10 网络安全防护方案实例分析.ppt

第13章 网络安全防护方案实例分析 如何进行安全布防? 本方案在允许员工访问互联网的情况下，有效防范了来自外部和内部的安全威胁，建立一个完整、动态的互联网安全防御体系。 该银行的网络由三个独立网络组成，即互联网业务、银行内部办公网和业务网。其中，互联网业务主要以内部员工上网获取信息和网上银行及企业邮件系统为主，办公网以内部OA和内部办公业务系统为主，业务网则以目前银行主营业务和ATM系统为主。　　 互联网和办公网物理上为同一个网络，业务网完全与其他两个网络保持物理隔离。整个网络采用星型结构，分别使用独立的专线系统连接各级分行和总行。在网络条件不具备的地区采用接入路由器区分不同的业务系统。同时，银行业务存在大量的外联系统，它们不直接与其他网络连接。 保护内部业务系统的安全是系统安全防护的重要环节。　　 安全目标:　　　　银行网络系统的安全风险主要来自网络设施物理特性的安全、网络系统平台的安全、网上交易的安全、数据存储的安全。而系统安全风险主要体现在网络系统、操作系统和应用系统三个方面。整个系统安全设计应该遵循安全性、整体性、先进性、实用性、可适应性、技术与管理相结合的原则。 该银行系统安全建设的目标是：　　◆保护网络系统的可用性　◆保护网络资源的合法使用性　　◆防范入侵者的恶意攻击与破坏　　◆保护信息通过网上传输的机密性、完整性及不可抵赖性◆防范病毒的侵害　　◆防范垃圾邮件对内部邮件系统的侵害　　◆防范来自网络内外的攻击　　◆有效的日志管理为安全运维提供支持 解决方案与安全布署:整个方案包括两部分，第一部分是为以银行总部为基础的互联网及办公网安全建设，第二部分是为以分行为例的业务网安全建设。 1、总行和省行进行安全产品的部署，当地支行通过省行出口访问互联网资源，目前各省行采取的接入方式是专线接入当地ISP或通过ADSL接入互联网。 安全网关的部署：互联网出口采用两层异构防火墙系统接口，外层防火墙为已经部署的安全设备，内层防火墙系统采用美国Fortinet公司FortiGate防病毒安全网关。所有安全网关均采用双机热备工作方式，即高可用性HA方式，在内层FortiGate防病毒安全网关上启用相应的安全策略，控制内部用户的对外访问，并开启防病毒功能，启用反垃圾邮件技术和防攻击IPS（入侵检测／阻挡）功能。 总部安全代理的部署：内部用户对外访问使用内容代理，内容代理的流量经过两层异构安全系统进行相应的病毒和内容控制。外部用户对内访问使用SSL VPN安全代理，安全代理受两层安全系统的控制。 网银系统的业务相对独立，采用单独的安全系统加以保护。 日志管理：对所有安全设备进行统一管理，包括设备管理、日志管理。在总行和各级分行的网络中都部署FortiReporter日志管理分析系统，它采用分级管理的方式对安全网关的相关日志进行记录，可以定期为网络和安全管理人员提供相应的报表，保证系统日后审计和维护查询。同时，针对防病毒安全网关系统的病毒库及各种攻击事件库的升级维护，指定安全网关的相关升级维护策略，保证防病毒安全网关的有效工作。  * 图 局域网总体规划图 图 局域网总体规划图 　　 ???????????????????????????????????????????????????????????????????????????????????????????????????????????? 某银行总行网络 FG-800 HA HA 内容代理 内容代理 邮件代理 Mail IDS IDS Sniffer 网银系统 HA 日志系统 FortiProtecter 办公网络 身份认证系统 入侵检测和防火墙管理中心 外层防火墙 DNS WEB 公众 服务器群 SSL VPN 分行1 分行2 HA Internet 　　 ???????????????????????????????????????????????????????????????????????????????????????????????????????????? 某银行总行网络 FG-800 HA HA 内容代理 内容代理 邮件代理 Mail IDS IDS Sniffer 网银系统 HA 日志系统 FortiProtecter 办公网络 身份认证系统 入侵检测和防火墙管理中心 外层防火墙 DNS WEB 公众 服务器群 SSL VPN 分行1 分行2 HA Internet 　　 ???????????????????????????????????????????????????????????????????????????????????????????????????????????? 某银行总行网