计算机网络安全保障系统说课.doc

二、计算机网络安全保障系统 1、系统概述 东川区采用公安专线接入的方式建立了东川区公安分局信息网络局域网中心。整体网络的构建后，网络出口不同专网数据随时暴露在公安专有网络上，网络安全威胁成为最大的隐患。本次方案中网络安全保障主要是针对政府指挥中心控制大厅和交通管控分中心各自整体的网络安全防范进行加固改造。 1.1、完善外网的有效隔离以及攻击防御 现有东川公安分局指挥中心和交警大队外部网络接入出口为百兆，但考虑到本项目中的设备升级及网络带宽的扩容，故要求部署千兆防火墙。通过防火墙，能根据网络保护脆弱的服务。通过过滤不安全的服务，防火墙可以极大地提高网络安全和减少子网中主机的风险。例如，防火墙可以禁止NIS、NFS服务通过，防火墙同时可以拒绝源路由和ICMP重定向封包。 控制对系统的访问。可以提供对系统的访问控制如允许从外部访问某些主机，同时禁止访问另外的主机。例如，允许外部访问特定的Mail Server和Web Server。 集中的安全管理。对内部网实现集中的安全管理，在定义的安全规则可以运用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。如在可以定义不同的认证方法，而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过防火墙的—次认证即可访问内部网。 增强保密性。使用可以阻止攻击者获取攻击网络系统的有用信息，如Finger和DNS。 记录和统计网络利用数据以及非法使用数据。防火墙可以记录和统计通过防火墙的网络通讯，提供关于网络使用的统计数据，并且，防火墙可以提供统计数据，来判断可能的攻击和探测。 策略执行。防火墙提供了制定和执行网络安全策略的手段。未设置防火墙时，网络安全取决于每台主机的用户VPN设备之间以及VPN设备与VPN客户端软件支持AES、3DES、DES、Twofish等多种加密算法，通过加密保证数据的机密性。支持3DES、AES、BLOWFISH、TWOFISH、SERPENT等多种加密算法，同时提供开放的加密/摘要算法接口，用户可以根据自己的需要添加新的加密算法。 1.2、构建内网的监控及入侵防御 在政府指挥中心控制大厅和交通管控分中心内部局域网各部署一台入侵检测系统，以便实时地识别和阻止内部网络用户和外部攻击者对计算机系统的非授权使用、误用和滥用，集中监视网络连接的安全状况，确保安全策略在整个系统内部得到一致地实施，并通过对多种协议的全面实时监控，随时观察网络中的行为及所传输的信息内容。 在网络系统中配置跨平台的网络入侵防御系统，实现对网络系统的全方位集中安全监控管理。监听到的网络活动记录，也为网络管理员进行分析、网络管理等提供了依据。网络信息能有效地将采集到的各种文件协议进行统计分析，对未知的网络攻击和网络病毒进行检测阻断。 入侵检测系统作为防火墙的合理补充，也能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高信息安全基础结构的完整性。能从计算机网络系统中的若干关键点收集信息，并分析这些信息。入侵检测的功能被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。 网络信息系统直接接在交换机的镜像端口上，该端口可以将通过交换机的所有数据流量自动复制一份，这样，就可以监听到通过交换机的所有数据通信，并对之进行实时的协议分析，根据其中的一些特征进行智能对比和分析。如果发现可疑连接请求、网络进攻和邮件病毒等入侵，入侵检测功能会立即报警并按照管理员所配置的动作进行反应。 入侵检测会根据系统预装的关于异常、攻击和漏洞信息库，实时监测所有网络访问活动，并在危害系统安全的事件发生时，产生预先定义的动作，以保护网络的安全。网络信息能监听到的网络活动记录，为网络管理员进行事后分析、网络管理等提供了依据。 在网络安全建设中，原有网络中对内部网络的安全攻击检测防御功能的部署要求。以适应日益发展的网络安全要求，在指挥中心控制大厅和交通管控分中心的机房分别部署一台百兆入侵检测系统能有效的对全网进行准确地安全检测防御和网络运行分析统计。 2、计算机网络安全保障方案 2.1 防火墙系统 2.1.1 技术要求 1. 性能列表 型号：F3000-1042千兆防火墙 名称 参数 接口数量 4个千兆电口，2个百兆电口，一个异步控制口 操作系统 采用自主版权的JFOS(V3.0)操作系统 并发连接数 1,800,000个 VPN隧道数 2000 VLAN数量 4093 用户数限制 无限制 ACL规则数限制 无ACL规则数量限制 电气性能 电源：AC 100-240V/50-60HZ, 350W 工作环境 存储温度 -25—70度 运行温度 -10—50度 湿度 5%-90%，无冷凝 机架高度 支持机架安装，高度为2U 平均无