外网安全解决方案2003选读.doc

外网安全解决方案 XXXXX有限公司 2011-7-4 目录 一. 前言 3 二. 网络现状 3 三. 需求分析 4 3.1 威胁分析 4 3.2 外部威胁 4 3.2.1 .内部威胁 5 3.3 风险分析 5 3.3.2 攻击快速传播引发的安全风险与IDS的不足 6 3.3.3 日志存储存在风险 6 3.3.4 需求分析 7 四. 解决方案 7 4.1 入侵保护系统和外置数据中心部署 9 4.1.1 部署图 9 4.1.2 部署说明 9 4.2 功能与效益 10 xxxx所外网安全解决方案 前言 随着网络与信息技术的发展，尤其是互联网的广泛普及和应用，网络正逐步改变着人类的生活和工作方式。网络与信息技术对社会的各行各业产生了巨大深远的影响，信息安全的重要性也在不断提升。 近年来，军工企业所面临的安全问题越来越复杂，安全威胁正在飞速增长，如蠕虫、病毒、木马、DDoS攻击、垃圾邮件，木马引起的计算机资料被篡改、窃取等，极大地困扰着用户，给企业的信息网络造成严重的破坏。能否及时发现并成功阻止网络黑客的入侵、和内部有意无意破坏保证计算机和网络系统的安全和正常运行便成为所有企业所面临的一个重要问题。 陕西中微航信电子科技有限公司是一家专业从事信息安全产品销售及整体解决方案的高新技术企业。公司专注于信息安全领域，以保护国家机密、商业机密，防止重要信息泄漏为己任，为各类用户构筑安全可信的信息堡垒。我们根据705外网实际环境制定相应的解决方案。 网络现状 出口带宽为电信10M光纤接入，通过交换机分成两路分支，一路为接待区，一路为办公区。办公区客户通过二层交换机、安氏防火墙（已无法配置）、深信服上网优化网关SG3200组成的百兆局域网。客户端为办公上网终端、管理网络设备终端和临时网吧终端组成。 办公区拓扑如下： 需求分析 威胁分析 由于网络连接互联网，网络的使用者既有来自互联网的用户、合作伙伴、网民，也有来自企业内部的员工，因此企业网络面临来自两个方面的安全威胁： 外部威胁 黑客扫描和攻击 Internet网络的恶意入侵者可能因为商业的目的或者是随机的目的对企业网络发起恶意扫描和渗透式入侵，通过渗透或绕过防火墙，进入企业网络，获取、篡改甚至破坏敏感的数据。 病毒或蠕虫侵袭 Internet网络上大量肆虐的网络蠕虫病毒具备渗透防火墙的传播能力，他们可以穿透防火墙进入企业网络；一旦遭受了病毒和蠕虫的侵袭，不仅会造成网络和系统处理性能的下降，同时也会对核心敏感的数据造成严重的威胁，甚至造成泄密事件。 .内部威胁 无意识的外部风险引入 企业网络中，由于安全技能和安全意识存在差异，员工可能无意识的通过互联网络将Internet上危险的、恶意的木马程序和恶意代码下载到内部网络执行，甚至将Internet上的蠕虫、网络病毒传播进入内部网络，这将对企业网络的安全带来严重威胁； 内部故意破坏 企业需要考虑内部的不满员工恶意破坏信息网络、系统和泄漏敏感数据的可能； 风险分析 依据企业网络现状和相关业务情况，我们主要从以下几个方面关注可能面临的安全风险： 防火墙的局限 绝大多数人在谈到网络安全时，首先会想到“防火墙”，企业一般采用防火墙作为安全保障体系的第一道防线，防御黑客攻击。但是，随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙已经无法满足企业的安全需要，部署了防火墙的安全保障体系仍需要进一步完善。 传统防火墙的不足主要体现在以下几个方面： 防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针对WEB服务的Code Red蠕虫等。 有些主动或被动的攻击行为是来自防火墙内部的，防火墙无法发现内部网络中的攻击行为。 如果有哪台电脑中了木马或者被控制，内网所有电脑都会被感染，没人敢保证他们内网的那些电脑完全没有涉密信息，不出问题则以，一出问题前面所有的努力都前功尽弃了 防火墙无法防御内部病毒、攻击示意图如下： 攻击快速传播引发的安全风险与IDS的不足 目前利用漏洞传播的蠕虫、病毒、间谍软件、DDoS攻击、垃圾邮件等混合威胁越来越多，传播速度加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应，比如蠕虫爆发造成企业网络瘫痪。入侵检测系统IDS虽然能检测出攻击行为，但无法有效阻断攻击。另外，网络防病毒系统属于被动防护，对于新的未知蠕虫病毒，防病毒软件无法检测出。因此如何保证企业网络在安装最新安全补丁之前，网络不会被蠕虫、病毒、黑客等攻击造成网络瘫痪，这是目前企业关注的问题。 日志存储存在风险 根据保密标准123条和132条严格规定要有完善的日志审计系统并且不允许随意删除审计日志，同时审计日志是