2022年XX网络安全系统设计方案.doc .pdf

《2022年XX网络安全系统设计方案.doc .pdf》由会员分享，可在线阅读，更多相关《2022年XX网络安全系统设计方案.doc .pdf（20页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、XXX 网络安全系统设计方案XXXXXX有限公司XXXX 年 XX 月 XX 日名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 20 页 - - - - - - - - - 目录第一章前言 . 21.1 概述 . 2第二章系统安全需求分析. . 42.1 计算机网络环境描述. 42.2 网络安全需求分析. 5第三章网络安全解决方案设计. . 93.2 网络安全系统设计的原则. 93.3 安全防范方案设计构思. 103.4 总体设计架构. 123.5 防火墙系统设计. 13

2、3.5.1 方案原理 . 13 3.5.2 设计目标 . 14 3.5.3 部署说明 . 14 3.5.4 防火墙功能设置及安全策略. 16 第四章产品简介 . . 184.1 防火墙简介. 18名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 20 页 - - - - - - - - - 第一章前言1.1 概述随着我国信息化建设的快速发展，各级单位和部门都正在建设或者已经建成自己的信息网络，而随之而来的网络安全问题也日益突出。安全包括其上的信息数据安全，日益成为与公安、教

3、育、司法、军队、企业、个人的利益息息相关的“大事情”。结合国内的实际情况，网络安全涉及到网络系统的多个层次和多个方面，而且它也是个动态变化的过程，因此，国内的网络安全实际上是一项系统工程。 它既涉及对外部攻击的有效防范，又包括制定完善的内部安全保障制度；既涉及防病毒攻击，又涵盖实时检测、数据加密和安全评估等内容。 因此，网络安全解决方案不应仅仅提供对于某种安全隐患的防范能力， 而是应涵盖对于各种可能造成网络安全问题隐患的整体防范能力；同时，它还应该是一种动态的解决方案，能够随着网络安全需求的增加而不断改进和完善。同时，网络安全服务在行业领域已逐渐成为一种产品。在信息化建设过程中， 国内用户面临

4、的最大问题就是网络安全服务的缺乏。信息安全服务已不再仅仅局限于产品售后服务，而是贯穿从前期咨询、安全风险评估、 安全项目实施到安全培训、 售后技术支持、系统维护、产品更新这种项目周期的全过程。服务水平的高低， 在一定程度上反映了厂商的实力， 厂商的安全管理水平也成为阻碍用户对安全问题认识的一个主要方面。 这就对安全厂商提出了比较高的要求，如何为用名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 20 页 - - - - - - - - - 户服务、并使用户满意， 已经成为每

5、个网络安全产品厂商和解决方案提供者需要认真思考的问题。在 XXX网络络安全方案初步设想的基础上， 根据 XXX网络安全的特点和需求，本着切合实际、保护投资、着眼未来、分步建设 的原则，提出了针对 XXX网络安全需求的解决方案。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 20 页 - - - - - - - - - 第二章系统安全需求分析2.1 计算机网络环境描述随着 XXX 系统信息化需求的不断增长，网络应用的不断扩展、现有的信息基础设施和信息系统安全措施逐渐暴露出了

6、诸多问题，如原有的信息系统业务信息化程度较低，安全方面考虑较少， 所以在网络和信息安全及其管理方面的基础非常薄弱：整体上没有成熟的安全体系结构的设计，管理上缺乏安全标准和制度， 应用中缺乏实践经验；信息系统缺乏有效的评估与审计，外网的接入无完善的保护措施等等。其网络拓扑如下图所示：网络拓扑图说明：? XXX网络以一台路由器连接到互连网。? XXX网络内部设立五台服务器。? XXX网络内部设立有多了LAN ，通过路由器连接互连网。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，

7、共 20 页 - - - - - - - - - 2.2 网络安全需求分析主要的网络安全风险主要体现在如下几个方面：内部局域网风险、应用服务安全风险、互联网风险，我们将对XXX网络各个层面存在的安全风险进行需求分析：内部局域网风险分析主要是保证 XXX网络结构的安全、在网络层加强访问控制能力、加强对攻击的实时检测能力和先于入侵者发现网络中存在漏洞的能力；加强全网的安全防范能力。具体可以概括为：在 XXX网络中，保证非授权用户不能访问任何一台服务器、路由器、交换机或防火墙等网络设备。内部网络与外部网络（相对于本地局域网以外的网络） ，考虑采用硬件防火墙设备进行逻辑隔离，控制来自内外网络的用户对重

8、要业务系统的访问。在 XXX网络上，一般来说，只允许内部用户访问Internet上的HTTP 、FTP 、TELNET 、邮件等服务，而不允许访问更多的服务；更进一步的是要能够控制内部用户访问外部的非授权色情暴力等非法网站、网页，以防员工利用网络之便上黄色网站、聊天、打网络游戏等，导致办公效率降低。应用层的安全风险分析系统中各个节点有各种应用服务，这些应用服务提供给XXX网络内部各级单位使用， 如果不能防止未经验证的操作人员利用应用系统的脆弱性来攻击应用系统，会造成系统数据丢失、数据更改、非法获得数据等。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - -

9、- - - - - - 名师精心整理 - - - - - - - 第 6 页，共 20 页 - - - - - - - - - 防火墙的访问控制功能能够很好的对使用应用服务的用户进行严格的控制，配合以入侵检测系统就能安全的保护信息网的各种应用系统。WWW服务器安全风险服务器崩溃，各种WEB 应用服务停止；WEB 服务脚本的安全漏洞，远程溢出(.Printer漏洞) ；通过 WEB 服务服务获取系统的超级用户特权；WEB 页面被恶意删改；通过 WEB 服务上传木马等非法后门程序，以达到对整个服务器的控制；WEB 服务器的数据源，被非法入侵，用户的一些私有信息被窃；利用 WEB 服务器作为跳板，进

10、而攻击内部的重要数据库服务器；拒绝服务器攻击或分布式拒绝服务攻击；针对 IIS 攻击的工具，如 IIS Crash ；各种网络病毒的侵袭，如Nimda,Redcode II等；恶意的 JavaApplet,Active X攻击等；WEB 服务的某些目录可写；CGI-BIN 目录未授权可写，采用默认设置，一些系统程序没有删除。软件的漏洞或者“后门”随着软件类型的多样化，软件上的漏洞也是日益增加，一些系统软件、桌面软件等等都被发现过存在安全隐患。可以说任何一个软件名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - -

11、- - - - - 第 7 页，共 20 页 - - - - - - - - - 系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞，这也是 XXX网络网信息安全的主要威胁之一。资源共享XXX网络系统内部自动化办公系统。因为缺少必要的访问控制策略。而办公网络应用通常是共享网络资源，比如文件共享、打印机共享等。由此就可能存在着： 同事有意、无意把硬盘中重要信息目录共享，长期暴露在网络邻居上， 可能被外部人员轻易偷取或被内部其他用户窃取并传播出去造成泄密. 电子邮件为网络系统用户提供电子邮件应用。内部网用户能够通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些特洛

12、伊木马、 病毒程序等，由于许多用户安全意识比较淡薄，对一些来历不明的邮件，没有警惕性，给入侵者提供机会，给系统带来不安全因素。服务漏洞Web服务器本身不能保证没有漏洞，不法分子可能利用服务的漏洞修改页面，甚至破坏服务器。系统中的BUG ，使得黑客可以远程对公开服务器发出指令， 从而导致对系统进行修改和损坏，包括无限制地向服务器发出大量指令，以至于服务器“拒绝服务”，最终引起整个系统的崩溃。 这就要求我们必须提高服务器的抗破坏能力，防止拒绝服务（ D. O . S）或分布式拒绝服务（DDOS ）之类的恶意攻击，提高服务器备份与恢复、防篡改与自动修复能力。数据信息的安全风险分析名师资料总结 - -

13、 -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 20 页 - - - - - - - - - 数据安全对 XXX网络来说是至关重要的，在网上传输的数据可能存在保密性质，而出于网络本身的自由、广泛等特性，数据在广域网线路上传输， 很难保证在传输过程中不被非法窃取和篡改。黑客或一些不法份子会通过一些手段， 设法在线路上获得传输的数据信息，造成信息的泄密。对于XXX网络信息通信网来说，数据丢失、破坏、被修改或泄漏等情况都是不允许发生的。互连网的安全风险分析因特网的共享性和开放性使网上信息安全存在先

14、天不足，因为其赖以生存的 TCP/IP 协议族，缺乏相应的安全机制，而且因特网最初的设计考虑是该网不会因局部故障而影响信息的传输，基本没有考虑安全问题，因此他在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。同时网上有各种各样的人， 他们的意图也是形形色色的。所以说当连入Internet时，网络便面临着严重的安全威胁。每天黑客都在试图闯入Internet节点，如果不保持警惕，很容易被入侵，甚至连黑客怎么闯入都不知道， 而且该系统还可能成为黑客入侵其他网络系统的跳板。影响所及，还可能涉及许多其它安全敏感领域，如网络传输中的数据被黑客篡改和删除，其后果将不堪设想。名师资料总结 - - -精品

15、资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 20 页 - - - - - - - - - 第三章网络安全解决方案设计3.2 网络安全系统设计的原则结合 XXX网络的实际情况，针对目前计算机网络硬件安全设备的总体设计和实施，依据国家有关信息安全政策、法规，根据XXX网络工作实际需要和我国政府工作信息化建设的实际情况，使之达到安全、可靠运行、节俭使用，便于工作和管理维护，符合国家有关规定信息安全系统的设计和实现应遵循如下原则：?通用性原则： 系统设计所选择的设备具有一定的通用性，采用标准的技术、结构

16、、系统组件和用户接口，支持所有流行的网络标准及协议。?综合性原则： 网络安全不单靠技术措施，必须结合管理，当前我国发生的网络安全问题中，管理问题占相当大的比例，在建立网络安全设施体系的同时必须建立相应的制度和管理体系。?标准化原则： 有效的降低用户安全风险以及成本折中。?节约性原则：整体方案的设计应该尽可能的不改变原来网络的设备和环境，以免资源的浪费和重复投资。?集中性原则：所有的安全产品要求在管理中心可以进行集中管理，这样才能保证在网管中心的服务器上可以掌握全局。?角色化原则： 防火墙、入侵检测和漏洞扫描产品在管理上面不仅在管理中心可以完全控制外， 在地方节点还需要分配适当的角色使地方可以在

17、自己的权利下修改和查看防火墙和入侵检名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 20 页 - - - - - - - - - 测策略和审计。?可靠性原则： 网络中心网络不允许有异常情况发生，因为一旦网络发生异常情况， 就会带来很大的损失。 同时又由于一些网络设备一旦发生故障，网络便会断开，比如防火墙、入侵检测设备。在这种情况下， 就必须要求这些性质的安全产品需要有很高的性能，从而保障网络运行的可靠性。?可扩展性原则： 由于网络技术更新比较快， 而且针对 XXX网络本

18、次安全项目的实际情况， 因此整体系统需要有很好的可扩展性和可升级性，主要是为 XXX网络以后网络安全系统和其他安全系统提供优越的条件。?性价比原则：整个系统应具有较高的性能价格比并能够很好地保护投资。?高效性原则：整个系统应具备较高的资源利用率并便于管理和维护。3.3 安全防范方案设计构思我们以防火墙为重点， 结合漏洞检测和安全评估技术、访问控制和安全管理等技术，主要从网络边界、内部重要网段、关键主机等三个方面综合地为用户进行防护管理，以使客户能达到尽量完整的安全防御措施的目的。 而且，客户也可以通过分析参考防护系统所反馈的信息， 充分调动人员的能动性， 逐步实现对自身网络资源的高效管理。网络

19、边界的安全和管理名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 20 页 - - - - - - - - - 内部网和外部公用信息网的连接处为网络边界，通常情况下网络边界是最薄弱、 最容易被攻击的地方， 所以企业最先考虑对该处的防护和管理。通过采取对进出网络数据流的监测、分析、过滤或计量等方式，以包过滤、地址转换、包状态检测、应用代理、流量统计或带宽控制等技术，来实现对Internet出口处的统一、有效的管理。内部网段的安全在内部局域网中，有的网段（也包括指VLAN 、

20、DMZ 区）运行着非常重要的业务应用， 它们对数据、 系统的安全性和可靠性都很高的要求，所以要与其它的网段进行一定的隔离措施，以防止受到内外人员的攻击或误操作行为的干扰或破坏；同时，要对网段内的活动状况进行实时的监控和记录。 一旦有非正常的事件发生， 便可以及时地报警或响应，也可以根据相应的记录进行事因调查和责任追踪。关键主机的安全某些关键主机承载着至关重要的数据信息和业务系统，有时候可能关系到 XXX 发展或生死存亡的命运。重点保护关键服务器是非常有实际意义的安全措施。 通过对进出主机数据包的检查和过滤及对主机系统活动状态、 日志事件的监测和分析， 实时地保护系统和文件数据的完整性和可靠性，

21、保证服务器始终处于良好的工作状态。网络脆弱性检测和系统评估准确认识自身网络系统的安全状况，对于XXX 如何有效采取安全措施及如何正确制定安全策略是很有指导意义的。漏洞检测和安全名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 20 页 - - - - - - - - - 评估系统采用先进的网络扫描技术对各个网络对象（路由器、防火墙、服务器、工作站等）进行深入的检测和分析，及时地发现网络系统中存在的安全隐患或漏洞，为系统员提供详细全面的第一手安全资料。3.4 总体设计架构针

22、对上面的安全层次，依据我们的安全系统设计原则，并结合XXX网络系统的实际情况和需求，采用一系列产品搭建安全防范体系，通过安全技术和管理手段， 由防火墙替换原来的路由器实现NAT功能， 达到接入公网的目的。 使安全产品充分发挥其安全保护的作用。我们将 XXX 网络系统划分为：网络边界的公网接入区；内部网段；公网服务器区；等三大区域，并提出综合的解决方案。此网络安全解决方案解决了公网接入区、公网服务器区、 内网的物理层、网络层、系统层、应用层、管理层等不同层面存在的网络安全问题。整体安全系统设计如下：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - -

23、- - - - 名师精心整理 - - - - - - - 第 13 页，共 20 页 - - - - - - - - - 3.5 防火墙系统设计3.5.1 方案原理内部网络和外部公用信息网的连接处为网络边界。通常情况下，网络边界是最薄弱、 最容易被攻击的地方， 所以应该最先考虑对该处的防护和管理。对于 XXX网络与公网的连接出口，首先需要使用防火墙进行防护。所有外部互联网、 内网和公网服务器区的相互访问必须受到防火墙的访问控制。对于 XXX网络来说，我们本着合理投资，充分应用的原则，从实用性的角度配置使用Cisco PIX 515E 防火墙。Cisco PIX 515E 防火墙可以提供业界领先

24、的状态防火墙和IP 安全（IPSec）虚拟专用网服务。Cisco PIX 515E 针对中小型企业和企业远程办公机构而设计，具有更强的处理能力和集成化的、基于硬件的IPSec加速功能。数据的可靠性、安全性是用户对于网络系统最重要的考虑。为了实现设计目标，我们在数据中心与Internet广域网接入处部署名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 20 页 - - - - - - - - - Cisco PIX 515E 防火墙，用于限制外部网络对数据中心内网资源（含公

25、网服务器区）的非法访问，保护数据中心内网上的各种信息资源。3.5.2 设计目标防火墙的作用是对外部互联网访问内网和内网访问互联网实施访问控制策略。用于XXX 网络与外部互联网的相互访问，以确保可以访问网络或网络服务的用户不会破坏这些网络服务的安全，保证：在数据中心、远程拨号用户、分支机构或公用网之间要有合适的界面；控制用户访问信息服务。不安全地连接到网络服务会影响整个机构的安全，所以，只能让用户直接访问已明确授权使用的服务和已明确授权使用的内容。这种安全控制对连接敏感或重要业务的网络，或连接到在高风险地方 （例如不在安全管理及控制范围的公用或外部地方）的用户尤其重要。数据的可靠性、安全性是用户

26、对于数据存储系统最重要的考虑。为了实现设计目标，我们在数据中心与Internet 广域网接入处部署公网百兆防火墙。由于防火墙必须具有优良的性能、完善的功能，我们推荐 CISCO PIX-515E-UR-BUN 防火墙，用于限制外部网络对数据中心内网资源（含公网服务器区）的非法访问，保护数据中心内网上的各种信息资源。3.5.3 部署说明由于 XXX网络的核心重点保护的对象之一是为外部服务的公网服务器群，而 WEB 、 Mail 等又是容易攻击的对象， 以合理保护为原则，名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理

27、- - - - - - - 第 15 页，共 20 页 - - - - - - - - - 所以将公网服务器群所在的网段接入CISCO PIX-515E-UR-BUN防火墙的 DMZ 区。无论是 XXX网络内部的用户，还是XXX以外的用户，只要想访问 WEB 、Mail 等服务器，都必须经过防火墙的访问控制。同时在 CISCO PIX-515E-UR-BUN 防火墙上设置双向NAT转换，使得内网通过内部IP地址访问Internet。公网用户可以通过CISCO PIX-515E-UR-BUN防火墙映射的公网地址访问内部隐藏掉合法地址的服务器所提供的服务 ,在 CISCO PIX-515E-UR-

28、BUN 防火墙上启动多级内容过滤功能，以限制内部员工访问反动、 黄色和其他不良网站，同时可以对 URL 、http 携带的 Java Applet 、JavaScript 、ActiveX等可能含有木马的程序进行过滤，防止其利用内部网系统进行破坏。这台防火墙对远程拨号用户、 分支机构及公网用户对数据中心网络的访问进行严格控制， 禁止掉不必要的端口， 防止其利用协议漏洞、IP 欺骗等手段对计费业务网的机密数据造成破坏。同时，我们方案产品选型时， 考虑了和入侵检测联动的效果，在网络通讯的边缘把入侵行为阻断掉。CISCO PIX-515E-UR-BUN 防火墙的 DMZ 口接公网服务器区的交换机，形

29、成对 DMZ 区的保护。使 WEB 、Mail 、DNS 组成的对外提供服务的服务器与内部机密网络完全隔离，并且他们可以采用隐藏IP 地址的方式来保护自己， 以及把不提供服务的端口全部关掉，这样就既不影响对外提供服务， 也很好的保护了内网机密数据的安全性，杜绝了黑客有可能通过公网服务器为跳板进入内网。CISCO PIX-515E-UR-BUN防火墙具有较强的日志记录、分析，可以名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 20 页 - - - - - - - - -

30、对流经网络的数据包做详细的记录，这样可以对访问机密数据的用户进行跟踪、记录，使恶意破坏有章可寻。3.5.4 防火墙功能设置及安全策略 完善的访问控制规则控制： 通过 CISCO PIX-515E-UR-BUN 防火墙提供的基于TCP/IP 协议中各个环节进行安全控制，生成完整安全的访问控制表，这个表包括： 外网（Internet ）对内部数据库服务器、网络功能服务器、业务服务器以及 DMZ 区服务器访问控制。将外部对内部（内部局域网）、DMZ 内服务访问明确限制，防止非法对内部重要系统，特别是业务系统的访问。利用 DMZ 的隔离效果，将对外服务的部分服务器 （www服务器、 Email 服务器

31、）放置在DMZ 区域，通过配置访问控制，保护 DMZ 区和内部网络免受攻击。关闭操作系统提供的除需要以外的所有服务和应用， 防止因为这些服务和应用自身的漏洞给系统带来的风险。对内部数据库服务器、网络功能服务器、业务服务器的访问做严格的规划和限制，防止恶意攻击行为发生。 内部网络： 内部网络（内部局域网）到外部网络（Internet）也要进行严格的限制。 防止内部员工对外网资源的非法访问。对内部员工对外访问采用NAT 方式访问。同时内部员工对DMZ 区域服务器访问也必须做限制。内部员工对外网WWW 访问采用代理方式。 DMZ 访问：通常情况下 DMZ 对外部和内部都不能主动进行访问，除非特殊的应

32、用需要到内部网络采集数据，可以有限地开放部名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页，共 20 页 - - - - - - - - - 分服务。借助防火墙提供的基于状态包过滤技术对数据的各个方向采用全面安全的技术策略，制定严格完善的访问控制策略保证从IP 到传输层的数据安全。针对XXX 网络系统中的网络风险可以通过严格的访问控制表来进行限制。 被动防御和主动防御被动防御是指通过防火墙预置策略和防御阀值实施静态防护，CISCO PIX-515E-UR-BUN 防火墙通过其

33、深层的状态检测技术和内建防御策略可以有效防止多种攻击，如ICMP 重定向、 IP 来源路由、DOS&DDOS、CGI 漏洞和 ICMP 等攻击。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页，共 20 页 - - - - - - - - - 第四章产品简介4.1 防火墙简介CISCO PIX-515E-UR-BUN 主要参数设备类型百兆级防火墙网络吞吐量188Mpps 用户数限制无限制入侵检测DoS、IDS 安全标准UL 1950,CSA C22.2 No. 950, EN

34、 60950,IEC 60950,AS/NZS3260,TS001,IEC60825,EN 60825,21CFR1040 控制端口RS-232 管理CSPM、PDM VPN 支持支持处理器433MHz Intel 赛扬CISCO PIX-515E-UR-BUN 一般参数适用环境工作温度 :-5-55、工作湿度 :5%到 95% 非冷凝、存储温度 :-25-70、存储湿度 :5%-95% 非冷凝电源100V-240V 交流或者 48V 直流名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 19 页，共 20 页 - - - - - - - - - 防火墙尺寸43.7 427.2 299.7mm 防火墙重量4.11kg 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 20 页，共 20 页 - - - - - - - - -