现代社会中,随着计算机运用的普及和计算机网络技术的不断发展,计算机为整个社会带来了前所未有的变革,信息化成为社会发展的大趋势。现代生活的快节奏,迅速、及时、准确、有效的信息传递、处理,使得人类社会充斥了大量以计算机或以计算机处理器为主的系统及网络。系统一体化趋势,使网络化成为了整个信息社会的核心。与此同时,人们认识到计算机在给现代社会注入强大生命力同时,不可避免的成为对手攻击的重点对象。攻击与反攻击,成为信息社会中敌对双方利用互联网为作战平台,展开斗争的重要手段。而我国信息安全的前景,并不引人乐观。
一、 企业网络安全面临的威胁
信息安全的威胁主要来自信息网络上的非法操作,其威胁是多种多样的,并随着时间推移和技术的发展发生着变化,这些威胁既有针对信息运用系统物理环境的攻击破坏,也有对信息系统软件和信息资源的“软”攻击。主要表现为:信息泄露、完整性破坏、业务拒绝和非法使用。信息安全的威胁主要来自五种类型的威胁源:计算机病毒、网络“黑客”和蓄意入侵、内部失窃和反叛、预置陷阱以及有组织、有预谋的计算机犯罪等。
1、网络系统安全
XX信息有限公司准备使用两条条链路接入Internet, 分别来自电信、网通。需要做到对这两条链路做负载均衡。同时要求做到对Inbound、Outbound流量都能做到用户与所访问内容的就近性判断,选择最优的链路取得内容。同时由于公司内网有专门的对外WEB服务器,因此要求外部用户可以在访问该WEB服务器时使用以上两个ISP提供的链路,作到负载均衡。同时XX信息有限公司是一个大型的物流企业,因此内网运行有大型的Oracle数据库,要求使用的防火墙对Oracle数据库有良好的支持。
网络接入安全管理方案需要实现的基本功能要求如下:
● 具有网络隔离功能和代理服务/地址映射功能;
● 具有时限、流量、地址、用户、应用、节点等控制管理功能;
● 具有用户对Internet访问目标的监控和记录功能;
● 具有网络安全通讯功能;
● 具有实时入侵检测、识别、记录和自动响应功能;
● 支持流行的各种应用,包括音视频多媒体应用环境;
● 安全管理策略可由管理人员进行定义、修改;
● 防火墙对用户和应用应具有透明性,不会明显减低应用系统的效率;
● 防火墙应具有历史记录、审计和统计、报表功能;
● 防火墙的安装、维护工作量相对少、难度低;
● 防火墙本身及所依赖的运行平台价格合理,投资少、见效快。
2、安全需求分析
根据安全需求分析,XX信息有限公司网络系统安全改造工程完成后,网络应能做到如下几点:
● 设置NAT模式,能保护内部的网络结构,防止非法用户入侵内部网络,造成破坏和损失。
● 对网络带宽速率不能有任何的影响。考虑到XX信息有限公司网站提供大量设计图片和视频服务,防火墙对带宽的质量应有保障。
● 通过在公司主要网络出口设置两台防火墙做HA,避免网络的单点故障,保护其内部资料数据的可靠,防止内部数据被非法窃取。
● 防火墙应对公司内的Oracle数据库有良好的支持
使用四层以上交换机实现对内对外流量的智能选择以及外部用户通过两个ISP接入链路访问内网WEB服务器的负载均衡。
● 设置认证功能,通过对用户的身份认证,控制用户对服务器进行访问。
● 有完整的历史记录,能查看每一个经过防火墙的连接,包括日期、源地址、目的地址等,并有识别并阻断攻击功能。
● 设计的网络安全解决方案能提供网络入侵检测、识别、记录和自动响应报警功能。
● 将公司对内提供的邮件、文件服务的服务器统一放置在防火墙后端,彻底将网络内外隔开,同时具有防止IP Spoofing,SYN flood,,Ping of death 手段的攻击。
● 安全解决方案应考虑日后系统升级和冗余的工作。
二、 企业网络安全解决方案
1、 网络结构
2、方案说明
根据上图所示,我们建议在XX信息有限公司计算机网络系统的网关防火墙采用三星 Secuiwall 600 /2000,
并作如下解决方案:
将公司的数据服务器和财务服务器统一放置在防火墙的Trust区,内部用户到服务器将通过防火墙的安全审查,普通用户通过防火墙时只充许使用数据服务器,访问将通过严格认证,其他的端口将禁止通讯。
三星防火墙可将网络分成三个区域,Trust(可信任区,连接服务器),Untrust(不信任区,连接内部局域网 ),DMZ(中立区)。
将公司业务服务器集中放置在Trust区,通过三星防火墙卓越的带宽管理功能,能针对不同的区域、策略和主机分配固定的带宽,并可根据部门工作的需要分配带宽优先权,xxx公司的财务服务器使用的是最高优先级带宽的线路,并通过策略和主机的设置分配某些部门带宽优先权。
利用SecuiWall 所支持的各接口共享虚拟IP的虚拟接口组(Virtual Interface Group, VIG)功能保障会话连接,属于 VIG 的接口平时使用自己的虚拟IP 地址,一旦某一个接口发生问题,组内其他正常的接口便自动“接管”这一接口原来使用的接口虚拟IP 地址,路由寻址使用的是这个虚拟IP地址,接口发生故障而虚拟IP地址依然可以“附着”在其它接口上工作,不需要修改路由器的静态路径,而自动的调整路由防止数据包被丢失。(三星信息安全公司新技术,已获专利)
通过Radware 的LinkProof Application Switch I实现服务的负载平衡(Load Balancing)功能,合理分配Trust区的主机和DMZ区的WEB Server访问负载,满足用户分步投资网络服务器的需求。
因三星防火墙将黑客代码库集成在其可升级的结构芯片中,所以它对黑客的多种攻击手段能做出最快的反应,例如著名的DDOS分布式拒绝服务攻击(Distributed Denial-Of Service),三星 Secuiwall能让用户根据客户端主机发出的数据报的数量判断是否是DDOS 攻击程序攻击,并采取措施过滤掉攻击包中的源IP地址(尽管这些IP地址可能不是真实的)。三星 Secuiwall 提供多种简单有效的功能设置使用户能在最快的时间里做出防护措施。如关闭一些不必要的端口服务,以保障主要的服务有足够的带宽。 同时,SecuiWALL不盲目接受和处理所有外来数据包,而是首先根据用户各应用程序特征,以第一次处理的数据包为基础动态控制和预测未来的流量,所谓状态检测技术就是该基本运行机制的具体体现。SecuiWALL以现有数据包信息为基础,分析多种应用程序的详细数据,通过预测通信流量动态地生成仅维持极短时间的狭窄“通道”,也就是“瞬间接通”通信流量的路径,用户无需设计复杂的多媒体、数据库等应用程序所允许的危险策略,从而可以安全快速地使用应用程序。此种方式叫做"基于应用程序的扩展状态检测技术"。使用公开端口的应用程序,必须进行此种处理才可安全的使用。SecuiWALL在系统内核层进行数据处理,因此不会影响网络性能,因此Secuiwall防火墙对FTP、H.323、Oracle DB、MS Media Player等动态端口协议都具有强大并且良好的支持。
三、 三星防火墙特点说明
● 线速防火墙,具有极高的性能,不受安全策略数量的影响,安装前后网络速度几乎没有变化;
● 修改操作系统内核,安全性更高;
● 内核层处理数据包、极大降低应用层的负荷;
● 多线程代理方式;
● 面向网络对象的安全策略管理;
● 静态策略与动态策略的实时响应,保障防火墙的性能和安全;
● 支持多个接口及VLAN,适合多种网络结构;
● 基于应用程序的扩展状态检测,提供更多的应用扩展支持;
● 高速内容过滤功能,绑定URL、设定内容过滤,实时反映安全策略;
● 即使不使用专门的IDS(入侵检测系统),也可以检测到多种入侵行为,确保防火墙的安全运行;
● 透明HTTP代理,锁定有害的Java/ActiveX及CGI代码;
● SMTP代理,锁定邮件地址、内容过滤、防病毒,保护邮件安全;
● 多种NAT方式,节约合法IP资源,隐蔽内部网络的拓扑结构;
● 剥离DNS,防止DNS欺骗,为可信网络和不可信网络提供安全的DNS服务;
● 优化带宽使用方式,确保关键应用使用充足的带宽;
● 支持SNMP协议,与HP Openview的网络管理系统(NMS)兼容;
● 提供多种负载均衡方式;
● 支持网桥模式和路由模式的防火墙实施方案;
● 无需L4交换机、无需增加模块就可实现双机热备(Active-Standby)、负载均衡(Active-Active)的高可用性解决方案;
● 使用简单明了的图形界面及字符界面,安全管理员可以集中管理、执行安全策略;
● 多种审计、日志、报警及报告功能,管理更方便;
● 时间表策略,使安全管理自动化。
|
| |
| |
