公司网络拓扑图及公司网络建设 第7页
网络安全
6.1网络信息安全设计与实施步骤
6.1.1确定面临的各种攻击和风险
网络安全系统的设计和实现必须根据具体系统和环境,考察、分析、评估、检测(包括模拟攻击)和确定系统存在的安全漏洞和安全威胁。
6.1.2明确安全策略
安全策略是网络安全系统设计的目标和原则,是对应用系统完整的安全解决方案。安全策略要综合以下几方面优化确定:
(1) 系统整体安全性,由应用环境和用户需求决定,包括各个安全机制的子系统的安全目标和性能指标;
(2) 对原系统的运行造成的负荷和影响(如网络通信时延、数据扩展等);
(3) 便于网络管理人员进行控制、管理和配置;
(4) 可扩展的编程接口,便于更新和升级;
(5) 用户界面的友好性和使用方便性;
(6) 投资总额和工程时间等。
6.2安全解决方案的具体实现
根据公司局域网的结构特点及面临的安全隐患。我们采用思科公司设计的企业网络安全体系方案。方案在系统、科学地分析计算机网络OSI模型的基础上,确定了以下几个必须考虑的安全防护要点:网络安全隔离、网络监控措施、网络安全漏洞、网络病毒的防范,防火墙部署。
我们介绍实现防火墙的主要技术,防火墙的实现从层次上大体上可以分两种:包过滤和应用层网关。包过滤是在IP层实现的,因此,它可以只用路由器完成。报文过滤根据报文的源IP地址、目的IP地址、协议类型(TCP包、UDP包、ICMP包)、源端口、目的端口及报文传递方向等报头信息来判断是否允许报文通过。防火墙是位于Internet与内部网的接口处,网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器现在也出现了一种可以分析报文数据区内容的智能型报文过滤器。报文过滤的弱点可以用应用层网关解决。
6.2.1应用代理服务器(Application Gateway Proxy)
在网络应用层提供授权检查及代理服务。当外部某台主机试图访问受保护网络时,必须先在防火墙上经过身份认证。通过身份认证后,防火墙运行一个专门为该网络设计的程序,把外部主机与内部主机连接。在这个过程中,防火墙可以限制用户访问的主机、访问时间及访问的方式。同样,受保护网络内部用户访问外部网时也需先登录到防火墙上,通过验证后,才可访问。
应用网关代理的优点是既可以隐藏内部IP地址,也可以给单个用户授权,即使攻击者盗用了一个合法的IP地址,也通不过严格的身份认证。因此应用网关比报文过滤具有更高的安全性。但是这种认证使得应用网关不透明,用户每次连接都要受到认证,这给用户带来许多不便。这种代理技术需要为每个应用写专门的程序。
6.2.2网络地址转换器
当受保护网连到Internet上时,受保护网用户若要访问Internet,必须使用一个合法的IP地址。但由于合法Internet IP地址有限,而且受保护网络往往有自己的一套IP地址规划(非正式IP地址)。网络地址转换器就是在防火墙上装一个合法IP地址集。当内部某一用户要访问Internet时,防火墙动态地从地址集中选一个未分配的地址分配给该用户,该用户即可使用这个合法地址进行通信。同时,对于内部的某些服务器如Web服务器,网络地址转换器允许为其分配一个固定的合法地址。外部网络的用户就可通过防火墙来访问内部的服务器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾,又对外隐藏了内部主机的IP地址,提高了安全性。
6.2.3隔离域名服务器
我们采用这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离,使外部网的域名服务器只能看到防火墙的IP地址,无法了解受保护网络的具体情况,这样可以保证受保护网络的IP地址不被外部网络知悉。
邮件技术(Mail Forwarding)当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的IP地址和域名时,从外部网络发来的邮件,就只能送到防火墙上。这时防火墙对邮件进行检查,只有当发送邮件的源主机是被允许通过的,防火墙才对邮件的目的地址进行转换,送到发。
在这里,我们采用在Internet与内网之间部署一台瑞星RFW-100防火墙,成为内外网之间一道牢固的安全屏障。我们在内网中核心交换机与中心交换机间同样部署一台防火墙 ;防止内部员工攻击我们的服务器和盗窃公司内部网的机密文件。从而让重要文件服务器和数据库服务器工作在一个非军事区域内 ,及堡垒区中工作。(其中WWW、MAIL、FTP、DNS对外服务器连接在防火墙的DMZ区,与内、外网间进行隔离,内网口连接内网核心交换机,外网口通过路由器与Internet连接。那么,通过Internet进来的公众用户只能访问到对外公开的一些服务(如WWW、MAIL、FTP、DNS等),既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,并能够对发生在网络中的安全事件进行跟踪和审计)。在防火墙设置上我们按照以下原则配置来提高网络安全性:
(1)深圳汇大光电科技有限公司的局域网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对企业内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则;
(2) 防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击。
(3)上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用;
(4) 定期查看防火墙访问日志,及时发现攻击行为和不良上网记录;
(5) 通过配置网卡对防火墙设置,提高防火墙管理安全性。
上一页 [1] [2] [3] [4] [5] [6] [7] [8] 下一页