网络安全解决方案建议书.docx
《网络安全解决方案建议书.docx》由会员分享,可在线阅读,更多相关《网络安全解决方案建议书.docx(23页珍藏版)》请在冰点文库上搜索。
网络安全解决方案建议书
网络安全解决方案建议书
美国Juniper网络公司
1前言
1.1范畴定义
本文针对的是XXX网络的信息安全问题,从对象层次上讲,它比较全面地囊括了从物理安全、网络安全、系统安全、应用安全到业务安全的各个层次。
原则上与信息安全风险有关的因素都应在考虑范畴内,但为了抓住重点,表达要紧矛盾,在本文要紧针对具有较高风险级别的因素加以讨论。
从安全手段上讲,本文覆盖了治理和技术两大方面,其中安全治理体系包括策略体系、组织体系和运作体系。
就XXX的实际需要,本次方案将分别从治理和技术两个环节分别给出相应的解决方案。
1.2参考标准
XXX属于一个典型的行业网络,必须遵循行业相关的保密标准,同时,为了保证各种网络设备的兼容性和业务的不断进展需要,也必须遵循国际上的相关的统一标准,我们在设计XXX的网络安全解决方案的时候,要紧参考的标准如下:
✓NASIATF3.1美国国防部信息保证技术框架v3.1
✓ISO15408/GB/T18336信息技术安全技术信息技术安全性评估准则,第一部分简介和一样模型
✓ISO15408/GB/T18336信息技术安全技术信息技术安全性评估准则,第二部分安全功能要求
✓ISO15408/GB/T18336信息技术安全技术信息技术安全性评估准则,第三部分安全保证要求
✓加拿大信息安全技术指南,1997
✓ISO17799第一部分,信息安全治理CodeofPracticeforInformationSecurityManagement
✓GB/T18019-1999包过滤防火墙安全技术要求;
✓GB/T18020-1999应用级防火墙安全技术要求;
✓国家973信息与网络安全体系研究G1*******01课题组IATF《信息技术保证技术框架》。
2系统脆弱性和风险分析
2.1网络边界脆弱性和风险分析
网络的边界隔离着不同功能或地域的多个网络区域,由于职责和功能的不同,相连网络的密级也不同,如此的网络直截了当相连,必定存在着安全风险,下面我们将对XXX网络就网络边界问题做脆弱性和风险的分析。
XXX的网络要紧存在的边界安全风险包括:
✓XXX网络与各级单位的连接,可能遭到来自各地的越权访问、恶意攻击和运算机病毒的入侵;例如一个不满的内部用户,利用盗版软件或从Internet下载的黑客程序恶意攻击内部站点,致使网络局部或整体瘫痪;
✓内部的各个功能网络通过骨干交换相互连接,如此的话,重要的部门或者专网将遭到来自其他部门的越权访问。
这些越权访问可能包括恶意的攻击、误操作等等,然而它们的后果都将导致重要信息的泄漏或者是网络的瘫痪。
2.2网络内部脆弱性和风险分析
XXX内部网络的风险分析要紧针对XXX的整个内网的安全风险,要紧表现为以下几个方面:
✓内部用户的非授权访问;XXX内部的资源也不是对任何的职员都开放的,也需要有相应的访问权限。
内部用户的非授权的访问,更容易造成资源和重要信息的泄漏。
✓内部用户的误操作;由于内部用户的运算机造作的水平参差不齐,关于应用软件的明白得也各不相同,假如一部分软件没有相应的对误操作的防范措施,极容易给服务系统和其他主机造成危害。
✓内部用户的恶意攻击;就网络安全来说,据统计约有70%左右的攻击来自内部用户,相比外部攻击来说,内部用户具有更得天独厚的优势,因此,对内部用户攻击的防范也专门重要。
✓设备的自身安全性也会直截了当关系到XXX网络系统和各种网络应用的正常运转。
例如,路由设备存在路由信息泄漏、交换机和路由器设备配置风险等。
✓重要服务器或操作系统自身存在安全的漏洞,假如治理员没有及时的发觉同时进行修复,将会为网络的安全带来专门多不安定的因素。
✓重要服务器的当机或者重要数据的意外丢失,都将会造成XXX内部的业务无法正常运行。
✓安全治理的困难,关于众多的网络设备和网络安全设备,安全策略的配置和安全事件治理的难度专门大。
3系统安全需求分析
通过对上面XXX网络的脆弱性和风险的分析,我们认为整个XXX网络的安全建设目前还比较简单,存在着一定的安全隐患,要紧的安全需求表达为以下几个方面:
边界访问操纵安全需求,网络级防病毒安全需求、入侵行为检测安全需求、安全治理需求等,下面我们将连续上几章的方法,分别在边界安全需求,内网安全需求环节就这几个关键技术进行描述。
3.1边界访问操纵安全需求
防火墙是实现网络逻辑隔离的首选技术,在XXX的网络中,既要保证在整个网络的连通性,又要实现不同网络的逻辑隔离。
针对XXX网络的具体情形,得到的防火墙的需求包括以下几个方面:
✓先进的安全理念
支持基于安全域的策略设定,让用户能够更好的明白得防火墙的应用目的。
✓访问操纵
防火墙必须能够实现网络边界的隔离,具有基于状态检测的包过滤功能,能够实现针对源地址、目的地址、网络协议、服务、时刻、带宽等的访问操纵,能够实现网络层的内容过滤,支持网络地址转换等功能。
✓高可靠性
由于防火墙是网络中的重要设备,意外的当机都会造成网络的瘫痪,因此防火墙必须是运行稳固,故障率低的系统,同时要求能够实现双机的热备份,实现不间断的网络服务。
✓日志和审计
要求防火墙能够对重要关键资源的使用情形应进行有效的监控,防火墙系统应有较强的日志处理能力和日志分析能力,能够实现日志的分级治理、自动报表、自动报警功能,同时期望支持第三方的日志软件,实现功能的定制。
✓身份认证
防火墙本身必须支持身份认证的功能,在简单的地点能够实现防火墙本身自带数据库的身份认证,在大型的情形下,能够支持与如RADIUS等认证服务器的结合使用。
✓易治理性
XXX网络是一个大型的网络,防火墙分布在网络的各处,因此防火墙产品必须支持集中的治理,安全治理员能够在一个地点实现对防火墙的集中治理,策略配置,日志审计等等。
系统的安装、配置与治理尽可能的简洁,安装便利、配置灵活、操作简单。
✓高安全性
作为安全设备,防火墙本身必须具有高安全性,本身没有安全漏洞,不开放服务,能够抗击各种类型的攻击。
针对防火墙爱护的服务器的拒绝服务攻击,防火墙能够进行阻挡,同时在阻挡的同时,保证正常业务的不间断。
✓高性能
作为网络的接入设备,防火墙必须具有高性能,不阻碍原有网络的正常运行,千兆防火墙的性能应该在900M以上,并发连接数要在50万以上。
✓可扩展性
系统的建设必须考虑到以后进展的需要,系统必须具有良好的可扩展性和良好的可升级性。
支持标准的IP、IPSEC等国际协议。
支持版本的在线升级。
✓易实现性
防火墙能够专门好的部署在现有的网络当中,最小改变网络的拓扑结构和应用设计。
防火墙要支持动态路由、VLAN协议、H323协议等。
3.2应用层攻击和蠕虫的检测和阻断需求
入侵检测要紧用于检测网络中存在的攻击迹象,保证当网络中存在攻击的时候,我们能够在攻击发生后果之前能够发觉它,同时进行有效的阻挡,同时提供详细的相关信息,保证治理员能够进行正确的紧急响应,将攻击的阻碍减少到最低的程度。
它的要紧需求包括:
✓入侵检测和防护要求
能够对攻击行为进行检测和防护,是对入侵防护设备的核心需求,入侵防护设备应该采纳最先进的检测手段,如基于状态的协议分析、协议专门等多种检测手段结合等等;要求能够检测的种类包括:
攻击行为检测、专门行为检测等等。
✓对网络病毒的阻拦
由于目前80%以上的病毒差不多上通过网络来传播的,因此为了更好的进行防毒,需要安全设备能够在网关处检测同时阻拦基于网络传输的病毒和蠕虫,同时能够提供相关特点的及时更新。
✓性能要求
内部网络的流量专门多,入侵检测和防护需要处理的数据量也相对较大,同时由于对性能的要求能够大大的减少关于攻击的漏报率和误报率,
✓自身安全性要求
作为网络安全设备,入侵检测系统必须具有专门高的安全性,配置文件需要加密储存,治理台和探测器之间的通讯必须采纳加密的方式,探测器要能够去除协议栈,同时能够抗击各种攻击。
✓服务要求
由于系统漏洞的不断显现和攻击手段的不断进展,要求应用层防护设备的攻击特点库能够及时的进行更新。
以满足网络最新的安全需求。
✓日志审计要求
系统能对入侵警报信息分类过滤、进行统计或生成报表。
对客户端、服务器端的不同地址和不同服务协议的流量分析。
能够选择不同的时刻间隔生成报表,反映用户在一定时期内受到的攻击类型、严峻程度、发生频率、攻击来源等信息,使治理员随时对网络安全状况有正确的了解。
能够依照治理员的选择,定制不同形式的报表。
3.3安全治理需求
安全治理是安全体系建设极为重要的一个环节,目前XXX网络的需要建立针对多种安全设备的统一治理平台,总体需求如下:
✓安全事件的统一监控
关于网络安全设备上发觉的安全事件,都能够进行集中的监控。
同时进行相应的关联分析,保证治理员能够通过简单的方式,不需要登陆多个设备,就能够明了目前网络中发生的安全事件。
✓安全设备的集中化治理
随着使用安全产品种类和数量的增加需要不断增加治理和爱护人员,治理成本往往呈指数级的增加,因此需要相应的技术手段对这些产品进行集中的控管。
✓安全响应能力的提升
响应能力是衡量一个网络安全建设水平的重要标准,发觉安全问题和安全事件后,必须能快速找到解决方法并最快速度进行响应,响应的方式包括安全设备的自动响应,联动响应,人工响应等等。
4系统安全解决方案
4.1设计目标
XXX网络具有专门高的安全性。
本方案要紧针对XXX网络,保证XXX内网中的重要数据的保密性,完整性、可用性、防抵赖性和可治理性,具体来说可分为如下几个方面:
✓有效操纵、发觉、处理非法的网络访问;
✓爱护在不安全网络上的数据传输的安全性;
✓能有效的预防、发觉、处理网络上传输的蠕虫病毒和其他的运算机病毒;
✓能有效的预防、发觉、处理网络上存在的恶意攻击和非授权访问;
✓合理的安全体系架构和治理措施;
✓实现网络系统安全系统的集中治理;
✓有较强的扩展性。
4.2设计原则
我们严格按照国家相关规定进行系统方案设计。
设计方案中遵守的设计原则为:
(1)统一性
系统必须统一规范、统一标准、统一接口,使用国际标准、国家标准,采纳统一的系统体系结构,以保持系统的统一性和完整性。
(2)有用性
系统能最大限度满足XXX网络的需求,结合XXX网络的实际情形,在对业务系统进行设计和优化的基础上进行设计。
(3)先进性
不管对业务系统的设计依旧对信息系统和网络的设计,都要采纳成熟先进的技术、手段、方法和设备。
(4)可扩展性
系统的设计必须考虑到以后进展的需要,具有良好的可扩展性和良好的可升级性。
(5)安全性
必须建立可靠的安全体系,以防止对信息系统的非法侵入和攻击。
(6)保密性
信息系统的有关业务信息,资金信息等必须有严格的治理措施和技术手段加以爱护,以免因泄密而造成国家、单位和个人的缺失。
(7)最高爱护原则
系统中涉及到多种密级的资源,按最高密级爱护
(8)易实现性和可治理性
系统的安装、配置与治理尽可能的简洁,安装便利,配置灵活,操作简单,同时系统应具有可授权的集中治理能力。
4.3安全产品的选型原则
XXX网络属于一个行业的专用网络,因此在安全产品的选型上,必须慎重,选型的原则包括:
✓安全保密产品的接入应不明显阻碍网络系统运行效率,同时满足工作的要求,不阻碍正常的业务;
✓安全保密产品必须满足上面提出的安全需求,保证整个XXX网络的安全性。
✓安全保密产品必须通过国家主管部门指定的测评机构的检测;
✓安全保密产品必须具备自我爱护能力;
✓安全保密产品必须符合国家和国际上的相关标准;
✓安全产品必须操作简单易用,便于简单部署和集中治理。
4.4整体安全解决方案
4.4.1访问操纵解决方案
4.4.1.1划分安全区(SecurityZone)
JuniperISG2000系统的防火墙模块增加了全新的安全区域(SecurityZone)的概念,安全区域是一个逻辑的结构,是多个处于相同属性区域的物理接口的集合。
当不同安全区域之间相互通讯时,必须通过事先定义的策略检查才能通过;当在同一个安全区域进行通讯时,默认状态下承诺不通过策略检查,通过配置后,也能够强制进行策略检查,以提高安全性。
安全区域概念的显现,使防火墙的配置能更灵活同现有的网络结构相结合。
以下图为例,通过实施安全区域的配置,内网的不同部门之间的通讯也必须通过策略的检查,进一步提高的系统的安全。
4.4.1.2划分VSYS
为满足网络中心或数据中心的要求,即网络中心或数据中心的治理员提供防火墙硬件设备的爱护和资源的分配,部门级系统治理员或托管用户的治理员来配置防火墙的IP配置以及具体策略。
Juniper公司的防火墙自500系列起,支持虚拟防火墙技术,即能够将一个物理的防火墙系统虚拟成多个逻辑的防火墙系统,满足了数据中心或网络中心硬件系统和治理系统爱护的分离要求。
4.4.1.3Virtual-Router
Juniper公司防火墙支持虚拟路由器技术,在一个防火墙设备里,将原先单一路由方式下的单一路由表,进化为多个虚拟路由器以及相应的多张独立的路由表,提高了防火墙系统的安全性以及IP地址配置的灵活性。
4.4.1.4安全策略定义
Juniper公司ISG2000系统的防火墙模块在定义策略时,要紧需要设定源IP地址、目的IP地址、网络服务以及防火墙的动作。
在设定网络服务时,JuniperISG2000系统的防火墙模块差不多内置预设了大量常见的网络服务类型,同时,也能够由客户自行定义网络服务。
在客户自行定义通过防火墙的服务时,需要选择网络服务的协议,是UDP、TCP依旧其它,需要定义源端口或端口范畴、目的端口或端口范畴、网络服务在无流量情形下的超时定义等。
因此,通过对网络服务的定义,以及IP地址的定义,使JuniperISG2000系统的防火墙模块的策略细致程度大大加强,安全性也提高了。
除了定义上述这些要紧参数以外,在策略中还能够定义用户的认证、在策略里定义是否要做地址翻译、带宽治理等功能。
通过这些要紧的安全元素和附加元素的操纵,能够让系统治理员对进出防火墙的数据流量进行严格的访问操纵,达到爱护内网系统资源安全的目的。
4.4.2防拒绝服务攻击解决方案
Juniper公司ISG2000系统的高性能确保它足以抵御目前Internet上流行的DDoS的攻击,能够识别多达28种以上的网络攻击。
在抵御要紧的分布式拒绝服务功能方面,Juniper公司JuniperISG2000系统支持SYN网关代理功能,即当SYN的连接要求超过正常的定义的范畴时,NS防火墙会自动启动SYN网关功能,代理后台服务器端结SYN的要求并发出ACK回应,直到收到SYN/ACK的响应,才会将该连接转发给服务器;否则会将超时没有响应的SYN连接要求丢弃。
Juniper公司NetScreen系列除了支持SYN网关功能之外,能够针对SYN的攻击设定阀值,只有当SYN连接要求超过预定义阀值时,才启动SYN网关的功能。
如此能够有效的提高防火墙在正常情形下的工作效率。
假如防火墙没有阀值的选项,那么用户面临的选择是:
要么不要SYN防备的功能提高性能,要么使用SYN防备的功能大大降低在正常工作状态下的性能。
这是其它防火墙产品专门不灵活的产品设计,Juniper公司的JuniperISG2000系统在两者之间取得了一种平稳。
4.4.2.1SYNFlooding
当主机中充满了需要发出响应的、无法完成连接的SYN要求,以至于主机无法再处理合法的SYN连接要求时,就发生了SYN泛滥。
利用三方封包交换,即常说的三方握手,两个主机之间建立TCP连接:
A向B发送SYN数据包;B用SYN/ACK数据包进行响应;然后A又用ACK数据包进行响应。
SYN泛滥攻击用伪造的IP源地址(不存在或不可到达的地址)的SYN要求来塞满站点B。
B用SYN/ACK数据包响应这些来自非法地址的要求,并等待来自这些地址的响应的ACK数据包。
因为SYN/ACK数据包被发送到不存在或不可到达的IP地址,因此它们永久可不能得到响应并最终超时。
通过用无法完成的TCP连接泛滥攻击主机,攻击者最后会填满受害服务主机的内存缓存区。
当该缓存区填满后,主机就不能再处理新的TCP连接要求,泛滥甚至可能会破坏受害者的操作系统。
JuniperISG2000设备能够对每秒钟承诺通过防火墙的SYN数据包数量加以限制。
能够针对目标地址和端口、仅目标地址或仅源地址的攻击临界值设置阀值。
当每秒的SYN数据包数量超过这些临界值之一时,Juniper设备开始代理发送流入的SYN数据包、用SYN/ACK数据包回复并将不完全的连接要求储存到连接队列中。
未完成的连接要求保留在队列中,直到连接完成或要求超时。
在下面的示意图中,已超过了SYN攻击临界值,Juniper防火墙开始代理SYN数据包。
在下一个示意图中,通过代理连接的队列已完全填满,JuniperISG2000系统正在拒绝流入的SYN数据包要求。
此操作爱护受爱护网络中的主机,使其免遭不完整的三方握手的轰击。
ICMPFlooding
当有大量的ICMP回应要求时,往往会造成服务器耗尽资源来进行响应,直至最后超出了服务器的最大极限以致无法处理有效的网络信息流,这时就发生了ICMP泛滥。
当启用了ICMP泛滥爱护的功能时,能够设置一个临界值,一旦超过此值就会调用ICMP泛滥攻击爱护功能。
(缺省的临界值为每秒1000个封包)。
假如超过了该临界值,JuniperISG2000设备在该秒余下的时刻和下一秒内会忽略其它的ICMP回应要求。
4.4.2.2UDPFlooding
与ICMP泛滥相似,当攻击者以减慢受害服务器响应速度为目的向该点发送含有UDP数据包的IP封包,以至于受害服务器再也无法处理有效的连接时,就发生了UDP泛滥。
当启用了UDP泛滥爱护功能时,能够设置一个临界值,一旦超过此临界值就会调用UDP泛滥攻击爱护功能。
(缺省临界值为每秒1000个封包)假如从一个或多个源向多个目标发送的UDP数据包数量超过了此临界值,JuniperISG2000在该秒余下的时刻和下一秒内会忽略其它到该目标的UDP数据包。
4.4.2.3MISC攻击
能够抵御的要紧的攻击方式有:
分布式服务拒绝攻击DDOS(DistributedDenial-Of-Serviceattacks)、IP碎片攻击(IPFragmentationattacks)、端口扫描攻击(PortScanAttacks)、IP源路由攻击(IPSourceAttacks)、IPSpoofingAttacks;AddressSweepAttacks、WinNukeAttack等共31种,请参考附件(ScreenDescription)。
4.4.3应用层防护解决方案
4.4.3.1应用层防护
当前,复杂的攻击以不同的方式显现在不同的客户环境中。
Juniper网络公司ISG2000中的应用层防护模块先进的攻击防护和定制功能有助于准确地检测攻击,并阻止其攻击网络,以幸免产生缺失。
Juniper网络公司ISG2000中的应用层防护模块先进的攻击防护功能具有以下特点:
∙多种检测方法,包括复合签名、状态签名、协议专门以及后门检测。
∙开放式签名格式承诺治理员查看攻击字符串如何匹配攻击签名,并依照需求对签名进行编辑。
这种明白得和定制级别承诺治理员定制攻击签名,以满足专门的攻击要求。
∙全面的签名定制通过提供更高的操纵能力,以适应签名的特定要求,从而增强检测专门攻击的能力。
o复合签名:
能够将状态签名和协议专门结合到单个攻击对象中,以检测单个会话中的复杂攻击,从而提高检测速度。
o400多个定制参数和Perl式的常规表达式:
能够定制签名或创建完全定制的签名。
4.4.3.1.1多重方法攻击检测
Juniper网络公司的多重方法检测技术(MMD™)将多种检测机制结合到单一产品中,以实现全面的检测。
由于不同的攻击类型要求采纳不同的识别方法,因此,仅使用几种检测方法的产品不能检测出所有类型的攻击。
Juniper网络公司ISG2000中的应用层防护模块采纳多重方法检测技术能够最大限度地检测出各种攻击类型,确保可不能遗漏关键的威逼。
MMD中采纳的检测方法包括:
机制
说明
状态签名
仅检测相关流量中的已知攻击模式
协议专门
检测未知或通过修改的攻击方式。
后门检测
检测XX的交互式后门流量。
复合签名
将状态签名和协议专门结合在一起,检测单个会话中的复杂攻击。
状态签名检测
某些攻击能够采纳攻击签名进行识别,在网络流量中能够发觉这种攻击模式。
状态签名设计用于大幅度提高检测性能,并减少目前市场上基于签名的入侵检测系统的错误告警。
Juniper网络公司ISG2000中的应用层防护模块跟踪连接状态,同时仅在可能发生攻击的相关流量部分来查找攻击模式。
传统的基于签名的入侵检测系统在流量流的任意部分查找攻击模式,从而导致较高的错误告警几率。
例如,要确定某人是否尝试以根用户身份登录服务器,传统的基于签名的IDS会在传输中显现"root"字样时随时发送告警,导致错误告警的产生。
Juniper网络公司ISG2000中的应用层防护模块采纳状态签名检测方法,仅在登录序列中查找字符串"root",这种方法可准确地检测出攻击。
Juniper网络公司ISG2000中的应用层防护模块的所有签名都可通过简单的图形用户界面来接入,因此能够容易地了解系统在监控流量的哪一部分。
此外,开放式签名格式和签名编辑器可用于迅速修改或添加签名。
这两种功能使用户能够确定对其环境的重要部分,并确保系统也能够识别出那个重要部分。
然而,状态签名方法能够跟踪并了解通信状态,因此可缩小与可能发生攻击的特定站点相匹配的模式范畴(通信模式和流方向-表示客户机至服务器或服务器至客户机的流量)。
如上图所示,状态签名仅执行与可能发生攻击的相关流量相匹配的签名模型。
如此,检测性能将显着提高,而且错误告警的数量也大大减少。
ISG2000系统能够实现对攻击签名库的每日升级,JUNIPER公司将在自己的安全网站上进行攻击特点的每日更新,目前的攻击特点包括应用层攻击,蠕虫特点、网络病毒特点、P2P应用特点等多种攻击特点。
能够对上述的非正常访问进行检测和阻挡。
协议专门检测
攻击者并不遵循某种模式来发动攻击,他们会不断开发并推出新攻击或复杂攻击。
协议专门检测可用于识别与"正常"流量协议不同的攻击。
例如,这种检测可识别出那种采纳不确定的流量以试图躲避检测、并威逼网络和/或主机安全的攻击。
以缓冲器溢出为例(见下图),攻击者在服务器的许可下使服务器运行攻击者的代码,从而获得机器的全部访问权限。
协议专门检测将缓冲器承诺的数据量与发送的数据量、以及流量超出承诺量时的告警进行比较。
协议专门检测与其所支持的多种协议具有同样的效力。
假如协议不被支持,则无法在网络中检测出使用该协议的攻击。
Juniper网络公司ISG2000中的应用层防护模块是第一种支持多种协议的产品,包括SNMP(爱护60,000多个薄弱点)和SMB(爱护运行于内部系统中的基于Windows的薄弱点)。
我们能够利用协议专门检测技术,检测到目前攻击特点码中没有定义的攻击,和一些最新显现的攻击,新的缓冲区溢出攻击确实是要通过协议专门技术进行检测的,由于协议专门技术采纳的是与正常的协议标准进行匹配,因此存在误报的可能性。
后门检测
Juniper网络公司ISG2000中的应用层防护模块是能够识别并抵御后门攻击的产品。
后门攻击进入网络并承诺攻击者完全操纵系统,这经常导致数据丢失,例如,攻击者能够利用系统的薄弱点将特
升级会员 