联想网络安全方案设计.docVIP

网络安全方案设计 根据第二章对蚌埠市怀洪新河管理局的安全需求分析，结合安全设计的策略，我们提出网络安全设计方案。同时，根据用户的实际情况结合成本投入等因素，我们将整个方案将首先解决时间紧迫且安全隐患最大的安全问题，即防火墙系统，其他安全产品如入侵监测系统、防病毒系统的部署将根据蚌埠市怀洪新河管理局里的实际情况再分步建设。 4.1设计目标 将蚌埠市怀洪新河管理局内部网与其它外部网络安全隔离，拒绝非法访问，恶意攻击，保护网络边界的安全。 抵挡木马攻击、蠕虫攻击、后门攻击、利用漏洞攻击和拒绝服务攻击。 强化对网络的控制，确保关键业务的网络带宽。 确保内部数据库服务器的数据安全，并方便内、外数据库数据传输管理。 避免因网络管理导致的安全风险。 4.2解决方案描述 部署方案示意图如下图所示： 附：蚌埠市怀洪新河管理局网络信息安全拓扑图 4.3方案选型建议 在蚌埠市怀洪新河管理局内部网与外部网之间部署高性能的防火墙——1台联想网御Power V203防火墙。对内、外网访问进行必要的控制，避免不必要的登陆访问破坏内部资源。 4.3.1选用联想网御Power V203防火墙原因 基本功能 为保证网络系统安全可靠的运行，保障系统资源受控合法的使用，防火墙应具有或实现以下功能： 包过滤、应用代理和NAT功能：在局域网与外网接点处加入防火墙，实现存取访问控制。因此选用的防火墙产品必须具有包过滤、应用代理和地址转换等功能。 高性能：对各局域网进行网段划分，设置服务器网段、管理网段等不同网段通过交换机划分虚拟子网（VLAN）。服务器网段放置重要的资源服务器、数据库服务器等，对该网段需设置防火墙特别保护。由于该网段处于局域网内，所有内部、外部用户均需通过防火墙对服务器进行访问，因此选用的防火墙产品必须是高性能的，即高带宽、高并发会话数目、高安全功能、高审计功能及高可靠性等。 高可靠性：系统中的一部分应用是实时的，系统要稳定可靠的工作，因此要求防火墙具备双机热备份功能，同时具有负载均衡功能，保证系统稳定可靠。 日志审计：对重要关键资源的使用情况应进行有效的监控，因此要求防火墙系统有较强的日志处理能力和日志分析能力，能够实现日志的分级管理。 身份认证及IP+MAC绑定：防火墙必须能对使用敏感业务的用户进行身份认证；对重要指定用户采用MAC地址绑定等手段，保证其身份不被盗用。因此，要求防火墙具有较强的身份认证和MAC地址绑定功能。 网络管理身份认证：联想防火墙具有USB-KEY认证系统，在用户名及密码被盗用但没有USB-KEY的情况下也能保证网络的安全。 集中管理与远程管理：电信系统计算机网络分布面广，防火墙布控的数量多，因此，防火墙系统应具有良好的远程集中管理功能，同时远程集中管理过程必须是安全的。 抗攻击：防火墙本身必须具有强大的抗攻击性。 及时告警：受攻击后，防火墙系统应能及时通知有关人员，因此要求防火墙系统有良好的告警能力，要求支持Email，SNMP等响应方式。 时间控制：防火墙应具备具有良好的基于时间段控制的能力。 与IDS互动：防火墙还应具备一定的IDS功能和与其它IDS互动的能力。 多协议支持：防火墙应支持多种协议，如：OSPF、RIP、RIPII路由协议，IPX、NETBIOS、VLAN、H.323、VOD、SSH等协议。 联想网御防火墙的技术特色 1.基于状态检测的动态包过滤技术 联想网御Power V203防火墙的动态包过滤技术是基于状态检测机制的包过滤技术，它不仅具有状态包过滤的安全性和高效性，它还可以很好的处理如ftp、H.323等动态协商的协议，它根据协议动态协商的结果，结合定义好的策略，动态生成规则，从而保证网络的高度安全和数据完整，同时具有很好的网络处理性能。 典型的如ftp协议，ftp协议使用一个控制连接，多个数据连接，数据连接使用的端口是协商决定的，数据传输完后连接关闭，并且数据连接存在两种工作模式：主动模式和被动模式。这两种模式的主要区别是它们发起连接的方向截然相反，主动模式是从服务器端向客户端发起；被动模式是客户端向服务器端发起连接。动态包过滤可以自动识别出数据连接的工作模式以及协商的服务端口，自动开放端口，数据连接完成后自动关闭端口。 2.主动式防火墙技术 传统的包过滤防火墙和应用网关防火墙都是被动的在相应的层上等待到达该层的数据包，然后决定是允许还是禁止，并不能根据用户策略主动地控制数据包的流动，而主动式防火墙技术，可以根据安全策略主动地控制数据包在不同协议层之间传递，为用户提供透明、安全、高效的防火墙。 联想网御Power V203防火墙采用主动式防火墙技术，在链路层截获数据包，然后送给主动式状态包过滤器，在这里根据用户的安全策略决定该如何处理该数据包。如果策略是转发，防火墙直接将该数据包从链路层转发，并不上传网络