防火墙分系统安全方案
- 格式:doc
- 大小:52.50 KB
- 文档页数:8
第一章防火墙分系统安全方案5.1 设计目标将Internet与蚌埠广播电视台内部网隔离开来,拒绝非法访问,恶意攻击,真正保护网络边界的安全。
将各蚌埠广播电视台的内部网进行隔离,限制用户非法访问,避免受到恶意攻击非法访问、非法连接。
保护蚌埠广播电视台的信息发布系统,抵御来自于公网上的攻击,保护网络资源安全。
5.2 功能要求蚌埠广播电视台对防火墙的功能要求如下:1.专有的硬件平台,专有的操作系统。
2.与原有的防火墙、交换机、路由器等网络设备功能兼容并有效整合。
3.网络特性:应支持至少两个端口的LAN接口数,,能有效的保护以太网、快速以太网。
4.应支持路由接入、透明接入,如还有其他的接入方式请另外说明。
5.访问控制:千兆级别的基于状态的包过滤功能,支持动态、静态、双向的网络地址转换(NAT)。
6.防御功能:可防TCP、UDP等端口扫描、防源路由攻击、IP碎片包攻击、DNS/RIP/ICMP攻击、SYN攻击、DOS/DDOS攻击、可阻止ActiveX、Java、Javascript入侵;同时提供时间监控和告警功能。
7.能力特性:具备流量控制和统计。
8.具备应用级透明代理功能,支持对HTTP、SMTP、POP3、NNTP等高层应用协议的代理;支持对URL的过滤、对WEB页面中的Java、VBscript、Javascript组件过滤。
9.具备完善的日志功能,支持向日志服务器导出日志,应具备日志冗余功能。
10.管理功能:支持本地管理、远程管理和集中管理;支持SNMP监视和配置,其中远程管理应该能很好的安全保护。
11.支持容错技术,如双机热备、故障恢复、双电源备份等。
12.提供对WWW站点的保护功能。
13.能够与第三方安全产品进行很好的联动,尤其是与IDS产品的联动。
14.支持带宽管理(QoS)。
15.能很好的防止IP欺骗功能。
16.认证类型:应具有一个或多个认证方案,如OTP认证(一次性口令认证)、RADIUS、KERBEROS、TACACS/TACACS+、口令方式、数字证书等。
17.应支持常见的路由协议,如:OSPF、RIP、RIPII。
18.支持IPX、NETBEUI、VOD、H.323v1/v2、SSH协议。
19.支持分权管理和信息审计。
20.能够对防火墙的配置信息进行备份。
5.4 性能要求蚌埠广播电视台对防火墙的性能要求如下:1.最大并发连接数在120,000以上;2.内核处理速度不低于300M(对于三个接口的防火墙);3.对于10/100M以太网接口,其接口吞吐量应不低于97M;4.吞吐量:防火墙加载百条规则的平均吞吐量应不低于17000fps;5.延时:防火墙加载百条规则的平均延时不超过100,000ns;6.丢包率:防火墙加载百条规则的丢包率为0;7.背靠背:防火墙加载百条规则的背靠背性能测试不低于400,000frames;8.MTBF:不低于30000小时;5.4 配置方案由于蚌埠广播电视台是蚌埠广播电视台网的主要组成部分,它的安全性、可靠性对其正常行使宏观经济调控职能起着重要的作用,所以对其防火墙分系统采用双机备份,而其它省级蚌埠广播电视台只采用单机防火墙配置,其系统配置方案如图5.4所示。
在蚌埠广播电视台与专网互联处加入一台防火墙。
由于蚌埠广播电视台网络需要连接的网络有专网以及互联网,所以采用双机备份的防火墙需要5个接口,如果双机切换采用串口连接监视heart-beat信号,那么需要4个接口的防火墙即可;第一个接口连接专网e0链路,第二个接口连接互联网e1链路,第三个接口连接SSN区(DMZ),第四个接口连接内部网;由于采用双机备份,所以在接口处需要配置集线器或交换机。
当蚌埠广播电视台网络出口的流量超过一定极限时,可以将两台防火墙配置成防火墙机群工作模式,实现双机分流和负载均衡。
根据安全需求,在专网与Internet互联的时候需要采用NAT技术,隐藏其内部网络结构,同时在扩展安全设备时不宜改动原有的网络结构及配置,因此最好将防火墙配置为路由模式与透明模式相结合的混合工作模式。
5.5 选型建议根据防火墙分系统的技术要求,本方案推荐在蚌埠广播电视台使用联想针对政府各部委办和金融骨干企业自主开发的高端防火墙--网御2000 FWP,推荐在省级蚌埠广播电视台使用联想自主开发的标准防火墙――网御2000 FWE。
推荐选用网御2000 系列防火墙,是因为网御2000系列防火墙除了完全满足“蚌埠广播电视台网安全系统包技术指标要求”规定的防火墙资质要求、功能要求和性能要求外,还具有以下显著的技术特点:三墙合一:网御2000集防火墙、防毒墙、防黑墙三位一体,具有很高的性能价格比。
智能过滤:网御2000不但支持状态包过滤和动态包过滤,还创立了根据数据包的网络特征(源地址、目的地址、协议号、端口号、服务类型、传递方向等)、时间特征(可疑连接的时间间隔等)、空间特征(特定时段内可疑连接的相关程度等)和数据结构特征(数据包长度、信息相关性等),建立了独具特色的动态智能包过滤安全防护体系,可以显著提高包过滤防火墙的安全特性,并拥有5项专利技术。
混合模式:网御2000不仅支持路由模式和桥模式,还支持两者融为一体的混合模式,以及具有负载均衡功能的防火墙机群工作模式,能够适应复杂的网络环境和网络应用,并且安装配置极其简便。
透明代理:在应用代理设计方面,网御2000不仅提供各种标准应用和特定应用的透明式代理服务,而且还支持用户自定义的透明式代理服务,并可根据特殊需要方便地实现代理的级连。
用户认证:网御2000支持基于USB安全装置和智能IC卡的用户强身份认证体系。
底座安全:网御2000采用联想自主研发的服务器硬件平台和专用安全操作系统平台,较好地解决了“底座安全”问题,具有很高的自身安全性能。
在线升级:网御2000的安全防护软件、入侵检测特征规则库和病毒库均支持网络在线升级,因此可以随着网络攻击手段的变化地不断地更新和提高防火墙的安全防护能力。
高效可靠:网御2000防火墙在100兆以太网口、100条规则的情况下,数据吞吐率可达到线速(100Mbps),并发连接数在13万以上,平均延时不超过100微秒,应用级代理可以同时响应200个HTTP请求;整机MTBF可达35000小时。
具有极高的时效和可靠性。
第二章安全脆弱性扫描分系统安全方案6.1 设计目标扫描内部网络或者扫描不同的操作系统,了解网络或主机有可能受到入侵部分的具体细节,并提出评估报告,以便管理员针对漏洞进行修补。
从外部对内部网络进行扫描,检查路由器和防火墙是否存在漏洞,并提供网络安全评估报告。
6.2 技术要求蚌埠广播电视台对安全脆弱性扫描的功能要求如下:1.覆盖主流操作系统,如:SUN SOLARIS,HP-UX,IBM AIX,DIGITALUNIX,LINUX,WINDOWS NT等。
2.检测方法不少于600种。
3.严格按照国际惯例,对扫描强度和系统风险级别实行分级制。
扫描强度分为重度扫描,中度扫描,轻度扫描和自定义强度扫描。
4.可支持多种网络漏洞扫描,如:网络服务、WEB服务、FTP服务、守护进程、电子邮件服务、CGI BIN、浏览器设置、RPC攻击、特定的强力攻击选项、拒绝服务攻击检测、拒绝服务攻击检测、安全区检测、WINDOWS NT配置、UNIX 配置、LINUX配置。
5.可发现的系统问题包括:系统开放了不必要的服务;软件版本问题、缺省配置、具有弱点、未装补丁;NT服务器的配置问题;WEB服务器的配置问题;防火墙的配置和路由器的访问控制表的配置问题;信息泄露—TELNET 旗标、FINGER、SNMP、SMTP;信任关系—RLOGIN、RSH、REXEC;口令弱点;检测类似BO、NETBUS等特洛伊木马;文件共享不合适—NETBIOS、NETWARE;远程访问不安全;6.具有远程和本地两种工作模式。
7.具有生成分析报告的能力。
8.具有自我保护能力。
9.可提供相应硬件设备。
10.提供安全漏洞扫描特征升级。
6.3 配置方案在蚌埠广播电视台内部网的管理区一台主机中安装扫描评估系统。
其配置示意图如图4.3.1所示。
产品运行环境为Windows 2000 Professional或Windows 2000 server。
6.4 选型建议本方案推荐使用中科网威公司的“火眼”3.x网络安全评估分析系统。
选择“火眼”3.x是因为该产品能够满足“蚌埠广播电视台网安全系统包技术指标要求”规定的安全脆弱性扫描系统技术要求,同时该产品还具有以下显著的技术特点:结构合理、稳定性强:系统是以数据库为核心的评估分析系统,在实现上采用了桌面数据库技术。
这使得各部分的耦合程度大为降低,极大地提高了系统的可靠性。
只要数据库数据信息正确无误,就可以得到准确的结果。
在数据库的设计中,对数据域和数据表单的读写都作了严格的界定,保证了数据库的正确性。
分类齐全、分析项目完备:根据目标主机可能出现的安全隐患,检测项目分为邮件服务、网络相关、文件服务、远程调用、后门相关、缺省账号、网络共享、域名服务、无连接协议、常见服务、注册表、拒绝服务、微软系统、浏览相关、其他项目等15个类别,能全面评估目标主机及系统的安全风险。
完备的网络安全薄弱环节数据库:鉴于目前WINDOWS操作系统的广泛应用,本版本大幅增加了相关的评估分析项目数据库。
数据库中所有类别的评估分析项目共有600多项,完全能够满足用户的需求。
独有的用户自定义规则:用户可以根据自己的需要,为每台主机制定不同的评估策略。
良好的实用性:“火眼”网络安全评估系统是中科网威公司自己设计的系统,具有良好的使用性。
在管理界面上使用了全中文化的设计,操作使用符合标准的WINDOWS风格,用户大部分操作只要通过点击鼠标就可达到目的。
因此使管理工作更加方便,其输出的统计结果也更加有价值。
评估分析速度快,准确性高:用户可以一次对任意多个目标进行测试,对每个主机的测试都是并发地进行,评估分析的速度非常快。
在评估的过程中,可以根据用户的意愿随时停止。
完善的安全解决方案:在评估分析完成以后,系统将给出详细的分析结果,用户可以对要评估的系统有一个较为全面的了解,并可以方便地根据所提建议进行系统改进。
增加了各种实用的分析工具:增加了连通检查、路由跟踪、攻击测试、端口分析、自动升级等使用工具,极大的方便了用户。
功能强大的报表:用户可以生成多种报表格式,并可以保存为多种格式的文档。
用户可以查询、综合各种报表,以便通过不同的形式来了解被测主机的各种安全隐患。
支持网上数据更新。