网络安全设计方案.docVIP

网络安全设计方案 一： 网络系统安全 网络信息系统的安全技术体系通常是在安全策略指导下合理配置和部署：网络隔离与访问控制、入侵检测与响应、漏洞扫描、防病毒、数据加密、身份认证、安全监控与审计等技术设备，并且在各个设备或系统之间，能够实现系统功能互补和协调动作。 网络系统安全具备的功能及配置原则 1．网络隔离与访问控制。通过对特定网段、服务进行物理和逻辑隔离，并建立访问控制机制，将绝大多数攻击阻止在网络和服务的边界以外。 2．漏洞发现与堵塞。通过对网络和运行系统安全漏洞的周期检查，发现可能被攻击所利用的漏洞，并利用补丁或从管理上堵塞漏洞。 3．入侵检测与响应。通过对特定网络（段）、服务建立的入侵检测与响应体系，实时检测出攻击倾向和行为，并采取相应的行动（如断开网络连接和服务、记录攻击过程、加强审计等）。 4．加密保护。主动的加密通信，可使攻击者不能了解、修改敏感信息（如VPN方式）或数据加密通信方式；对必威体育官网网址或敏感数据进行加密存储，可防止窃取或丢失。 5．备份和恢复。良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。 6．监控与审计。在办公网络和主要业务网络内配置集中管理、分布式控制的监控与审计系统。一方面以计算机终端为单元强化桌面计算的内外安全控制与日志记录；另一方面通过集中管理方式对内部所有计算机终端的安全态势予以掌控。 边界安全解决方案 在利用公共网络与外部进行连接的“内”外网络边界处使用防火墙，为“内部”网络（段）与“外部”网络（段）划定安全边界。在网络内部进行各种连接的地方使用带防火墙功能的VPN设备，在进行“内”外网络（段）的隔离的同时建立网络（段）之间的安全通道。 1．防火墙应具备如下功能： 使用NAT把DMZ区的服务器和内部端口影射到Firewall的对外端口； 允许Internet公网用户访问到DMZ区的应用服务：http、ftp、smtp、dns等； 允许DMZ区内的工作站与应用服务器访问Internet公网； 允许内部用户访问DMZ的应用服务：http、ftp、smtp、dns、pop3、https； 允许内部网用户通过代理访问Internet公网； 禁止Internet公网用户进入内部网络和非法访问DMZ区应用服务器； 禁止DMZ区的公开服务器访问内部网络； 防止来自Internet的DOS一类的攻击； 能接受入侵检测的联动要求，可实现对实时入侵的策略响应； 对所保护的主机的常用应用通信协议（http、ftp、telnet、smtp）能够替换服务器的Banner信息，防止恶意用户信息刺探； 提供日志报表的自动生成功能，便于事件的分析； 提供实时的网络状态监控功能，能够实时的查看网络通信行为的连接状态（当前有那些连接、正在连接的IP、正在关闭的连接等信息），通信数据流量。提供连接查询和动态图表显示。 防火墙自身必须是有防黑客攻击的保护能力。 2．带防火墙功能的VPN设备是在防火墙基本功能（隔离和访问控制）基础上，通过功能扩展，同时具有在IP层构建端到端的具有加密选项功能的ESP隧道能力，这类设备也有SVPN的，主要用于通过外部网络（公共通信基础网络）将两个或两个以上“内部”局域网安全地连接起来，一般要求SVPN应具有一下功能： 防火墙基本功能，主要包括：IP包过虑、应用代理、提供DMZ端口和NAT功能等（有些功能描述与上相同）； 具有对连接两端的实体鉴别认证能力； 支持移动用户远程的安全接入； 支持IPESP隧道内传输数据的完整性和机密性保护； 提供系统内密钥管理功能； SVPN设备自身具有防黑客攻击以及网上设备认证的能力。 入侵检测与响应方案 在网络边界配置入侵检测设备，不仅是对防火墙功能的必要补充，而且可与防火墙一起构建网络边界的防御体系。通过入侵检测设备对网络行为和流量的特征分析，可以检测出侵害“内部”网络或对外泄漏的网络行为和流量，与防火墙形成某种协调关系的互动，从而在“内部”网与外部网的边界处形成保护体系。 入侵检测系统的基本功能如下： 通过检测引擎对各种应用协议，操作系统，网络交换的数据进行分析，检测出网络入侵事件和可疑操作行为。 对自身的数据库进行自动维护，无需人工干预，并且不对网络的正常运行造成任何干扰。 采取多种报警方式实时报警、音响报警，信息记录到数据库，提供电子邮件报警、SysLog报警、SNMPTrap报警、Windows日志报警、Windows消息报警信息，并按照预设策略，根据提供的报警信息切断攻击连接。 与防火墙建立协调联动，运行自定义的多种响应方式，及时阻隔或消除异常行为。 全面查看网络中发生的所有应用和连接，完整的显示当前网络连接状态。 可对网络中的攻击事件，访问记录进行适时查询，并可根据查询结果输出图文报表，能让管理人员方便的提取信息。 入侵检测系统犹如摄像