网络安全方案技术建议书.docVIP

目 录 1 网络安全方案摘要 3 网络安全方案描述 3 网络安全解决思路 5 网络安全问题解决建议 6 网络安全详细技术建议书 7 网络架构分析 7 应用系统架构 7 应用系统平台 8 系统风险分析 8 网络架构风险分析 8 应用系统风险分析 11 安全风险分析汇总 16 安全需求分析 18 边界防护的需求 18 入侵检测需求 22 病毒防护安全需求 25 系统安全建议 26 防火墙子系统规划 27 入侵检测子系统规划 30 安全隔离子系统规划 36 病毒防护规划 40 安全产品选型 42 防火墙产品选型 42 入侵检测产品选型 44 安全隔离产品选型 47 病毒防护产品选型 48 SAV主要功能、特点 48 建立防病毒系统主要考虑内容 51 MCAFEE公司防病毒产品介绍 51 主要功能： 52 集中管理的防病毒管理体系 54 防病毒管理系统的主要特点及功能 54 强大的广域网管理能力 54 防病毒软件的管理： 56 配置和集中管理 56 任务调度和执行 57 病毒自动更新和升级 57 小结 59 产品清单 60 网络安全方案摘要 网络安全方案描述 众所周知，网络为人们提供了极大的便利。但由于构成Internet的TCP/IP协议本身缺乏安全性，提供一种开放式的环境，网络安全成为一个在开放式环境中必要的技术，成为必须面对的一个实际问题。而由于目前网络应用的自由性、广泛性以及黑客的“流行”，网络面临着各种安全威胁，存在着各种类型的机密泄漏和攻击方式，包括： 窃听报文 —— 攻击者使用报文获取设备，从传输的数据流中获取数据并进行分析，以获取用户名/口令或者是敏感的数据信息。通过Internet的数据传输，存在时间上的延迟，更存在地理位置上的跨越，要避免数据彻底不受窃听，基本是不可能的。 IP地址欺骗 —— 攻击者通过改变自己的IP地址来伪装成内部网用户或可信任的外部网络用户，发送特定的报文以扰乱正常的网络数据传输，或者是伪造一些可接受的路由报文（如发送ICMP的特定报文）来更改路由信息，以窃取信息。 源路由攻击 —— 报文发送方通过在IP报文的Option域中指定该报文的路由，使报文有可能被发往一些受保护的网络。 端口扫描 — 通过探测防火墙在侦听的端口，来发现系统的漏洞；或者事先知道路由器软件的某个版本存在漏洞，通过查询特定端口，判断是否存在该漏洞。然后利用这些漏洞对路由器进行攻击，使得路由器整个DOWN掉或无法正常运行。 拒绝服务攻击 —— 攻击者的目的是阻止合法用户对资源的访问。比如通过发送大量报文使得网络带宽资源被消耗。Mellisa宏病毒所达到的效果就是拒绝服务攻击。最近拒绝服务攻击又有了新的发展，出现了分布式拒绝服务攻击，Distributed Denial Of Service，简称DDOS。许多大型网站都曾被黑客用DDOS方式攻击而造成很大的损失。 应用层攻击 —— 有多种形式，包括探测应用软件的漏洞、“特洛依木马”等等。 另外，网络本身的可靠性与线路安全也是值得关注的问题。 随着网络应用的日益普及，尤其是在一些敏感场合（如公安、政府机关等）的应用，网络安全成为日益迫切的重要需求。网络安全包括两层内容：其一是网络资源的安全性，其二是数据交换的安全性。网络设备作为网络资源和数据通讯的关键设备，有必要提供充分的安全保护功能，交换机、路由器、防火墙、入侵检测、防病毒、网闸、管理平台等产品提供了多种网络安全机制，为网络资源和数据交换提供了有力的安全保护。本文将对其技术与实现作详细的介绍。 为了便于分析网络安全和设计网络安全解决方案，我们采取对网络分层的方法，并且在每个层面上进行细致的分析，根据风险分析的结果设计出符合具体实际的、可行的网络安全整体解决方案。 从网络、系统和应用出发，网络的安全因素可以划分到如下的五个安全层中，即物理层、网络层、系统层、应用层和安全管理。 物理层安全－网络的物理安全主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。它是整个网络系统安全的前提。在网络安全考虑时，首先要考虑物理安全。例如：设备被盗、被毁坏；设备老化、意外故障；计算机系统通过无线电辐射泄露秘密信息等。除此之外，在一些特殊重要的网络应用中，可利用“网络隔离和信息交换”技术，将两个网络从物理上隔断而保证应用上连通实现的“信息摆渡”。 网络层安全－网络层安全主要分为两个方面：网络传送安全和网络服务安全。网络传送安全主要需要注意的有重要业务数据泄漏和重要业务数据破坏。 重要业务数据泄漏：由于在同级局域网和上下级网络数据传输线路之间存在被窃听的威胁，同时局域网络内部也存在着内部攻击行为，其中包括登录通行字和一些敏感信息，可能被侵袭者搭线窃取和篡改，