙上进行规则设置，规定防 火墙在单位时间内接到同一个地址的TCP全连接、半连接的数量，如果 超出这个数量便认为是DOS/DDOS攻击，防火墙在设定的时间内就不接受 来自于这个地址的数据包，从而抵御了 DOS/DDOS攻击； 防止入侵者的扫描：大多数黑客在入侵之前都是通过对攻击对象进行端 N网神SEUWORLDXX公司网络安全方案口

18、扫描，收集被攻击对象开放什么端口、什么服务、有何漏洞、哪些用 户的口令弱等信息，然后再展开相应的攻击。通过防火墙上设置规则： 如果发现外部有某台计算机在单位时间内与内部某台服务器或者主机建 立多个连接，便认为是扫描行为，并截断这个连接。从而防止入侵者的 扫描行为，把入侵行为扼杀在最初阶段；防止源路由攻击：源路由攻击是指黑客抓到数据包后改变数据包中的路 由选项，把数据包路由到它可以控制的一台路由器上，进行路由欺骗或 者得到该数据包的返回信息。通过在防火墙上配置规则，禁止TCP/IP数 据包中的源路由选项，防止源路由攻击； 防止IP碎片攻击：IP碎片攻击是指黑客把一个攻击数据包分成多个数据 据包，

19、从而隐藏了该数据包的攻击特征。通过在防火墙上设置规则防火 墙在进行检查之前必须将IP分片重组为一个IP报文，而且这个报文必 须具有一个最小长度以包含必要的信息以供检查，从而防止了 IP碎片攻 击； 防止ICMP/IGMP攻击:许多拒绝服务攻击是通过发送大量的ICMP数据包、 IGMP数据包实现的。通过在防火墙上设置规则，禁止ICMP/IGMP数据包 的通过防火墙，保证系统的安全； 阻止ActiveX、Java、Javascript等侵入：防火墙能够从HTTP页面剥离 ActiveX JavaApplet等小程序及从Scripts PHP和ASP等代码检测出危 险的代码，也能够过滤用户上载的CG

20、I、ASP等程序； 其他阻止的攻击：通过在防火墙上的URL过滤可以防止一些来自于系统漏洞的攻击（例如：通过配置规则禁止访 问./winnt/system32/cind.exe?/可以防止 WINDOW NT/2000 的 UNICODE 漏洞以及其他 CGI 漏洞攻击：/Cgi-bin/phf cgi-bin/count. cig _vti_pvt/service. pwd cfdocs/expeval/ openfile. cfm） 和一些病 毒的攻击（例如：禁止default, ida可以防止红色代码的攻击）； 提供实时监控、审计和告警：通过防火墙提供对网络的实时监控，当发现攻击和危险代码

21、时，防火墙提供告警功能；3. 2入侵防御系统部署通过深度内容检测、安全防护、上网行为管理等技术，配合入侵攻击特征 库，可检测防护包括病毒、蠕虫、木马、间谍软件、可疑代码、探测与扫描等 各种网络威胁。3.1.1 入侵防御系统IPS的作用 实时的入侵检测防护IPS具备基于协议异常、会话状态识别和七层应用行为的攻击识别功能， 内置超过3, 000种的IPS特征库，支持对VLAN、MPLS、ARP、TCP、UDP、RPC、 WCCP、GRE、IPV6、SMTP等各种协议的分析；支持对病毒、蠕虫、木马、间谍 软件、广告软件、可疑代码、端口扫描、非法连接等多种攻击的防护。 丰富的上网行为管理IPS不仅具有

22、精准的入侵检测和防护功能，同时还具有丰富的内网上网行为 管理功能。可以根据不同的时间、群组，来对即时聊天软件、P2P软件、非法 隧道等下达严格的管理策略。 强大的抗DoS/DDoS传统的网络安全设备仅具有单纯地设定单位时间内访问特定服务次数，来 阻断未知类型的DoS/DDoS攻击。这种机制虽然可以将超过阈值的攻击数 据包丢弃，但同时也会将超过阈值的合法数据包丢弃，造成正常用户不能使用 网络服务。IPS对于需要重点保护的Web、DNS等服务可选择采取传统的处理机 制。另外，IPS提供独特的DoS/DDoS检测及预防机制，可以辨别合法数据包以 及 DoS/DDoS 攻击数据包，支持双向阻断 TCP

23、/UDP/IGMP/ICMP/IP Flooding、 UDP/ICMP Smurfing等类型的DoS/DDoS攻击，可检测的DoS/DDoS攻击软件包 括XDoS、SUPERDDoS、FATBOY等50种以上。当用户在遭受DoS/DDoS攻击之时， 网神IPS能够保证合法用户顺利享用网络服务。 精准的带宽管理功能IPS采取七层深度数据包分析技术，可以完整地做到应用程序级别的流量管理，具体针对以下两方面的管理：1）可根据不同的应用程序分配不同的带宽，如对P2P、PPlive、PPStream 等流量的管理。2）可根据不同的丫山及、源/目的IP地址、应用协议端口划分不同的带宽。IPS采取以下两

24、种方式对流量进行管理：1）网络传输带宽方式限流，即限制特定对象的最大带宽，可精准到1Kbpso2）网络传输总量方式限流，即限制特定对象的单位时间内传输总量。3. 3网页防篡改系统采用文件系统驱动技术以及进程内嵌技术，针对黑客对网站攻击的首要目 标网站主页内容进行侵袭，保证网页内容安全性。3.3.1网页防篡改系统的作用 告警功能网页防篡改系统有邮件、短信告警功能，针对网页防篡改和Web防护触发 进行告警，保证了客户第一时间了解篡改和攻击的详细报告，对于网页防篡改 的不同操作细节可以制定告警方式，多样化的告警功能，方便客户了解网站实 时动态。 Web防护功能网页防篡改系统内置软件WAF管控平台，可

25、以对SQL注入、跨站脚本、防 爬虫、扫描器、信息泄露、溢出以及协议完整性的Web攻击进行防护。 网页防篡改网页防篡改系统采用第三代网页防篡改技术，第三代网页防篡改技术是事 件触发和文件驱动级保护相结合，其原理是：将篡改监测的核心程序通过微软 文件底层驱动技术应用到Web服务器中，通过事件触发方式进行自动监测，对 文件夹的所有内容，对照其底层文件属性，讲过内置散列快速算法，实时进行 监控，若发现属性变更，通过非协议方式，纯文件安全拷贝方式将备份路径文 件夹内容拷贝到监测文件夹相应文件位置，通过底层文件驱动技术，整个文件 复制过程毫秒级，使得公众无法看到被篡改页面，其运行性能和检测实时性都 达到最

26、高的水准。网页防篡改系统用Web服务器底层文件过滤驱动级保护技术，与操作系统 紧密结合，所监测的文件类型不限，可以是一个html文件也可以是一段动态网 页，执行准确率高。这样做不仅完全杜绝了轮询扫描式页面防篡改软件的扫描 间隔中被篡改内容被用户访问的可能，其所消耗的内存和CPU占用率也远远低 于文件轮询扫描式或核心内嵌式的同类软件。可以说是一种简单、高效、安全 性又极高的一种防篡改技术。日志系统网页防篡改系统内置了日志系统，日志系统内包含了备份日志、审计日 志、攻击日志、防篡改日志，方便客户了解系统日常动向，方便可对配置备份、 网页防篡改系统登陆登出、网页篡改等工作的详细记录。分析系统网页防篡

27、改系统的分析系统可以帮助客户统计每日、每月、每年的防篡改 汇总统计、访问站点统计，并对相关统计进行曲线路、饼状图、柱状图进行呈 现，并方便于客户导出，相关曲线图可以直接导出成PDF、PNG文件格式，并可 以根据时间、事件类型进行报表生成，方便客户了解网站整体安全状况提供有 力依据。13EdQBujXX公司网络安全方案第四章方案产品选型综合上面的分析和介绍，我们本次为XX公司进行的网络安全方案建议中推 荐的网络安全系统和设备如下：序号产品名称规格型号单位数量参数描述防火墙设备1网神 SecGate 3600G7-5966台11. 吞吐量6Gbps2. 并发连接数240万3. 6 个 10/100/1000 BaseT接口, 6 个千兆 SFP插槽4. 2U机箱5. 单电源入侵防御IPS设备1网神 SecIPS 3600G620A台11、吞吐量IGbps2、并发连接数120万3、 6 个 10/100/1000 TX4、两路内置bypass5、1U机箱6、单电源WAF网页防篡改设备1网神 SecWAF3600 web 应用防篡 改系统WPS套11.支持1个网页防篡改客户端（windows操作系统）15