网络安全设计方案.docx

文档来源为 : 文档来源为 :从网络收集整理 .word 版本可编辑 .欢迎下载支持 . 网络安全设计方案 方案一：网络安全设计方案 网络系统安全 网络信息系统的安全技术体系通常是在安全策略指导下合 理配置和部署：网络隔离与访问控制、入侵检测与响应、漏洞扫描、防病毒、数据加密、身份认证、安全监控与审计等技术设备，并且在各个设备或系统之间，能够实现系统功能互补和协调动作。 网络系统安全具备的功能及配置原则 网络隔离与访问控制。通过对特定网段、服务进行物理和逻辑隔离，并建立访问控制机制，将绝大多数攻击阻止在网络和服务的边界以外。 漏洞发现与堵塞。通过对网络和运行系统安全漏洞的周期检查，发现可能被攻击所利用的漏洞，并利用补丁或从管理上堵塞漏洞。 入侵检测与响应。通过对特定网络（段） 、服务建立的入侵检测与响应体系，实时检测出攻击倾向和行为，并采取相 应的行动（如断开网络连接和服务、记录攻击过程、加强审 计等）。 加密保护。主动的加密通信，可使攻击者不能了解、修 改敏感信息（如 vpn 方式）或数据加密通信方式；对保密或敏感数据进行加密存储，可防止窃取或丢失。 备份和恢复。良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。 监控与审计。在办公网络和主要业务网络内配置集中管理、分布式控制的监控与审计系统。一方面以计算机终端为单元强化桌面计算的内外安全控制与日志记录；另一方面通过集中管理方式对内部所有计算机终端的安全态势予以掌 控。 边界安全解决方案 在利用公共网络与外部进行连接的“内”外网络边界处使用 防火墙，为“内部”网络（段）与“外部”网络（段）划定安全边界。在网络内部进行各种连接的地方使用带防火墙功能的 vpn 设备，在进行“内”外网络（段）的隔离的同时建立网络（段）之间的安全通道。 防火墙应具备如下功能： 使用 nat 把 dmz 区的服务器和内部端口影射到 firewall 的对外端口； 允许 internet 公网用户访问到 dmz 区的应用服务： http 、 ftp 、smtp、dns 等； 允许 dmz区内的工作站与应用服务器访问 internet 公网； 允许内部用户访问 dmz 的应用服务： http 、ftp 、smtp、dns、 pop3、https ； 允许内部网用户通过代理访问 internet 公网； 禁止 internet 公网用户进入内部网络和非法访问 dmz 区应 用服务器； 禁止 dmz区的公开服务器访问内部网络； 防止来自 internet 的 dos 一类的攻击； 能接受入侵检测的联动要求，可实现对实时入侵的策略响应； 对所保护的主机的常用应用通信协议 （ http 、ftp 、telnet 、smtp）能够替换服务器的 banner 信息，防止恶意用户信息 刺探； 提供日志报表的自动生成功能，便于事件的分析； 提供实时的网络状态监控功能，能够实时的查看网络通信行 为的连接状态（当前有那些连接、正在连接的 ip 、正在关闭的连接等信息） ，通信数据流量。提供连接查询和动态图表 显示。 防火墙自身必须是有防黑客攻击的保护能力。 带防火墙功能的 vpn 设备是在防火墙基本功能（隔离和 访问控制）基础上，通过功能扩展，同时具有在 ip 层构建端到端的具有加密选项功能的 esp 隧道能力，这类设备也有svpn 的，主要用于通过外部网络（公共通信基础网络）将两 个或两个以上“内部”局域网安全地连接起来， 一般要求 svpn 应具有一下功能： 防火墙基本功能，主要包括： ip 包过虑、应用代理、提供 dmz端口和 nat 功能等（有些功能描述与上相同） ； 具有对连接两端的实体鉴别认证能力； 支持移动用户远程的安全接入； 支持 ipesp 隧道内传输数据的完整性和机密性保护； 提供系统内密钥管理功能； svpn 设备自身具有防黑客攻击以及网上设备认证的能力。 入侵检测与响应方案 在网络边界配置入侵检测设备，不仅是对防火墙功能的必要补充，而且可与防火墙一起构建网络边界的防御体系。通过入侵检测设备对网络行为和流量的特征分析，可以检测出侵害“内部”网络或对外泄漏的网络行为和流量，与防火墙形成某种协调关系的互动，从而在“内部”网与外部网的边界处形成保护体系。 入侵检测系统的基本功能如下： 通过检测引擎对各种应用协议，操作系统，网络交换的数据进行分析，检测出网络入侵事件和可疑操作行为。 对自身的数据库进行自动维护，无需人工干预，并且不对网络的正常运行造成任何干扰。 采取多种报警方式实时报警、 音响报警， 信息记录到数据库， 提供电子邮件报警、 syslog 报警、 snmptrap 报警、 windows 日志报警、 windows 消息报警信息，并按照预设策略，根据 提供的报警信息切断攻击