新网ISP系统安全建设实施方案

《新网ISP系统安全建设实施方案》由会员分享，可在线阅读，更多相关《新网ISP系统安全建设实施方案（21页珍藏版）》请在装配图网上搜索。

1、新网 ISP 系统安全建设方案摘要本方案针对ISP、ASP系统的特点及其整体网络结构，提供网络安全问题的整 体解决方案。方案共分三章，第一章分析了新网ISP系统的网络安全需求，并提出了针对 该网络安全体系模型；第二章分析了目前实现安全体系的成熟技术；第三章分析 了目前市场上的主要产品及如何使用以上产品建设新网ISP系统的安全体系。矚慫润厲钐瘗睞枥庑赖。第一章 平台安全体系概述Web Server是企业对外宣传、开展业务的重要基地。由于其重要性，成为Hacker 攻击的首选目标之一。 聞創沟燴鐺險爱氇谴净。Web Server经常成为In ternet 用户访问公司内部资源的通道之一，如Webs

2、erver通过中间件访问主机系统，通过数据库连接部件访问数据库，利用CGI访问本地文件系统或网络系统中其它资源。残骛楼諍锩瀨濟溆塹籟。但Web服务器越来越复杂，其被发现的安全漏洞越来越多。为了防止 Web服 务器成为攻击的牺牲品或成为进入内部网络的跳板，我们需要给予更多的关心酽锕极額閉镇桧猪訣锥。通过以下的分析，我们提供的解决方案力图从网络安全的威胁及管理入手， 在网络的各个层次上提供全面的解决方案。彈贸摄尔霁毙攬砖卤庑。1.1安全威胁自信息发布系统开始运行以来就存在信息系统安全问题，通过网络远程访问 而构成的安全威胁成为日益受到严重关注的问题。根据美国FBI的调查，美国每年因为网络安全造成的

3、经济损失超过 170亿美元。謀养抟箧飆鐸怼类蒋薔。信息发布系统(WEB站点)可能存在的安全威胁来自以下方面：(1) 操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞，如 UNIX服务器，NT服务器及 Windows桌面PC厦礴恳蹒骈時盡继價骚。(2) 防火墙的安全性。防火墙产品自身是否安全，是否设置错误，需要经过 检验。(3) 来自内部网用户的安全威胁。(4) 缺乏有效的手段监视、评估网络系统的安全性。(5) 采用的TCP/IP协议族软件，本身缺乏安全性。未能对来自In ternet 的电子邮件夹带的病毒及Web浏览可能存在的Java/ActiveX控件进行有效控制。茕桢广鳓鯡选块网

4、羈泪。(7)应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。鹅娅尽損鹤惨歷茏鴛賴。1.2平台安全的需求对于各科各样的网络攻击，如何在提供灵活且高效的网络通讯及信息服务的 同时，抵御和发现网络攻击，并且提供跟踪攻击的手段，是本项目需要解决的问 题。籟丛妈羥为贍债蛏练淨。ISP、ASP系统网络基本安全要求：(1) 网络正常运行。在受到攻击的情况下，能够保证网络系统继续运行。(2) 网络管理/网络部署的资料不被窃取。(3) 具备先进的入侵检测及跟踪体系。(4) 提供灵活而高效的内外通讯服务。1.3平台安全的体系结构网络的安全涉及到平台的各个方

5、面。按照网络 OSI的7层模型，网络安全贯 穿于整个7层模型。针对网络实际运行的TCP/IP协议，网络安全贯穿于信息系统 的4个层次。預頌圣鉉儐歲龈讶骅籴。平台安全的层次模型下图表示了对应网络的安全体系层次模型：应应用系统安全用 会话安全安全路由/访问机制链路安全物理层信息安全层应用平台安全物理层的安全物理层信息安全，主要防止物理通路的损坏、物理通路的窃听、对物理通路 的攻击(干扰等)链路层的安全链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采用划 分VLAN(局域网)、加密通讯(远程网)等手段。 铙誅卧泻噦圣骋贶頂廡。网络层的安全网络层的安全需要保证网络只给授权的客户使用授权的

6、服务，保证网络路由 正确，避免被拦截或监听。操作系统的安全操作系统安全要求保证客户资料、操作系统访问控制的安全，同时能够对该 操作系统上的应用进行审计。应用平台的安全应用平台指建立在网络系统之上的应用软件服务，如数据库服务器、电子邮 件服务器、Web!务器等。由于应用平台的系统非常复杂，通常采用多种技术（如 SSL等）来增强应用平台的安全性。擁締凤袜备訊顎轮烂蔷。应用系统的安全应用系统完成网络系统的最终目的-为用户服务。应用系统的安全与系统设 计和实现关系密切。应用系统使用应用平台提供的安全服务来保证基本安全，如 通讯内容安全，通讯双方的认证，审计等手段。贓熱俣阃歲匱阊邺镓騷。1.4全方位的安

7、全体系与其它安全体系(如保安系统)类似，信息发布系统(WEB站点)的安全休系应包含：(1) 访问控制。通过对特定网段、服务建立的访问控制体系，将绝大多数攻击 阻止在到达攻击目标之前。(2) 检查安全漏洞。通过对安全漏洞的周期检查，即使攻击可到达攻击目标， 也可使绝大多数攻击无效。 攻击监控。通过对特定网段、服务建立的攻击监控体系，可实时检测出绝 大多数攻击，并采取相应的行动(如断开网络连接、记录攻击过程、跟踪 攻击源等)。坛搏乡囂忏蒌鍥铃氈淚。(4) 认证。良好的认证体系可防止攻击者假冒合法用户。(5) 备份和恢复。良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复 数据和系统服务。(6)

8、多层防御，攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。(7) 隐藏内部信息，使攻击者不能了解系统内的基本情况。(8) 设立安全监控中心，为信息系统提供安全体系管理、监控，渠护及紧急情 况服务。1.5平台安全的管理因素平台安全可以采用多种技术来增强和执行。但是，很多安全威胁来源于管理 上的松懈及对安全威胁的认识。安全威胁主要利用以下途径：(1) 系统实现存在的漏洞。(2) 系统安全体系的缺陷。(3) 使用人员的安全意识薄弱。(4) 管理制度的薄弱。良好的平台管理有助于增强系统的安全性：(1) 及时发现系统安全的漏洞。(2) 审查系统安全体系。(3) 加强对使用人员的安全知识教育。(4)

9、建立完善的系统管理制度。第二章安全及监控体系的实现技术基于以上的分析，信息发布系统（WEB站点）涉及到各方面的网络安全及管理 问题，我们认为整个信息发布系统（WEB站点）的运行体系必须集成多种安全技术 及管理实现。如防火墙技术，入侵监控技术、安全漏洞扫描技术、故障性能管理 技术、专家分析系统技术等。蜡變黲癟報伥铉锚鈰赘。2.1防火墙枝术防火墙是近年发展起来的重要安全技术，其主要作用是在网络入口点检查网 络通讯，根据客户设定的安全规则，在保护内部网络安全的前提下，提供内外网 络通讯。買鯛鴯譖昙膚遙闫撷凄。2.1.1 使用Firewall 的益处保护脆弱的服务通过过滤不安全的服务，Firewall

10、可以极大地提高网络安全和减少主机的 风险。例如，Firewall可以禁止NIS、NFS!务通过，Firewall同时可以拒绝源 路由和ICMP重定向封包。綾镝鯛駕櫬鹕踪韦辚糴。控制对系统的访问Firewall可以提供对系统的访问控制。集中的安全管理增强的保密性使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Fin ger和DNS记录和统计网络利用数据以及非法使用数据Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据，来判断可能的攻击和探测。 驅踬髏彦浃绥譎饴憂锦。策略执行Firewall提供了制定和执

11、行网络安全策略的手段。2.1.2 设置Firewall的要素网络策略影响Firewall系统设计、安装和使用的网络策略可分为两级，高级的网 络策略定义允许和禁止的服务以及如何使用服务，低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。猫虿驢绘燈鮒诛髅貺庑。服务访问策略服务访问策略集中在In ternet访问服务以及外部网络访问(如拨入策略、 SLIP/PPP连接等)。服务访问策略必须是可行的和合理的。可行的策略必须在阻止己知的网络 风险和提供用户服务之间获得平衡。典型的服务访问策略是：允许通过增强认 证的用户在必要的情况下从In ternet访问某些内部主机和服务；允许内

12、部用 户访问指定的In ternet 主机和服务。锹籁饗迳琐筆襖鸥娅薔。Firewall设计策略Firewall设计策略基于特定的firewall ，定义完成服务访问策略的规则。通常有两种基本的设计策略：構氽頑黉碩饨荠龈话骛。(1) 允许任何服务除非被明确禁止； 禁止任何服务除非被明确允许。通常采用第二种类型的设计策略。增强的认证许多在In ternet上发生的入侵事件源于脆弱的传统用户/ 口令机制。多年 来，用户被告知使用难于猜测和破译的口令，虽然如此，攻击者仍然在In ternet 监视伟输的口令明文，使传统的口令机制形同虚设。 輒峄陽檉簖疖網儂號泶。增强的认证机制包含智能卡，认证令牌，生

13、理特征(指纹)以及基于软件(RSA)等技术，来克服传统口令的弱点。尧侧閆繭絳闕绚勵蜆贅。虽然存在多种认证技术，它们均使用增强的认证机制产生难于被攻击者重 用的口令和密钥。目前许多流行的增强认证机制使用一次有效的口令和密钥 (如SmartCard和认证令牌)。识饒鎂錕缢灩筧嚌俨淒。2.1.3 Firewall的基本分类包过滤IP 包过滤：V源IP地址；V目的IP地址；V TCP/UDP源 端口；V TCP/UDP 目的端口。包过滤路由器存在许多弱点：V包过滤规则难于设置并缺乏已有的测试工具验证规则的正确性(手工测试除外)。一些包过滤路由器不提供任何日志能力，直到闯入发生后，危险 的圭寸包才可能检

14、测出来。凍鈹鋨劳臘错痫婦胫籴。V实际运行中，经常会发生规则例外，即要求允许通常情况下禁止的访问通 过。但是，规则例外使包过滤规则过于复杂而难以管理。例如，定义规则-禁止所有到达(Inbound)的端口 23连接(telnet)，如果某些系统需要直接Telnet连接，此时必须为内部网的每个系统分别定义一条规则。恥諤銪灭萦欢煬鞏鹜錦。V某些包过滤路由器不支持TCP/UDP源端口过滤，可能使过滤规则集更加复 杂，并在过滤模式中打开了安全漏洞。如SMTP连接源端口是随机产生的（1023），此时如果允许双向的SMTP连接，在不支持源端口过滤的路由器 上必须定义一条规则：允许所有1023端口的双向连接。此

15、时用户通过重 新映射端口，可以绕过过滤路由器。 鯊腎鑰诎漣鉀沩懼統庫。V 对许多RPC（RemouteProcedure Call服务进行包过滤非常困难。由于 RPC 的Listen 口是在主机启动后随机地分配的，要禁止RPC服务，通常需要禁止所有的UDP绝大多数RPC使用UDP，如此可能需要允许的 DNS连接 就会被禁止。硕癘鄴颃诌攆檸攜驤蔹。应用网关为了解决包过滤路由器的弱点，Firewall要求使用软件应用来过滤和传送服 务连接（如Telnet和Ftp）。这样的应用称为代理服务，运行代理服务的主机被称 为应用网关。应用网关和包过滤器混合使用能提供比单独使用应用网关和包过滤 器更高的安全性

16、和更大的灵活性。应用网关的优点是： 阌擻輳嬪諫迁择植秘騖。V比包过滤路由器更高的安全件。V提供对协议的过滤，如可以禁止 FTP连接的Put命令。V信息隐藏，应用网关为外部连接提供代理。V健壮的认证和日志。V节省费用，第三方的认证设备（软件或硬件）只需安装在应用网关上。V简化和灵活的过滤规则，路由器只需简单地通过到达应用网关的包并拒绝其余的包通过。应用网关的缺点在于：V新的服务需要安装新的代理服务器。V有时需要对客户软件进行修改。V可能会降低网络性能。V应用网关可能被攻击。线路级网关线路级网关提供内部网和外部网连接的中继，但不提供额外的处理和过滤能 力。Stateful防火墙该类防火墙综合了包过

17、滤防火墙及应用网关的特性。能够提供比应用网关更 多的连接特性，但是安全性比较应用网关差。氬嚕躑竄贸恳彈濾颔澩。建设Firewall 的原则分析安全和服务需求以下问题有助于分析安全和服务需求：V 计划使用哪些In ternet 服务（如http ,tp ,gopher），从何处使用In ternet 服务（本地网，拨号，远程办公室）。釷鹆資贏車贖孙滅獅赘。V增加的需要，如加密或拔号接入支持。V提供以上服务和访问的风险。V提供网络安全控制的同时，对系统应用服务牺牲的代价。策略的灵活性In ternet相关的网络安全策略总的来说，应该保持一定的灵活性，主要有以下原因：V In ternet自身发展非

18、常快，机构可能需要不断使用In ternet提供的新服务开展业务。新的协议和服务大量涌现带来新的安全问题，安全策略必须 能反应和处理这些问题。怂阐譜鯪迳導嘯畫長凉。V机构面临的风险并非是静态的，机构职能转变、网络设置改变都有可能改 变风险。远程用户认证策略V远程用户不能通过放置于Firewall后的未经认证的Moden访问系统。V PPP/SLIP连接必须通过 Firewall 认证。V对远程用户进行认证方法培训。拨入/拨出策略V拨入/拨出能力必须在设计Firewall时进行考虑和集成。V外部拨入用户必须通过Firewall的认证。In formatio n Server 策略V公共信息服务器

19、的安全必须集成到 Firewall中。V必须对公共信息服务器进行严格的安全控制，否则将成为系统安全的缺口。V为In formation server定义折中的安全策略允许提供公共服务。V对公共信息服务和商业信息（如email）讲行安全策略区分。Firewall系统的基本特征V Firewall必须支持.“禁止任何服务除非被明确允许”的设计策略。V Firewall必须支持实际的安全政策，而非改变安全策略适应Firewall。V Firewall必须是灵活的，以适应新的服务和机构智能改变带来的安全策略的改变。V Firewall必须支持增强的认证机制。V Firewall应该使用过滤技术以允许或

20、柜绝对特定主机的访问。V IP过滤描述语言应该灵活，界面友好，并支持源IP和目的IP，协议类型, 源和目的TCP/UDP，以及到达和离开界面。谚辞調担鈧谄动禪泻類。V Firewall应该为FTP TELNET!供代理服务，以提供增强和集中的认证管 理机制。如果提供其它的服务（如NNTP http等）也必须通过代理服务器。嘰觐詿缧铴嗫偽純铪锩。V Firewall应该支持集中的SMTpi理，减少内部网和远程系统的直接连接。V Firewall应该支持对公共In formatio n server的访问，支持对公共Information server 的保护，并且将 Information se

21、rver 同内部网隔离。 熒绐譏钲鏌觶鷹緇機库。V Firewall可支持对拨号接入的集中管理和过滤。V Firewall应支持对交通、可疑活动的日志记录。V如果Firewall需要通用的操作系统，必须保证使用的操作系统安装了所 有己知的安全漏洞Patch。鶼渍螻偉阅劍鲰腎邏蘞。V Firewall的设计应该是可理解和管理的。V Firewall依赖的操作系统应及时地升级以弥补安全漏洞。选择防火墙的要点(1)安全性：即是否通过了严格的入侵测试。(2)抗攻击能力：对典型攻击的防御能力(3)性能：是否能够提供足够的网络吞吐能力自我完备能力：自身的安全性，Fail-close(5)可管理能力：是否支

22、持SNM网管VPN 支持(7)认证和加密特性(8)服务的类型和原理(9)网络地址转换能力2.2入侵检测技术利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络 保护，降低了网络安全风险。但是，仅仅使用防火墙、网络安全还远远不够：纣忧蔣氳頑莶驅藥悯骛。(1) 入侵者可寻找防火墙背后可能敞开的后门。(2) 入侵者可能就在防火墙内。(3) 由于性能的限制，防火墙通常不能提供实时的入侵检测能力。入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测 及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。颖刍莖峽饽亿顿裊赔泷。实时入侵检测能力之所以重要首先它能够对付来

23、自内部网络的攻击，其次它 能够缩短hacker入侵的时间。入侵检测系统可分为两类：V基于主机V基于网络基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查，非法访问的闯入等，并且提供对典型应用的监视如Web服务器应用。濫驂膽閉驟羥闈詔寢賻。基于网络的入侵检测系统用于实时监控网络关键路径的信息，其基本模型如 下图示：(i.e., store contents of connectiondisk)PassiveProtocol:An alysis(i.e, TCP Stream recon structi on) |Ether net. Storage (D) Box图

24、2-1入侵检测系统的基本模型上述模型由四个部分组成：(1) Passive protocol A nalyzer网络数据包的协议分析器、将结果送给模式匹配部分并根据需要保存。挤貼綬电麥结鈺贖哓类。Pattern-Matchi ng Sig nature An alysis根据协议分析器的结果匹配入侵特征，结果传送给 Countermeasure部分。赔荊紳谘侖驟辽輩袜錈。(3) coun termeasure 执行规定的动作。(4) Storage 保存分析结果及相关数据。基于主机的安全监控系统具备如下特点：(1) 精确，可以精确地判断入侵事件。(2) 高级，可以判断应用层的入侵事件。(3)

25、对入侵时间立即进行反应。(4) 针对不同操作系统特点。(5) 占用主机宝贵资源。基于网络的安全监控系统具备如下特点:(1)能够监视经过本网段的任何活动实时网络监视。监视粒度更细致。精确度较差。防入侵欺骗的能力较差。交换网络环境难于配置。选择入侵监视系统的要点是:(1)协议分析及检测能力。解码效率(速度)。自身安全的完备性。精确度及完整度，防欺骗能力模式更新速度。2.3安全扫描技术网络安全技术中，另一类重要技术为安全扫描技术。安全扫描技术与防火墙、 安全监控系统互相配合能够提供很高安全性的网络。塤礙籟馐决穩賽釙冊庫。安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描 工具为

26、网络安全漏洞的发现提供了强大的支持。裊樣祕廬廂颤谚鍘芈蔺。安全扫描工具通常也分为基于服务器和基于网络的扫描器。基于服务器的扫描器主要扫描服务器相关的安全漏洞，如password文件，目录和文件权限，共享文件系统，敏感服务，软件，系统漏洞等，并给出相应的解 决办法建议。通常与相应的服务器操作系统紧密相关。仓嫗盤紲嘱珑詁鍬齊驚。基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、 访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御 能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。网络安全扫描的主 要性能应该考虑以下方面： 绽萬璉轆娛閬蛏鬮绾瀧。(1)

27、速度。在网络内进行安全扫描非常耗时。(2) 网络拓扑。通过GUI的图形界面，可迭择一步或某些区域的设备。(3) 能够发现的漏洞数量。(4) 是否支持可定制的攻杰方法。通常提供强大的工具构造特定的攻击方法。 因为网络内服务器及其它设备对相同协议的实现存在差别，所以预制的扫 描方法肯定不能满足客户的需求。骁顾燁鶚巯瀆蕪領鲡赙。(5) 报告，扫描器应该能够给出清楚的安全漏洞报告。(6) 更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性 升级，并给出相应的改进建议。安全扫描器不能实时监视网络上的入侵，但是能够测试和评价系统的安全性，并及时发现安全漏洞2.4病毒防护病毒历来是信息系统安全的

28、主要问题之一。由于网络的广泛互联，病毒的传 播途径和速度大大加快。我们将病毒的途径分为：(1 ) 通过ftp，电子邮件传播。(2) 通过软盘、光盘、磁带传播。(3) 通过Web游览传播，主要是恶意的Java控件网站。(4) 通过群件系统传播。病毒防护的主要技术如下：(1) 阻止病毒的传播。在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒 过滤软件。在桌面PC安装病毒监控软件。瑣钋濺暧惲锟缟馭篩凉。(2) 检查和清除病毒。使用防病毒软件检查和清除病毒。(3) 病毒数据库的升级。病毒数据库应不断更新，并下发到桌面系统。(4) 在防火墙、代理服务器及 PC上安装Java及Act

29、iveX控制扫描软件，禁 止未经许可的控件下载和安装。鎦诗涇艳损楼紲鯗餳類。第三章安全及管理产品的解决方案安全技术和产品近几年在市场上大量涌现，并开始成熟起来。本章给出了采 用的主要产品的特征，并分析了安全体系与网络系统及应用系统的集成。栉缏歐锄棗鈕种鵑瑶锬。3.1安全体系采用的产品分析防火墙产品Gaun tletNetwork Associates公司的网络安全产品涉及到网络安全的各个方面，从防火墙、防病毒、网络安全扫描到网络安全监测等各个方面提供了网络安全的全线 产品。辔烨棟剛殓攬瑤丽阄应。Network Associates 公司的Gauntlet是使用另一种技术原理的防火墙产品。Gau

30、n tlet使用完全的代理服务方式提供广泛的协议支持以及高速的吞吐能力 (70Mbps)，很好的解决了安全、性能及灵活性的协调。峴扬爛滾澗辐滠兴渙藺。由于完全使用应用层的代理服务，Gauntlet提供了该领域最安全的解决方案， 从而对访问的控制更加细致。詩叁撻訥烬忧毀厉鋨骜。Gauntlet 通过对 IPSEC/ISAKMP/Oakly的支持，使用 DES及 Triple DES 提供 了强大的VPN支持。特别是X.509 V3支持，使大型VPN勺管理和认证易于实现。 则鯤愜韋瘓賈晖园栋泷。Gauntlet 的VPN加密模块支持 56bitDES及168bit Triple DES 。如果选择

31、 Recovery Key，美国以外的用户也可购买 168 bit Triple DES 模块。胀鏝彈奥秘孫戶 孪钇賻。Gauntlet Global Virtual Private Network 4. 1内置了基于 PKI 的证书管理服务器。鳃躋峽祷紉诵帮废掃減。安全监控产品CyberCop Mon itorCyberCop Monitor为美国网络联盟公司最新推出的新一代的基于主机 (host-based)的侵入检测系统,它可对关键服务器提供了实时的保护。通过监视来 自网络的攻击、非法的闯入、异常进程，CyberCop Monitor能够实时地检测出攻击，并作出切断服务/重启服务器进程/

32、发出警报/记录入侵过程等动作。稟虛嬪赈维哜 妝扩踴粜。对于安装在 Web Server上的CyberCop Monitor,它还可以当 WEB主页的内容 被非法修改时，自动将原始 WEB主页的内容恢复，同时，它还具有先进的 Fail-Close 功能。陽簍埡鮭罷規呜旧岿錟。CyberCop Mo nitor也可配置为分布式方式，由安装在每台服务器上的age nt进行攻击识别及动作执行，Server则完成管理和记录工作。沩氣嘮戇苌鑿鑿槠谔應。目前，CyberCop Monitor可安装在NT 4.0、Solaris2.6 以上操作系统。安全扫描器CyberCop Sca nn er (Balli

33、sta 2.4)是一套用于网络安全扫描的软件工具，由富有实际经验的安全专家开发和维护。该产品卓越的性能获得了In foworld的高度评价。具体的测试结论请参见附页。钡嵐縣緱虜荣产涛團蔺。CyberCop Sca nner 具备以下突出的特征：(1) 强有力的内置 Unix/NT 口令Crack。(2) 功能强大的攻击测试手段。CyberCop Scanner提供了其它对手没有的定制攻击描述语言(CASL)及 Customer Audit Packet Engine(CAPE)。因此用 户可方便地定制自身的攻击方法来测试系统的安全性。懨俠劑鈍触乐鹇烬觶騮。(3) 提供了强大的对SNM设备及NT

34、操作系统的薄弱点扫描。（4）使用隐含端口扫描方式，大大提高扫描速度。（5）提供了业界最快的安全漏洞升级。3.1.4 病毒防护系统病毒防护系统由Total Virus Defense套件组成，提供了病毒的检测和清除、诊断、安全、恢复和管理技术。謾饱兗争詣繚鮐癞别濾。Virus Scan -全球领先的桌面反病毒产品。WebScanX - 保护系统免受恶意的java和ActiveX小程序的破坏。NetShield -全球领先的服务器反病毒产品。WebShield -全球领先的网关反病毒产品。En terprise SecureCast -自动发布病毒更新信息。Ma nageme nt Edition

35、 -具备集中的管理、分发和警告功能。NAI的TVD套件提供了全球最多的病毒类型检测 （45000种以上），并且占领了全球60%以上的市场。呙铉們欤谦鸪饺竞荡赚。NAI的MacFeeLabs小组分别在六大洲进行病毒研究，提供全天候的全球病毒 研究。每发现一种新病毒，该病毒特征文件按小时在 Web上发布。莹谐龌蕲賞组靄绉嚴减。3.2 安全体系与系统的集成将以上的网络安全产品结合起来，加上为用户专门定制的安全策略和配置管 理手段等，就形成了信息发布系统（WEB站点）系统安全全面解决方案的框价。麸肃 鹏镟轿騍镣缚縟糶。以上产品的基本功用可以概括为：防火墙技术，主要针对来源于企业外部的攻击，相当于在企业

36、网络和外部 网之间的安全屏障。防病毒技术，防病毒技术是网络安全技术中最为简单的技术，但病毒的攻 击来源于多种方面，权威机构的调查显示，病毒的攻击是造成网络损失的 主要原因。我们采用NAI的全面防病毒产品将提供从单机用户到网络用户 和互连网络网络用户的全面病毒防护策略。納畴鳗吶鄖禎銣腻鰲锬。入侵检测技术，入侵检测技术主要提供对已经入侵的访问和试图入侵的访 问进行跟踪、记录和提供犯罪证据。安全扫描技术，对网络系统的各个环节包括操作系统到防火墙等各个环节提供可靠的分析结果，并提供可靠和安全性分析报告等。 風撵鲔貓铁频钙蓟纠 庙。通过以上的集成安全策略的实施，将达到确保信息发布系统（WEB站点）的安全

37、性。3.3技术支持服务集成网络安全系统的正常有效运行需要大量的技术支持保证。由于安全问题层出 不穷，因此，购买了安全产品，还必须获得供应商及集成商能够提供的持久的技 术支持。灭暧骇諗鋅猎輛觏馊藹。金陵泰克将在以下方面给予技术支持：(1) 培训，包含网络安全及管理理论及产品。(2) 设计，帮助客户设计网络安全系统。(3) 故障排除，24x7的紧急服务帮助客户排除故障及入侵跟踪服务。(4) 升级，每个月对网络安全产品实行升级。(5) 咨询，提供基于电话/传真/电子邮件的咨询。3.4 新网WEB站点网络安全解决方案方案一：网络拓朴如图一 。 铹鸝饷飾镡閌赀诨癱骝。Remote UserGVPNCyb

38、erCop Moni tor(rGauntlet Firewall WebShieldBus in essRemote OfficenternetDatabasePGPDNS Server Web ServerApplicatio nEmailRecipie ntPart nerserverScannerCyberCopDMZ新网计算机网络有两大部分组成：位于电报局的中心机房和位于公司的内部网 络。中心机房主要提供与外界的连接，包括：虚拟主机、POP3以及网上商场等。公司的内部网络主要提供公司管理和办公自动化服务以及对中心机房的远程管 理。中心机房通过租用电信部门的广域网线路进行连接，公司内部

39、通过电话线拨 号接入In ternet 。攙閿频嵘陣澇諗谴隴泸。为了实现网络访问控制和数据安全，我们在中心机房设置WebShield 300e-ppliance硬件防火墙。趕輾雏纨颗锊讨跃满賺。WebShield 300 e-pplianc硬件防火墙 的技术特点：1、 NAI与SUN公司合作生产的一款新型硬件防火墙，是结合美国两大著名IT厂家的产品，同时为了减少 SUN Solaris 5.6操作系统的安全漏洞，主要是拒绝服务 攻击，NAI对Solaris 5.6进行了重要编写，达到了更高安全等级。夹覡闾辁駁档驀迁锬減。2、集中 NAI 公司安全产品 Gauntlet Firewall, Ga

40、untlet VPN Server, WebShield 视絀镘 鸸鲚鐘脑钧欖栃。（1）Gauntlet Firewall for Solaris版性能稳定，此防火墙最初是应美国军方和政府 要求设计的，在安全级别上要求很高，是应用网关型防火墙，所有通过防火墙的IP 包都以代理服务方式实现，TCP/IP协议中能体现对IP包的操作功能都可控制，世 界上公认的最安全防火墙。偽澀锟攢鴛擋緬铹鈞錠。（2）、VPN Server是3DES加密算法，128位密钥，民用产品加密位数最高，为 了进一步提高速度，在不同的型号中，有的提供加密芯片，客户端产品使用PGPne， PGP加密算法是世界闻名加密产品，In

41、ternet网加密标准，Cisco加密路由器的客户 端产品就是使用的PGPne，CA中心使用128位NAI公司Net Tools PKI Server,此 产品直到去年12月份才允许向中国出口，安全级别很高，功能很强。镗挢廟。（3）、WebShield是NAI TVD防病毒系列中，网关防病毒，是与防火墙结合使用 的产品，可自动数据升级。 騅憑钶銘侥张礫阵轸蔼。WebShield 300 E-pplianee是以上NAI公司三个世界一流安全产品与SUN公司的 硬件Server合一的产品，使硬件防火墙的安全等级提高到一个新的高度。 疠骐錾农剎 貯狱颢幗騮。3、可远程控制在安装后，可以通过In te

42、rnet网远程控制。即：在家中、外地均可控制。非常有利 于托管。4、吞吐量 100M / 70M5、联接数 5600 HTTP新网计算机网络中，中心机房、公司之间需要传输十分重要的用户数据和管 理文件，这对于公司的正常业务与管理致关重要，但是由于数据传输在公共通讯 线路上，传输链路没有任何保护措施，使得数据传输存在很大的危险。为确保数 据传输的安全可靠，我们使用 VPN技术连接网络中各点，以增强网络的安全。 镞锊 过润启婭澗骆讕濾。在中心机房设置防火墙，在公司安装 VPN客户端，应用Gauntlet防火墙的 GVPN，通过制定详细的安全策略加以过滤并队通讯数据加密， 确保通过公共通讯 线路传输

43、的数据的准确性和可靠性榿贰轲誊壟该槛鲻垲赛。此外，我们还可以在远程用户的计算机上安装 VPN客户端，确保用户与主机 之间的数据通讯安全可靠。另外，防火墙也是攻击的对象，为了安全，我们推荐配备热备份双防火墙。还有，在各防火墙上会有完整的网络访问记录。用户可以定期查看日志文件，了解网络运行情况，万一发生意外，日志文件还可以提供追查的线索。邁茑赚陉宾呗擷鹪讼凑。漏洞扫描风险评估工具CyberCop Sea nnerCyberCop Sea nn er通过对网络的扫描，可以发现网络结构和配置方面的漏洞。 CyberCop Scanne可以进行跨路由的扫描工作，网络有了这样的工具，就可以方便 的了解网络

44、结构的变化以及网络的运行情况，同时可以发现自身以及网络中存在 的安全漏洞，及时加以弥补保证网络的安全运行。嵝硖贪塒廩袞悯倉華糲。Cybereop Seanner功能特点及技术指标如下：CyberCop扫描器提供综合的审计工具，发现网络环境中的安全漏洞，保证网络安 全的完整性。它可以评估Intranet、Web服务器、防火墙、路由器，扫描和测试 确定存在的可被黑客利用的脆弱性。该栎谖碼戆沖巋鳧薩锭。CyberCop扫描器产生丰富的报表：HTMLASCII、RTF CommDelimited。CyberCop 扫描器可以发现大众化的安全漏洞和那些非大众化的漏洞。它可以确定防火墙的 第一条防护规则是

45、否起作用，用独特的定制审计包括引擎（CAPE技术完成协议级Spoofing和攻击模拟。CAPE可提供动态工具集生成，解决特殊网络情况。即使是 一般的程序员也可用CAPE生成网络级安全工具。CyberCop可以验证存取路由器、 过滤防火墙的完整性，也可用来检查各种混合配置。劇妆诨貰攖苹埘呂仑庙。通过扫描网络精确确定网络中的情况和安全姿态，以及判断是否满足安全策 略；容许集中审记整个网络；初始网络扫描完成后，日志用来与进一步参照比较； 而且自动安全扫描使企业为经常性的审记只需花一次费用；臠龍讹驄桠业變墊罗蘄。因此，我们将在中心机房设置一个 CyberCop Scanne，定期对整个或局部网 络进行

46、漏洞扫描，确保网络处于安全、可靠的状态。鰻順褛悦漚縫輾屜鸭骞。使用主机监控技术保护重要主机计算机网络设置了防火墙后可以解决多数网络安全问题，但是防火墙不是万能 的，有些攻击行为仅仅依靠防火墙是不能防范的。比如在重要主机运行的网段上 通常连接着一些系统管理用工作站，如果攻击行为从这些工作站上发起，那么对 主机的访问就不需要通过防火墙。又如某些用户对主机具有较高的访问权限，这 些用户登录主机后，由于误操作或恶意行为同样会对主机上的数据造成破坏。因 此，应该在重要主机上安装入侵检测系统，避免以上情况的发生。具体到新网计 算机网络，我们建议在DNS服务器与数据库服务器 上安装CyberCop Moni

47、tor实时 入侵检测系统。穡釓虚绺滟鳗絲懷紆泺。CyberCop Monitor系统会监视主机上的所有访问行为，把这些行为与黑客攻击信息 库中数据进行比较。一旦发现有攻击行为发生，CyberCop Monitor系统会自动采取 多种措施加以防范和报警，并且可以通过NAI特有的动态安全防护策略，控制防火墙等其他安全设备，关闭相关服务、直至切断物理线路的连接，。有了这道屏障， 服务器可以受到更严密的保护。隶誆荧鉴獫纲鴣攣駘賽。为了迷惑和追踪非法访问者，并记录其入侵过程，我们在网络中安装了NAI的CyberCop Sting （诱骗攻击）。该软件让不法访问网络者（计算机窃贼）访问到一 个虚拟服务器上

48、，并监视其行动的工具。它可以在网络上安置虚拟服务器以及路 由器，为不法访问留下记录。 浹繢腻叢着駕骠構砀湊。在嵌入了 CyberCop Sting的服务器里，除了服务器本身拥有的IP地址以外， 还给每一台虚拟服务器设定不同的IP地址。同时上游路由器的路径选择也随之改 变设定。一旦不法访问者访问虚拟服务器，CyberCop Sting服务器就会模仿虚拟服 务器以及OS做出响应，不法网络访问者从网络上看，就同路由器以及服务器真正 存在一样。鈀燭罚櫝箋礱颼畢韫粝。采取了上述几种网络防护措施后，新网计算机网络将能够抵御来自网络外部 或内部的非法访问，大幅提高网络的安全性。惬執缉蘿绅颀阳灣愴鍵。其他安全

49、管理工具中心机房处于整个新网计算机网络的核心位置，不但要管理自身的安全，同时还要管理网络。因此，我们建议在中心机房网络中设置一些特殊的网络安全管理 工具。贞廈给鏌綞牵鎮獵鎦龐。故障侦测流量分析工具SnifferSn iffer TNV套件基于其在本行业领先的Sn iffer（包括本行业的最大型的协议 解码集）技术提供全面的网络故障和性能分析解决方案，是最具智能化的、最强大 的工具。用于：优化性能和可靠性；故障排除和预防问题；执行正常的管理；评 估趋势和生成报表。从而提供了用于优化性能和预防问题的端对端的智能方式。嚌鳍级厨胀鑲铟礦毁蕲。Sniffer是一套功能强大的网络故障侦测工具，它可以帮助用

50、户快速诊断网络 故障原因，并提出具体的解决办法。在中心机房部署这样的工具，用于对网络流 量和状态进行监控，而且无论全网任何地方发生问题时，都可以利用它及时诊断 并排除故障。 薊镔竖牍熒浹醬籬铃騫。小结通过以上几种安全措施的实施，新网的计算机网络避免了来自网络内外的攻 击，可以有效进行网络访问控制，保护了重要主机的安全，防止了病毒对主机的 侵害和在网络中的传播，同时也能够实现对网络的管理。至此，整个网络的安全 水平有了很大程度的提高。 齡践砚语蜗铸转絹攤濼。方案二：网络拓朴如图二。方案二与方案一的不同之处是将中心机房分成两个不同的网段。增加一个防火墙 做路由，将数据库与 WEB服务器分开，可以更

51、好的保护数据库资源。同时，也能 减轻防火墙的负载，提高网络速度。 饪箩狞屬诺釙诬苧径凛。附产品清单：本方案使用的NAI产品清单如下：型号描述数量E-pplianee price (硬件防火墙)EPL-X300-NA-100-1VE-pplia nee Model 300, Firewall/VPN/WebShield (AV) on a Solaris server - per server2套Total Network Security-Cybercop(防黑客)CSC-DRCT-NA-550-SIn eludes CyberCop Sea nn er (Wi nN and CyberCop

52、 Scann er (L inu x).)100CSC-24X7-SPrimeSupport Priority.2 Yr Price and SKU Price is 18% of Software ListCMN-DRCT-NA-200-SIncludes CyberCop Monitor, and CypberCop Sti ng.100CMN-24X7-SPrimeSupport Priority.2 Yr Price and SKU Price is 18% of Software ListSniffer Pro LAN （网络规程分析仪）SLP-DRCT-NA-350-S-Software only. Supports Sniffer for 10/100 Ether net, Full Duplex bod, Token Ring, FDDI, Database Modules, and Fast Ether net Traffic Gen erator.1套NIC-ENTB-NA-100Ethernet 10/100 Mb Cardbus Card1块SLS-CONN-S2 Yr Price and SKU Price is 12% of Software List1920