局域网安全建设.docx

局域网安全建设7.7.4.2.1、边界防护解决方案应急平台计算机网络包括了省中心、地市中心、县级中心、外联单位等不同级别的安全区域，由于各区域的管理员和使用者安全防护能力参差不齐，如有防护不当，极有可能由于个别的漏洞而导致整个网络的崩溃，因此针对这些区域的安全防护是要考虑的重点内容。考虑到目前电子政务网和互联网上主要的安全威胁状况，要求在应急平台接入广域网和互联网的出口必须具备如下安全防护功能：在优先保证业务持续的基础上提供全面的防护；基于状态的链路检测功能；能够有效抵御DoS/DDoS攻击；对网络蠕虫病毒进行有效防护；可以针对数据进行2~7层的深度安全防护；监控并屏蔽恶意软件；提供对网络设备、主机、链路的保护；具备实时的升级特性；提供可供分析的标准日志结构；便捷的统一的管理；保护正常业务带宽，针对P2P协议对数据流可以灵活控制带宽；根据以上要求，这里采用防火墙设备和入侵抵御设备（IPS）共同部署完成互联接口区域的安全保护。防火墙进行2~4层保护；IPS进行4~7层深度防御，并且集成了病毒库、协议库和补丁库，在防范漏洞攻击、木马入侵、DDoS攻击的同时，防止蠕虫、病毒等侵袭，确保将各种威胁拒之于国门之外。具体部署见下图：7.7.4.2.2、局域网内部控制解决方案长期以来，对于信息安全问题，我们通常认为安全问题主要源于外面因素，于是大家都希望在互联网接入处部署安全设备，把病毒和攻击挡在门外，就可安全无忧。殊不知，安全是无内、外之分的。有许多重大的网络安全问题正是由于内部员工引起，例如，在员工浏览色情网站、利用即时通讯和访问购物网站的时候，一些间谍软件、木马程序等恶意软件就会不知不觉地被下载到电脑中，而且这些恶意软件还会在内部网络中进行传播，不仅会产生安全隐患，而且还会影响到网络的使用率。特别值得注意的是，内部的机密资料、数据等信息可能会由于恶意软件的存在，不知不觉被盗取。据美国CSI/FBI计算机安全调查的数据，虽然来自内部的攻击占总攻击次数的22％，但是破坏力却是外网攻击的10倍以上。而内网安全建设常见问题有：补丁升级与病毒库更新不及时，蠕虫病毒利用漏洞传播危害大非法外联难以控制、内部重要机密信息泄露频繁发生移动电脑设备随意接入、网络边界安全形同虚设攻击方法日新月异，内部安全难以防范软硬件设备滥用、资产安全无法保障网络应用缺乏监控，工作效率无法提高管理制度缺乏技术依据，安全策略无法有效落实设备各自为政，整网安全状况无法掌控综合考虑应急指挥中心的安全建设目标和上述的方案设计原则，其局域网安全建设必须实现的功能有：预防针对不同区域的安全级别，防火墙进行安全区域划分，最小化病毒或者其他攻击可能扩散的范围；安全管理中心结合终端接入控制软件对接入用户身份进行识别，确保接入终端的健康性，并符合应急管理中心的安全策略和制度检测防火墙和IPS对网络中的攻击行为进行2~7的深度检测和防御，保护重点区域，防止木马、蠕虫、病毒、DDoS等攻击的入侵；应用控制网关对网络出口流量进行精确检测和控制，确保带宽资源被合理利用；网流分析设备对局域网内部异常流量进行监控，及时发现安全隐患；响应安全设备及时制止威胁的同时，将安全事件上报给安全管理平台，安全管理平台对安全设备、网络设备和接入控制软件等上报的安全事件进行收集、过滤和协同分析，作出响应决策，联动网络设备和终端软件，对安全事件进行处理，将威胁抑制在源头。安全联动示意图恢复安全管理平台对整网的安全状况进行实时监控，并对所有安全事件进行记录、统一分析、并实时输出审计报告。当发生安全事故后，可以根据记录的信息对用户既往行为进行分析和追根朔源。安全管理人员可以根据报告，判断当前系统存在的安全隐患和威胁发展趋势，并将改进后的防护策略通过安全管理平台统一下发。内网安全解决方案的典型部署：7.7.4.2.3、行为监管解决方案对于出口带宽这一宝贵资源，需要进行合理利用。统计数据：P2P流量已经占用了70%的网络资源，大大影响了视频会议等正常业务的开展。所以为了保护已有投资，必须对非业务流量进行控制。通过在网络出口部署应用控制网关，对网络流量进行精细化控制，精确识别P2P协议，并且可以根据不同时段、不同用户制定不同的防护策略。同时，应用控制网关需要对IM(及时通信)，访问炒股、游戏网站和其他不健康、反动网站等行为进行控制，以保证网络资源的健康使用和内部职员的工作效率。通过对内部网络的流量的监控和分析，可以尽早发现安全隐患，并对网络资源的应用情况进行全面掌握。可以通过在汇聚或者核心交换机上布置流量监控模块的方式，对网络异常流量进行分析。行为监管解决方案的部署如下图所示：7.7.4.2.4、推荐产品集成IPSec/ GRE / SSL / MPLS VPN和防火墙功能的防火墙/VPN设备，这样在进行边界安全防护的同时，能够兼