远洋大厦防火墙产品解决方案.docVIP

远洋大厦防火墙产品解决方案 当前网络结构分析 目前网络安全设备有防火墙和防病毒。具体布置如下图： 注： (表示加密VPN通道) 缺点是： 1、不能对企业内部员工访问服务器设置权限。对WEB服务器来说，企业内部网都是可信的，大家的全线都一样，不能确定是哪个员工访问了哪些内容和修改了哪些内容。尤其流动性较大员工，是企业的一个安全隐患。 用户的口令因为管理和工序的原因一般短期内不改变，如果被窃取，任何人都能也合法身份访问WEB服务器和数据库。 分支机构装有的NetScreen Remot没有防火墙的功能，如果不小心被别有用心的人安装了远程控制软件或种了木马程序，他们都可以顺着VPN通道去访问WEB服务器和数据库。 随着业务的扩大，对于安全要求高的采用NetScreen硬件设备，安全要求低的采用NetScreenRemot软件来实现。将来的网络结构如图： 注： (表示加密VPN通道) 对于如上图方案去实施，解决了数据加密的问题。但安全还是不能保障，问题出在如下几个方面： 有些分支机构是短期的，如果都购买硬件设备对企业资金投入有压力同时管理和维护起来工作量较大。 有些合作伙伴的访问，安全设备由谁来购买也是要讨论的问题。 使用NetScreenRemot软件又不能保证分支机构或使用者不被别人利用，比如：成为别人的代理服务器；被别人植入木马；以合法用户的名义访问修改等。 不能监控或通过日志来了解哪些人访问了哪些服务，以及事后追究责任。 不能有效的设置用户和口令的唯一性，不能有效的通过用户名和口令设置其访问权限。 对合作伙伴的管理，合作伙伴的职业道德。 为此，我们推荐在NetScreen保证安全互联的基础上，配合RSA身份认证系统来加固互联的安全，以及企业信息化的应用。 三、RSA 身份认证解决方案 RSA信息安全公司公司成立于1982年，总部位于美国麻省Bedford。年销售额近三亿美金，全球有60多个分支机构。亚太区的分支机构如下： 北京、上海、广州、香港、台湾 日本、澳大利亚、印度、新加坡等 RSA服务对象： 电信（移动、电信、数据） 金融（银行、证券、保险） 政府机构（公安、能源、交通、工商、海关 …） 全球性企业和机构 RSA公司致力于为全球的电子商务提供信息安全解决方案和服务，保护电子安全过程的安全性。产品包括：用户身份识别、数据保密性、权限和特性、交易完整性。 我们推荐的产品是用户身份识别系统（securID）, 此系统被称为世界级的身份认证技术领导者，有着完整的信息安全解决方案，全球超过一千三百万个令牌用户，合作伙伴 - 170 个厂家，240 种产品。中国公安部颁发：最可信赖的身份认证产品。中国计算机用户协会推荐产品。 对于企业网络安全存在的问题主要有如下几个方面： 资料或网络的破坏 内部的财务欺诈 专利信息被窃取 内部未经授权的访问 员工滥用Internet 安全威胁来自企业内部 在实际应用中，我们最常见的是静态口令。静态口令常遇到的安全危险是： 从您的身后窥视您正在键入的口令 发现保留在纸上的口令 便笺 台历 猜测口令 “password” 用户名 配偶/宠物/孩子的名字或生日 “交际工程学” 口令破解 “Crack” “L0phtCrack” “Cracker Jack” 用户身份识别系统（securID），又称为双因素认证，即：用户名(唯一的)+PIN(自己设)+令牌码（动态）。认证过程如下图： 认证流程如图所示： RSA认证系统分为三部分，令牌---ACE/Agent----ACE/Server 当用户向服务器发起访问时，RSA的ACE代理程序会首先截取此会话，同时引导你到RSA认证服务器上验证你输入的用户名和口令。当认证成功后允许你访问你的权限内的内容，其中你的访问权限可以通过RSA的ACE代理软件和你的服务器应用软件耦合，以此来分配不同用户的访问权限。 RSA双因素令牌介绍： RSA双因素令牌的选择： 硬件令牌 软件令牌 智能卡令牌 手机令牌 手机短信令牌 USB令牌 RSA认证服务器介绍 安全性 专用数据库 整个认证数据库加密 扩展性以及稳定性 支持上千万的用户数 超过一千三百万个令牌 集中化的资源以及远程管理 集中化管理，细化的管理员任务，客户化的报表 容错保护 HA硬件支持(HP ServiceGuard,IBM HACMP) 跨域身份认证 登录信息在本地进行缓存 减少网络流量 RSA用户身份认证在标准拓扑结构下的应用： 如图所示：RSA认证系统解决了企业置业内部、外部用户，以及合作伙伴未来的VIP用户访问权限和口令加固的问题。同时和NetScreen的有效配合，保证了数据的加密和安全。 NetScreen与RSA身份认证系统的配合使用 NetScreen支持RSA身份