联想网络安全方案设计联想网络安全方案设计.doc

网络安全方案设计 根据第二章对蚌埠市怀洪新河管理局的安全需求分析，结合安全设计的策略，我们提出网络安全设计方案。同时，根据用户的实际情况结合成本投入等因素，我们将整个方案将首先解决时间紧迫且安全隐患最大的安全问题，即防火墙系统，其他安全产品如入侵监测系统、防病毒系统的部署将根据蚌埠市怀洪新河管理局里的实际情况再分步建设。 4.1设计目标 将蚌埠市怀洪新河管理局内部网与其它外部网络安全隔离，拒绝非法访问，恶意攻击，保护网络边界的安全。 抵挡木马攻击、蠕虫攻击、后门攻击、利用漏洞攻击和拒绝服务攻击。 强化对网络的控制，确保关键业务的网络带宽。 确保内部数据库服务器的数据安全，并方便内、外数据库数据传输管理。 避免因网络管理导致的安全风险。 4.2解决方案描述 部署方案示意图如下图所示： 附：蚌埠市怀洪新河管理局网络信息安全拓扑图 4.3方案选型建议 在蚌埠市怀洪新河管理局内部网与外部网之间部署高性能的防火墙——1台联想网御Power V203防火墙。对内、外网访问进行必要的控制，避免不必要的登陆访问破坏内部资源。 4.3.1选用联想网御Power V203防火墙原因 基本功能 为保证网络系统安全可靠的运行，保障系统资源受控合法的使用，防火墙应具有或实现以下功能： 包过滤、应用代理和NAT功能：在局域网与外网接点处加入防火墙，实现存取访问控制。因此选用的防火墙产品必须具有包过滤、应用代理和地址转换等功能。 高性能：对各局域网进行网段划分，设置服务器网段、管理网段等不同网段通过交换机划分虚拟子网（VLAN）。服务器网段放置重要的资源服务器、数据库服务器等，对该网段需设置防火墙特别保护。由于该网段处于局域网内，所有内部、外部用户均需通过防火墙对服务器进行访问，因此选用的防火墙产品必须是高性能的，即高带宽、高并发会话数目、高安全功能、高审计功能及高可靠性等。 高可靠性：系统中的一部分应用是实时的，系统要稳定可靠的工作，因此要求防火墙具备双机热备份功能，同时具有负载均衡功能，保证系统稳定可靠。 日志审计：对重要关键资源的使用情况应进行有效的监控，因此要求防火墙系统有较强的日志处理能力和日志分析能力，能够实现日志的分级管理。 身份认证及IP+MAC绑定：防火墙必须能对使用敏感业务的用户进行身份认证；对重要指定用户采用MAC地址绑定等手段，保证其身份不被盗用。因此，要求防火墙具有较强的身份认证和MAC地址绑定功能。 网络管理身份认证：联想防火墙具有USB-KEY认证系统，在用户名及密码被盗用但没有USB-KEY的情况下也能保证网络的安全。 集中管理与远程管理：电信系统计算机网络分布面广，防火墙布控的数量多，因此，防火墙系统应具有良好的远程集中管理功能，同时远程集中管理过程必须是安全的。 抗攻击：防火墙本身必须具有强大的抗攻击性。 及时告警：受攻击后，防火墙系统应能及时通知有关人员，因此要求防火墙系统有良好的告警能力，要求支持Email，SNMP等响应方式。 时间控制：防火墙应具备具有良好的基于时间段控制的能力。 与IDS互动：防火墙还应具备一定的IDS功能和与其它IDS互动的能力。 多协议支持：防火墙应支持多种协议，如：OSPF、RIP、RIPII路由协议，IPX、NETBIOS、VLAN、H.323、VOD、SSH等协议。 联想网御防火墙的技术特色 1.基于状态检测的动态包过滤技术 联想网御Power V203防火墙的动态包过滤技术是基于状态检测机制的包过滤技术，它不仅具有状态包过滤的安全性和高效性，它还可以很好的处理如ftp、H.323等动态协商的协议，它根据协议动态协商的结果，结合定义好的策略，动态生成规则，从而保证网络的高度安全和数据完整，同时具有很好的网络处理性能。 典型的如ftp协议，ftp协议使用连接，使用的端口数据模式：主动模式和被动模式。这两种模式发起连接的方向截然相反，主动模式是从服务器端向客户端发起；被动模式是客户端向服务器端发起连接。VLAN 联想网御Power V203防火墙完全支持工业标准的802.1Q封装协议Cisco专有的Trunk封装协议包进行包过滤处理。使用802.1Q协议时，防火墙还代理现VLAN间的数据包转发，HTTP、FTP（可限制GET、PUT命令）、Telnet、SMTP等协议，同时提供针对用户自定义的透明代理功能。 6.工作模式自适应技术 联想网御 Power V203防火墙采用了基于链路层的全透明交换工作模式，并不是说网御防火墙只能工作于链路层，网御防火墙采用了全新的自适应技术，可以让防火墙在必要时无切换地工作于IP层、或混合工作于链路层与IP层之间。 如果防火墙的不同网口所接的局域网都位于同一网段时，由于IP层的路由表里无法表征这种转发路由，传统的工作于IP层的防火墙是无法完成这种方式