我爱电脑技术论坛 » 网络安全区 » 如何构建网络整体安全方案

麦迪 发表于 2008-6-30 00:04

如何构建网络整体安全方案

整体的安全方案分成技术方案、服务方案以及支持方案三部分。
Ejc%L C{B k;Aa4g1QHe7D_.cq
　　一、技术解决方案Ot4Q qWz
8W mc:{C^p,O7m
　　安全产品是网络安全的基石，通过在网络中安装一定的安全设备，能够使得网络的结构更加清晰，安全性得到显著增强;同时能够有效降低安全管理的难度，提高安全管理的有效性。!Ya+F7z5h5e#nB'w
z0K(y$dc A,o{ Y
　　下面介绍在局域网中增加的安全设备的安装位置以及他们的作用。
5e'm5h6^wrF :pJt)}G%a4u,o7y
　　1、防火墙
o|6[&l!s zc "io.vD Fh&n4t
　　安装位置：局域网与路由器之间;WWW服务器与托管机房局域网之间;lS g
t-A6DE`$e
2Ry9b9k#Xr
　　局域网防火墙作用：U[f7awy[O/s9j
P(Ia?lrD1^*v
　　(1)　实现单向访问，允许局域网用户访问INTERNET资源，但是严格限制INTERNET用户对局域网资源的访问;| i_4v+R%N

U/y3nvr:pL 　　(2)　通过防火墙，将整个局域网划分INTERNET，DMZ区，内网访问区这三个逻辑上分开的区域，有利于对整个网络进行管理;
5P~EVc5un*yO E.L`sp5T&O X
C;yn
　　(3)局域网所有工作站和服务器处于防火墙地整体防护之下，只要通过防火墙设置的修改，就能有限绝大部分防止来自INTERNET上的攻击，网络管理员只需要关注DMZ区对外提供服务的相关应用的安全漏洞;
(h0O@#cz$T }0wC
5@Y'db Nq o8R,e 　　(4)通过防火墙的过滤规则，实现端口级控制，限制局域网用户对INTERNET的访问;Vo3T&A
`/GL3@$W*y
/Yj#J4C8^
　　(5)进行流量控制，确保重要业务对流量的要求;LZ b^ s&g

j:~6Fe1rkP3gs
f#v d 　　(6)通过过滤规则，以时间为控制要素，限制大流量网络应用在上班时间的使用。
u){6g!o8a Q
,k)J [xQ%ST W 　　托管机房防火墙的作用：DLZ Yp Yk5jA\

DQ%~%W9aO] 　　(7)　通过防火墙的过滤规则，限制INTERNET用户对WWW服务器的访问，将访问权限控制在最小的限度，在这种情况下，网络管理员可以忽略服务器系统的安全漏洞，只需要关注WWW应用服务软件的安全漏洞;uBU#R@(bX

{0i]G*[ Q 　　(8)通过过滤规则，对远程更新的时间、来源(通过IP地址)进行限制。.] aI,J;\
@
.ce Av)g
　　2、入侵检测
2^s9dAD
x!f"T?+PbjR 　　安装位置：局域网DMZ区以及托管机房服务器区;vzB}5`@
;J,b}g"m};X-X
　　IDS的作用：
pE+T0u[&n
(`4V/V3@&_:{K9~ 　　(1)　作为旁路设备，监控网络中的信息，统计并记录网络中的异常主机以及异常连接;
c/Y| bHW8PLw 2y6i8HWV@(`_+f
　　(2)中断异常连接;b3^JD\?X&Y

(Dh.k*eBrv5Q3P 　　(3)通过联动机制，向防火墙发送指令，在限定的时间内对特定的IP地址实施封堵。
3bQr8}+N(w ]_$y5Uud
　　3、网络防病毒软件控制中心以及客户端软件Ay*f:n4])n"O%T9i*y

#j@y:R SP 　　安装位置：局域网防病毒服务器以及各个终端
8~ lpXL*MD0HJ;AMY
2]%Q%?#P Bn/v 　　防病毒服务器作用：S8[0\/xS b8~Fd
6^%}}_ q2g-I
　　(1)　作为防病毒软件的控制中心，及时通过INTERNET更新病毒库，并强制局域网中已开机的终端及时更新病毒库软件;XwxSS'v-V

:YJX.c1yeT 　　(2)记录各个终端的病毒库升级情况;
CQ1JTNVx$Ug "j#t"j*iQs*O
　　(3)记录局域网中计算机病毒出现的时间、类型以及后续处理措施。|+@$D)U\&m'UQ;Z:_

_V/T'L6Q~iXM
　　防病毒客户端软件的作用：
z(bf2j@9f^ 7o~ {?"X#Wbj u8e
　　(4)　对本机的内存、文件的读写进行监控，根据预定的处理方法处理带毒文件;
:o7H@0tV8G]2U/g -e/NNms&\(^ u
　　(5)　监控邮件收发软件，根据预定处理方法处理带毒邮件;
!l$M2t&s-E8pip&o )r8cn9ed~
　　4、邮件防病毒服务器7P`-fk|
Agt [R`X1Z3?
　　安装位置：邮件服务器与防火墙之间
I!BLP6c%yr -t|6X;N z$Ve i|
　　邮件防病毒软件：对来自INTERNTE的电子邮件进行检测，根据预先设定的处理方法处理带毒邮件。邮件防病毒软件的监控范围包括所有来自INTERNET的电子邮件以及所属附件(对于压缩文件同样也进行检测)
*jo8JkR.vm
tP'\1Mdwn 　　

麦迪 发表于 2008-6-30 00:05

　5、反垃圾邮件系统 kN2dGn(wJU&Va_
U5qeccp
　　安装位置：同邮件防病毒软件，如果软硬件条件允许的话，建议安装在同一台服务器上。vB.s$s&}L6U

,|Q0t:Oi:i%lw9I3`5|2S 　　反垃圾邮件系统作用：
F9t6Csn SU
Y:h qiC%f3iCS5H 　　(1)　拒绝转发来自INTERNET的垃圾邮件;
"^BkB/X#Sg 5j.h?7j}3l${5S7`["~
　　(2)　拒绝转发来自局域网用户的垃圾邮件并将发垃圾邮件的局域网
#L0^3v
^V ,\$UrR\
　　用户的IP地址通过电子邮件等方式通报网管;
Sl3m4e4AD b8r]d.|
　　(3)　记录发垃圾邮件的终端地址;
z[SOX9pK/}-v
jo6s0VE VE'm/K 　　(4)　通过电子邮件等方式通知网管垃圾邮件的处理情况。it.TK(Mm9@J {
V

PY]
K2jg 　　6、动态口令认证系统C6R.dX*w&g

6jE2I9t3s2PM9q0| 　　安装位置：服务器端安装在WWW服务器(以及其他需要进行口令加强的敏感服务器)，客户端配置给网页更新人员(或者服务器授权访问用户);
(_"A4[&kl
*k3[ I0q+Of 　　动态口令认证系统的作用：
5l5?&L!C S1j'F !O?8ZJ}1si)M
　　通过定期修改密码，确保密码的不可猜测性。
pz%CWU@&D#Sb @F n BGM"N
　　7、网络管理软件6H-I/yiQ7IxU

5LK'v}&~ K 　　安装位置：局域网中。
L WF!X~T~
~/[`.g'^;] 　　网络管理软件的作用：/m
h.}%nl-RGv

6DBC\2Iyk#gQ 　　(1)　收集局域网中所有资源的硬件信息;(b4QLK!R|'n o5~

4i jFiTZ%b 　　(2)　收集局域网中所有终端和服务器的操作系统、系统补丁等软件信息;'pI2SjxO
pa{C$R
　　(3)　收集交换机等网络设备的工作状况等信息; Od0r3QP}6cx d
.g6sw` {w-Z1b
　　(4)　判断局域网用户是否使用了MODEM等非法网络设备与INTERNET连接;f7?DT,}2I
pat AU(uV

0hpgp6h:q 　　(5)　显示实时网络连接情况;$G7C/B:V"n'C

^,Eph ^E)_7D 　　(6)　如果交换机等核心网络设备出现异常，及时向网管中心报警;
,Va{|+kwD#nDl nt/C6tv.I&p)u#j-X
　　8、QOS流量管理:vx4L}1fx)j
3W!V1Y+Zy1RdZ~
　　安装位置：如果是专门的产品安装在路由器和防火墙之间;部分防火墙本身就有QOS带宽管理模块。2x*b${{!yI5w6k
b?(}|6y1WNjA
　　QOS流量管理的作用：(Nw1gk M|
2Y4A~y r$Pnu9N
　　(1)　通过IP地址，为重要用户分配足够的带宽;
.TI0[.w8bIl$yZ #c6}o@oN)g
　　(2)　通过端口，为重要的应用分配足够的带宽资源;!whE kP;I
w$i
Q k&W6I\7T,|
　　(3)　限制非业务流量的带宽;-ML)wt c&V#e-N"T5T

!y_%lp7d(b"y2n$o 　　(4)　在资源闲置时期，允许其他人员使用资源，一旦重要用户或者重要应用需要使用带宽，则确保它们能够至少使用分配给他们的带宽资源。/D)F4GYh d%S1`RW
'`)Y8f3k&@A@
p z+ul
　　9、重要终端个人防护软件
e+?!n\9{ 7y j;bTY;K!I5pp
　　安装位置：重要终端
$U!jo PE&pz jB'Wh o9o+g%J-A
　　个人防护软件的作用：+f;^uG"F {(_u T1dpz
1K$H%L tZ6N
　　(1)　保护个人终端不受攻击;0t+v0Z6HyA
eNZ0j;DY/B K_
　　(2)　不允许任何主机(包括局域网主机)非授权访问重要终端资源;d'W;Jr(E+L+se8M
(aR4NvV+f9gO`
　　(3)　防止局域网感染病毒主机通过攻击的方式感染重要终端。
Zq uW~v t7i/SJ 6X;ay.wL+ENx
　　10、页面防篡改系统
0@U?
p'V'u!u)P `fw%Iqg4I#il
　　安装位置：WWW服务器
@r&iq1\"D~an
XF%^ RO9H0p 　　页面防篡改系统的作用：BFq Pp

+[$}bZM 　　(1)　定期比对发布页面文件与备份文件，一旦发现不匹配，用备份文件替换发布文件;
As6Uus0X YGu0WHo0i-_|
　　(2)　通过特殊的认证机制，允许授权用户修改页面文件;@{/B0J8ft A2oT&m+z

!P'dm&p7W8Y
OE8E 　　(3)　能够对数据库文件进行比对。
e%lfEq;a
t7u {%{cO 　　二、安全服务解决方案i:U2fPH_p|,Y
XYz6ce-}
　　在安全服务方案中，采用不同的安全服务，定期对网络进行检测、改进，以达到动态增进网络安全性，最大限度发挥安全设备作用的目的。安全服务分为以下几类：(b%woLn0C,`/X^
GG!bur3P!D
　　1、网络拓扑分析
8Xb:]r:O!V0Y 8E9C J| o;U8F!\
　　服务对象：整个网络3c/RH tG
P.^K{W@
　　服务周期：半年一次 I's9]:N6W0yR+D3FWl
v ] v7Gq'h5Cm
　　服务内容：(1)根据网络的实际情况，绘制网络拓扑图;(2)分析网络中存在的安全缺陷并提出整改建议意见。
/DU9d-he7Z_ U"X
c+q7H8py1| 　　服务作用：针对网络的整体情况，进行总体、框架性分析。一方面，通过网络拓扑分析，能够形成网络整体拓扑图，为网络规划、网络日常管理等管理行为提供必要的技术资料;另一方面，通过整体的安全性分析，能够找出网络设计上的安全缺陷，找到各种网络设备在协同工作中可能产生的安全问题。
+p)O$F]
NE"VX qC`:\/X6S I'Q U
　　2、中心机房管理制度制订以及修改$wiklxAM

Pf m k;f-vJ 　　服务对象：中心机房
W:\4X@/m C HcK'^Kq3fe_,h
　　服务周期：半年一次g:zYktI&h_'c

FEq/D B` 　　服务内容：协助用户制订并修改机房管理制度。制度内容涉及人员进出机房的登记制度、设备进出机房的登记制度、设备配置修改的登记制度等。
vU%s_m-A/bh+?d1J#O
2K,O;ZiZ| 　　

麦迪 发表于 2008-6-30 00:05

服务作用：严格控制中心机房的人员进出、设备进出并及时登记设备的配置更新情况，有助于网络核心设备的监控，确保网络的正常运行。
_)X$d(lMwD:b
CN /QT'el$|L~)K2I
　　3、操作系统补丁升级
W0nhO,v~_Q aqn)W!?^5nB`uh,n
　　服务对象：服务器、工作站、终端%KL%{9?i4|+\U

:F.ZwI{,`0R 　　服务周期：不定期

O6}X8y4a SO6[
Q ^5I!k9Y.t]0X 　　服务内容：(1)　一旦出现重大安全补丁，及时更新所有相关系统;(2)出现大型补丁(如微软的SP)，及时更新所有相关系统;Rb6BVe
){a fZqQ!Z+xg
　　服务作用：通过及时、有效的补丁升级，能够有效防止局域网主机和服务器相互之间的攻击，降低现代网络蠕虫病毒对网络的整体影响，增加网络带宽的有效利用率。
~a9P/?C5C6Wu5O
f1HY&NPE(S 　　4、防病毒软件病毒库定期升级+p|VK3Mp ]c`
Cj$SQ?V`&Ot*H@
　　服务对象：防病毒服务器、安装防病毒客户端的终端d)Q%\FFtU

-E,H0q s3?3J 　　服务周期：每周一次
6DRe*a|dT8{&R 9Dv8b2HMB
　　服务内容：(1)　防病毒服务器通过INTERNET更新病毒库;(2)防病毒服务器强制所有在线客户端更新病毒库;
"vQ0\6I2^/p7sb 5v(b6b'y5T*|Y
　　服务作用：通过不断升级病毒库确保防病毒软件能够及时发现新的病毒。
w;~3c7q'cJF@r LNJEz5O?/UpG
t
　　5、服务器定期扫描、加固k)m1Do8C"ckL
YrYaw*nV
　　服务对象：服务器;w;}Y akM

:SOzn~K%{ 　　服务周期：半年一次8v;Y^e;d;BnD]K

W@G#GS;Z 　　服务内容：使用专用的扫描工具，在用户网络管理人员的配合，对主要的服务器进行扫描。
)|$_8Hb'B
7wXZ7uOu:t1M)S 　　服务作用：(1)　找出对应服务器操作系统中存在的系统漏洞;(2)　找出服务器对应应用服务中存在的系统漏洞;(3)　找出安全强度较低的用户名和用户密码。bLZ3L"J|
u!jD8?{l]
　　6　、防火墙日志备份、分析bhW'Uo:X

/D7|x5d8e7^ 　　服务对象：防火墙设备
:EU9CEN#Zk
{3p2pnZ0j'S*k%J
　　服务周期：一周一次
o VF,n4k
eTQ#P&A 　　服务内容：导出防火墙日志并进行分析。lRMt-si:V
i(oOP6Ny aU^
　　服务作用：通过流量简图找出流量异常的时间段，通过检查流量较大的主机，找出局域网中的异常主机。
U,T"Zn&rb,P)qZ&h0n-Z
/_rGp+@jK 　　7、入侵检测等安全设备日志备份cR6y'g\D
.k9kA0x,I
　　服务对象：入侵检测等安全设备$G2Ah1V4l DV
$PY8z k7^}
　　服务周期：一周一次
cg6B8A2D[3ET;p
V;M*L&^ C^uo{7DV 　　服务内容：备份安全设备日志。
'rc!}:T4y0X)Q0I
G[U|-Ek] 　　服务作用：防止日志过大导致检索、分析的难度，另一方面也有利于事后的检查。
j
\0rj'wg? f&_(M-G2pW7W1[O)z'u
　　8、服务器日志备份
b0P~3@2hP:@x~ (IJH%R@9oQ A
　　服务对象：主要服务器(如WWW服务器、文件服务器等)*NUi'n\"T
va ]L2c
　　服务周期：一周一次
2|L;H"O/~%] S'D(Qtfgx
T
　　服务内容：备份服务器访问日志(p b}${'\g3b S
`&Fk!u'Y1T~
　　服务作用：　防止日志过大导致检索、分析的难度，另一方面也有利于事后的检查。5t0j){}r8c&Eb*]\

_i~ A5z 　　9、白客渗透xcw!M w

q8E&|XB 　　服务对象：对INTERBET提供服务的服务器
1k5D4B#F3T5yP
C\:zzz8y5j 　　服务周期：半年一次5b KMo*eF

4iN1[[(i%V!c 　　服务内容：服务商在用户指定的时间段内，通过INTERNET，使用各种工具在不破坏应用的前提下攻击服务器，最终提供检测报告。
M0KHx*X6x
t\x$xUkDNbB 　　服务作用：先于黑客进行探测性攻击以检测系统漏洞。根据最终检测报告进一步增强系统的安全性X@ `yG
i
.x8n3\Qt'f7f
　　10、设备备份系统p _"F"_D
|!_3E.e(V rv)d
　　服务对象：骨干交换机、路由器等网络骨干设备b8KH8^j8E
Y4JPD2{A,F5f*g
　　服务周期：实时/lX$Db3Ly+{t
w^W6v&u v
　　服务内容：根据用户的网络情况，提供骨干交换机、路由器等核心网络设备的备份。备份设备可以在段时间内替代网络中实际使用的设备。+jg$`-p2C&qD {R _`

M3i,w+LN
T [%L 　　服务作用：一旦核心设备出现故障，使用备件替换以减少网络故障时间。8~7J(uM,D(Pn:P

CU5bJ5K
RtDyQ 　　11、信息备份系统
"`:q;P9`8B/n%~ 9zCU-SH
[
　　服务对象：所有重要信息

Y!D*S1g!@ z Pk v.g0RVc9J
　　服务周期：根据网络情况定完全备份和增量备份的时间
oiHtfg4^
yx Q5^` V
　　服务内容：定期备份电子信息
,@A:`+ZZ-T
A ytbjw
　　服务作用：防止核心服务器崩溃导致网络应用瘫痪。
\0VDG5EPgM9}c _g$wCVLwq
　　12、定期总体安全分析报告
m+kV/GT H
y s)i&Q.I6}
　　服务对象：整个网络!sSLIV a0|pQ
]q(}8hmr9B%j
　　服务周期：半年一次
`2vL,U~
.z'H7Y}1xZ.AW 　　服务内容：综合网络拓扑报告、各种安全设备日志、服务器日志等信息，对网络进行总体安全综合性分析，分析内容包括网络安全现状、网络安全隐患分析，并提出改进建议意见。
]eQ%Vh8vq O}`s
]b)B@#H
　　服务作用：提供综合性、全面的安全报告，针对全网络进行安全性讨论，为全面提高网络的安全性提供技术资料。9Y\7gj)c!I9i

sz)wvqpu LU\ 　　以上是服务解决方案，众所周知，安全产品一般是共性的产品，通过安全服务，能够配制出适合本网络的安全设备，使得安全产品在特定的网络中发挥最大的效能，使得各种设备协同工作，增强网络的安全性和可用性。bW
kX{KV+@)Vq

(d&`5l ]UV 　　当然，在网络中，不安全是绝对的，即使采取种种措施，网络也可能遭到应用某种原因无法正常运作，这时候，就需要有及时有效的技术支持，使得网络在尽可能短的时间内恢复正常。下面将提出技术支持解决方案。

查看完整版本: 如何构建网络整体安全方案