无线网络与安全系统设计书.docx
《无线网络与安全系统设计书.docx》由会员分享,可在线阅读,更多相关《无线网络与安全系统设计书.docx(35页珍藏版)》请在冰点文库上搜索。
无线网络与安全系统设计书
1.网络与安全系统设计
计算机网络作为一个通信基础设施体系,不仅涉与大量的数据、语音和图像视频传输,同时也对系统的实时性和可靠性提出较高的要求。
因此,建设一个先进、高效、合理的计算机网络系统十分的必要。
2.系统建设的原则
系统高可靠性
高效稳定的系统,能提供全年365天,每天24小时的不停顿运作。
对于安装的服务器、终端设备、网络设备、控制设备与布线系统,必须能适应严格的工作环境,以确保系统稳定。
高性能可扩展性
能够根据应用需求方便地进行系统扩充和技术扩展,满足应用系统需求。
支持各种高速网络技术(千兆以太网,快速以太网);全系列的交换产品,拓展网络带宽。
网络系统的高安全性
划分VLAN,并通过核心交换机中的三层路由中的包过滤功能,限制和隔离数据报;提高整个网络的安全性。
系统的开放性
系统在设计时均采用国际标准协议。
如网络管理基于SNMP,并支持RMON和RMON2;VLAN协议支持国际标准IEEE802.1Q等。
系统的先进性
选用当前业界领先且代表主流发展方向的网络技术来设计相应的系统,
3.系统设计
3.1网络拓扑图
3.2网络配置说明
3.2.1防火墙配置说明
防火墙部署:
在Internet公网出口部署1台HillstoneSG-6000-M3100高性能防火墙,实现Internet公网与其它各安全区域之间,以与对Internet的访问控制和对来自Internet的各种攻击进行有效的防御。
在应用服务器区部署1台HillstoneSG-6000-M3100高性能防火墙,实现应用服务器区与其它各安全区域之间,以与对Internet的访问控制,同时可有效保护应用服务器区不受各种网络攻击。
移动用户的接入安全:
移动用户可以采用SSLVPN方式,实现对部资源的安全访问。
在Internet出口部署的1台HillstoneSG-6000-M3100设备已集成SSLVPN功能,用户只需通过Internet访问此设备,然后经过认证服务器的认证后,建立VPN通道,即可安全地访问被授权的网资源。
HillstoneSG-6000-M3100简介:
SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。
其基于角色,深度应用的多核Plus®G2安全架构突破了传统防火墙只能基于IP和端口的防限制。
处理器模块化设计可以提升整体处理能力,突破传统UTM在开启病毒防护或IPS等功能所带来的性能下降的局限。
SG-6000-M3100处理能力高达1Gbps,适用于政府机关、企业等机构,可部署在网络的主要结点、总出口与数据中心,为网络提供基于角色,深度应用安全的访问控制、IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、上网行为管理等安全服务。
新一代防火墙-深度应用安全
随着网络的快速发展,越来越多的应用都建立在/S等应用层协议之上。
新的安全威胁也随之嵌入到应用之中,而传统基于状态检测的防火墙只能依据端口或协议去设置安全策略,根本无法识别应用,更谈不上安全防护。
Hillstone山石网科新一代防火墙可以根据应用的行为和特征实现对应用的识别和控制,而不依赖于端口或协议,即使加密过的数据流也能应付自如。
StoneOS®识别的应用多达几百种,而且跟随着应用的发展每天都在增加;其中包括P2P、IM(即时通讯)、游戏、办公软件以与基于SIP、H.323、等协议的应用。
同时,应用特征库通过网络服务可以实时更新,无须等待新版本软件发布。
全面的VPN解决方案
SG-6000多核安全网关支持多种IPSecVPN的部署,它能够完全兼容标准的IPSecVPN。
SG-6000系列产品对VPN(包括SSLVPN)都提供硬件加速,结合多核平台的处理能力,可为用户提供高容量、高性能的VPN解决方案。
Hillstone独具特色的即插即用VPN,可以让远端分支机构只需简单的用户名和密码即可自动从中心端下载网络和安全配置,完全解决了传统IPSecVPN设备配置难、使用难、维护成本高的缺点。
SG-6000多核安全网关还通过集成第三代SSLVPN实现角色访问控制和即插即用特性,为用户提供方便、快捷的安全远程接入服务。
容安全(UTMPlus®)
SG-6000可选UTMPlus®软件包提供病毒过滤,入侵防御,容过滤,上网行为管理和应用流量整形等功能,可以防病毒,间谍软件,蠕虫,木马等网络的攻击。
关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页,提高工作效率和控制对不良的访问。
病毒库,攻击库,URL库可以通过网络服务实时下载,确保对新爆发的病毒、攻击、新的URL做到与时响应。
安全可视化-基于角色和应用的管理
没有能见度就谈不上安全。
StoneOS®的应用和身份识别,能够满足越来越多的深度安全需求。
基于身份和角色的管理(RBNS)让网络配置更加直观和精细化。
不同的用户甚至同一用户在不同的地点或时间都可以有不同的管理策略。
用户访问的容也可以记录在本机存储模块或专用服务器中,通过用户的名称审阅相关记录使查找更简单。
基于角色的管理模式主要包含基于“人”的访问控制、基于“人”的网络资源(服务)的分配、基于”人“的日志审计三大方面。
基于角色的管理模式可以通过对访问者身份审核和确认,确定访问者的访问权限,分配相应的网络资源。
在技术上可避免IP盗用或者PC终端被盗用引发的数据泄露等问题。
全并行处理的安全架构(多核Plus®G2)
Hillstone山石网科自主开发的64位实时安全操作系统StoneOS®,具备强大的并行处理能力。
StoneOS®采用专利的多处理器全并行架构,和常见的多核处理器或NP/ASIC只负责三层包转发的架构不同;StoneOS®实现了从网络层到应用层的多核全并行处理。
因此SG-6000较业界其他的多核或NP/ASIC系统在同档的硬件配置下有多达5倍的性能提升,为同时开启多项防护功能奠定了性能基础,突破了传统安全网关的功能实用性和性能的无法两全的局限。
可扩展的模块化设计(多核Plus®G2)
SG-6000-G5150支持三种类型的扩展模块:
接口扩展模块,应用处理扩展模块,存储扩展模块。
模块化设计充分保护用户投资。
通过增加接口扩展模块提高设备的连接性,使设备不会因为网络带宽或应用系统的升级而过时;增加应用处理扩展模块,可以提高本机应用处理能力,让应用处理不再成为性能瓶颈;存储扩展模块可以实时记录NAT日志,Web访问记录,Web容审计等日志,满足公安部82号令的要求。
在校园网和小区宽带等大流量的场合,也可以使用外置高性能日志服务器。
关键指标
防火墙吞吐量
1Gbps
IPSec吞吐量
(1)
500Mbps
最大并发连接(标配/最大)
40/100万
防病毒吞吐量
(2)
70Mbps
IPS吞吐量(3)
200Mbps
每秒新建连接(4)
10,000
IPSec隧道数
1,000
最大SSLVPN用户数
500
管理接口
1个配置口,1个USB2.0口
网络接口
8个千兆电口
电源规格
单45W
电源输入围
交流100-240V50/60Hz
外形尺寸(W×D×H,mm)
1U(442x241x44)
重量
5kg
工作环境温度
0-40℃
工作环境湿度
10-95%(不结露)
3.2.2入侵检测系统
我们推荐选用入侵防御系统(IPS),集成入侵防御与入侵检测功能(IDS),即可实现检测功能,也可实现对有害行为进行阻断。
我们选用绿盟科技的“冰之眼”网络入侵保护系统。
作为入侵检测功能使用(采用旁路模式部署),可以实现实时监控和检测网络或系统中的活动状态,一旦发现网络中的可疑行为或恶意攻击,IDS便可做出与时的报警和响应。
在本系统中我们建议采用旁路部署模式,起到入侵检测功能(IDS),我们把服务器网段映射到IDS端口,检测服务器网段的所有攻击。
绿盟NIPS600A简介:
绿盟网络入侵防护系(NSFOCUS Network Intrusion PreventionSystem,简称:
NSFOCUS NIPS)是绿盟科技自主知识产权的新一代安全产品,作为一种在线部署的产品,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,而不是在监测到恶意流量的同时或之后才发出告警。
这类产品弥补了防火墙、入侵检测等产品的不足,提供动态的、深度的、主动的安全防御,为企业提供了一个全新的入侵保护解决方案。
入侵防护
实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量,保护企业信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机。
Web威胁防护
基于互联网Web站点的挂马检测结果,结合URL信誉评价技术,保护用户在访问被植入木马等恶意代码的时不受侵害,与时、有效地第一时间拦截Web威胁。
流量控制
阻断一切非授权用户流量,管理合法网络资源的利用,有效保证关键应用全天候畅通无阻,通过保护关键应用带宽来不断提升企业IT产出率和收益率。
用户上网行为监管
全面监测和管理IM即时通讯、P2P下载、网络游戏、在线视频,以与在线炒股等网络行为,协助企业辨识和限制非授权网络流量,更好地执行企业的安全策略。
产品型号
规格和性能
NSFOCUSNIPS600Series
业务接口
SOLT插槽
X
SFP+接口
X
SFP接口
X
GE接口
8
BYPASS
4路电口
管理接口
管理接口
1GE
配置串口
1个RS232
性能参数
吞吐量(双向)
600Mbps
最大并发TCP会话数
20万
每秒新增TCP会话数
15万
时延(us)
<100µs
物理指标
尺寸
320*428*44.5mm(1U)
重量
5.4千克
电源
100-240V,AC,(50-60HZ),4A,180W
平均无故障时间(MTBF)
超过100,000小时
工作温度
0~40℃
3.2.3网络安全管理系统
在本项目中网络安全管理系统采用联软科技UniAccess终端准入以与安全管理产品与UniMon综合运行监控。
3.2.3.1方案设计原则
方案设计遵循如下原则:
1)先进性原则:
提供一致的管理平台和管理界面,在复杂的IT异构环境中实现统一管理,实现分布式、跨平台、跨系统的集中管理。
2)开放性原则:
能够提供标准的和开放的应用接口与开发工具,符合IT技术未来的发展方向。
3)可扩展性原则:
具有高度可扩充性,能随IT系统和企业业务的增长而增长。
4)安全性原则:
对管理对象性能影响小,安全策略执行有效。
5)可靠性原则:
系统架构支持高可靠性,避免因为服务宕机或者网络通讯故障导致终端设备不能接入网络的情况,提供备份和冗余的架构和部署方案。
6)兼容性原则:
系统要能够实现对主流厂商的网络设备、主机设备、网络安全设备、应用系统和各种PC机、Windows版本的管理,是一个采用国际、国家或者行业标准的开放系统,以便能够支持升级后的IT系统管理
7)易用性原则:
提供运行维护管理平台与工具,简单、友好的界面,进行直观的操作和管理,提供丰富准确的报表和统计数据。
3.2.3.2方案设计思路
1.遵循ITIL标准
在“IT管理”方面,目前全球各大企业均在部署实施IT服务管理系统,IT服务管理是用来提升IT服务效率,协调IT服务部门部运作,改善IT部门与业务部门之间的沟通,帮助企业对信息化系统的规划、研发、实施和运营进行有效管理的方法。
IT服务管理结合企业环境、组织结构、IT资源和管理流程特点,将流程、人和技术三方面整合在一起来解决IT服务管理问题。
IT服务管理以客户需求(在企业部则为企业各部门的业务需求)为中心,支持企业的业务服务。
解决方案设计要采用IT服务管理的理念,按照ITIL最佳实践标准来设计。
2.遵循ISO17799标准
ISO17799作为信息系统安全管理标准,已经成为全球公认的安全管理最佳实践,成为全国大型机构在设计、管理信息系统安全时的实践指南。
ISO17799中,除了安全思路之外,给出了许多非常细致的安全管理指导规。
在ISO17799中有一个非常有名的安全模型,称为PDCA安全模型。
PDCA安全模型的核心思想是:
信息系统的安全需不断变化的,要使得信息系统的安全能够满足业务需要,必须建立动态的“计划、设计和部署、监控评估、改进提高”管理方法,持续不断地改进信息系统的安全性。
联软科技认为,三门核电的桌面安全管理,也将是一个持续、动态、不断改进的过程,LeagViewUniAccess安全接入管理系统将为三门核电提供统一的、集成化的平台和工具,帮助三门核电对其终端进行统一的安全控制、安全评估、安全审计与安全改进策略部署。
3.统一的集成化管理平台
三门核电的无线网络安全管理系统必须提供统一的、集成化管理平台。
解决方案要向IT系统管理员提供一个统一的登录入口,有整体的桌面安全视图,呈现整个计算机网络系统中所有终端设备的安全运行状况。
管理员不仅可以看到桌面安全的运行状况,终端的安全设置,也能够看到终端的软件配置、硬件配置、终端的物理位置等信息。
通过统一的集成化的管理平台,管理员可以完成所有与桌面安全管理维护相关的各种任务,具体包括:
●网络准入控制管理;
●补丁分发管理;
●桌面安全策略设置,包括:
移动存储控制、主机安全漏洞策略、防病毒安全策略、非法外联策略、网络访问审计策略等的设置;
●统一的集成化管理平台对管理员的各种操作,应提供审计功能,以备事后审计;
●分级式的系统架构,支持分时段、分区域的管理;
●综合运行监控,包括网络交换机状态、服务器状态等。
4.支持多厂商/多平台
解决方案设计的系统要能够实现对主流厂商的网络设备、多种桌面操作系统的支持,是一个采用国际、国家或者行业标准的开放系统,以便将来的网络扩容、系统升级。
5.人、计算机统一管理
终端管理需要将计算机、人和组织将结合起来管理。
很多计算机的管理信息需要通过人来反映,如计算机有问题时,通常需要知会计算机的用户。
设置安全策略,直接设置到人比机器更加直观。
3.2.3.3终端安全管理系统架构
一、UniAccess的终端安全管理总体思路
LeagViewUniAccess对电脑终端进行安全管理的总体思路是:
联软科技的网络准入控制系统流程与普通旅客登录飞机的流程可相媲美:
1)均是国际认可的安全管理标准;
2)均具备访客区、修复区、工作区的概念;
3)均具备强身份检查和安检流程;
以上过程完全满足网络准入控制的目的和意义:
能确保合法的、健康的终端接入部网络访问被授权的资源。
首先,通过网络准入控制技术,确保接入网络的电脑终端符合如下要求:
1)常规接入,对于部员工、合作支持厂商与外来访客等人员的常规网络访问,必须符合网络常规接入管理规定,例如:
拥有合法的访问、安装了指定的操作系统等,支持并自带802.1X验证功能的版本。
如果不符合管理规定,将拒绝其接入,或者通过网络对该电脑进行自动隔离。
通过操作系统自带验证功能实现终端接入的初级管理,非授权终端不能访问网络,接入成功的终端可以访问日常办公区域和互联网等。
2)安全接入,对于部员工、合作支持厂商与业务相关人员的特殊或涉密网络访问,必须安装Agent,如果是未安装Agent的电脑终端接入网络,其打开WEB浏览器访问任何Website时,将被重定向到管理员指定的一个页面,提醒其安装Agent。
不安装Agent的电脑将无法访问制定网络(特殊电脑可以例外)。
安装了Agent的终端必须符合网络安全接入管理规定,例如:
拥有合法的访问、安装了指定的防病毒软件、安装了指定的操作系统补丁等。
如果不符合管理规定,将拒绝其接入,或者通过网络对该电脑进行自动隔离,并且指引其进行安全修复。
通过客户端Agent实现终端接入的高级管理,保证接入制定区域的终端安全、可信,接入成功的终端可以访问重要的区域,如:
生产网和承载网等。
然后,对安装了Agent的电脑终端,进行进一步的管理控制,包括:
1)安全设置检查、加固,非法操作的管理、限制
2)防止文件非法外传(U盘/软盘/共享等)
3)电脑终端的集中式管理,例如,资产管理、软件分发、远程控制、补丁管理、分组策略分发、集中审计。
再次,要防止电脑终端私自、非法卸载Agent或者停止Agent的运行,确保管理策略的执行。
1)Agent自带反卸载、反非法中止、非法删除功能;
2)如果电脑终端私自卸载Agent(如重新安装操作系统)或者中止Agent的运行,LeagViewUniAccess后台系统可以与时发现这种行为。
企业可以依据有关安全管理规对其进行警告或者处罚,防这种行为的再次发生。
二、UniAccess的终端安全管理系统架构
下图是联软科技的LeagViewUniAccess网络安全管理系统架构。
图表1网络安全管理系统架构
首先,LeagViewUniAccess安全接入管理系统,通过网络准入控制技术,对接入网络的电脑终端进行实时安全检查,检查的容包括:
1)账户检查:
用户名和密码
☐防止外来人员私自安装一个一样的Agent后接入网络
2)安全设置规检查:
终端的安全设置
☐检查系统账户,包括:
Guest账户和弱口令检查;
☐Windows域检查,检查终端是否加入指定的Windows域;
☐检查可写共享设置,检查终端是否设置了可写或者没有权限限制的可写共享;
☐检查终端操作系统补丁安装情况;
☐检查终端的防病毒安装情况与其病毒特征库是否与时升级;
☐检查终端是否有可疑的注册表项;
☐检查终端是否有可疑的文件存在;
☐检查终端是否安装了非法软件。
3)终端注册ID检查:
检查终端是否在部网络注册登记过
☐网络准入控制确保接入网络的电脑终端是合法的、符合接入安全管理规的电脑终端,而且是接受管理电脑终端。
其次,对接入网络的电脑终端,可以进行进一步的安全管理和控制,包括:
1)安全加固,安全加固可以实现:
☐对主机的账户口令、屏保口令、共享目录、自动运行的服务进行安全加固,如提示用户设置强口令、设置屏保口令,删除写共享目录,停止一些危险的服务进程等。
☐强制接入网络的主机设备安装规定的防病毒软件,并且强制这些防病毒软件与时更新最新病毒,以加强主机设备的自身抗病毒能力。
☐自动为客户端安装最新补丁包,加强客户端的抗攻击能力。
2)安全评估,对电脑终端的安全设置和运行状态进行评估。
☐管理员可以定义主机必须满足什么样的安全要求才能够具备较强的抗攻击能力,当不满足时就认为主机是有安全漏洞的,这样的主机是很容易受到安全攻击的。
比如账户口令是否是强口令;目录是否有缺省可写共享;是否运行了一些危险进程;通过检查注册表发现是否有已知的间谍软件;是否安装了最新补丁包;是否安装了规定的防病毒软件并与时更新了病毒特征库。
☐检测每个客户端的网络访问流量,确定是否有发送大量广播包、流量异常大、网络连接异常多的情况,对于这些异常情况与时向管理员报告,在大规模攻击出现之前找到根源。
3)安全审计,对部的桌面电脑的操作和网络访问行为进行审计。
☐审计客户端访问Interent网、Email、文件拷贝、FTP等,防止企业信息泄漏。
☐审计连接在部网络的计算机是否同时打开一些组织不允许的方式,如Modem拨号、USB硬盘、同时跨外网等。
☐审计部的计算机是否运行非法软件,是否未经许可更改计算机上的软件、硬件配置等。
最后,如果通过评估和审计发现问题,系统管理员可以通过集中式操作控制平台,对电脑终端进行集中式的管理和设置。
通过集中式控制平台,也可以对电脑终端进行各种批量的查询和统计。
例如:
1)策略分发。
集中、批量、分组对桌面电脑进行安全设置、安全状态查询。
2)软件分发和补丁管理。
集中软件分发和补丁管理减轻管理员的日常维护工作量,提高效率。
如为某个部门的所有机器安装防病毒软件。
3)远程控制。
远程控制可以让维护人员不用离开办公位置就能够维护远程计算机。
4)设备定位。
对于不安全的接入网络的设备,管理员能够快速定位设备是连接在哪个网络交换机的哪个端口,是在什么物理位置、谁的设备,这样可以做出相应措施来控制攻击的扩散,如直接从网络断开这台设备。
5)资产管理。
管理员可以一目了然地知道连接到网络上的设备都是什么样的软硬件配置、有多少设备。
此外,LeagViewUniAccess安全接入管理系统可以对电脑终端分组进行管理,例如,将财务部门的电脑和其它部门的电脑区别对待,将总经理办公室的电脑和其它部门的电脑区别对待。
即:
按组设置安全管理策略。
对于不同级别的安全事件,采取不同的处理流程,确保重要的安全事件能够得到快速、有效的处理。
三、UniAccess的终端安全管理系统主要功能简介
具体来说,LeagViewUniAccess网络安全管理系统采用集中式管理方式,提供了以下几个方面的管理功能:
1)网络准入控制,防止非法电脑接入
支持基于802.1X的网络准入控制以与CiscoNAC网络准入控制技术,防止非法的或者不安全的终端接入部网络系统(非法终端或不安全终端接入一方面会产生信息安全行为,另一方面会破坏网络的正常稳定运行);
LeagViewUniAccess安全接入管理系统的准入控制解决方案,通过与网络设备的紧密集成(网络交换机、路由器),在不改变网络结构(例如:
路由调整)、不降低网络性能和可靠性的情况下,可以支持对总部局域网接入、远程分支机构接入、VPN接入、无线AP接入方式的准入控制。
由于和网络设备紧密集成,LeagViewUniAccess安全接入管理系统的准入控制解决方案的另外一个特点是,电脑终端一接入网络,立刻接受管理和控制,在通过准入控制认证之前,不能访问其它的网络资源或者破坏网络的性能和稳定性。
2)防止文件非法外传与员工终端操作行为管理
防止保存于电脑终端上信息文件被员工非法外传出去,包括:
禁止/审计通过软盘、U盘、网络共享等方式COPY出去。
对员工的各种不规行为进行矫正,例如:
使用非法软件、访问非法、改变电脑终端的硬件配置等。
3)桌面终端的系统安全管理
对桌面终端的安全状态进行主动评估,与时发现终端的安全漏洞和不安全的设置;对终端进行安全加固,自动为桌面终端安装补丁和进行安全设置;例如:
检查桌面终端上是否有设置屏幕保护、口令、加入Windows域,检查是否有木马的注册表项目,防病毒软件与病毒特征库检查,以与对桌面终端设置Windows本地安全策略,打补丁等。
4)设备自动发现与资产管理
自动发现网络上的所有接入设备,实现对桌面终端资产的自动管理。
包括:
软硬件资产统计,资产变更自动发现,资产的维护等。
5)桌面终端的批量管理,提高管理效率
批量对桌面终端进行管理和维护,例如:
集中式自动安装软件、远程监控和远程协助、快速设备定位,批量设置终端的安全选项等,可以提高终端的日常管理和维护效率。
此外,LeagViewUniAccess支持信息资产安全分级管理,各种安全管理策略可以按照:
部门、IP网段、IP围、设备组、操作系统类型、操作系统语言等条件定义安全管理策略的应用围。
3.2.3.4综合运行监控系统架构
作为通用系统管理平台,UniMon实现了网络、防火墙、IDS、主机、数据库、应用系统等的运行状况监控。
UniMon的统一运行监控体系如下图所示。
图3UniMon统一运行监控体系
UniMon采用集中式管理方式,提供了以下多个方面的运行监控功能:
升级会员 